Kaspersky Endpoint Security for Windows 11.7.0

Prevenirea executării

Prevenirea executării permite gestionarea fișierelor care rulează și a scripturilor executabile, precum și deschiderea fișierelor în format Office. În acest fel, puteți, de exemplu, împiedica executarea aplicațiilor pe care le considerați nesigure. Suporturi pentru prevenirea executării un set de extensii de fișiere Office și un set de interpreți de scenariu.

Regulă pentru prevenirea executării

Prevenirea executării gestionează accesul utilizatorilor la fișiere cu reguli de prevenire a executării. O regulă de prevenire a executării este un set de criterii care sunt luate în considerare la blocare. Aplicația identifică fișierele după căile sau sumele lor de verificare calculate folosind algoritmii de combinare MD5 și SHA256.

Puteți crea reguli prevenire executare:

• În detaliile alertei.

  Detaliile detecției este un instrument pentru vizualizarea tuturor informațiilor colectate despre o amenințare detectată și gestionarea acțiunilor de răspuns. Detaliile detecției includ, de exemplu, istoricul fișierelor care apar pe computer. Pentru detalii despre administrarea detaliilor detecției, consultați Ajutor Kaspersky Endpoint Detection and Response Optimum.

• Folosirea unei politici de grup sau a setărilor aplicației locale.

  Trebuie să introduceți calea fișierului sau codul hash (SHA256 sau MD5) al acestuia, sau atât calea fișierului, cât și hash-ul fișierului.

De asemenea, puteți gestiona local prevenirea executării folosind Linie de comanda.

Nu este recomandat să creați mai mult de 5000 de reguli de prevenire a executării, deoarace acest lucru poate cauza instabilitatea sistemului.

Regulile de prevenire nu acoperă fișierele de pe CD-uri sau din imaginile ISO. Aplicația nu blochează executarea sau deschiderea acestor fișiere.

Moduri ale regulilor de prevenire a executării

Componenta de prevenire a executării poate funcționa în două moduri:

• Numai statistici.

  În acest mod, Kaspersky Endpoint Security publică un eveniment despre încercările de a executa obiecte executabile sau de a deschide documente care corespund criteriilor regulii de prevenire în jurnalul de evenimente Windows și în Kaspersky Security Center, dar nu blochează încercarea de a executa sau deschide obiectul sau documentul. Această acțiune este selectată în mod implicit.

• Active.

  În acest mod, aplicația blochează executarea obiectelor sau deschiderea documentelor care corespund criteriilor regulii de prevenire. Aplicația publică, de asemenea, un eveniment despre încercările de a executa obiecte sau de a deschide documente în jurnalul de evenimente Windows și în jurnalul de evenimente Kaspersky Security Center.

Gestionarea prevenirii executării

Puteți configura setările componentei în Web Console.

Pentru a preveni executarea:

1. În fereastra principală a Web Console, selectați Devices → Policies & profiles.
2. Faceți clic pe numele politicii Kaspersky Endpoint Security.

   Se deschide fereastra de proprietăți a politicii.

3. Selectați fila Setări aplicație.
4. Selectați Detection and Response → Endpoint Detection and Response.
5. Utilizați comutatorul Execution prevention pentru a activa sau a dezactiva componenta.
6. Sub Action on execution or opening of forbidden object, selectați modul de funcționare a componentei:
   • Block and write to report. În acest mod, aplicația blochează executarea obiectelor sau deschiderea documentelor care corespund criteriilor regulii de prevenire. Aplicația publică, de asemenea, un eveniment despre încercările de a executa obiecte sau de a deschide documente în jurnalul de evenimente Windows și în jurnalul de evenimente Kaspersky Security Center.
   • Log events only. În acest mod, Kaspersky Endpoint Security publică un eveniment despre încercările de a executa obiecte executabile sau de a deschide documente care corespund criteriilor regulii de prevenire în jurnalul de evenimente Windows și în Kaspersky Security Center, dar nu blochează încercarea de a executa sau deschide obiectul sau documentul. Această acțiune este selectată în mod implicit.
7. Creați o listă de reguli de prevenire a executării:
   1. Faceți clic pe butonul Adăugare.
   2. Aceasta deschide o fereastră; în această fereastră, introduceți numele regulii de prevenire a executării (de exemplu, Cererea A).
   3. În Tip listă derulantă, selectați obiectul pe care doriți să îl blocați: Executable file, Script, Microsoft Office document.

      Dacă selectați un tip de obiect greșit, Kaspersky Endpoint Security nu blochează fișierul sau scriptul.

   4. Pentru a adăuga fișierul, trebuie să introduceți codul hash al fișierului (SHA256 sau MD5), calea completă către fișier sau atât codul hash, cât și calea.

      Dacă fișierul se află pe o unitate de rețea, introduceți calea fișierului începând cu \\, și nu litera corespunzătoare unității. De exemplu, \\server\shared_folder\file.exe. În cazul în care calea fișierului conține o literă de unitate de rețea, Kaspersky Endpoint Security nu blochează fișierul sau scriptul.

      Suporturi pentru prevenirea executării un set de extensii de fișiere Office și un set de interpreți de scenariu.

   5. Faceți clic pe OK.
8. Salvați-vă modificările.

Drept urmare, Kaspersky Endpoint Security blochează executarea obiectelor: rularea fișierelor și scripturilor executabile, deschiderea fișierelor în format office. Cu toate acestea puteți, de exemplu, să deschideți un fișier script într-un editor de text, chiar dacă rularea scriptului este împiedicată. Când blocați executarea unui obiect, Kaspersky Endpoint Security afișează o notificare standard (a se vedea figura de mai jos) dacă notificările sunt activate în setările aplicației.

Reguli pentru prevenirea executării