É possível definir as configurações de acordo com as quais o Kaspersky Endpoint Security for Windows impede a execução de determinados objetos (arquivos executáveis e scripts) ou a abertura de documentos do Microsoft Office nos dispositivos de seus usuários.
Posteriormente, ao analisar os alertas do Endpoint Detection and Response, é possível adicionar um objeto detectado na lista de regras de prevenção de execução, para evitar a execução futura no mesmo e em outros dispositivos.
A prevenção de execução tem as seguintes limitações:
As regras de prevenção não abrangem arquivos em CDs, DVDs ou imagens ISO. O Kaspersky Endpoint Security for Windows não bloqueia a execução ou abertura desses arquivos.
É impossível bloquear a inicialização de objetos críticos do sistema (SCO). SCOs são arquivos que o sistema operacional e o Kaspersky Endpoint Security for Windows precisam para serem executados.
É possível adicionar até mil regras de prevenção de execução.
Selecione a seção Gerenciamento de segurança → Endpoint Detection and Response.
Clique em Configurações de resposta → Prevenção de execução.
Defina o botão de alternância em A prevenção de execução está ativada.
Em Ação, selecione a ação a ser executada quando o usuário tentar executar ou abrir um dos objetos indesejados especificados:
Bloquear e adicionar no log de eventos (por padrão)
As informações sobre a detecção são adicionadas no log de eventos. A execução ou abertura do objeto está bloqueada.
Adicionar apenas no log de eventos
As informações sobre a detecção são adicionadas no log de eventos. Nenhuma outra ação é adotada.
Em Regras de prevenção de execução, especifique a lista de objetos controlados pela prevenção de execução.
Execute uma das seguintes ações:
Para adicionar uma regra de prevenção de execução:
Clique no botão Adicionar.
Na janela aberta Adicionar uma regra de prevenção de execução, defina as configurações da regra, conforme descrito posteriormente nesta seção.
Clique em Salvar para fechar a janela Adicionar uma regra de prevenção de execução.
Para ativar ou desativar uma regra de prevenção de execução, defina o botão de alternância ao lado da regra no estado desejado:
Caso o botão de alternância esteja verde, a regra estará ativada. A execução ou abertura do objeto especificado nas configurações da regra é detectada.
Por padrão, uma regra recém-adicionada é ativada.
Caso o botão de alternância esteja cinza, a regra de acesso estará desativada. A execução ou abertura do objeto especificado nas configurações da regra é ignorada.
Para editar uma regra de prevenção de execução adicionada:
Marque a caixa de seleção ao lado da regra requerida.
Clique no botão Editar.
Na janela aberta Editar regra de prevenção de execução, defina as novas configurações da regra, conforme descrito posteriormente nesta seção.
Clique em Salvar para fechar a janela Editar regra de prevenção de execução.
Para excluir as regras de prevenção de execução adicionadas:
Marque as caixas de seleção ao lado das regras requeridas.
Clique no botão Excluir.
Clique em Salvar para salvar as alterações.
A lista de regras de prevenção de execução é atualizada.
Para definir as configurações de uma regra de prevenção de execução:
Comece adicionando ou editando uma regra, conforme descrito anteriormente nesta seção.
No campo Nome da regra, insira o nome da regra.
Selecione os critérios de acordo com os quais deseja especificar o objeto necessário.
É possível especificar qualquer um dos seguintes critérios:
Caminho para o objeto
Caso queira especificar o objeto pelo, selecione Usar na lista e insira o valor.
Soma de verificação do objeto
Caso queira especificar o objeto pela soma de verificação MD5 ou SHA256 dele, selecione o valor necessário na lista e insira o valor da soma de verificação.
Caso queira especificar ambos os critérios, a regra será aplicada a objetos que correspondam a ambos simultaneamente.