支援

企業解決方案支援

Kaspersky Embedded Systems Security 3.x

應用程式啟動控制

關於軟體分發控制
Kaspersky Embedded Systems Security 3.x
Нет результатов
線上說明
常見問題 系統要求 下載 論壇 聯絡支援 修復工具 產品影片

關於軟體分發控制

2023年2月20日

ID 166296

另存為 PDF

如果您還需要控制受防護裝置(例如,所安裝軟體會定期自動更新的受防護裝置)上的軟體分發,則應用程式啟動控制規則產生器可能很複雜。在這種情況下,必須在每次軟體更新後更新允許規則的清單,以便在“應用程式啟動控制”工作設定中考慮新建立的檔案。為了簡化軟體分發方案中的啟動控制,可以使用“軟體分發控制”子系統。

軟體分發套件(下文稱為“軟體套件”)表示要在受防護裝置上安裝的軟體應用程式。每個軟體套件都包含至少一個應用程式,除了應用程式外,可能還包含單個檔案、更新,甚至單個指令,尤其是在您安裝軟體應用程式或更新時。

“軟體分發控制”子系統作為附加排除清單實施。將軟體分發套件新增到此清單時,應用程式允許解壓縮這些受信任套件,並允許受信任套件所安裝或修改的軟體自動啟動。擷取的檔案可以繼承主分發套件的受信任內容。主分發套件是由使用者新增到軟體分發控制排除清單並成為受信任套件的軟體套件。

Kaspersky Embedded Systems Security 僅控制完整軟體分發週期。如果第一次啟動受信任套件時軟體分發控制關閉,或者“應用程式啟動控制”元件未安裝,應用程式將無法正確處理由受信任套件修改的檔案的啟動。

如果在“應用程式啟動控制”工作設定中清除“將規則套用於可執行檔”核取方塊,軟體分發控制將無法使用。

軟體分發快取

Kaspersky Embedded Systems Security 使用動態產生的軟體分發快取(“分發快取”)在受信任套件與軟體分發期間建立的檔案之間建立關係。第一次啟動軟體套件時,Kaspersky Embedded Systems Security 將偵測該軟體套件在軟體分發過程中建立的所有檔案,並將檔案核對總和及路徑儲存在分發快取中。然後預設允許分發快取中的所有檔案啟動。

您不能透過使用者介面檢視、清除或手動修改分發快取。快取由 Kaspersky Embedded Systems Security 填充和控制。

您可以將分發快取匯出到設定檔(XML 格式),同時使用命令列選項清除快取。

要將分發快取匯出到設定檔,請執行以下指令:

kavshell appcontrol /config /savetofile:<full path> /sdc

要清除分發快取,請執行以下指令:

kavshell appcontrol /config /clearsdc

Kaspersky Embedded Systems Security 每 24 小時更新一次分發快取。如果先前允許的檔案的核對總和發生變化,應用程式將從分發快取中刪除此檔案的記錄。如果“應用程式啟動控制”工作在啟動模式下啟動,後續啟動該檔案的嘗試將被封鎖。如果先前允許的檔案的完整路徑發生變化,後續啟動該檔案的嘗試不會被封鎖,因為核對總和儲存在分發快取內。

處理擷取的檔案

第一次啟動軟體套件時,從受信任軟體套件擷取的所有檔案都會繼承受信任內容。如果在第一次啟動後清除該核取方塊,從軟體套件擷取的所有檔案都將保留繼承的內容。要重設所有擷取檔案中的繼承內容,您需要在再次啟動受信任分發套件之前清除分發快取並清除“允許進一步分發套件透過此分法套件建立的程式”核取方塊。

在第一次開啟排除清單中的軟體分發套件時,受信任的主分發套件所建立的擷取檔案和套件會在它們的核對總和被新增到分發快取時繼承受信任內容。因此,分發套件本身和從該分發套件擷取的所有檔案也將被信任。預設情況下,受信任內容的繼承等級數是無限制的。

作業系統重新啟動後,擷取的檔案將保留受信任內容。

檔案處理在“軟體分發控制”設定中透過選中或清除“允許進一步分發套件透過此分法套件建立的程式”核取方塊來進行配置。

例如,假設您將包含幾個其他套件和應用程式的 test.msi 套件新增到排除清單中並選中該核取方塊。在這種情況下,將允許執行或擷取 test.msi 套件中包含的所有套件和應用程式(如果它們包含其他檔案)。此方案適用於所有嵌套等級上的擷取檔案。

如果將 test.msi 套件新增到排除清單中並清除“允許進一步分發套件透過此分法套件建立的程式”核取方塊,應用程式只會將受信任內容分配到直接從主受信任套件擷取的套件和可執行檔(在第一個嵌套等級上)。此類檔案的核對總和儲存在分發快取中。在第二個和更後面的嵌套等級上的所有檔案都將被“預設拒絕”原則封鎖。

使用應用程式啟動控制規則清單

軟體分發控制子系統的受信任套件清單是一個排除項目清單,該清單擴大了但未更換應用程式啟動控制規則清單。

拒絕應用程式啟動控制規則具有最高優先順序:受信任套件的解壓縮和新檔案或已修改檔案的啟動將被封鎖(如果這些套件和檔案受應用程式啟動控制拒絕規則影響)。

軟體分發控制排除項適用於受信任套件和這些套件建立或修改的檔案(如果應用程式啟動控制清單中沒有拒絕規則適用於這些套件和檔案)。

使用 KSN 結論

KSN 的檔案不受信任的結論具有比軟體分發控制排除項目更高的優先順序:如果 KSN 報告受信任套件建立過修改的檔案不受信任,則受信任套件的解壓縮和這些檔案的啟動都將被封鎖。

而且,在從受信任套件解壓縮後,所有子檔案都將被允許執行,不管是否在應用程式啟動控制範圍內使用 KSN。此時,“拒絕 KSN 不信任的應用程式”和“允許 KSN 信任的應用程式”核取方塊的狀態不影響“允許進一步分發套件透過此分法套件建立的程式”核取方塊的操作。

Kaspersky Professional Services
Implementation services. Health check and security system configuration. Contact us if you need expert help.
Kaspersky Premium Support (MSA): High‑priority incident processing
Telephone and web ticket support. Fast response, monitoring and health check. Submit a request and activate the contract (MSA).
此文章對您有幫助嗎?
我們可以如何改善?
感謝您的意見回饋!您正協助我們改善。
感謝您的意見回饋!您正協助我們改善。