Настройка запрета запуска
16 августа 2024
ID 231822
Можно задать параметры, в соответствии с которыми Kaspersky Endpoint Security для Windows запрещает запуск определенных объектов (исполняемых файлов и скриптов) или открытие документов Microsoft Office на устройствах пользователей.
Позже, при анализе обнаружений Endpoint Detection и Response, может потребоваться добавить обнаруженный объект в список правил запрета запуска, чтобы предотвратить его запуск в будущем на этом и других устройствах.
Для запрета запуска действуют следующие ограничения:
- Правила запрета запуска не применяются к файлам на CD- и DVD-дисках и к ISO-образам файлов. Kaspersky Endpoint Security для Windows не предотвращает выполнение и открытие таких файлов.
- Невозможно заблокировать запуск критически важных системных объектов – файлов, без которых операционная система и Kaspersky Endpoint Security для Windows не смогут функционировать.
- Можно добавить не более 1000 правил запрета запуска.
Чтобы настроить запрет запуска, выполните следующие действия:
- Запустите Консоль Управления Kaspersky Endpoint Security Cloud.
- Выберите раздел Управление безопасностью → Endpoint Detection and Response.
- Выберите Параметры реагирования → Запрет запуска.
- Переведите переключатель в положение Запрет запуска включен.
- В разделе Действие выберите действие, которое будет выполняться, когда пользователь попытается запустить или открыть один из указанных нежелательных объектов:
- Заблокировать и добавить в журнал событий (по умолчанию)
Информация об обнаружении добавляется в журнал событий. Запуск или открытие объекта будет заблокирован.
- Только добавить в журнал событий
Информация об обнаружении добавляется в журнал событий. Никаких других действий не выполняется.
- Заблокировать и добавить в журнал событий (по умолчанию)
- В разделе Правила запрета запуска укажите список объектов, контролируемых компонентом Запрет запуска.
Выполните любое из следующих действий:
- Чтобы добавить правило запрета запуска, выполните следующие действия:
- Нажмите на кнопку Добавить.
- В открывшемся окне Добавить правило запрета запуска задайте параметры правила, как описано далее в этом разделе.
- Нажмите на кнопку Сохранить, чтобы закрыть окно Добавить правило запрета запуска.
- Чтобы включить или выключить добавленное правило запрета запуска, установите переключатель напротив этого правила в соответствующее положение:
- Если переключатель зеленого цвета, правило включено. Выполняется обнаружение запуска или открытия объекта, указанного в параметрах правила.
Новые добавленные правила по умолчанию включены.
- Если переключатель серого цвета, правило выключено. Обнаружение запуска или открытия объекта, указанного в параметрах правила, не выполняется.
- Если переключатель зеленого цвета, правило включено. Выполняется обнаружение запуска или открытия объекта, указанного в параметрах правила.
- Чтобы изменить добавленное правило запрета запуска:
- Установите флажок рядом с требуемым правилом.
- Нажмите на кнопку Редактировать.
- В открывшемся окне Редактировать правило запрета запуска задайте новые параметры правила, как описано далее в этом разделе.
- Нажмите на кнопку Сохранить, чтобы закрыть окно Редактировать правило запрета запуска.
- Чтобы удалить добавленные правила запрета запуска:
- Установите флажки рядом с требуемыми правилами.
- Нажмите на кнопку Удалить.
- Чтобы добавить правило запрета запуска, выполните следующие действия:
- Нажмите Сохранить, чтобы сохранить изменения.
Список правил запрета запуска будет обновлен.
Чтобы указать параметры правила запрета запуска:
- Начните добавлять или изменять правило, как описано ранее в этом разделе.
- В поле Название правила введите название правила.
- Выберите критерии, по которым будет указан требуемый объект.
Можно указать любой из следующих критериев:
- Путь к объекту
Чтобы указать объект по его пути, выберите в списке вариант Используется, а затем введите значение.
- Контрольная сумма объекта
Чтобы указать объект по его контрольной сумме MD5 или SHA256, выберите в списке требуемый вариант, а затем введите значение контрольной суммы.
Если указаны оба критерия, правило будет применяться к объектам, соответствующим обоим критериям одновременно.
- Путь к объекту
- Нажмите Сохранить, чтобы сохранить изменения.
Настроенные параметры будут сохранены.