Prévention de l’exécution

La prévention de l’exécution permet de gérer le lancement des fichiers exécutables et des scripts ainsi que l’ouverture des fichiers au format Office. Vous pouvez ainsi empêcher l’exécution d’applications que vous jugez dangereuses. Il est ainsi possible d’arrêter la propagation de la menace. La prévention de l’exécution prend en charge un ensemble d’interpréteurs de script.

Règle de prévention de l’exécution

La prévention de l’exécution gère l’accès des utilisateurs aux fichiers à l’aide des règles de prévention de l’exécution. La règle de prévention de l’exécution est un ensemble de critères que l’application prend en compte lorsqu’elle réagit à l’exécution d’un objet, par exemple lorsqu’elle bloque l’exécution de l’objet. L’application identifie les fichiers grâce au chemin d’accès ou à la somme de contrôle calculée à l’aide des algorithmes de hachage MD5 et SHA256.

Vous pouvez créer des règles de prévention de l’exécution :

• Dans les détails de l’alerte (uniquement pour EDR Optimum).

  Détails de l’alerte est un outil qui permet de consulter l’intégralité des informations recueillies sur une menace détectée. Les détails de l’alerte reprennent, par exemple, l’historique des fichiers apparus sur l’ordinateur. Pour en savoir plus sur la gestion des détails de l’alerte, consultez l’ aide de Kaspersky Endpoint Detection and Response Optimum.

• À l’aide de la stratégie de groupe ou des réglages locaux d’une application. Vous devez saisir le chemin d’accès au fichier ou le hachage (SHA256 ou MD5), ou à la fois le chemin d’accès et le hachage du fichier.

Vous pouvez également administrer la prévention de l’exécution en local via la ligne de commande.

Remarque : il est impossible de bloquer le démarrage des objets critiques pour le système (SCO). Les SCO sont des fichiers indispensables au fonctionnement du système d’exploitation et de l’application Kaspersky Endpoint Security for Mac.

Modes des règles de prévention de l’exécution

Le module Prévention de l’exécution peut fonctionner selon deux modes :

• Statistiques uniquement

  Dans ce mode, Kaspersky Endpoint Security publie un événement sur les tentatives d’exécution d’objets exécutables ou d’ouverture de documents conformes aux critères des règles de prévention dans le journal des événements de Kaspersky Security Center, mais ne bloque pas la tentative d’exécution de l’objet ou d’ouverture du document. Ce mode est sélectionné par défaut.

• Active

  Dans ce mode, l’application bloque l’exécution des objets ou l’ouverture des documents répondant aux critères de la règle d’interdiction. De plus, l’application publie un événement sur les tentatives d’exécution d’un objet ou d’ouverture de documents dans le journal des événements de Kaspersky Security Center.

Gestion de la prévention de l’exécution

Important : vous pouvez configurer les paramètres du module uniquement dans Web Console.

Pour prévenir l’exécution :

1. Dans la fenêtre principale de Web Console, sélectionnez Appareils > Stratégies et profils.
2. Cliquez sur le nom de la stratégie Kaspersky Endpoint Security for Mac.

   La fenêtre des propriétés de la stratégie s’ouvre.

3. Cliquez sur l’onglet Réglage des applications.
4. Sélectionnez Detection and Response > Endpoint Detection and Response.
5. Activez la fonction Prévention de l’exécution.
6. Dans le groupe Actions lors de l’exécution ou de l’ouverture de l’objet interdit, sélectionnez le mode de fonctionnement du module :
   • Bloquer et écrire pour signaler. Dans ce mode, l’application bloque l’exécution des objets ou l’ouverture des documents répondant aux critères de la règle d’interdiction. De plus, l’application publie un événement sur les tentatives d’exécution d’un objet ou d’ouverture de documents dans le journal des événements de Kaspersky Security Center.
   • Enregistrer les événements uniquement. Dans ce mode, Kaspersky Endpoint Security publie un événement sur les tentatives d’exécution d’objets exécutables ou d’ouverture de documents conformes aux critères des règles de prévention dans le journal des événements de Kaspersky Security Center, mais ne bloque pas la tentative d’exécution de l’objet ou d’ouverture du document. Ce mode est sélectionné par défaut.
7. Créez une liste de règles prévention de l’exécution :
   1. Cliquez sur Ajouter.
   2. Dans la boîte de dialogue qui s’ouvre, saisissez le nom de la règle de prévention de l’exécution (par exemple, Application A).
   3. Dans la liste déroulante Type, sélectionnez l’objet que vous souhaitez bloquer : Application, Script, Document.

      Si vous sélectionnez un type d’objet incorrect, Kaspersky Endpoint Security ne bloque pas le fichier ou le script.

   4. Pour ajouter un fichier, vous devez saisir le hachage du fichier (SHA256 ou MD5), le chemin d’accès complet au fichier ou le hachage et le chemin d’accès.

   Remarque : si le fichier se trouve sur un disque réseau, saisissez le chemin d’accès au fichier de la manière suivante : /Volumes/nom_dossier_partagé/nom_fichier. Si le chemin d’accès au fichier contient une lettre de disque réseau, Kaspersky Endpoint Security ne bloque pas le fichier ou le script.

   1. Cliquez sur OK.
8. Enregistrez vos modifications.

Par conséquent, Kaspersky Endpoint Security bloque l’exécution des objets : lancement des fichiers exécutables et des scripts, ouverture des fichiers au format bureautique. Vous pouvez toutefois ouvrir le fichier script dans un éditeur de texte même si l’exécution du script n’est pas activée. Lors du blocage de l’exécution d’un objet, Kaspersky Endpoint Security affiche une notification standard si les notifications sont activées dans les réglages de l’application.