Bei einer Integration mit Detection and Response-Lösungen kann Kaspersky Endpoint Security im Rahmen einer Maßnahme zur Reaktion auf eine Bedrohung den Start ausführbarer Dateien und Skripte sowie das Öffnen von Office-Dateien auf dem Gerät überwachen. Die Ausführungsprävention für Objekte unterstützt eine bestimmte Auswahl von Erweiterungen für Office-Programme und eine bestimmte Auswahl von Skript-Interpretern. Durch das Verbot, Objekte zu starten, kann die Ausbreitung einer Bedrohung gestoppt werden.
Die Ausführungsprävention für Objekte erfolgt auf Grundlage der Regeln der Ausführungsprävention. Eine Regel der Ausführungsprävention besteht aus einer Reihe von Kriterien, die Kaspersky Endpoint Security bei der Reaktion auf einen gestarteten Prozess berücksichtigt. Ein Objekt muss alle Kriterien einer Regel zur Ausführungsprävention erfüllen, damit die Anwendung den Start des Objekts blockiert. Die Anwendung identifiziert Dateien anhand ihres Pfads oder ihrer Prüfsumme und verwendet dabei die Hash-Algorithmen MD5 und SHA256.
Die Ausführungsprävention von Objekten steht in Kaspersky Endpoint Security zur Verfügung, wenn eine der folgenden Bedingungen erfüllt ist:
Standardmäßig ist die Ausführungsprävention von Objekten deaktiviert.
Das Aktivieren der Ausführungsprävention von Objekten kann sich auf die Startgeschwindigkeit einer Anwendung im Betriebssystem auswirken.
Damit die Ausführungsprävention von Objekten funktioniert, müssen Sie die Anwendung der Regel zur Ausführungsprävention von Objekten aktivieren.
Funktionen der Ausführungsprävention von Objekten bei einer Integration mit Kaspersky Endpoint Detection and Response (KATA)
Bei einer Integration der Anwendung "Kaspersky Endpoint Security" mit der Komponente "Kaspersky Endpoint Detection and Response (KATA)" verwendet die Anwendung die Regeln zur Ausführungsprävention von Objekten der EDR (KATA)-Komponente. Die Anwendung erhält diese Regeln von Kaspersky Endpoint Detection and Response (KATA).
Bei der Integration mit der Komponente "Kaspersky Endpoint Detection and Response (KATA)" können Sie Folgendes tun:
Wenn Regeln der Ausführungsprävention ausgelöst werden, sendet Kaspersky Endpoint Security einen Bericht an Kaspersky Anti Targeted Attack Platform.
Funktionen der Ausführungsprävention von Objekten bei einer Integration mit Kaspersky Endpoint Detection and Response Optimum
Bei einer Integration der Anwendung "Kaspersky Endpoint Security" mit der Lösung "Kaspersky Endpoint Detection and Response Optimum" verwendet die Anwendung die Regeln zur Ausführungsprävention von Objekten der Komponente "EDR Optimum". Diese Regeln erstellen Sie manuell in der Web Console. Sie können auch im Fenster mit den Alarmdetails automatisch Regeln zur Ausführungsprävention erstellen.
Bei der Integration mit Kaspersky Endpoint Detection and Response Optimum können Sie Folgendes tun:
Sie können auch automatisch eine Regel zur Ausführungsprävention eines Objekts erstellen, indem Sie den Start der Datei im Fenster mit den Alarmdetails verbieten. Die Regel der Ausführungsprävention wird der Richtlinie jener Administrationsgruppe hinzugefügt, zu der das Gerät gehört.
Sie können die Ausführung von Dateien im Fenster mit den Alarmdetails nur dann blockieren, wenn das Gerät von einer Richtlinie abgedeckt wird.
Bei einer Integration mit Kaspersky Endpoint Detection and Response Optimum kann die Ausführungsprävention von Objekten in einem von zwei Modi erfolgen:
Kaspersky Endpoint Security blockiert die Ausführung von Skripten, die durch die Ausführungsprävention verboten sind, auch wenn sie von einem erlaubten Skript importiert wurden.
Einschränkungen der Ausführungsprävention für Objekte
Für die Ausführungsprävention von Objekten, gelten die folgenden Einschränkungen: