從有關受封鎖應用程式的卡巴斯基安全管理中心報告中匯入規則

您可從在“僅統計”模式下執行“應用程式啟動控制”工作後卡巴斯基安全管理中心中建立的報告匯入有關受封鎖應用程式啟動的資料，並使用此資料在所設定政策中建立應用程式啟動控制允許規則清單。

建立有關“應用程式啟動控制”工作期間發生的事件的報告後，您可以跟蹤被封鎖啟動的應用程式。

將資料從有關受封鎖應用程式的報告匯入到政策設定時，確保您所使用的清單僅包含您希望允許啟動的應用程式。

要根據卡巴斯基安全管理中心中的受封鎖應用程式報告為一組受防護裝置指定應用程式啟動控制允許規則：

1. 開啟“應用程式啟動控制”視窗。
2. 在“工作模式”部分中，選擇“僅統計”模式。
3. 在“事件通知”部分中的政策內容中，確保：
   • 對於緊急事件，應用程式啟動被拒絕事件的工作記錄保留期超過以“僅統計”模式執行工作的排程期（預設值為 30 天）。
   • 對於重要性等級為“警告”的事件，僅統計模式: 應用程式啟動被拒絕事件的工作記錄保留期超過以“僅統計”模式執行工作的排程期（預設值為 30 天）。

     當事件保留期過後，有關記錄的事件的資訊會被刪除且不會反映在報告檔案中。在“僅統計”模式下執行應用程式啟動控制工作之前，確保工作執行時間不超過為指定事件設定的時間段。

4. 當工作完成後，將記錄的事件匯出到 TXT 檔案：
   1. 在卡巴斯基安全管理中心中的“管理伺服器”節點的工作區中，選擇“事件”標籤。
   2. 點擊“建立選擇”按鈕以基於“封鎖”條件建立一系列事件，以檢視“應用程式啟動控制”工作將封鎖啟動的應用程式。
   3. 在所選項的結果窗格中，點擊“將事件匯出到檔案”以將受封鎖應用程式啟動報告儲存到 TXT 檔案。

   在政策中匯入和應用建立的報告之前，確保報告僅包含有關您希望允許啟動的應用程式的資料。

5. 將有關受封鎖應用程式啟動的資料匯入到應用程式啟動控制工作。為此，在政策內容的“應用程式啟動控制”工作設定中：
   1. 在“一般”標籤上，點擊“規則清單”按鈕。

      將開啟“應用程式啟動控制規則”視窗。

   2. 點擊“新增”按鈕，然後在該按鈕的內容功能表中選擇“從卡巴斯基安全管理中心報告匯入封鎖的應用程式的資料”。
   3. 選擇將來自根據卡巴斯基安全管理中心報告建立的清單的規則新增到先前設定的應用程式啟動控制規則清單的政策：
      • 新增到現有規則，如果您希望將匯入的規則新增到現有規則清單。將複製具有相同設定的規則。
      • 取代現有規則，如果您希望將現有規則取代為匯入的規則。
      • 與現有規則合併，如果您希望將匯入的規則新增到現有規則清單。不新增具有相同設定的規則；如果至少一個規則參數是唯一的，則會新增規則。
   4. 在開啟的標準 Microsoft Windows 視窗中，選擇已將來自受封鎖應用程式啟動報告的事件匯出到的 TXT 檔案。
   5. 點擊“儲存”視窗中的“應用程式啟動控制規則”。

根據有關受封鎖應用程式的卡巴斯基安全管理中心報告建立的規則將被新增到應用程式啟動控制規則清單。