执行防护
执行防护允许管理可执行文件和脚本的运行,以及打开 Office 格式文件。这样,例如,您可以防止执行您认为不安全的应用程序。结果,威胁传播可以被停止。执行防护支持一组 Office 文件扩展名和一组脚本解释器。
执行防护规则
执行防护使用执行防护规则管理用户对文件的访问。执行防护规则是应用程序在对对象执行做出反应时(例如,在阻止对象执行时)考虑的一组条件。应用程序通过使用 MD5 和 SHA256 哈希算法计算的路径或校验和来识别文件。
您可以创建执行防护规则:
- 在警报详细信息中(仅适用于 EDR Optimum)。
警报详情是一种工具,用于查看所收集的有关检测到的威胁的全部信息。警报详情包括,例如,出现在计算机的文件历史。有关管理警报详情的更多信息,请参阅 Kaspersky Endpoint Detection and Response Optimum 帮助和 Kaspersky Endpoint Detection and Response Expert 帮助。
- 使用组策略或本地应用程序设置。
必须输入文件路径或哈希(SHA256 或 Md5),或者同时输入文件路径和文件哈希。
您还可以使用命令行在本地管理执行防护。
执行防护具有以下限制:
- 预防规则不包括 CD 或 ISO 映像中的文件。应用程序不会阻止这些文件的执行或打开。
- 无法阻止系统关键对象(SCO)的启动。SCO 是操作系统和 Kaspersky Endpoint Security for Windows 应用程序运行所需的文件。
- 不建议创建超过 5000 个运行防护规则,因为这可能会导致系统不稳定。
执行防护规则模式
执行防护组件可以在两种模式下工作:
- 仅统计
在此模式下,Kaspersky Endpoint Security 将发布关于尝试执行符合防护规则标准的对象或打开这样的文档的事件到 Windows 事件日志和 Kaspersky Security Center,但不会阻止尝试运行对象或打开文档。默认情况下已选择此模式。
- 活动
在此模式下,应用程序将阻止执行符合防护规则标准的对象或打开这样的文档。应用程序还将尝试执行对象或打开文档的事件发布到 Windows 事件日志和 Kaspersky Security Center 事件日志。
管理执行防护
您仅可以在 Web Console 中配置组件设置。
要防护执行:
- 在 Web Console 的主窗口中,选择“设备”→“策略和配置文件”。
- 单击 Kaspersky Endpoint Security 策略的名称。
策略属性窗口将打开。
- 选择“应用程序设置”选项卡。
- 选择 Detection and Response → Endpoint Detection and Response。
- 使用执行防护开关启用或禁用组件。
- 在执行或打开禁止的对象时的操作块,选择组件操作模式:
- “阻止并写入报告”。在此模式下,应用程序将阻止执行符合防护规则标准的对象或打开这样的文档。应用程序还将尝试执行对象或打开文档的事件发布到 Windows 事件日志和 Kaspersky Security Center 事件日志。
- “仅记录事件”。在此模式下,Kaspersky Endpoint Security 将发布关于尝试执行符合防护规则标准的对象或打开这样的文档的事件到 Windows 事件日志和 Kaspersky Security Center,但不会阻止尝试运行对象或打开文档。默认情况下已选择此模式。
- 创建执行防护规则列表:
- 单击“添加”按钮。
- 这将打开一个窗口,在此窗口中,输入执行防护规则名称(例如,Application A)。
- 在类型下拉列表,选择您要阻止的对象:可执行文件、脚本、Microsoft Office 文档。
如果您选择了错误的对象类型,Kaspersky Endpoint Security 不阻止文件或脚本。
- 要添加文件,您必须输入文件的哈希值(SHA256 或 Md5)、文件的完整路径或哈希值和路径两者。
如果文件位于网络驱动器上,请输入以“
\\
”开头的文件路径,而不是驱动器盘符。例如,\\server\shared_folder\file.exe
。如果文件路径包含网络驱动器盘符,Kaspersky Endpoint Security 不阻止文件或脚本。执行防护支持一组 Office 文件扩展名和一组脚本解释器。
- 单击“确定”。
- 保存更改。
因此,Kaspersky Endpoint Security 会阻止对象的执行:运行可执行文件和脚本,打开 Office 格式文件。您也可以在文本编辑器中打开脚本文件,即便执行脚本被阻止。当阻止对象的执行时,如果在应用程序设置中启用了通知,Kaspersky Endpoint Security 将显示标准通知(参见下图)。
执行防护通知