実行防止

実行防止を使用して、実行ファイルやスクリプトの実行や Office 形式のファイルを開く動作を管理することができます。こうすることで、安全でないと考えられるアプリケーションの実行をブロックしたりすることができます。結果、脅威の拡散を止めることができます。実行防止は、Office ファイルの拡張子のセットおよびスクリプトインタープリターのセットをサポートしています。

実行防止ルール

実行防止ルールを含むファイルへのユーザーのアクセスを管理することができます。実行防止ルールとは、オブジェクトの実行のブロックなど、製品がオブジェクトの実行時への対応時に適用する一連の条件です。本製品は、パスや MD5 または SHA256 ハッシュアルゴリズムで計算されたチェックサムからファイルを識別します。

実行防止ルールは次の方法で作成できます：

• アラートの詳細（EDR Optimum のみ）で作成する。

  アラートの詳細（Alert details）は、収集済みの検知した脅威に関する情報を全体的に表示するツールです。アラートの詳細には、コンピューター上に表示されるファイルの履歴が含まれます。アラートの詳細の管理について詳しくは、Kaspersky Endpoint Detection and Response Optimum のヘルプおよび Kaspersky Endpoint Detection and Response Expert のヘルプを参照してください。

• グループポリシーまたはローカルアプリケーション設定を使用する。

  ファイルのパスまたはハッシュ（SHA256 または MD5）、もしくはファイルのパスとハッシュの両方を入力する必要があります。

ローカルでコマンドラインを使用して実行防止を管理することもできます。

実行防止には次の制限事項があります：

1. CD や IOS イメージ上のファイルは実行防止の対象外です。これらのファイルの実行はブロックされません。
2. システムで重要なオブジェクト（SCO）の開始をブロックすることはできません。SCO とはオペレーティングシステムと Kaspersky Endpoint Security for Windows アプリケーションが実行できる必要のあるファイルです。
3. 5000 以上の実行防止ルールの作成は、システムが不安定になる可能性があるため推奨されません。

実行防止ルールのモード

実行防止機能は以下の 2 つのモードで動作します：

• 統計のみ

  このモードでは、Kaspersky Endpoint Security はオブジェクトを実行しようとしたり、防止ルールに一致したドキュメントを開いたりしようとした試みに関するイベント Windows イベントログと Kaspersky Security Center のイベントログに記録しますが、これらの動作をブロックしません。既定ではこのモードが選択されます。

• 処理を実行

  このモードでは、オブジェクトを実行したり、禁止するルールの基準に一致するドキュメントを開いたりする動作がブロックされます。さらに、オブジェクトを実行しようとしたりドキュメントを開いたりしようとした試みに関するイベントを Windows イベントログおよび Kaspersky Security Center のイベントログに記録します。

実行防止の管理

Web コンソールでのみこの機能を設定できます。

実行を防止するには：

1. Web コンソールのメインウィンドウで［デバイス］→［ポリシーとプロファイル］の順に選択します。
2. Kaspersky Endpoint Security のポリシーの名前をクリックします。

   ポリシーのプロパティウィンドウが表示されます。

3. ［アプリケーション設定］タブを選択します。
4. ［Detection and Response］→［Endpoint Detection and Response］に移動します。
5. ［実行防止］を使用して機能を有効または無効にします。
6. ［禁止されたオブジェクトを実行、または開いたときの処理］ブロックで、機能の操作モードを選択します：
   • ブロックしてレポートに書き込む.このモードでは、オブジェクトを実行したり、禁止するルールの基準に一致するドキュメントを開いたりする動作がブロックされます。さらに、オブジェクトを実行しようとしたりドキュメントを開いたりしようとした試みに関するイベントを Windows イベントログおよび Kaspersky Security Center のイベントログに記録します。
   • イベントの記録のみ.このモードでは、Kaspersky Endpoint Security はオブジェクトを実行しようとしたり、防止ルールに一致したドキュメントを開いたりしようとした試みに関するイベント Windows イベントログと Kaspersky Security Center のイベントログに記録しますが、これらの動作をブロックしません。既定ではこのモードが選択されます。
7. 実行防止ルールのリストを作成します：
   1. ［追加］をクリックします。
   2. 表示されるウィンドウで、「アプリケーション A」のように実行防止ルールの名前を入力します。
   3. ［種別］で、［実行ファイル］、［スクリプト］、［Microsoft Office ドキュメント］からブロックするオブジェクトを選択します。

      オブジェクト種別を誤って選択すると、Kaspersky Endpoint Security はファイルまたはスクリプトをブロックしません。

   4. ファイルを追加するには、ファイルのハッシュ（SHA256 または MD5）、ファイルの完全パス、ハッシュとパスの両方を入力する必要があります。

      ファイルがネットワークドライブにある場合は、ドライブ文字ではなく「\\」から開始されるファイルのパスを入力してください。例： \\server\shared_folder\file.exeファイルのパスにネットワークドライブ文字が含まれていると、Kaspersky Endpoint Security はファイルまたはスクリプトをブロックしません。

      実行防止は、Office ファイルの拡張子のセットおよびスクリプトインタープリターのセットをサポートしています。

   5. ［OK］をクリックします。
8. 変更内容を保存します。

この結果、Kaspersky Endpoint Security はオブジェクトの実行（実行ファイルやスクリプトの実行、Office 形式のファイルを開く動作）をブロックします。スクリプトの実行がブロックされていても、例えばスクリプトファイルをテキストエディタで開くことなどは可能です。オブジェクトの実行をブロックする際、製品設定で有効にされている場合は Kaspersky Endpoint Security は標準の通知（下の図を参照）を表示します。

実行防止の通知

ページのトップに戻る