Die in diesem Abschnitt beschriebene Funktionalität von Kaspersky Security ist nur verfügbar, wenn das Programm auf einer virtuellen Maschine mit einem Desktop-Betriebssystem der Windows-Reihe installiert ist.
Die Komponente "Aktivitätskontrolle für Programme" hindert Programme daran, systemgefährdende Aktionen auszuführen, und kontrolliert den Zugriff auf Betriebssystemressourcen und persönliche Daten.
Diese Komponente kontrolliert die Programmausführung auf der geschützten virtuellen Maschine, einschließlich des Zugriffs von Programmen auf geschützte Ressourcen (wie beispielsweise Dateien und Ordner, Registrierungsschlüssel). Dazu werden die Regeln zur Programmkontrolle verwendet. Bei den Regeln zur Programmkontrolle handelt es sich um eine Auswahl an Einschränkungen, die für verschiedene Programmaktionen im Betriebssystem und für Zugriffsrechte für Ressourcen der geschützten virtuellen Maschine gelten.
Die Netzwerkaktivität von Programmen wird durch die Komponente Firewall kontrolliert.
Als Initiator für den Start eines Programms kann entweder der Benutzer oder ein anderes laufendes Programm auftreten. Tritt ein anderes Programm als Initiator für den Start auf, ergibt sich eine Startfolge, die über- und untergeordnete Prozesse umfasst.
Versucht ein Programm, Zugriff auf eine geschützte Ressource zu erhalten, analysiert die Aktivitätskontrolle für Programme für alle übergeordneten Programmprozesse die Zugriffsrechte auf die geschützte Ressource. Dabei wird die Regel mit der niedrigsten Priorität ausgeführt: Beim Vergleich von Zugriffsrechten eines Programms und eines übergeordneten Prozesses werden die Zugriffsrechte mit der geringsten Priorität auf die Programmaktivität angewendet.
Für Zugriffsrechte ist folgende Priorität möglich:
Dieser Mechanismus verhindert, dass vertrauenswürdige Programme von zweifelhaften Programmen oder von Programmen, die über beschränkte Rechte verfügen, dazu benutzt werden, um privilegierte Aktionen auszuführen.
Wird eine Aktion eines Programms blockiert, da ein übergeordneter Prozess unzureichende Rechte besitzt, können Sie diese Rechte ändern oder die Vererbung von Beschränkungen eines übergeordneten Prozesses in der lokalen Benutzeroberfläche deaktivieren.
Wenn ein Programm zum ersten Mal auf der geschützten virtuellen Maschine gestartet wird, untersucht die Komponente "Aktivitätskontrolle für Programme" dieses Programm auf seine Sicherheit und ordnet es einer Sicherheitsgruppe zu. Durch die Sicherheitsgruppe werden die Regeln zur Programmkontrolle festgelegt, die Kaspersky Security für die Programmkontrolle anwendet.
Um die Effektivität der Aktivitätskontrolle für Programme zu steigern, wird empfohlen, die Verwendung von Kaspersky Security Network im Betrieb von Kaspersky Security zu aktivieren. Die Daten, die mithilfe des Kaspersky Security Network ermittelt werden, erlauben es, Programme genauer einer bestimmten Sicherheitsgruppe zuzuordnen und optimale Regeln zur Programmkontrolle anzuwenden.
Wird ein Programm zum wiederholten Mal gestartet, kontrolliert die Aktivitätskontrolle für Programme die Integrität des Programms. Wurde ein Programm nicht verändert, wendet die Komponente die aktuellen Regeln zur Programmkontrolle darauf an. Wurde ein Programm verändert, wird es von der Aktivitätskontrolle für Programme erneut wie beim ersten Start überprüft.
In diesem Abschnitt wird das Einstellen der Parameter Aktivitätskontrolle für Programme mithilfe der Verwaltungskonsole und der lokalen Benutzeroberfläche von Light Agent for Windows beschrieben. Während der Erstellung und Änderung der Richtlinie für Light Agent for Windows können Sie die Einstellungen der Aktivitätskontrolle für Programme auch mit der Web Console ändern (Programmeinstellungen → Arbeitsplatz-Überwachung → Aktivitätskontrolle für Programme). Das Einstellen der Regeln zur Programmkontrolle wird über die Web Console nicht unterstützt.