Cách bật chế độ Ứng dụng bị chặn
Chế độ này sẽ là Ứng dụng bị chặn khi Kiểm soát ứng dụng cho phép người dùng khởi chạy tất cả các ứng dụng ngoại trừ các ứng dụng bị cấm trong Quy tắc kiểm soát ứng dụng. Tức là, nếu không có quy tắc từ chối nào tồn tại, Kiểm soát ứng dụng sẽ cho phép khởi chạy ứng dụng. Chế độ này của thành phần Kiểm soát ứng dụng được bật theo mặc định.
Trước khi kích hoạt chế độ Ứng dụng bị chặn, bạn nên thử nghiệm các quy tắc Kiểm soát ứng dụng của mình. Vì mục đích này, bạn có thể bật chế độ thử nghiệm.
Cách bật chế độ Ứ́ng dụng bị chặn trong Bảng điều khiển quản trị (MMC)
- Mở Bảng điều khiển quản trị Kaspersky Security Center.
- Trong cây bảng điều khiển, hãy chọn Policies.
- Chọn chính sách cần thiết và nhấn đúp để mở các thuộc tính chính sách.
- Trong cửa sổ chính sách, hãy chọn Kiểm soát bảo mật → Kiểm soát ứng dụng.
- Chọn hộp kiểm Kiểm soát ứng dụng.
- Trong mục Thiết lập Kiểm soát ứng dụng, hãy sử dụng danh sách thả xuống Chế độ kiểm soát để chọn Danh sách không được phép.
- Trong danh sách thả xuống Hành động, hãy chọn hành động cho Kiểm soát ứng dụng:
- Kiểm tra quy tắc. Kiểm soát ứng dụng không chặn các ứng dụng bị ngăn chạy theo quy tắc, mà tạo ra các sự kiện về hoạt động chạy các ứng dụng vốn sẽ bị chặn.
- Áp dụng quy tắc. Kiểm soát ứng dụng chặn các ứng dụng bị chặn và tạo ra các sự kiện tương ứng.
- Chọn trạng thái cho quy tắc Kiểm soát ứng dụng:
- Bật. Trạng thái này có nghĩa rằng quy tắc được sử dụng khi thành phần Kiểm soát ứng dụng đang chạy.
- Tắt. Trạng thái này có nghĩa rằng quy tắc bị bỏ qua khi thành phần Kiểm soát ứng dụng đang chạy.
- Kiểm tra. Trạng thái này có nghĩa Kaspersky Endpoint Security luôn cho phép việc khởi động ứng dụng được quản lý bởi quy tắc này, nhưng sẽ ghi lại thông tin về việc khởi động các ứng dụng đó trong báo cáo.
Nếu cần, hãy thêm quy tắc Kiểm soát ứng dụng mới.
- Cấu hình các thiết lập nâng cao của Kiểm soát ứng dụng:
- Giám sát việc tải các mô-đun DLL (tăng mức tải đáng kể lên hệ thống). Khi hộp kiểm này được lựa chọn, Kaspersky Endpoint Security sẽ kiểm soát việc tải các mô-đun DLL khi người dùng cố gắng khởi động ứng dụng. Thông tin về mô-đun DLL và ứng dụng đã tải mô-đun DLL sẽ được ghi lại trong báo cáo.
Khi bật chức năng kiểm soát quá trình nạp các mô-đun DLL và trình điều khiển, hãy đảm bảo rằng một trong các quy tắc sau đây được bật trong thiết lập Kiểm soát ứng dụng: quy tắc Tập tin ảnh hoàn hảo mặc định hoặc một quy tắc khác chứa danh mục KL "Tập tin ảnh hoàn hảo\Chứng chỉ được tin tưởng" và đảm bảo rằng các mô-đun DLL và trình điều khiển được tin tưởng đã được nạp trước khi khởi chạy Kaspersky Endpoint Security. Việc bật tính năng kiểm soát nạp mô-đun DLL và trình điều khiển khi quy tắc Tập tin ảnh hoàn hảo bị tắt có thể gây bất ổn cho hệ điều hành.
Kaspersky Endpoint Security chỉ giám sát các mô-đun DLL và trình điều khiển được nạp kể từ khi hộp kiểm được chọn. Sau khi chọn hộp kiểm, bạn nên khởi động lại máy tính để đảm bảo rằng ứng dụng giám sát tất cả các mô-đun DLL và trình điều khiển, bao gồm những mô-đun và trình điều khiển được nạp trước khi Kaspersky Endpoint Security khởi động.
- Sử dụng xác minh chữ ký số nghiêm ngặt. Bạn có thể chọn chứng chỉ làm điều kiện kích hoạt cho một quy tắc Kiểm soát ứng dụng. Nếu chọn hộp kiểm này, Kaspersky Endpoint Security sẽ chỉ áp dụng các quy tắc cho các ứng dụng được ký bằng chứng chỉ từ kho chứng chỉ hệ thống được tin tưởng. Các ứng dụng được ký bằng chứng chỉ như vậy cũng được coi là được tin tưởng bởi các thành phần bảo vệ, ví dụ như tác vụ Quét phần mềm độc hại. Tuy nhiên, nếu bạn chỉ định chứng chỉ từ một kho khác trong quy tắc Kiểm soát ứng dụng thì Kaspersky Endpoint Security sẽ không áp dụng quy tắc đó.
Nếu bỏ chọn hộp kiểm này, Kaspersky Endpoint Security sẽ áp dụng các quy tắc cho các ứng dụng được ký bằng chứng chỉ từ Windows Trusted Root Certificate Store (Kho chứng chỉ gốc được tin tưởng của Windows). Những ứng dụng như vậy không thuộc vùng tin tưởng. Các thành phần bảo vệ sẽ giám sát hoạt động của các ứng dụng đó.
- Tin nhắn về hoạt động chặn. Mẫu thông báo được hiển thị khi kích hoạt một quy tắc Kiểm soát ứng dụng chặn ứng dụng khởi chạy.
- Thông điệp đến quản trị viên. Mẫu tin nhắn mà người dùng có thể gửi cho quản trị viên mạng LAN doanh nghiệp nếu người dùng tin rằng một ứng dụng bị chặn do nhầm lẫn.
- Giám sát việc tải các mô-đun DLL (tăng mức tải đáng kể lên hệ thống). Khi hộp kiểm này được lựa chọn, Kaspersky Endpoint Security sẽ kiểm soát việc tải các mô-đun DLL khi người dùng cố gắng khởi động ứng dụng. Thông tin về mô-đun DLL và ứng dụng đã tải mô-đun DLL sẽ được ghi lại trong báo cáo.
- Lưu các thay đổi của bạn. Để áp dụng chính sách trên máy tính, hãy đóng ổ khóa
.
- Trong cửa sổ chính của Bảng điều khiển web, hãy chọn thẻ Assets (Devices) → Policies & profiles.
- Nhấn vào tên của chính sách Kaspersky Endpoint Security.
Cửa sổ thuộc tính chính sách sẽ được mở ra.
- Chọn thẻ Application settings.
- Vào Security Controls → Application Control.
- Bật nút bật/tắt Application Control.
- Trong mục Application Control mode, hãy chọn Denylist.
- Trong mục Action on starting applications blocked by rules, hãy chọn hành động cho Kiểm soát ứng dụng:
- Inform (Test mode). Kiểm soát ứng dụng không chặn các ứng dụng bị ngăn chạy theo quy tắc, mà tạo ra các sự kiện về hoạt động chạy các ứng dụng vốn sẽ bị chặn.
- Block. Kiểm soát ứng dụng chặn các ứng dụng bị chặn và tạo ra các sự kiện tương ứng.
- Chọn trạng thái cho quy tắc Kiểm soát ứng dụng:
- Enabled. Trạng thái này có nghĩa rằng quy tắc được sử dụng khi thành phần Kiểm soát ứng dụng đang chạy.
- Disabled. Trạng thái này có nghĩa rằng quy tắc bị bỏ qua khi thành phần Kiểm soát ứng dụng đang chạy.
- Test mode. Trạng thái này có nghĩa Kaspersky Endpoint Security luôn cho phép việc khởi động ứng dụng được quản lý bởi quy tắc này, nhưng sẽ ghi lại thông tin về việc khởi động các ứng dụng đó trong báo cáo.
Nếu cần, hãy thêm quy tắc Kiểm soát ứng dụng mới.
- Cấu hình các thiết lập nâng cao của Kiểm soát ứng dụng:
- Monitor loading of DLL modules (significantly increases the load on the system). Khi hộp kiểm này được lựa chọn, Kaspersky Endpoint Security sẽ kiểm soát việc tải các mô-đun DLL khi người dùng cố gắng khởi động ứng dụng. Thông tin về mô-đun DLL và ứng dụng đã tải mô-đun DLL sẽ được ghi lại trong báo cáo.
Khi bật chức năng kiểm soát quá trình nạp các mô-đun DLL và trình điều khiển, hãy đảm bảo rằng một trong các quy tắc sau đây được bật trong thiết lập Kiểm soát ứng dụng: quy tắc Tập tin ảnh hoàn hảo mặc định hoặc một quy tắc khác chứa danh mục KL "Tập tin ảnh hoàn hảo\Chứng chỉ được tin tưởng" và đảm bảo rằng các mô-đun DLL và trình điều khiển được tin tưởng đã được nạp trước khi khởi chạy Kaspersky Endpoint Security. Việc bật tính năng kiểm soát nạp mô-đun DLL và trình điều khiển khi quy tắc Tập tin ảnh hoàn hảo bị tắt có thể gây bất ổn cho hệ điều hành.
Kaspersky Endpoint Security chỉ giám sát các mô-đun DLL và trình điều khiển được nạp kể từ khi hộp kiểm được chọn. Sau khi chọn hộp kiểm, bạn nên khởi động lại máy tính để đảm bảo rằng ứng dụng giám sát tất cả các mô-đun DLL và trình điều khiển, bao gồm những mô-đun và trình điều khiển được nạp trước khi Kaspersky Endpoint Security khởi động.
- Use strict digital signature verification. Bạn có thể chọn chứng chỉ làm điều kiện kích hoạt cho một quy tắc Kiểm soát ứng dụng. Nếu chọn hộp kiểm này, Kaspersky Endpoint Security sẽ chỉ áp dụng các quy tắc cho các ứng dụng được ký bằng chứng chỉ từ kho chứng chỉ hệ thống được tin tưởng. Các ứng dụng được ký bằng chứng chỉ như vậy cũng được coi là được tin tưởng bởi các thành phần bảo vệ, ví dụ như tác vụ Quét phần mềm độc hại. Tuy nhiên, nếu bạn chỉ định chứng chỉ từ một kho khác trong quy tắc Kiểm soát ứng dụng thì Kaspersky Endpoint Security sẽ không áp dụng quy tắc đó.
Nếu bỏ chọn hộp kiểm này, Kaspersky Endpoint Security sẽ áp dụng các quy tắc cho các ứng dụng được ký bằng chứng chỉ từ Windows Trusted Root Certificate Store (Kho chứng chỉ gốc được tin tưởng của Windows). Những ứng dụng như vậy không thuộc vùng tin tưởng. Các thành phần bảo vệ sẽ giám sát hoạt động của các ứng dụng đó.
- Message about blocking. Mẫu thông báo được hiển thị khi kích hoạt một quy tắc Kiểm soát ứng dụng chặn ứng dụng khởi chạy.
- Message to administrator. Mẫu tin nhắn mà người dùng có thể gửi cho quản trị viên mạng LAN doanh nghiệp nếu người dùng tin rằng một ứng dụng bị chặn do nhầm lẫn.
- Monitor loading of DLL modules (significantly increases the load on the system). Khi hộp kiểm này được lựa chọn, Kaspersky Endpoint Security sẽ kiểm soát việc tải các mô-đun DLL khi người dùng cố gắng khởi động ứng dụng. Thông tin về mô-đun DLL và ứng dụng đã tải mô-đun DLL sẽ được ghi lại trong báo cáo.
- Lưu các thay đổi của bạn. Để áp dụng chính sách trên máy tính, hãy đóng ổ khóa
.
Cách bật chế độ Ứ́ng dụng bị chặn trong giao diện ứng dụng
- Trong cửa sổ chính của ứng dụng, hãy nhấn nút
. - Trong cửa sổ thiết lập ứng dụng, hãy chọn Kiểm soát bảo mật → Kiểm soát ứng dụng.
- Bật nút bật/tắt Kiểm soát ứng dụng.
- Trong mục Chế độ Kiểm soát khởi động ứng dụng, hãy chọn Danh sách không được phép. Tất cả các ứng dụng, trừ các ứng dụng trong danh sách quy tắc mới được cho phép.
- Trong mục Hành động khi khởi động các ứng dụng bị chặn theo quy tắc, hãy chọn hành động cho Kiểm soát ứng dụng:
- Thông báo (Chế độ thử nghiệm) và ghi lại sự kiện trong báo cáo. Kiểm soát ứng dụng không chặn các ứng dụng bị ngăn chạy theo quy tắc, mà tạo ra các sự kiện về việc chạy các ứng dụng vốn sẽ bị chặn.
- Chặn. Kiểm soát ứng dụng chặn các ứng dụng bị chặn và tạo ra các sự kiện tương ứng.
- Chọn trạng thái cho quy tắc Kiểm soát ứng dụng:
- Đã bật. Trạng thái này có nghĩa rằng quy tắc được sử dụng khi thành phần Kiểm soát ứng dụng đang chạy.
- Đã tắt. Trạng thái này có nghĩa rằng quy tắc bị bỏ qua khi thành phần Kiểm soát ứng dụng đang chạy.
- Chế độ thử nghiệm. Trạng thái này có nghĩa Kaspersky Endpoint Security luôn cho phép việc khởi động ứng dụng được quản lý bởi quy tắc này, nhưng sẽ ghi lại thông tin về việc khởi động các ứng dụng đó trong báo cáo.
Nếu cần, hãy thêm quy tắc Kiểm soát ứng dụng mới.
- Cấu hình các thiết lập nâng cao của Kiểm soát ứng dụng:
- Giám sát việc tải các mô-đun DLL. Khi hộp kiểm này được lựa chọn, Kaspersky Endpoint Security sẽ kiểm soát việc tải các mô-đun DLL khi người dùng cố gắng khởi động ứng dụng. Thông tin về mô-đun DLL và ứng dụng đã tải mô-đun DLL sẽ được ghi lại trong báo cáo.
Khi bật chức năng kiểm soát quá trình nạp các mô-đun DLL và trình điều khiển, hãy đảm bảo rằng một trong các quy tắc sau đây được bật trong thiết lập Kiểm soát ứng dụng: quy tắc Tập tin ảnh hoàn hảo mặc định hoặc một quy tắc khác chứa danh mục KL "Tập tin ảnh hoàn hảo\Chứng chỉ được tin tưởng" và đảm bảo rằng các mô-đun DLL và trình điều khiển được tin tưởng đã được nạp trước khi khởi chạy Kaspersky Endpoint Security. Việc bật tính năng kiểm soát nạp mô-đun DLL và trình điều khiển khi quy tắc Tập tin ảnh hoàn hảo bị tắt có thể gây bất ổn cho hệ điều hành.
Kaspersky Endpoint Security chỉ giám sát các mô-đun DLL và trình điều khiển được nạp kể từ khi hộp kiểm được chọn. Sau khi chọn hộp kiểm, bạn nên khởi động lại máy tính để đảm bảo rằng ứng dụng giám sát tất cả các mô-đun DLL và trình điều khiển, bao gồm những mô-đun và trình điều khiển được nạp trước khi Kaspersky Endpoint Security khởi động.
- Sử dụng xác minh chữ ký số nghiêm ngặt. Bạn có thể chọn chứng chỉ làm điều kiện kích hoạt cho một quy tắc Kiểm soát ứng dụng. Nếu chọn hộp kiểm này, Kaspersky Endpoint Security sẽ chỉ áp dụng các quy tắc cho các ứng dụng được ký bằng chứng chỉ từ kho chứng chỉ hệ thống được tin tưởng. Các ứng dụng được ký bằng chứng chỉ như vậy cũng được coi là được tin tưởng bởi các thành phần bảo vệ, ví dụ như tác vụ Quét phần mềm độc hại. Tuy nhiên, nếu bạn chỉ định chứng chỉ từ một kho khác trong quy tắc Kiểm soát ứng dụng thì Kaspersky Endpoint Security sẽ không áp dụng quy tắc đó.
Nếu bỏ chọn hộp kiểm này, Kaspersky Endpoint Security sẽ áp dụng các quy tắc cho các ứng dụng được ký bằng chứng chỉ từ Windows Trusted Root Certificate Store (Kho chứng chỉ gốc được tin tưởng của Windows). Những ứng dụng như vậy không thuộc vùng tin tưởng. Các thành phần bảo vệ sẽ giám sát hoạt động của các ứng dụng đó.
- Mẫu tin nhắn về việc chặn ứng dụng. Mẫu thông báo được hiển thị khi kích hoạt một quy tắc Kiểm soát ứng dụng chặn ứng dụng khởi chạy.
- Mẫu tin nhắn văn bản được hiển thị khi một ứng dụng bị chặn từ khi khởi động. Mẫu tin nhắn mà người dùng có thể gửi cho quản trị viên mạng LAN doanh nghiệp nếu người dùng tin rằng một ứng dụng bị chặn do nhầm lẫn.
- Giám sát việc tải các mô-đun DLL. Khi hộp kiểm này được lựa chọn, Kaspersky Endpoint Security sẽ kiểm soát việc tải các mô-đun DLL khi người dùng cố gắng khởi động ứng dụng. Thông tin về mô-đun DLL và ứng dụng đã tải mô-đun DLL sẽ được ghi lại trong báo cáo.
- Lưu các thay đổi của bạn.
Kết quả là, Kiểm soát ứng dụng sẽ chặn các ứng dụng bị chặn. Kaspersky Endpoint Security cũng tạo sự kiện Cấm khởi động ứng dụng. Bạn có thể sử dụng các sự kiện này để tạo báo cáo Report on prohibited applications trong bảng điều khiển Kaspersky Security Center. Trong phần tóm tắt của báo cáo, bạn có thể xem danh sách các ứng dụng và máy tính mà quy tắc Kiểm soát ứng dụng đã kích hoạt.
Về đầu trang