Preventie van uitvoering

Preventie van uitvoering maakt het mogelijk om de uitvoering van uitvoerbare bestanden en scripts te beheren, evenals het openen van bestanden in Office-indeling. Op deze manier kunt u bijvoorbeeld voorkomen dat programma's worden uitgevoerd die u als onveilig beschouwt. Preventie van uitvoering ondersteunt een reeks office-bestandsextensies en een reeks scriptinterpreters.

Regel preventie van uitvoering

Preventie van uitvoering beheert gebruikerstoegang tot bestanden met regels voor preventie van uitvoering. Een regel voor preventie van uitvoering is een reeks criteria waarmee rekening wordt gehouden bij het blokkeren. Het programma identificeert bestanden aan de hand van hun paden of checksums berekend met behulp van MD5- en SHA256-hash-algoritmen.

U kunt regels instellen voor preventie van uitvoering:

• In detectiegegevens.

  Detectiegegevens zijn een hulpmiddel waar alle verzamelde informatie over een gedetecteerde dreiging zichtbaar is en waar responsacties kunnen worden beheerd. Deze detectiegegevens bevatten bijvoorbeeld de geschiedenis van bestanden die op de computer terechtkomen. Voor informatie over het beheer van detectiegegevens raadpleegt u de Help van Kaspersky Endpoint Detection and Response Optimum.

• Een groepsbeleid of lokale programma-instellingen gebruiken.

  U moet het bestandspad of de hash (SHA256 of MD5) invoeren, of zowel het bestandspad als de bestandshash.

U kunt preventie van uitvoering ook lokaal beheren met behulp van de opdrachtregel..

Het is niet aanbevolen om meer dan 5000 regels voor runpreventie te maken, omdat dit systeeminstabiliteit kan veroorzaken.

Preventieregels zijn niet van toepassing op bestanden op cd's of in ISO-images. Het programma blokkeert het uitvoeren of openen van deze bestanden niet.

Regelmodi voor preventie van uitvoering

Het component voor preventie van uitvoering kan werken in twee modi:

• Statistics only.

  In deze modus publiceert Kaspersky Endpoint Security een gebeurtenis over pogingen om uitvoerbare objecten uit te voeren of documenten te openen die voldoen aan de criteria van de regel voor preventie voor het Windows-gebeurtenislogboek en Kaspersky Security Center, maar blokkeert niet de poging om het object of document uit te voeren of te openen. Deze modus is standaard geselecteerd.

• Actief.

  In deze modus blokkeert het programma de uitvoering van objecten of het openen van documenten die voldoen aan de criteria van regels voor preventie van uitvoering. Het programma publiceert ook een gebeurtenis over pogingen om objecten uit te voeren of documenten te openen naar het Windows-gebeurtenislogboek en het Kaspersky Security Center-gebeurtenislogboek.

Preventie van uitvoering beheren

U kunt de instellingen van het onderdeel alleen configureren in de webconsole.

Om preventie van uitvoering in te schakelen:

1. Selecteer Devices → Policies & profiles in het hoofdvenster van Webconsole.
2. Klik op de naam van het Kaspersky Endpoint Security-beleid.

   U ziet nu het venster met de beleidseigenschappen.

3. Selecteer het tabblad Application settings.
4. Selecteer Detection and Response → Endpoint Detection and Response.
5. Gebruik de schakelaar Execution prevention om het onderdeel in of uit te schakelen.
6. Selecteer onder Action on execution or opening of forbidden object de bedrijfsmodus van het component:
   • Block and write to report. In deze modus blokkeert het programma de uitvoering van objecten of het openen van documenten die voldoen aan de criteria van regels voor preventie van uitvoering. Het programma publiceert ook een gebeurtenis over pogingen om objecten uit te voeren of documenten te openen naar het Windows-gebeurtenislogboek en het Kaspersky Security Center-gebeurtenislogboek.
   • Log events only. In deze modus publiceert Kaspersky Endpoint Security een gebeurtenis over pogingen om uitvoerbare objecten uit te voeren of documenten te openen die voldoen aan de criteria van de regel voor preventie voor het Windows-gebeurtenislogboek en Kaspersky Security Center, maar blokkeert niet de poging om het object of document uit te voeren of te openen. Deze modus is standaard geselecteerd.
7. Maak een lijst met regels voor de preventie van uitvoering:
   1. Klik op de knop Add.
   2. Dit opent een venster. Voer in dit venster de naam van de regels voor preventie van uitvoering in (bijvoorbeeld Programma A).
   3. In de vervolgkeuzelijst Type selecteert u het object dat u wil blokkeren: Executable file, Script, Microsoft Office document.

      Als u een verkeerd objecttype selecteert, blokkeert Kaspersky Endpoint Security het bestand of script niet.

   4. Om het bestand toe te voegen, moet u de hash van het bestand (SHA256 of MD5), het volledige pad naar het bestand of zowel de hash als het pad invoeren.

      Als het bestand zich op een netwerkstation bevindt, voert u het bestandspad in dat begint met \\ en niet de letter van het station. Bijvoorbeeld \\server\shared_folder\file.exe. Als het bestandspad een netwerkstationletter bevat, blokkeert Kaspersky Endpoint Security het bestand of de script niet.

      Preventie van uitvoering ondersteunt een reeks office-bestandsextensies en een reeks scriptinterpreters.

   5. Klik op OK.
8. Sla uw wijzigingen op.

Als gevolg hiervan blokkeert Kaspersky Endpoint Security de uitvoering van objecten: het uitvoeren van uitvoerbare bestanden en scripts en het openen van bestanden in Office-indeling. U kunt echter bijvoorbeeld een scriptbestand in een teksteditor openen, zelfs als het uitvoeren van het script is verhinderd. Bij het blokkeren van de uitvoering van een object geeft Kaspersky Endpoint Security een standaardmelding weer (zie onderstaande afbeelding) als meldingen ingeschakeld zijn in de programma-instellingen.

Melding preventie van uitvoering