Yürütme önleme

Destek

İş Çözümleri için Destek

Kaspersky Endpoint Security 12 for Windows

Detection and Response çözümleri

Endpoint Detection and Response

Yürütme önleme

14 Şubat 2024

ID 214778

PDF olarak kaydet

Yürütme önleme, yürütülebilir dosyaların ve komut dosyalarının çalıştırılmasının yanı sıra ofis biçimindeki dosyaların açılmasının yönetilmesine de olanak tanır. Bu şekilde, örneğin güvenli olmadığını düşündüğünüz uygulamaların yürütülmesini engelleyebilirsiniz. Sonuç olarak, tehdidin yayılması durdurulabilir. Yürütme önleme bir ofis dosyası uzantıları grubunu ve bir komut dizisi yorumlayıcısı grubunu destekler.

Yürütme önleme kuralı

Yürütme önleme, dosyalara kullanıcı erişimini yürütme önleme kuralları aracılığıyla yönetir. Yürütme önleme kuralı bir nesne yürütmesine tepki verirken, örneğin nesne yürütmesini engellerken, uygulamanın dikkate aldığı bir dizi kriterdir. Uygulama, dosyaları yollarına veya MD5 ve SHA256 karma algoritmaları kullanılarak hesaplanan sağlama toplamlarına göre tanımlar.

Yürütme önleme kuralları oluşturabilirsiniz:

Uyarı ayrıntılarında (sadece EDR Optimum için).
Uyarı ayrıntıları, tespit edilen bir tehdit hakkında toplanan bilgilerin tamamını görüntülemek için sunulan bir araçtır. Uyarı ayrıntılarına örnek olarak bilgisayarda görünen dosyaların geçmişi verilebilir. Uyarı ayrıntılarının yönetimi hakkında daha fazla bilgi için Kaspersky Endpoint Detection and Response Optimum Yardım ve Kaspersky Endpoint Detection and Response Expert Yardım içeriklerine bakabilirsiniz.
Bir grup ilkesi veya yerel uygulama ayarları kullanma.
Dosya yolunu veya karmasını (SHA256 veya MD5) ya da hem dosya yolunu hem de dosya karmasını girmelisiniz.

Yürütme önleme yönetimini, komut satırı ile yerel olarak da yönetebilirsiniz.

Yürütme önleme şu sınırlamalara sahiptir:

Önleme kuralları CD’lerdeki ya da ISO görüntülerindeki dosyaları kapsamaz. Uygulama, bu dosyaların yürütülmesini veya açılmasını engellemez.
Kritik sistem nesnelerinin (SCO) başlatılmasını engellemek mümkün değildir. Kritik Sistem Nesneleri, işletim sisteminin ve Kaspersky Endpoint Security for Windows uygulamasının çalışmak için ihtiyaç duyduğu dosyalardır.
Sistem kararsızlığına neden olabileceği için 5000'den fazla çalışma önleme kuralının oluşturulması önerilmez.

Yürütme önleme kuralı modları

Yürütme önleme bileşeni iki modda çalışabilir:

Sadece istatistikler
Bu modda Kaspersky Endpoint Security, Windows olay günlüğü ve Kaspersky Security Center ile önleme kuralı kriterleriyle eşleşen yürütülebilir nesneleri veya açık belgeleri yürütme girişimleri hakkında bir olay yayınlar, ancak nesneyi veya belgeyi yürütme veya açma girişimini engellemez. Varsayılan olarak bu mod seçilidir.
Etkin
Bu modda, uygulama, engelleme kuralı kriterlerine uyan nesnelerin yürütülmesini veya belgelerin açılmasını engeller. Uygulama ayrıca Windows olay günlüğüne ve Kaspersky Security Center olay günlüğüne nesneleri çalıştırma veya belgeleri açma girişimleri hakkında bir olay yayınlar.

Yürütme önleme yönetimi

Bileşen ayarlarını yalnızca Web Console'da yapılandırabilirsiniz.

Yürütmeyi önlemek için:

Web Console'un ana penceresinde Cihazlar → İlkeler ve profiller'i seçin.
Kaspersky Endpoint Security ilkesinin adına tıklayın.
İlke özellikleri penceresi açılır.
Uygulama ayarları sekmesini seçin.
Detection and Response → Endpoint Detection and Response bölümüne gidin.
Yürütme Önleme ETKİN iki durumlu düğmesini açık duruma getirin.
Yasak nesnenin yürütülmesi veya açılması ile ilgili eylem bloğundan bileşen çalışma modunu seçin:
- Engelle ve rapora yaz. Bu modda, uygulama, engelleme kuralı kriterlerine uyan nesnelerin yürütülmesini veya belgelerin açılmasını engeller. Uygulama ayrıca Windows olay günlüğüne ve Kaspersky Security Center olay günlüğüne nesneleri çalıştırma veya belgeleri açma girişimleri hakkında bir olay yayınlar.
- Sadece olayları günlüğe kaydet. Bu modda Kaspersky Endpoint Security, Windows olay günlüğü ve Kaspersky Security Center ile önleme kuralı kriterleriyle eşleşen yürütülebilir nesneleri veya açık belgeleri yürütme girişimleri hakkında bir olay yayınlar, ancak nesneyi veya belgeyi yürütme veya açma girişimini engellemez. Varsayılan olarak bu mod seçilidir.
Bir yürütme önleme kuralları listesi oluşturun:
1. Ekle'ye tıklayın.
2. Bu bir pencere açar; bu pencereye yürütme önleme kuralının adını girin (örneğin, Uygulama A).
3. Tür açılır listesinden engellemek istediğiniz nesneyi seçin: Yürütülebilir dosya, Komut dizisi, Microsoft Office belgesi.
  Yanlış bir nesne türü seçerseniz Kaspersky Endpoint Security dosyayı veya komut dosyasını engellemez.
4. Dosyayı eklemek için dosyanın karmasını (SHA256 veya MD5), dosyanın tam yolunu veya hem karmayı hem de yolu girmelisiniz.
  Dosya bir ağ sürücüsünde bulunuyorsa, sürücü harfini değil \\ ile başlayan dosya yolunu girin. Örneğin, \\server\shared_folder\file.exe. Dosya yolu bir ağ sürücüsü harfi içeriyorsa Kaspersky Endpoint Security dosyayı veya komut dosyasını engellemez.
  
  Yürütme önleme bir ofis dosyası uzantıları grubunu ve bir komut dizisi yorumlayıcısı grubunu destekler.
5. Tamam’a tıklayın.
Değişikliklerinizi kaydedin.

Sonuç olarak Kaspersky Endpoint Security nesnelerin yürütülmesini engeller: yürütülebilir dosyaları ve komut dizilerini çalıştırma, ofis biçimindeki dosyaları açma. Bununla birlikte, örneğin, komut dizisinin çalıştırılması engellenmiş olsa bile, bir komut dizisini bir metin düzenleyicide açabilirsiniz. Bir nesnenin yürütülmesini engellendiğinde, bildirimler uygulama ayarlarında etkinleştirildiyse Kaspersky Endpoint Security standart bir bildirim görüntüler (aşağıdaki şekle bakın).

Engellenen komut dosyası yürütme hakkında bildirim. Kullanıcı, kuralla ilgili ayrıntılı bilgileri görüntüleyebilir.

Yürütme önleme bildirimi

Bu makaleyi faydalı buldunuz mu?

Neyi daha iyi yapabiliriz?

Geri bildiriminiz için teşekkür ederiz! Gelişmemize yardımcı oluyorsunuz.