Prevención de ejecución

La prevención de ejecución permite administrar la ejecución de archivos ejecutables y scripts, así como abrir archivos de formato Office. De esta manera, puede, por ejemplo, prevenir la ejecución de aplicaciones que considere inseguras. Como resultado, se puede detener la propagación de la amenaza. La prevención de ejecución es compatible con un conjunto de extensiones de archivos y un conjunto de intérpretes de script.

Regla de prevención de ejecución

La prevención de ejecución administra el acceso de usuarios a archivos con reglas de prevención de ejecución. Regla de prevención de ejecución es un conjunto de criterios que la aplicación tiene en cuenta al reaccionar a la ejecución de un objeto, por ejemplo, al bloquear la ejecución de un objeto. La aplicación identifica archivos por sus rutas o sumas de comprobación calculadas mediante algoritmos hash MD5 y SHA256.

Puede crear Reglas de prevención de ejecución:

• En detalles de la alerta (solo para EDR Optimum).

  Detalles de la alerta es una herramienta para ver toda la información recolectada sobre una amenaza detectada. Detalles de la alerta incluye, por ejemplo, el historial de archivos que aparecen en el equipo. Para obtener más información sobre la administración de los detalles de la alerta, consulte la Ayuda de Kaspersky Endpoint Detection and Response Optimum y la Ayuda de Kaspersky Endpoint Detection and Response Expert.

• Uso de una directiva de grupo o configuración de la aplicación local.

  Debe introducir la ruta del archivo o el hash (SHA256 o MD5), o tanto la ruta del archivo como el hash del archivo.

También puede administrar la prevención de ejecución de forma local, mediante la línea de comandos.

Prevención de ejecución tiene las siguientes limitaciones:

1. Las reglas de prevención no incluyen archivos en CD ni imágenes ISO. La aplicación no bloquea la ejecución ni apertura de estos archivos.
2. Es imposible bloquear el inicio de objetos críticos del sistema (SCO). Los SCO son archivos que el sistema operativo y la aplicación Kaspersky Endpoint Security para Windows requieren para poder ejecutarse.
3. No se recomienda crear más de 5000 reglas de prevención de ejecución, ya que esto puede provocar inestabilidad en el sistema.

Modos de regla de prevención de ejecución

El componente de prevención de ejecución puede funcionar en dos modos:

• Statistics only

  En este modo, Kaspersky Endpoint Security publica un evento sobre los intentos de ejecutar objetos ejecutables o abrir documentos que coinciden con los criterios de la regla de prevención en el registro de eventos de Windows y Kaspersky Security Center, pero no bloquea el intento de ejecutar o abrir el objeto o documento. Este modo está seleccionado de forma predeterminada.

• Active

  En este modo, la aplicación bloquea la ejecución de objetos o la apertura de documentos que coinciden con los criterios de la regla de prevención. La aplicación también publica un evento sobre los intentos de ejecutar objetos o abrir documentos en el registro de eventos de Windows y en el registro de eventos de Kaspersky Security Center.

Administración de la prevención de ejecución

Puede configurar los ajustes del componente solo en Web Console.

Para prevenir la ejecución, haga lo siguiente:

1. En la ventana principal de Web Console, seleccione Dispositivos → Directivas y perfiles.
2. Haga clic en el nombre de la directiva de Kaspersky Endpoint Security.

   Se abre la ventana de propiedades de la directiva.

3. Seleccione la ficha Configuración de la aplicación.
4. Vaya a Detection and Response → Endpoint Detection and Response.
5. Utilice el interruptor Prevención de ejecución para activar o desactivar el componente.
6. En el bloque Acción al ejecutar o abrir un objeto prohibido, seleccione el modo de funcionamiento del componente:
   • Bloquear y escribirlo en el informe. En este modo, la aplicación bloquea la ejecución de objetos o la apertura de documentos que coinciden con los criterios de la regla de prevención. La aplicación también publica un evento sobre los intentos de ejecutar objetos o abrir documentos en el registro de eventos de Windows y en el registro de eventos de Kaspersky Security Center.
   • Solo eventos del registro. En este modo, Kaspersky Endpoint Security publica un evento sobre los intentos de ejecutar objetos ejecutables o abrir documentos que coinciden con los criterios de la regla de prevención en el registro de eventos de Windows y Kaspersky Security Center, pero no bloquea el intento de ejecutar o abrir el objeto o documento. Este modo está seleccionado de forma predeterminada.
7. Crear una lista de reglas de prevención de ejecución:
   1. Haga clic en el botón Añadir.
   2. Esto abre una ventana; en esta ventana, introduzca el nombre de la regla de prevención de ejecución (por ejemplo, Aplicación A).
   3. En la lista desplegable de Tipo, seleccione el objeto de que desee bloquear: Archivo ejecutable, Script, Documento de Microsoft Office.

      Si selecciona un tipo equivocado, Kaspersky Endpoint Security no bloquea el archivo ni el script.

   4. Para añadir el archivo, debe introducir el hash del archivo (SHA256 o MD5), la ruta completa al archivo o tanto el hash como la ruta.

      Si el archivo está ubicado en una unidad de red, introduzca la ruta del archivo que comienza con \\, y no la letra de unidad. Por ejemplo, \\server\shared_folder\file.exe. Si la ruta del archivo contiene una letra de unidad de red, Kaspersky Endpoint Security no bloquea el archivo ni el script.

      La prevención de ejecución es compatible con un conjunto de extensiones de archivos y un conjunto de intérpretes de script.

   5. Haga clic en Aceptar.
8. Guarde los cambios.

Como resultado, Kaspersky Endpoint Security bloquea la ejecución de objetos: ejecución de archivos ejecutables y scripts, apertura de archivos de formato Office. Sin embargo, puede abrir un archivo de script en un editor de textos, incluso si no se puede ejecutar el script. Cuando se bloquea la ejecución de un objeto, Kaspersky Endpoint Security muestra una notificación estándar (ver la figura a continuación), si las notificaciones están habilitadas en la configuración de la aplicación.

Notificación de prevención de ejecución

Inicio de página