La prévention de l'exécution permet de gérer l'exécution de fichiers exécutables et de scripts, ainsi que d'ouvrir des fichiers au format Office. Vous pouvez ainsi, par exemple, empêcher l'exécution d'applications que vous considérez dangereuses. La prévention de l'exécution prend en charge un ensemble d'extensions de fichier Office et un ensemble d'interpréteurs de scripts.
Règle de prévention de l'exécution
La Prévention de l'exécution gère l'accès de l'utilisateur aux fichiers à l'aide de règles de prévention de l'exécution. Les règles de prévention de l'exécution sont un ensemble de critères qui sont pris en compte lors du blocage. L'application identifie les fichiers par leur chemin d'accès ou leurs sommes de contrôle calculées à l'aide des algorithmes de hachage MD5 et SHA256.
Vous pouvez créer des règles de prévention de l'exécution :
Les Détails de l'alerte sont un outil permettant de visualiser l'ensemble des informations collectées sur une menace détectée et de gérer les actions de réponse. Les détails de l'alerte reprennent par exemple l'histoire des fichiers qui apparaissent sur l'ordinateur. Pour en savoir plus sur la gestion des détails de la détection, consultez l'aide de Kaspersky Endpoint Detection and Response Optimum.
Vous devez saisir le chemin d'accès au fichier ou le hash (SHA256 ou MD5), ou à la fois le chemin d'accès au fichier et le ‘hash du fichier.
Vous pouvez également gérer la Prévention de l'exécution localement en utilisant la ligne de commande.
Il n'est pas recommandé de créer plus de 5 000 règles de prévention de l'exécution, car cela peut entraîner une instabilité du système.
Les règles de prévention ne couvrent pas les fichiers sur les cédéroms ou les images ISO. L'application ne bloque pas l'exécution ou l'ouverture de ces fichiers.
Modes de règles de prévention de l'exécution
Le module Prévention de l'exécution peut fonctionner selon deux modes :
Dans ce mode, Kaspersky Endpoint Security publie un événement sur les tentatives d'exécution d'objets exécutables ou d'ouverture de documents qui correspondent aux critères de la règle de prévention dans le journal des événements Windows et dans Kaspersky Security Center, mais ne bloque pas la tentative d'exécution ni d'ouverture de l'objet ou du document. Ce mode est sélectionné par défaut.
Dans ce mode, l'application bloque l'exécution des objets ou l'ouverture des documents qui correspondent aux critères des règles de prévention. L'application publie également un événement sur les tentatives d'exécution d'objets ou d'ouverture de documents dans le journal des événements Windows et dans le journal des événements de Kaspersky Security Center.
Gestion de la prévention de l'exécution
Vous pouvez configurer les paramètres du module uniquement dans Web Console.
Pour prévenir l'exécution :
La fenêtre des propriétés de la stratégie s'ouvre.
Si vous sélectionnez le mauvais type d'objet, Kaspersky Endpoint Security ne bloque pas le fichier ou le script.
Si le fichier se trouve sur un disque réseau, saisissez le chemin d'accès au fichier en commençant par \\
, et non la lettre du disque. Par exemple, \\server\shared_folder\file.exe
. Si le chemin d'accès contient une lettre de disque réseau, Kaspersky Endpoint Security ne bloque pas le fichier ou le script.
La prévention de l'exécution prend en charge un ensemble d'extensions de fichier Office et un ensemble d'interpréteurs de scripts.
Kaspersky Endpoint Security interdit alors l'exécution des objets : exécution de fichiers exécutables et de scripts, ouverture de fichiers au format Office. Vous pouvez toutefois ouvrir un fichier de script dans un éditeur de texte, même si l'exécution du script est interdite. Lors de l'interdiction de l'exécution d'un objet, Kaspersky Endpoint Security affiche une notification standard (cf. Illustration ci-dessous) si les notifications sont activées dans les paramètres des applications.
Notification de Prévention de l'exécution
Haut de page