Für die Regeln der Adaptiven Kontrolle von Anomalien können maximal 1.000 Ausnahmen erstellt werden. Es wird davon abgeraten, mehr als 200 Ausnahmen zu erstellen. Um die Anzahl der verwendeten Ausnahmen zu reduzieren, können in den Ausnahmeeinstellungen Masken angegeben werden.
Eine Ausnahme für eine Regel der „Adaptiven Kontrolle von Anomalien“ enthält eine Beschreibung der Quell- und Zielobjekte. Quellobjekt – Objekt, das Aktionen ausführt. Zielobjekt – Objekt, mit dem Aktionen ausgeführt werden. Beispiel: Sie haben die Datei file.xlsx
geöffnet. Als Ergebnis wird eine Bibliotheksdatei mit der DLL-Erweiterung in den Computerspeicher geladen. Diese Bibliothek wird von einem Browser verwendet (ausführbare Datei namens browser.exe
). In diesem Beispiel ist file.xlsx
das Quellobjekt, Excel der Quellprozess, browser.exe
das Zielobjekt, und der Browser der Zielprozess.
Um eine Ausnahme für eine Regel der „Adaptiven Kontrolle von Anomalien“ zu erstellen, gehen Sie wie folgt vor:
Die Regelliste für Adaptive Kontrolle von Anomalien wird geöffnet.
Das Eigenschaftenfenster der „Adaptive Kontrolle von Anomalien“-Regel wird geöffnet.
Das Eigenschaftenfenster der Ausnahme wird geöffnet.
Sie können Benutzer in Active Directory, in der Liste für Benutzerkonten in Kaspersky Security Center oder durch manuelle Eingabe eines lokalen Benutzernamens auswählen. Kaspersky empfiehlt, lokale Benutzerkonten nur in besonderen Fällen zu verwenden, in denen keine Domänenbenutzerkonten verwendet werden können.
Die „Adaptive Kontrolle von Anomalien“ unterstützt keine Ausnahmen für Benutzergruppen. Wenn Sie eine Benutzergruppe auswählen, wendet Kaspersky Endpoint Security die Ausnahme nicht an.
C:\Dir\File.exe
oder Dir\*.exe
).C:\Dir\File.exe
oder Dir\*.exe
). Beispiel: Pfad der Datei document.docm
, welche die Zielprozesse mithilfe eines Skripts oder Makros startet.Sie können auch andere Objekte für eine Ausnahme angeben, beispielsweise eine Webadresse, ein Makro, einen Befehl in der Befehlszeile, einen Registrierungspfad und andere. Geben Sie das Objekt gemäß der folgenden Vorlage an: object://<object>
wobei <object>
für den Namen des Objekts steht. Beispiele: object://web.site.example.com
, object://VBA
, object://ipconfig
, object://HKEY_USERS
. Sie können auch Masken verwenden, beispielsweise object://*C:\Windows\temp\*
.
Die Regel für die „Adaptive Kontrolle von Anomalien“ erstreckt sich nicht auf die Aktionen, die von dem Objekt ausgeführt werden, oder auf Prozesse, die von dem Objekt gestartet werden.
C:\Dir\File.exe
oder Dir\*.exe
).object://<command>
an. Beispiel: object://cmdline:powershell -Command "$result = 'C:\Windows\temp\result_local_users_pwdage.txt'"
. Sie können auch Masken verwenden, beispielsweise object://*C:\Windows\temp\*
.Die Regel für die „Adaptive Kontrolle von Anomalien“ erstreckt sich nicht auf die Aktionen mit dem Objekt oder auf die Prozesse, die mit dem Objekt ausgeführt werden.