排除

信任区域是由系统管理员配置的、Kaspersky Endpoint Security 在活动期间不予监控的对象和应用程序的列表。

考虑到所处理对象的特点和安装在计算机上的应用程序,管理员可以自主创建受信任区域。当 Kaspersky Endpoint Security 阻止访问特定对象或应用程序时,如果您确定此对象或应用程序是无害的,则有必要将其包含在受信任区域中。管理员也可以允许用户为特定计算机创建他们自己的本地受信任域。这样,除了策略中的常规受信任域,用户可以创建他们自己的本地排除项和受信任应用程序列表。

从 Kaspersky Endpoint Security 12.5 for Windows 开始,您可以将 EDR 遥测添加到受信任区域。这允许优化应用程序发送到卡巴斯基反针对性攻击平台 (EDR) 解决方案的遥测服务器的数据。

扫描排除项

扫描排除项”是一组条件,必须满足这些条件,Kaspersky Endpoint Security 才不会扫描特定对象是否存在病毒和其他威胁。

扫描排除项可确保用户安全地使用入侵者用以损害计算机或用户数据的合法软件。尽管此类应用程序并不具备任何恶意功能,但它们可被入侵者利用。有关可被犯罪分子用来破坏计算机或用户个人数据的合法软件的详细信息,请访问 Kaspersky IT 百科全书网站

这类应用程序可以被 Kaspersky Endpoint Security 阻止。若要防止它们被阻止,您可以为正在使用的应用程序排除扫描排除项。为此,请将 Kaspersky IT 百科全书中列出的名称或名称掩码添加到受信任区域。例如,您经常使用 Radmin 应用程序来远程管理计算机。Kaspersky Endpoint Security 会将这些活动看做可疑活动并进行阻止。若要防止应用程序被阻止,请使用 Kaspersky IT 百科全书中列出的名称或名称掩码创建扫描排除项。

如果您计算机上安装的某个应用程序收集信息并将其发送以供处理,则 Kaspersky Endpoint Security 可能会将其归类为恶意软件。若要避免该信息,您可以按照文档所述通过配置 Kaspersky Endpoint Security 从扫描中排除该应用程序。

扫描排除项可用于下列特定应用程序组件和系统管理员配置的任务:

受信任应用程序列表

受信任应用程序列表是一个应用程序列表,其中所包含应用程序的文件和网络活动(包含恶意活动)以及对系统注册表的访问不受 Kaspersky Endpoint Security 的监控。默认情况下,Kaspersky Endpoint Security 将监控任何应用程序进程打开、执行或保存的对象,并控制所有应用程序的活动及其产生的网络流量。将应用程序添加到受信任应用程序列表后,Kaspersky Endpoint Security 将停止监控该应用程序的活动。

扫描排除项和受信任的应用程序之间的区别在于,对于排除项,Kaspersky Endpoint Security 不扫描文件,而对于受信任的应用程序,它不控制启动的进程。如果受信任的应用程序在未包含在扫描排除项中的文件夹中创建恶意文件,Kaspersky Endpoint Security 将检测该文件并消除威胁。如果该文件夹被添加到排除项,Kaspersky Endpoint Security 将跳过该文件。

例如,如果您认为被标准 Microsoft Windows 记事本使用的对象是安全的,也即您信任此应用程序,则可将 Microsoft Windows 记事本添加到受信任的应用程序列表中,从而不监控该应用程序所使用的对象。这将提高计算机性能,这在使用服务器应用程序时尤为重要。

此外,被 Kaspersky Endpoint Security 分类为可疑操作的某些操作,在很多应用程序的功能环境中可能是安全的。例如,拦截键盘键入的文本,是自动键盘布局切换器中的一种例行程序(例如 Punto Switcher)。考虑到此类程序的特点并将其行为从监控中排除,我们建议您可将此类程序添加到受信任应用程序列表中。

受信任的应用程序有助于避免 Kaspersky Endpoint Security 与其他应用程序之间的兼容性问题(例如,Kaspersky Endpoint Security 和另一个反病毒应用程序对第三方计算机的网络流量进行双重扫描的问题)。

同时,受信任应用程序的可执行文件和进程仍然会扫描病毒和其他恶意软件。您可以通过扫描排除项将应用程序从 Kaspersky Endpoint Security 扫描中完全排除。

排除项设置

参数

描述

检测到的对象类型

不管应用程序设置的配置如何,Kaspersky Endpoint Security 始终会检测并阻止病毒、蠕虫和木马。它们可能会给计算机带来巨大的损害。

  • 病毒和蠕虫
  • 木马(包含勒索软件)
  • 恶意工具
  • 广告软件
  • 自动拨号程序
  • 可能会被入侵者利用以破坏您的计算机或个人数据的合法软件
  • 可能被用来保护恶意代码的打包对象
  • 多层打包对象

排除项

此表包含扫描排除项的相关信息。

可以使用以下方法从扫描中排除对象:

  • 指定文件或文件夹的路径。
  • 输入对象哈希。
  • 使用掩码:
    • *(星号)字符代表任意一组字符,但 \/ 字符除外(这两个字符是文件和文件夹路径中的文件和文件夹名称的分隔符)。例如,掩码 C:\*\*.txt 将包括位于 C: 驱动器的文件夹(但不包括子文件夹)中所有具有 TXT 扩展名的文件的路径。
    • 两个连续 * 字符在文件或文件夹名称中代表任意一组字符(包括空集),包括 \/ 字符(这两个字符是文件和文件夹路径中的文件和文件夹名称的分隔符)。例如,掩码 C:\Folder\**\*.txt 将包括位于 Folder 嵌套子文件夹(除了 Folder 本身)中所有带 TXT 扩展名的文件的路径。掩码必须包含至少一个嵌套级别。掩码 C:\**\*.txt 不是有效掩码。
    • ?(问号)字符代表任意单个字符,但 \/ 字符除外(这两个字符是文件和文件夹路径中的文件和文件夹名称的分隔符)。例如,掩码 C:\Folder\???.txt 将包括位于 Folder 文件夹中所有带 TXT 扩展名且名称由三个字符构成的文件的路径。

      您可以在文件或文件夹路径中的任何位置使用掩码。例如,如果您希望扫描范围包括计算机上所有用户账户的下载文件夹,请输入 C:\Users\*\Downloads\ 掩码。

      Kaspersky Endpoint Security 支持环境变量

      使用 Kaspersky Security Center 控制台生成排除项列表时,Kaspersky Endpoint Security 不支持 %userprofile% 环境变量。要应用条目到所有用户账户,您可以使用 * 字符(例如,C:\Users\*\Documents\File.exe)。无论何时添加新的环境变量,都需要重新启动应用程序。

  • 根据 Kaspersky 百科全书输入对象类型名称(例如,Email-WormRootkitRemoteAdmin)。您可以使用带有 ? 字符(取代单个字符)和 * 字符(取代任意数量字符)的掩码。例如,如果 Client* 掩码被指定,应用程序从扫描中排除 Client-IRCClient-P2PClient-SMTP 对象。

如果管理员在控制台中阻止扫描排除项的配置(“关闭锁”符号)并且本地扫描排除项被禁止( 允许使用本地排除项 复选框被清除),则 Kaspersky Endpoint Security 会在应用程序的用户界面中隐藏扫描排除项的综合列表。

受信任应用程序

此表列出了受信任应用程序,其活动在操作过程中不受 Kaspersky Endpoint Security 监控。

当输入掩码时,Kaspersky Endpoint Security 支持环境变量和 * 以及 ? 字符。

在 Kaspersky Security Center 控制台上生成受信任应用程序列表时,Kaspersky Endpoint Security 不支持 %userprofile% 环境变量。要应用条目到所有用户账户,您可以使用 * 字符(例如,C:\Users\*\Documents\File.exe)。无论何时添加新的环境变量,都需要重新启动应用程序。

“应用程序控制”组件控制每个应用程序的启动,不管该应用程序是否包括在受信任应用程序表中。

如果管理员在控制台中阻止受信任应用程序的配置(“关闭锁”符号)并且本地受信任应用程序被禁止( 允许使用本地受信任应用程序 复选框被清除),则 Kaspersky Endpoint Security 会在应用程序的用户界面中隐藏受信任应用程序的综合列表。

继承时合并值

(仅在 Kaspersky Security Center 控制台可用)

这将合并 Kaspersky Security Center 父策略和子策略中的扫描排除项和受信任应用程序列表。要合并列表,子策略必须被配置为继承 Kaspersky Security Center 的父策略设置。

如果该复选框被选中,Kaspersky Security Center 父策略中的列表项目显示在子策略。这样,您可以为整个组织创建受信任应用程序的统一列表。

子策略中继承的列表项目无法被删除或编辑。在继承过程中合并的扫描排除项列表项目和受信任应用程序列表项目仅在父策略中可以被删除和编辑。您可以添加、编辑或删除较低级别策略中的列表项目。

如果子策略和父策略中的列表项目匹配,这些项目被显示为父策略中的相同项目。

如果未选中该复选框,则在继承 Kaspersky Security Center 策略设置时不会合并列表项。

允许使用本地排除项 / 允许使用本地受信任应用程序

(仅在 Kaspersky Security Center 控制台可用)

本地排除项和本地受信任应用程序(本地受信任域) – 用户为特定计算机在 Kaspersky Endpoint Security 中定义的对象和应用程序列表。Kaspersky Endpoint Security 不监控受信任域中的对象和应用程序。这样,除了策略中的常规受信任域,用户可以创建他们自己的本地排除项和受信任应用程序列表

如果该复选框被选中,用户可以创建扫描排除项本地列表和受信任应用程序本地列表。管理员可以使用 Kaspersky Security Center 在计算机属性中查看、添加、编辑或删除列表项目。

如果复选框被清空,用户仅可以访问策略中生成的扫描排除项和受信任应用程序常规列表。

EDR 遥测

(仅在 Kaspersky Security Center 控制台可用)

此表包含 EDR 遥测排除项的相关信息。

受信任的系统证书存储

如果受信任的系统证书存储之一被选择,Kaspersky Endpoint Security 从扫描排除使用受信任数字签名签署的应用程序。Kaspersky Endpoint Security 自动分配此类应用程序到“受信任”组。

如果不使用被选择,Kaspersky Endpoint Security 扫描应用程序而不考虑其是否具有数字签名。Kaspersky Endpoint Security 会将应用程序放置在某个信任组中,具体取决于该应用程序可能对计算机造成的危险级别。

另请参阅:通过本地界面管理应用程序

创建扫描排除项

在核心模式服务器上管理应用程序

编辑受信任应用程序列表

创建本地受信任区域

使用受信任的系统证书存储

页面顶部