如何啟用被封鎖的應用程式模式
在已封鎖的應用程式模式下,“應用程式控制”允許使用者啟動除了應用程式控制規則中禁止的應用程式以外的所有應用程式。也就是說,如果不存在拒絕規則,應用程式控制將允許啟動該應用程式。預設情況下,會啟用“應用程式控制”此一模式。
在啟用 已封鎖的應用程式 模式之前,我們建議測試您的應用程式控制規則。為此,您可以 啟用測試模式。
如何在管理主控台 (MMC) 中選擇被封鎖的應用程式模式
- 開啟卡巴斯基安全管理中心管理主控台。
- 在主控台樹狀目錄中,選擇“政策”。
- 選擇必要的政策並點擊以開啟政策內容。
- 在政策視窗中,選擇“安全控制 → 應用程式控制”。
- 選擇“應用程式控制”核取方塊。
- 在“應用程式控制設定“塊中,使用“控制模式”下拉清單選擇拒絕清單。
- 在“動作”下拉清單中,選取應用程式的操作:
- 測試規則應用程式控制不會封鎖被規則阻止執行的應用程式,但會產生有關原本會被阻止的應用程式執行的事件。
- 套用規則應用程式控制可封鎖被封鎖的應用程式並產生相應的事件。
- 選擇應用程式控制規則的狀態:
- 啟用此狀態表示在“應用程式控制”元件執行時使用該規則。
- 關閉此狀態表示在“應用程式控制”元件執行時略過該規則。
- 測試此狀態表示 Kaspersky Endpoint Security 總是允許啟動套用了規則的應用程式,但會在報告中記錄與啟動此類別應用程式有關的資訊。
如有需要,新增應用程式控制規則。
- 配置應用程式控制的進階設定:
- 監控 DLL 模組的載入(顯著增加系統負載)如果選定此核取方塊,Kaspersky Endpoint Security 將在使用者啟動應用程式時控制 DLL 模組的載入。有關 DLL 模組和載入此 DLL 模組的應用程式的資訊將記錄在此報告中。
當啟用對載入 DLL 模組和驅動程式的控制時,請確保在“應用程式控制”設定中已啟用以下規則之一:預設黃金映像規則或其他包含"黃金映像\受信任憑證" KL 類別的規則,並確保在啟動 Kaspersky Endpoint Security 之前載入受信任的 DLL 模組和驅動程式。如果在停用“黃金映像”規則時啟用對載入 DLL 模組和驅動程式的控制,可能導致作業系統不穩定。
Kaspersky Endpoint Security 僅監控自選中核取方塊後載入的 DLL 模組和驅動程式。選中核取方塊後,建議重新啟動電腦以確保應用程式監控所有 DLL 模組和驅動,包括在啟動 Kaspersky Endpoint Security 之前加載的模組和驅動。
- 使用嚴格的數位簽章驗證您可以選擇憑證作為應用程式控制規則的觸發條件。如果選取此核取方塊,Kaspersky Endpoint Security 會將規則套用於僅使用來自受信任的系統憑證存儲的憑證簽署的應用程式。使用此類憑證簽署的應用程式也被視為受防護元件信任,例如 惡意軟體掃描 工作。但是,如果您在應用程式控制規則中指定來自不同儲存空間的憑證,Kaspersky Endpoint Security 不會套用此類規則。
如果清除該核取方塊,Kaspersky Endpoint Security 會將規則套用於由 Windows Trusted Root Certificate Store 中的憑證簽署的應用程式。此類應用程式不屬於受信任區域。防護元件監視此類應用程式的活動。
- 有關封鎖的訊息當觸發了某個封鎖應用程式啟動的應用程式控制規則時所顯示的訊息範本。
- 傳送郵件給管理員當使用者相信某個應用程式被錯誤地封鎖時,可以傳送給公司區域網路管理員的訊息模組。
- 儲存變更。若要在電腦上套用該政策,請關閉掛鎖
。
如何在網頁主控台和雲端主控台中配置被封鎖的應用程式模式
- 在網頁主控台的主視窗中,選擇資產(裝置) → 政策和設定檔頁簽。
- 點擊 Kaspersky Endpoint Security 政策的名稱。
政策內容視窗將開啟。
- 選擇“應用程式設定”標籤。
- 轉到”安全控制”→”應用程式控制”。
- 開啟“應用程式控制“開關。
- 在“應用程式控制模式”塊中,選取“拒絕清單”。
- 在 啟動被規則封鎖的應用程式時的動作 塊中,選擇應用程式控制的操作:
- 告知(測試模式)應用程式控制不會封鎖被規則阻止執行的應用程式,但會產生有關原本會被阻止的應用程式執行的事件。
- 封鎖應用程式控制可封鎖被封鎖的應用程式並產生相應的事件。
- 選擇應用程式控制規則的狀態:
- 已啟用此狀態表示在“應用程式控制”元件執行時使用該規則。
- 已停用此狀態表示在“應用程式控制”元件執行時略過該規則。
- 測試模式此狀態表示 Kaspersky Endpoint Security 總是允許啟動套用了規則的應用程式,但會在報告中記錄與啟動此類別應用程式有關的資訊。
如有需要,新增應用程式控制規則。
- 配置應用程式控制的進階設定:
- 監控 DLL 模組的載入 (顯著增加系統負載)如果選定此核取方塊,Kaspersky Endpoint Security 將在使用者啟動應用程式時控制 DLL 模組的載入。有關 DLL 模組和載入此 DLL 模組的應用程式的資訊將記錄在此報告中。
當啟用對載入 DLL 模組和驅動程式的控制時,請確保在“應用程式控制”設定中已啟用以下規則之一:預設黃金映像規則或其他包含"黃金映像\受信任憑證" KL 類別的規則,並確保在啟動 Kaspersky Endpoint Security 之前載入受信任的 DLL 模組和驅動程式。如果在停用“黃金映像”規則時啟用對載入 DLL 模組和驅動程式的控制,可能導致作業系統不穩定。
Kaspersky Endpoint Security 僅監控自選中核取方塊後載入的 DLL 模組和驅動程式。選中核取方塊後,建議重新啟動電腦以確保應用程式監控所有 DLL 模組和驅動,包括在啟動 Kaspersky Endpoint Security 之前加載的模組和驅動。
- 使用嚴格的數位簽章驗證您可以選擇憑證作為應用程式控制規則的觸發條件。如果選取此核取方塊,Kaspersky Endpoint Security 會將規則套用於僅使用來自受信任的系統憑證存儲的憑證簽署的應用程式。使用此類憑證簽署的應用程式也被視為受防護元件信任,例如 惡意軟體掃描 工作。但是,如果您在應用程式控制規則中指定來自不同儲存空間的憑證,Kaspersky Endpoint Security 不會套用此類規則。
如果清除該核取方塊,Kaspersky Endpoint Security 會將規則套用於由 Windows Trusted Root Certificate Store 中的憑證簽署的應用程式。此類應用程式不屬於受信任區域。防護元件監視此類應用程式的活動。
- 有關封鎖的訊息當觸發了某個封鎖應用程式啟動的應用程式控制規則時所顯示的訊息範本。
- 傳送郵件給管理員當使用者相信某個應用程式被錯誤地封鎖時,可以傳送給公司區域網路管理員的訊息模組。
- 儲存變更。若要在電腦上套用該政策,請關閉掛鎖
。
如何在應用程式介面中選擇被封鎖的應用程式模式
- 在“應用程式主視窗”中,點擊
按鈕。 - 在應用程式設定視窗中,選取”安全控制“→“應用程式控制”。
- 開啟“應用程式控制“開關。
- 在“應用程式啟動控制模式”塊中,選取“拒絕清單。允許除了規則清單中的應用程式以外的所有應用程式”。
- 在 啟動被規則封鎖的應用程式時的動作 塊中,選擇應用程式控制的操作:
- 告知(測試模式)並將事件記錄在 報告。應用程式控制不會封鎖被規則阻止執行的應用程式,但會產生有關原本會被阻止的應用程式執行的事件。
- 封鎖應用程式控制可封鎖被封鎖的應用程式並產生相應的事件。
- 選擇應用程式控制規則的狀態:
- 已啟用此狀態表示在“應用程式控制”元件執行時使用該規則。
- 已停用此狀態表示在“應用程式控制”元件執行時略過該規則。
- 測試模式此狀態表示 Kaspersky Endpoint Security 總是允許啟動套用了規則的應用程式,但會在報告中記錄與啟動此類別應用程式有關的資訊。
如有需要,新增應用程式控制規則。
- 配置應用程式控制的進階設定:
- 監控 DLL 模組載入如果選定此核取方塊,Kaspersky Endpoint Security 將在使用者啟動應用程式時控制 DLL 模組的載入。有關 DLL 模組和載入此 DLL 模組的應用程式的資訊將記錄在此報告中。
當啟用對載入 DLL 模組和驅動程式的控制時,請確保在“應用程式控制”設定中已啟用以下規則之一:預設黃金映像規則或其他包含"黃金映像\受信任憑證" KL 類別的規則,並確保在啟動 Kaspersky Endpoint Security 之前載入受信任的 DLL 模組和驅動程式。如果在停用“黃金映像”規則時啟用對載入 DLL 模組和驅動程式的控制,可能導致作業系統不穩定。
Kaspersky Endpoint Security 僅監控自選中核取方塊後載入的 DLL 模組和驅動程式。選中核取方塊後,建議重新啟動電腦以確保應用程式監控所有 DLL 模組和驅動,包括在啟動 Kaspersky Endpoint Security 之前加載的模組和驅動。
- 使用嚴格的數位簽章驗證您可以選擇憑證作為應用程式控制規則的觸發條件。如果選取此核取方塊,Kaspersky Endpoint Security 會將規則套用於僅使用來自受信任的系統憑證存儲的憑證簽署的應用程式。使用此類憑證簽署的應用程式也被視為受防護元件信任,例如 惡意軟體掃描 工作。但是,如果您在應用程式控制規則中指定來自不同儲存空間的憑證,Kaspersky Endpoint Security 不會套用此類規則。
如果清除該核取方塊,Kaspersky Endpoint Security 會將規則套用於由 Windows Trusted Root Certificate Store 中的憑證簽署的應用程式。此類應用程式不屬於受信任區域。防護元件監視此類應用程式的活動。
- 有關應用程式封鎖的訊息範本當觸發了某個封鎖應用程式啟動的應用程式控制規則時所顯示的訊息範本。
- 當應用程式被封鎖啟動時顯示的通知範本。當使用者相信某個應用程式被錯誤地封鎖時,可以傳送給公司區域網路管理員的訊息模組。
- 儲存變更。
結果,應用程式控制會封鎖被封鎖的應用程式。Kaspersky Endpoint Security 會產生 已禁止應用程式啟動 事件。您可以使用這些事件在卡巴斯基安全管理中心主控台中產生 禁止的應用程式報告 報告。在報告摘要中,您可以檢視觸發應用程式控制規則的應用程式和電腦的清單。
頁面頂部