Yürütme önleme

Yürütme önleme, yürütülebilir dosyaların ve komut dosyalarının çalıştırılmasının yanı sıra ofis biçimindeki dosyaların açılmasının yönetilmesine de olanak tanır. Bu şekilde, örneğin güvenli olmadığını düşündüğünüz uygulamaların yürütülmesini engelleyebilirsiniz. Sonuç olarak, tehdidin yayılması durdurulabilir. Yürütme önleme bir ofis dosyası uzantıları grubunu ve bir komut dizisi yorumlayıcısı grubunu destekler.

Yürütme önleme kuralı

Yürütme önleme, dosyalara kullanıcı erişimini yürütme önleme kuralları aracılığıyla yönetir. Yürütme önleme kuralı bir nesne yürütmesine tepki verirken, örneğin nesne yürütmesini engellerken, uygulamanın dikkate aldığı bir dizi kriterdir. Uygulama, dosyaları yollarına veya MD5 ve SHA256 karma algoritmaları kullanılarak hesaplanan sağlama toplamlarına göre tanımlar.

Yürütme önleme kuralları oluşturabilirsiniz:

• Uyarı ayrıntılarında (sadece EDR Optimum için).

  Algılama ayrıntıları, tespit edilen bir tehdit hakkında toplanan bilgilerin tamamını görüntülemek için sunulan bir araçtır. Algılama ayrıntılarına örnek olarak bilgisayarda görünen dosyaların geçmişi verilebilir. Algılama ayrıntılarının yönetimi hakkında daha fazla bilgi için Kaspersky Endpoint Detection and Response Optimum Yardım ve Kaspersky Endpoint Detection and Response Expert Yardım içeriklerine bakabilirsiniz.

• Bir grup ilkesi veya yerel uygulama ayarları kullanma.

  Dosya yolunu veya karmasını (SHA256 veya MD5) ya da hem dosya yolunu hem de dosya karmasını girmelisiniz.

Yürütme önleme yönetimini, komut satırı ile yerel olarak da yönetebilirsiniz.

Yürütme önleme şu sınırlamalara sahiptir:

1. Önleme kuralları CD’lerdeki ya da ISO görüntülerindeki dosyaları kapsamaz. Uygulama, bu dosyaların yürütülmesini veya açılmasını engellemez.
2. Kritik sistem nesnelerinin (SCO) başlatılmasını engellemek mümkün değildir. Kritik Sistem Nesneleri, işletim sisteminin ve Kaspersky Endpoint Security for Windows uygulamasının çalışmak için ihtiyaç duyduğu dosyalardır.
3. Sistem kararsızlığına neden olabileceği için 5000'den fazla çalışma önleme kuralının oluşturulması önerilmez.

Yürütme önleme kuralı modları

Yürütme önleme bileşeni iki modda çalışabilir:

• Sadece istatistikler

  Bu modda Kaspersky Endpoint Security, Windows olay günlüğü ve Kaspersky Security Center ile önleme kuralı kriterleriyle eşleşen yürütülebilir nesneleri veya açık belgeleri yürütme girişimleri hakkında bir olay yayınlar, ancak nesneyi veya belgeyi yürütme veya açma girişimini engellemez. Varsayılan olarak bu mod seçilidir.

• Etkin

  Bu modda, uygulama, engelleme kuralı kriterlerine uyan nesnelerin yürütülmesini veya belgelerin açılmasını engeller. Uygulama ayrıca Windows olay günlüğüne ve Kaspersky Security Center olay günlüğüne nesneleri çalıştırma veya belgeleri açma girişimleri hakkında bir olay yayınlar.

Yürütme önleme yönetimi

Bileşen ayarlarını yalnızca Web Console'da yapılandırabilirsiniz.

Yürütmeyi önlemek için:

1. Web Console'un ana penceresinde Aygıtlar → İlkeler ve Profiller'i seçin.
2. Kaspersky Endpoint Security ilkesinin adına tıklayın.

   İlke özellikleri penceresi açılır.

3. Uygulama ayarları sekmesini seçin.
4. Detection and Response → Endpoint Detection and Response bölümüne gidin.
5. Bileşeni etkinleştirmek veya devre dışı bırakmak için Yürütme önleme geçiş düğmesini kullanın.
6. Yasak nesnenin yürütülmesi veya açılması ile ilgili eylem bloğundan bileşen çalışma modunu seçin:
   • Engelle ve rapora yaz. Bu modda, uygulama, engelleme kuralı kriterlerine uyan nesnelerin yürütülmesini veya belgelerin açılmasını engeller. Uygulama ayrıca Windows olay günlüğüne ve Kaspersky Security Center olay günlüğüne nesneleri çalıştırma veya belgeleri açma girişimleri hakkında bir olay yayınlar.
   • Sadece olayları günlüğe kaydet. Bu modda Kaspersky Endpoint Security, Windows olay günlüğü ve Kaspersky Security Center ile önleme kuralı kriterleriyle eşleşen yürütülebilir nesneleri veya açık belgeleri yürütme girişimleri hakkında bir olay yayınlar, ancak nesneyi veya belgeyi yürütme veya açma girişimini engellemez. Varsayılan olarak bu mod seçilidir.
7. Bir yürütme önleme kuralları listesi oluşturun:
   1. Ekle düğmesine tıklayın.
   2. Bu bir pencere açar; bu pencereye yürütme önleme kuralının adını girin (örneğin, Uygulama A).
   3. Tür açılır listesinden engellemek istediğiniz nesneyi seçin: Yürütülebilir dosya, Komut dizisi, Microsoft Office belgesi.

      Yanlış bir nesne türü seçerseniz Kaspersky Endpoint Security dosyayı veya komut dosyasını engellemez.

   4. Dosyayı eklemek için dosyanın karmasını (SHA256 veya MD5), dosyanın tam yolunu veya hem karmayı hem de yolu girmelisiniz.

      Dosya bir ağ sürücüsünde bulunuyorsa, sürücü harfini değil \\ ile başlayan dosya yolunu girin. Örneğin, \\server\shared_folder\file.exe. Dosya yolu bir ağ sürücüsü harfi içeriyorsa Kaspersky Endpoint Security dosyayı veya komut dosyasını engellemez.

      Yürütme önleme bir ofis dosyası uzantıları grubunu ve bir komut dizisi yorumlayıcısı grubunu destekler.

   5. Tamam’a tıklayın.
8. Değişikliklerinizi kaydedin.

Sonuç olarak Kaspersky Endpoint Security nesnelerin yürütülmesini engeller: yürütülebilir dosyaları ve komut dizilerini çalıştırma, ofis biçimindeki dosyaları açma. Bununla birlikte, örneğin, komut dizisinin çalıştırılması engellenmiş olsa bile, bir komut dizisini bir metin düzenleyicide açabilirsiniz. Bir nesnenin yürütülmesini engellendiğinde, bildirimler uygulama ayarlarında etkinleştirildiyse Kaspersky Endpoint Security standart bir bildirim görüntüler (aşağıdaki şekle bakın).

Yürütme önleme bildirimi

Sayfanın başına git