Die „Ausführungsprävention“ ermöglicht das Starten ausführbarer Dateien und Skripte sowie das Öffnen von Dateien in Office-Formaten. Dadurch können Sie beispielsweise die Ausführung von Anwendungen verhindern, die Sie für unsicher halten. Die Ausführungsverhinderung unterstützt eine Reihe von Office-Dateierweiterungen und Skriptinterpretern.
Regeln für die Ausführungsprävention
Die Ausführungsverhinderung verwaltet den Benutzerzugriff auf Dateien mit Ausführungsverhinderungsregeln. Eine Regel für die Ausführungsprävention ist eine Reihe von Kriterien, die bei einer Sperrung berücksichtigt werden. Die Anwendung identifiziert Dateien anhand von Pfaden oder Prüfsummen, die auf MD5- und SHA256-Hash-Algorithmen beruhen.
Sie können Regeln für die Ausführungsprävention erstellen:
Warnungsdetails ist ein Tool, mit dem alle über eine erkannte Bedrohung gesammelten Informationen angezeigt werden können. Zu den Alarm-Details gehört beispielsweise der Verlauf der auf dem Computer angezeigten Dateien. Einzelheiten zur Verwaltung der Alarm-Details finden Sie in der Hilfe zu „Kaspersky Endpoint Detection and Response Optimum“ und in der Hilfe zu „Kaspersky Endpoint Detection and Response Expert“.
Sie müssen den Dateipfad oder Datei-Hash (SHA256 oder MD5) eingeben oder sowohl den Dateipfad als auch den Datei-Hash.
Sie können „Ausführungsverhinderung verwalten“ auch lokal über die Befehlszeile aktivieren oder deaktivieren.
Es wird nicht empfohlen, mehr als 5.000 Ausführungspräventionsregeln zu erstellen, da dies zu Systeminstabilität führen kann.
Präventionsregeln gelten nicht für Dateien auf CDs oder in ISO-Images. Die Anwendung blockiert nicht die Ausführung oder das Öffnen dieser Dateien.
Regeln für die Ausführungsprävention
Ausführungsprävention kann in zwei Modi ausgeführt werden:
In diesem Modus veröffentlicht Kaspersky Endpoint Security im Windows-Ereignisprotokoll und in Kaspersky Security Center ein Ereignis über Versuche, ausführbare Objekte auszuführen oder Dokumente zu öffnen, die den Kriterien der Präventionsregel entsprechen. Der Versuch, das Objekt auszuführen oder das Dokument zu öffnen, wird jedoch nicht blockiert. Standardmäßig ist dieser Modus ausgewählt.
In diesem Modus sperrt die Anwendung die Ausführung von Objekten oder das Öffnen von Dokumenten, die den Kriterien der Präventionsregel entsprechen. Außerdem veröffentlicht die Anwendung im Windows-Ereignisprotokoll und im Kaspersky Security Center-Ereignisprotokoll ein Ereignis über Versuche, Objekte auszuführen oder Dokumente zu öffnen.
Verwaltung der Ausführungsprävention
Sie können die Aufgabe für „EDR Optimum“ über „Web Console“ und „Cloud Console“ konfigurieren. Die Aufgabeneinstellungen für „EDR Expert“ sind nur in „Cloud Console“ verfügbar.
Um die Ausführung zu verhindern:
Das Fenster mit den Richtlinieneigenschaften wird geöffnet.
Falls Sie einen falschen Objekttyp auswählen, blockiert Kaspersky Endpoint Security die Datei oder das Skript nicht.
Wenn sich die Datei auf einem Netzlaufwerk befindet, geben Sie vor dem Dateipfad die Zeichen \\
ein, nicht den Laufwerksbuchstaben. Beispiel: \\server\freigegebener_Ordner\datei.exe
. Falls der Dateipfad einen Netzlaufwerksbuchstaben enthält, wird Kaspersky Endpoint Security die Datei oder das Skript nicht blockieren.
Die Ausführungsverhinderung unterstützt eine Reihe von Office-Dateierweiterungen und Skriptinterpretern.
Dadurch blockiert Kaspersky Endpoint Security die Ausführung von ausführbaren Dateien und Skripten sowie das Öffnen von Dateien im Office-Format. Sie können jedoch beispielsweise eine Skriptdatei in einem Texteditor öffnen, auch wenn die Ausführung des Skripts verhindert wird. Beim Blockieren der Ausführung eines Objekts zeigt Kaspersky Endpoint Security eine Standardbenachrichtigung an (siehe Abbildung unten), wenn die Benachrichtigungen in den Programmeinstellungen aktiviert sind.
Regeln für die Ausführungsprävention
Nach oben