設定執行防止

您可以定義 Kaspersky Endpoint Security for Windows 的設定,以禁止在用戶裝置上執行某些物件(執行檔和指令碼)或開啟 Microsoft Office 文件。

稍後,在分析端點檢測和響應警示時,您可能需要將已檢測的物件新增至執行防止規則列表,以防止有關物件將來在同一裝置和其他裝置上執行。

執行防止功能有以下限制:

設定執行防止的步驟如下:

  1. 開啟 Kaspersky Next 管理控制台
  2. 選擇「安全管理」→「端點檢測和響應」部分。
  3. 點擊「響應設定」→「執行防止」。
  4. 將切換按鈕設定為「啟用執行防止」。
  5. 在「操作」部分,選擇在用戶嘗試執行或開啟指定的不需要物件時採取的操作:
    • 封鎖並新增至事件日誌(預設)

      相應的檢測資料將新增到事件記錄,有關物件將被禁止執行或開啟。

    • 僅新增至事件日誌

      相應的檢測資料將新增到事件記錄,並且不採取其他行動。

  6. 在「執行防止規則」部分,指定由執行防止功能控制的物件列表。

    請執行下列其中一項操作:

    • 新增執行防止規則:
      1. 點擊「新增」按鈕。
      2. 新增執行防止規則」視窗開啟後,如本節後方所述定義規則設定。
      3. 點擊「儲存」以關閉「新增執行防止規則」視窗。
    • 如要啟用或停用新增的執行防止規則,請將該規則旁邊的切換按鈕設定為所需狀態:
      • 如果切換按鈕為綠色,即表示該規則已啟用。並將偵測規則設定中指定的物件有否執行或開啟。

        在預設情況下,所有新增的規則會自動啟用。

      • 如果切換按鈕為灰色,即表示該規則已停用。規則設定中指定的物件在執行或開啟將被忽略。
    • 編輯現有執行防止規則的步驟如下:
      1. 點選所需規則旁的核取方塊。
      2. 點擊「編輯」按鈕。
      3. 編輯執行防止規則」視窗開啟後,請如本節後方所述定義規則新設定。
      4. 點擊「儲存」以關閉「編輯執行防止規則」視窗。
    • 刪除現有執行防止規則的步驟如下:
      1. 點選所需規則旁的核取方塊。
      2. 點擊「刪除」按鈕。
  7. 點擊「儲存」以儲存變更。

執行防止規則列表將更新。

定義執行防止規則設定的步驟如下:

  1. 如本節前方所述開始新增或編輯規則。
  2. 在「規則名稱」欄位輸入規則名稱。
  3. 根據所需物件選擇指定條件。

    您可以指定以下任何一個條件:

    • 物件路徑

      如果您想按路徑指定物件,請在列表中選擇「使用」,然後輸入相關資料。

    • 物件核對總和

      如果您想透過 MD5 或 SHA256 檢查碼指定物件,請在列表中選擇所需選項,然後輸入檢查碼。

    如果您同時指定上述的兩個條件,有關則規則將適用於同時符合這兩個條件的物件。

  4. 點擊「儲存」以儲存變更。

儲存已定義的設定。

頁首