Per impostazione predefinita, Kaspersky Endpoint Security raggruppa tutte le applicazioni installate nel computer in base al nome del produttore del software di cui vengono monitorati i file o le attività di rete. I gruppi di applicazioni vengono a propria volta suddivisi in gruppi di attendibilità. Tutte le applicazioni e i gruppi di applicazioni ereditano le proprietà dal relativo gruppo padre: regole di controllo dell'applicazione, regole di rete dell'applicazione e priorità di esecuzione.
Analogamente al componente Prevenzione Intrusioni Host, per impostazione predefinita il componente Firewall applica le regole di rete per un gruppo di applicazioni durante il filtro dell'attività di rete di tutte le applicazioni all'interno del gruppo. Le regole di rete dei gruppi di applicazioni definiscono i diritti delle applicazioni all'interno del gruppo per l'accesso a differenti connessioni di rete.
Per impostazione predefinita, Firewall crea un set di regole di rete per ogni gruppo di applicazioni rilevato da Kaspersky Endpoint Security nel computer. È possibile modificare l'azione di Firewall applicata alle regole di rete per i gruppi di applicazioni create per impostazione predefinita. Non è possibile modificare, rimuovere, disabilitare o cambiare la priorità delle regole di rete per i gruppi di applicazioni create per impostazione predefinita.
È inoltre possibile creare una regola di rete per una singola applicazione. Una regola di questo tipo avrà una priorità più alta della regola di rete del gruppo a cui appartiene l'applicazione.