配置执行防护

您可以定义设置，Kaspersky Endpoint Security for Windows 会根据该设置阻止在用户设备上执行某些对象（可执行文件和脚本）或打开 Microsoft Office 文档。

稍后，在分析 Endpoint Detection and Response 警报时，您可能需要将检测到的对象添加到执行防护规则列表中，以防止之后在同一设备和其他设备上执行该对象。

执行防护具有以下限制：

• 防护规则不涵盖 CD、DVD 或 ISO 镜像中的文件。Kaspersky Endpoint Security for Windows 不会阻止执行或打开这些文件。
• 无法阻止启动系统关键对象 (SCO)。SCO 是操作系统和 Kaspersky Endpoint Security for Windows 运行所需的文件。
• 您最多可以添加 1000 条执行防护规则。

要配置执行防护：

1. 打开 Kaspersky Next 管理控制台。
2. 选择“安全管理”→“Endpoint Detection and Response”部分。
3. 单击“响应设置”→“防止执行”。
4. 将拨动开关设置为“已启用执行防护”。
5. 在“操作”下，选择当用户尝试执行或打开指定的不需要的对象时要采取的操作：
   • “阻止并添加到事件日志”（默认）

     有关检测的信息被添加至事件日志。阻止执行或打开对象。

   • 仅添加到事件日志

     有关检测的信息被添加至事件日志。不采取任何其他操作。

6. 在“执行防护规则”下，指定由执行防护控制的对象列表。

   执行以下任一操作：

   • 要添加执行防护规则：
     1. 单击“添加”按钮。
     2. 如本章节的后文所述，在打开的“添加执行防护规则”窗口中，定义规则设置。
     3. 单击“保存”以关闭“添加执行防护规则”窗口。
   • 要启用或禁用添加的执行防护规则，请将该规则旁边的拨动开关设置为所需状态：
     • 如果拨动开关为绿色，则表示规则已启用。检测到规则设置中指定对象的执行或打开。

       默认情况下，新添加的规则处于启用状态。

     • 如果拨动开关为灰色，则表示该规则被禁用。忽略规则设置中指定对象的执行或打开。
   • 要编辑添加的执行防护规则：
     1. 选中所需规则旁边的复选框。
     2. 单击“编辑”按钮。
     3. 如本章节的后文所述，在打开的“编辑执行防护规则”窗口中，定义规则的新设置。
     4. 单击“保存”以关闭“编辑执行防护规则”窗口。
   • 要删除已添加的执行防护规则：
     1. 选中所需规则旁边的复选框。
     2. 单击“删除”按钮。
7. 单击“保存”以保存更改。

执行防护规则列表已更新。

要定义执行防护规则的设置：

1. 开始添加或编辑规则，如本章节前面所述。
2. 在“规则名称”字段中，输入规则的名称。
3. 选择所需对象的指定条件。

   您可以指定以下任一条件：

   • 对象路径

     如果要通过路径指定对象，请在列表中选择“使用”，然后输入该值。

   • 对象校验和

     如果要通过 MD5 或 SHA256 校验和指定对象，请在列表中选择所需值，然后输入校验和值。

   如果您同时指定以上两个条件，则规则将应用于同时符合这两个条件的对象。

4. 单击“保存”以保存更改。

定义的设置即保存。

页面顶部