Prevenzione dell'esecuzione

La prevenzione dell'esecuzione consente di gestire l'esecuzione di file eseguibili e script, nonché di aprire file in formato Office. In questo modo è possibile, ad esempio, impedire l'esecuzione di applicazioni considerate non sicure. Di conseguenza, la diffusione della minaccia può essere fermata. La prevenzione dell'esecuzione supporta un set di interpreti di script.

Regola di prevenzione dell'esecuzione

La prevenzione dell'esecuzione gestisce l'accesso degli utenti ai file con regole di prevenzione dell'esecuzione. La regola di prevenzione dell'esecuzione è un insieme di criteri che l'applicazione prende in considerazione quando reagisce all'esecuzione di un oggetto, ad esempio quando si blocca l'esecuzione di un oggetto. L'applicazione identifica i file in base ai relativi percorsi o checksum calcolati utilizzando algoritmi di hashing MD5 e SHA256.

È possibile creare regole di prevenzione dell'esecuzione:

• Nei dettagli dell'avviso (solo per EDR Optimum).

  Dettagli avviso è uno strumento per visualizzare la totalità delle informazioni raccolte su una minaccia rilevata. Tra i dettagli degli avvisi sono inclusi, ad esempio, la cronologia dei file visualizzati nel computer. Per ulteriori informazioni sulla gestione dei dettagli degli avvisi, fare riferimento alla Guida di Kaspersky Endpoint Detection and Response Optimum.

• Utilizzando un criterio di gruppo o le impostazioni dell'applicazione locale. È necessario immettere il percorso del file o l'hash (SHA256 o MD5) o sia il percorso del file che l'hash del file.

È inoltre possibile gestire la prevenzione dell'esecuzione in locale utilizzando la riga di comando.

Nota: è impossibile bloccare l'avvio di oggetti critici di sistema (SCO). Gli SCO sono file richiesti dal sistema operativo e dall'applicazione Kaspersky Endpoint Security for Mac per poter essere eseguiti.

Modalità della regola di prevenzione dell'esecuzione

Il componente Prevenzione dell'esecuzione può funzionare in due modalità:

• Solo statistiche

  In questa modalità, Kaspersky Endpoint Security pubblica un evento sui tentativi di esecuzione di oggetti eseguibili o di documenti aperti che corrispondono ai criteri della regola di prevenzione nel registro eventi di Kaspersky Security Center e nel sistema di registrazione unificato, ma non blocca il tentativo di eseguire o aprire l'oggetto o il documento. Questa modalità è selezionata per impostazione predefinita.

• Attivo

  In questa modalità, l'applicazione blocca l'esecuzione di oggetti o l'apertura di documenti che soddisfano i criteri della regola di prevenzione. L'applicazione pubblica anche un evento sui tentativi di esecuzione di oggetti o di documenti aperti nel registro eventi di Kaspersky Security Center e nel sistema di registrazione unificato.

Gestione di Prevenzione dell'esecuzione

Importante: è possibile configurare le impostazioni del componente solo in Web Console.

Per impedire l'esecuzione:

1. Nella finestra principale di Web Console selezionare Dispositivi > Criteri e profili.
2. Fare clic sul nome del criterio di Kaspersky Endpoint Security for Mac.

   Viene visualizzata la finestra delle proprietà dei criteri.

3. Selezionare la scheda Impostazioni applicazione.
4. Selezionare Detection and Response > Endpoint Detection and Response.
5. Attivare l'interruttore Prevenzione dell'esecuzione.
6. Nella sezione Azione in caso di esecuzione o apertura di un oggetto vietato selezionare la modalità di funzionamento del componente:
   • Blocca e scrivi nel rapporto. In questa modalità, l'applicazione blocca l'esecuzione di oggetti o l'apertura di documenti che soddisfano i criteri della regola di prevenzione. L'applicazione pubblica anche un evento sui tentativi di esecuzione di oggetti o di documenti aperti nel registro eventi di Kaspersky Security Center e nel sistema di registrazione unificato.
   • Registra solo gli eventi. In questa modalità, Kaspersky Endpoint Security pubblica un evento sui tentativi di esecuzione di oggetti eseguibili o di documenti aperti che corrispondono ai criteri della regola di prevenzione nel registro eventi di Kaspersky Security Center e nel sistema di registrazione unificato, ma non blocca il tentativo di eseguire o aprire l'oggetto o il documento. Questa modalità è selezionata per impostazione predefinita.
7. Creare un elenco di regole di prevenzione dell'esecuzione:
   1. Fare clic su Aggiungi.
   2. Nella finestra di dialogo visualizzata, immettere il nome della regola di prevenzione dell'esecuzione (ad esempio, Applicazione A).
   3. Nell'elenco a discesa Tipo selezionare l'oggetto che si desidera bloccare: Applicazione, Script, Documento.

      Se si seleziona un tipo di oggetto errato, Kaspersky Endpoint Security non blocca il file o lo script.

   4. Per aggiungere il file, è necessario immettere l'hash del file (SHA256 o MD5), il percorso completo del file o sia l'hash che il percorso.

   Nota: se il file si trova in un'unità di rete, immettere il percorso del file nel modo seguente: /Volumes/shared_folder_name/filename. Se il percorso del file contiene una lettera di unità di rete, Kaspersky Endpoint Security non blocca il file o lo script.

   1. Fare clic su OK.
8. Salvare le modifiche.

Di conseguenza, Kaspersky Endpoint Security blocca l'esecuzione di oggetti: esecuzione di file eseguibili e script, apertura di file in formato Office. È tuttavia possibile, ad esempio, aprire un file di script in un editor di testo anche se l'esecuzione dello script è stata impedita. Quando si blocca l'esecuzione di un oggetto, Kaspersky Endpoint Security visualizza una notifica standard se le notifiche sono abilitate nelle impostazioni dell'applicazione.

Inizio pagina