設定執行防止

您可以進行 Kaspersky Endpoint Security for Windows 的設定，以禁止在使用者裝置上執行某些物件（可執行檔和指令碼）或開啟 Microsoft Office 文件。

稍後，在分析 Endpoint Detection and Response 警示時，您或會想將偵測到的物件新增至執行防止規則清單，以防止有關物件將來在同一裝置和其他裝置上執行。

執行防止功能有以下限制：

• 防止規則不涵蓋 CD、DVD 或 ISO 映像中的檔案。Kaspersky Endpoint Security for Windows 不會阻止執行或開啟這些檔案。
• 無法阻止啟動系統關鍵物件 (SCO)。SCO 是作業系統和 Kaspersky Endpoint Security for Windows 執行所需的檔案。
• 您最多可以新增 1000 項執行防止規則。

設定執行防止的步驟如下：

1. 開啟 Kaspersky Next 管理主控台。
2. 選取「安全管理」→「Endpoint Detection and Response」區域。
3. 點擊「回應設定」→「執行防止」。
4. 將切換開關設定為「已啟用「執行防止」」。
5. 在「操作」部分，選取在使用者嘗試執行或開啟被禁止的指定物件時採取的動作：
   • 封鎖並新增至事件記錄（預設）

     相應的偵測結果資訊將新增到事件記錄，有關物件將被禁止執行或開啟。

   • 僅新增至事件記錄

     相應的偵測結果資訊將新增到事件記錄，不會採取其他動作。

6. 在「執行防止規則」區域，指定由執行防止功能控制的物件清單。

   執行下列任一操作：

   • 新增執行防止規則的步驟如下：
     1. 點擊「新增」按鈕。
     2. 「新增執行防止規則」視窗開啟後，如本節稍後所述進行規則設定。
     3. 點擊「儲存」以關閉「新增執行防止規則」視窗。
   • 如要啟用或停用新增的執行防止規則，請將相應規則旁邊的切換開關設定為所需狀態：
     • 如果切換開關為綠色，即表示該規則已啟用。規則設定中指定的物件在執行或開啟時將會被偵測。

       在預設情況下，所有新增的規則會自動啟用。

     • 如果切換開關為灰色，即表示該規則已停用。規則設定中指定的物件在執行或開啟時將被忽略。
   • 編輯現有執行防止規則的步驟如下：
     1. 選取相應規則旁的核取方塊。
     2. 點擊「編輯」按鈕。
     3. 「編輯執行防止規則」視窗開啟後，如本節稍後所述更改規則設定。
     4. 點擊「儲存」以關閉「編輯執行防止規則」視窗。
   • 刪除先前新增之執行防止規則的步驟如下：
     1. 選取相應規則旁的核取方塊。
     2. 點擊「刪除」按鈕。
7. 點擊「儲存」以儲存變更。

執行防止規則清單將會更新。

進行執行防止規則設定的步驟如下：

1. 如本節稍早所述開始新增或編輯規則。
2. 在「類別名稱」欄位輸入規則名稱。
3. 選取相應的條件來指定所需物件。

   您可以指定以下任何一個條件：

   • 物件路徑

     如果您想按路徑指定物件，請在清單中選取「使用」，然後輸入值。

   • 物件總和檢查碼

     如果您想使用 MD5 或 SHA256 總和檢查碼指定物件，請在清單中選取所需值，然後輸入總和檢查碼值。

   如果您同時指定上述的兩個條件，有關規則將套用至同時符合這兩個條件的物件。

4. 點擊「儲存」以儲存變更。

已儲存設定。

頁首