Lorsqu'il est intégré avec les solutions Detection and Response dans le cadre d'une action de réponse aux menaces, l'application Kaspersky Endpoint Security peut contrôler le lancement de fichiers exécutables et de scripts, ainsi que l'ouverture de fichiers des applications office sur l'appareil. La prevention de lancement des objets prend en charge un ensemble spécifique d'extensions des fichiers des applications Office et un ensemble spécifique d'interpréteurs de script. Suite à la prévention du lancement des objets, la propagation de la menace peut être stoppée.
La prévention du lancement des objets fonctionne sur la base des règles d'interdiction de démarrage. Une règle d'interdiction de démarrage est un ensemble de critères que l'application Kaspersky Endpoint Security prend en compte lorsqu'elle répond au démarrage d'un objet. Un objet doit répondre à tous les critères d'une règle d'interdiction de démarrage pour que l’application bloque son exécution. L'application identifie les fichiers par leur chemin ou leur somme de contrôle à l'aide des algorithmes de hachage MD5 et SHA256.
La fonctionnalité de prévention du lancement des objets est disponible dans l'application Kaspersky Endpoint Security si l'une des conditions suivantes est remplie :
Par défaut, la prévention du lancement des objets est désactivée.
L'activation de la prévention du lancement des objets peut affecter la vitesse de lancement des applications dans le système d'exploitation.
Pour que la prévention du lancement des objets fonctionne, vous devez activer l'application des règles de prévention du lancement des objets.
Fonctionnalités de la prévention du lancement des objets lors de l'intégration avec Kaspersky Endpoint Detection and Response (KATA)
Lors de l'intégration de l'application Kaspersky Endpoint Security avec le module Kaspersky Endpoint Detection and Response (KATA), l'application utilise les règles de la prévention du lancement des objets du module EDR (KATA). L'application reçoit ces règles de Kaspersky Endpoint Detection and Response (KATA).
Lors de l'intégration avec le module Kaspersky Endpoint Detection and Response Optimum, vous pouvez :
Lorsque les règles de prévention du lancement sont déclenchées, l'application Kaspersky Endpoint Security envoie un rapport à Kaspersky Anti Targeted Attack Platform.
Fonctionnalités de la prévention du lancement des objets lors de l'intégration avec Kaspersky Endpoint Detection and Response Optimum
Lors de l'intégration de l'application Kaspersky Endpoint Security avec la solution Kaspersky Endpoint Detection and Response (KATA), l'application utilise les règles de la prévention du lancement des objets du module EDR Optimum. Vous créez ces règles manuellement dans Web Console. Vous pouvez également créer des règles de la prévention du lancement automatiquement à partir de la fenêtre des détails de l'alerte.
Lors de l'intégration avec Kaspersky Endpoint Detection and Response Optimum, vous pouvez :
Vous pouvez également créer une règle de la prévention du lancement de l'objet automatiquement en interdisant le lancement d'un fichier dans la fenêtre des détails de l'alerte. La règle de la prévention du lancement sera ajoutée à la stratégie du groupe d'administration auquel appartient l’appareil.
Vous pouvez bloquer l’exécution des fichiers dans la fenêtre des détails de l’alerte uniquement si l’appareil est couvert par une stratégie.
Lors de l'intégration avec Kaspersky Endpoint Detection and Response Optimum, la prévention du lancement des objets peut fonctionner selon l'un des deux modes suivants :
L'application Kaspersky Endpoint Security bloque l'exécution d'un script interdit par la règle de prévention du lancement, même s'il est importé par un script autorisé.
Limites de prévention du lancement des objets
Les restrictions suivantes existent pour empêcher le lancement des objets :