Prevenção de execução

A prevenção de execução permite gerenciar a execução de arquivos executáveis e scripts, assim como abrir arquivos no formato do Office. Dessa forma, você pode, por exemplo, impedir a execução de aplicativos que considera inseguros. Como resultado, a disseminação da ameaça pode ser interrompida. A prevenção de execução dá suporte a um conjunto de interpretadores de script.

Regra de prevenção de execução

A prevenção de execução gerencia o acesso do usuário a arquivos com regras de prevenção de execução. A regra de prevenção de execução é um conjunto de critérios que o aplicativo leva em consideração ao reagir à execução de um objeto, por exemplo, ao bloquear a execução do objeto. O aplicativo identifica arquivos por seus caminhos ou somas de verificação calculadas usando algoritmos de hash MD5 e SHA256.

Você pode criar regras de Prevenção de execução:

• Nos detalhes do alerta (somente para EDR Optimum).

  Detalhes do alerta é uma ferramenta para exibir a totalidade das informações coletadas sobre uma ameaça detectada. Os detalhes do alerta incluem, por exemplo, o histórico de arquivos que aparecem no computador. Para obter detalhes sobre o gerenciamento de detalhes do alerta, consulte a Ajuda do Kaspersky Endpoint Detection and Response Optimum.

• Usando uma política de grupo ou ajustes locais do aplicativo. Você deve inserir o caminho do arquivo ou o hash (SHA256 ou MD5), ou ambos, o caminho do arquivo e o hash do arquivo.

Você também pode gerenciar a Prevenção de execução localmente usando a linha de comando.

Nota: É impossível bloquear a inicialização de objetos críticos do sistema (SCO). SCOs são arquivos que o sistema operacional e o aplicativo Kaspersky Endpoint Security for Mac requerem para serem executados.

Modos de regra de prevenção de execução

O componente Prevenção de execução pode funcionar em dois modos:

• Somente estatísticas

  Nesse modo, o Kaspersky Endpoint Security publica um evento sobre tentativas de executar objetos executáveis ou documentos abertos que correspondem aos critérios da regra de prevenção no log de eventos do Kaspersky Security Center e no sistema de login unificado, mas não bloqueia a tentativa de executar ou abrir o objeto ou documento. Este modo está marcado por padrão.

• Ativa

  Nesse modo, o aplicativo bloqueia a execução de objetos ou a abertura de documentos que atendem aos critérios da regra de prevenção. O aplicativo também publica um evento sobre tentativas de executar objetos ou abrir documentos no log de eventos do Kaspersky Security Center e no sistema de login unificado.

Gerenciar a prevenção de execução

Importante: você pode definir os ajustes do componente somente no Web Console.

Para prevenir a execução:

1. Na janela principal do Web Console, selecione Dispositivos > Políticas e perfis.
2. Clique no nome da política do Kaspersky Endpoint Security for Mac.

   A janela de propriedades da política é aberta.

3. Selecione a guia Ajustes do aplicativo.
4. Vá para Detection and Response > Endpoint Detection and Response.
5. Ative o botão de alternância Prevenção de Execução.
6. No bloco Ação na execução ou abertura de objeto proibido, selecione o modo de operação do componente:
   • Bloquear e gravar no relatório. Nesse modo, o aplicativo bloqueia a execução de objetos ou a abertura de documentos que atendem aos critérios da regra de prevenção. O aplicativo também publica um evento sobre tentativas de executar objetos ou abrir documentos no log de eventos do Kaspersky Security Center e no sistema de login unificado.
   • Criar log de eventos apenas. Nesse modo, o Kaspersky Endpoint Security publica um evento sobre tentativas de executar objetos executáveis ou documentos abertos que correspondem aos critérios da regra de prevenção no log de eventos do Kaspersky Security Center no sistema de login unificado, mas não bloqueia a tentativa de executar ou abrir o objeto ou documento. Este modo está marcado por padrão.
7. Crie uma lista de regras de prevenção de execução:
   1. Clique em Adicionar.
   2. Na caixa de diálogo exibida, insira o nome da regra de prevenção de execução (por exemplo, Aplicativo A).
   3. Na lista suspensa Tipo, selecione o objeto que deseja bloquear: Aplicativo, Script, Documento.

      Se você selecionar um tipo de objeto incorreto, o Kaspersky Endpoint Security não bloqueará o arquivo ou script.

   4. Para adicionar o arquivo, você deve inserir o hash do arquivo (SHA256 ou MD5), o caminho completo para o arquivo ou o hash e o caminho.

   Nota: Se o arquivo estiver localizado em uma unidade de rede, insira o caminho do arquivo da seguinte maneira: /Volumes/shared_folder_name/filename. Se o caminho do arquivo contiver uma letra de unidade de rede, o Kaspersky Endpoint Security não bloqueará o arquivo ou o script.

   1. Clique em OK.
8. Salve suas alterações.

Como resultado, o Kaspersky Endpoint Security bloqueia a execução de objetos: executar arquivos executáveis e scripts, abrir arquivos no formato Office. No entanto, você pode, por exemplo, abrir um arquivo de script em um editor de texto mesmo se a execução do script for impedida. Ao bloquear a execução de um objeto, o Kaspersky Endpoint Security exibe uma notificação padrão se as notificações estiverem ativadas nos ajustes do aplicativo.

Início da página