管理應用程式權限
預設情況下,應用程式活動是根據為 Kaspersky Endpoint Security 首次啟動時分配給該應用程式的特定信任群組定義的應用程式權限來控制的。如有必要,您可以為整個信任群組、單個應用程式或信任群組內的一組應用程式編輯應用程式權限。
手動定義的應用程式權限比為信任群組定義的應用程式權限具有更高的優先級。換句話說,如果手動定義的應用程式權限與為信任群組定義的應用程式權限不同,則主機入侵防禦元件將根據手動定義的應用程式權限來控制應用程式活動。
您為應用程式建立的規則被子應用程式繼承。例如,如果您拒絕cmd.exe的所有網路活動,則如果使用cmd.exe啟動notepad.exe,則所有網路活動也將被拒絕。當應用程式不是另一個應用程式的子應用程式時,規則不被繼承。
- 開啟卡巴斯基安全管理中心管理主控台。
- 在主控台樹狀目錄中,選擇“政策”。
- 選擇必要的政策並點擊以開啟政策內容。
- 在政策視窗中,選擇“進階威脅防護 → 主機入侵防禦”。
入侵防禦設定
- 在”應用程式權限和受防護資源”塊中,點擊”設定”按鈕。
這將開啟應用程式權限配置視窗和受防護資源的清單。
- 選擇“應用程式權限”標籤。
- 單擊“新增”。
- 在開啟的視窗中,輸入條件以搜尋要變更其應用程式權限的應用程式。
您可以輸入應用程式名稱或供應商名稱。Kaspersky Endpoint Security 輸入遮罩時支援環境變量以及
*和?字元。 - 單擊“重新整理”。
Kaspersky Endpoint Security 將在受管電腦上安裝的應用程式的合併清單中搜尋該應用程式。Kaspersky Endpoint Security 將顯示滿足您搜尋條件的應用程式清單。
- 選取需要的應用程式。
- 在“將選擇應用程式新增至信任群組”下拉清單中,選擇“預設群組”,然後點擊“確定”。
該應用程式將被新增到預設群組。
- 選擇相關的應用程式,然後從應用程式的內容功能表中選擇“應用程式權限”。
這將開啟應用程式屬性。
- 請執行以下操作之一:
- 如果要編輯用作業系統登錄檔、使用者檔案和應用程式設定來管理操作的的信任群組權限,請選取“檔案和系統登錄檔”標籤。
- 如果要編輯管理對作業系統處理程序和物件存取權限的信任群組權限,請選擇“權限“標籤。
應用程式的網路活動由防火牆使用網路規則控制。
- 對於相關資源,在相應操作的列中,右鍵點擊以開啟內容功能表,然後選擇必要的選項:繼承,允許(
)或封鎖(
)。 - 如果要監視電腦資源的使用,請選擇“記錄事件“ (
/
)。Kaspersky Endpoint Security 將記錄有關主機入侵防禦元件操作的資訊。報告包含有關應用程式執行的電腦資源操作的資訊(允許或禁止)。報告還包含有關利用每種資源的應用程式的資訊。
- 儲存變更。
- 在網頁主控台的主視窗中,選擇裝置 → 政策和設定檔。
- 點擊 Kaspersky Endpoint Security 政策的名稱。
政策內容視窗將開啟。
- 選擇“應用程式設定”標籤。
- 轉到”進階威脅防護”→”主機入侵防禦”。
入侵防禦設定
- 在”應用程式權限和受防護資源”塊中,點擊”應用程式權限和受防護資源”連接。
這將開啟應用程式權限配置視窗和受防護資源的清單。
- 選擇“應用程式權限”標籤。
您將在視窗左側看到信任群組清單,並在右側看到它們的屬性。
- 單擊“新增”。
這將啟動用於將應用程式新增到信任群組的精靈。
- 選擇相關應用程式信任群組。
- 選擇應用程式類型。前往下一步。
如果要變更多個應用程式的信任群組,請選擇群組類型並定義應用程式組的名稱。
- 在開啟的應用程式清單中,選擇要變更其應用程式權限的應用程式。
使用過濾器。您可以輸入應用程式名稱或供應商名稱。Kaspersky Endpoint Security 輸入遮罩時支援環境變量以及
*和?字元。 - 結束精靈。
該應用程式將被新增到信任群組。
- 在視窗左側,選取相關應用程式。
- 在視窗右側的下拉清單中,執行下列操作之一:
- 要編輯管理應用程式存取作業系統登錄檔、使用者檔案和應用程式設定的權限的信任群組權限,請選取“檔案和系統登錄檔”標籤。
- 如果要編輯用於管理對作業系統處理程序和物件存取權限的信任群組權限,請選擇“權限“。
應用程式的網路活動由防火牆使用網路規則控制。
- 對於相關資源,在相應操作的列中,選擇必要的選項:繼承,允許 (
),封鎖 (
)。 - 如果要監視電腦資源的使用,請選擇“記錄事件“ (
/
)。Kaspersky Endpoint Security 將記錄有關主機入侵防禦元件操作的資訊。報告包含有關應用程式執行的電腦資源操作的資訊(允許或禁止)。報告還包含有關利用每種資源的應用程式的資訊。
- 儲存變更。
- 在“應用程式主視窗”中,點擊
按鈕。 - 在應用程式設定視窗中,選取”進階威脅防護“→“主機入侵防禦”。
- 單擊“管理應用程式”。
這將開啟已安裝的應用程式的清單。
- 選取需要的應用程式。
- 在應用程式的內容功能表中,選取“細節和規則”。
這將開啟應用程式屬性。
- 請執行以下操作之一:
- 如果要編輯用作業系統登錄檔、使用者檔案和應用程式設定來管理操作的的信任群組權限,請選取“檔案和系統登錄檔”標籤。
- 如果要編輯管理對作業系統處理程序和物件存取權限的信任群組權限,請選擇“權限“標籤。
- 對於相關資源,在相應操作的列中,右鍵點擊以開啟內容功能表,然後選擇必要的選項:繼承,允許(
)或拒絕(
)。 - 如果要監視電腦資源的使用,請選擇“記錄事件“ (
)。Kaspersky Endpoint Security 將記錄有關主機入侵防禦元件操作的資訊。報告包含有關應用程式執行的電腦資源操作的資訊(允許或禁止)。報告還包含有關利用每種資源的應用程式的資訊。
- 選擇”排除項目”標籤並配置應用程式的高級設定(請參閱下表)。
- 儲存變更。
應用程式的高級設定
參數
描述
開啟前不掃描檔案
Kaspersky Endpoint Security 的掃描將排除應用程式開啟的所有檔案。例如,如果您正在使用應用程式備份檔案,則此功能有助於減少 Kaspersky Endpoint Security 的資源消耗。
不監控應用程式活動
Kaspersky Endpoint Security 將不會監控作業系統中應用程式的檔案和網路活動。您可以為 Kaspersky Endpoint Security 的不同元件設定應用程式活動監控:
- 不要為防護和控制元件監控應用程式活動由以下元件監控:行為偵測,弱點利用防禦,主機入侵防禦,修復引擎和防火牆。
- 不要為 Managed Detection and Response 和 Endpoint Detection and Response 監控應用程式活動由內建 MDR 代理 和 內建 EDR (KATA) 代理監控。
- 不要為 Endpoint Detection and Response 攔截主控台互動輸入Kaspersky Endpoint Security 不會傳送有關在主控台上管理應用程式的遙測資料。遙測資料由 Kaspersky Anti Targeted Attack Platform (EDR) 使用。
不繼承父處理程序(應用程式)的限制
Kaspersky Endpoint Security 不會將為父程序配置的限制套用於子程序。父程序由配置了應用程式權限 (主機入侵防禦)和應用程式網路規則(防火牆)的應用程式啟動。
不監控子應用程式活動
Kaspersky Endpoint Security 將不會監控該應用程式啟動的應用程式的檔案活動或網路活動。您可以遞歸套用排除項目。這樣應用程式就不會監視整個子應用程式鏈的活動。
允許與 Kaspersky Endpoint Security 的應用程式介面進行互動
Kaspersky Endpoint Security 自我防護可封鎖從遠端電腦管理應用程式服務的所有嘗試。如果選擇該核取方塊,則允許遠端存取應用程式透過 Kaspersky Endpoint Security 介面管理 Kaspersky Endpoint Security 設定。
不掃描加密流量/不掃描所有流量
Kaspersky Endpoint Security 將從掃描中排除由應用程式啟動的網路流量。您可以從掃描中排除所有流量或僅排除加密流量。您也可以從掃描中排除單個 IP 位址和連接埠號。