執行防護可讓人管理可執行檔和指令碼的執行,以及開啟 Office 格式的檔案。這樣的話,您可以(例如)防止執行您認為不安全的應用程式。因此,威脅擴散可以被停止。執行防護支援Office 檔案延伸程式集合和指令碼解譯器集合。
執行防護規則
執行防護使用執行防護規則管理使用者對檔案的存取。執行防護規則是應用程式對物件執行進行回應(例如,封鎖物件執行時)時考慮的一組條件。應用程式根據檔案路徑或者使用 MD5 和 SHA256 雜湊演算法計算的總和檢查碼來識別檔案。
您可以建立執行防護規則:
偵測詳情是一款用來檢視有關被偵測的威脅的整個收集資訊的工具。偵測詳情包括,例如,出現在電腦上的檔案的歷史。有關偵測詳情的詳細資訊,請參閱 Kaspersky Endpoint Detection and Response Optimum 說明 與 Kaspersky Endpoint Detection and Response Expert 說明。
您必須輸入檔案路徑或者雜湊(SHA256 或者 MD5),或者檔案路徑和檔案雜湊二者。
您也可以使用命令列本機管理執行防護。
不建議建立超過 5000 個執行防護規則,因為這可能造成系統不穩定。
防護規則不覆蓋 CD 上或者 ISO 映像中的檔案。應用程式不會封鎖執行或者開啟這些規則。
執行防護規則模式
執行防護元件可以在兩種模式下工作:
在此模式中,Kaspersky Endpoint Security 會將嘗試執行可執行物件或者開啟匹配防護規則條件的文件的事件發佈到 Windows 事件記錄和卡巴斯基安全管理中心,但是不會封鎖執行或者開啟物件或者文件的嘗試。預設情況下已選擇此模式。
在此模式中,應用程式會封鎖執行物件或者開啟匹配防護規則條件的文件。應用程式也會將嘗試執行物件或者開啟文件的事件發佈到 Windows 事件記錄和卡巴斯基安全管理中心事件記錄。
管理執行防護
您只可以在網頁主控台中配置元件設定。
要防護執行:
政策內容視窗將開啟。
如果您選擇了錯誤的物件類型,則 Kaspersky Endpoint Security 不封鎖檔案或者指令碼。
如果檔案位於網路磁碟機上,則輸入以\\
而不是磁碟機字母開始的檔案路徑。例如,\\server\shared_folder\file.exe
。如果檔案路徑包含網路磁碟機字母,則 Kaspersky Endpoint Security 不封鎖檔案或者指令碼。
執行防護支援Office 檔案延伸程式集合和指令碼解譯器集合。
結果,Kaspersky Endpoint Security 會封鎖執行物件:執行可執行檔和指令碼,開啟 Office 格式檔案。不過,您可以(例如)在文本編輯器中開啟指令碼檔案(即使執行指令碼被禁止)。當封鎖執行物件時,如果在應用程式設定中啟用了通知,則 Kaspersky Endpoint Security 會顯示一個標準通知(請見下圖)。
執行防護通知
頁面頂部