Végrehajtás megelőzése
A végrehajtás megakadályozása lehetővé teszi a futtatható fájlok és a parancsfájlok futtatásának, valamint az Office formátumú fájlok megnyitásának kezelését. Ilyen módon például megakadályozhatja az Ön által nem biztonságosnak ítélt alkalmazások végrehajtását. A végrehajtás megakadályozása támogatja az Office-fájlkiterjesztések és a szkriptértelmezők készletét.
Végrehajtás megelőzésének szabálya
A végrehajtás megakadályozása megelőzési szabályokkal kezeli a felhasználók hozzáférését a fájlokhoz. A végrehajtás-megakadályozási szabály olyan feltételkészletnek minősül, amelyet figyelembe kell venni a blokkoláskor. Az alkalmazás elérési utak vagy az MD5 és SHA256 kivonatolási algoritmusokkal kiszámított ellenőrzőösszegek alapján azonosítja a fájlokat.
Létrehozhat végrehajtásmegelőzési szabályokat:
- A riasztás részleteiben (csak az EDR Optimum esetében).
Az Észlelés részletei egy eszköz az észlelt fenyegetéssel kapcsolatos összesített információk megtekintésére. Az észlelési részletek közé tartoznak például a számítógépen megjelenő fájlok előzményei. Az észlelések kezelésével kapcsolatos részleteket a Kaspersky Endpoint Detection and Response Optimum súgóban és a Kaspersky Endpoint Detection and Response Expert súgóban találja.
- Csoportházirend vagy helyi alkalmazásbeállítások használata.
Meg kell adnia a fájl elérési útját vagy kivonatát (SHA256 vagy MD5), vagy a fájl elérési útját és a fájl kivonatát is.
A végrehajtásmegelőzést helyben is kezelheti a parancssor használatával.
Nem ajánlott 5000-nél több futtatás-megakadályozási szabályt létrehozni, mivel ez a rendszer instabilitását okozhatja.
A megelőzési szabályok nem terjednek ki CD-n vagy ISO-lemezképeken található fájlokra. Az alkalmazás nem blokkolja ezen fájlok végrehajtását vagy megnyitását.
Végrehajtás megelőzésének szabályai – üzemmódok
A végrehajtásmegelőzési összetevő két módban működhet:
- Csak statisztika.
Ebben az üzemmódban a Kaspersky Endpoint Security közzétesz egy eseményt a Windows eseménynaplójában és a Kaspersky Security Center eseménynaplójában a végrehajtható objektumok futtatására vagy a megelőzési szabály kritériumainak megfelelő dokumentumok megnyitására tett kísérletről, de nem blokkolja az objektum vagy a dokumentum futtatási vagy megnyitási kísérletét. Alapértelmezésben ez a mód van kiválasztva.
- Aktív.
Ebben az üzemmódban az alkalmazás blokkolja a megelőzési szabály kritériumainak megfelelő objektumok végrehajtását vagy dokumentumok megnyitását. Az alkalmazás egy eseményt is közzétesz az objektumok végrehajtására vagy dokumentumok megnyitására irányuló kísérletekről a Windows eseménynaplójában és a Kaspersky Security Center eseménynaplójában.
A végrehajtás megakadályozásának kezelése
Az EDR Optimum feladatát a Web Console-on és a Cloud Console-on konfigurálhatja. Az EDR Expert feladatbeállításai csak a Cloud Console-ban érhetők el.
A végrehajtás megakadályozása:
- A Web Console fő ablakában válassza ki a Devices → Policies & Profiles lehetőséget.
- Kattintson a Kaspersky Endpoint Security házirend nevére.
Megnyílik a rendszabályok tulajdonságai ablak.
- Válassza ki az Application settings fület.
- Nyissa meg a Detection and Response → Endpoint Detection and Response elemet.
- A Végrehajtás megakadályozása kapcsolóval engedélyezze vagy tiltsa le az összetevőt.
- Az Action on execution or opening of forbidden object részen válassza ki az összetevő működési módját:
- Block and write to report. Ebben az üzemmódban az alkalmazás blokkolja a megelőzési szabály kritériumainak megfelelő objektumok végrehajtását vagy dokumentumok megnyitását. Az alkalmazás egy eseményt is közzétesz az objektumok végrehajtására vagy dokumentumok megnyitására irányuló kísérletekről a Windows eseménynaplójában és a Kaspersky Security Center eseménynaplójában.
- Log events only. Ebben az üzemmódban a Kaspersky Endpoint Security közzétesz egy eseményt a Windows eseménynaplójában és a Kaspersky Security Center eseménynaplójában a végrehajtható objektumok futtatására vagy a megelőzési szabály kritériumainak megfelelő dokumentumok megnyitására tett kísérletről, de nem blokkolja az objektum vagy a dokumentum futtatási vagy megnyitási kísérletét. Alapértelmezésben ez a mód van kiválasztva.
- Végrehajtásmegelőzési szabályok listájának létrehozása:
- Kattintson a Add gombra.
- Ezzel megnyit egy ablakot; ebben az ablakba írja be a végrehajtásmegelőzési szabály nevét (például A alkalmazás).
- A Type legördülő listában válassza ki a blokkolni kívánt objektumot: Executable file, Script, Microsoft Office dokumentum.
Ha rossz objektumtípust választ, a Kaspersky Endpoint Security nem blokkolja a fájlt vagy a szkriptet.
- A fájl hozzáadásához meg kell adnia a fájl kivonatát (SHA256 vagy MD5), a fájl teljes elérési útját, vagy a kivonatot és az elérési utat egyszerre.
Ha a fájl hálózati meghajtón található, adja meg a fájl elérési útját, amely a meghajtó betűjele helyett
\\
értékkel kezdődjön. Például\\server\shared_folder\file.exe
. Ha a fájl elérési útja hálózati meghajtó betűjelét tartalmazza, a Kaspersky Endpoint Security nem blokkolja a fájlt vagy a szkriptet.A végrehajtás megakadályozása támogatja az Office-fájlkiterjesztések és a szkriptértelmezők készletét.
- Kattintson az OK gombra.
- Mentse el a módosításokat.
Ennek eredményeként a Kaspersky Endpoint Security blokkolja az objektumok végrehajtását: futtatható fájlok és szkriptek futtatása, Office-formátumú fájlok megnyitása. Azonban megnyithat például egy parancsfájlt egy szövegszerkesztőben, még akkor is, ha a szkript futtatása meg van akadályozva. Amikor blokkolja egy objektum végrehajtását, a Kaspersky Endpoint Security szabványos értesítést jelenít meg (lásd az alábbi ábrát), ha az értesítések engedélyezve vannak az alkalmazás beállításaiban.
Értesítés a végrehajtás megakadályozásáról