При интеграции с решениями Detection and Response в рамках действия по реагированию на угрозы приложение Kaspersky Endpoint Security может контролировать запуск исполняемых файлов и скриптов, а также открытие файлов офисных приложений на устройстве. Запрет запуска объектов поддерживает определенный набор расширений файлов офисных приложений и определенный набор интерпретаторов скриптов. В результате запрета запуска объектов распространение угрозы может быть остановлено.
Запрет запуска объектов работает на основании правил запрета запуска. Правило запрета запуска – это набор критериев, которые приложение Kaspersky Endpoint Security учитывает при реагировании на запуск объекта. Объект должен соответствовать всем критериям правила запрета запуска, чтобы приложение заблокировало его запуск. Приложение идентифицирует файлы по их пути или контрольной сумме с помощью алгоритмов хеширования MD5 и SHA256.
Функциональность запрета запуска объектов доступна в приложении Kaspersky Endpoint Security при выполнении одного из следующих условий:
По умолчанию запрет запуска объектов выключен.
Включение запрета запуска объектов может повлиять на скорость запуска приложений в операционной системе.
Для работы запрета запуска объектов вам нужно включить применение правил запрета запуска объектов.
Особенности работы запрета запуска объектов при интеграции с Kaspersky Endpoint Detection and Response (KATA)
При интеграции приложения Kaspersky Endpoint Security с компонентом Kaspersky Endpoint Detection and Response (KATA) приложение использует правила запрета запуска объектов компонента EDR (KATA). Эти правила приложение получает от Kaspersky Endpoint Detection and Response (KATA).
При интеграции с компонентом Kaspersky Endpoint Detection and Response (KATA) вы можете:
При срабатывании правил запрета запуска приложение Kaspersky Endpoint Security отправляет отчет в Kaspersky Anti Targeted Attack Platform.
Особенности работы запрета запуска объектов при интеграции с Kaspersky Endpoint Detection and Response Optimum
При интеграции приложения Kaspersky Endpoint Security с решением Kaspersky Endpoint Detection and Response Optimum приложение использует правила запрета запуска объектов компонента EDR Optimum. Эти правила вы создаете вручную в Web Console. Вы также можете создавать правила запрета запуска автоматически из окна с деталями алерта.
При интеграции с Kaspersky Endpoint Detection and Response Optimum вы можете:
Также вы можете создать правило запрета запуска объекта автоматически, запрещая запуск файла в окне с деталями алерта. Правило запрета запуска будет добавлено в политику для группы администрирования, в которую входит устройство.
Вы можете запрещать запуск файлов в окне с деталями алерта, только если на устройство распространяется действие политики.
При интеграции с Kaspersky Endpoint Detection and Response Optimum запрет запуска объектов может работать в одном их двух режимов:
Приложение Kaspersky Endpoint Security блокирует выполнение скрипта, запрещенного правилом запрета запуска, даже если он импортирован разрешенным скриптом.
Ограничения запрета запуска объектов
Существуют следующие ограничения для запрета запуска объектов: