Prevenção da execução
A prevenção da execução permite gerir a execução de scripts e ficheiros executáveis, bem como a abertura de ficheiros do formato do Office. Deste modo, pode, por exemplo, prevenir a execução de aplicações que não considera seguras. Como resultado, a propagação da ameaça pode ser interrompida. A prevenção da execução suporta um conjunto de extensões de ficheiros Office e um conjunto de interpretadores de script.
Regra de bloqueio de execução
A prevenção da execução gere o acesso do utilizador a ficheiros com regras de bloqueio de execução. A Regra de bloqueio de execução é um conjunto de critérios que a aplicação tem em consideração ao reagir à execução de um objeto, por exemplo, ao bloquear a execução de um objeto. A aplicação identifica ficheiros pelos seus caminhos ou somas de verificação calculadas utilizando algoritmos hash MD5 e SHA256.
Pode criar regras de bloqueio de execução:
- Nos detalhes do alerta (apenas para EDR Optimum).
As informações da deteção é uma ferramenta para visualizar todas as informações recolhidas sobre uma ameaça detetada. As informações da deteção incluem, por exemplo, o histórico dos ficheiros que aparecem no computador. Para conhecer os detalhes sobre a gestão de deteção, consulte a Ajuda do Kaspersky Endpoint Detection and Response Optimum e a Ajuda do Kaspersky Endpoint Detection and Response Expert.
- Utilizando uma política de grupo ou definições de aplicações locais.
Deve introduzir o hash (SHA256 ou MD5) ou caminho do ficheiro, ou o caminho do ficheiro e o hash do ficheiro.
Também pode gerir a prevenção da execução localmente utilizando a command line.
Não é recomendado criar mais de 5000 regras de prevenção de execução, uma vez que tal pode provocar instabilidade do sistema.
As regras de prevenção não abrangem os ficheiros em CD ou imagens ISO. A aplicação não bloqueia a execução ou abertura de tais ficheiros.
Modos da regra de bloqueio de execução
O componente de prevenção da execução tem dois modos de funcionamento:
- Apenas estatísticas.
Neste modo, o Kaspersky Endpoint Security publica um evento sobre tentativas de execução de objetos executáveis ou abrir documentos que correspondem aos critérios da regra de prevenção no Registo de Eventos do Windows e no Kaspersky Security Center, mas não bloqueia a tentativa de executar ou abrir o objeto ou documento. Esta modo está selecionado por predefinição.
- Ativado.
Neste modo, a aplicação bloqueia a execução de objetos ou a abertura de documentos que correspondam aos critérios da regra de prevenção. A aplicação também publica um evento sobre tentativas de execução de objetos ou documentos abertos no Registo de Eventos do Windows e no Registo de Eventos do Kaspersky Security Center.
Gestão de prevenção de execução
Apenas pode configurar as definições do componente na Consola Web.
Para prevenção da execução:
- Na janela principal da Consola Web, selecione Devices → Policies & Profiles.
- Clique no nome da política do Kaspersky Endpoint Security.
É apresentada a janela de propriedades da política.
- Selecione o separador Application settings.
- Aceda a Detection and Response → Endpoint Detection and Response.
- Use o botão de alternar Prevenção da execução para ativar ou desativar o componente.
- No bloco Action on execution or opening of forbidden object, selecione o modo de operação do componente:
- Block and write to report. Neste modo, a aplicação bloqueia a execução de objetos ou a abertura de documentos que correspondam aos critérios da regra de prevenção. A aplicação também publica um evento sobre tentativas de execução de objetos ou documentos abertos no Registo de Eventos do Windows e no Registo de Eventos do Kaspersky Security Center.
- Log events only. Neste modo, o Kaspersky Endpoint Security publica um evento sobre tentativas de execução de objetos executáveis ou abrir documentos que correspondem aos critérios da regra de prevenção no Registo de Eventos do Windows e no Kaspersky Security Center, mas não bloqueia a tentativa de executar ou abrir o objeto ou documento. Esta modo está selecionado por predefinição.
- Crie uma lista de regras de bloqueio de execução:
- Clique no botão Add.
- Esta ação abre uma janela; nesta janela, introduza o nome da regra de bloqueio de execução (por exemplo, aplicação A).
- Na lista pendente Tipo, selecione o objeto que pretende bloquear: Executable file, Script, Microsoft Office document.
Se selecionar um tipo de objeto errado, o Kaspersky Endpoint Security não bloqueia o ficheiro ou script.
- Para adicionar o ficheiro, deve introduzir o hash do ficheiro (SHA256 ou MD5), o caminho completo para o ficheiro ou o hash e o caminho.
Se o ficheiro estiver localizado numa unidade de rede, introduza o caminho do ficheiro a partir dos caracteres
\\e não da letra da unidade. Por exemplo,\\server\shared_folder\file.exe. Se o caminho do ficheiro contiver uma letra da unidade de rede, o Kaspersky Endpoint Security não bloqueia o ficheiro ou script.A prevenção da execução suporta um conjunto de extensões de ficheiros Office e um conjunto de interpretadores de script.
- Clique em OK.
- Guarde as suas alterações.
Deste modo, o Kaspersky Endpoint Security bloqueia a execução de objetos: execução de scripts e ficheiros executáveis, abertura de ficheiros do formato do Office. No entanto, ainda que a execução do script esteja bloqueada, pode, por exemplo, abrir o ficheiro script file num editor de texto. Ao bloquear a execução de um objeto, o Kaspersky Endpoint Security apresenta uma notificação padrão (ver figura abaixo) se as notificações estiverem ativadas nas definições da aplicação.
Notificação de prevenção de execução