管理应用程序权限
默认情况下,应用程序的活动基于 Kaspersky Endpoint Security 在此应用程序第一次启动时将其分配到的特别信任组定义的应用程序权限来控制。如有必要,您可以为整个信任组、单个应用程序或信任组内的一组应用程序编辑应用程序权限。
手动定义的应用程序权限比信任组的应用程序权限具有更高的优先级。换言之,如果手动定义的应用程序权限与信任组定义的应用程序权限不同,主机入侵防御组件根据手动定义的应用程序权限控制应用程序活动。
您为应用程序创建的规则被子应用程序继承。例如,如果您拒绝所有 cmd.exe 的网络活动,使用 cmd.exe 启动的 notepad.exe 的所有网络活动也将被拒绝。如果应用程序不是该应用程序的子程序,则规则不被继承。
- 打开 Kaspersky Security Center Administration Console。
- 在控制台树中,选择“策略”。
- 选择必要的策略并双击以打开策略属性。
- 在策略窗口中,选择 高级威胁防护 → 主机入侵防御。
入侵防御设置
- 在“应用程序权限和受保护资源”块中单击“设置”按钮。
这将打开应用程序权限配置窗口和受保护资源列表。
- 选择应用程序权限选项卡。
- 单击“添加”。
- 在打开的窗口中,输入标准以搜索您要更改其应用程序权限的应用程序。
您可以输入应用程序名称或供应商名称。当输入掩码时,Kaspersky Endpoint Security 支持环境变量和
*以及?字符。 - 单击“刷新”。
Kaspersky Endpoint Security 将在安装于受管理计算机上的应用程序列表中搜索应用程序。Kaspersky Endpoint Security 将显示满足您的搜索标准的应用程序列表。
- 选择需要的应用程序。
- 在将选定应用程序添加至信任组下拉列表中,选择默认组并单击确定。
应用程序将被添加到默认组。
- 选择相关应用程序并从应用程序的上下文菜单中选择应用程序权限。
这将打开应用程序属性。
- 执行下列操作之一:
- 如果您要编辑控制对操作系统注册表、用户文件和应用程序设置的操作的信任组权限,请选择“文件和系统注册表”选项卡。
- 如果您要编辑控制对操作系统进程和对象的访问的信任组权限,请选择“权限”选项卡。
应用程序的网络活动由防火墙使用网络规则控制。
- 对于相关资源,在对应的操作列,右击打开上下文菜单并选择必要的选项:继承、允许 (
)或阻止(
)。 - 如果您要监控对计算机资源的使用,请选择记录事件 (
/ 
)。Kaspersky Endpoint Security 将记录主机入侵防御组件的操作信息。报告包含应用程序对对计算机资源的操作信息(允许或禁止)。报告也包含使用每个资源的应用程序信息。
- 保存更改。
如何在 Web Console 和云控制台中更改应用程序权限
- 在 Web Console 的主窗口中,选择“设备” → “策略和配置文件”。
- 单击 Kaspersky Endpoint Security 策略的名称。
策略属性窗口将打开。
- 选择应用程序设置选项卡。
- 选择 高级威胁防护 → 主机入侵防御。
入侵防御设置
- 在“应用程序权限和受保护资源”区域,单击“应用程序权限和受保护资源”链接。
这将打开应用程序权限配置窗口和受保护资源列表。
- 选择应用程序权限选项卡。
您将在窗口的左边看到信任组列表,窗口的右边显示它们的属性。
- 单击“添加”。
这将启动添加应用程序到信任组向导。
- 为应用程序选择相关的信任组。
- 选择“应用程序”类型。转到下一步。
如果您要为多个应用程序更改信任组,选择“组”类型并为应用程序组定义名称。
- 在打开的应用程序列表,选择您要更改其应用程序权限的应用程序。
使用过滤器。您可以输入应用程序名称或供应商名称。当输入掩码时,Kaspersky Endpoint Security 支持环境变量和
*以及?字符。 - 退出向导。
应用程序将被添加到信任组。
- 在窗口左侧,选择相关应用程序。
- 在窗口右侧,在下拉列表中,做以下之一:
- 如果您要编辑控制对操作系统注册表、用户文件和应用程序设置的操作的信任组权限,请选择“文件和系统注册表”。
- 如果您要编辑控制对操作系统进程和对象的访问的信任组权限,请选择“权限”选项卡。
应用程序的网络活动由防火墙使用网络规则控制。
- 对于相关资源,在对应的操作列,选择必要的选项:继承、允许 (
)、阻止 (
)。 - 如果您要监控对计算机资源的使用,请选择记录事件 (
/ 
)。Kaspersky Endpoint Security 将记录主机入侵防御组件的操作信息。报告包含应用程序对对计算机资源的操作信息(允许或禁止)。报告也包含使用每个资源的应用程序信息。
- 保存更改。
- 打开主应用程序窗口并单击
按钮。 - 在应用程序设置窗口中,选择“高级威胁防护” → “主机入侵防御”。
- 单击“管理应用程序”。
这将打开已安装的应用程序列表。
- 选择需要的应用程序。
- 在应用程序的上下文菜单中,选择“详情和规则”。
这将打开应用程序属性。
- 执行下列操作之一:
- 如果您要编辑控制对操作系统注册表、用户文件和应用程序设置的操作的信任组权限,请选择“文件和系统注册表”选项卡。
- 如果您要编辑控制对操作系统进程和对象的访问的信任组权限,请选择“权限”选项卡。
- 对于相关资源,在对应的操作列,右击打开上下文菜单并选择必要的选项:继承、允许 (
)或拒绝(
)。 - 如果您要监控对计算机资源的使用,请选择记录事件 (
)。Kaspersky Endpoint Security 将记录主机入侵防御组件的操作信息。报告包含应用程序对对计算机资源的操作信息(允许或禁止)。报告也包含使用每个资源的应用程序信息。
- 选择排除项选项卡并配置应用程序的高级设置(参加你下表)。
- 保存更改。
应用程序的高级设置
参数
描述
打开前不扫描文件
应用程序打开的所有文件被从 Kaspersky Endpoint Security 的扫描中排除。例如,如果您正使用应用程序备份文件,该功能帮助降低 Kaspersky Endpoint Security 的资源消耗。
不监控应用程序活动
Kaspersky Endpoint Security 将不监控应用程序文件和其在操作系统中的网络活动。您可以为 Kaspersky Endpoint Security 的不同组件配置应用程序活动监控:
- “不监控保护和控制组件”。应用程序活动被以下组件监控:行为检测、漏洞利用防御、主机入侵防御、修复引擎和防火墙。
- “不监控 Managed Detection and Response 和 Endpoint Detection and Response”。应用程序活动由内置 MDR 代理和内置 EDR (KATA) 代理监控。
- “不拦截 Endpoint Detection and Response 的控制台交互式输入”。Kaspersky Endpoint Security 不会发送有关在控制台上管理应用程序的遥测数据。遥测数据由 Kaspersky Anti Targeted Attack Platform (EDR)使用。
不继承父进程(应用程序)的限制
为父进程配置的限制将不被 Kaspersky Endpoint Security 应用到子进程。父进程由配置了应用程序权限(主机入侵防御)和应用程序网络规则(防火墙)的应用程序启动。
不监控子程序活动
Kaspersky Endpoint Security 将不监控被该应用程序启动的应用程序的文件活动或网络活动。您可以递归地应用排除。这样应用程序就不会监控整个子应用程序链的活动。
允许与 Kaspersky Endpoint Security 的界面进行交互
Kaspersky Endpoint Security 自我保护阻止所有从远程计算机管理应用程序服务的尝试。如果选择该复选框,则允许远程访问应用程序通过 Kaspersky Endpoint Security 界面管理 Kaspersky Endpoint Security 设置。
不扫描加密流量 / 不扫描所有流量
应用程序发起的网络流量将被 Kaspersky Endpoint Security 从扫描排除。您可以从扫描排除所有流量,也可以仅排除加密流量。您也可以从扫描排除单个 IP 地址和端口号。