Prevención de la ejecución

La prevención de la ejecución permite administrar la ejecución de archivos ejecutables y scripts, así como la apertura de archivos en formato de Office. De este modo, puede, por ejemplo, impedir la ejecución de aplicaciones que considere inseguras. De esta manera, se puede detener la propagación de la amenaza. La prevención de la ejecución es compatible con un conjunto de extensiones de archivos de Office y un conjunto de intérpretes de script.

Regla de prevención de la ejecución

La prevención de la ejecución administra el acceso de los usuarios a los archivos con reglas de prevención de la ejecución. La opción Regla de prevención de ejecución es un conjunto de criterios que la aplicación tiene en cuenta al reaccionar a la ejecución de un objeto, por ejemplo, al bloquear la ejecución de un objeto. La aplicación identifica archivos por sus rutas o sumas de comprobación calculadas mediante los algoritmos hash MD5 y SHA256.

Puede crear reglas de prevención de la ejecución:

• En detalles de la alerta (solo para EDR Optimum).

  Detalles de la alerta es una herramienta para ver la totalidad de la información recopilada sobre una amenaza detectada. Los detalles de la alerta incluyen, por ejemplo, el historial de archivos que aparecen en el equipo. Para obtener más información sobre la administración de los detalles de la alerta, consulte la Ayuda de Kaspersky Endpoint Detection and Response Optimum y la Ayuda de Kaspersky Endpoint Detection and Response Expert.

• Mediante el uso de una directiva de grupo o de la configuración de la aplicación local.

  Debe ingresar la ruta del archivo o el hash (SHA256 o MD5), o la ruta del archivo y el hash del archivo.

También puede administrar la prevención de la ejecución localmente mediante el uso de la línea de comandos.

Prevención de la ejecución tiene las siguientes limitaciones:

1. Las reglas de prevención no cubren los archivos en CD o en imágenes ISO. La aplicación no bloquea la ejecución o apertura de estos archivos.
2. Es imposible bloquear el inicio de objetos críticos del sistema (SCO). Los SCO son archivos que el sistema operativo y la aplicación Kaspersky Endpoint Security para Windows requieren para poder ejecutarse.
3. No se recomienda crear más de 5000 reglas de prevención de la ejecución, ya que pueden generar inestabilidad en el sistema.

Modos de reglas de prevención de la ejecución

El componente Prevención de la ejecución puede funcionar de dos modos:

• Solo estadísticas

  En este modo, Kaspersky Endpoint Security publica un evento sobre los intentos de ejecutar objetos ejecutables o abrir documentos que coinciden con los criterios de la regla de prevención en el registro de eventos de Windows y Kaspersky Security Center, pero no bloquea el intento de ejecutar o abrir el objeto o documento. Este modo está seleccionado de forma predeterminada.

• Activa

  En este modo, la aplicación bloquea la ejecución de objetos o la apertura de documentos que coinciden con los criterios de la regla de prevención. La aplicación también publica un evento sobre los intentos de ejecutar objetos o abrir documentos en el registro de eventos de Windows y en el de Kaspersky Security Center.

Administrar la prevención de la ejecución

La configuración de los componentes solo se puede modificar en Web Console.

Para impedir la ejecución:

1. En la ventana principal de Web Console, seleccione Dispositivos → Directivas y perfiles.
2. Haga clic en el nombre de la directiva de Kaspersky Endpoint Security.

   Se abre la ventana de propiedades de la directiva.

3. Seleccione la ficha Configuración de la aplicación.
4. Vaya a Detection and Response → Endpoint Detection and Response.
5. Active el interruptor de Prevención de ejecución HABILITADA.
6. En el bloque Acción ante operaciones de ejecución o apertura de un objeto prohibido, seleccione el modo de funcionamiento del componente:
   • Bloquear y escribir en el informe. En este modo, la aplicación bloquea la ejecución de objetos o la apertura de documentos que coinciden con los criterios de la regla de prevención. La aplicación también publica un evento sobre los intentos de ejecutar objetos o abrir documentos en el registro de eventos de Windows y en el de Kaspersky Security Center.
   • Registrar solo eventos. En este modo, Kaspersky Endpoint Security publica un evento sobre los intentos de ejecutar objetos ejecutables o abrir documentos que coinciden con los criterios de la regla de prevención en el registro de eventos de Windows y Kaspersky Security Center, pero no bloquea el intento de ejecutar o abrir el objeto o documento. Este modo está seleccionado de forma predeterminada.
7. Cree una lista de reglas de prevención de la ejecución:
   1. Haga clic en Agregar.
   2. Esto abre una ventana; en esta ventana, ingrese el nombre de la regla de prevención de la ejecución (por ejemplo, Aplicación A).
   3. En la lista desplegable Tipo, seleccione el objeto que desea bloquear: Archivo ejecutable, Script, Documento de Microsoft Office.

      Si selecciona un tipo de objeto incorrecto, Kaspersky Endpoint Security no bloquea el archivo o el script.

   4. Para agregar el archivo, debe ingresar el hash del archivo (SHA256 o MD5), la ruta completa al archivo, o el hash y la ruta.

      Si el archivo está ubicado en una unidad de red, ingrese la ruta del archivo que comienza con \\y no la letra de la unidad. Por ejemplo, \\server\shared_folder\file.exe. Si la ruta del archivo contiene una letra de la unidad de la red, Kaspersky Endpoint Security no bloquea el archivo o el script.

      La prevención de la ejecución es compatible con un conjunto de extensiones de archivos de Office y un conjunto de intérpretes de script.

   5. Haga clic en Aceptar.
8. Guarde los cambios.

Como resultado, Kaspersky Endpoint Security bloquea la ejecución de objetos: la ejecución de archivos ejecutables y scripts, la apertura de archivos con formato de Office. Sin embargo, puede, por ejemplo, abrir un archivo de script en un editor de texto aunque se impida la ejecución del script. Cuando se bloquea la ejecución de un objeto, Kaspersky Endpoint Security muestra una notificación estándar (vea la figura siguiente) si las notificaciones están activadas en la configuración de la aplicación.

Notificación de la prevención de la ejecución