基於基線電腦的應用程式控制

您可以使用基線電腦來建立包含一組所需應用程式的映像。然後，您可以使用該映像在其他電腦上部署作業系統和應用程式。保持映像始終處於最新狀態並不總是可行。應用程式控制可讓您根據基線電腦維護允許的應用程式清單。應用程式控制會自動確定基線電腦上安裝了哪些應用程式並更新類別。這樣，電腦就獲得了最新的允許應用程式清單。

配置基於基線電腦的應用程式控制涉及以下步驟：

1. 建立自動更新類別。建立新類別時，選擇 包括特定資料夾中的可執行檔的類別 類別並選擇您的基線電腦。

   如何在管理主控台 (MMC) 中建立自動更新類別

   1. 開啟卡巴斯基安全管理中心管理主控台。
   2. 在管理主控台樹狀目錄中，選擇進階 → 應用程式管理 → 應用程式類別。
   3. 在工作區中點擊新類別按鈕。

      這將啟動應用程式類別建立精靈。

   4. 請按照應用程式類別建立精靈的指示操作。

   步驟 1. 選擇類別類型

   選擇 包含選定裝置的可執行檔的類別 作為類別類型。

   步驟 2. 輸入使用者類別名稱

   在此步驟中，為應用程式類別指定一個名稱。

   步驟 3. 設定

   如果您選取“包含選定裝置的可執行檔的類別”類別類型，此步驟可用。

   在此步驟中，點擊“新增”按鈕，指定將由卡巴斯基安全管理中心新增到該應用程式類別的可執行檔所屬的電腦。“可執行檔”資料夾中指定電腦的所有可執行檔都將由卡巴斯基安全管理中心新增到此應用程式類別。

   在此步驟還可以配置以下設定：

   • 雜湊函數計算的演算法。要選擇演算法，您必須選中以下至少一個核取方塊：
     • 為該類別中的檔案計算 SHA256（在 Kaspersky Endpoint Security 10 Service Pack 2 for Windows 或更新版本中支援）
     • 為該類別中的檔案計算 MD5（在早於 Kaspersky Endpoint Security 10 Service Pack 2 for Windows 的版本中支援）
   • “與管理伺服器儲存區同步資料”核取方塊。如果您希望卡巴斯基安全管理中心定期清除應用程式類別並將“可執行檔”資料夾中指定電腦的所有可執行檔新增到該類別，請選取該核取方塊。

     如果清除“與管理伺服器儲存區同步資料”核取方塊，卡巴斯基安全管理中心在應用程式類別建立後不會對其進行任何修改。

   步驟 4. 篩選

   在此步驟中，配置檔案的篩選器。

   您可以指定要用於建立應用程式類別的檔案類型。

   • 所有檔案該類別將匹配所有檔案。預設情況下已勾選此選項。
   • 僅應用程式類別之外的檔案該類別將僅匹配應用程式類別之外的檔案。

   您可以指定選定電腦的資料夾，其中包含要用於建立應用程式類別的檔案。

   • 所有資料夾該類別將匹配所有資料夾。預設情況下已勾選此選項。
   • 指定資料夾此類別將僅與指定的資料夾相符。如果選擇此選項，則需要指定資料夾路徑。

   步驟 5. 建立自訂類別

   結束精靈。

   如何在網頁主控台和 Cloud Console 中建立自動新增內容的類別

   在網頁主控台的主視窗中，選擇操作 → 第三方應用程式 → 應用程式類別。

   這將開啟應用程式規則清單。

   1. 點擊“新增”。

      這將啟動應用程式類別建立精靈。

   2. 配置應用程式類別的一般設定：
      • 類別名稱。
      • 類別建立方法。選擇 包含選定裝置的可執行檔的類別 作為類別類型。

      前往下一步。

   3. 配置應用程式類別的進階設定：
      • 指定卡巴斯基安全管理中心將為其將執行檔新增至應用程式類別的電腦。“可執行檔”資料夾中指定電腦的所有可執行檔都將由卡巴斯基安全管理中心新增到此應用程式類別。
      • 雜湊函數計算的演算法。
      • 配置與管理伺服器儲存同步資料的間隔。
      • 配置檔案的篩選器。
   4. 結束精靈。

   建立自動更新的類別時，將檔案細分為多個類別可能會很方便。例如，作業系統檔案和來自 Program Files 資料夾的檔案。為此，您可以在類別設定中使用篩選器並選擇單個資料夾。

2. 選取應用程式控制模式。您需要阻止所有未明確允許的應用程式的執行。為此，請選擇 已封鎖的應用程式 模式。
3. 建立應用程式控制規則。在規則設定中，選擇基線電腦的可執行檔所屬的類別。

   如何在管理主控台 (MMC) 中配置基於基線電腦的應用程式控制

   1. 開啟卡巴斯基安全管理中心管理主控台。
   2. 在主控台樹狀目錄中，選擇“政策”。
   3. 選擇必要的政策並點擊以開啟政策內容。
   4. 在政策視窗中，選擇“安全控制 → 應用程式控制”。
   5. 選擇“應用程式控制”核取方塊。
   6. 在“應用程式控制設定“塊中，使用“控制模式”下拉清單選擇拒絕清單。
   7. 在“動作”下拉清單中，選取應用程式的操作：
      • 測試規則應用程式控制不會封鎖被規則阻止執行的應用程式，但會產生有關原本會被阻止的應用程式執行的事件。
      • 套用規則應用程式控制可封鎖被封鎖的應用程式並產生相應的事件。
   8. 在應用程式控制規則清單中，點擊“新增”按鈕。

      這將啟動應用程式規則新增精靈。

   9. 在 類別 下拉清單中，選擇基於基線電腦的自動更新類別。
   10. 選擇要對其套用應用程式控制規則的使用者或使用者群組。
   11. 配置應用程式控制規則的進階設定：
       • 拒絕其他使用者應用程式會阻止所有不在清單中的使用者啟動屬於所選類別的應用程式。
       • 信任的更新程式Kaspersky Endpoint Security 會將選定應用程式類別中包括的應用程式視為信任更新程式，允許它們建立將被允許隨後執行的其它可執行檔。
   12. 儲存變更。若要在電腦上套用該政策，請關閉掛鎖 。

   如何在網頁主控台和雲端主控台中配置基於基線電腦的應用程式控制

   1. 在網頁主控台的主視窗中，選擇資產（裝置） → 政策和設定檔頁簽。
   2. 點擊 Kaspersky Endpoint Security 政策的名稱。

      政策內容視窗將開啟。

   3. 選擇“應用程式設定”標籤。
   4. 轉到”安全控制”→”應用程式控制”。
   5. 開啟“應用程式控制“開關。
   6. 在“應用程式控制模式”塊中，選取“拒絕清單”。
   7. 在 啟動被規則封鎖的應用程式時的動作 塊中，選擇應用程式控制的操作：
      • 告知（測試模式）應用程式控制不會封鎖被規則阻止執行的應用程式，但會產生有關原本會被阻止的應用程式執行的事件。
      • 封鎖應用程式控制可封鎖被封鎖的應用程式並產生相應的事件。
   8. 在應用程式控制規則清單中，點擊“新增”按鈕。

      這將啟動應用程式規則新增精靈。

   9. 在 類別 下面，選擇基於基線電腦的自動更新類別。
   10. 選擇要對其套用應用程式控制規則的使用者或使用者群組。
   11. 配置應用程式控制規則的進階設定：
       • 拒絕其他使用者應用程式會阻止所有不在清單中的使用者啟動屬於所選類別的應用程式。
       • 信任的更新程式Kaspersky Endpoint Security 會將選定應用程式類別中包括的應用程式視為信任更新程式，允許它們建立將被允許隨後執行的其它可執行檔。
   12. 儲存變更。若要在電腦上套用該政策，請關閉掛鎖 。

   如何在應用程式介面中配置基於基線電腦的應用程式控制

   1. 在“應用程式主視窗”中，點擊 按鈕。
   2. 在應用程式設定視窗中，選取”安全控制“→“應用程式控制”。
   3. 開啟“應用程式控制“開關。
   4. 在“應用程式啟動控制模式”塊中，選取“拒絕清單。允許除了規則清單中的應用程式以外的所有應用程式”。
   5. 在 啟動被規則封鎖的應用程式時的動作 塊中，選擇應用程式控制的操作：
      • 告知（測試模式）並將事件記錄在 報告。應用程式控制不會封鎖被規則阻止執行的應用程式，但會產生有關原本會被阻止的應用程式執行的事件。
      • 封鎖應用程式控制可封鎖被封鎖的應用程式並產生相應的事件。
   6. 在應用程式控制規則清單中，點擊“新增”按鈕。

      這將啟動應用程式規則新增精靈。

   7. 在 類別 下面，選擇基於基線電腦的自動更新類別。
   8. 選擇要對其套用應用程式控制規則的使用者或使用者群組。
   9. 配置應用程式控制規則的進階設定：
      • 拒絕其他使用者應用程式會阻止所有不在清單中的使用者啟動屬於所選類別的應用程式。
      • 信任的更新程式Kaspersky Endpoint Security 會將選定應用程式類別中包括的應用程式視為信任更新程式，允許它們建立將被允許隨後執行的其它可執行檔。
   10. 儲存變更。