Phòng chống thực thi

Phòng chống thực thi cho phép quản lý việc chạy các tập tin thực thi và tập lệnh, cũng như mở các tập tin định dạng văn phòng. Ví dụ, bằng cách này, bạn có thể phòng chống thực thi các ứng dụng mà bạn cho là không bảo mật. Do đó, việc phát tán mối đe dọa có thể được ngăn chặn. Phòng chống thực thi hỗ trợ một tập hợp các phần mở rộng tập tin văn phòng và một tập hợp các trình thông dịch tập lệnh.

Quy tắc phòng chống thực thi

Phòng chống thực thi quản lý quyền truy cập của người dùng vào các tập tin bằng các quy tắc phòng chống thực thi. Quy tắc phòng chống thực thi là một tập hợp các tiêu chí mà ứng dụng xem xét khi phản ứng với hoạt động thực thi đối tượng, ví dụ khi chặn thực thi đối tượng. Ứng dụng xác định các tập tin bằng đường dẫn hoặc giá trị tổng kiểm của chúng được tính bằng thuật toán băm MD5 và SHA256.

Bạn có thể tạo các Quy tắc phòng chống thực thi:

• Chi tiết về cảnh báo (chỉ dành cho EDR Optimum).

  Chi tiết về phát hiện là một công cụ để xem toàn bộ thông tin thu thập được về một mối đe dọa được phát hiện. Chi tiết về phát hiện bao gồm, ví dụ như lịch sử của các tập tin xuất hiện trên máy tính. Để biết chi tiết về việc quản lý thông tin chi tiết về phát hiện, hãy tham khảo Trợ giúp của Kaspersky Endpoint Detection and Response Optimum và Trợ giúp của Kaspersky Endpoint Detection and Response Expert.

• Sử dụng một chính sách nhóm hoặc thiết lập ứng dụng cục bộ.

  Bạn phải nhập đường dẫn hoặc giá trị hash (SHA256 hoặc MD5) của tập tin, hoặc cả đường dẫn tập tin và giá trị hash của tập tin.

Bạn cũng có thể quản lý Phòng chống thực thi cục bộ bằng dòng lệnh.

Tính năng Phòng chống thực thi có các hạn chế sau:

1. Các quy tắc phòng chống không hỗ trợ tập tin trên đĩa CD hoặc trong tập tin ảnh ISO. Ứng dụng không chặn thực thi hoặc mở các tập tin này.
2. Không thể chặn khởi động các đối tượng quan trọng của hệ thống (SCO). SCO là các tập tin mà hệ điều hành và ứng dụng Kaspersky Endpoint Security cho Windows phải có để có thể chạy.
3. Bạn không nên tạo nhiều hơn 5000 quy tắc ngăn chặn chạy vì điều này có thể khiến hệ thống không ổn định.

Các chế độ của Quy tắc phòng chống thực thi

Thành phần Phòng chống thực thi có thể hoạt động ở hai chế độ:

• Chỉ số liệu thống kê

  Trong chế độ này, Kaspersky Endpoint Security sẽ phát hành một sự kiện về nỗ lực chạy các đối tượng thực thi hoặc mở tài liệu đáp ứng với tiêu chí quy tắc ngăn chặn vào nhật ký sự kiện Windows và Kaspersky Security Center, nhưng không chặn nỗ lực chạy hoặc mở đối tượng hoặc tài liệu. Chế độ này được chọn theo mặc định.

• Hoạt động

  Trong chế độ này, ứng dụng chặn việc thực thi các đối tượng hoặc mở các tài liệu đáp ứng với tiêu chí quy tắc ngăn chặn. Ứng dụng cũng phát hành một sự kiện về nỗ lực thực thi các đối tượng hoặc mở tài liệu vào nhật ký sự kiện Windows và nhật ký sự kiện của Kaspersky Security Center.

Quản lý phòng chống thực thi

Bạn có thể cấu hình thiết lập của thành phần trong Bảng điều khiển web.

Để phòng chống thực thi:

1. Trong cửa sổ chính của Bảng điều khiển web, hãy chọn Devices → Policies & Profiles.
2. Nhấn vào tên của chính sách Kaspersky Endpoint Security.

   Cửa sổ thuộc tính chính sách sẽ được mở ra.

3. Chọn thẻ Application settings.
4. Vào Detection and Response → Endpoint Detection and Response.
5. Sử dụng nút bật/tắt Phòng chống thực thi để bật hoặc tắt thành phần.
6. Trong mục Action on execution or opening of forbidden object, hãy chọn chế độ hoạt động của thành phần:
   • Block and write to report. Trong chế độ này, ứng dụng chặn việc thực thi các đối tượng hoặc mở các tài liệu đáp ứng với tiêu chí quy tắc ngăn chặn. Ứng dụng cũng phát hành một sự kiện về nỗ lực thực thi các đối tượng hoặc mở tài liệu vào nhật ký sự kiện Windows và nhật ký sự kiện của Kaspersky Security Center.
   • Log events only. Trong chế độ này, Kaspersky Endpoint Security sẽ phát hành một sự kiện về nỗ lực chạy các đối tượng thực thi hoặc mở tài liệu đáp ứng với tiêu chí quy tắc ngăn chặn vào nhật ký sự kiện Windows và Kaspersky Security Center, nhưng không chặn nỗ lực chạy hoặc mở đối tượng hoặc tài liệu. Chế độ này được chọn theo mặc định.
7. Tạo danh sách các quy tắc phòng chống thực thi:
   1. Nhấn vào nút Thêm.
   2. Thao tác này sẽ mở ra một cửa sổ; trong cửa sổ này, hãy nhập tên của quy tắc phòng chống thực thi (ví dụ: Ứng dụng A).
   3. Trong danh sách thả xuống Type, hãy chọn đối tượng mà bạn muốn chặn: Executable file, Script, Microsoft Office document.

      Nếu bạn chọn sai loại đối tượng, Kaspersky Endpoint Security sẽ không chặn tập tin hoặc tập lệnh.

   4. Để thêm tập tin, bạn phải nhập giá trị hash (SHA256 hoặc MD5) của tập tin, đường dẫn đầy đủ đến tập tin hoặc cả giá trị hash và đường dẫn.

      Nếu tập tin nằm trên ổ đĩa mạng, hãy nhập đường dẫn tập tin bắt đầu bằng \\, không phải bằng ký tự ổ đĩa. Ví dụ: \\server\shared_folder\file.exe. Nếu đường dẫn tập tin chứa một chữ cái ổ đĩa mạng, Kaspersky Endpoint Security sẽ không chặn tập tin hoặc tập lệnh.

      Phòng chống thực thi hỗ trợ một tập hợp các phần mở rộng tập tin văn phòng và một tập hợp các trình thông dịch tập lệnh.

   5. Nhấn vào OK.
8. Lưu các thay đổi của bạn.

Kết quả là Kaspersky Endpoint Security sẽ chặn hoạt động thực thi của các đối tượng: chạy tập tin thực thi và tập lệnh, mở tập tin định dạng văn phòng. Tuy nhiên, bạn có thể mở tập tin tập lệnh trong trình biên tập văn bản ngay cả khi tập lệnh bị ngăn chạy. Khi chặn thực thi một đối tượng, Kaspersky Endpoint Security sẽ hiển thị một thông báo tiêu chuẩn (xem hình bên dưới) nếu các thông báo được bật trong thiết lập ứng dụng.

Thông báo Phòng chống thực thi

Về đầu trang