実行防止を使用して、実行ファイルやスクリプトの実行や Office 形式のファイルを開く動作を管理することができます。こうすることで、安全でないと考えられるアプリケーションの実行をブロックしたりすることができます。実行防止は、Office ファイルの拡張子のセットおよびスクリプトインタープリターのセットをサポートしています。
実行防止ルール
実行防止ルールを含むファイルへのユーザーのアクセスを管理することができます。実行防止ルールはブロック時に参照される条件の一式です。本製品は、パスや MD5 または SHA256 ハッシュアルゴリズムで計算されたチェックサムからファイルを識別します。
実行防止ルールは次の方法で作成できます:
アラートの詳細(Alert details)は、収集済みの検知した脅威に関する情報を全体的に表示するツールです。アラートの詳細には、コンピューター上に表示されるファイルの履歴が含まれます。アラートの詳細の管理について詳しくは、Kaspersky Endpoint Detection and Response Optimum のヘルプおよび Kaspersky Endpoint Detection and Response Expert のヘルプを参照してください。
ファイルのパスまたはハッシュ(SHA256 または MD5)、もしくはファイルのパスとハッシュの両方を入力する必要があります。
ローカルでコマンドラインを使用して実行防止を管理することもできます。
5000 以上の実行防止ルールの作成は、システムが不安定になる可能性があるため推奨されません。
CD や IOS イメージ上のファイルは実行防止の対象外です。これらのファイルの実行はブロックされません。
実行防止ルールのモード
実行防止機能は以下の 2 つのモードで動作します:
このモードでは、Kaspersky Endpoint Security はオブジェクトを実行しようとしたり、防止ルールに一致したドキュメントを開いたりしようとした試みに関するイベント Windows イベントログと Kaspersky Security Center のイベントログに記録しますが、これらの動作をブロックしません。既定ではこのモードが選択されます。
このモードでは、オブジェクトを実行したり、禁止するルールの基準に一致するドキュメントを開いたりする動作がブロックされます。さらに、オブジェクトを実行しようとしたりドキュメントを開いたりしようとした試みに関するイベントを Windows イベントログおよび Kaspersky Security Center のイベントログに記録します。
実行防止の管理
EDR Optimum のタスクは、Web コンソールおよび Cloud コンソールで設定できます。EDR Expert のタスク設定は Cloud コンソールのみで使用可能です。
実行を防止するには:
ポリシーのプロパティウィンドウが表示されます。
オブジェクト種別を誤って選択すると、Kaspersky Endpoint Security はファイルまたはスクリプトをブロックしません。
ファイルがネットワークドライブにある場合は、ドライブ文字ではなく「\\
」から開始されるファイルのパスを入力してください。例: \\server\shared_folder\file.exe
ファイルのパスにネットワークドライブ文字が含まれていると、Kaspersky Endpoint Security はファイルまたはスクリプトをブロックしません。
実行防止は、Office ファイルの拡張子のセットおよびスクリプトインタープリターのセットをサポートしています。
この結果、Kaspersky Endpoint Security はオブジェクトの実行(実行ファイルやスクリプトの実行、Office 形式のファイルを開く動作)をブロックします。スクリプトの実行がブロックされていても、例えばスクリプトファイルをテキストエディタで開くことなどは可能です。オブジェクトの実行をブロックする際、製品設定で有効にされている場合は Kaspersky Endpoint Security は標準の通知(下の図を参照)を表示します。
実行防止の通知
ページのトップに戻る