从有关受阻止应用程序的 Kaspersky Security Center 报告中导入规则

您可从在“仅统计”模式下运行“应用程序启动控制”任务后 Kaspersky Security Center 中生成的报告导入有关受阻止应用程序启动的数据,并使用此数据在所配置策略中生成应用程序启动控制允许规则列表。

生成有关“应用程序启动控制”任务期间发生的事件的报告后,您可以跟踪被阻止启动的应用程序。

将数据从有关受阻止应用程序的报告导入到策略设置时,确保您所使用的列表仅包含您希望允许启动的应用程序。

要根据 Kaspersky Security Center 中的受阻止应用程序报告为一组受保护设备指定应用程序启动控制允许规则:

  1. 打开应用程序启动控制窗口
  2. 在“任务模式”部分中,选择“仅统计”模式。
  3. 在“事件通知”部分中的策略属性中,确保:
    • 对于关键事件应用程序启动被拒绝事件的任务日志保留期超过以“仅统计”模式运行任务的计划期(默认值为 30 天)。
    • 对于重要性级别为“警告”的事件,仅统计模式: 应用程序启动被拒绝事件的任务日志保留期超过以“仅统计”模式运行任务的计划期(默认值为 30 天)。

      当事件保留期过后,有关记录的事件的信息会被删除且不会反映在报告文件中。在“仅统计”模式下运行“应用程序启动控制”任务之前,确保任务运行时间不超过为指定事件配置的时间段。

  4. 当任务完成后,将记录的事件导出到 TXT 文件:
    1. 在 Kaspersky Security Center 中的“管理服务器”节点的工作区中,选择“事件”选项卡。
    2. 单击“创建选择”按钮以基于“阻止”条件创建一系列事件,以查看“应用程序启动控制”任务将阻止启动的应用程序。
    3. 在所选项的结果窗格中,单击“将事件导出到文件”以将受阻止应用程序启动报告保存到 TXT 文件。

    在策略中导入和应用生成的报告之前,确保报告仅包含有关您希望允许启动的应用程序的数据。

  5. 将有关受阻止应用程序启动的数据导入到应用程序启动控制任务。为此,在策略属性的“应用程序启动控制”任务设置中:
    1. 在“常规”选项卡上,单击“规则列表”按钮。

      将打开“应用程序启动控制规则”窗口。

    2. 单击“添加”按钮,然后在该按钮的上下文菜单中选择“从 Kaspersky Security Center 报告导入阻止的应用程序的数据”。
    3. 选择将来自根据 Kaspersky Security Center 报告创建的列表的规则添加到先前配置的应用程序启动控制规则列表的原则:
      • 添加到现有规则,如果您希望将导入的规则添加到现有规则列表。将复制具有相同设置的规则。
      • 替换现有规则,如果您希望将现有规则替换为导入的规则。
      • 与现有规则合并,如果您希望将导入的规则添加到现有规则列表。不添加具有相同设置的规则;如果至少一个规则参数是唯一的,则会添加规则。
    4. 在打开的标准 Microsoft Windows 窗口中,选择已将来自受阻止应用程序启动报告的事件导出到的 TXT 文件。
    5. 单击“应用程序启动控制规则”窗口中的“保存”。

根据有关受阻止应用程序的 Kaspersky Security Center 报告创建的规则将被添加到应用程序启动控制规则列表。

页面顶部