Sie können Einstellungen festlegen, nach denen Kaspersky Endpoint Security für Windows die Ausführung bestimmter Objekte (ausführbare Dateien und Skripte) oder das Öffnen von Microsoft Office-Dokumenten auf den Geräten Ihrer Benutzer verhindert.
Wenn Sie später die Alarme von Endpoint Detection and Response analysieren, möchten Sie ein erkanntes Objekt möglicherweise zur Liste mit Präventionsregeln für die Ausführung hinzufügen, um dessen Ausführung auf demselben Gerät und auf weiteren Geräten zukünftig zu verhindern.
Die Ausführungsprävention besitzt folgende Einschränkungen:
Die Präventionsregeln decken keine Dateien auf CDs, DVDs oder in ISO-Images ab. Kaspersky Endpoint Security für Windows blockiert das Ausführen oder Öffnen dieser Dateien nicht.
Es ist nicht möglich, den Start eines systemkritischen Objekts (SCO) zu blockieren. SCOs sind Dateien, die zur Ausführung des Betriebssystems und von Kaspersky Endpoint Security für Windows erforderlich sind.
Sie können bis 1.000 Präventionsregeln für die Ausführung hinzufügen.
Wählen Sie den Abschnitt Sicherheitsverwaltung → Endpoint Detection and Response aus.
Klicken Sie auf Reaktionseinstellungen → Ausführungsprävention.
Schalten Sie den Umschalter in die Stellung Die Ausführungsprävention ist aktiviert.
Wählen Sie unter Aktion die auszuführende Aktion aus, wenn der Benutzer versucht, eines der angegebenen unerwünschten Objekte auszuführen oder zu öffnen:
Blockieren und dem Ereignisprotokoll hinzufügen (standardmäßig)
Die Informationen über die Entdeckung werden dem Ereignisprotokoll hinzugefügt. Die Ausführung oder das Öffnen des Objekts werden blockiert.
Nur dem Ereignisprotokoll hinzufügen
Die Informationen über die Entdeckung werden dem Ereignisprotokoll hinzugefügt. Es werden keine weiteren Aktionen ausgeführt.
Geben Sie unter Regeln zur Ausführungsprävention die Liste mit den Objekten an, die von der Ausführungsprävention kontrolliert werden.
Führen Sie eine der folgenden Aktionen aus:
So fügen Sie eine Präventionsregel für die Ausführung hinzu:
Klicken Sie auf die Schaltfläche Hinzufügen.
Legen Sie im sich öffnenden Fenster Regel zur Ausführungsprävention hinzufügen die Regeleinstellungen so fest, wie weiter unten in diesem Abschnitt beschrieben.
Klicken Sie auf Speichern, um das Fenster Regel zur Ausführungsprävention hinzufügen zu schließen.
Um eine hinzugefügte Präventionsregel für die Ausführung zu aktivieren oder zu deaktivieren, setzen Sie den Umschalter neben dieser Regel in die entsprechende Stellung:
Ist der Umschalter grün, so ist die Regel aktiviert. Die Ausführung oder das Öffnen des in den Regeleinstellungen angegebenen Objekts wird erkannt.
Standardmäßig sind neu hinzugefügte Regeln aktiviert.
Ist der Schalter grau, so ist die Regel deaktiviert. Die Ausführung oder das Öffnen des in den Regeleinstellungen angegebenen Objekts wird ignoriert.
So bearbeiten Sie eine hinzugefügte Präventionsregel für die Ausführung:
Aktivieren Sie das Kontrollkästchen neben der entsprechenden Regel.
Klicken Sie auf die Schaltfläche Ändern.
Legen Sie im sich öffnenden Fenster Regel zur Ausführungsprävention bearbeiten die Regeleinstellungen so fest, wie weiter unten in diesem Abschnitt beschrieben.
Klicken Sie auf Speichern, um das Fenster Regel zur Ausführungsprävention bearbeiten zu schließen.
So löschen Sie hinzugefügte Präventionsregeln für die Ausführung:
Aktivieren Sie die Kontrollkästchen neben den entsprechenden Regeln.
Klicken Sie auf die Schaltfläche Löschen.
Klicken Sie auf Speichern, um die Änderungen zu speichern.
Die Liste der Präventionsregeln für die Ausführung wird aktualisiert.
So legen Sie die Einstellungen einer Präventionsregel für die Ausführung fest:
Beginnen Sie mit dem Hinzufügen oder Bearbeiten einer Regel, wie weiter oben in diesem Abschnitt beschrieben.
Geben Sie im Feld Regelname den Namen der Regel ein.
Wählen Sie die Kriterien aus, nach denen Sie das gewünschte Objekt angeben möchten.
Geben Sie eine der folgenden Kriterien an:
Pfad zum Objekt
Wenn Sie das Objekt anhand seines Pfads angeben möchten, wählen Sie in der Liste Verwenden aus und geben Sie anschließend den Wert ein.
Prüfsumme des Objekts
Wenn Sie das Objekt anhand seiner MD5- oder SHA256-Prüfsumme angeben möchten, wählen Sie den erforderlichen Wert in der Liste aus und geben Sie anschließend den Wert der Prüfsumme ein.
Wenn Sie beide Kriterien angeben, wird die Regel auf Objekte angewendet, die beide Kriterien gleichzeitig erfüllen.
Klicken Sie auf Speichern, um die Änderungen zu speichern.
Die festgelegten Einstellungen werden gespeichert.