Prevenção da execução

A prevenção da execução permite gerir a execução de scripts e ficheiros executáveis, bem como a abertura de ficheiros do formato do Office. Deste modo, pode, por exemplo, prevenir a execução de aplicações que não considera seguras. Como resultado, a propagação da ameaça pode ser interrompida. A prevenção da execução suporta um conjunto de extensões de ficheiros Office e um conjunto de interpretadores de script.

Regra de bloqueio de execução

A prevenção da execução gere o acesso do utilizador a ficheiros com regras de bloqueio de execução. A Regra de bloqueio de execução é um conjunto de critérios que a aplicação tem em consideração ao reagir à execução de um objeto, por exemplo, ao bloquear a execução de um objeto. A aplicação identifica ficheiros pelos seus caminhos ou somas de verificação calculadas utilizando algoritmos hash MD5 e SHA256.

Pode criar regras de bloqueio de execução:

• Nos detalhes do alerta (apenas para EDR Optimum).

  As informações da deteção é uma ferramenta para visualizar todas as informações recolhidas sobre uma ameaça detetada. As informações da deteção incluem, por exemplo, o histórico dos ficheiros que aparecem no computador. Para conhecer os detalhes sobre a gestão de deteção, consulte a Ajuda do Kaspersky Endpoint Detection and Response Optimum e a Ajuda do Kaspersky Endpoint Detection and Response Expert.

• Utilizando uma política de grupo ou definições de aplicações locais.

  Deve introduzir o hash (SHA256 ou MD5) ou caminho do ficheiro, ou o caminho do ficheiro e o hash do ficheiro.

Também pode gerir a prevenção da execução localmente utilizando a command line.

A prevenção de execução tem as seguintes limitações:

1. As regras de prevenção não abrangem os ficheiros em CD ou imagens ISO. A aplicação não bloqueia a execução ou abertura de tais ficheiros.
2. É impossível bloquear o arranque de objetos críticos do sistema (SCO). SCO são ficheiros que o sistema operativo e a aplicação Kaspersky Endpoint Security for Windows requerem para serem executados.
3. Não é recomendado criar mais de 5000 regras de prevenção de execução, uma vez que tal pode provocar instabilidade do sistema.

Modos da regra de bloqueio de execução

O componente de prevenção da execução tem dois modos de funcionamento:

• Apenas estatísticas

  Neste modo, o Kaspersky Endpoint Security publica um evento sobre tentativas de execução de objetos executáveis ou abrir documentos que correspondem aos critérios da regra de prevenção no Registo de Eventos do Windows e no Kaspersky Security Center, mas não bloqueia a tentativa de executar ou abrir o objeto ou documento. Esta modo está selecionado por predefinição.

• Ativo

  Neste modo, a aplicação bloqueia a execução de objetos ou a abertura de documentos que correspondam aos critérios da regra de prevenção. A aplicação também publica um evento sobre tentativas de execução de objetos ou documentos abertos no Registo de Eventos do Windows e no Registo de Eventos do Kaspersky Security Center.

Gestão de prevenção de execução

Apenas pode configurar as definições do componente na Consola Web.

Para prevenção da execução:

1. Na janela principal da Consola Web, selecione Devices → Policies & profiles.
2. Clique no nome da política do Kaspersky Endpoint Security.

   É apresentada a janela de propriedades da política.

3. Selecione o separador Application settings.
4. Aceda a Detection and Response → Endpoint Detection and Response.
5. Ative o botão de alternar Execution Prevention ENABLED.
6. No bloco Action on execution or opening of forbidden object, selecione o modo de operação do componente:
   • Block and write to report. Neste modo, a aplicação bloqueia a execução de objetos ou a abertura de documentos que correspondam aos critérios da regra de prevenção. A aplicação também publica um evento sobre tentativas de execução de objetos ou documentos abertos no Registo de Eventos do Windows e no Registo de Eventos do Kaspersky Security Center.
   • Log events only. Neste modo, o Kaspersky Endpoint Security publica um evento sobre tentativas de execução de objetos executáveis ou abrir documentos que correspondem aos critérios da regra de prevenção no Registo de Eventos do Windows e no Kaspersky Security Center, mas não bloqueia a tentativa de executar ou abrir o objeto ou documento. Esta modo está selecionado por predefinição.
7. Crie uma lista de regras de bloqueio de execução:
   1. Clique em Add.
   2. Esta ação abre uma janela; nesta janela, introduza o nome da regra de bloqueio de execução (por exemplo, aplicação A).
   3. Na lista pendente Type, selecione o objeto que pretende bloquear: Executable file, Script, Microsoft Office document.

      Se selecionar um tipo de objeto errado, o Kaspersky Endpoint Security não bloqueia o ficheiro ou script.

   4. Para adicionar o ficheiro, deve introduzir o hash do ficheiro (SHA256 ou MD5), o caminho completo para o ficheiro ou o hash e o caminho.

      Se o ficheiro estiver localizado numa unidade de rede, introduza o caminho do ficheiro a partir dos caracteres \\ e não da letra da unidade. Por exemplo, \\server\shared_folder\file.exe. Se o caminho do ficheiro contiver uma letra da unidade de rede, o Kaspersky Endpoint Security não bloqueia o ficheiro ou script.

      A prevenção da execução suporta um conjunto de extensões de ficheiros Office e um conjunto de interpretadores de script.

   5. Clique em OK.
8. Guarde as suas alterações.

Deste modo, o Kaspersky Endpoint Security bloqueia a execução de objetos: execução de scripts e ficheiros executáveis, abertura de ficheiros do formato do Office. No entanto, ainda que a execução do script esteja bloqueada, pode, por exemplo, abrir o ficheiro script file num editor de texto. Ao bloquear a execução de um objeto, o Kaspersky Endpoint Security apresenta uma notificação padrão (ver figura abaixo) se as notificações estiverem ativadas nas definições da aplicação.

Notificação de prevenção de execução