被忽略的杀器——应用程序控制教程

显示全部楼层 · 发表于 2016-3-19 14:18:22

本帖最后由 ccboxes 于 2016-3-19 22:27 编辑

最近更换了新电脑，尘封已久的折腾之心又蠢蠢欲动了

，就装上了卡巴，使用一如既往的流畅，当然既然要折腾，自然要把所有的功能都玩一遍。在过程中，我意外的发现一直以来都受到忽视的应用程序控制其实非常好用，依托KSN，应用程序控制做到了安全与便利并重，但坛友却普遍反映不会调规则，看不懂弹窗，白白浪费了如此杀器，可惜之余，奉上教程一篇，供坛友参考。

环境：windows 10 X64 10586
版本：KIS 2016 MR0 E补丁

一、什么是应用程序控制？

应用程序控制是卡巴KIS以上版本自带的HIPS模块（不是主防！）。所谓HIPS，就是主机入侵防御系统的英文缩写，分注册表防护（RD），文件防护（FD），应用程序防护（AD）三块，在程序运行时拦截程序所有的行为并弹窗报告用户是否放行，一般可以通过预先设定规则来减少弹窗，增加易用性。实质上是一种把系统控制权完全交给用户的安全工具。卡巴的应用程序控制，将AD单列为“管理应用程序”，将FD与RD合并为“管理资源”通过信誉云实时调整分组，配以直观的界面，大大简化了HIPS的使用难度。
在下文中，应用程序控制将缩写为AC（Application Control）

二、准备工作

默认情况下，AC直接放行大部分程序的行为，我们需要收紧AC的设置。
如果勾选自动执行推荐的操作，即使你在AC中设置询问也会放行，因此取消勾选。

卡巴对签名程序默认信任，这不利于防流氓，因此取消勾选。

在不勾选自动执行推荐的操作后，卡巴的弹窗数目会大幅提升，为减少不必要的打扰，如下设置。

准备工作结束。

三、管理应用程序

点击AC设置页面中的管理应用程序，打开如下页面。

打开程序分组，以受信任组为例

在任意程序或分组上右击，可以打开子菜单进行详细设置。

点击细节与规则（以受信任组为例），可以看到卡巴能控制的所有行为。

点击操作一栏中的对号来改变权限

由于所列程序行为太多，详细讲每个行为都可以写一篇文章，故只大略说说（主要是收紧受信任组的设置，防止漏毒，其余三组默认即可。）
访问其他进程分组中的行为除注入其他进程外其实绝大部分都是正常的，推荐注入设置为询问，其余放行。
操作系统修改分组中行为有可能正常，也有可能不正常，推荐除退出Windows（需要自动关机的坛友手动将你使用的程序设为允许）和访问用户账号设置为询问（针对敲竹杠），其余放行。
“传说级强迫症折腾手”也可以建立子组或新组细化管理，对于普通折腾手，这样就够了。简单几步设置就可以结束，又兼顾高级用户的需求，这是依托云的AC在便利性上的优势。

四、管理资源

点击AC设置页面中的管理资源，打开如下页面。
点击某一分组，可在右侧设置程序访问其的权限。

选中某一组，再点击添加，即可增加分组或文件，以用户文件为例，针对加密勒索设置规则如下。

设置完成后如下，在右侧规定即使是受信任组也只能读取我的文档，其余操作必须询问。

同样非常简单，“传说级强迫症折腾手”也可以自己添加要保护的文件和注册表项。

五、弹窗解释

似乎有不少人看不太懂卡巴的弹窗，我表示不太能理解，就捡一个常见的说说。
看卡巴的弹窗你要学会断句，从左到右，从上到下的五个红框中的内容分别是
程序所属信任组、执行动作的程序X（这里是IE Tab的小程序）、被操作的文件所属组别、被操作的文件类型、程序X所执行的动作。

结束，希望能帮到大家。

PS：本文旨在为想折腾的小白提供初级指导，若完全按照本文设置，仍会有不少弹窗，还需慢慢打磨。

显示全部楼层 · 发表于 2016-3-19 14:23:10

我昨天刚装上卡巴，也发现了应用程序控制很给力，

显示全部楼层 · 发表于 2016-3-19 14:24:58

由于系统限制，win8以上系统卡巴HIPS有几个相当精彩的功能再也不能实现了。。。。。。
比如：防止程序截屏，键盘钩子啥的。。。

显示全部楼层 · 发表于 2016-3-19 14:42:02

前来支持！

其实只要把kaspersky应用程序控制的低限制组的默认联网给禁了，能阻挡住N多流氓软件

一条规则就很好用

显示全部楼层 · 发表于 2016-3-19 16:32:34

感觉还是用不来啊，如果安装未知程序，生成几个子程序执行，卡巴都要“分析”一下，有点累赘。国际评测里是默认设置都能不错成绩，这个功能比较鸡肋

显示全部楼层 · 发表于 2016-3-19 16:33:50

aiqinghe 发表于 2016-3-19 14:42
前来支持！其实只要把kaspersky应用程序控制的低限制组的默认联网给禁了，能阻挡住N多流氓软件 ...

那个是防火墙的功能，关了应用控制也能用，不过也有集成在应用程序控制里。。

显示全部楼层 · 发表于 2016-3-19 16:45:21

不错，前来支持。

显示全部楼层 · 发表于 2016-3-19 16:45:54

pal家族发表于 2016-3-19 14:24
由于系统限制，win8以上系统卡巴HIPS有几个相当精彩的功能再也不能实现了。。。。。。
比如：防止程序截屏 ...

我也觉得这些功能很好，只不过短时间内估计没戏。

显示全部楼层 · 发表于 2016-3-19 16:54:22

xzy0215 发表于 2016-3-19 16:45
我也觉得这些功能很好，只不过短时间内估计没戏。

只有全面应用虚拟化技术才行，但是这样的话需要用虚拟化技术的软件就打不开了，这样更糟糕。

显示全部楼层 · 发表于 2016-3-19 17:30:20

cfhdrty 发表于 2016-3-19 16:33
那个是防火墙的功能，关了&# ...

我知道阻止联网是防火墙的功能，可是我用的是应用程序控制的低限制组功能啊。。。阻止程序联网是个防火墙都会有这类功能，但是得一个个程序阻止，像卡巴AC这样根据启发和KSN自动确认分组的功能很少的，很方便统一管理而且优化的很好。

[已解决] 被忽略的杀器——应用程序控制教程

评分

本帖被以下淘专辑推荐: