Prevenirea executării

Prevenirea executării permite gestionarea fișierelor care rulează și a scripturilor executabile, precum și deschiderea fișierelor în format Office. În acest fel, puteți, de exemplu, împiedica executarea aplicațiilor pe care le considerați nesigure. Ca urmare, răspândirea amenințării poate fi oprită. Suporturi pentru prevenirea executării un set de extensii de fișiere Office și un set de interpreți de scenariu.

Regulă pentru prevenirea executării

Prevenirea executării gestionează accesul utilizatorilor la fișiere cu reguli de prevenire a executării. Regula de prevenire a executării este un set de criterii pe care aplicația le ia în considerare atunci când reacționează la executarea unui obiect, de exemplu când blochează executarea unui obiect. Aplicația identifică fișierele după căile sau sumele lor de verificare calculate folosind algoritmii de combinare MD5 și SHA256.

Puteți crea reguli prevenire executare:

• În detaliile alertei (numai pentru EDR Optimum).

  Detalii detecție este un instrument pentru vizualizarea tuturor informațiilor colectate despre o amenințare detectată. Detaliile detecției includ, de exemplu, istoricul fișierelor care apar pe computer. Pentru detalii despre gestionarea detectării, consultați Ajutor Kaspersky Endpoint Detection and Response Optimum și Ajutor Kaspersky Endpoint Detection and Response Expert.

• Folosirea unei politici de grup sau a setărilor aplicației locale.

  Trebuie să introduceți calea fișierului sau codul hash (SHA256 sau MD5) al acestuia, sau atât calea fișierului, cât și hash-ul fișierului.

De asemenea, puteți gestiona local prevenirea executării folosind Linie de comanda.

Componenta Prevenirea executării are următoarele limitări:

1. Regulile de prevenire nu acoperă fișierele de pe CD-uri sau din imaginile ISO. Aplicația nu blochează executarea sau deschiderea acestor fișiere.
2. Este imposibil să blocați pornirea obiectelor critice de sistem (SCO). SCO-urile sunt fișiere pe care sistemul de operare și aplicația Kaspersky Endpoint Security for Windows trebuie să le poată executa.
3. Nu este recomandat să creați mai mult de 5000 de reguli de prevenire a executării, deoarace acest lucru poate cauza instabilitatea sistemului.

Moduri ale regulilor de prevenire a executării

Componenta de prevenire a executării poate funcționa în două moduri:

• Numai statistici

  În acest mod, Kaspersky Endpoint Security publică un eveniment despre încercările de a executa obiecte executabile sau de a deschide documente care corespund criteriilor regulii de prevenire în jurnalul de evenimente Windows și în Kaspersky Security Center, dar nu blochează încercarea de a executa sau deschide obiectul sau documentul. Acest mod este selectat în mod implicit.

• Activ

  În acest mod, aplicația blochează executarea obiectelor sau deschiderea documentelor care corespund criteriilor regulii de prevenire. Aplicația publică, de asemenea, un eveniment despre încercările de a executa obiecte sau de a deschide documente în jurnalul de evenimente Windows și în jurnalul de evenimente Kaspersky Security Center.

Gestionarea prevenirii executării

Puteți configura setările componentei în Web Console.

Pentru a preveni executarea:

1. În fereastra principală a Web Console, selectați Devices → Policies & profiles.
2. Faceți clic pe numele politicii Kaspersky Endpoint Security.

   Se deschide fereastra de proprietăți a politicii.

3. Selectați fila Application settings.
4. Accesați Detection and Response → Endpoint Detection and Response.
5. Duceți comutatorul Execution Prevention ENABLED la poziția activat.
6. În blocul Action on execution or opening of forbidden object, selectați modul de funcționare a componentei:
   • Block and write to report. În acest mod, aplicația blochează executarea obiectelor sau deschiderea documentelor care corespund criteriilor regulii de prevenire. Aplicația publică, de asemenea, un eveniment despre încercările de a executa obiecte sau de a deschide documente în jurnalul de evenimente Windows și în jurnalul de evenimente Kaspersky Security Center.
   • Log events only. În acest mod, Kaspersky Endpoint Security publică un eveniment despre încercările de a executa obiecte executabile sau de a deschide documente care corespund criteriilor regulii de prevenire în jurnalul de evenimente Windows și în Kaspersky Security Center, dar nu blochează încercarea de a executa sau deschide obiectul sau documentul. Acest mod este selectat în mod implicit.
7. Creați o listă de reguli de prevenire a executării:
   1. Fă clic pe Add.
   2. Aceasta deschide o fereastră; în această fereastră, introduceți numele regulii de prevenire a executării (de exemplu, Cererea A).
   3. În lista verticală Type, selectați obiectul pe care dorești să îl adaugi: Executable file, Script, Microsoft Office document.

      Dacă selectați un tip de obiect greșit, Kaspersky Endpoint Security nu blochează fișierul sau scriptul.

   4. Pentru a adăuga fișierul, trebuie să introduceți codul hash al fișierului (SHA256 sau MD5), calea completă către fișier sau atât codul hash, cât și calea.

      Dacă fișierul se află pe o unitate de rețea, introduceți calea fișierului începând cu \\, și nu litera corespunzătoare unității. De exemplu, \\server\shared_folder\file.exe. În cazul în care calea fișierului conține o literă de unitate de rețea, Kaspersky Endpoint Security nu blochează fișierul sau scriptul.

      Suporturi pentru prevenirea executării un set de extensii de fișiere Office și un set de interpreți de scenariu.

   5. Fă clic pe OK.
8. Salvați-vă modificările.

Drept urmare, Kaspersky Endpoint Security blochează executarea obiectelor: rularea fișierelor și scripturilor executabile, deschiderea fișierelor în format office. Cu toate acestea puteți, de exemplu, să deschideți un fișier script într-un editor de text, chiar dacă rularea scriptului este împiedicată. Când blocați executarea unui obiect, Kaspersky Endpoint Security afișează o notificare standard (a se vedea figura de mai jos) dacă notificările sunt activate în setările aplicației.

Reguli pentru prevenirea executării

Începutul paginii