О правилах контроля программ

Правило контроля программ представляет собой набор параметров, необходимых для работы задачи Контроль программ:

• Принадлежность программы к категории программ. Категория программ – это группа программ, обладающих общими признаками. Например, категория, в которую входят исполняемые файлы установленных программ, или категория программ, необходимых для работы, в которую входит стандартный набор программ, используемых в организации. Вы можете использовать одну и ту же категорию только в одном правиле. Использование KL-категорий Kaspersky Security Center не поддерживается.
• Разрешение или запрещение выбранным пользователям и / или группам пользователей запускать программы. Вы можете указать пользователя и / или группу пользователей, которым разрешен или запрещен запуск программ из указанной категории.
• Условие срабатывания правила. Условие представляет собой соответствие "тип условия - критерий условия - значение условия". На основании условий срабатывания правила Kaspersky Industrial CyberSecurity for Linux Nodes применяет или не применяет правило к программе. В правилах используются включающие и исключающие условия:
  • Включающие условия. Kaspersky Industrial CyberSecurity for Linux Nodes применяет правило к программе, если программа соответствует хотя бы одному включающему условию.
  • Исключающие условия. Kaspersky Industrial CyberSecurity for Linux Nodes не применяет правило к программе, если программа соответствует хотя бы одному исключающему условию или не соответствует ни одному включающему условию.

  Условия срабатывания правила формируются с помощью следующих критериев:

  • имя исполняемого файла программы;
  • имя директории с исполняемым файлом программы;
  • хеш (SHA-256) исполняемого файла программы.

  Для каждого критерия, используемого в условии, вам нужно указать его значение.

  Для указания имен файлов и директорий можно использовать маски.

  Вы можете использовать символ * (звездочка) для формирования маски имени файла или директории.

  Вы можете указать один символ * вместо любого набора символов (включая пустой набор), предшествующего символу / в имени файла или директории. Например, /dir/*/file или /dir/*/*/file.

  Вы можете указать два последовательно идущих символа * вместо любого набора символов (включая пустой набор) в имени файла или директории, включающего символ /. Например, /dir/**/file*/ или /dir/file**/.

  Маску ** можно использовать в имени директории только один раз. Например, /dir/**/**/file – это неправильная маска.

  Для исключения точки монтирования /dir требуется указывать именно /dir (без звездочек).

  Маска /dir/* исключает все точки монтирования на уровень ниже от /dir, но не саму точку монтирования /dir. Маска /dir/** исключает все точки монтирования на любом уровне вложенности под /dir, но не саму точку монтирования /dir.

  Вы можете использовать символ ? вместо любого одного символа в имени файла или директории.

  Если параметры запускаемой программы соответствуют значениям критериев, указанных во включающем условии, правило срабатывает. В этом случае Контроль программ выполняет действие, указанное в правиле. Если параметры программы соответствуют значениям критериев, указанных в исключающем условии, Контроль программ не контролирует запуск программы.

Для каждого режима работы задачи Контроля программ вам нужно создать отдельные правила, а также выбрать действие, которое задача Контроль программ должна выполнять при обнаружении попытки запуска программы: применять правила или тестировать правила.

Правила контроля программ имеют три статуса работы:

• Включено – правило включено, программа Kaspersky Industrial CyberSecurity for Linux Nodes применяет это правило во время работы задачи Контроль программ.
• Выключено – правило выключено и не используется во время работы задачи Контроль программ.
• Тест – программа Kaspersky Industrial CyberSecurity for Linux Nodes разрешает запуск программ, которые удовлетворяют условиям правила, но регистрирует информацию о запуске этих программ в отчете.

Статус работы правила имеет более высокий приоритет чем действие, указанное в правиле.