実行防止

実行防止により、実行可能ファイルやスクリプトの実行の管理や、Office 形式のファイルを開くことの管理が可能です。この方法では、たとえば、セキュアでないと思われるアプリケーションの実行を防ぐことができます。これにより、脅威の拡散を阻止することができます。実行防止は、一連のスクリプトインタープリタをサポートします。

実行防止ルール

実行防止は、実行防止ルールを使用してファイルへのユーザーアクセスを管理します。実行防止ルールは、オブジェクトの実行をブロックする場合など、オブジェクトの実行に反応する時に本製品が考慮する一連の基準です。本製品は、パスまたは MD5 および SHA256 ハッシュアルゴリズムを使用して計算されたチェックサムによってファイルを識別します。

実行防止ルールを作成できます：

• アラートの詳細（EDR Optimum のみ）：

  アラートの詳細は、検知された脅威に関する収集された情報全体を表示するためのツールです。アラートの詳細には、たとえば、コンピュータに表示されるファイルの履歴が含まれます。アラートの詳細を管理する方法の詳細は、 Kaspersky Endpoint Detection and Response Optimum のヘルプを参照してください。

• グループポリシーまたはローカルアプリケーション設定を使用する。ファイルパスまたはハッシュ（SHA256 または MD5）、またはファイルパスとファイルハッシュの両方を入力する必要があります。

コマンドラインを使用して実行防止をローカルで管理することもできます。

注意：システムの重要オブジェクト（SCO）の起動をブロックすることはできません。SCO は、オペレーティングシステムとKaspersky Endpoint Security for Mac アプリケーションの実行に必要なファイルです。

実行防止ルールモード

実行防止コンポーネントは、次の 2 つのモードで動作します：

• 統計のみ

  このモードでは、 Kaspersky Endpoint Security は、防止ルールの条件に一致する実行可能オブジェクトの実行やドキュメントを開こうとする動作に関するイベントをKaspersky Security Center イベントログと一元化されたログ記録システムに公開しますが、オブジェクトまたはドキュメントの実行の試行や開こうとする動作はブロックしません。既定では、このモードがオンです。

• アクティブ

  このモードでは、防止ルールの基準に一致するオブジェクトの実行や、ドキュメントを開く動作がブロックされます。オブジェクトの実行の試行やドキュメントを開こうとする動作に関するイベントも、Kaspersky Security Center のイベントログと一元化されたログ記録システムに公開されます。

実行防止の管理

重要：コンポーネント設定は Web コンソールでのみ設定できます。

実行を防止するには：

1. Web コンソールのメインウインドウで、［デバイス］→［ポリシーとプロファイル］の順に選択します。
2. Kaspersky Endpoint Security for Mac ポリシーの名前をクリックします。

   ポリシーのプロパティウインドウが表示されます。

3. ［アプリケーション設定］タブを選択します。
4. ［Detection and Response］→［Endpoint Detection and Response］の順に選択します。
5. ［実行防止が有効です］スイッチをオンにします。
6. 禁止されたオブジェクトを実行、または開いたときの処理ブロックで、コンポーネントの動作モードを選択します：
   • ブロックしてレポートに書き込む：このモードでは、防止ルールの基準に一致するオブジェクトの実行や、ドキュメントを開く動作がブロックされます。オブジェクトの実行の試行やドキュメントを開こうとする動作に関するイベントも、Kaspersky Security Center のイベントログと一元化されたログ記録システムに公開されます。
   • イベントの記録のみ：このモードでは、 Kaspersky Endpoint Security は、防止ルールの条件に一致する実行可能オブジェクトの実行やドキュメントを開こうとする動作に関するイベントをKaspersky Security Center イベントログと一元化されたログ記録システムに公開しますが、オブジェクトまたはドキュメントの実行の試行や開こうとする動作はブロックしません。既定では、このモードがオンです。
7. 実行防止ルールのリストを作成します：
   1. ［追加］をクリックします。
   2. 表示されるダイアログで、実行防止ルールの名前 （たとえば、「アプリケーション A」）を入力します。
   3. ［種別］ドロップダウンリストで、ブロックするオブジェクト（アプリケーション、スクリプト、ドキュメント）を選択します。

      間違ったオブジェクト種別を選択した場合、 Kaspersky Endpoint Security はファイルまたはスクリプトをブロックしません。

   4. ファイルを追加するには、ファイルのハッシュ（SHA256 または MD5）、ファイルへの完全パス、またはハッシュとパスの両方を入力する必要があります。

   注意：ファイルがネットワークドライブ上にある場合は、次の形式でファイルパスを入力します：/Volumes/shared_folder_name/filename。ファイルパスにネットワークドライブ文字が含まれている場合、 Kaspersky Endpoint Security はファイルまたはスクリプトをブロックしません。

   1. ［OK］をクリックします。
8. 変更を保存します。

これにより、 Kaspersky Endpoint Security は、オブジェクトの実行（実行可能ファイルやスクリプトの実行、Office 形式ファイルを開こうとする動作）をブロックします。ただし、たとえば、スクリプトの実行が禁止されている場合でも、テキストエディターでスクリプトファイルを開くことはできます。オブジェクトの実行をブロックする場合、通知がアプリケーション設定で有効になっていると、 Kaspersky Endpoint Security は標準の通知を表示します。

ページのトップに戻る