目录
使用应用程序控制来管理可执行文件
您可以使用“应用程序控制”组件来允许或阻止可执行文件在用户设备上启动。“应用程序控制”组件支持基于 Windows 和基于 Linux 的操作系统。
对于基于 Linux 的操作系统,从 Kaspersky Endpoint Security 11.2 for Linux 开始,均提供应用程序控制组件。
先决条件
- Kaspersky Security Center 云控制台已部署在您的组织中。
- Kaspersky Endpoint Security for Windows 或 Kaspersky Endpoint Security for Linux 的策略已创建并处于活动状态。
阶段
“应用程序控制”使用方案分阶段进行:
- 形成并查看客户端设备上的可执行文件列表
此阶段帮助您了解在受管理设备上发现了哪些可执行文件。查看可执行文件列表,并将其与允许和禁止的可执行文件列表进行比较。对可执行文件的使用限制可能与组织中的信息安全策略有关。
- 为组织中使用的可执行文件创建类别
分析受管理设备上存储的可执行文件列表。根据分析,为可执行文件创建类别。建议创建一个“工作应用程序”类别,以覆盖组织中使用的标准可执行文件集。如果不同的安全组在工作中使用不同的可执行文件集,则可以为每个安全组创建单独的类别。
- 在 Kaspersky Endpoint Security for Windows 策略中配置“应用程序控制”
使用您在上一阶段创建的类别,在 Kaspersky Endpoint Security for Windows 策略中配置“应用程序控制”组件。
操作说明:在 Kaspersky Endpoint Security for Windows 策略中配置“应用程序控制”
- 在测试模式下开启“应用程序控制”组件
为确保应用程序控制规则不会阻止用户工作所需的可执行文件,建议在创建新规则后启用应用程序控制规则测试并分析其操作。启用测试后,Kaspersky Endpoint Security for Windows 将不会阻止被应用程序控制规则禁止启动的可执行文件,而是将有关其启动的通知发送到管理服务器。
测试应用程序控制规则时,建议执行以下操作:
- 确定测试周期。测试周期从几天到两个月不等。
- 检查由测试“应用程序控制”操作生成的事件。
操作说明:在 Kaspersky Endpoint Security for Windows 策略中配置“应用程序控制”组件遵循此说明并在配置过程中启用“测试模式”。
- 更改“应用程序控制”组件的类别设置
如有必要,请更改“应用程序控制”设置。根据测试结果,您可以将与“应用程序控制”组件事件相关的可执行文件添加到含有手动添加内容的应用程序类别中。
操作说明:添加事件相关的可执行文件到应用程序类别
- 在操作模式下应用“应用程序控制”的规则
测试应用程序控制规则并完成类别的配置后,您可以在操作模式下应用这些应用程序控制规则。
操作说明:在 Kaspersky Endpoint Security for Windows 策略中配置“应用程序控制”组件遵循此说明并在配置过程中禁用“测试模式”。
- 验证“应用程序控制”配置
确保以下事项:
- 可执行文件类别列表不为空。查看类别列表并确保它包含您已配置的类别。
- 应用程序控制使用为可执行文件创建的类别来配置。查看 Kaspersky Endpoint Security for Windows策略的设置,并确保您已在应用程序设置→安全控制→应用程序控制中配置应用程序控制。
- 在操作模式下应用“应用程序控制”的规则。检查 Kaspersky Endpoint Security for Windows策略中的模式,并确保您已在应用程序设置→安全控制中禁用测试模式 →应用程序控制。
结果
方案完成后,可执行文件在受管理设备上的启动受到控制。用户只能运行组织中允许的可执行文件,而不能运行组织中禁止的可执行文件。
有关应用程序控制的详细信息,请参阅以下帮助主题:
页顶应用程序控制模式和类别
应用程序控制组件监控用户启动可执行文件的尝试。您可以使用应用程序控制规则来控制可执行文件的启动。
“应用程序控制”组件可用于 Kaspersky Endpoint Security for Windows 和 Kaspersky Security for Linux(版本 11.2 和更高版本)。本节中的所有说明都介绍适用于 Kaspersky Endpoint Security 的“应用程序控制”的配置。
其设置与任何应用程序控制规则都不匹配的可执行文件的启动由该组件的选定操作模式管理:
- 拒绝列表。如果要允许启动除了阻止规则中指定的可执行文件外的所有可执行文件,则使用该模式。默认情况下选择黑名单模式。
- 允许列表。如果要阻止启动除了允许规则中指定的可执行文件外的所有可执行文件,则使用该模式。
应用程序控制规则是通过可执行文件的类别来实施的。在 Kaspersky Security Center 云控制台中,有两种类型的类别:
- 含有手动添加内容的类别。您定义将可执行文件包括在类别中的条件,例如元数据、文件哈希码、文件证书、KL 类别、文件路径。
- 包含来自所选设备的可执行文件的类别。您指定自动包含在该类别中的可执行文件所属的设备。
有关应用程序控制的详细信息,请参阅以下帮助主题:
获取并查看客户端设备上安装的应用程序列表
Kaspersky Security Center 云控制台清查在运行 Linux 和 Windows 操作系统的受管理客户端设备上安装的所有软件。
网络代理编辑安装在设备上的应用程序列表,并把该列表传给管理服务器。网络代理更新应用程序列表大约需要 10-15 分钟。
对于基于 Windows 的客户端设备,网络代理从 Windows 注册表接收有关已安装应用程序的大部分信息。对于基于 Linux 的客户端设备,包管理器向网络代理提供有关已安装应用程序的信息。
要查看受管理设备上安装的应用程序列表:
- 在主菜单中,转到“操作”→“第三方应用程序”→“应用程序注册表”。
该页面显示一个表格,其中包含安装在受管理设备上的应用程序。选择应用程序以查看其属性,例如,供应商名称、版本号、可执行文件列表、安装了该应用程序的设备列表、可用软件更新列表和检测到的软件漏洞列表。
- 您可以按如下方式对包含已安装应用程序的表中的数据进行分组和筛选:
- 单击表格右上角的“设置”图标 (
)。在调用的“列设置”菜单中,选择要在表中显示的列。要查看安装应用程序的客户端设备的操作系统类型,请选择“操作系统类型”列。
- 单击表格右上角的过滤器图标 (
),然后在调用的菜单中指定并应用过滤条件。显示筛选出的已安装应用程序表。
- 单击表格右上角的“设置”图标 (
要查看特定受管理设备上安装的应用程序列表,
在主菜单中,转到“设备”→“受管理设备”→“<设备名称>”→“高级”→“应用程序注册表”。在此菜单中,您可以将应用程序列表导出到 CSV 文件或 TXT 文件。
有关应用程序控制的详细信息,请参阅以下帮助主题:
获取并查看客户端设备上安装的可执行文件列表
您可以通过以下方式之一获取存储在客户端设备上的可执行文件列表:
- 在 Kaspersky Endpoint Security 策略中启用应用程序启动通知。
- 创建清单任务。
在 Kaspersky Endpoint Security 策略中启用应用程序启动通知
要启用有关应用程序启动的通知:
- 打开 Kaspersky Endpoint Security 策略设置,然后转到常规设置 → 报告和存储。
- 在到管理服务器的数据传输设置组中,选择关于启动的应用程序复选框,保存更改。
当用户尝试启动可执行文件时,关于这些文件的信息将被添加到客户端设备上的可执行文件列表中。Kaspersky Endpoint Security 会将该信息发送到网络代理,然后网络代理将其发送到管理服务器。
创建清单任务
清查可执行文件的功能可用于以下应用程序:
- Kaspersky Endpoint Security for Windows
- Kaspersky Endpoint Security for Linux (版本 11.2 及更高版本)
您可以在获取已安装应用程序相关信息的同时减少数据库的负载。为此,我们建议您在安装了一组标准软件的参考设备上运行清单任务。建议设备数量为 1-3。
我们强烈不建议在使用以下数据库时运行清单任务:MySQL、PostgreSQL、SQL Server Express Edition、MariaDB(所有版本)。
要在客户端设备上为可执行文件创建清查任务:
- 在主菜单中,转到“资产(设备)” → “任务”。
将显示任务列表。
- 单击“添加”按钮。
新任务向导启动。遵照向导的说明。
- 在新任务设置页面的应用程序下拉列表中,选择 Kaspersky Endpoint Security for Windows 或 Kaspersky Endpoint Security for Linux,具体取决于客户端设备的操作系统类型。
- 在“任务类型”下拉列表中,选择“清单”。
- 在完成任务创建页面上,单击完成按钮。
新任务向导完成后,将创建并配置“清单”任务。如果需要,可以更改已创建任务的设置。新创建的任务显示在任务列表中。
关于清查任务的详细说明,请参阅以下帮助:
执行“清单”任务后,将形成受管理设备上安装的可执行文件列表,您可以查看该列表。
清单过程中可检测以下格式的可执行文件(具体取决于您在清单任务属性中选择的选项):MZ、COM、PE、NE、SYS、CMD、BAT、PS1、JS、VBS、REG、MSI、CPL、DLL、JAR 和 HTML。
查看受管理设备上存储的可执行文件列表
要查看客户端设备上存储的可执行文件列表,
在主菜单中,转到“操作”→“第三方应用程序”→“可执行文件”。
该页面显示客户端设备上安装的可执行文件列表。
如有必要,您可以将受管理设备的可执行文件发送到 Kaspersky Security Center 云控制台 在其中打开的设备。
要发送可执行文件:
- 在主菜单中,转到“操作” → “第三方应用程序” → “可执行文件”。
- 单击要发送的可执行文件的链接。
- 在打开的窗口中,转到设备部分,然后选中要从其发送可执行文件的受管理设备的复选框。
在发送可执行文件之前,请确保受管理设备与管理服务器有直接连接,方法是选择不断开与管理服务器的连接复选框。选中“不断开与管理服务器的连接”选项时的最大设备总数为 300。
- 单击“发送”按钮。
所选可执行文件将下载以进一步发送到您的 Kaspersky Security Center 云控制台在其中打开的设备。
创建含有手动添加内容的应用程序类别
您可以指定一组条件作为要在组织中允许或阻止启动的可执行文件的模板。在对应于条件的可执行文件的基础上,您可以创建一个应用程序类别,并在“应用程序控制”组件配置中使用该应用程序类别。
要创建含有手动添加内容的应用程序类别:
- 在主菜单中,转到“操作”→“第三方应用程序”→“应用程序类别”。
将显示含有应用程序类别列表的页面。
- 单击“添加”按钮。
新类别向导启动。使用下一步按钮进行向导。
- 在“选择策略创建方法”步骤,选择“含有手动添加内容的类别。可执行文件的数据被手动添加到该类别中”选项。
- 在“条件”步骤中,单击“添加”按钮以添加在所创建类别中包含文件的条件标准。
- 在“条件标准”步骤中,从列表中选择创建类别时所遵循的规则类型:
所选条件将添加到条件列表中。
您可以根据需要为创建应用程序类别添加任意数量的条件。
- 在“排除项”步骤中,单击“添加”按钮以添加从所创建类别中排除文件的排除条件标准。
- 在“条件标准”步骤中,从列表中选择规则类型,方式与选择创建类别时所遵循的规则类型相同。
当向导结束时,将创建应用程序类别。它显示在应用程序规则列表中。配置“应用程序控制”时,可以使用已创建的应用程序类别。
有关应用程序控制的详细信息,请参阅以下帮助主题:
创建包括选定设备中的可执行文件的应用程序类别
您可以将选定设备中的可执行文件用作要允许或阻止的可执行文件的模板。基于选定设备中的可执行文件,您可以创建一个类别,并在“应用程序控制”组件配置中使用该应用程序类别。
要创建包括选定设备中的可执行文件的类别:
- 在主菜单中,转到“操作”→“第三方应用程序”→“应用程序类别”。
显示包含可执行文件类别列表的页面。
- 单击“添加”按钮。
新类别向导启动。使用下一步按钮进行向导。
- 在“选择策略创建方法”步骤中,指定类型名称并选择“包含所选设备上可执行文件的类别。这些可执行文件被自动处理,它们的度量数据被添加到类别中”选项。
- 单击添加。
- 在打开的窗口中,选择一个或多个设备,其可执行文件将用于创建类别。
- 指定下列设置:
向导完成后,会创建可执行文件的类别。它显示在类别列表中。配置应用程序控制时,可以使用已创建的类别。
查看应用程序类别列表
您可以查看已配置的应用程序类别列表以及每个应用程序类别的设置。
要查看应用程序类别列表,
在主菜单中,转到“操作” → “第三方应用程序” → “应用程序类别”。
将显示含有应用程序类别列表的页面。
要查看应用程序类别的属性,
单击应用程序类别的名称。
将显示应用程序类别的属性窗口。这些属性被分组在几个选项卡上。
在 Kaspersky Endpoint Security for Windows 策略中配置“应用程序控制”
创建“应用程序控制”类别后,可以在 Kaspersky Endpoint Security for Windows 策略中使用它们配置“应用程序控制”。
在 Kaspersky Endpoint Security for Windows 策略中配置“应用程序控制”:
- 在主菜单中,转到“资产(设备)”→“策略和配置文件”。
将显示含有策略列表的页面。
- 单击“Kaspersky Endpoint Security for Windows”策略。
策略设置窗口打开。
- 转到“应用程序设置”→“安全控制”→“应用程序控制”。
将显示带“应用程序控制”设置的“应用程序控制”窗口。
- “应用程序控制”选项默认启用。开启切换按钮应用程序控制已禁用以禁用该选项。
- 在“应用程序控制设置”区块设置中,启用操作模式以应用“应用程序控制”规则并允许 Kaspersky Endpoint Security for Windows 阻止应用程序启动。
如果要测试“应用程序控制”规则,请在“应用程序控制设置”区域启用测试模式。在测试模式中,Kaspersky Endpoint Security for Windows 不会阻止应用程序启动,但会在报告中记录有关所触发规则的信息。单击查看报告链接可查看此信息。
- 如果您希望 Kaspersky Endpoint Security for Windows 在用户启动应用程序时监控 DLL 模块的加载,请启用“控制 DLL 模块加载”选项。
有关模块和加载了模块的应用程序的信息将保存到报告中。
Kaspersky Endpoint Security for Windows 仅监控在选择“控制 DLL 模块加载”选项后加载的 DLL 模块和驱动程序。如果您希望 Kaspersky Endpoint Security for Windows 监控所有 DLL 模块和驱动程序,包括在启动 Kaspersky Endpoint Security for Windows 之前加载的 DLL 模块和驱动程序,请在选择“控制 DLL 模块加载”选项后重新启动计算机。
- (可选)在“消息模板”块中,更改当应用程序被阻止启动时显示的消息模板以及发送给您的电子邮件模板。
- 在“应用程序控制模式”区块设置中,选择“拒绝列表”或“允许列表”模式。
默认情况下,选择“拒绝列表”模式。
- 单击“规则列表设置”链接。
将打开“拒绝列表和允许列表”窗口,您可以在其中添加应用程序类别。默认情况下,如果选择“拒绝列表”模式则选定“拒绝列表”选项卡,如果选择“允许列表”模式则选定“允许列表”选项卡。
- 在“拒绝列表和允许列表”窗口中,单击“添加”按钮。
“应用程序控制规则”窗口将开启。
- 单击“请选择类别”链接。
将打开“应用程序类别”窗口。
- 添加您先前创建的应用程序类别。
可以单击“编辑”按钮来编辑已创建类别的设置。
可以单击“添加”按钮来创建新类别。
可以单击“删除”按钮以从列表中删除类别。
- 完成应用程序类别列表后,单击“确定”按钮。
“应用程序类别”窗口关闭。
- 在“应用程序控制规则”窗口的“主题及其权限”区域中,创建要应用“应用程序控制”规则的用户和用户组列表。
- 单击“确定”按钮以保存设置并关闭“应用程序控制规则”窗口。
- 单击“确定”按钮以保存设置并关闭“拒绝列表和允许列表”窗口。
- 单击“确定”按钮以保存设置并关闭“应用程序控制”窗口。
- 关闭含有 Kaspersky Endpoint Security for Windows 策略设置的窗口。
“应用程序控制”已配置。策略传播到客户端设备后,可执行文件的启动将受到管理。
有关应用程序控制的详细信息,请参阅以下帮助主题:
添加事件相关的可执行文件到应用程序类别
在 Kaspersky Endpoint Security for Windows 策略中配置“应用程序控制”后,以下事件将显示在事件列表中:
- 应用程序启动被禁止(严重事件)。如果已将“应用程序控制”配置为应用规则,则显示此事件。
- 应用程序启动在测试模式中被禁止(信息事件)。如果已将“应用程序控制”配置为测试规则,则显示此事件。
- 向管理员发送的有关应用程序启动禁止的消息(警告事件)。如果已将“应用程序控制”配置为应用规则,并且用户请求访问在启动时被阻止的应用程序,则会显示此事件。
建议创建事件分类以查看与“应用程序控制”操作相关的事件。
您可以将与“应用程序控制”事件相关的可执行文件添加到现有应用程序类别或新的应用程序类别。您只能将可执行文件添加到含有手动添加内容的应用程序类别。
要将与“应用程序控制”事件相关的可执行文件添加到应用程序类别:
- 在主菜单中,转到“监控和报告” → “事件分类”。
将显示事件分类列表。
- 选择事件分类以查看与“应用程序控制”相关的事件并启动此事件分类。
如果尚未创建与“应用程序控制”相关的事件分类,可以选择并启动预定义分类,例如“最近的事件”。
将显示事件列表。
- 选择要将其相关可执行文件添加到应用程序类别的事件,然后单击“分配到类别”按钮。
新类别向导启动。使用下一步按钮进行向导。
- 在向导页面上,指定相关设置:
- 在“对事件相关可执行文件所采取的操作”区域中,选择以下选项之一:
- 在“规则类型”区域中,选择以下选项之一:
- 添加到包含的规则
- 添加到排除的规则
- 在用作条件的参数部分中,选择以下选项之一:
- 单击“确定”。
向导完成后,与“应用程序控制”事件相关的可执行文件将添加到现有应用程序类别或新的应用程序类别。您可以查看您已修改或创建的应用程序类别的设置。
有关应用程序控制的详细信息,请参阅以下帮助主题: