建立適應性異常控制規則的排除項目
您無法為適應性異常控制規則建立超過 1000 個排除項目。不建議建立超過 200 個排除項目。要減少使用的排除項目數量,建議在排除項目設定中使用遮罩。
適應性異常控制規則的排除項目包括來源物件和目的物件的說明。來源物件是執行操作的物件。目的物件是被執行操作的物件。例如,您開啟了一個名為 file.xlsx 的檔案。結果,一個帶 DLL 副檔名的庫檔案載入到電腦記憶體中。該庫被瀏覽器(名為 browser.exe 的可執行檔)使用。在此示例中,file.xlsx 是來源物件,Excel 是來源處理程序,browser.exe 是目的物件,Browser 是目的處理程序。
要為適應性異常控制規則建立排除項目:
- 在“應用程式主視窗”中,點擊
按鈕。 - 在應用程式設定視窗中,選取”安全控制“→“自適應異常控制”。
- 在”規則”塊中,點擊”編輯規則”按鈕。
“適應性異常控制規則”清單將開啟。
- 在表中選擇一個規則。
- 單擊“編輯”。
“適應性異常控制規則屬性”視窗將開啟。
- 在”排除項目”塊中,點擊”新增”按鈕。
排除項目屬性視窗將開啟。
- 選取要為其配置排除項目的使用者。
您可以在 Active Directory 中、在卡巴斯基安全管理中心的账户清單中或透過手動輸入本機使用者名稱來選擇使用者。卡巴斯基建議僅在無法使用網域使用者帳戶的特殊情況下使用本機使用者帳戶。
“自適應異常控制”不支援使用者群組的排除項目。如果選擇了使用者群組,Kaspersky Endpoint Security 不會套用排除項目。
- 在”描述”欄位中輸入排除項目的描述。
- 定義來源物件的設定或該物件啟動的來源處理程序的設定:
- 來源處理程序檔案或包含檔案的資料夾的路徑或遮罩(例如,
C:\Dir\File.exe或Dir\*.exe)。 - 來源處理程序雜湊檔案雜湊碼。
- 來源物件檔案或包含檔案的資料夾的路徑或遮罩(例如,
C:\Dir\File.exe或Dir\*.exe)。例如,檔案路徑document.docm,它使用指令碼或巨集來啟動目的處理程序。您還可以指定要排除的其他物件,如 Web 位址、巨集、命令列中的指令、登錄檔路徑等等。按照以下範本指定物件:
object://<object>,其中<object>指物件的名稱,例如object://web.site.example.com、object://VBA、object://ipconfig、object://HKEY_USERS。您也可以使用遮罩,例如,object://*C:\Windows\temp\*。 - 來源物件雜湊檔案雜湊碼。
適應性異常控制規則不適用於該物件執行的操作或該物件啟動的處理程序。
- 來源處理程序檔案或包含檔案的資料夾的路徑或遮罩(例如,
- 指定目的物件的設定或對該物件啟動的目的處理程序的設定。
- 目標處理程序檔案或包含檔案的資料夾的路徑或遮罩(例如,
C:\Dir\File.exe或Dir\*.exe)。 - 目標處理程序雜湊檔案雜湊碼。
- 目標物件用於啟動目的處理程序的指令。使用模式
object://<command>指定指令,例如,object://cmdline:powershell -Command "$result = 'C:\Windows\temp\result_local_users_pwdage.txt'"。您也可以使用遮罩,例如,object://*C:\Windows\temp\*。 - 目標物件雜湊檔案雜湊碼。
適應性異常控制規則不適用於對該物件執行的操作或對該物件啟動的處理程序。
- 目標處理程序檔案或包含檔案的資料夾的路徑或遮罩(例如,
- 儲存變更。