Mit der Ausführungsprävention kann das Starten von ausführbaren Dateien und Skripten sowie das Öffnen von Dateien im Office-Format verwaltet werden. Auf diese Weise können Sie beispielsweise die Ausführung von Anwendungen verhindern, die Sie als unsicher einstufen. Dies kann die Ausbreitung einer Bedrohung begrenzen. Die Ausführungsprävention unterstützt eine Reihe von Skriptinterpretern.
Präventionsregel für die Ausführung
Die Ausführungsprävention verwaltet den Benutzerzugriff auf Dateien mithilfe von Präventionsregeln für die Ausführung. Die Regel für die Ausführungsprävention ist eine Zusammenstellung von Kriterien, die von der Anwendung berücksichtigt werden, wenn sie auf die Ausführung eines Objekts reagiert, beispielsweise wenn das Starten eines Objekts blockiert wird. Die Anwendung identifiziert Dateien anhand ihres Pfads oder ihrer Prüfsummen, die mithilfe der MD5- und SHA256-Hash-Algorithmen berechnet wurden.
Sie können Präventionsregeln für die Ausführung erstellen:
Die Alarmdetails sind ein Tool zum Anzeigen aller gesammelten Informationen über eine erkannte Bedrohung. Zu den Alarmdetails gehört beispielsweise der Verlauf der auf dem Computer veränderten Dateien. Weitere Informationen zur Verwaltung der Alarmdetails finden Sie in der Hilfe zu Kaspersky Endpoint Detection and Response Optimum.
Sie können die Ausführungsprävention auch lokal über die Befehlszeile verwalten.
Hinweis: Der Start von systemkritischen Objekten (SCO) kann nicht blockiert werden. SCOs sind Dateien, die für die Ausführung des Betriebssystems und von Kaspersky Endpoint Security for Mac erforderlich sind.
Modi der Präventionsregeln für die Ausführung
Die Komponente "Ausführungsprävention" kann in zwei Modi ausgeführt werden:
In diesem Modus veröffentlicht Kaspersky Endpoint Security im Ereignisprotokoll von Kaspersky Security Center und im vereinheitlichten Protokollsystem ein Ereignis über den Start von Objekten oder das Öffnen von Dokumenten, die den Kriterien der Präventionsregel entsprechen. Allerdings wird das Starten oder Öffnen des Objekts nicht blockiert. Diese Variante ist standardmäßig ausgewählt.
In diesem Modus blockiert die Anwendung den Start von Objekten oder das Öffnen von Dokumenten, die den Kriterien der Präventionsregel entsprechen. Zusätzlich veröffentlicht die Anwendung im Ereignisprotokoll von Kaspersky Security Center und im vereinheitlichten Protokollsystem ein Ereignis über Versuche, Objekte zu starten oder Dokumente zu öffnen.
Ausführungsprävention verwalten
Wichtig: Sie können die Einstellungen der Komponente nur in der Web Console konfigurieren.
So verhindern Sie eine Ausführung:
Das Fenster mit den Richtlinieneigenschaften wird geöffnet.
Wenn Sie einen falschen Objekttyp auswählen, blockiert Kaspersky Endpoint Security die Datei oder das Skript nicht.
Hinweis: Wenn sich die Datei auf einem Netzlaufwerk befindet, geben Sie den Dateipfad wie folgt ein: /Volumes/Freigegebener_Ordner/Dateiname. Wenn der Dateipfad den Laufwerksbuchstaben für ein Netzlaufwerk enthält, blockiert Kaspersky Endpoint Security die Datei oder das Skript nicht.
Infolgedessen blockiert Kaspersky Endpoint Security die Ausführung von Objekten, d h. das Starten von ausführbaren Dateien und Skripten sowie das Öffnen von Dateien im Office-Format. Eine Skriptdatei kann jedoch beispielsweise in einem Texteditor geöffnet werden, selbst wenn die Ausführung des Skripts verhindert ist. Wenn die Ausführung eines Objekts blockiert wird und die Benachrichtigungen in den Anwendungseinstellungen aktiviert sind, zeigt Kaspersky Endpoint Security eine Standardbenachrichtigung an.
Nach oben