Nie możesz utworzyć więcej niż 1 000 wykluczeń dla reguł Adaptacyjnej kontroli anomalii. Nie jest zalecane tworzenie więcej niż 200 wykluczeń. Aby zmniejszyć liczbę używanych wykluczeń, zalecane jest używanie masek w ustawieniach wykluczeń.
Wykluczenie dla reguły Adaptacyjnej kontroli anomalii zawiera opis obiektów źródłowych i docelowych. Obiekt źródłowy to obiekt wykonujący działania. Obiekt docelowy to obiekt, na którym wykonywane są działania. Na przykład, otworzyłeś plik o nazwie file.xlsx
. W rezultacie plik biblioteki z rozszerzeniem DLL jest załadowywany do pamięci komputera. Ta biblioteka jest używana przez przeglądarkę (plik wykonywalny o nazwie browser.exe
). W tym przykładzie file.xlsx
to obiekt źródłowy, Excel to proces źródłowy, browser.exe
to obiekt docelowy, a Browser to proces docelowy.
W celu utworzenia wykluczenia dla reguły Adaptacyjnej kontroli anomalii:
Zostanie otwarta lista Reguła Adaptacyjnej kontroli anomalii.
Zostanie otwarte okno właściwości reguły Adaptacyjnej kontroli anomalii.
Zostanie otwarte okno właściwości wykluczenia.
Możesz wybrać użytkowników w Active Directory, na liście kont w Kaspersky Security Center lub ręcznie wprowadzając lokalną nazwę użytkownika. Kaspersky zaleca używanie lokalnych kont użytkowników tylko w szczególnych przypadkach, gdy nie jest możliwe korzystanie z kont użytkowników domeny.
Adaptacyjna kontrola anomalii nie obsługuje wykluczeń dla grup użytkowników. Jeśli wybierzesz grupę użytkowników, Kaspersky Endpoint Security nie stosuje wykluczenia.
C:\Dir\File.exe
lub Dir\*.exe
).C:\Dir\File.exe
lub Dir\*.exe
). Na przykład, ścieżka do pliku document.docm
, która wykorzystuje skrypt lub makro do uruchamiania procesów docelowych.Możesz także określić inne obiekty, które powinny zostać wykluczone, takie jak adres internetowy, makra, polecenie w wierszu polecenia, ścieżka do rejestru lub inne. Określ obiekt zgodnie z następującym szablonem: object://<obiekt>,
gdzie <obiekt>
odnosi się do nazwy obiektu, na przykład, object://web.site.example.com
, object://VBA
, object://ipconfig
, object://HKEY_USERS
. Można też użyć masek, na przykład, object://*C:\Windows\temp\*
.
Reguła Adaptacyjnej kontroli anomalii nie jest stosowana do działań wykonywanych przez obiekt lub do procesów uruchomionych przez obiekt.
C:\Dir\File.exe
lub Dir\*.exe
).object://<polecenie>
, na przykład: object://cmdline:powershell -Command "$result = 'C:\Windows\temp\result_local_users_pwdage.txt'"
. Można też użyć masek, na przykład, object://*C:\Windows\temp\*
.Reguła Adaptacyjnej kontroli anomalii nie jest stosowana do działań podejmowanych na obiekcie lub do procesów uruchomionych na obiekcie.