Ausführungsprävention

Mit der Ausführungsprävention kann das Starten von ausführbaren Dateien und Skripten sowie das Öffnen von Dateien im Office-Format verwaltet werden. Auf diese Weise können Sie beispielsweise die Ausführung von Anwendungen verhindern, die Sie als unsicher einstufen. Dies kann die Ausbreitung einer Bedrohung begrenzen. Die Ausführungsprävention unterstützt eine Reihe von Skriptinterpretern.

Präventionsregel für die Ausführung

Die Ausführungsprävention verwaltet den Benutzerzugriff auf Dateien mithilfe von Präventionsregeln für die Ausführung. Die Regel für die Ausführungsprävention ist eine Zusammenstellung von Kriterien, die von der Anwendung berücksichtigt werden, wenn sie auf die Ausführung eines Objekts reagiert, beispielsweise wenn das Starten eines Objekts blockiert wird. Die Anwendung identifiziert Dateien anhand ihres Pfads oder ihrer Prüfsummen, die mithilfe der MD5- und SHA256-Hash-Algorithmen berechnet wurden.

Sie können Präventionsregeln für die Ausführung erstellen:

• In den Alarmdetails (nur für EDR Optimum).

  Die Alarmdetails sind ein Tool zum Anzeigen aller gesammelten Informationen über eine erkannte Bedrohung. Zu den Alarmdetails gehört beispielsweise der Verlauf der auf dem Computer veränderten Dateien. Weitere Informationen zur Verwaltung der Alarmdetails finden Sie in der Hilfe zu Kaspersky Endpoint Detection and Response Optimum.

• Unter Verwendung einer Gruppenrichtlinie oder lokaler Anwendungseinstellungen. Sie müssen entweder den Pfad oder den Hash (SHA256 oder MD5) der Datei eingeben oder alternativ sowohl den Pfad als auch den Hash der Datei eingeben.

Sie können die Ausführungsprävention auch lokal über die Befehlszeile verwalten.

Hinweis: Der Start von systemkritischen Objekten (SCO) kann nicht blockiert werden. SCOs sind Dateien, die für die Ausführung des Betriebssystems und von Kaspersky Endpoint Security for Mac erforderlich sind.

Modi der Präventionsregeln für die Ausführung

Die Komponente "Ausführungsprävention" kann in zwei Modi ausgeführt werden:

• Nur Statistik

  In diesem Modus veröffentlicht Kaspersky Endpoint Security im Ereignisprotokoll von Kaspersky Security Center ein Ereignis über den Start von Objekten oder das Öffnen von Dokumenten, die den Kriterien der Präventionsregel entsprechen. Allerdings wird das Starten oder Öffnen des Objekts nicht blockiert. Diese Variante ist standardmäßig ausgewählt.

• Aktiv

  In diesem Modus blockiert die Anwendung den Start von Objekten oder das Öffnen von Dokumenten, die den Kriterien der Präventionsregel entsprechen. Zusätzlich veröffentlicht die Anwendung im Ereignisprotokoll von Kaspersky Security Center ein Ereignis über Versuche, Objekte zu starten oder Dokumente zu öffnen.

Ausführungsprävention verwalten

Wichtig: Sie können die Einstellungen der Komponente nur in der Web Console konfigurieren.

So verhindern Sie eine Ausführung:

1. Wählen Sie im Hauptfenster der Web Console den Punkt Geräte > Richtlinien und Profile aus.
2. Klicken Sie auf den Namen der Richtlinie für Kaspersky Endpoint Security for Mac.

   Das Fenster mit den Richtlinieneigenschaften wird geöffnet.

3. Wählen Sie die Registerkarte Anwendungseinstellungen aus.
4. Wechseln Sie zu Erkennung und Reaktion > Endpoint Detection and Response.
5. Aktivieren Sie den Umschalter Ausführungsprävention AKTIVIERT.
6. Wählen Sie im Block Aktion beim Ausführen oder Öffnen eines verbotenen Objekts den Ausführungsmodus der Komponente aus:
   • Blockieren und protokollieren. In diesem Modus blockiert die Anwendung den Start von Objekten oder das Öffnen von Dokumenten, die den Kriterien der Präventionsregel entsprechen. Zusätzlich veröffentlicht die Anwendung im Ereignisprotokoll von Kaspersky Security Center ein Ereignis über Versuche, Objekte zu starten oder Dokumente zu öffnen.
   • Nur protokollieren. In diesem Modus veröffentlicht Kaspersky Endpoint Security im Ereignisprotokoll von Kaspersky Security Center ein Ereignis über den Start von Objekten oder das Öffnen von Dokumenten, die den Kriterien der Präventionsregel entsprechen. Allerdings wird das Starten oder Öffnen des Objekts nicht blockiert. Diese Variante ist standardmäßig ausgewählt.
7. Eine Liste mit Präventionsregeln für die Ausführung erstellen:
   1. Klicken Sie auf Hinzufügen.
   2. Geben Sie im neuen Dialogfeld den Namen der Präventionsregel für die Ausführung ein (z. B. "Anwendung A").
   3. Wählen Sie in der Dropdown-Liste Typ die Art des Objekts aus, das Sie blockieren möchten: Anwendung, Skript oder Dokument.

      Wenn Sie einen falschen Objekttyp auswählen, blockiert Kaspersky Endpoint Security die Datei oder das Skript nicht.

   4. Um die Datei hinzuzufügen, können Sie den Datei-Hash (SHA256 oder MD5), den vollständigen Dateipfad oder sowohl den Hash als auch den Pfad eingeben.

   Hinweis: Wenn sich die Datei auf einem Netzlaufwerk befindet, geben Sie den Dateipfad wie folgt ein: /Volumes/Freigegebener_Ordner/Dateiname. Wenn der Dateipfad den Laufwerksbuchstaben für ein Netzlaufwerk enthält, blockiert Kaspersky Endpoint Security die Datei oder das Skript nicht.

   1. Klicken Sie auf OK.
8. Speichern Sie die Änderungen.

Infolgedessen blockiert Kaspersky Endpoint Security die Ausführung von Objekten, d h. das Starten von ausführbaren Dateien und Skripten sowie das Öffnen von Dateien im Office-Format. Eine Skriptdatei kann jedoch beispielsweise in einem Texteditor geöffnet werden, selbst wenn die Ausführung des Skripts verhindert ist. Wenn die Ausführung eines Objekts blockiert wird und die Benachrichtigungen in den Anwendungseinstellungen aktiviert sind, zeigt Kaspersky Endpoint Security eine Standardbenachrichtigung an.