Prevenção da execução
A prevenção da execução permite gerir a execução de scripts e ficheiros executáveis, bem como a abertura de ficheiros do formato do Office. Deste modo, pode, por exemplo, prevenir a execução de aplicações que não considera seguras. Como resultado, a propagação da ameaça pode ser interrompida. A prevenção da execução suporta um conjunto de extensões de ficheiros Office e um conjunto de interpretadores de script.
Regra de bloqueio de execução
A prevenção da execução gere o acesso do utilizador a ficheiros com regras de bloqueio de execução. A Regra de bloqueio de execução é um conjunto de critérios que a aplicação tem em consideração ao reagir à execução de um objeto, por exemplo, ao bloquear a execução de um objeto. A aplicação identifica ficheiros pelos seus caminhos ou somas de verificação calculadas utilizando algoritmos hash MD5 e SHA256.
Pode criar regras de bloqueio de execução:
- Nos detalhes do alerta (apenas para EDR Optimum).
As informações da deteção é uma ferramenta para visualizar todas as informações recolhidas sobre uma ameaça detetada. As informações da deteção incluem, por exemplo, o histórico dos ficheiros que aparecem no computador. Para conhecer os detalhes sobre a gestão de deteção, consulte a Ajuda do Kaspersky Endpoint Detection and Response Optimum e a Ajuda do Kaspersky Endpoint Detection and Response Expert.
- Utilizando uma política de grupo ou definições de aplicações locais.
Deve introduzir o hash (SHA256 ou MD5) ou caminho do ficheiro, ou o caminho do ficheiro e o hash do ficheiro.
Também pode gerir a prevenção da execução localmente utilizando a command line.
A prevenção de execução tem as seguintes limitações:
- As regras de prevenção não abrangem os ficheiros em CD ou imagens ISO. A aplicação não bloqueia a execução ou abertura de tais ficheiros.
- É impossível bloquear o arranque de objetos críticos do sistema (SCO). SCO são ficheiros que o sistema operativo e a aplicação Kaspersky Endpoint Security for Windows requerem para serem executados.
- Não é recomendado criar mais de 5000 regras de prevenção de execução, uma vez que tal pode provocar instabilidade do sistema.
Modos da regra de bloqueio de execução
O componente de prevenção da execução tem dois modos de funcionamento:
- Apenas estatísticas
Neste modo, o Kaspersky Endpoint Security publica um evento sobre tentativas de execução de objetos executáveis ou abrir documentos que correspondem aos critérios da regra de prevenção no Registo de Eventos do Windows e no Kaspersky Security Center, mas não bloqueia a tentativa de executar ou abrir o objeto ou documento. Esta modo está selecionado por predefinição.
- Ativo
Neste modo, a aplicação bloqueia a execução de objetos ou a abertura de documentos que correspondam aos critérios da regra de prevenção. A aplicação também publica um evento sobre tentativas de execução de objetos ou documentos abertos no Registo de Eventos do Windows e no Registo de Eventos do Kaspersky Security Center.
Gestão de prevenção de execução
Apenas pode configurar as definições do componente na Consola Web.
Para prevenção da execução:
- Na janela principal da Consola Web, selecione Devices → Policies & profiles.
- Clique no nome da política do Kaspersky Endpoint Security.
É apresentada a janela de propriedades da política.
- Selecione o separador Application settings.
- Aceda a Detection and Response → Endpoint Detection and Response.
- Ative o botão de alternar Execution Prevention ENABLED.
- No bloco Action on execution or opening of forbidden object, selecione o modo de operação do componente:
- Block and write to report. Neste modo, a aplicação bloqueia a execução de objetos ou a abertura de documentos que correspondam aos critérios da regra de prevenção. A aplicação também publica um evento sobre tentativas de execução de objetos ou documentos abertos no Registo de Eventos do Windows e no Registo de Eventos do Kaspersky Security Center.
- Log events only. Neste modo, o Kaspersky Endpoint Security publica um evento sobre tentativas de execução de objetos executáveis ou abrir documentos que correspondem aos critérios da regra de prevenção no Registo de Eventos do Windows e no Kaspersky Security Center, mas não bloqueia a tentativa de executar ou abrir o objeto ou documento. Esta modo está selecionado por predefinição.
- Crie uma lista de regras de bloqueio de execução:
- Clique em Add.
- Esta ação abre uma janela; nesta janela, introduza o nome da regra de bloqueio de execução (por exemplo, aplicação A).
- Na lista pendente Type, selecione o objeto que pretende bloquear: Executable file, Script, Microsoft Office document.
Se selecionar um tipo de objeto errado, o Kaspersky Endpoint Security não bloqueia o ficheiro ou script.
- Para adicionar o ficheiro, deve introduzir o hash do ficheiro (SHA256 ou MD5), o caminho completo para o ficheiro ou o hash e o caminho.
Se o ficheiro estiver localizado numa unidade de rede, introduza o caminho do ficheiro a partir dos caracteres
\\
e não da letra da unidade. Por exemplo,\\server\shared_folder\file.exe
. Se o caminho do ficheiro contiver uma letra da unidade de rede, o Kaspersky Endpoint Security não bloqueia o ficheiro ou script.A prevenção da execução suporta um conjunto de extensões de ficheiros Office e um conjunto de interpretadores de script.
- Clique em OK.
- Guarde as suas alterações.
Deste modo, o Kaspersky Endpoint Security bloqueia a execução de objetos: execução de scripts e ficheiros executáveis, abertura de ficheiros do formato do Office. No entanto, ainda que a execução do script esteja bloqueada, pode, por exemplo, abrir o ficheiro script file num editor de texto. Ao bloquear a execução de um objeto, o Kaspersky Endpoint Security apresenta uma notificação padrão (ver figura abaixo) se as notificações estiverem ativadas nas definições da aplicação.
Notificação de prevenção de execução