使用「應用程式控制」來管理可執行檔

您可以使用「應用程式控制」元件來允許或阻止使用者裝置上可執行檔的啟動。「應用程式控制」元件支援基於 Windows 和 Linux 的作業系統。

對於 Linux 作業系統,從 Kaspersky Endpoint Security 11.2 for Linux 開始提供應用程式控制元件。

先決條件

階段

應用程式控制使用情境分階段進行:

  1. 形成和檢視用戶端裝置上可執行檔的清單

    此階段可提供您受管理裝置上有哪些可執行檔的資訊。檢視可執行檔清單,並將其與允許和禁止的可執行檔清單比較。對可執行檔使用的限制可能與您組織中的資訊安全政策相關。

    操作說明:取得並檢視儲存在用戶端裝置上的可執行檔清單

  2. 為組織中使用的可執行檔建立類別

    分析受管理裝置上儲存的可執行檔清單。基於分析為可執行檔建立類別。建議您建立涵蓋組織中使用的可執行檔標準集的「工作應用程式」類別。若不同的安全群組在其工作中使用各自的可執行檔集,則可針對各安全群組建立獨立的應用程式類別。

    與任何應用程式控制規則不符的可執行檔啟動的設定,會由該元件選取的操作模式規管:

    • 拒絕清單。若您要允許啟動所有可執行檔(除了封鎖規則所指定者),則會使用此模式。預設情況下會選取此模式。
    • 允許清單。若您要封鎖啟動所有可執行檔(除了允許規則所指定者),則會使用此模式。

    應用程式控制規則是透過可執行檔的類別進行實作。在卡巴斯基安全管理中心 Linux 中,有三種類型的可執行檔類別:

    • 含有手動新增內容的類別。您會定義條件,例如檔案中繼資料、檔案雜湊碼、檔案憑證、檔案路徑,以在類別中包含可執行檔。
    • 包含來自所選服務的可執行檔的類別。您指定之裝置的可執行檔會自動包含在類別中。
    • 包含來自所選資料夾的可執行檔的類別。您指定之資料夾中的可執行檔會自動包含在類別中。
  3. 在 Kaspersky Endpoint Security 政策設定應用程式控制

    使用您在先前階段建立的類別,在 Kaspersky Endpoint Security for Linux 政策中設定「應用程式控制」元件。

    操作說明:在 Kaspersky Endpoint Security for Windows 政策中配置應用程式控制

  4. 在測試模式中開啟應用程式控制元件

    若要確定應用程式控制規則沒有封鎖使用者工作所需的可執行檔,建議啟用應用程式控制規則測試,並在建立新規則後分析其運作。啟用測試後,Kaspersky Endpoint Security for Windows 不會封鎖應用程式控制規則封鎖啟動的可執行檔,但會改為傳送有關其啟動的資訊至管理伺服器。

    測試應用程式控制規則時,建議執行以下動作:

    • 決定測試期間。測試期間可從數日到兩個月。
    • 檢查因應用程式控制作業產生的測試事件。

    卡巴斯基安全管理中心網頁主控台操作說明:在 Kaspersky Endpoint Security for Windows 政策中設定應用程式控制元件。遵循此指示並在組態程序中啟用測試模式選項。

  5. 變更「應用程式控制」元件的設定

    如有必要,請變更應用程式控制設定。根據測試結果,您可於包含手動新增內容的類別中,新增與「應用程式控制」元件事件相關的可執行檔。

    操作說明:卡巴斯基安全管理中心網頁主控台:新增事件相關可執行檔至應用程式類別

  6. 在操作模式套用應用程式控制規則

    測試應用程式控制規則且完成類別組態後,您可在操作模式中套用應用程式控制規則。

    卡巴斯基安全管理中心網頁主控台操作說明:在 Kaspersky Endpoint Security for Windows 政策中設定應用程式控制元件。請遵循此指示,並在組態程式中停用測試模式選項。

  7. 確認應用程式控制組態

    請確保您已完成以下項目:

    • 為可執行檔建立類別。
    • 使用類別設定「應用程式控制」。
    • 在操作模式中套用應用程式控制規則。

結果

當情境完成時,受管理裝置上的可執行檔啟動會受到控制。使用者僅可啟動組織中允許的這些可執行檔,不可啟動被禁止的可執行檔。

如須應用程式控制的詳細資訊,請參閱 Kaspersky Endpoint Security for Linux 說明Kaspersky Endpoint Security for Windows 說明

頁頂