执行防护允许管理可执行文件和脚本的运行,以及打开 Office 格式文件。这样,例如,您可以防止执行您认为不安全的应用程序。结果,威胁传播可以被停止。执行防护支持一组 Office 文件扩展名和一组脚本解释器。
执行防护规则
执行防护使用执行防护规则管理用户对文件的访问。执行防护规则是应用程序在对对象执行做出反应时(例如,在阻止对象执行时)考虑的一组条件。应用程序通过使用 MD5 和 SHA256 哈希算法计算的路径或校验和来识别文件。
您可以创建执行防护规则:
警报详情是一种工具,用于查看所收集的有关检测到的威胁的全部信息。警报详情包括,例如,出现在计算机的文件历史。有关管理警报详情的更多信息,请参阅 Kaspersky Endpoint Detection and Response Optimum 帮助和 Kaspersky Endpoint Detection and Response Expert 帮助。
必须输入文件路径或哈希(SHA256 或 Md5),或者同时输入文件路径和文件哈希。
您还可以使用命令行在本地管理执行防护。
不建议创建超过 5000 个运行防护规则,因为这可能会导致系统不稳定。
预防规则不包括 CD 或 ISO 映像中的文件。应用程序不会阻止这些文件的执行或打开。
执行防护规则模式
执行防护组件可以在两种模式下工作:
在此模式下,Kaspersky Endpoint Security 将发布关于尝试执行符合防护规则标准的对象或打开这样的文档的事件到 Windows 事件日志和 Kaspersky Security Center,但不会阻止尝试运行对象或打开文档。默认情况下已选择此模式。
在此模式下,应用程序将阻止执行符合防护规则标准的对象或打开这样的文档。应用程序还将尝试执行对象或打开文档的事件发布到 Windows 事件日志和 Kaspersky Security Center 事件日志。
管理执行防护
您仅可以在 Web Console 中配置组件设置。
要防护执行:
策略属性窗口将打开。
如果您选择了错误的对象类型,Kaspersky Endpoint Security 不阻止文件或脚本。
如果文件位于网络驱动器上,请输入以“\\
”开头的文件路径,而不是驱动器盘符。例如,\\server\shared_folder\file.exe
。如果文件路径包含网络驱动器盘符,Kaspersky Endpoint Security 不阻止文件或脚本。
执行防护支持一组 Office 文件扩展名和一组脚本解释器。
因此,Kaspersky Endpoint Security 会阻止对象的执行:运行可执行文件和脚本,打开 Office 格式文件。您也可以在文本编辑器中打开脚本文件,即便执行脚本被阻止。当阻止对象的执行时,如果在应用程序设置中启用了通知,Kaspersky Endpoint Security 将显示标准通知(参见下图)。
执行防护通知
页面顶部