與 Detection and Response 解決方案整合時,作為威脅回應動作的一部分,Kaspersky Endpoint Security 可以控制可執行檔和腳本的執行,以及裝置上辦公室應用程式檔案的開啟。物件執行防禦支援特定的一組辦公室應用程式檔案副檔名和特定的一組指令碼解釋器。透過阻止物件啟動,您可以阻止威脅蔓延。
物件執行防禦基於執行防禦規則。執行防禦規則是 Kaspersky Endpoint Security 應用程式在回應物件執行時考慮的一組標準。只有當物件滿足執行防禦規則的所有條件時,應用程式才會阻止該物件的執行。該應用程式透過檔案路徑或 MD5 或 SHA256 總和檢查碼來識別檔案。
如果符合下列條件之一,則 Kaspersky Endpoint Security 應用程式中可使用執行防禦功能:
預設停用物件執行防禦。
啟用物件執行防禦可能會影響作業系統中應用程式的啟動速度。
為了使物件執行防禦起作用,您需要啟用執行防禦規則。
與 Kaspersky Endpoint Detection and Response (KATA) 整合時物件執行防禦的特殊注意事項
Kaspersky Endpoint Security 與 Kaspersky Endpoint Detection and Response (KATA) 元件整合時,應用程式將使用 EDR (KATA) 元件的物件執行防禦規則。該應用程式從 Kaspersky Endpoint Detection and Response (KATA) 取得這些規則。
與 Kaspersky Endpoint Detection and Response (KATA) 元件整合時,您可以:
當觸發執行防禦規則時,Kaspersky Endpoint Security 會向Kaspersky Anti Targeted Attack Platform傳送報告。
與 Kaspersky Endpoint Detection and Response Optimum 整合時物件執行防禦的特殊注意事項
Kaspersky Endpoint Security 與 Kaspersky Endpoint Detection and Response Optimum 解決方案整合時,應用程式使用 EDR Optimum 元件的物件執行防禦規則。您可以在網頁主控台中手動建立這些規則。您也可以在警示詳情視窗中自動建立執行防禦規則。
與 Kaspersky Endpoint Detection and Response Optimum 整合時,您可以:
您也可以透過在警示詳情視窗中預防檔案執行來自動為物件建立執行防禦規則。執行防禦規則新增到裝置所屬的管理群組的政策中。
只有當政策套用至裝置時,您才可以在「警示詳情」視窗中預防檔案的執行。
與 Kaspersky Endpoint Detection and Response Optimum 整合時,物件執行防禦可以採用以下兩種模式之一工作:
Kaspersky Endpoint Security 應用程式會阻止執行被執行防禦規則禁止的指令碼,即使該指令碼是由允許的指令碼匯入的。
物件執行防禦限制
物件執行防禦規則有以下限制: