Prevenção de execução

A prevenção de execução permite o gerenciamento de execução de arquivos executáveis e scripts, assim como a abertura de arquivos no formato Office. Nesse sentido, é possível, por exemplo, prevenir a execução de aplicativos que possam ser considerados inseguros. Como resultado, a propagação da ameaça pode ser interrompida. A prevenção de execução é compatível com um conjunto de extensões de arquivos do office e um conjunto de intérpretes de script.

Regra de prevenção de execução

A prevenção de execução gerencia o acesso do usuário aos arquivos com regras de prevenção de execução. A Regra de prevenção de execução é um conjunto de critérios que o aplicativo leva em consideração ao reagir à execução de um objeto, por exemplo, ao bloquear a execução de um objeto. O aplicativo identifica os arquivos por seus caminhos ou somas de verificação calculados usando algoritmos de hash MD5 e SHA256.

É possível criar regras de prevenção de execução:

• Em detalhes de alertas (somente para EDR Optimum).

  Destalhes de alertas é uma ferramenta para visualizar todas as informações coletadas sobre uma ameaça detectada. Os detalhes da alertas incluem, por exemplo, o histórico de arquivos aparentes no computador. Para obter detalhes sobre o gerenciamento dos detalhes de alertas, consulte a Ajuda do Kaspersky Endpoint Detection and Response Optimum e a Ajuda do Kaspersky Endpoint Detection and Response Expert.

• Uso da política de grupo ou as configurações locais do aplicativo.

  É preciso inserir o caminho do arquivo ou hash (SHA256 ou MD5) ou o caminho do arquivo e o hash do arquivo.

Também é possível gerenciar a prevenção de execução localmente utilizando a linha de comando.

A Prevenção de execução tem as seguintes limitações:

1. As regras de prevenção não contemplam os arquivos em CD e imagens ISO. O aplicativo não bloqueia a execução ou a abertura destes arquivos.
2. É impossível bloquear a inicialização de objetos críticos do sistema (SCO). SCOs são arquivos que o sistema operacional e o aplicativo Kaspersky Endpoint Security for Windows necessitam para serem executados.
3. Não é recomendado criar mais de 5000 regras de prevenção de execução, pois isso pode causar instabilidade no sistema.

Modos das regras de prevenção de execução

O componente prevenção de execução pode trabalhar em dois modos:

• Somente Estatísticas

  Neste modo, o Kaspersky Endpoint Security publica um evento sobre tentativas de execução de objetos executáveis ou documentos abertos que correspondem aos critérios da regra de prevenção no log de eventos do Windows e no Kaspersky Security Center, mas não bloqueia a tentativa de executar ou abrir o objeto ou documento. O item está selecionado por padrão.

• Ativo

  Neste modo, o aplicativo bloqueia a execução de objetos ou a abertura de documentos que atendam aos critérios da regra de prevenção. O aplicativo também publica um evento sobre as tentativas de execução de objetos ou documentos abertos no log de eventos do Windows e no log de eventos do Kaspersky Security Center.

Gerenciamento da prevenção de execução

O componente só pode ser configurado no Web Console.

Para prevenir a execução:

1. Na janela principal do Web Console, selecione Dispositivos → Políticas e perfis.
2. Clique no nome da política do Kaspersky Endpoint Security.

   A janela de propriedades da política é exibida.

3. Selecione a guia Configurações do aplicativo.
4. Selecione Detection and Response → Endpoint Detection and Response.
5. Use o botão de alternância Prevenção de execução para ativar ou desativar o componente.
6. No bloco Ação na execução ou abertura de objeto proibido, selecione o modo de operação do componente:
   • Bloquear e gravar no relatório. Neste modo, o aplicativo bloqueia a execução de objetos ou a abertura de documentos que atendam aos critérios da regra de prevenção. O aplicativo também publica um evento sobre as tentativas de execução de objetos ou documentos abertos no log de eventos do Windows e no log de eventos do Kaspersky Security Center.
   • Criar log de eventos apenas. Neste modo, o Kaspersky Endpoint Security publica um evento sobre tentativas de execução de objetos executáveis ou documentos abertos que correspondem aos critérios da regra de prevenção no log de eventos do Windows e no Kaspersky Security Center, mas não bloqueia a tentativa de executar ou abrir o objeto ou documento. O item está selecionado por padrão.
7. Crie uma lista de regras de prevenção de execução:
   1. Clique no botão Adicionar.
   2. Uma janela é aberta; nesta janela, digite o nome da regra de prevenção de execução (por exemplo, aplicativo A).
   3. Na lista suspensa Tipo, selecione o objeto que deseja bloquear: Arquivo executável, Script, Documento do Microsoft Office.

      Caso selecione um tipo de objeto incorreto, o Kaspersky Endpoint Security não bloqueia o arquivo ou o script.

   4. Para adicionar o arquivo, é preciso inserir o hash do arquivo (SHA256 ou MD5), o caminho completo para o arquivo ou o hash e o caminho.

      Caso o arquivo esteja localizado em uma unidade de rede, digite o caminho do arquivo começando com \\, e não a letra da unidade. Por exemplo, \\servidor\pasta_compartilhada\arquivo.exe. Caso o caminho do arquivo contenha uma letra de unidade de rede, o Kaspersky Endpoint Security não bloqueia o arquivo ou script.

      A prevenção de execução é compatível com um conjunto de extensões de arquivos do office e um conjunto de intérpretes de script.

   5. Clique em OK.
8. Salvar alterações.

Consequentemente, o Kaspersky Endpoint Security bloqueia a execução de objetos: execução de arquivos executáveis e scripts, abertura de arquivos em formato office. Contudo, é possível, por exemplo, abrir um arquivo de script em um editor de texto, mesmo que a execução do script esteja impedida. Ao bloquear a execução de um objeto, o Kaspersky Endpoint Security exibe uma notificação padrão (veja a figura abaixo) caso as notificações estejam ativadas nas configurações do aplicativo.

Notificação sobre as regras de prevenção de execução

Início da página