Pour les règles du Contrôle évolutif des anomalies, il est impossible de créer plus de 1 000 exclusions. Il est déconseillé de créer plus de 200 exclusions. Pour diminuer la quantité d'exclusions utilisées, il est conseillé d'utiliser des masques dans les paramètres des exclusions.
L'exclusion pour la règle du Contrôle évolutif des anomalies contient une description des objets source et cible. L'objet source est l'objet qui exécute l'action. L'objet cible est l'objet qui subit l'action. Par exemple, vous avez ouvert le fichier file.xlsx
. Par conséquent, un fichier de bibliothèque avec l'extension DLL est chargé dans la mémoire de l'ordinateur. Cette bibliothèque est utilisée par un navigateur (fichier exécutable intitulé browser.exe
). Dans l'exemple donné, file.xlsx
est l'objet source. Excel est le processus source, browser.exe
est l'objet cible et Browser, le processus cible.
Pour créer une exclusion pour une règle du Contrôle évolutif des anomalies, procédez comme suit :
La liste des règles du Contrôle évolutif des anomalies s'ouvre.
La fenêtre des propriétés des règles du Contrôle évolutif des anomalies s'ouvre.
La fenêtre de propriétés des exclusions s'ouvre.
Vous pouvez sélectionner des utilisateurs dans Active Directory, dans la liste des comptes dans Kaspersky Security Center ou en saisissant un nom d'utilisateur local manuellement. Kaspersky recommande l'utilisation de comptes utilisateurs locaux uniquement dans les cas particuliers où il n'est pas possible d'utiliser les comptes utilisateurs du domaine.
Le Contrôle évolutif des anomalies ne prend pas en charge les exclusions pour les groupes d'utilisateurs. Si vous sélectionnez un groupe d'utilisateurs, Kaspersky Endpoint Security n'applique pas l'exclusion.
C:\Dir\File.exe
ou Dir\*.exe
).C:\Dir\File.exe
ou Dir\*.exe
). Par exemple, le chemin d'accès au fichier document.docm
qui lance les processus cibles à l'aide d'un script ou d'une macro.Vous pouvez renseigner également d'autres objets pour l'exclusion, par exemple une adresse Internet, des macros, une commande de la ligne de commande, le chemin d'accès au registre, etc. Désignez l'objet selon le modèle suivant : object://<object>
, où <object>
désigne le nom de l'objet, par exemple, object://web.site.example.com
, object://VBA
, object://ipconfig
, object://HKEY_USERS
. Vous pouvez également utiliser des masques, par exemple, object://*C:\Windows\temp\*
.
La règle du Contrôle évolutif des anomalies ne s'applique pas aux actions exécutées par l'objet, ni aux processus lancés par l'objet.
C:\Dir\File.exe
ou Dir\*.exe
).object://<command>
, par exemple, object://cmdline:powershell -Command "$result = 'C:\Windows\temp\result_local_users_pwdage.txt'"
. Vous pouvez également utiliser des masques, par exemple, object://*C:\Windows\temp\*
.La règle du Contrôle évolutif des anomalies ne s'applique pas aux actions exécutées sur l'objet, ni sur processus exécutés sur l'objet.