Regeln der Programmkontrolle verwalten
Kaspersky Endpoint Security überwacht mithilfe von Regeln die Versuche von Benutzern, Programme zu starten. Eine Regel der Programmkontrolle enthält Auslösebedingungen und legt die Aktionen fest, die von der Komponente „Programmkontrolle“ beim Auslösen der Regel ausgeführt werden (Erlaubnis oder Verbot des benutzerinitiierten Programmstarts).
Auslösebedingungen für eine Regel
Eine regelauslösende Bedingung hat folgenden Zusammenhang: „Art der Bedingung – Bedingungskriterium – Bedingungswert“. Basierend auf den Auslösebedingungen für eine Regel wendet Kaspersky Endpoint Security die Regel auf ein Programm an (oder wendet die Regel nicht an).
Die folgenden Arten von Bedingungen werden in Regeln verwendet:
- Einschließende Bedingungen. Kaspersky Endpoint Security wendet die Regel auf ein Programm an, wenn das Programm mindestens eine einschließende Bedingung erfüllt.
- Ausschließende Bedingungen. Kaspersky Endpoint Security wendet die Regel nicht auf ein Programm an, wenn das Programm mindestens eine ausschließende Bedingung oder keine einschließende Bedingung erfüllt.
Auslösebedingungen für eine Regel werden mithilfe von Kriterien definiert. Um in Kaspersky Endpoint Security Bedingungen zu erstellen, werden folgende Kriterien verwendet:
- Pfad des Ordners mit der ausführbaren Programmdatei oder Pfad der ausführbaren Programmdatei
- Metadaten: Name der ausführbaren Programmdatei, Version der ausführbaren Programmdatei, Programmname, Programmversion, Programmhersteller
- Hash der ausführbaren Programmdatei
- Zertifikat: Herausgeber, Subjekt, Fingerabdruck
- Zugehörigkeit eines Programms zu einer KL-Kategorie
- Speicherort der ausführbaren Programmdatei auf dem Wechseldatenträger
Für jedes Kriterium, das in einer Bedingung verwendet wird, muss ein Wert angegeben werden. Entsprechen die Parameter eines zu startenden Programms den Werten von Kriterien, die in einer einschließenden Bedingung angegeben sind, so wird die Regel ausgelöst. In diesem Fall führt die Programmkontrolle die Aktion aus, die in der Regel angegeben ist. Entsprechen die Programmparameter den Werten von Kriterien, die in einer ausschließenden Bedingung angegeben sind, so überwacht die Programmkontrolle den Start des Programms nicht.
Wenn Sie ein Zertifikat als Auslösebedingung für eine Regel ausgewählt haben, müssen Sie sicherstellen, dass dieses Zertifikat dem vertrauenswürdigen Systemspeicher auf dem Computer hinzugefügt wurde. Überprüfen Sie auch die Einstellungen für die Nutzung des vertrauenswürdigen Systemspeichers in der Anwendung.
Entscheidungen der Komponente „Programmkontrolle“ beim Auslösen einer Regel
Wenn eine Regel ausgelöst wird, verfährt die Programmkontrolle nach der Regel und erlaubt oder verbietet den Benutzern (Benutzergruppen) den Programmstart. Sie können konkrete Benutzer oder Benutzergruppen wählen, denen der Start von Programmen, für welche eine Regel ausgelöst wird, erlaubt oder verboten werden soll.
In einer Verbotsregel ist kein Benutzer angegeben, dem der Start von Programmen erlaubt ist, welche die Regel erfüllen.
In einer Erlaubnisregel ist kein Benutzer angegeben, dem der Start von Programmen verboten ist, welche die Regel erfüllen.
Eine Verbotsregel besitzt eine höhere Priorität als eine Erlaubnisregel. Wenn für eine Benutzergruppe beispielsweise eine Erlaubnisregel der Programmkontrolle festgelegt ist, für einen Benutzer dieser Gruppe aber eine Verbotsregel der Programmkontrolle vorliegt, so wird der Start des Programms für diesen Benutzer verboten.
Status einer Regel
Für die Regeln der Programmkontrolle gibt es folgende Statusvarianten:
- Aktiviert. Dieser Status bedeutet, dass die Regel von der Komponente „Programmkontrolle“ verwendet wird.
- Deaktiviert. Dieser Status bedeutet, dass die Regel von der Komponente „Programmkontrolle“ ignoriert wird.
- Testmodus. Dieser Status bedeutet, dass Kaspersky Endpoint Security den Start der Programme, für welche die Regel gilt, erlaubt. Gleichzeitig werden aber Informationen über den Start dieser Programme protokolliert.