실행 방지

실행 방지를 통해 실행 파일 및 스크립트 실행과 오피스 형식 파일 열기를 관리할 수 있습니다. 이를 통해 안전하지 않다고 판단되는 애플리케이션의 실행을 방지하는 등의 작업을 할 수 있습니다. 결과적으로 보안위협의 확산을 막을 수 있습니다. 실행 방지는 오피스 파일 확장자 세트와 스크립트 인터프리터 세트를 지원합니다.

실행 방지 규칙

실행 방지는 실행 방지 규칙으로 파일에 대한 사용자 접근을 관리합니다. 실행 방지 규칙은 개체 실행 차단 등과 같이 개체 실행에 반응할 때 애플리케이션이 고려하는 기준 집합입니다. 애플리케이션은 MD5 및 SHA256 해싱 알고리즘을 사용하여 계산된 경로 또는 체크섬으로 파일을 식별합니다.

실행 방지 규칙은 다음에서 생성할 수 있습니다:

• 경고 세부 정보(EDR Optimum에서만).

  경고 세부 정보는 탐지된 위협에서 수집한 전체 정보를 확인하는 도구입니다. 경고 세부 정보에는 컴퓨터에서의 파일 히스토리 등이 포함됩니다. 경고 세부 정보 관리에 대한 자세한 사항은 Kaspersky Endpoint Detection and Response Optimum 도움말과 Kaspersky Endpoint Detection and Response Expert 도움말을 참조하십시오.

• 그룹 정책 또는 로컬 애플리케이션 설정 사용.

  파일 경로와 해시(SHA256 또는 MD5)를 입력하거나 둘 중 하나를 입력해야 합니다.

명령줄을 사용해 로컬에서 실행 방지를 관리할 수도 있습니다.

실행 방지에는 다음 제한이 있습니다.

1. CD나 ISO 이미지 내의 파일은 방지 규칙의 범위에 포함되지 않습니다. 이 애플리케이션은 해당 파일의 실행이나 열기를 차단하지 않습니다.
2. 시스템 중요 개체(SCO)의 시작 차단은 불가능합니다. SCO는 운영 체제 및 Kaspersky Endpoint Security for Windows 애플리케이션을 실행하는 데 필요한 파일입니다.
3. 실행 방지 규칙을 5,000개 이상 생성 시 시스템이 불안정해질 수 있으므로 권장하지 않습니다.

실행 방지 규칙 모드

실행 방지 구성 요소는 두 가지 모드로 사용할 수 있습니다:

• 통계만

  이 모드에서는 Kaspersky Endpoint Security가 방지 규칙의 기준과 일치하는 실행 개체 실행 또는 문서 열기 시도 이벤트를 Windows 이벤트 로그 및 Kaspersky Security Center에 게시하지만, 개체나 문서에 대한 실행 또는 열기 시도를 차단하지 않습니다. 이 모드가 기본적으로 선택되어 있습니다.

• 활성

  이 모드에서는 애플리케이션이 방지 규칙의 기준과 일치하는 개체 실행 또는 문서 열기를 차단합니다. 또한 애플리케이션은 개체 실행 또는 문서 열기 시도 이벤트를 Windows 이벤트 로그 및 Kaspersky Security Center 이벤트 로그에 게시합니다.

실행 방지 관리

구성 요소 설정은 웹 콘솔에서만 구성할 수 있습니다.

실행을 방지하려면 다음과 같이 하십시오.

1. 웹 콘솔의 메인 창에서 기기 → 정책 및 프로필을 선택합니다.
2. Kaspersky Endpoint Security 정책 이름을 클릭합니다.

   정책 속성 창이 열립니다.

3. 애플리케이션 설정 탭을 선택합니다.
4. Detection and Response → Endpoint Detection and Response로 갑니다.
5. 실행 방지 활성화 토글을 켭니다.
6. 금지된 개체 실행 또는 열기 시 동작 블록에서 구성 요소 운영 모드를 선택합니다.
   • 차단 후 리포트에 기록. 이 모드에서는 애플리케이션이 방지 규칙의 기준과 일치하는 개체 실행 또는 문서 열기를 차단합니다. 또한 애플리케이션은 개체 실행 또는 문서 열기 시도 이벤트를 Windows 이벤트 로그 및 Kaspersky Security Center 이벤트 로그에 게시합니다.
   • 이벤트만 기록. 이 모드에서는 Kaspersky Endpoint Security가 방지 규칙의 기준과 일치하는 실행 개체 실행 또는 문서 열기 시도 이벤트를 Windows 이벤트 로그 및 Kaspersky Security Center에 게시하지만, 개체나 문서에 대한 실행 또는 열기 시도를 차단하지 않습니다. 이 모드가 기본적으로 선택되어 있습니다.
7. 실행 방지 규칙 목록을 생성합니다:
   1. 추가를 클릭합니다.
   2. 창이 열리면 실행 방지 규칙의 이름을 입력합니다(Application A 등).
   3. 유형 드롭다운 목록에서 차단할 개체를 선택합니다: 실행 파일, 스크립트, Microsoft Office 문서.

      잘못된 개제 유형을 선택하면 Kaspersky Endpoint Security가 해당 파일 또는 스크립트를 차단하지 않습니다.

   4. 파일을 추가하려면 파일의 해시(SHA256 또는 MD5)와 파일의 전체 경로를 입력하거나 둘 중 하나를 입력해야 합니다.

      파일이 네트워크 드라이브에 있다면 드라이브 문자가 아닌 \\ 문자로 시작하는 파일 경로를 입력합니다. 예: \\server\shared_folder\file.exe. 파일 경로에 네트워크 드라이브 문자가 포함되면 Kaspersky Endpoint Security가 해당 파일 또는 스크립트를 차단하지 않습니다.

      실행 방지는 오피스 파일 확장자 세트와 스크립트 인터프리터 세트를 지원합니다.

   5. 확인을 누릅니다.
8. 변경 사항을 저장합니다.

결과적으로 Kaspersky Endpoint Security가 개체의 실행을 차단합니다: 실행 파일 및 스크립트 실행, 오피스 형식 파일 열기. 스크립트 실행이 차단되어도 텍스트 에디터 등으로 스크립트 파일을 열 수는 있습니다. 알림이 애플리케이션 설정에서 활성화되어 있다면 개체 실행 차단 시 Kaspersky Endpoint Security가 기본 알림을 표시합니다(아래 그림 참조).

실행 방지 알림