Tạo loại trừ cho một quy tắc Kiểm soát thích ứng sự cố

14 Tháng Hai, 2024

ID 175245

Bạn không thể tạo nhiều hơn 1.000 mục loại trừ cho các quy tắc Kiểm soát thích ứng sự cố. Bạn không nên tạo nhiều hơn 200 quy tắc loại trừ. Để giảm số loại trừ được sử dụng, bạn nên sử dụng tên đại diện trong thiết lập loại trừ.

Một loại trừ cho một quy tắc Kiểm soát thích ứng sự cố bao gồm mô tả về các đối tượng nguồn và đích. Đối tượng nguồn là đối tượng thực hiện hành động. Đối tượng đích là đối tượng đón nhận hành động đó. Ví dụ, bạn đã mở một tập tin có tên file.xlsx. Kết quả là, một tập tin thư viện với phần mở rộng DLL được tải vào bộ nhớ máy tính. Thư viện này được một trình duyệt sử dụng (một tập tin thực thi có tên browser.exe). Trong ví dụ này, file.xlsx là đối tượng nguồn, Excel là tiến trình nguồn, browser.exe là đối tượng đích, và Browser là tiến trình đích.

Để tạo loại trừ cho một quy tắc Kiểm soát thích ứng sự cố:

 1. Trong cửa sổ chính của ứng dụng, hãy nhấn nút Biểu tượng thiết lập ứng dụng có hình dạng bánh răng..
 2. Trong cửa sổ thiết lập ứng dụng, hãy chọn Kiểm soát bảo mậtKiểm soát thích ứng sự cố.
 3. Trong mục Quy tắc, hãy nhấn nút Chỉnh sửa quy tắc.

  Danh sách quy tắc Kiểm soát thích ứng sự cố sẽ mở ra.

 4. Chọn một quy tắc trong bảng.
 5. Nhấn vào Chỉnh sửa.

  Cửa sổ thuộc tính quy tắc Kiểm soát thích ứng sự cố sẽ được mở ra.

 6. Trong mục Loại trừ, hãy nhấn nút Thêm.

  Cửa sổ thuộc tính loại trừ sẽ mở ra.

 7. Chọn người dùng mà bạn muốn cấu hình một mục loại trừ. Tạo danh sách người dùng từ Active Directory.

  Kiểm soát thích ứng sự cố không hỗ trợ phần mở rộng dành cho nhóm người dùng. Nếu bạn chọn một nhóm người dùng thì Kaspersky Endpoint Security sẽ không áp dụng loại trừ.

 8. Trong trường Mô tả, nhập mô tả về loại trừ này.
 9. Quy định các thiết lập của đối tượng nguồn hoặc tiến trình nguồn được bắt đầu bởi đối tượng:
  • Tiến trình nguồn. Đường dẫn hoặc đường dẫn đại diện đến tập tin hoặc thư mục chứa các tập tin (ví dụ: C:\Dir\File.exe hoặc Dir\*.exe).
  • Hash tiến trình nguồn. Mã băm tập tin.
  • Đối tượng nguồn. Đường dẫn hoặc đường dẫn đại diện đến tập tin hoặc thư mục chứa các tập tin (ví dụ: C:\Dir\File.exe hoặc Dir\*.exe). Ví dụ, đường dẫn tập tin document.docm, sử dụng một kịch bản hoặc macro để bắt đầu các tiến trình đích.

   Bạn cũng có thể quy định các đối tượng khác để loại trừ, ví dụ như một địa chỉ web, macro, lệnh trong dòng lệnh, đường dẫn registry, v.v... Quy định đối tượng theo khuôn mẫu sau: object://<object>, ở đó <object> là tên của đối tượng, ví dụ, object://web.site.example.com, object://VBA, object://ipconfig, object://HKEY_USERS. Bạn cũng có thể sử dụng các ký tự đại diện, ví dụ như object://*C:\Windows\temp\*.

  • Hash đối tượng nguồn. Mã băm tập tin.

  Quy tắc Kiểm soát thích ứng sự cố không được áp dụng cho các hành động được đối tượng thực hiện, hoặc các tiến trình được đối tượng bắt đầu.

 10. Quy định các thiết lập của đối tượng đích hoặc tiến trình đích được bắt đầu trên đối tượng này.
  • Tiến trình đích. Đường dẫn hoặc đường dẫn đại diện đến tập tin hoặc thư mục chứa các tập tin (ví dụ: C:\Dir\File.exe hoặc Dir\*.exe).
  • Hash tiến trình đích. Mã băm tập tin.
  • Đối tượng đích. Lệnh để khởi chạy tiến trình đích. Quy định lệnh theo dạng sau object://<lệnh>, ví dụ, object://cmdline:powershell -Command "$result = 'C:\Windows\temp\result_local_users_pwdage.txt'". Bạn cũng có thể sử dụng các ký tự đại diện, ví dụ như object://*C:\Windows\temp\*.
  • Hash đối tượng đích. Mã băm tập tin.

  Quy tắc Kiểm soát thích ứng sự cố không được áp dụng cho các hành động được thực hiện trên đối tượng này, hoặc các tiến trình được bắt đầu trên đối tượng.

 11. Lưu các thay đổi của bạn.

Bạn có thấy bài viết này hữu ích không?
Chúng tôi có thể cải thiện điều gì không?
Cảm ơn bạn đã gửi phản hồi! Bạn đang giúp chúng tôi cải tiến.
Cảm ơn bạn đã gửi phản hồi! Bạn đang giúp chúng tôi cải tiến.