Запрет запуска объектов

При интеграции с решениями Detection and Response в рамках действия по реагированию на угрозы приложение Kaspersky Endpoint Security может контролировать запуск исполняемых файлов и скриптов, а также открытие файлов офисных приложений на устройстве. Запрет запуска объектов поддерживает определенный набор расширений файлов офисных приложений и определенный набор интерпретаторов скриптов. В результате запрета запуска объектов распространение угрозы может быть остановлено.

Запрет запуска объектов работает на основании правил запрета запуска. Правило запрета запуска – это набор критериев, которые приложение Kaspersky Endpoint Security учитывает при реагировании на запуск объекта. Объект должен соответствовать всем критериям правила запрета запуска, чтобы приложение заблокировало его запуск. Приложение идентифицирует файлы по их пути или контрольной сумме с помощью алгоритмов хеширования MD5 и SHA256.

Функциональность запрета запуска объектов доступна в приложении Kaspersky Endpoint Security при выполнении одного из следующих условий:

• Включена интеграция приложения Kaspersky Endpoint Security с компонентом Kaspersky Endpoint Detection and Response (KATA) и активировано решение Kaspersky Anti Targeted Attack Platform.
• Включена интеграция приложения Kaspersky Endpoint Security с решением Kaspersky Endpoint Detection and Response Optimum и активирован компонент EDR Optimum.

По умолчанию запрет запуска объектов выключен.

Включение запрета запуска объектов может повлиять на скорость запуска приложений в операционной системе.

Для работы запрета запуска объектов вам нужно включить применение правил запрета запуска объектов.

Особенности работы запрета запуска объектов при интеграции с Kaspersky Endpoint Detection and Response (KATA)

При интеграции приложения Kaspersky Endpoint Security с компонентом Kaspersky Endpoint Detection and Response (KATA) приложение использует правила запрета запуска объектов компонента EDR (KATA). Эти правила приложение получает от Kaspersky Endpoint Detection and Response (KATA).

При интеграции с компонентом Kaspersky Endpoint Detection and Response (KATA) вы можете:

• Включать и выключать применение правил запрета запуска объектов компонента EDR (KATA) в Web Console, в Консоли администрирования или в командной строке.

  При срабатывании правил запрета запуска приложение Kaspersky Endpoint Security отправляет отчет в Kaspersky Anti Targeted Attack Platform.

• Просматривать в командной строке список правил запрета запуска объектов компонента EDR (KATA).

Особенности работы запрета запуска объектов при интеграции с Kaspersky Endpoint Detection and Response Optimum

При интеграции приложения Kaspersky Endpoint Security с решением Kaspersky Endpoint Detection and Response Optimum приложение использует правила запрета запуска объектов компонента EDR Optimum. Эти правила вы создаете вручную в Web Console. Вы также можете создавать правила запрета запуска автоматически из окна с деталями алерта.

При интеграции с Kaspersky Endpoint Detection and Response Optimum вы можете:

• Включать и выключать применение правил запрета запуска объектов компонента EDR Optimum в Web Console или в командной строке.
• Создавать и настраивать правила запрета запуска объектов компонента EDR Optimum в Web Console.

  Также вы можете создать правило запрета запуска объекта автоматически, запрещая запуск файла в окне с деталями алерта. Правило запрета запуска будет добавлено в политику для группы администрирования, в которую входит устройство.

  Вы можете запрещать запуск файлов в окне с деталями алерта, только если на устройство распространяется действие политики.

• Просматривать в командной строке список правил запрета запуска объектов компонента EDR Optimum.

При интеграции с Kaspersky Endpoint Detection and Response Optimum запрет запуска объектов может работать в одном из двух режимов:

• Блокировать. В этом режиме приложение блокирует запуск объектов или открытие документов, соответствующих критериям правил запрета, и записывает в журнал событие о попытках запуска объектов или открытия документов.

  Приложение Kaspersky Endpoint Security блокирует выполнение скрипта, запрещенного правилом запрета запуска, даже если он импортирован разрешенным скриптом.

• Информировать. В этом режиме приложение записывает в журнал событие о попытках запуска исполняемых объектов или открытия документов, соответствующих критериям правил запрета, но не блокирует их запуск или открытие. Этот режим выбран по умолчанию.

Ограничения запрета запуска объектов

Существуют следующие ограничения для запрета запуска объектов:

• Приложение Kaspersky Endpoint Security не блокирует объекты, заданные в правилах запрета запуска до запуска приложения.
• Приложение Kaspersky Endpoint Security не блокирует файлы, открытые до создания или изменения правила запрета запуска.
• Приложение Kaspersky Endpoint Security не блокирует работу с объектами, запущенными до создания или изменения правила запрета запуска и подпадающими под вновь заданные правила.
• Некоторые файлы могут быть критически важными для работы операционной системы и приложения. Запрет запуска таких файлов может нарушить работу системы.
• Не рекомендуется создавать более 50000 правил запрета запуска, поскольку это может привести к нестабильности системы.

В этом разделе Настройка запрета запуска объектов в Web Console Настройка запрета запуска объектов в Консоли администрирования Управление запретом запуска объектов в командной строке

В начало