Nie możesz utworzyć więcej niż 1 000 wykluczeń dla reguł Adaptacyjnej kontroli anomalii. Nie jest zalecane tworzenie więcej niż 200 wykluczeń. Aby zmniejszyć liczbę używanych wykluczeń, zalecane jest używanie masek w ustawieniach wykluczeń.
Wykluczenie dla reguły Adaptacyjnej kontroli anomalii zawiera opis obiektów źródłowych i docelowych. Obiekt źródłowy to obiekt wykonujący działania. Obiekt docelowy to obiekt, na którym wykonywane są działania. Na przykład, otworzyłeś plik o nazwie file.xlsx
. W rezultacie plik biblioteki z rozszerzeniem DLL jest załadowywany do pamięci komputera. Ta biblioteka jest używana przez przeglądarkę (plik wykonywalny o nazwie browser.exe
). W tym przykładzie file.xlsx
to obiekt źródłowy, Excel to proces źródłowy, browser.exe
to obiekt docelowy, a Browser to proces docelowy.
W celu utworzenia wykluczenia dla reguły Adaptacyjnej kontroli anomalii:
Zostanie otwarta lista Reguła Adaptacyjnej kontroli anomalii.
Zostanie otwarte okno właściwości reguły Adaptacyjnej kontroli anomalii.
Zostanie otwarte okno właściwości wykluczenia.
Adaptacyjna kontrola anomalii nie obsługuje wykluczeń dla grup użytkowników. Jeśli wybierzesz grupę użytkowników, Kaspersky Endpoint Security nie stosuje wykluczenia.
С:\Dir\File.exe
lub Dir\*.exe
).С:\Dir\File.exe
lub Dir\*.exe
). Na przykład, ścieżka do pliku document.docm
, która wykorzystuje skrypt lub makro do uruchamiania procesów docelowych.Możesz także określić inne obiekty, które powinny zostać wykluczone, takie jak adres internetowy, makra, polecenie w wierszu polecenia, ścieżka do rejestru lub inne. Określ obiekt zgodnie z następującym szablonem: object://<obiekt>,
gdzie <obiekt>
odnosi się do nazwy obiektu, na przykład, object://web.site.example.com
, object://VBA, object://ipconfig
, object://HKEY_USERS
. Można też użyć masek, na przykład, object://*C:\Windows\temp\*
.
Reguła Adaptacyjnej kontroli anomalii nie jest stosowana do działań wykonywanych przez obiekt lub do procesów uruchomionych przez obiekt.
С:\Dir\File.exe
lub Dir\*.exe
).object://<polecenie>
, na przykład: object://cmdline:powershell -Command "$result = 'C:\Windows\temp\result_local_users_pwdage txt'"
. Można też użyć masek, na przykład, object://*C:\Windows\temp\*
.Reguła Adaptacyjnej kontroli anomalii nie jest stosowana do działań podejmowanych na obiekcie lub do procesów uruchomionych na obiekcie.