執行防護
執行防護可讓人管理可執行檔和指令碼的執行,以及開啟 Office 格式的檔案。這樣的話,您可以(例如)防止執行您認為不安全的應用程式。因此,威脅擴散可以被停止。執行防護支援Office 檔案延伸程式集合和指令碼解譯器集合。
執行防護規則
執行防護使用執行防護規則管理使用者對檔案的存取。執行防護規則是應用程式對物件執行進行回應(例如,封鎖物件執行時)時考慮的一組條件。應用程式根據檔案路徑或者使用 MD5 和 SHA256 雜湊演算法計算的總和檢查碼來識別檔案。
您可以建立執行防護規則:
- 在偵測詳情中(僅適用於 EDR Optimum)。
偵測詳情是一款用來檢視有關被偵測的威脅的整個收集資訊的工具。偵測詳情包括,例如,出現在電腦上的檔案的歷史。有關偵測詳情的詳細資訊,請參閱 Kaspersky Endpoint Detection and Response Optimum 說明 與 Kaspersky Endpoint Detection and Response Expert 說明。
- 使用群組政策或者本機應用程式設定。
您必須輸入檔案路徑或者雜湊(SHA256 或者 MD5),或者檔案路徑和檔案雜湊二者。
您也可以使用命令列本機管理執行防護。
執行防止有以下限制:
- 防護規則不覆蓋 CD 上或者 ISO 映像中的檔案。應用程式不會封鎖執行或者開啟這些規則。
- 無法封鎖系統關鍵物件 (SCO) 的啟動。SCO 是作業系統和 Kaspersky Endpoint Security for Windows 應用程式要求能夠執行的檔案。
- 不建議建立超過 5000 個執行防護規則,因為這可能造成系統不穩定。
執行防護規則模式
執行防護元件可以在兩種模式下工作:
- 僅統計
在此模式中,Kaspersky Endpoint Security 會將嘗試執行可執行物件或者開啟匹配防護規則條件的文件的事件發佈到 Windows 事件記錄和卡巴斯基安全管理中心,但是不會封鎖執行或者開啟物件或者文件的嘗試。預設情況下已選擇此模式。
- 啟動
在此模式中,應用程式會封鎖執行物件或者開啟匹配防護規則條件的文件。應用程式也會將嘗試執行物件或者開啟文件的事件發佈到 Windows 事件記錄和卡巴斯基安全管理中心事件記錄。
管理執行防護
您只可以在網頁主控台中配置元件設定。
要防護執行:
- 在網頁主控台的主視窗中,選擇裝置 → 政策和設定檔。
- 點擊 Kaspersky Endpoint Security 政策的名稱。
政策內容視窗將開啟。
- 選擇“應用程式設定”標籤。
- 轉到”Detection and Response”→”Endpoint Detection and Response”。
- 開啟“執行防止已啟用“開關。
- 在“執行或開啟被禁止的物件時的動作”塊中,選擇元件操作模式:
- 封鎖和寫入報告在此模式中,應用程式會封鎖執行物件或者開啟匹配防護規則條件的文件。應用程式也會將嘗試執行物件或者開啟文件的事件發佈到 Windows 事件記錄和卡巴斯基安全管理中心事件記錄。
- 僅記錄事件在此模式中,Kaspersky Endpoint Security 會將嘗試執行可執行物件或者開啟匹配防護規則條件的文件的事件發佈到 Windows 事件記錄和卡巴斯基安全管理中心,但是不會封鎖執行或者開啟物件或者文件的嘗試。預設情況下已選擇此模式。
- 建立執行防護規則清單:
- 單擊“新增”。
- 這會開啟一個視窗;在此視窗中,輸入執行防護規則名稱(例如Application A)。
- 在“類型”下拉清單中,選擇您想要封鎖的物件:可執行檔,指令碼,Microsoft Office 文件。
如果您選擇了錯誤的物件類型,則 Kaspersky Endpoint Security 不封鎖檔案或者指令碼。
- 若要新增檔案,您必須輸入檔案的雜湊(SHA256 或者 MD5)、檔案的完整路徑、或雜湊和路徑二者。
如果檔案位於網路磁碟機上,則輸入以
\\
而不是磁碟機字母開始的檔案路徑。例如,\\server\shared_folder\file.exe
。如果檔案路徑包含網路磁碟機字母,則 Kaspersky Endpoint Security 不封鎖檔案或者指令碼。執行防護支援Office 檔案延伸程式集合和指令碼解譯器集合。
- 點擊“確定”。
- 儲存變更。
結果,Kaspersky Endpoint Security 會封鎖執行物件:執行可執行檔和指令碼,開啟 Office 格式檔案。不過,您可以(例如)在文本編輯器中開啟指令碼檔案(即使執行指令碼被禁止)。當封鎖執行物件時,如果在應用程式設定中啟用了通知,則 Kaspersky Endpoint Security 會顯示一個標準通知(請見下圖)。
執行防護通知