Запрет запуска объектов

Запрет запуска объектов позволяет контролировать запуск исполняемых файлов и скриптов, а также открытие файлов офисного формата. Таким образом, вы можете, например, запретить запуск программ, использование которых считаете небезопасным. Запрет запуска объектов поддерживает определенный набор расширений файлов офисного формата и определенный набор интерпретаторов скриптов.

Правило запрета запуска

Запрет запуска объектов управляет доступом пользователей к файлам с помощью правил запрета запуска. Правило запрета запуска – это набор критериев, которые учитываются при выполнении блокировки. Программа идентифицирует файлы по их пути или контрольной сумме с помощью алгоритмов хеширования MD5 и SHA256.

Вы можете создавать правила запрета запуска следующими способами:

• В деталях обнаружения (только для EDR Optimum).

  Детали обнаружения – инструмент для просмотра всей собранной информации об обнаруженной угрозе. Детали обнаружения содержат, например, историю появления файлов на компьютере. Подробнее о работе с деталями обнаружения см. в справке Kaspersky Endpoint Detection and Response Optimum и в справке Kaspersky Endpoint Detection and Response Expert.

• С помощью групповой политики или локальных параметров программы.

  Вам нужно ввести путь к файлу или хеш файла (SHA256 или MD5), или путь к файлу и хеш файла.

Вы также можете управлять Запретом запуска объектов локально из командной строки.

Не рекомендуется создавать более 5000 правил запрета запуска, поскольку это может привести к нестабильности системы.

Правила запрета не распространяются на файлы, расположенные на компакт-дисках или в ISO-образах. Программа не будет блокировать исполнение или открытие этих файлов.

Режимы применения правил запрета запуска

Компонент Запрет запуска объектов может работать в двух режимах:

• Только статистика.

  В этом режиме Kaspersky Endpoint Security публикует в Журнал событий Windows и Kaspersky Security Center событие о попытках запуска исполняемых объектов или открытия документов, соответствующих критериям правил запрета, но не блокирует их запуск или открытие. Этот режим выбран по умолчанию.

• Активный.

  В этом режиме программа блокирует запуск объектов или открытие документов, соответствующих критериям правил запрета. Также программа публикует в журнал событий Windows и Kaspersky Security Center событие о попытках запуска объектов или открытия документов.

Управление Запретом запуска объектов

Вы можете настроить параметры задачи для EDR Optimum в Web Console и Cloud Console. Параметры задачи для EDR Expert доступны только в Cloud Console.

Чтобы запретить запуск объектов, выполните следующие действия:

1. В главном окне Web Console выберите Устройства → Политики и профили политик.
2. Нажмите на название политики Kaspersky Endpoint Security.

   Откроется окно свойств политики.

3. Выберите закладку Параметры программы.
4. Перейдите в раздел Detection and Response → Endpoint Detection and Response.
5. Используйте переключатель Запрет запуска, чтобы включить или выключить компонент.
6. В блоке Действие при запуске или открытии объекта выберите режим работы компонента:
   • Блокировать и записывать в отчет. В этом режиме программа блокирует запуск объектов или открытие документов, соответствующих критериям правил запрета. Также программа публикует в журнал событий Windows и Kaspersky Security Center событие о попытках запуска объектов или открытия документов.
   • Только записывать в отчет. В этом режиме Kaspersky Endpoint Security публикует в Журнал событий Windows и Kaspersky Security Center событие о попытках запуска исполняемых объектов или открытия документов, соответствующих критериям правил запрета, но не блокирует их запуск или открытие. Этот режим выбран по умолчанию.
7. Сформируйте список правил запрета запуска:
   1. Нажмите на кнопку Добавить.
   2. В открывшемся окне введите имя правила запрета запуска (например, Программа A).
   3. В раскрывающемся списке Тип выберите объект, который вы хотите заблокировать: Исполняемый файл, Скрипт, Файл офисного формата.

      Если вы выберите неверный тип объекта, Kaspersky Endpoint Security не заблокирует файл или скрипт.

   4. Для добавления файла вам нужно ввести хеш файла (SHA256 или MD5) или полный путь к файлу, или хеш файла и путь к файлу.

      Если файл расположен на сетевом диске, введите путь к файлу начиная с символов \\, а не с буквы диска. Например, \\server\shared_folder\file.exe. Если путь к файлу содержит букву сетевого диска, Kaspersky Endpoint Security не заблокирует файл или скрипт.

      Запрет запуска объектов поддерживает определенный набор расширений файлов офисного формата и определенный набор интерпретаторов скриптов.

   5. Нажмите на кнопку ОК.
8. Сохраните внесенные изменения.

В результате Kaspersky Endpoint Security будет блокировать запуск объектов: запуск исполняемых файлов, скриптов и открытие файлов офисного формата. При этом вы можете, например, открыть файл скрипта в текстовом редакторе, даже если запуск скрипта запрещен. При блокировании запуска объекта Kaspersky Endpoint Security покажет пользователю стандартное уведомление программы (см. рис. ниже), если уведомления включены в настройках программы.

Уведомление Запрета запуска объектов

В начало