Preventie van uitvoering

Preventie van uitvoering maakt het mogelijk om de uitvoering van uitvoerbare bestanden en scripts te beheren, evenals het openen van bestanden in Office-indeling. Op deze manier kunt u bijvoorbeeld voorkomen dat programma's worden uitgevoerd die u als onveilig beschouwt. Hierdoor kan de verspreiding van de dreiging worden gestopt. Preventie van uitvoering ondersteunt een reeks office-bestandsextensies en een reeks scriptinterpreters.

Regel preventie van uitvoering

Preventie van uitvoering beheert gebruikerstoegang tot bestanden met regels voor preventie van uitvoering. Regels voor preventie van uitvoering is een set criteria waarmee het programma rekening houdt bij het reageren op een objectuitvoering, bijvoorbeeld bij het blokkeren van objectuitvoering. Het programma identificeert bestanden aan de hand van hun paden of checksums berekend met behulp van MD5- en SHA256-hash-algoritmen.

U kunt regels instellen voor preventie van uitvoering:

• Details in waarschuwing (alleen voor EDR Optimum).

  Detectiegegevens zijn een hulpmiddel waar alle verzamelde informatie over een gedetecteerde dreiging zichtbaar is. Deze detectiegegevens bevatten bijvoorbeeld de geschiedenis van bestanden die op de computer terechtkomen. Voor details over het beheren van detectiegegevens, raadpleegt u de Help van Kaspersky Endpoint Detection and Response Optimum en de Help van Kaspersky Endpoint Detection and Response Expert.

• Een groepsbeleid of lokale programma-instellingen gebruiken.

  U moet het bestandspad of de hash (SHA256 of MD5) invoeren, of zowel het bestandspad als de bestandshash.

U kunt preventie van uitvoering ook lokaal beheren met behulp van de opdrachtregel..

Preventie van uitvoering heeft de volgende beperkingen:

1. Preventieregels zijn niet van toepassing op bestanden op cd's of in ISO-images. Het programma blokkeert het uitvoeren of openen van deze bestanden niet.
2. Het is onmogelijk om het opstarten van systeemkritische objecten (SCO) te blokkeren. SCO’s zijn bestanden die het besturingssysteem en Kaspersky Endpoint Security voor Windows nodig hebben om te kunnen werken.
3. Het is niet aanbevolen om meer dan 5000 regels voor runpreventie te maken, omdat dit systeeminstabiliteit kan veroorzaken.

Regelmodi voor preventie van uitvoering

Het component voor preventie van uitvoering kan werken in twee modi:

• Alleen statistieken

  In deze modus publiceert Kaspersky Endpoint Security een gebeurtenis over pogingen om uitvoerbare objecten uit te voeren of documenten te openen die voldoen aan de criteria van de regel voor preventie voor het Windows-gebeurtenislogboek en Kaspersky Security Center, maar blokkeert niet de poging om het object of document uit te voeren of te openen. Deze modus is standaard geselecteerd.

• Actief

  In deze modus blokkeert het programma de uitvoering van objecten of het openen van documenten die voldoen aan de criteria van regels voor preventie van uitvoering. Het programma publiceert ook een gebeurtenis over pogingen om objecten uit te voeren of documenten te openen naar het Windows-gebeurtenislogboek en het Kaspersky Security Center-gebeurtenislogboek.

Preventie van uitvoering beheren

U kunt de instellingen van het onderdeel alleen configureren in de webconsole.

Om preventie van uitvoering in te schakelen:

1. Selecteer Devices → Policies & Profiles in het hoofdvenster van de webconsole.
2. Klik op de naam van het Kaspersky Endpoint Security-beleid.

   U ziet nu het venster met de beleidseigenschappen.

3. Selecteer het tabblad Application settings.
4. Ga naar Detection and Response → Endpoint Detection and Response .
5. Gebruik de schakelaar Execution prevention om het onderdeel in of uit te schakelen.
6. Selecteer in het blok Action on execution or opening of forbidden object de uitvoermodus voor het onderdeel:
   • Block and write to report. In deze modus blokkeert het programma de uitvoering van objecten of het openen van documenten die voldoen aan de criteria van regels voor preventie van uitvoering. Het programma publiceert ook een gebeurtenis over pogingen om objecten uit te voeren of documenten te openen naar het Windows-gebeurtenislogboek en het Kaspersky Security Center-gebeurtenislogboek.
   • Log events only. In deze modus publiceert Kaspersky Endpoint Security een gebeurtenis over pogingen om uitvoerbare objecten uit te voeren of documenten te openen die voldoen aan de criteria van de regel voor preventie voor het Windows-gebeurtenislogboek en Kaspersky Security Center, maar blokkeert niet de poging om het object of document uit te voeren of te openen. Deze modus is standaard geselecteerd.
7. Maak een lijst met regels voor de preventie van uitvoering:
   1. Klik op de knop Add.
   2. Dit opent een venster. Voer in dit venster de naam van de regels voor preventie van uitvoering in (bijvoorbeeld Programma A).
   3. In de vervolgkeuzelijst Type selecteert u het object dat u wil blokkeren: Executable file, Script, Microsoft Office document.

      Als u een verkeerd objecttype selecteert, blokkeert Kaspersky Endpoint Security het bestand of script niet.

   4. Om het bestand toe te voegen, moet u de hash van het bestand (SHA256 of MD5), het volledige pad naar het bestand of zowel de hash als het pad invoeren.

      Als het bestand zich op een netwerkstation bevindt, voert u het bestandspad in dat begint met \\ en niet de letter van het station. Bijvoorbeeld \\server\shared_folder\file.exe. Als het bestandspad een netwerkstationletter bevat, blokkeert Kaspersky Endpoint Security het bestand of de script niet.

      Preventie van uitvoering ondersteunt een reeks office-bestandsextensies en een reeks scriptinterpreters.

   5. Klik op OK.
8. Sla uw wijzigingen op.

Als gevolg hiervan blokkeert Kaspersky Endpoint Security de uitvoering van objecten: het uitvoeren van uitvoerbare bestanden en scripts en het openen van bestanden in Office-indeling. U kunt echter bijvoorbeeld een scriptbestand in een teksteditor openen, zelfs als het uitvoeren van het script is verhinderd. Bij het blokkeren van de uitvoering van een object geeft Kaspersky Endpoint Security een standaardmelding weer (zie onderstaande afbeelding) als meldingen ingeschakeld zijn in de programma-instellingen.

Melding preventie van uitvoering

Naar boven