Konfigurowanie zapobiegania wykonywaniu

Możesz zdefiniować ustawienia, zgodnie z którymi Kaspersky Endpoint Security Cloud będzie blokować uruchamianie określonych obiektów (plików wykonywalnych i skryptów) lub otwieranie dokumentów pakietu Microsoft Office na urządzeniach użytkowników.

Następnie, analizując alerty Endpoint Detection and Response, możesz dodać wykryty obiekt do listy reguł ochrony przed wykonywaniem, aby zapobiec jego wykonaniu w przyszłości na tym samym i innych urządzeniach.

Zapobieganie wykonaniu ma następujące ograniczenia:

Reguły zapobiegania nie obejmują plików na dyskach CD, DVD ani w obrazach ISO. Aplikacja zabezpieczająca nie blokuje uruchamiania ani otwierania tych plików.
Nie można zablokować uruchamiania obiektu krytycznego dla systemu (SCO). Obiekty SCO to pliki niezbędne do działania systemu operacyjnego i aplikacji zabezpieczającej.
Możesz dodać maksymalnie 1000 reguł ochrony przed wykonywaniem.

W celu skonfigurowania ochrony przed wykonywaniem:

Otwórz Konsolę zarządzającą Kaspersky Endpoint Security Cloud.
Wybierz sekcję Zarządzanie ochroną → Endpoint Detection and Response.
Kliknij Ustawienia odpowiedzi → Ochrona przed wykonywaniem.
Ustaw przełącznik na Ochrona przed wykonywaniem jest włączona .
W obszarze Akcja wybierz akcję, która zostanie wykonana, gdy użytkownik spróbuje wykonać lub otworzyć jeden z określonych niechcianych obiektów:
- Zablokuj i dodaj do dziennika zdarzeń (domyślnie)
  Informacja o wykryciu jest dodawana do Dziennika zdarzeń. Wykonanie lub otwarcie obiektu jest zablokowane.
- Tylko dodaj do dziennika zdarzeń
  Informacja o wykryciu jest dodawana do Dziennika zdarzeń. Żadne inne działania nie są podejmowane.
W obszarze Reguły ochrony przed wykonywaniem określ listę obiektów kontrolowanych przez funkcję Ochrona przed wykonywaniem.
Wykonaj jedną z następujących czynności:
- W celu dodania reguły ochrony przed wykonywaniem:
  1. Kliknij przycisk Dodaj.
  2. W otwartym oknie Dodaj regułę ochrony przed wykonywaniem zdefiniuj ustawienia reguły zgodnie z opisem w dalszej części tej sekcji.
  3. Kliknij Zapisz, aby zamknąć okno Dodaj regułę ochrony przed wykonywaniem.
- Aby włączyć lub wyłączyć dodaną regułę zapobiegania wykonaniu, ustaw przełącznik obok tej reguły w żądanym stanie:
  - Jeśli przełącznik jest zielony, reguła jest włączona. Wykryto wykonanie lub otwarcie obiektu określonego w ustawieniach reguły.
    Domyślnie nowo dodana reguła jest włączona.
  - Jeśli przełącznik jest szary, reguła jest wyłączona. Zignorowano wykonanie lub otwarcie obiektu określonego w ustawieniach reguły.
- W celu edytowania dodanej reguły zapobiegania wykonywaniu:
  1. Zaznacz pole wyboru obok wymaganego wpisu.
  2. Kliknij przycisk Edit.
  3. W otwartym oknie Edit execution prevention rule zdefiniuj nowe ustawienia reguły w sposób opisany w dalszej części tej sekcji.
  4. Kliknij Zapisz, aby zamknąć okno Edit execution prevention rule.
- W celu usunięcia dodanej reguły ochrony przed wykonywaniem:
  1. Zaznacz pole wyboru obok wymaganych reguł.
  2. Kliknij przycisk Usuń.
Kliknij Zapisz, aby zapisać zmiany.

Zaktualizowano listę reguł ochrony przed wykonywaniem.

W celu zdefiniowania ustawień reguły ochrony przed wykonywaniem:

Zacznij dodawać lub edytować regułę, jak opisano wcześniej w tej sekcji.
W polu Nazwa reguły wprowadź nazwę reguły.
Wybierz kryteria, według których chcesz określić wymagany obiekt.
Możesz określić dowolne z następujących kryteriów:
- Ścieżka do obiektu
  Jeśli chcesz określić obiekt według jego ścieżki, wybierz z listy opcję Używaj, a następnie wprowadź wartość.
- Suma kontrolna obiektu
  Jeśli chcesz określić obiekt za pomocą sumy kontrolnej MD5 lub SHA256, wybierz żądaną wartość z listy, a następnie wprowadź wartość sumy kontrolnej.
Jeśli określisz oba kryteria, reguła zostanie zastosowana do obiektów, które spełniają oba kryteria jednocześnie.
Kliknij Zapisz, aby zapisać zmiany.

Zdefiniowane ustawienia zostaną zapisane.

Przejdź do góry