Для правил Адаптивного контроля аномалий невозможно создать более 1000 исключений. Не рекомендуется создавать более 200 исключений. Чтобы уменьшить количество используемых исключений, рекомендуется использовать маски в параметрах исключений.
Исключение для правила Адаптивного контроля аномалий включает в себя описание исходных и целевых объектов. Исходный объект – объект, который выполняет действия. Целевой объект – объект, над которым выполняются действия. Например, вы открыли файл file.xlsx
. В результате в память компьютера была добавлена библиотека с расширением dll, которую использует браузер (исполняемый файл browser.exe
). В данном примере file.xlsx
– исходный объект, Excel – исходный процесс, browser.exe
– целевой объект, Browser – целевой процесс.
Чтобы создать исключение для правила Адаптивного контроля аномалий, выполните следующие действия:
Откроется список правил Адаптивного контроля аномалий.
Откроется окно свойств правила Адаптивного контроля аномалий.
Откроется окно свойств исключения.
Вы можете выбрать пользователей в Active Directory, из списка учетных записей в Kaspersky Security Center или ввести имя локального пользователя вручную. Специалисты "Лаборатории Касперского" рекомендуют использовать локальные учетные записи только в тех случаях, когда использовать доменные учетные записи невозможно.
Адаптивный контроль аномалий не поддерживает исключения для групп пользователей. Если вы выберите группу пользователей, Kaspersky Endpoint Security не применит исключение.
C:\Dir\File.exe
или Dir\*.exe
).C:\Dir\File.exe
или Dir\*.exe
). Например, путь к файлу document.docm
, который запускает целевые процессы с помощью скрипта или макроса.Вы также можете указать другие объекты для исключения, например, веб-адрес, макрос, команду в командной строке, путь реестра и другие. Укажите объект по следующему шаблону: object://<object>
, где <object>
– название объекта, например, object://web.site.example.com
, object://VBA
, object://ipconfig
, object://HKEY_USERS
. Вы также можете использовать маски, например, object://*C:\Windows\temp\*
.
Правило Адаптивного контроля аномалий не распространяется на действия, выполняемые объектом, или на процессы, запущенные объектом.
C:\Dir\File.exe
или Dir\*.exe
).object://<command>
, например, object://cmdline:powershell -Command "$result = 'C:\Windows\temp\result_local_users_pwdage.txt'"
. Также вы можете использовать маски, например, object://*C:\Windows\temp\*
.Правило Адаптивного контроля аномалий не распространяется на действия над объектом или на процессы, запущенные над объектом.