添加事件相关的可执行文件到应用程序类别
扩展所有 | 折叠所有
在 Kaspersky Endpoint Security for Windows 策略中配置“应用程序控制”后,以下事件将显示在事件列表中:
- 应用程序启动被禁止(严重事件)。如果已将“应用程序控制”配置为应用规则,则显示此事件。
- 应用程序启动在测试模式中被禁止(信息事件)。如果已将“应用程序控制”配置为测试规则,则显示此事件。
- 向管理员发送的有关应用程序启动禁止的消息(警告事件)。如果已将“应用程序控制”配置为应用规则,并且用户请求访问在启动时被阻止的应用程序,则会显示此事件。
建议创建事件分类以查看与“应用程序控制”操作相关的事件。
您可以将与“应用程序控制”事件相关的可执行文件添加到现有应用程序类别或新的应用程序类别。您只能将可执行文件添加到含有手动添加内容的应用程序类别。
要将与“应用程序控制”事件相关的可执行文件添加到应用程序类别:
- 在主菜单中,转到“监控和报告” → “事件分类”。
将显示事件分类列表。
- 选择事件分类以查看与“应用程序控制”相关的事件并启动此事件分类。
如果尚未创建与“应用程序控制”相关的事件分类,可以选择并启动预定义分类,例如“最近的事件”。
将显示事件列表。
- 选择要将其相关可执行文件添加到应用程序类别的事件,然后单击“分配到类别”按钮。
新类别向导启动。使用下一步按钮进行向导。
- 在向导页面上,指定相关设置:
- 在“对事件相关可执行文件所采取的操作”区域中,选择以下选项之一:
- 添加到新的应用程序类别
如果要基于事件相关的可执行文件创建新的应用程序类别,则选择此选项。
默认情况下已选定该选项。
如果选择了此选项,请指定新的类别名称。
- 添加到现有应用程序类别
如果要将事件相关的可执行文件添加到现有应用程序类别,则选择此选项。
默认情况下未选定该选项。
如果选择了此选项,请选择要将可执行文件添加到的含有手动添加内容的应用程序类别。
- 在“规则类型”区域中,选择以下选项之一:
- 在用作条件的参数部分中,选择以下选项之一:
- 证书详情(或没有证书的文件的 SHA-256 哈希)
文件可能使用证书签署。多个文件可能使用相同的证书签署。例如,相同应用程序的不同版本可能使用相同的证书签署,或者相同供应商的多个不同应用程序可能使用相同证书签署。当您选择证书时,应用程序的多个版本或相同供应商的多个应用程序可能组成一个类别。
每个文件都有单独的 SHA256 哈希。当您选择 SHA256 哈希时,仅一个对应的文件,例如,定义的应用程序版本,组成类别。
如果您要将可执行文件的证书详情(或者无证书文件的 SHA256 哈希函数)添加到类别规则,则选择该选项。
默认情况下已选定该选项。
- 证书详情(没有证书的文件将被跳过)
文件可能使用证书签署。多个文件可能使用相同的证书签署。例如,相同应用程序的不同版本可能使用相同的证书签署,或者相同供应商的多个不同应用程序可能使用相同证书签署。当您选择证书时,应用程序的多个版本或相同供应商的多个应用程序可能组成一个类别。
如果您要将可执行文件的证书详情添加到类别规则,则选择该选项。如果可执行文件没有证书,该文件将被跳过。该文件的信息将不被添加到类别。
- 仅 SHA-256 (没有哈希的文件将被跳过)
每个文件都有单独的 SHA256 哈希。当您选择 SHA256 哈希时,仅一个对应的文件,例如,定义的应用程序版本,组成类别。
如果您要仅添加可执行文件的 SHA256 哈希详情,则选择该选项。
- 仅 MD5 (停产模式,仅对 Kaspersky Endpoint Security 10 Service Pack 1 版本)
每个文件都有单独的 MD5 哈希。当您选择 MD5 哈希时,仅一个对应的文件,例如,定义的应用程序版本,组成类别。
如果您要仅添加可执行文件的 MD5 哈希详情,则选择该选项。MD5 哈希码计算功能被 Kaspersky Endpoint Security 10 Service Pack 1 for Windows 和所有早期版本支持。
- 单击“确定”。
向导完成后,与“应用程序控制”事件相关的可执行文件将添加到现有应用程序类别或新的应用程序类别。您可以查看您已修改或创建的应用程序类别的设置。
有关“应用程序控制”的详细信息,请参阅 Kaspersky Endpoint Security for Windows 在线帮助和 Kaspersky Security for Virtualization Light Agent。
页顶