Ausführungsprävention für Objekte

Wenn sich der Interceptor für Dateioperationen nicht im Blockiermodus befindet, wird die Ausführungsprävention von Objekten unabhängig vom festgelegten Ausführungsmodus im Benachrichtigungs-Modus ausgeführt. Bei einer Integration mit Detection and Response-Lösungen kann Kaspersky Endpoint Security im Rahmen einer Maßnahme zur Reaktion auf eine Bedrohung den Start ausführbarer Dateien und Skripte sowie das Öffnen von Office-Dateien auf dem Gerät überwachen. Die Ausführungsprävention für Objekte unterstützt eine bestimmte Auswahl von Erweiterungen für Office-Programme und eine bestimmte Auswahl von Skript-Interpretern. Durch das Verbot, Objekte zu starten, kann die Ausbreitung einer Bedrohung gestoppt werden.

Die Ausführungsprävention für Objekte erfolgt auf Grundlage der Regeln der Ausführungsprävention. Eine Regel der Ausführungsprävention besteht aus einer Reihe von Kriterien, die Kaspersky Endpoint Security bei der Reaktion auf einen gestarteten Prozess berücksichtigt. Ein Objekt muss alle Kriterien einer Regel zur Ausführungsprävention erfüllen, damit die Anwendung den Start des Objekts blockiert. Die Anwendung identifiziert Dateien anhand ihres Pfads oder ihrer Prüfsumme und verwendet dabei die Hash-Algorithmen MD5 und SHA256.

Die Ausführungsprävention für Objekte steht in Kaspersky Endpoint Security zur Verfügung, wenn eine der folgenden Bedingungen erfüllt ist:

• Die Integration der Anwendung "Kaspersky Endpoint Security" mit der Komponente "Kaspersky Endpoint Detection and Response (KATA)" ist aktiviert und die Lösung "Kaspersky Anti Targeted Attack Platform" ist aktiviert.
• Die Integration der Anwendung "Kaspersky Endpoint Security" mit der Lösung "Kaspersky Endpoint Detection and Response Optimum" ist aktiviert und die Komponente "EDR Optimum" ist aktiviert.

Wenn sich der Interceptor für Dateioperationen nicht im Blockiermodus befindet, wird die Ausführungsprävention von Objekten unabhängig vom festgelegten Modus im Benachrichtigungs-Modus ausgeführt.

Standardmäßig ist die Ausführungsprävention für Objekte deaktiviert.

Das Aktivieren der Ausführungsprävention für Objekte kann sich auf die Startgeschwindigkeit einer Anwendung im Betriebssystem auswirken.

Damit die Ausführungsprävention von Objekten funktioniert, müssen Sie die Anwendung der Regel zur Ausführungsprävention von Objekten aktivieren.

Funktionen der Ausführungsprävention von Objekten bei einer Integration mit Kaspersky Endpoint Detection and Response (KATA)

Bei einer Integration der Anwendung "Kaspersky Endpoint Security" mit der Komponente "Kaspersky Endpoint Detection and Response (KATA)" verwendet die Anwendung die Regeln zur Ausführungsprävention von Objekten der EDR (KATA)-Komponente. Die Anwendung erhält diese Regeln von Kaspersky Endpoint Detection and Response (KATA).

Bei der Integration mit der Komponente "Kaspersky Endpoint Detection and Response (KATA)" können Sie Folgendes tun:

• Die Anwendung der Regeln der in der Komponente EDR (KATA) enthaltenen Ausführungsprävention von Objekten über die Web Console, die Verwaltungskonsole oder die Befehlszeile aktivieren und deaktivieren.

  Wenn Regeln der Ausführungsprävention ausgelöst werden, sendet Kaspersky Endpoint Security einen Bericht an Kaspersky Anti Targeted Attack Platform.

• Die Liste mit den Regeln der Ausführungsprävention von Objekten der EDR (KATA)-Komponente in der Befehlszeile anzeigen.

Funktionen der Ausführungsprävention von Objekten bei einer Integration mit Kaspersky Endpoint Detection and Response Optimum

Bei einer Integration der Anwendung "Kaspersky Endpoint Security" mit der Lösung "Kaspersky Endpoint Detection and Response Optimum" verwendet die Anwendung die Regeln zur Ausführungsprävention von Objekten der Komponente "EDR Optimum". Diese Regeln erstellen Sie manuell in der Web Console. Sie können auch im Fenster mit den Alarmdetails automatisch Regeln zur Ausführungsprävention erstellen.

Bei der Integration mit Kaspersky Endpoint Detection and Response Optimum können Sie Folgendes tun:

• Die Anwendung der Regeln der in der Komponente EDR Optimum enthaltenen Ausführungsprävention für Objekte über die Web Console oder die Befehlszeile aktivieren und deaktivieren.
• Die Regeln der Ausführungsprävention für Objekte der Komponente "EDR Optimum" in der Web Console erstellen und konfigurieren.

  Sie können auch automatisch eine Regel zur Ausführungsprävention eines Objekts erstellen, indem Sie den Start der Datei im Fenster mit den Alarmdetails verbieten. Die Regel der Ausführungsprävention wird der Richtlinie jener Administrationsgruppe hinzugefügt, zu der das Gerät gehört.

  Sie können die Ausführung von Dateien im Fenster mit den Alarmdetails nur dann blockieren, wenn das Gerät von einer Richtlinie abgedeckt wird.

• Die Liste mit den Regeln der Ausführungsprävention für Objekte der Komponente "EDR Optimum" in der Befehlszeile anzeigen.

Bei einer Integration mit Kaspersky Endpoint Detection and Response Optimum kann die Ausführungsprävention für Objekte in einem von zwei Modi erfolgen:

• Blockieren. In diesem Modus blockiert die Anwendung die Ausführung von Objekten oder das Öffnen von Dokumenten, die den Kriterien von Regeln zur Ausführungsprävention entsprechen. Außerdem wird im Protokoll über Versuche, ausführbare Objekte zu starten oder Dokumente zu öffnen, ein Ereignis aufgezeichnet.

  Kaspersky Endpoint Security blockiert die Ausführung von Skripten, die durch die Ausführungsprävention verboten sind, auch wenn sie von einem erlaubten Skript importiert wurden.

• Informieren. In diesem Modus protokolliert die Anwendung Ereignisse über Versuche, ausführbare Objekte zu starten oder Dokumente zu öffnen, die den Kriterien von Regeln zur Ausführungsprävention entsprechen, blockiert die Ausführung oder das Öffnen jedoch nicht. Dieser Modus ist standardmäßig ausgewählt.

Einschränkungen der Ausführungsprävention für Objekte

Für die Ausführungsprävention für Objekte, gelten die folgenden Einschränkungen:

• Objekte, die in Regeln der Ausführungsprävention angegeben sind, werden erst nach dem Start von Kaspersky Endpoint Security blockiert.
• Kaspersky Endpoint Security blockiert keine Dateien, die während der Erstellung oder Änderung der Regel zur Ausführungsprävention geöffnet sind.
• Das Kaspersky Endpoint Security blockiert nicht die Arbeit mit Objekten, die vor der Erstellung oder Änderung einer Regel der Ausführungsprävention gestartet wurden und den neu definierten Regeln entsprechen.
• Bestimmte Dateien können für den Betrieb des Betriebssystems und der Anwendung von kritischer Bedeutung sein. Die Ausführungsprävention für solche Dateien kann die Funktionen des Betriebssystems stören.
• Es wird nicht empfohlen, mehr als 50.000 Regeln für die Ausführungsprävention zu erstellen. Andernfalls kann es zu Systeminstabilitäten kommen.

In diesem Abschnitt Ausführungsprävention für Objekte in der Web Console konfigurieren Ausführungsprävention für Objekte in der Verwaltungskonsole konfigurieren Ausführungsprävention für Objekte über die Befehlszeile konfigurieren

Nach oben