Ausführungsprävention

Die „Ausführungsprävention“ ermöglicht das Starten ausführbarer Dateien und Skripte sowie das Öffnen von Dateien in Office-Formaten. Dadurch können Sie beispielsweise die Ausführung von Anwendungen verhindern, die Sie für unsicher halten. Die Ausführungsverhinderung unterstützt eine Reihe von Office-Dateierweiterungen und Skriptinterpretern.

Regeln für die Ausführungsprävention

Die Ausführungsverhinderung verwaltet den Benutzerzugriff auf Dateien mit Ausführungsverhinderungsregeln. Eine Regel für die Ausführungsprävention ist eine Reihe von Kriterien, die bei einer Sperrung berücksichtigt werden. Die Anwendung identifiziert Dateien anhand von Pfaden oder Prüfsummen, die auf MD5- und SHA256-Hash-Algorithmen beruhen.

Sie können Regeln für die Ausführungsprävention erstellen:

• In den Warnungsdetails (nur für „EDR Optimum“).

  Warnungsdetails ist ein Tool, mit dem alle über eine erkannte Bedrohung gesammelten Informationen angezeigt werden können. Zu den Alarm-Details gehört beispielsweise der Verlauf der auf dem Computer angezeigten Dateien. Einzelheiten zur Verwaltung der Alarm-Details finden Sie in der Hilfe zu „Kaspersky Endpoint Detection and Response Optimum“ und in der Hilfe zu „Kaspersky Endpoint Detection and Response Expert“.

• Verwenden einer Gruppenrichtlinie oder lokaler Anwendungseinstellungen.

  Sie müssen den Dateipfad oder Datei-Hash (SHA256 oder MD5) eingeben oder sowohl den Dateipfad als auch den Datei-Hash.

Sie können „Ausführungsverhinderung verwalten“ auch lokal über die Befehlszeile aktivieren oder deaktivieren.

Es wird nicht empfohlen, mehr als 5.000 Ausführungspräventionsregeln zu erstellen, da dies zu Systeminstabilität führen kann.

Präventionsregeln gelten nicht für Dateien auf CDs oder in ISO-Images. Die Anwendung blockiert nicht die Ausführung oder das Öffnen dieser Dateien.

Regeln für die Ausführungsprävention

Ausführungsprävention kann in zwei Modi ausgeführt werden:

• Nur Statistik.

  In diesem Modus veröffentlicht Kaspersky Endpoint Security im Windows-Ereignisprotokoll und in Kaspersky Security Center ein Ereignis über Versuche, ausführbare Objekte auszuführen oder Dokumente zu öffnen, die den Kriterien der Präventionsregel entsprechen. Der Versuch, das Objekt auszuführen oder das Dokument zu öffnen, wird jedoch nicht blockiert. Standardmäßig ist dieser Modus ausgewählt.

• Aktiv.

  In diesem Modus sperrt die Anwendung die Ausführung von Objekten oder das Öffnen von Dokumenten, die den Kriterien der Präventionsregel entsprechen. Außerdem veröffentlicht die Anwendung im Windows-Ereignisprotokoll und im Kaspersky Security Center-Ereignisprotokoll ein Ereignis über Versuche, Objekte auszuführen oder Dokumente zu öffnen.

Verwaltung der Ausführungsprävention

Sie können die Aufgabe für „EDR Optimum“ über „Web Console“ und „Cloud Console“ konfigurieren. Die Aufgabeneinstellungen für „EDR Expert“ sind nur in „Cloud Console“ verfügbar.

Um die Ausführung zu verhindern:

1. Wählen Sie im „Web Console“-Hauptfenster den Punkt Geräte → Richtlinien und Profile.
2. Klicken Sie auf den Namen der Richtlinie von Kaspersky Endpoint Security.

   Das Fenster mit den Richtlinieneigenschaften wird geöffnet.

3. Wählen Sie die Registerkarte Programmeinstellungen aus.
4. Gehen Sie zu Detection and Response → Endpoint Detection and Response.
5. Verwenden Sie den Schalter Ausführungsprävention, um die Komponente zu aktivieren bzw. zu deaktivieren.
6. Wählen Sie im Block Aktion beim Ausführen oder Öffnen eines verbotenen Objekts den Betriebsmodus der Komponente:
   • Blockieren und protokollieren. In diesem Modus sperrt die Anwendung die Ausführung von Objekten oder das Öffnen von Dokumenten, die den Kriterien der Präventionsregel entsprechen. Außerdem veröffentlicht die Anwendung im Windows-Ereignisprotokoll und im Kaspersky Security Center-Ereignisprotokoll ein Ereignis über Versuche, Objekte auszuführen oder Dokumente zu öffnen.
   • Nur Ereignisse protokollieren. In diesem Modus veröffentlicht Kaspersky Endpoint Security im Windows-Ereignisprotokoll und in Kaspersky Security Center ein Ereignis über Versuche, ausführbare Objekte auszuführen oder Dokumente zu öffnen, die den Kriterien der Präventionsregel entsprechen. Der Versuch, das Objekt auszuführen oder das Dokument zu öffnen, wird jedoch nicht blockiert. Standardmäßig ist dieser Modus ausgewählt.
7. Erstellen Sie eine Liste mit Regeln zur Prävention der Ausführung:
   1. Klicken Sie auf Hinzufügen.
   2. Dadurch wird ein Fenster geöffnet. Wählen Sie in diesem Fenster den Namen der Regeln zur Prävention der Ausführung (Beispielsweise, Programm A).
   3. Wählen Sie aus der Dropdown-Liste Typ die Aufgabe aus, die Sie blockieren möchten: Ausführbare Datei, Skript, Microsoft Office-Dokument.

      Falls Sie einen falschen Objekttyp auswählen, blockiert Kaspersky Endpoint Security die Datei oder das Skript nicht.

   4. Um die Datei hinzuzufügen, müssen Sie den Datei-Hash (SHA256 oder MD5), den vollständigen Dateipfad oder sowohl den Hash als auch den Pfad eingeben.

      Wenn sich die Datei auf einem Netzlaufwerk befindet, geben Sie vor dem Dateipfad die Zeichen \\ ein, nicht den Laufwerksbuchstaben. Beispiel: \\server\freigegebener_Ordner\datei.exe. Falls der Dateipfad einen Netzlaufwerksbuchstaben enthält, wird Kaspersky Endpoint Security die Datei oder das Skript nicht blockieren.

      Die Ausführungsverhinderung unterstützt eine Reihe von Office-Dateierweiterungen und Skriptinterpretern.

   5. Klicken Sie auf OK.
8. Speichern Sie die vorgenommenen Änderungen.

Dadurch blockiert Kaspersky Endpoint Security die Ausführung von ausführbaren Dateien und Skripten sowie das Öffnen von Dateien im Office-Format. Sie können jedoch beispielsweise eine Skriptdatei in einem Texteditor öffnen, auch wenn die Ausführung des Skripts verhindert wird. Beim Blockieren der Ausführung eines Objekts zeigt Kaspersky Endpoint Security eine Standardbenachrichtigung an (siehe Abbildung unten), wenn die Benachrichtigungen in den Programmeinstellungen aktiviert sind.

Regeln für die Ausführungsprävention

Nach oben