關於應用程式啟動控制規則產生

您可使用卡巴斯基安全管理中心工作和政策立同時為公司網路上的所有受防護裝置和受防護裝置群組建立應用程式啟動控制規則清單。如果公司網路沒有參考電腦，並且您無法基於範本機上安裝的應用程式建立允許規則清單，則建議使用下面列出的方案。

您可以透過應用程式主控台在本機執行“應用程式啟動控制規則產生器”工作，以基於單台受防護裝置上執行的應用程式建立規則清單。

“應用程式啟動控制”元件安裝後具有兩條預設的允許規則：

• 針對作業系統信任的指令碼和帶憑證的 Windows Installer 軟體套件的允許規則。
• 針對作業系統信任的帶憑證的可執行檔的允許規則。

您可以使用以下方式之一在卡巴斯基安全管理中心一側建立應用程式啟動控制規則清單：

• 使用“應用程式啟動控制規則產生器”群組工作。

  在此方案下，一個群組工作會為網路上的每台受防護裝置建立其自己的應用程式啟動控制規則清單，並將這些清單儲存到指定共用資料夾中的 XML 檔案。“應用程式啟動控制規則產生器”工作產生的 XML 檔案包含工作啟動前工作設定中指定的允許規則。不會為指定工作設定中不允許啟動的應用程式建立任何規則。預設情況下將拒絕此類應用程式啟動。然後，您可將建立的規則清單手動匯入卡巴斯基安全管理中心政策的“應用程式啟動控制”工作。

  您可將建立的規則配置為自動匯入“應用程式啟動控制”工作的規則清單。

  當您需要快速建立應用程式啟動控制規則清單時，建議使用此方案。建議僅當套用的允許規則包含您知道安全的資料夾和檔案時，才配置“應用程式啟動控制規則產生器”工作的排程啟動。

  在網路中使用“應用程式啟動控制”工作之前，請確保所有受防護裝置都能夠存取共用資料夾。如果組織的政策未規定使用網路中的共用資料夾，建議在測試受防護裝置群組中的受防護裝置或範本機上啟動“應用程式啟動控制規則產生器”工作。

• 基於在“僅統計”模式下執行的“應用程式啟動控制”工作在卡巴斯基安全管理中心中建立的工作事件報告。

  在此方案下，Kaspersky Embedded Systems Security 不拒絕應用程式啟動。相反，當“應用程式啟動控制”在“僅統計”模式下執行時，它會在卡巴斯基安全管理中心中的管理伺服器節點的工作區的“事件”標籤中報告所有網路受防護裝置中所有已允許和已拒絕的應用程式啟動。卡巴斯基安全管理中心使用報告來建立一個拒絕了應用程式啟動的事件清單。

  您需要設定工作執行期限，以便可在指定時間期限內執行所有可能的受防護裝置和受防護裝置群組操作方案以及至少一次受防護裝置重新啟動。工作執行期限結束後，您可從儲存的卡巴斯基安全管理中心事件報告（TXT 格式）匯入應用程式啟動資料，並基於此資料為此類應用程式建立應用程式啟動控制允許規則。

  如果公司網路包含大量不同類型的受防護裝置（安裝了不同的軟體），則建議使用此方案。

• 根據透過卡巴斯基安全管理中心接收到的拒絕應用程式啟動事件，無需建立和匯入設定檔。

  要使用此功能，必須在有效的卡巴斯基安全管理中心政策下執行受防護裝置上的應用程式啟動控制工作。在本例中，受防護裝置上的所有事件均被傳送到管理伺服器。

建議當網路受防護裝置上安裝的應用程式集合變更時（例如，安裝更新或重新安裝作業系統時）更新規則清單。建議透過在測試管理群組中的受防護裝置上以“僅統計”模式執行“應用程式啟動控制規則產生器”工作或“應用程式啟動控制”工作來產生更新的規則清單。測試管理群組包含在網路受防護裝置上安裝新的應用程式之前對這些應用程式的啟動進行測試所需的受防護裝置。

包含允許規則清單的 XML 檔案基於在受防護裝置上啟動的工作分析建立。為了在建立規則清單時將網路上利用的所有應用程式考慮在內，建議在範本機上以“僅統計”模式啟動“應用程式啟動控制規則產生器”工作和“應用程式啟動控制”工作。

在基於參考電腦上啟動的應用程式建立允許規則之前，確保範本機是安全的，並且不包含任何惡意軟體。

新增允許規則之前，請選擇其中一個可用的規則套用模式。卡巴斯基安全管理中心政策規則清單將僅顯示由政策指定的那些規則，與規則應用模式無關。本機規則清單包括所有已套用的規則 — 本機規則和透過政策新增的規則。