Prévention de l'exécution

La prévention de l'exécution permet de gérer l'exécution de fichiers exécutables et de scripts, ainsi que d'ouvrir des fichiers au format Office. Vous pouvez ainsi, par exemple, empêcher l'exécution d'applications que vous considérez dangereuses. La prévention de l'exécution prend en charge un ensemble d'extensions de fichier Office et un ensemble d'interpréteurs de scripts.

Règle de prévention de l'exécution

La Prévention de l'exécution gère l'accès de l'utilisateur aux fichiers à l'aide de règles de prévention de l'exécution. Une règle de prévention de l'exécution est un ensemble de critères qui sont pris en compte lors du blocage. L'application identifie les fichiers par leur chemin d'accès ou leurs sommes de contrôle calculées à l'aide des algorithmes de hachage MD5 et SHA256.

Vous pouvez créer des règles de prévention de l'exécution :

• Dans les détails de l'alerte (uniquement pour EDR Optimum).

  Les Détails de l'alerte sont un outil permettant de visualiser l'ensemble des informations collectées sur une menace détectée. Les détails de l'alerte reprennent par exemple l'histoire des fichiers qui apparaissent sur l'ordinateur. Pour en savoir plus à propos de la gestion des détails de l'alerte, consultez l'aide de Kaspersky Endpoint Detection and Response Optimum et l'aide de Kaspersky Endpoint Detection and Response Expert.

• À l'aide d'une stratégie de groupe ou des paramètres locaux de l'application.

  Vous devez saisir le chemin d'accès au fichier ou le hash (SHA256 ou MD5), ou à la fois le chemin d'accès au fichier et le hash du fichier.

Vous pouvez également gérer la Prévention de l'exécution localement en utilisant la ligne de commande.

Il n'est pas recommandé de créer plus de 5 000 règles de prévention de l'exécution, car cela peut entraîner une instabilité du système.

Les règles de prévention ne couvrent pas les fichiers sur les cédéroms ou les images ISO. L'application ne bloque pas l'exécution ou l'ouverture de ces fichiers.

Modes de règles de prévention de l'exécution

Le module Prévention de l'exécution peut fonctionner selon deux modes :

• Statistiques seulement.

  Dans ce mode, Kaspersky Endpoint Security publie un événement sur les tentatives d'exécution d'objets exécutables ou d'ouverture de documents qui correspondent aux critères de la règle de prévention dans le journal des événements Windows et dans Kaspersky Security Center, mais ne bloque pas la tentative d'exécution ni d'ouverture de l'objet ou du document. Ce mode est sélectionné par défaut.

• Active.

  Dans ce mode, l'application bloque l'exécution des objets ou l'ouverture des documents qui correspondent aux critères des règles de prévention. L'application publie également un événement sur les tentatives d'exécution d'objets ou d'ouverture de documents dans le journal des événements Windows et dans le journal des événements de Kaspersky Security Center.

Gestion de la prévention de l'exécution

Vous pouvez configurer la tâche pour EDR Optimum dans Web Console et Cloud Console. Les paramètres des tâches pour EDR Expert sont disponibles uniquement dans Cloud Console.

Pour prévenir l'exécution :

1. Dans la fenêtre principale de Web Console, sélectionnez Appareils → Stratégies et profils.
2. Cliquez sur le nom de la stratégie de Kaspersky Endpoint Security.

   La fenêtre des propriétés de la stratégie s'ouvre.

3. Choisissez l'onglet Paramètres des applications.
4. Accédez à Detection and Response → Endpoint Detection and Response.
5. Utilisez le commutateur Prévention de l'exécution pour activer ou désactiver le module.
6. Dans le groupe Action sur l'exécution ou l'ouverture d'un objet interdit, sélectionnez le mode de fonctionnement du module :
   • Bloquer et écrire dans le rapport. Dans ce mode, l'application bloque l'exécution des objets ou l'ouverture des documents qui correspondent aux critères des règles de prévention. L'application publie également un événement sur les tentatives d'exécution d'objets ou d'ouverture de documents dans le journal des événements Windows et dans le journal des événements de Kaspersky Security Center.
   • Consigner les événements uniquement. Dans ce mode, Kaspersky Endpoint Security publie un événement sur les tentatives d'exécution d'objets exécutables ou d'ouverture de documents qui correspondent aux critères de la règle de prévention dans le journal des événements Windows et dans Kaspersky Security Center, mais ne bloque pas la tentative d'exécution ni d'ouverture de l'objet ou du document. Ce mode est sélectionné par défaut.
7. Créez une liste de règles de prévention de l'exécution :
   1. Cliquez sur le bouton Ajouter.
   2. Dans la fenêtre qui s'ouvre, saisissez le nom de la règle de prévention de l'exécution (par exemple Application A).
   3. Dans la liste déroulante Type, sélectionnez l'objet que vous souhaitez bloquer : Fichier exécutable, Script, Document Microsoft Office.

      Si vous sélectionnez le mauvais type d'objet, Kaspersky Endpoint Security ne bloque pas le fichier ou le script.

   4. Pour ajouter le fichier, vous devez saisir le hash du fichier (SHA256 ou MD5), le chemin d'accès complet au fichier ou à la fois le hash et le chemin d'accès.

      Si le fichier se trouve sur un disque réseau, saisissez le chemin d'accès au fichier en commençant par \\, et non la lettre du disque. Par exemple, \\server\shared_folder\file.exe. Si le chemin d'accès contient une lettre de disque réseau, Kaspersky Endpoint Security ne bloque pas le fichier ou le script.

      La prévention de l'exécution prend en charge un ensemble d'extensions de fichier Office et un ensemble d'interpréteurs de scripts.

   5. Cliquez sur le bouton OK.
8. Enregistrez vos modifications.

Kaspersky Endpoint Security interdit alors l'exécution des objets : exécution de fichiers exécutables et de scripts, ouverture de fichiers au format Office. Vous pouvez toutefois ouvrir un fichier de script dans un éditeur de texte, même si l'exécution du script est interdite. Lors de l'interdiction de l'exécution d'un objet, Kaspersky Endpoint Security affiche une notification standard (cf. Illustration ci-dessous) si les notifications sont activées dans les paramètres des applications.

Notification de Prévention de l'exécution

Haut de page