La prévention de l'exécution permet de gérer l'exécution de fichiers exécutables et de scripts, ainsi que d'ouvrir des fichiers au format Office. Vous pouvez ainsi, par exemple, empêcher l'exécution d'applications que vous considérez dangereuses. Cela permet d'arrêter la propagation de la menace. La prévention de l'exécution prend en charge un ensemble d'extensions de fichier Office et un ensemble d'interpréteurs de scripts.
Règle de prévention de l'exécution
La Prévention de l'exécution gère l'accès de l'utilisateur aux fichiers à l'aide de règles de prévention de l'exécution. La règle de prévention de l'exécution est un ensemble de critères que l'application prend en compte lorsqu'elle réagit à l'exécution d'un objet, par exemple lorsqu'elle bloque l'exécution d'un objet. L'application identifie les fichiers par leur chemin d'accès ou leurs sommes de contrôle calculées à l'aide des algorithmes de hachage MD5 et SHA256.
Vous pouvez créer des règles de prévention de l'exécution :
Les Détails de l'alerte sont un outil permettant de visualiser l'ensemble des informations collectées sur une menace détectée. Les détails de l'alerte reprennent par exemple l'histoire des fichiers qui apparaissent sur l'ordinateur. Pour en savoir plus à propos de la gestion des détails de l'alerte, consultez l'aide de Kaspersky Endpoint Detection and Response Optimum et l'aide de Kaspersky Endpoint Detection and Response Expert.
Vous devez saisir le chemin d'accès au fichier ou le hash (SHA256 ou MD5), ou à la fois le chemin d'accès au fichier et le hash du fichier.
Vous pouvez également gérer la Prévention de l'exécution localement en utilisant la ligne de commande.
La prévention de l'exécution présente les restrictions suivantes :
Modes de règles de prévention de l'exécution
Le module Prévention de l'exécution peut fonctionner selon deux modes :
Dans ce mode, Kaspersky Endpoint Security publie un événement sur les tentatives d'exécution d'objets exécutables ou d'ouverture de documents qui correspondent aux critères de la règle de prévention dans le journal des événements Windows et dans Kaspersky Security Center, mais ne bloque pas la tentative d'exécution ni d'ouverture de l'objet ou du document. Ce mode est sélectionné par défaut.
Dans ce mode, l'application bloque l'exécution des objets ou l'ouverture des documents qui correspondent aux critères des règles de prévention. L'application publie également un événement sur les tentatives d'exécution d'objets ou d'ouverture de documents dans le journal des événements Windows et dans le journal des événements de Kaspersky Security Center.
Gestion de la prévention de l'exécution
Vous pouvez configurer les paramètres du module uniquement dans Web Console.
Pour prévenir l'exécution :
La fenêtre des propriétés de la stratégie s'ouvre.
Si vous sélectionnez le mauvais type d'objet, Kaspersky Endpoint Security ne bloque pas le fichier ou le script.
Si le fichier se trouve sur un disque réseau, saisissez le chemin d'accès au fichier en commençant par \\
, et non la lettre du disque. Par exemple, \\server\shared_folder\file.exe
. Si le chemin d'accès contient une lettre de disque réseau, Kaspersky Endpoint Security ne bloque pas le fichier ou le script.
La prévention de l'exécution prend en charge un ensemble d'extensions de fichier Office et un ensemble d'interpréteurs de scripts.
Kaspersky Endpoint Security interdit alors l'exécution des objets : exécution de fichiers exécutables et de scripts, ouverture de fichiers au format Office. Vous pouvez toutefois ouvrir un fichier de script dans un éditeur de texte, même si l'exécution du script est interdite. Lors de l'interdiction de l'exécution d'un objet, Kaspersky Endpoint Security affiche une notification standard (cf. Illustration ci-dessous) si les notifications sont activées dans les paramètres des applications.
Notification de Prévention de l'exécution
Haut de page