Tạo loại trừ cho một quy tắc Kiểm soát thích ứng sự cố
Bạn không thể tạo nhiều hơn 1.000 mục loại trừ cho các quy tắc Kiểm soát thích ứng sự cố. Bạn không nên tạo nhiều hơn 200 quy tắc loại trừ. Để giảm số loại trừ được sử dụng, bạn nên sử dụng tên đại diện trong thiết lập loại trừ.
Một loại trừ cho một quy tắc Kiểm soát thích ứng sự cố bao gồm mô tả về các đối tượng nguồn và đích. Đối tượng nguồn là đối tượng thực hiện hành động. Đối tượng đích là đối tượng đón nhận hành động đó. Ví dụ, bạn đã mở một tập tin có tên file.xlsx. Kết quả là, một tập tin thư viện với phần mở rộng DLL được tải vào bộ nhớ máy tính. Thư viện này được một trình duyệt sử dụng (một tập tin thực thi có tên browser.exe). Trong ví dụ này, file.xlsx là đối tượng nguồn, Excel là tiến trình nguồn, browser.exe là đối tượng đích, và Browser là tiến trình đích.
Để tạo loại trừ cho một quy tắc Kiểm soát thích ứng sự cố:
- Ở phần dưới của cửa sổ chính của ứng dụng, hãy nhấn nút
. - Trong cửa sổ thiết lập ứng dụng, hãy chọn Bảo vệ → Kiểm soát bảo mật → Kiểm soát thích ứng sự cố.
- Trong mục Quy tắc, hãy nhấn nút Chỉnh sửa quy tắc.
Danh sách quy tắc Kiểm soát thích ứng sự cố sẽ mở ra.
- Chọn một quy tắc trong bảng.
- Nhấn nút Chỉnh sửa.
Cửa sổ thuộc tính quy tắc Kiểm soát thích ứng sự cố sẽ được mở ra.
- Trong mục Loại trừ, hãy nhấn vào nút Thêm.
Cửa sổ thuộc tính loại trừ sẽ mở ra.
- Chọn người dùng mà bạn muốn cấu hình một mục loại trừ.
- Trong trường Mô tả, nhập mô tả về loại trừ này.
- Quy định các thiết lập của đối tượng nguồn hoặc tiến trình nguồn được bắt đầu bởi đối tượng:
- Tiến trình nguồn. Đường dẫn hoặc đường dẫn đại diện đến tập tin hoặc thư mục chứa các tập tin (ví dụ,
С:\Dir\File.exehoặcDir\*.exe). - Hash tiến trình nguồn. Mã băm tập tin.
- Đối tượng nguồn. Đường dẫn hoặc đường dẫn đại diện đến tập tin hoặc thư mục chứa các tập tin (ví dụ,
С:\Dir\File.exehoặcDir\*.exe). Ví dụ, đường dẫn tập tindocument.docm, sử dụng một kịch bản hoặc macro để bắt đầu các tiến trình đích.Bạn cũng có thể quy định các đối tượng khác để loại trừ, ví dụ như một địa chỉ web, macro, lệnh trong dòng lệnh, đường dẫn registry, v.v... Quy định đối tượng theo khuôn mẫu sau:
object://<object>,ở đó<object>là tên của đối tượng, ví dụ,object://web.site.example.com,object://VBA, object://ipconfig,object://HKEY_USERS. Bạn cũng có thể sử dụng các ký tự đại diện, ví dụ nhưobject://*C:\Windows\temp\*. - Hash đối tượng nguồn. Mã băm tập tin.
Quy tắc Kiểm soát thích ứng sự cố không được áp dụng cho các hành động được đối tượng thực hiện, hoặc các tiến trình được đối tượng bắt đầu.
- Tiến trình nguồn. Đường dẫn hoặc đường dẫn đại diện đến tập tin hoặc thư mục chứa các tập tin (ví dụ,
- Quy định các thiết lập của đối tượng đích hoặc tiến trình đích được bắt đầu trên đối tượng này.
- Tiến trình đích. Đường dẫn hoặc đường dẫn đại diện đến tập tin hoặc thư mục chứa các tập tin (ví dụ,
С:\Dir\File.exehoặcDir\*.exe). - Hash tiến trình đích. Mã băm tập tin.
- Đối tượng đích. Lệnh để khởi chạy tiến trình đích. Quy định lệnh theo dạng sau
object://<lệnh>, ví dụ,object://cmdline:powershell -Command "$result = 'C:\windows\temp\result_local_users_pwdage txt'". Bạn cũng có thể sử dụng các ký tự đại diện, ví dụ nhưobject://*C:\windows\temp\*. - Hash đối tượng đích. Mã băm tập tin.
Quy tắc Kiểm soát thích ứng sự cố không được áp dụng cho các hành động được thực hiện trên đối tượng này, hoặc các tiến trình được bắt đầu trên đối tượng.
- Tiến trình đích. Đường dẫn hoặc đường dẫn đại diện đến tập tin hoặc thư mục chứa các tập tin (ví dụ,
- Lưu các thay đổi của bạn.
Kiểm soát thích ứng sự cố không hỗ trợ phần mở rộng dành cho nhóm người dùng. Nếu bạn chọn một nhóm người dùng thì Kaspersky Endpoint Security sẽ không áp dụng loại trừ.