Prevence spouštění
Prevence spouštění umožňuje spravovat spouštění spustitelných souborů a skriptů a také otevírání souborů formátu aplikací Office. Můžete tak například zabránit spuštění aplikací, které považujete za nebezpečné. Díky tomu lze šíření hrozby zastavit. Prevence spouštění podporuje sadu přípon kancelářských souborů a sadu interpretů skriptů.
Pravidlo prevence spouštění
Prevence spouštění spravuje přístup uživatele k souborům pomocí pravidel prevence spouštění. Pravidlo prevence spouštění je sada kritérií, která aplikace bere v úvahu při reakci na spuštění objektu, například při blokování spuštění objektu. Aplikace identifikuje soubory podle jejich cest nebo kontrolních součtů vypočítaných pomocí algoritmů hash MD5 a SHA256.
Pravidla prevence spouštění můžete vytvořit:
- V podrobnostech výstrahy (pouze EDR Optimum).
Podrobnosti o výsledcích detekce je nástroj pro prohlížení všech shromážděných informací o detekované hrozbě. Mezi výsledky detekce patří například historie souborů objevujících se v počítači. Podrobnosti o správě podrobností o výsledcích detekce najdete v nápovědě k řešení Kaspersky Endpoint Detection and Response Optimum a nápovědě k řešení Kaspersky Endpoint Detection and Response Expert.
- Pomocí zásady skupiny nebo místního nastavení aplikace.
Musíte zadat cestu k souboru nebo hodnotu hash (SHA256 nebo MD5) nebo cestu k souboru i hash souboru.
Prevenci spouštění můžete také lokálně povolit nebo zakázat pomocí příkazového řádku.
Prevence spouštění má následující omezení:
- Pravidla prevence se nevztahují na soubory na CD ani bitových kopiích ISO. Aplikace neblokuje spouštění ani otevírání těchto souborů.
- Není možné blokovat spouštění objektů kritických pro systém (SCO). SCO jsou soubory, které operační systém a aplikace Kaspersky Endpoint Security pro systém Windows vyžadují k tomu, aby mohly fungovat.
- Nedoporučujeme vytvářet více než 5000 pravidel prevence spouštění, protože to může způsobit nestabilitu systému.
Režimy pravidla prevence spouštění
Součást Prevence spouštění může fungovat ve dvou režimech:
- Statistics only
V tomto režimu aplikace Kaspersky Endpoint Security publikuje událost o pokusech o spuštění spustitelných objektů nebo otevřených dokumentech, které odpovídají kritériím pravidel prevence do protokolu událostí systému Windows a Kaspersky Security Center, ale neblokuje pokus o spuštění nebo otevření objektu nebo dokumentu. Tento režim je ve výchozím nastavení vybrán.
- Active
V tomto režimu aplikace blokuje spouštění objektů nebo otevírání dokumentů, které odpovídají kritériím pravidla prevence. Aplikace také publikuje událost o pokusech o spuštění objektů nebo otevření dokumentů do protokolu událostí systému Windows a protokolu událostí aplikace Kaspersky Security Center.
Správa Prevence spouštění
Nastavení součásti můžete konfigurovat pouze ve webové konzole.
Postup prevence spouštění:
- V hlavním okně webové konzoly vyberte možnosti Devices → Policies & Profiles.
- Klikněte na název zásad aplikace Kaspersky Endpoint Security.
Otevře se okno vlastností zásad.
- Vyberte kartu Application settings.
- Přejděte na Detection and Response → Endpoint Detection and Response.
- Pomocí přepínače Execution prevention můžete tuto součást povolit nebo zakázat.
- V bloku Action on execution or opening of forbidden object vyberte provozní režim součásti:
- Block and write to report. V tomto režimu aplikace blokuje spouštění objektů nebo otevírání dokumentů, které odpovídají kritériím pravidla prevence. Aplikace také publikuje událost o pokusech o spuštění objektů nebo otevření dokumentů do protokolu událostí systému Windows a protokolu událostí aplikace Kaspersky Security Center.
- Log events only. V tomto režimu aplikace Kaspersky Endpoint Security publikuje událost o pokusech o spuštění spustitelných objektů nebo otevřených dokumentech, které odpovídají kritériím pravidel prevence do protokolu událostí systému Windows a Kaspersky Security Center, ale neblokuje pokus o spuštění nebo otevření objektu nebo dokumentu. Tento režim je ve výchozím nastavení vybrán.
- Postup vytvoření seznamu pravidel prevence spouštění:
- Klikněte na tlačítko Přidat.
- Otevře se okno; do tohoto okna zadejte název pravidle prevence spouštění (například Aplikace A).
- V rozevíracím seznamu Type vyberte objekt, který chcete blokovat: Executable file, Script, Microsoft Office document.
Pokud vyberete nesprávný typ objektu, aplikace Kaspersky Endpoint Security soubor nebo skript neblokuje.
- Chcete-li přidat soubor, musíte zadat hash souboru (SHA256 nebo MD5), úplnou cestu k souboru nebo hash i cestu.
Pokud je soubor umístěn na síťové jednotce, zadejte cestu k souboru začínající
\\
, a nikoli písmenem jednotky. Například\\server\sdílená_složka\soubor.exe
. Pokud cesta k souboru obsahuje písmeno síťové jednotky, aplikace Kaspersky Endpoint Security příslušný soubor nebo skript neblokuje.Prevence spouštění podporuje sadu přípon kancelářských souborů a sadu interpretů skriptů.
- Klikněte na tlačítko OK.
- Uložte změny.
Výsledkem je, že aplikace Kaspersky Endpoint Security blokuje spouštění objektů: spouštění spustitelných objektů a skriptů, otevírání souborů ve formátu aplikací Office. Můžete ale například otevřít soubor skriptu v textovém editoru, i když je spouštění skriptu zabráněno. Při blokování spuštění objektu aplikace Kaspersky Endpoint Security zobrazí standardní upozornění (viz obrázek níže), pokud jsou v nastavení aplikace povolena upozornění.
Upozornění na prevenci spouštění