Ausführungsprävention für Objekte in der Web Console konfigurieren

Konfiguration der Ausführungsprävention für Objekte EDR (KATA).

Wenn die Integration mit der Lösung "Kaspersky Endpoint Detection and Response Expert (on-premise)" oder mit der Komponente Kaspersky Endpoint Detection and Response (KATA) aktiviert ist, können Sie die Ausführungsprävention für Objekte in den Richtlinieneigenschaften (Anwendungsparameter → Detection and Response → Endpoint Detection and Response (KATA)) aktivieren oder deaktivieren.

Der Umschalter Ausführungsprävention von Objekten im Einstellungsblock Ausführungsprävention von Objekten aktiviert oder deaktiviert die Anwendung der Regeln der Ausführungsprävention von Objekten der EDR (KATA)-Komponente.

Konfiguration der Ausführungsprävention für Objekte EDR Optimum.

Wenn die Integration mit Kaspersky Endpoint Detection and Response Optimum aktiviert ist, können Sie die Ausführungsprävention von Objekten aktivieren und deaktivieren sowie Regeln für die Ausführungsprävention von Objekten in der Komponente "EDR Optimum" konfigurieren:

In den Richtlinieneigenschaften (Anwendungseinstellungen → Detection and Response → Endpoint Detection and Response Optimum)
In den Geräteeigenschaften (Assets (Geräte) → Verwaltete Geräte → Link <Gerätename> → Anwendungen → Link <Name von Kaspersky Endpoint Security> → Anwendungseinstellungen → Detection and Response → Endpoint Detection and Response Optimum)

Das Aktivieren und Deaktivieren der Ausführungsprävention von Objekten ist in den Geräteeigenschaften nicht verfügbar, wenn das Gerät durch eine Richtlinie verwaltet wird ist.

Parameter der Ausführungsprävention für Objekte EDR Optimum.

Einstellung	Beschreibung
Ausführungsprävention für Objekte aktiviert/deaktiviert	Aktiviert oder deaktiviert die Anwendung der Regeln der Ausführungsprävention der Komponente "EDR Optimum". Standardmäßig ist die Anwendung der Regeln deaktiviert.
Aktion beim Starten oder Öffnen eines Objekts	Sie können den Ausführungsmodus der Ausführungsprävention von Objekten auswählen: Blockieren. In diesem Modus blockiert die Anwendung die Ausführung von Objekten oder das Öffnen von Dokumenten, die den Kriterien von Regeln zur Ausführungsprävention entsprechen. Außerdem wird im Ereignisprotokoll über Versuche, ausführbare Objekte zu starten oder Dokumente zu öffnen, ein Ereignis aufgezeichnet. Informieren. In diesem Modus protokolliert die Anwendung im Ereignisprotokoll ein Ereignis über Versuche, ausführbare Objekte zu starten oder Dokumente zu öffnen, die den Kriterien von Regeln zur Ausführungsprävention entsprechen, blockiert die Ausführung oder das Öffnen jedoch nicht. Dieser Modus ist standardmäßig ausgewählt.
Liste mit den Regeln zur Ausführungsprävention von Objekten	Der Link Hinzufügen öffnet ein Fenster, in dem Sie eine Regel zur Ausführungsprävention von Objekten der Komponente "EDR Optimum" konfigurieren können. Bei Bedarf können Sie eine Regel über die Schaltfläche Löschen aus der Liste entfernen.

Einstellung

Beschreibung

Ausführungsprävention für Objekte aktiviert/deaktiviert

Aktiviert oder deaktiviert die Anwendung der Regeln der Ausführungsprävention der Komponente "EDR Optimum".

Standardmäßig ist die Anwendung der Regeln deaktiviert.

Aktion beim Starten oder Öffnen eines Objekts

Sie können den Ausführungsmodus der Ausführungsprävention von Objekten auswählen:

Blockieren. In diesem Modus blockiert die Anwendung die Ausführung von Objekten oder das Öffnen von Dokumenten, die den Kriterien von Regeln zur Ausführungsprävention entsprechen. Außerdem wird im Ereignisprotokoll über Versuche, ausführbare Objekte zu starten oder Dokumente zu öffnen, ein Ereignis aufgezeichnet.
Informieren. In diesem Modus protokolliert die Anwendung im Ereignisprotokoll ein Ereignis über Versuche, ausführbare Objekte zu starten oder Dokumente zu öffnen, die den Kriterien von Regeln zur Ausführungsprävention entsprechen, blockiert die Ausführung oder das Öffnen jedoch nicht. Dieser Modus ist standardmäßig ausgewählt.

Liste mit den Regeln zur Ausführungsprävention von Objekten

Der Link Hinzufügen öffnet ein Fenster, in dem Sie eine Regel zur Ausführungsprävention von Objekten der Komponente "EDR Optimum" konfigurieren können.

Bei Bedarf können Sie eine Regel über die Schaltfläche Löschen aus der Liste entfernen.

So fügen Sie der Liste eine Regel zur Ausführungsprävention von Objekten der Komponente "EDR Optimum" hinzu:

Klicken Sie auf die Schaltfläche Hinzufügen oberhalb der Liste mit den Regeln zur Ausführungsprävention von Objekten.
Geben Sie im folgenden Fenster den Namen der Regel zur Ausführungsprävention ein.
Geben Sie den Ausführungsstatus der Regel zur Ausführungsprävention an, indem Sie den Umschalter auf die entsprechende Position setzen:
- Aktiviert – Die Regel ist aktiviert, und die Anwendung wendet diese Regel an.
- Deaktiviert – Die Regel ist deaktiviert und wird während der Ausführung der Anwendung nicht angewendet.
Sie können die erstellte Regel jederzeit aktivieren oder deaktivieren.
Wählen Sie in der Dropdown-Liste Typ den Objekttyp aus, den Sie blockieren möchten.
- Ausführbare Datei
- Skript
- Datei von Office-Anwendung
Wenn Sie den falschen Objekttyp auswählen, wird die Datei oder das Skript nicht blockiert.
Um ein Objekt hinzuzufügen, geben Sie den Pfad zum Objekt und/oder die Prüfsumme des Objekts an.
Um den Pfad zu einem Objekt anzugeben, wählen Sie die Option Pfad verwenden und geben Sie den Pfad zum Objekt ein.

Um die Prüfsumme eines Objekts anzugeben, wählen Sie die Option SHA256 oder MD5 und geben Sie die Prüfsumme des Objekts ein.
Klicken Sie auf die Schaltfläche OK.
Die erstellte Regel wird zur Liste der Regeln im Parameterblock Ausführungsprävention von Objekten hinzugefügt.

Nach oben