与 Detection and Response 解决方案集成时,Kaspersky Endpoint Security 可以控制可执行文件和脚本的执行以及设备上办公应用程序文件的打开操作,作为威胁响应操作。对象的执行防护支持特定的一组办公应用程序文件扩展名和特定的一组脚本解释器。通过阻止启动对象,您可以阻止威胁蔓延。
对象的执行防护基于执行预防规则。执行防护规则是 Kaspersky Endpoint Security 应用程序在响应对象执行时考虑的一组标准。仅当对象满足执行防护规则的所有条件时,应用程序才会阻止该对象的执行。应用程序通过文件路径或 MD5 或 SHA256 校验和来识别文件。
如果满足以下条件之一,则 Kaspersky Endpoint Security 应用程序中可使用执行防护功能:
默认情况下,对象的执行防护被禁用。
启用对象的执行防护可能会影响操作系统中应用程序的启动速度。
为确保对象执行防护功能生效,您需要启用执行防护规则。
与 Kaspersky Endpoint Detection and Response (KATA) 集成时使用对象执行防护的特殊注意事项
当 Kaspersky Endpoint Security 与 Kaspersky Endpoint Detection and Response (KATA) 组件集成时,应用程序将使用 EDR (KATA) 组件的对象执行防护规则。应用程序将从 Kaspersky Endpoint Detection and Response (KATA) 获取这些规则。
与 Kaspersky Endpoint Detection and Response (KATA) 组件集成时,您可以:
当触发执行防护规则时,Kaspersky Endpoint Security 会向 Kaspersky Anti Targeted Attack Platform 发送报告。
与 Kaspersky Endpoint Detection and Response Optimum 集成时使用对象执行防护的特殊注意事项
当 Kaspersky Endpoint Security 与 Kaspersky Endpoint Detection and Response Optimum 解决方案集成时,应用程序将使用 EDR Optimum 组件的对象执行防护规则。您可以在 Web Console 中手动创建这些规则。您还可以在警报详情窗口中自动创建执行防护规则。
与 Kaspersky Endpoint Detection and Response Optimum 集成时,您可以:
您还可以通过在警报详情窗口中阻止文件执行来自动为对象创建执行防护规则。执行防护规则被添加到设备所属管理组的策略中。
仅当策略应用于设备时,您才可以在警报详情窗口中阻止文件的执行。
与 Kaspersky Endpoint Detection and Response Optimum 集成时,对象执行防护可以采用以下两种模式之一运行:
Kaspersky Endpoint Security 应用程序会阻止执行被运行预防规则禁止的脚本,即使该脚本由允许的脚本导入。
对象的执行防护的限制
对象的执行防护规则存在以下限制: