執行防護

執行防護可讓人管理可執行檔和指令碼的執行，以及開啟 Office 格式的檔案。這樣的話，您可以（例如）防止執行您認為不安全的應用程式。執行防護支援Office 檔案延伸程式集合和指令碼解譯器集合。

執行防護規則

執行防護使用執行防護規則管理使用者對檔案的存取。執行防護規則是一個在封鎖時考慮的條件集合。應用程式根據檔案路徑或者使用 MD5 和 SHA256 雜湊演算法計算的總和檢查碼來識別檔案。

您可以建立執行防護規則：

• 在偵測詳情中。

  偵測詳情是一款用來檢視有關被偵測的威脅的整個收集資訊和管理回應操作的工具。偵測詳情包括，例如，出現在電腦上的檔案的歷史。有關偵測詳情的詳細資訊，請參閱Kaspersky Endpoint Detection and Response Optimum 說明。

• 使用群組政策或者本機應用程式設定。

  您必須輸入檔案路徑或者雜湊（SHA256 或者 MD5），或者檔案路徑和檔案雜湊二者。

您也可以使用命令列本機管理執行防護。

不建議建立超過 5000 個執行防護規則，因為這可能造成系統不穩定。

防護規則不覆蓋 CD 上或者 ISO 映像中的檔案。應用程式不會封鎖執行或者開啟這些規則。

執行防護規則模式

執行防護元件可以在兩種模式下工作：

• 僅限統計。

  在此模式中，Kaspersky Endpoint Security 會將嘗試執行可執行物件或者開啟匹配防護規則條件的文件的事件發佈到 Windows 事件記錄和卡巴斯基安全管理中心，但是不會封鎖執行或者開啟物件或者文件的嘗試。預設情況下已選擇此模式。

• 啟動。

  在此模式中，應用程式會封鎖執行物件或者開啟匹配防護規則條件的文件。應用程式也會將嘗試執行物件或者開啟文件的事件發佈到 Windows 事件記錄和卡巴斯基安全管理中心事件記錄。

管理執行防護

您只可以在網頁主控台中配置元件設定。

要防護執行：

1. 在網頁主控台的主視窗中，選取“裝置”→“政策和設定檔”。
2. 點擊 Kaspersky Endpoint Security 政策的名稱。

   政策內容視窗將開啟。

3. 選取“應用程式設定”標籤。
4. 選擇“Detection and Response“ →“Endpoint Detection and Response“。
5. 使用“執行防護“開關來啟用或停用元件。
6. 在“執行或開啟被禁止的物件時的動作”下面，選擇元件操作模式：
   • 封鎖和寫入報告。在此模式中，應用程式會封鎖執行物件或者開啟匹配防護規則條件的文件。應用程式也會將嘗試執行物件或者開啟文件的事件發佈到 Windows 事件記錄和卡巴斯基安全管理中心事件記錄。
   • 僅記錄事件。在此模式中，Kaspersky Endpoint Security 會將嘗試執行可執行物件或者開啟匹配防護規則條件的文件的事件發佈到 Windows 事件記錄和卡巴斯基安全管理中心，但是不會封鎖執行或者開啟物件或者文件的嘗試。預設情況下已選擇此模式。
7. 建立執行防護規則清單：
   1. 點擊“新增”按鈕。
   2. 這會開啟一個視窗；在此視窗中，輸入執行防護規則名稱（例如Application A）。
   3. 在“類型”下拉清單中，選擇您想要封鎖的物件：可執行檔，指令碼，Microsoft Office 文件。

      如果您選擇了錯誤的物件類型，則 Kaspersky Endpoint Security 不封鎖檔案或者指令碼。

   4. 若要新增檔案，您必須輸入檔案的雜湊（SHA256 或者 MD5）、檔案的完整路徑、或雜湊和路徑二者。

      如果檔案位於網路磁碟機上，則輸入以\\而不是磁碟機字母開始的檔案路徑。例如，\\server\shared_folder\file.exe。如果檔案路徑包含網路磁碟機字母，則 Kaspersky Endpoint Security 不封鎖檔案或者指令碼。

      執行防護支援Office 檔案延伸程式集合和指令碼解譯器集合。

   5. 點擊“確定”。
8. 存儲變更。

結果，Kaspersky Endpoint Security 會封鎖執行物件：執行可執行檔和指令碼，開啟 Office 格式檔案。不過，您可以（例如）在文本編輯器中開啟指令碼檔案（即使執行指令碼被禁止）。當封鎖執行物件時，如果在應用程式設定中啟用了通知，則 Kaspersky Endpoint Security 會顯示一個標準通知（請見下圖）。

執行防護通知

頁面頂部