Ausführungsprävention

Die „Ausführungsprävention“ ermöglicht das Starten ausführbarer Dateien und Skripte sowie das Öffnen von Dateien in Office-Formaten. Dadurch können Sie beispielsweise die Ausführung von Anwendungen verhindern, die Sie für unsicher halten. Dadurch kann die Ausbreitung der Bedrohung gestoppt werden. Die Ausführungsverhinderung unterstützt eine Reihe von Office-Dateierweiterungen und Skriptinterpretern.

Regeln für die Ausführungsprävention

Die Ausführungsverhinderung verwaltet den Benutzerzugriff auf Dateien mit Ausführungsverhinderungsregeln. Eine Regel für die Ausführungsprävention ist eine Reihe von Kriterien, nach denen die Anwendung auf die Ausführung eines Objekts reagiert, beispielsweise wenn die Objektausführung blockiert wird. Die Anwendung identifiziert Dateien anhand von Pfaden oder Prüfsummen, die auf MD5- und SHA256-Hash-Algorithmen beruhen.

Sie können Regeln für die Ausführungsprävention erstellen:

Sie können „Ausführungsverhinderung verwalten“ auch lokal über die Befehlszeile aktivieren oder deaktivieren.

Die Ausführungsprävention besitzt die folgenden Beschränkungen:

  1. Präventionsregeln gelten nicht für Dateien auf CDs oder in ISO-Images. Die Anwendung blockiert nicht die Ausführung oder das Öffnen dieser Dateien.
  2. Der Start von systemkritischen Objekten (SCO) kann nicht blockiert werden. Systemkritische Objekte sind Dateien, die vom Betriebssystem und von Kaspersky Endpoint Security für Windows für ihre Ausführung benötigt werden.
  3. Es wird nicht empfohlen, mehr als 5.000 Ausführungspräventionsregeln zu erstellen, da dies zu Systeminstabilität führen kann.

Regeln für die Ausführungsprävention

Ausführungsprävention kann in zwei Modi ausgeführt werden:

Verwaltung der Ausführungsprävention

Die Komponenteneinstellungen können nur über die „Web Console“ konfiguriert werden.

Um die Ausführung zu verhindern:

  1. Wählen Sie im „Web Console“-Hauptfenster den Punkt GeräteRichtlinien und Profile.
  2. Klicken Sie auf den Namen der Richtlinie von Kaspersky Endpoint Security.

    Das Fenster mit den Richtlinieneigenschaften wird geöffnet.

  3. Wählen Sie die Registerkarte Programmeinstellungen aus.
  4. Gehen Sie zu Detection and ResponseEndpoint Detection and Response.
  5. Verwenden Sie den Schalter Ausführungsprävention, um die Komponente zu aktivieren oder zu deaktivieren.
  6. Wählen Sie im Block Aktion beim Ausführen oder Öffnen eines verbotenen Objekts den Betriebsmodus der Komponente:
    • Blockieren und protokollieren. In diesem Modus sperrt die Anwendung die Ausführung von Objekten oder das Öffnen von Dokumenten, die den Kriterien der Präventionsregel entsprechen. Außerdem veröffentlicht die Anwendung im Windows-Ereignisprotokoll und im Kaspersky Security Center-Ereignisprotokoll ein Ereignis über Versuche, Objekte auszuführen oder Dokumente zu öffnen.
    • Nur Ereignisse protokollieren. In diesem Modus veröffentlicht Kaspersky Endpoint Security im Windows-Ereignisprotokoll und in Kaspersky Security Center ein Ereignis über Versuche, ausführbare Objekte auszuführen oder Dokumente zu öffnen, die den Kriterien der Präventionsregel entsprechen. Der Versuch, das Objekt auszuführen oder das Dokument zu öffnen, wird jedoch nicht blockiert. Standardmäßig ist dieser Modus ausgewählt.
  7. Erstellen Sie eine Liste mit Regeln zur Prävention der Ausführung:
    1. Klicken Sie auf Hinzufügen.
    2. Dadurch wird ein Fenster geöffnet. Wählen Sie in diesem Fenster den Namen der Regeln zur Prävention der Ausführung (Beispielsweise, Programm A).
    3. Wählen Sie aus der Dropdown-Liste Typ die Aufgabe aus, die Sie blockieren möchten: Ausführbare Datei, Skript, Microsoft Office-Dokument.

      Falls Sie einen falschen Objekttyp auswählen, blockiert Kaspersky Endpoint Security die Datei oder das Skript nicht.

    4. Um die Datei hinzuzufügen, müssen Sie den Datei-Hash (SHA256 oder MD5), den vollständigen Dateipfad oder sowohl den Hash als auch den Pfad eingeben.

      Wenn sich die Datei auf einem Netzlaufwerk befindet, geben Sie vor dem Dateipfad die Zeichen \\ ein, nicht den Laufwerksbuchstaben. Beispiel: \\server\freigegebener_Ordner\datei.exe. Falls der Dateipfad einen Netzlaufwerksbuchstaben enthält, wird Kaspersky Endpoint Security die Datei oder das Skript nicht blockieren.

      Die Ausführungsverhinderung unterstützt eine Reihe von Office-Dateierweiterungen und Skriptinterpretern.

    5. Klicken Sie auf OK.
  8. Speichern Sie die vorgenommenen Änderungen.

Dadurch blockiert Kaspersky Endpoint Security die Ausführung von ausführbaren Dateien und Skripten sowie das Öffnen von Dateien im Office-Format. Sie können jedoch beispielsweise eine Skriptdatei in einem Texteditor öffnen, auch wenn die Ausführung des Skripts verhindert wird. Beim Blockieren der Ausführung eines Objekts zeigt Kaspersky Endpoint Security eine Standardbenachrichtigung an (siehe Abbildung unten), wenn die Benachrichtigungen in den Programmeinstellungen aktiviert sind.

Benachrichtigung über eine blockierte Skript-Ausführung. Der Benutzer kann detaillierte Informationen über die Regel anzeigen.

Regeln für die Ausführungsprävention

Nach oben