Zapobieganie wykonywaniu

Zapobieganie wykonywaniu umożliwia zarządzanie uruchamianiem plików wykonywalnych i skryptów, a także otwieraniem plików formatu office. W ten sposób możesz, na przykład, zapobiec wykonaniu aplikacji, które uważasz za niezabezpieczone. W wyniku tego działania można zatrzymać rozprzestrzenianie się zagrożenia. Zapobieganie wykonywaniu obsługuje zestaw rozszerzeń plików pakietu office oraz zestaw interpreterów skryptu.

Reguła zapobiegania wykonywaniu

Zapobieganie wykonywaniu zarządza dostępem użytkownika do plików z regułami zapobiegania wykonywaniu. Reguły zapobiegania wykonywaniu to zestaw kryteriów, które aplikacja bierze pod uwagę podczas reagowania na wykonanie obiektu, na przykład, podczas blokowania wykonania obiektu. Aplikacja identyfikuje pliki według ich ścieżek lub sum kontrolnych wyliczonych przy użyciu algorytmów haszowania MD5 i SHA256.

Możesz utworzyć reguły Zapobiegania wykonywaniu:

• W szczegółach alertów (tylko dla EDR Optimum).

  Szczegóły wykrycia to narzędzie do przeglądania całości zebranych informacji o wykrytym zagrożeniu. Szczegóły wykrycia obejmują, na przykład, historię plików pojawiających się na komputerze. Więcej informacji o zarządzaniu szczegółami wykrycia można znaleźć w pomocy do Kaspersky Endpoint Detection and Response Optimum oraz w pomocy do Kaspersky Endpoint Detection and Response Expert.

• Korzystając z zasad grupy lub lokalnych ustawień aplikacji.

  Musisz wprowadzić ścieżkę do pliku lub sumę kontrolną pliku (SHA256 lub MD5), albo obie te wartości.

Możesz także zarządzać Zapobieganiem wykonywaniu lokalnie przy użyciu wiersza polecenia.

Zapobieganie wykonywaniu posiada następujące ograniczenia:

1. Reguł zapobiegania nie obejmują plików na płytach CD lub obrazów ISO. Aplikacja nie blokuje wykonywania lub otwierania tych plików.
2. Nie jest możliwe zablokowanie uruchamiania obiektów krytycznych dla systemu (SCO). Krytyczne obiekty systemowe to pliki, które są wymagane przez system operacyjny i aplikację Kaspersky Endpoint Security for Windows do działania.
3. Nie jest zalecane utworzenie więcej niż 5 000 reguł zapobiegania uruchomieniu, gdyż może to spowodować niestabilność systemu.

Tryby reguły zapobiegania wykonywaniu

Komponent Zapobieganie wykonywaniu może działać w dwóch trybach:

• Tylko statystyki

  W tym trybie Kaspersky Endpoint Security publikuje zdarzenie dotyczące prób uruchomienia obiektów wykonywalnych lub otwarcia dokumentów, które odpowiadają kryteriom reguły blokowania, w Dzienniku zdarzeń Windows oraz w Kaspersky Security Center, ale nie blokują próby uruchomienia lub otwarcia obiektu lub dokumentu. Ten tryb jest wybrany domyślnie.

• Aktywny

  W tym trybie aplikacja blokuje wykonanie obiektów lub otwieranie dokumentów, które odpowiadają kryteriom reguły blokowania. Aplikacja publikuje także zdarzenie dotyczące prób wykonania obiektów lub otwarcia dokumentów w Dzienniku zdarzeń Windows oraz dzienniku zdarzeń Kaspersky Security Center.

Zarządzanie zapobieganiem wykonaniu

Możesz skonfigurować ustawienia komponentu tylko w Web Console.

W celu zapobiegania wykonywaniu:

1. W oknie głównym Web Console wybierz Urządzenia → Zasady i profile.
2. Kliknij nazwę zasady Kaspersky Endpoint Security.

   Zostanie otwarte okno właściwości profilu.

3. Wybierz zakładkę Ustawienia aplikacji.
4. Wybierz Detection and Response → Endpoint Detection and Response.
5. Włącz przełącznik Zapobieganie wykonywaniu WŁĄCZONE.
6. W sekcji Akcja podczas wykonywania lub otwierania zabronionego obiektu wybierz tryb działania komponentu:
   • Blokuj i zapisz do raportu. W tym trybie aplikacja blokuje wykonanie obiektów lub otwieranie dokumentów, które odpowiadają kryteriom reguły blokowania. Aplikacja publikuje także zdarzenie dotyczące prób wykonania obiektów lub otwarcia dokumentów w Dzienniku zdarzeń Windows oraz dzienniku zdarzeń Kaspersky Security Center.
   • Tylko zapisuj zdarzenia. W tym trybie Kaspersky Endpoint Security publikuje zdarzenie dotyczące prób uruchomienia obiektów wykonywalnych lub otwarcia dokumentów, które odpowiadają kryteriom reguły blokowania, w Dzienniku zdarzeń Windows oraz w Kaspersky Security Center, ale nie blokują próby uruchomienia lub otwarcia obiektu lub dokumentu. Ten tryb jest wybrany domyślnie.
7. Utwórz listę reguł zapobiegania wykonywaniu:
   1. Kliknij Dodaj.
   2. To spowoduje otwarcie okna; w tym oknie wprowadź nazwę reguły zapobiegania wykonywaniu (na przykład, Aplikacja A).
   3. Z listy rozwijalnej Typ wybierz obiekt, który chcesz zablokować: Plik wykonywalny, Skrypt, Dokument Microsoft Office.

      Jeśli wybrałeś zły typ obiektu, Kaspersky Endpoint Security nie blokuje pliku lub skryptu.

   4. Aby dodać plik, należy wprowadzić sumę kontrolną pliku (SHA256 lub MD5), pełną ścieżkę do pliku lub sumę kontrolną i ścieżkę.

      Jeśli plik znajduje się na dysku sieciowym, wprowadź ścieżkę do pliku, począwszy od \\, a nie od litery dysku. Na przykład: \\server\shared_folder\file.exe. Jeśli ścieżka dostępu do pliku zawiera literę dysku sieciowego, Kaspersky Endpoint Security nie blokuje pliku lub skryptu.

      Zapobieganie wykonywaniu obsługuje zestaw rozszerzeń plików pakietu office oraz zestaw interpreterów skryptu.

   5. Kliknij OK.
8. Zapisz swoje zmiany.

W rezultacie Kaspersky Endpoint Security zablokuje wykonanie obiektów: uruchomienie skryptów i plików wykonywalnych, otwarcie plików formatów office. Jednakże możesz, na przykład, otworzyć plik skryptu w edytorze tekstu nawet wtedy, gdy uruchomienie skryptów zostanie uniemożliwione. Podczas blokowania wykonania obiektu Kaspersky Endpoint Security wyświetli standardowe powiadomienie (patrz rysunek poniżej), jeśli powiadomienia są włączone w ustawieniach aplikacji.

Powiadomienie o zapobieganiu wykonywania