執行防禦
2024年7月2日
ID 276391
執行防禦可讓人管理可執行檔和指令碼的執行,以及開啟 Office 格式的檔案。這樣的話,您可以(例如)防止執行您認為不安全的應用程式。因此,威脅擴散可以被停止。執行防禦支援一組指令碼解釋器。
執行防禦規則
執行防禦使用執行防禦規則管理使用者對檔案的存取。執行防禦規則是應用程式對物件執行進行回應(例如,封鎖物件執行時)時考慮的一組條件。應用程式根據檔案路徑或者使用 MD5 和 SHA256 雜湊演算法計算的總和檢查碼來識別檔案。
您可以建立執行防禦規則:
- 在偵測詳情中(僅適用於 EDR Optimum)。
偵測詳情是一款用來檢視有關被偵測的威脅的整個收集資訊的工具。偵測詳情包括,例如,出現在電腦上的檔案的歷史。有關管理警示詳情的更多資訊,請參閱Kaspersky Endpoint Detection and Response Optimum 說明。
- 使用群組政策或者本機應用程式設定。您必須輸入檔案路徑或者雜湊(SHA256 或者 MD5),或者檔案路徑和檔案雜湊二者。
您也可以使用命令列本機管理執行防禦。
注意:無法封鎖系統關鍵物件 (SCO) 的啟動。SCO 是作業系統和 Kaspersky Endpoint Security for Mac 應用程式要求能夠執行的檔案。
執行防禦規則模式
執行防禦元件可以在兩種模式下工作:
- 僅統計
在此模式中,Kaspersky Endpoint Security 會將嘗試執行可執行物件或者開啟匹配防護規則條件的文件的事件發佈到卡巴斯基安全管理中心事件記錄,但是不會封鎖執行或者開啟物件或者文件的嘗試。預設情況下已選擇此項。
- 啟動
在此模式中,應用程式會封鎖執行物件或者開啟匹配防護規則條件的文件。應用程式也會將嘗試執行物件或者開啟文件的事件發佈到卡巴斯基安全管理中心事件記錄。
管理執行防禦
重要:您只可以在網頁主控台中配置元件設定。
要防止執行:
- 在網頁主控台的主視窗中,選取“裝置”→“政策和設定檔”。
- 點擊 Kaspersky Endpoint Security for Mac 政策的名稱。
政策內容視窗將開啟。
- 選取“應用程式設定”標籤。
- 轉到 Detection and Response > Endpoint Detection and Response。
- 開啟執行防禦啟用切換開關。
- 在“執行或開啟被禁止物件時採取的操作”塊中,選擇元件操作模式:
- 封鎖並寫入報告。在此模式中,應用程式會封鎖執行物件或者開啟匹配防護規則條件的文件。應用程式也會將嘗試執行物件或者開啟文件的事件發佈到卡巴斯基安全管理中心事件記錄。
- 僅記錄事件。在此模式中,Kaspersky Endpoint Security 會將嘗試執行可執行物件或者開啟匹配防護規則條件的文件的事件發佈到卡巴斯基安全管理中心事件記錄,但是不會封鎖執行或者開啟物件或者文件的嘗試。預設情況下已選擇此項。
- 建立執行防禦規則清單:
- 點擊新增。
- 在開啟的對話方塊中,輸入執行防禦規則的名稱(例如應用程式 A)。
- 在類型下拉清單中,選擇要封鎖的物件: “應用程式”、“指令碼”、“文件”。
如果您選擇了錯誤的物件類型,則 Kaspersky Endpoint Security 不封鎖檔案或者指令碼。
- 若要新增檔案,您必須輸入檔案的雜湊(SHA256 或者 MD5)、檔案的完整路徑、或雜湊和路徑二者。
注意:如果檔案位於網路磁碟機上,請按以下列方式輸入檔案路徑:/Volumes/shared_folder_name/filename。如果檔案路徑包含網路磁碟機字母,則 Kaspersky Endpoint Security 不封鎖檔案或者指令碼。
- 點擊“確定”。
- 存儲變更。
結果,Kaspersky Endpoint Security 會封鎖執行物件:執行可執行檔和指令碼,開啟 Office 格式檔案。不過,您可以(例如)在文本編輯器中開啟指令碼檔案(即使執行指令碼被禁止)。當封鎖執行物件時,如果在應用程式設定中啟用了通知,則 Kaspersky Endpoint Security 會顯示一個標準通知。