Regeln aus einem Bericht von Kaspersky Security Center über blockierte Programme importieren
Sie können Daten über blockierte Programmstarts aus einem Bericht importieren, der in Kaspersky Security Center nach der Ausführung der Aufgabe zur Kontrolle des Programmstarts im Modus Nur Statistik erstellt wurde, und diese Daten zur Erstellung einer Liste von Erlaubnisregeln für die Kontrolle des Programmstarts in der konfigurierten Richtlinie verwenden.
Bei der Berichterstellung über Ereignisse, die während der Ausführung der Aufgabe zur Kontrolle des Programmstarts eintreten, können Sie verfolgen, für welche Programme der Start blockiert wird.
Vergewissern Sie sich beim Import von Daten aus einem Bericht über blockierte Programme in die Richtlinieneinstellungen davon, dass die verwendete Liste nur diejenigen Programme beinhaltet, deren Start Sie erlauben möchten.
Um für eine Gruppe von geschützten Geräten Erlaubnisregeln zur Kontrolle des Programmstarts auf der Grundlage eines Berichts über blockierte Programme aus Kaspersky Security Center festzulegen, gehen Sie wie folgt vor:
Wählen Sie im Abschnitt Aufgabenmodus den Modus Nur Statistik aus.
Vergewissern Sie sich in den Richtlinieneigenschaften im Abschnitt Ereignisbenachrichtigungen, dass:
Für Kritische Ereignisse die Speicherdauer des Protokolls der Aufgabenausführung für Programmstart verboten-Ereignisse die geplante Zeitspanne für die Ausführung der Aufgabe im Modus Nur Statistik übersteigt (der Standardwert beträgt 30 Tage).
Für Ereignisse mit einer Prioritätsstufe von Warnung die Speicherdauer des Protokolls der Aufgabenausführung für Nur Statistik: Programmstart verboten-Ereignisse die geplante Zeitspanne für die Ausführung der Aufgabe im Modus Nur Statistik übersteigt (der Standardwert beträgt 30 Tage).
Nach Ablauf der Speicherdauer für Ereignisse werden die Informationen über die protokollierten Ereignisse gelöscht und nicht in der Berichtsdatei aufgeführt. Vergewissern Sie sich vor dem Start der Aufgabe Kontrolle des Programmstarts im Modus Nur Statistik, dass die Ausführungsdauer der Aufgabe die festgelegte Zeitspanne für die angegebenen Ereignisse nicht überschreitet.
Exportieren Sie nach Abschluss der Aufgabe die protokollierten Ereignisse in eine TXT-Datei:
Wählen Sie im Arbeitsbereich des Knotens Administrationsserver in Kaspersky Security Center die Registerkarte Ereignisse aus.
Erstellen Sie im untergeordneten Knoten Auswahl erstellen eine Auswahl von Ereignissen anhand der Eigenschaft Blockiert, um zu sehen, welche Programmstarts durch die Aufgabe zur Kontrolle des Programmstarts blockiert werden.
Klicken Sie im Ergebnisfenster der Auswahl auf Ereignisse in Datei exportieren, um einen Bericht über die blockierten Programmstarts in einer TXT-Datei zu speichern.
Vergewissern Sie sich vor dem Import und der Verwendung des erstellten Berichts in einer Richtlinie, dass der Bericht nur Daten derjenigen Programme enthält, deren Start Sie erlauben möchten.
Importieren Sie die Daten über blockierte Programmstarts in die Aufgabe zur Kontrolle des Programmstarts. Gehen Sie dazu in den Eigenschaften der Richtlinie in den Einstellungen der Aufgabe Kontrolle des Programmstarts wie folgt vor:
Klicken Sie auf der Registerkarte Allgemein auf Regelliste.
Das Fenster Regeln für die Kontrolle des Programmstarts wird geöffnet.
Klicken Sie auf die Schaltfläche Hinzufügen und wählen Sie im Kontextmenü der Schaltfläche den Punkt Daten zu blockierten Programmen aus dem Bericht von Kaspersky Security Center importieren.
Wählen Sie das Prinzip aus, nach dem die Regeln aus der auf Grundlage des Berichts von Kaspersky Security Center erstellten Liste zur Liste der bereits bestehenden Regeln für die Kontrolle des Programmstarts hinzugefügt werden:
Zu den bestehenden Regeln hinzufügen, wenn Sie möchten, dass die importierten Regeln zu der Liste der bestehenden Regeln hinzugefügt werden. Regeln mit identischen Einstellungen werden dupliziert.
Bestehende Regeln ersetzen, wenn Sie möchten, dass die importierten Regeln anstatt der bestehenden Regeln aufgenommen werden.
Mit bestehenden Regeln zusammenführen, wenn Sie möchten, dass die importierten Regeln zu der Liste der bestehenden Regeln hinzugefügt werden. Regeln mit identischen Einstellungen werden nicht hinzugefügt; ist zumindest eine Einstellung der Regel unterschiedlich, so wird sie hinzugefügt.
Wählen Sie folgenden Windows-Standardfenster die txt-Datei aus, in die Ereignisse aus dem Bericht über den gesperrten Programmstart exportiert wurden.
Klicken Sie auf Speichern im Fenster Regeln für die Kontrolle des Programmstarts.
Die auf Grundlage des Berichts von Kaspersky Security Center über die blockierten Programme erstellten Regeln werden zur Liste der Regeln für die Kontrolle des Programmstarts hinzugefügt.