执行防护

执行防护允许管理可执行文件和脚本的运行，以及打开 office 格式的文件。例如，通过这种方式，您可以阻止执行您认为不安全的应用程序。这样，威胁的蔓延可以被停止。执行防护支持一组脚本解释器。

执行防护规则

执行防护使用执行防护规则管理用户对文件的访问。执行防护规则是应用程序在对对象执行做出反应时考虑的一组标准，例如在阻止对象执行时。应用程序通过使用 MD5 和 SHA256 哈希算法计算的路径或校验和来识别文件。

您可以创建执行防护规则：

• 在警报详细信息中（仅适用于 EDR Optimum）。

  警报详细信息是一种用于查看有关检测到的威胁的全部收集信息的工具。例如，警报详细信息包括计算机上出现的文件的历史记录。有关管理警报详细信息的详细信息，请参阅 Kaspersky Endpoint Detection and Response Optimum 帮助。

• 使用组策略或本地应用程序设置。您必须输入文件路径或哈希值（SHA256 或 MD5），或者文件路径和文件哈希值都输入。

您还可以使用命令行在本地管理执行防护。

注意：无法阻止系统关键对象（SCO）的启动。SCO 是操作系统和 Kaspersky Endpoint Security for Mac 应用程序运行所需要的文件。

执行防护规则模式

执行防护组件可以以两种模式工作：

• 仅统计

  在此模式下，Kaspersky Endpoint Security 会将有关尝试运行符合防护规则条件的可执行对象或打开符合防护规则条件的文档的事件发布到 Kaspersky Security Center 事件日志和统一日志记录系统，但不会阻止运行或打开对象或文档的尝试。默认选择此模式。

• 活动

  在这种模式下，应用程序会阻止执行符合防护规则条件的对象或打开符合防护规则标准的文档。应用程序还会将有关尝试执行对象或打开文档的事件发布到 Kaspersky Security Center 事件日志和统一日志记录系统。

管理执行防护

重要提示：您只能在 Web Console 中配置组件设置。

为了防止执行：

1. 在 Web Console 的主窗口，选择设备 > 策略和配置文件。
2. 单击 Kaspersky Endpoint Security for Mac 策略名称。

   策略属性窗口打开。

3. 选择“应用程序设置”选项卡。
4. 选择“Detection and Response” > “Endpoint Detection and Response”。
5. 打开“执行防护”切换开关。
6. 在“执行或打开禁止的对象时的操作”块中，选择组件操作模式：
   • 阻止并写入报告。在这种模式下，应用程序会阻止执行符合防护规则条件的对象或打开符合防护规则标准的文档。应用程序还会将有关尝试执行对象或打开文档的事件发布到 Kaspersky Security Center 事件日志和统一日志记录系统。
   • 仅记录事件。在此模式下，Kaspersky Endpoint Security 会将有关尝试运行符合防护规则条件的可执行对象或打开符合防护规则条件的文档的事件发布到 Kaspersky Security Center 事件日志和统一日志记录系统，但不会阻止运行或打开对象或文档的尝试。默认选择此模式。
7. 创建执行防护规则列表：
   1. 单击添加。
   2. 在打开的对话框中，输入执行防护规则的名称（例如，应用程序 A）。
   3. 在“类型”下拉列表中，选择要阻止的对象：应用程序、脚本、文档。

      如果您选择了错误的对象类型，Kaspersky Endpoint Security 不会阻止该文件或脚本。

   4. 要添加文件，您必须输入文件的哈希值（SHA256 或 MD5）、文件的完整路径，或哈希值和路径都输入。

   注意：如果文件位于网络驱动器上，请按以下方式输入文件路径：/Volumes/shared_folder_name/filename。如果文件路径包含网络驱动器号，Kaspersky Endpoint Security 不会阻止该文件或脚本。

   1. 单击确定。
8. 保存您的更改。

这样，Kaspersky Endpoint Security 阻止了对象的执行：运行可执行文件和脚本、打开 office 格式文件。但是，即使无法运行脚本，您也可以在文本编辑器中打开该脚本文件。阻止对象执行时，如果在应用程序设置中启用了通知，Kaspersky Endpoint Security 将显示标准通知。

返回页首