• Добавить правила политики к локальным правилам. Приложение применяет список правил, заданный в политике, совместно с локальными списками правил.
• Заменить локальные правила правилами политики. Приложение применяет список правил, заданных в политике, для контроля запуска программ на группе защищаемых устройств. Формирование, редактирование и применение локальных списков правил недоступно.

Если функция включена, приложение запрещает изменение правил контроля запуска программ локально с помощью Консоли приложения. По умолчанию функция выключена.

Если функция включена, приложение запрещает изменение правил контроля запуска программ локально с помощью Консоли приложения. По умолчанию функция выключена.

• Вручную.
  1. Нажмите на кнопку Добавить.

     Откроется окно Контроль запуска программ.

  2. В поле Название введите название правила.
  3. Если необходимо, в поле Описание введите описание правила.
  4. В раскрывающемся списке Тип выберите тип правила:
     • Разрешающее, если вы хотите, чтобы правило разрешало запуск приложений, описанных в правиле.
     • Запрещающее, если вы хотите, чтобы правило блокировало запуск приложений, описанных в правиле.
  5. В раскрывающемся списке Область применения выберите тип файлов, запуск которых будет контролировать правило:
     • Исполняемые файлы, если вы хотите, чтобы правило контролировало запуск исполняемых файлов.
     • Скрипты и пакеты MSI, если вы хотите, чтобы правило контролировало запуск скриптов и пакетов MSI. Поддерживаются файлы со следующими расширениями: .js, .vbs, .cmd, .bat, .py, .ps1, .pl, .msi, .msp, .mst, .com, .vbe, .jse, .psd1, .psm1, .pyd, .pyc, .pm, .hta, .chm, .wsf, .wsc, .wsh, .sct.
  6. Установите флажок Доверенные приложения обновления, если вы хотите, чтобы приложения, удовлетворяющие условиям срабатывания правила, Kaspersky Industrial CyberSecurity for Nodes считало доверенными приложениями обновления. Доверенные приложения обновления – приложения с правом создавать другие исполняемые файлы, запуск которых в дальнейшем будет разрешен.

     Если приложение соответствует условиям срабатывания нескольких правил, Kaspersky Industrial CyberSecurity for Nodes устанавливает признак Доверенные приложения обновления при выполнении следующих условий:

     • запуск приложения разрешен во всех правилах;
     • хотя бы в одном правиле установлен флажок Доверенные приложения обновления.
  7. Добавьте условия срабатывания правила контроля запуска программ.
  8. Добавьте исключения из условий срабатывания правила контроля запуска программ.
  9. Добавьте пользователей и/или группы пользователей, которым будет разрешено или запрещено запускать приложения, удовлетворяющие правилу.
     1. Выберите вкладку Пользователь или группа.
     2. В контекстном меню кнопки Добавить выберите способ добавления пользователей или групп.
     3. В открывшемся окне введите или выберите имя пользователя или группы пользователей.
     4. Нажмите на кнопку OK.
     5. Выполните пункты b-d для каждого пользователя или группы пользователей.
  10. Нажмите на кнопку ОК.
• С помощью импорта XML-файла с правилами контроля запуска программ.
  1. В контекстном меню кнопки выберите Импортировать → Из XML-файла.
  2. Выберите принцип добавления правил контроля устройств из XML-файла к списку уже имеющихся в политике правил контроля устройств:
     • Заменить существующие правила, если вы хотите, чтобы импортируемые правила заменили существующие правила.
     • Добавить правила к существующим, если вы хотите, чтобы импортируемые правила были добавлены в список существующих правил. Правила с одинаковыми параметрами дублируют друг друга.
     • Объединить правила с существующими, если вы хотите, чтобы импортируемые правила были добавлены в список существующих правил. Правила с одинаковыми параметрами не добавляются. Если хотя бы один параметр правила уникален, правило добавляется.
  3. В открывшемся окне укажите путь к XML-файлу, созданному по завершении локальной или групповой задачи Формирование правил контроля запуска программ.
  4. Нажмите на кнопку Открыть.
• На основе событий Kaspersky Security Center с помощью запроса.
  1. В контекстном меню кнопки выберите Импортировать → Создать разрешающие правила на основе событий Kaspersky Security Center (запрос).
  2. Выберите принцип добавления правил к списку уже созданных правил контроля запуска программ:
     • Добавить правила к существующим, если требуется, чтобы импортируемые правила были добавлены в список существующих правил. Правила с одинаковыми параметрами дублируют друг друга.
     • Заменить существующие правила, если вы хотите, чтобы импортируемые правила заменили существующие правила.
     • Объединить правила с существующими, если вы хотите, чтобы импортируемые правила были добавлены в список существующих правил. Правила с дублирующими параметрами не добавляются; если хотя бы один параметр правила уникален, правило добавляется.

     Откроется окно Создать правила контроля запуска программ.

  3. Выберите типы событий, на основе которых приложение будет создавать правила контроля запуска программ:
     • Запуск приложения запрещен.
     • Только статистика: запуск приложения запрещен.
  4. Выберите период из раскрывающегося списка Учитывать события, сформированные в течение периода.
  5. Снимите или установите флажок Приоритизировать использование контрольной суммы при создании правил.

     Если флажок установлен, Kaspersky Industrial CyberSecurity for Nodes использует контрольную сумму файла для формирования правила, когда доступны и контрольная сумма, и сертификат файла.

     Если флажок снят, Kaspersky Industrial CyberSecurity for Nodes использует цифровой сертификат файла для формирования правила, когда доступны и контрольная сумма, и сертификат файла.

  6. Нажмите на кнопку Создать правила.
  7. Нажмите на кнопку OК.
• С помощью импорта TXT-файла с выборкой событий Kaspersky Security Center о заблокированных приложениях.
  1. В дереве Консоли администрирования Kaspersky Security Center разверните узел Управляемые устройства.
  2. Выберите группу администрирования, для которой вы хотите настроить задачу.
  3. Выберите вкладку Политики.
  4. Откройте окно свойств политики двойным щелчком мыши на имени политики, которую вы хотите настроить.
  5. В открывшемся окне свойств политики перейдите в раздел Журналы и уведомления.
  6. В блоке Журналы выполнения задач нажмите на кнопку Настройка.

     Откроется окно Уведомления.

  7. Раскройте узел Контроль активности на компьютерах.
  8. Выберите раздел Контроль запуска программ.
  9. В списке событий для Контроля запуска программ в столбце Отправлять события в Kaspersky Security Center установите флажки напротив Запуск приложения запрещен и Запуск приложения запрещен в тестовом режиме.
  10. Сохраните внесенные изменения.
  11. В разделе политики Настройка событий убедитесь, что срок хранения выбранных событий, указанный в поле Хранить в базе данных Сервера администрирования в течение (сут), превышает запланированный период для сбора данных о запрещенных запусках приложений (значение по умолчанию – 30 дней).

      По завершении периода хранения журнала выполнения задачи Контроль запуска программ, информация о зарегистрированных событиях будет удалена и не попадет в файл отчета.

  12. Активируйте политику, которая настроена для сбора данных о запрещенных запусках приложений.
  13. При необходимости меняйте режим работы Контроля запуска программ.
  14. По истечении периода, отведенного для сбора данных о запрещенных запусках приложений, создайте, запустите и экспортируйте в TXT-файл выборку из событий Запуск приложения запрещен и Запуск приложения запрещен в тестовом режиме. Подробнее читайте в разделе "Выборки событий" в Справке Kaspersky Security Center.
  15. Откройте экспортированный TXT-файл.
  16. Если нужно, скорректируйте список событий.

  Перед импортом данных о заблокированных приложениях убедитесь, что импортируемый список содержит только те приложения, запуск которых вы хотите разрешить.

  1. В контекстном меню кнопки выберите пункт Импортировать → Создать разрешающие правила на основе TXT-файла с выборкой событий Kaspersky Security Center.
  2. Выберите принцип добавления правил контроля запуска программ из файла отчета к списку уже имеющихся в политике правил:
     • Объединить правила с существующими, если вы хотите, чтобы импортируемые правила были добавлены в список существующих правил. Правила с одинаковыми параметрами не добавляются. Если хотя бы один параметр правила уникален, правило добавляется.
     • Добавить правила к существующим, если вы хотите, чтобы импортируемые правила были добавлены в список существующих правил. Правила с одинаковыми параметрами дублируют друг друга.
     • Заменить существующие правила, если вы хотите, чтобы импортируемые правила заменили существующие правила.
  3. В открывшемся стандартном окне Windows укажите путь к TXT-файлу, в который были экспортированы события из отчета Kaspersky Security Center о заблокированных устройствах.
  4. Нажмите на кнопку Открыть.

Добавленные правила контроля запуска программ отобразятся в списке.

Откроется окно Контроль запуска программ на вкладке Общие.

• Вручную
  1. Нажмите на кнопку Добавить.

     Откроется окно Контроль запуска программ.

  2. В поле Название введите название правила.
  3. Если необходимо, в поле Описание введите описание правила.
  4. В раскрывающемся списке Тип выберите тип правила:
     • Разрешающее, если вы хотите, чтобы правило разрешало запуск приложений, описанных в правиле.
     • Запрещающее, если вы хотите, чтобы правило блокировало запуск приложений, описанных в правиле.
  5. В раскрывающемся списке Область применения выберите тип файлов, запуск которых будет контролировать правило:
     • Исполняемые файлы, если вы хотите, чтобы правило контролировало запуск исполняемых файлов.
     • Скрипты и пакеты MSI, если вы хотите, чтобы правило контролировало запуск скриптов и пакетов MSI. Поддерживаются файлы со следующими расширениями: .js, .vbs, .cmd, .bat, .py, .ps1, .pl, .msi, .msp, .mst, .com, .vbe, .jse, .psd1, .psm1, .pyd, .pyc, .pm, .hta, .chm, .wsf, .wsc, .wsh, .sct.
  6. Установите флажок Доверенные приложения обновления, если вы хотите, чтобы приложения, удовлетворяющие условиям срабатывания правила, Kaspersky Industrial CyberSecurity for Nodes считало доверенными приложениями обновления. Доверенные приложения обновления – приложения с правом создавать другие исполняемые файлы, запуск которых в дальнейшем будет разрешен.

     Если приложение соответствует условиям срабатывания нескольких правил, Kaspersky Industrial CyberSecurity for Nodes устанавливает признак Доверенные приложения обновления при выполнении следующих условий:

     • запуск приложения разрешен во всех правилах;
     • хотя бы в одном правиле установлен флажок Доверенные приложения обновления.
  7. Добавьте условия срабатывания правила контроля запуска программ.
  8. Добавьте исключения из условий срабатывания правила контроля запуска программ.
  9. Добавьте пользователей и/или группы пользователей, которым будет разрешено или запрещено запускать приложения, удовлетворяющие правилу.
     1. Выберите вкладку Пользователь или группа.
     2. В контекстном меню кнопки Добавить выберите способ добавления пользователей или групп.
     3. В открывшемся окне введите или выберите имя пользователя или группы пользователей.
     4. Нажмите на кнопку OK.
     5. Выполните пункты b-d для каждого пользователя или группы пользователей.
  10. Нажмите на кнопку ОК.
• С помощью импорта XML-файла с правилами контроля запуска программ
  1. В контекстном меню кнопки выберите Импортировать → Из XML-файла.
  2. Выберите принцип добавления правил контроля устройств из XML-файла к списку уже имеющихся в политике правил контроля устройств:
     • Заменить существующие правила, если вы хотите, чтобы импортируемые правила заменили существующие правила.
     • Добавить правила к существующим, если вы хотите, чтобы импортируемые правила были добавлены в список существующих правил. Правила с одинаковыми параметрами дублируют друг друга.
     • Объединить правила с существующими, если вы хотите, чтобы импортируемые правила были добавлены в список существующих правил. Правила с одинаковыми параметрами не добавляются. Если хотя бы один параметр правила уникален, правило добавляется.
  3. В открывшемся окне укажите путь к XML-файлу, созданному по завершении локальной или групповой задачи Формирование правил контроля запуска программ.
  4. Нажмите на кнопку Открыть.

Добавленные правила контроля запуска программ отобразятся в списке.

• Добавить правила политики к локальным правилам. Приложение применяет список правил, заданный в политике, совместно с локальными списками правил.
• Заменить локальные правила правилами политики. Приложение применяет список правил, заданных в политике, для контроля запуска программ на группе защищаемых устройств. Формирование, редактирование и применение локальных списков правил недоступно.

• Вручную
  1. Нажмите на кнопку Добавить.

     Откроется окно Настройки правила.

  2. В поле Название введите название правила.
  3. В раскрывающемся списке Тип выберите тип правила:
     • Разрешающее, если вы хотите, чтобы правило разрешало запуск приложений, описанных в правиле.
     • Запрещающее, если вы хотите, чтобы правило блокировало запуск приложений, описанных в правиле.
  4. В раскрывающемся списке Область применения выберите тип файлов, запуск которых будет контролировать правило:
     • Исполняемые файлы, если вы хотите, чтобы правило контролировало запуск исполняемых файлов.
     • Скрипты и пакеты MSI, если вы хотите, чтобы правило контролировало запуск скриптов и пакетов MSI.
  5. Установите флажок Запрещать для остальных пользователей, если вы хотите, чтобы приложение запрещало запуск приложений, описанных в правиле, всем пользователям, которые не указаны во вкладке Пользователь или группа.
  6. Установите флажок Доверенные приложения обновления, если вы хотите, чтобы приложения, удовлетворяющие условиям срабатывания правила, Kaspersky Industrial CyberSecurity for Nodes считало доверенными приложениями обновления. Доверенные приложения обновления – приложения с правом создавать другие исполняемые файлы, запуск которых в дальнейшем будет разрешен.

     Если приложение соответствует условиям срабатывания нескольких правил, Kaspersky Industrial CyberSecurity for Nodes устанавливает признак Доверенные приложения обновления при выполнении следующих условий:

     • запуск приложения разрешен во всех правилах;
     • хотя бы в одном правиле установлен флажок Доверенные приложения обновления.
  7. Добавьте условия срабатывания правила контроля запуска программ.
  8. Добавьте исключения из условий срабатывания правила контроля запуска программ.
  9. Добавьте пользователей и/или группы пользователей, которым будет разрешено или запрещено запускать приложения, удовлетворяющие правилу.
     1. Выберите вкладку Пользователь или группа.
     2. Нажмите на кнопку Добавить.
     3. В открывшемся окне выберите из списка или введите вручную имя пользователя или группы пользователей.
     4. Нажмите на кнопку Выбрать.
     5. Выполните пункты b-d для каждого пользователя или группы пользователей.
  10. Нажмите на кнопку OK.

  Добавленные правила контроля запуска программ отобразятся в списке.

• С помощью импорта XML-файла с правилами контроля запуска программ
  1. Нажмите на кнопку Импорт.
  2. В открывшемся окне Импорт из файла нажмите на кнопку Выбрать.
  3. Укажите путь к XML-файлу, созданному по завершении локальной или групповой задачи Формирование правил контроля запуска программ.
  4. Нажмите на кнопку Открыть.
  5. Нажмите на кнопку Импорт.

  Импортированные правила контроля запуска программ будут добавлены в список существующих правил. Правила с одинаковыми параметрами не добавляются. Если хотя бы один параметр правила уникален, правило добавляется.

• С помощью импорта XML-файла с правилами контроля запуска программ Kaspersky Industrial CyberSecurity for Nodes версии 4.0
  1. Нажмите на кнопку Импорт из предыдущей версии.
  2. В открывшемся окне Импорт из файла нажмите на кнопку Выбрать.
  3. Укажите путь к XML-файлу с правилами контроля запуска программ, экспортированному из приложения Kaspersky Industrial CyberSecurity for Nodes версии 4.0.
  4. Нажмите на кнопку Открыть.
  5. Нажмите на кнопку Импорт.

  Импортированные правила контроля запуска программ будут добавлены в список существующих правил. Правила с одинаковыми параметрами не добавляются. Если хотя бы один параметр правила уникален, правило добавляется.

• C помощью импорта правил из файла отчета Kaspersky Security Center
  1. Нажмите на кнопку Импорт из отчета KSC.
  2. В открывшемся окне выберите файл формата TXT, в который были экспортированы события из отчета.
  3. Нажмите на кнопку Открыть.

  Правила, созданные на основе отчета Kaspersky Security Center, будут добавлены к списку правил в политике.

• На основе событий Kaspersky Security Center с помощью запроса
  1. Нажмите на кнопку Разрешающие правила из событий KSC.

     Откроется окно Формирование правил контроля запуска программ.

  2. Выберите тип событий, на основе которых приложение будет создавать правила контроля запуска программ:
     • Все события.
     • Запуск приложения запрещен.
     • Только статистика: запуск приложения запрещен.
  3. Выберите период из раскрывающегося списка Использовать события, сформированные за период.
  4. Снимите или установите флажок Приоритизировать использование контрольной суммы при создании правил.

     Если флажок установлен, Kaspersky Industrial CyberSecurity for Nodes использует контрольную сумму файла для формирования правила, когда доступны и контрольная сумма, и сертификат файла.

     Если флажок снят, Kaspersky Industrial CyberSecurity for Nodes использует цифровой сертификат файла для формирования правила, когда доступны и контрольная сумма, и сертификат файла.

  5. При необходимости укажите название группы управляемых устройств в поле Использовать события, сформированные для группы управляемых устройств.
  6. Нажмите на кнопку Сформировать правила.
  7. Выберите из выпадающего списка Правило добавления в основной список принцип добавления правил к списку уже созданных правил контроля запуска программ:
     • Добавить правила к существующим, если требуется, чтобы импортируемые правила были добавлены в список существующих правил. Правила с одинаковыми параметрами дублируют друг друга.
     • Заменить существующие правила, если вы хотите, чтобы импортируемые правила заменили существующие правила.
  8. Выберите правила, которые вы хотите экспортировать в правила контроля запуска программ политики и нажмите на кнопку Экспорт.
  9. Сохраните внесенные изменения.