Végrehajtás megelőzése

A végrehajtás megakadályozása lehetővé teszi a futtatható fájlok és a parancsfájlok futtatásának, valamint az Office formátumú fájlok megnyitásának kezelését. Ilyen módon például megakadályozhatja az Ön által nem biztonságosnak ítélt alkalmazások végrehajtását. Ennek eredményeként a fenyegetés terjedése megállítható. A végrehajtás megakadályozása támogatja az Office-fájlkiterjesztések és a szkriptértelmezők készletét.

Végrehajtás megelőzésének szabálya

A végrehajtás megakadályozása megelőzési szabályokkal kezeli a felhasználók hozzáférését a fájlokhoz. A végrehajtás-megelőzési szabály olyan kritériumok összessége, amelyeket az alkalmazás figyelembe vesz, amikor egy objektum végrehajtására reagál, például amikor blokkolja az objektum végrehajtását. Az alkalmazás elérési utak vagy az MD5 és SHA256 kivonatolási algoritmusokkal kiszámított ellenőrzőösszegek alapján azonosítja a fájlokat.

Létrehozhat végrehajtásmegelőzési szabályokat:

• A riasztás részleteiben (csak az EDR Optimum esetében).

  Az Észlelés részletei egy eszköz az észlelt fenyegetéssel kapcsolatos összesített információk megtekintésére. Az észlelési részletek közé tartoznak például a számítógépen megjelenő fájlok előzményei. Az észlelések kezelésével kapcsolatos részleteket a Kaspersky Endpoint Detection and Response Optimum súgóban és a Kaspersky Endpoint Detection and Response Expert súgóban találja.

• Csoportházirend vagy helyi alkalmazásbeállítások használata.

  Meg kell adnia a fájl elérési útját vagy kivonatát (SHA256 vagy MD5), vagy a fájl elérési útját és a fájl kivonatát is.

A végrehajtásmegelőzést helyben is kezelheti a parancssor használatával.

A Végrehajtás megelőzése a következő korlátozásokkal rendelkezik:

1. A megelőzési szabályok nem terjednek ki CD-n vagy ISO-lemezképeken található fájlokra. Az alkalmazás nem blokkolja ezen fájlok végrehajtását vagy megnyitását.
2. Nem lehet a rendszerkritikus objektumokat (SCO) blokkolni. Az SCO-k olyan fájlok, amelyek futtatásához az operációs rendszernek és a Kaspersky Endpoint Security for Windows alkalmazásnak szüksége van.
3. Nem ajánlott 5000-nél több futtatás-megakadályozási szabályt létrehozni, mivel ez a rendszer instabilitását okozhatja.

Végrehajtás megelőzésének szabályai – üzemmódok

A végrehajtásmegelőzési összetevő két módban működhet:

• Csak statisztika

  Ebben az üzemmódban a Kaspersky Endpoint Security közzétesz egy eseményt a Windows eseménynaplójában és a Kaspersky Security Center eseménynaplójában a végrehajtható objektumok futtatására vagy a megelőzési szabály kritériumainak megfelelő dokumentumok megnyitására tett kísérletről, de nem blokkolja az objektum vagy a dokumentum futtatási vagy megnyitási kísérletét. Alapértelmezésben ez a mód van kiválasztva.

• Aktív

  Ebben az üzemmódban az alkalmazás blokkolja a megelőzési szabály kritériumainak megfelelő objektumok végrehajtását vagy dokumentumok megnyitását. Az alkalmazás egy eseményt is közzétesz az objektumok végrehajtására vagy dokumentumok megnyitására irányuló kísérletekről a Windows eseménynaplójában és a Kaspersky Security Center eseménynaplójában.

A végrehajtás megakadályozásának kezelése

Az összetevői beállítások csak a webkonzolon keresztül konfigurálhatók.

A végrehajtás megakadályozása:

1. A Web Console fő ablakában válassza a Devices → Policies & Profiles lehetőséget.
2. Kattintson a Kaspersky Endpoint Security házirend nevére.

   Megnyílik a rendszabályok tulajdonságai ablak.

3. Válassza ki az Application settings lapot.
4. Nyissa meg a Detection and Response → Endpoint Detection and Response elemet.
5. A Execution prevention kapcsolóval engedélyezze vagy tiltsa le az összetevőt.
6. Az Action on execution or opening of forbidden object részen válassza ki az összetevő működési módját:
   • Block and write to report. Ebben az üzemmódban az alkalmazás blokkolja a megelőzési szabály kritériumainak megfelelő objektumok végrehajtását vagy dokumentumok megnyitását. Az alkalmazás egy eseményt is közzétesz az objektumok végrehajtására vagy dokumentumok megnyitására irányuló kísérletekről a Windows eseménynaplójában és a Kaspersky Security Center eseménynaplójában.
   • Log events only. Ebben az üzemmódban a Kaspersky Endpoint Security közzétesz egy eseményt a Windows eseménynaplójában és a Kaspersky Security Center eseménynaplójában a végrehajtható objektumok futtatására vagy a megelőzési szabály kritériumainak megfelelő dokumentumok megnyitására tett kísérletről, de nem blokkolja az objektum vagy a dokumentum futtatási vagy megnyitási kísérletét. Alapértelmezésben ez a mód van kiválasztva.
7. Végrehajtásmegelőzési szabályok listájának létrehozása:
   1. Kattintson a Add gombra.
   2. Ezzel megnyit egy ablakot; ebben az ablakba írja be a végrehajtásmegelőzési szabály nevét (például A alkalmazás).
   3. A Type legördülő listában válassza ki a blokkolni kívánt objektumot: Executable file, Script, Microsoft Office document.

      Ha rossz objektumtípust választ, a Kaspersky Endpoint Security nem blokkolja a fájlt vagy a szkriptet.

   4. A fájl hozzáadásához meg kell adnia a fájl kivonatát (SHA256 vagy MD5), a fájl teljes elérési útját, vagy a kivonatot és az elérési utat egyszerre.

      Ha a fájl hálózati meghajtón található, adja meg a fájl elérési útját, amely a meghajtó betűjele helyett \\ értékkel kezdődjön. Például \\server\shared_folder\file.exe. Ha a fájl elérési útja hálózati meghajtó betűjelét tartalmazza, a Kaspersky Endpoint Security nem blokkolja a fájlt vagy a szkriptet.

      A végrehajtás megakadályozása támogatja az Office-fájlkiterjesztések és a szkriptértelmezők készletét.

   5. Kattintson az OK gombra.
8. Mentse el a módosításokat.

Ennek eredményeként a Kaspersky Endpoint Security blokkolja az objektumok végrehajtását: futtatható fájlok és szkriptek futtatása, Office-formátumú fájlok megnyitása. Azonban megnyithat például egy parancsfájlt egy szövegszerkesztőben, még akkor is, ha a szkript futtatása meg van akadályozva. Amikor blokkolja egy objektum végrehajtását, a Kaspersky Endpoint Security szabványos értesítést jelenít meg (lásd az alábbi ábrát), ha az értesítések engedélyezve vannak az alkalmazás beállításaiban.

Értesítés a végrehajtás megakadályozásáról

Oldal tetejére