Végrehajtás megelőzése

A végrehajtás megakadályozása lehetővé teszi a futtatható fájlok és a parancsfájlok futtatásának, valamint az Office formátumú fájlok megnyitásának kezelését. Ilyen módon például megakadályozhatja az Ön által nem biztonságosnak ítélt alkalmazások végrehajtását. A végrehajtás megakadályozása támogatja az Office-fájlkiterjesztések és a szkriptértelmezők készletét.

Végrehajtás megelőzésének szabálya

A végrehajtás megakadályozása megelőzési szabályokkal kezeli a felhasználók hozzáférését a fájlokhoz. A végrehajtás-megakadályozási szabály olyan feltételkészletnek minősül, amelyet figyelembe kell venni a blokkoláskor. Az alkalmazás elérési utak vagy az MD5 és SHA256 kivonatolási algoritmusokkal kiszámított ellenőrzőösszegek alapján azonosítja a fájlokat.

Létrehozhat végrehajtásmegelőzési szabályokat:

• A riasztás részleteiben (csak az EDR Optimum esetében).

  Az Észlelés részletei egy eszköz az észlelt fenyegetéssel kapcsolatos összesített információk megtekintésére. Az észlelési részletek közé tartoznak például a számítógépen megjelenő fájlok előzményei. Az észlelések kezelésével kapcsolatos részleteket a Kaspersky Endpoint Detection and Response Optimum súgóban és a Kaspersky Endpoint Detection and Response Expert súgóban találja.

• Csoportházirend vagy helyi alkalmazásbeállítások használata.

  Meg kell adnia a fájl elérési útját vagy kivonatát (SHA256 vagy MD5), vagy a fájl elérési útját és a fájl kivonatát is.

A végrehajtásmegelőzést helyben is kezelheti a parancssor használatával.

Nem ajánlott 5000-nél több futtatás-megakadályozási szabályt létrehozni, mivel ez a rendszer instabilitását okozhatja.

A megelőzési szabályok nem terjednek ki CD-n vagy ISO-lemezképeken található fájlokra. Az alkalmazás nem blokkolja ezen fájlok végrehajtását vagy megnyitását.

Végrehajtás megelőzésének szabályai – üzemmódok

A végrehajtásmegelőzési összetevő két módban működhet:

• Csak statisztika.

  Ebben az üzemmódban a Kaspersky Endpoint Security közzétesz egy eseményt a Windows eseménynaplójában és a Kaspersky Security Center eseménynaplójában a végrehajtható objektumok futtatására vagy a megelőzési szabály kritériumainak megfelelő dokumentumok megnyitására tett kísérletről, de nem blokkolja az objektum vagy a dokumentum futtatási vagy megnyitási kísérletét. Alapértelmezésben ez a mód van kiválasztva.

• Aktív.

  Ebben az üzemmódban az alkalmazás blokkolja a megelőzési szabály kritériumainak megfelelő objektumok végrehajtását vagy dokumentumok megnyitását. Az alkalmazás egy eseményt is közzétesz az objektumok végrehajtására vagy dokumentumok megnyitására irányuló kísérletekről a Windows eseménynaplójában és a Kaspersky Security Center eseménynaplójában.

A végrehajtás megakadályozásának kezelése

Az EDR Optimum feladatát a Web Console-on és a Cloud Console-on konfigurálhatja. Az EDR Expert feladatbeállításai csak a Cloud Console-ban érhetők el.

A végrehajtás megakadályozása:

1. A Web Console fő ablakában válassza ki a Devices → Policies & Profiles lehetőséget.
2. Kattintson a Kaspersky Endpoint Security házirend nevére.

   Megnyílik a rendszabályok tulajdonságai ablak.

3. Válassza ki az Application settings fület.
4. Nyissa meg a Detection and Response → Endpoint Detection and Response elemet.
5. A Végrehajtás megakadályozása kapcsolóval engedélyezze vagy tiltsa le az összetevőt.
6. Az Action on execution or opening of forbidden object részen válassza ki az összetevő működési módját:
   • Block and write to report. Ebben az üzemmódban az alkalmazás blokkolja a megelőzési szabály kritériumainak megfelelő objektumok végrehajtását vagy dokumentumok megnyitását. Az alkalmazás egy eseményt is közzétesz az objektumok végrehajtására vagy dokumentumok megnyitására irányuló kísérletekről a Windows eseménynaplójában és a Kaspersky Security Center eseménynaplójában.
   • Log events only. Ebben az üzemmódban a Kaspersky Endpoint Security közzétesz egy eseményt a Windows eseménynaplójában és a Kaspersky Security Center eseménynaplójában a végrehajtható objektumok futtatására vagy a megelőzési szabály kritériumainak megfelelő dokumentumok megnyitására tett kísérletről, de nem blokkolja az objektum vagy a dokumentum futtatási vagy megnyitási kísérletét. Alapértelmezésben ez a mód van kiválasztva.
7. Végrehajtásmegelőzési szabályok listájának létrehozása:
   1. Kattintson a Add gombra.
   2. Ezzel megnyit egy ablakot; ebben az ablakba írja be a végrehajtásmegelőzési szabály nevét (például A alkalmazás).
   3. A Type legördülő listában válassza ki a blokkolni kívánt objektumot: Executable file, Script, Microsoft Office dokumentum.

      Ha rossz objektumtípust választ, a Kaspersky Endpoint Security nem blokkolja a fájlt vagy a szkriptet.

   4. A fájl hozzáadásához meg kell adnia a fájl kivonatát (SHA256 vagy MD5), a fájl teljes elérési útját, vagy a kivonatot és az elérési utat egyszerre.

      Ha a fájl hálózati meghajtón található, adja meg a fájl elérési útját, amely a meghajtó betűjele helyett \\ értékkel kezdődjön. Például \\server\shared_folder\file.exe. Ha a fájl elérési útja hálózati meghajtó betűjelét tartalmazza, a Kaspersky Endpoint Security nem blokkolja a fájlt vagy a szkriptet.

      A végrehajtás megakadályozása támogatja az Office-fájlkiterjesztések és a szkriptértelmezők készletét.

   5. Kattintson az OK gombra.
8. Mentse el a módosításokat.

Ennek eredményeként a Kaspersky Endpoint Security blokkolja az objektumok végrehajtását: futtatható fájlok és szkriptek futtatása, Office-formátumú fájlok megnyitása. Azonban megnyithat például egy parancsfájlt egy szövegszerkesztőben, még akkor is, ha a szkript futtatása meg van akadályozva. Amikor blokkolja egy objektum végrehajtását, a Kaspersky Endpoint Security szabványos értesítést jelenít meg (lásd az alábbi ábrát), ha az értesítések engedélyezve vannak az alkalmazás beállításaiban.

Értesítés a végrehajtás megakadályozásáról