Quando ogni applicazione viene avviata per la prima volta, il componente Prevenzione Intrusioni Host controlla la sicurezza dell'applicazione e la inserisce in uno dei gruppi di attendibilità.
Durante la prima fase della scansione delle applicazioni, Kaspersky Endpoint Security esegue una ricerca nel database interno delle applicazioni note per determinare se è presente una voce corrispondente e contemporaneamente invia una richiesta al database di Kaspersky Security Network (se è disponibile una connessione Internet). In base ai risultati di ricerca nel database interno e nel database di Kaspersky Security Network, l'applicazione viene inserita in un gruppo di attendibilità. Ogni volta che l'applicazione viene successivamente avviata, Kaspersky Endpoint Security invia una nuova query al database KSN e inserisce l'applicazione in un gruppo di attendibilità diverso se la reputazione dell'applicazione nel database KSN è cambiata.
È possibile selezionare un gruppo di attendibilità a cui Kaspersky Endpoint Security deve assegnare automaticamente tutte le applicazioni sconosciute. Le applicazioni che sono state avviate prima di Kaspersky Endpoint Security vengono spostate automaticamente nel gruppo di attendibilità specificato nelle impostazioni del componente Prevenzione Intrusioni Host.
Per le applicazioni avviate prima di Kaspersky Endpoint Security, verrà controllata solo l'attività di rete. Il controllo viene eseguito in base alle regole di rete definite nelle impostazioni di Firewall.