Kaspersky Security for Windows Server permet de protéger la mémoire des processus contre les exploits. Cette fonction est mise en œuvre via le module Protection contre les exploits. Vous pouvez modifier l'état de l'activité du composant, ainsi que configurer les paramètres de protection de mémoire du processus contre l'exploitation des vulnérabilités.
Le composant protège la mémoire du processus contre les Exploits à l'aide de l'Agent de protection des processus (ci après Agent) externe intégré au processus protégé.
L'Agent de protection de processus est un module de Kaspersky Security for Windows Server chargé dynamiquement qui s'intègre aux processus protégés en vue de contrôler leur intégrité et de réduire l'impact de l'exploitation des vulnérabilités.
Le fonctionnement de l'Agent à l'intérieur du processus protégé dépend des itérations de lancement et d'arrêt de ce processus : le chargement primaire de l'Agent dans le processus ajouté à la liste des processus protégés est possible seulement au relancement du processus. Le déchargement de l'Agent de processus une fois supprimé de la liste est possible seulement après le relancement du processus.
Il convient d'arrêter l'Agent avant de le décharger des processus protégés : lors de la suppression du composant Protection contre les exploits, l'application gèle l'environnement et force le déchargement de l'Agent des processus protégés. Si, au cours de la désinstallation du composant, l'agent est inséré dans un des processus protégés, vous devez arrêter le processus affecté. Un redémarrage de l'appareil protégé peut être nécessaire (par exemple, si le processus système est protégé).
En cas de détection de signes d'une attaque de l'Exploit sur le processus protégé, Kaspersky Security for Windows Server exécute une des actions suivantes :
Vous pouvez arrêter la protection des processus d'une des manières suivantes :
Service Kaspersky Security Exploit Prevention
Pour garantir l'efficacité du composant Protection contre les exploits, le service Kaspersky Security Exploit Prevention est requis sur l'appareil protégé. Ce service et le module Protection contre les exploits font partie de l'installation recommandée. Lors de l'installation du service sur l'appareil protégé, le processus kavfswh est créé et lancé. Celui-ci transmet les informations relatives aux processus protégés depuis le module vers l'Agent de sécurité.
Après l'arrêt du service Kaspersky Security Exploit Prevention, Kaspersky Security for Windows Server continue de protéger les processus qui ont été ajoutés à la liste des processus protégés, puis il est également chargé dans les nouveaux processus ajoutés et applique toutes les techniques disponibles de réduction de l'impact pour protéger la mémoire des processus.
Si votre appareil tourne sous le système d'exploitation Windows 10 ou suivant, l'application cesse de protéger les processus et la mémoire du processus après l'arrêt du Service Kaspersky Security Exploit Prevention.
En cas d'arrêt du service Kaspersky Security Exploit Prevention Broker Host, l'application ne reçoit pas les données sur les événements qui se produisent avec les processus protégés (y compris, les données sur les attaques des exploits et l'achèvement des processus). L'Agent ne pourra pas non plus recevoir les données sur les nouveaux paramètres de protection et sur l'ajout des nouveaux processus à la liste des processus protégés.
Mode de protection contre les exploits
Vous pouvez configurer les actions de réduction de l'impact de l'exploitation des vulnérabilités dans les processus protégés, en sélectionnant un de deux modes :
En cas de détection d'une tentative d'exploitation d'une vulnérabilité dans un processus du système d'exploitation critique protégé, Kaspersky Security for Windows Server ne termine pas ce processus quel que soit le mode indiqué dans les paramètres du module Protection contre les exploits.
Si ce mode est sélectionné, Kaspersky Security for Windows Server crée des événements pour consigner toutes les tentatives d'exploit de vulnérabilités.