Запрет запуска объектов

13 февраля 2024

ID 214778

Запрет запуска объектов позволяет контролировать запуск исполняемых файлов и скриптов, а также открытие файлов офисного формата. Таким образом, вы можете, например, запретить запуск приложений, использование которых считаете небезопасным. В результате распространение угрозы может быть остановлено. Запрет запуска объектов поддерживает определенный набор расширений файлов офисного формата и определенный набор интерпретаторов скриптов.

Правило запрета запуска

Запрет запуска объектов управляет доступом пользователей к файлам с помощью правил запрета запуска. Правило запрета запуска – это набор критериев, которые приложение учитывает при реагировании на запуск объекта, например, при блокировании запуска объекта. Приложение идентифицирует файлы по их пути или контрольной сумме с помощью алгоритмов хеширования MD5 и SHA256.

Вы можете создавать правила запрета запуска следующими способами:

  • В деталях обнаружения (только для EDR Optimum).

    Детали обнаружения – инструмент для просмотра всей собранной информации об обнаруженной угрозе. Детали обнаружения содержат, например, историю появления файлов на компьютере. Подробнее о работе с деталями обнаружения см. в справке Kaspersky Endpoint Detection and Response Optimum и в справке Kaspersky Endpoint Detection and Response Expert.

  • С помощью групповой политики или локальных параметров приложения.

    Вам нужно ввести путь к файлу или хеш файла (SHA256 или MD5), или путь к файлу и хеш файла.

Вы также можете управлять Запретом запуска объектов локально из командной строки.

Запрет запуска объектов имеет следующие ограничения:

  1. Правила запрета не распространяются на файлы, расположенные на компакт-дисках или в ISO-образах. Приложение не будет блокировать исполнение или открытие этих файлов.
  2. Невозможно запретить запуск критически важных системных объектов (англ. System Critical Object – SCO). К SCO относятся файлы, необходимые для работы операционной системы и приложения Kaspersky Endpoint Security для Windows.
  3. Не рекомендуется создавать более 5000 правил запрета запуска, поскольку это может привести к нестабильности системы.

Режимы применения правил запрета запуска

Компонент Запрет запуска объектов может работать в двух режимах:

  • Только статистика.

    В этом режиме Kaspersky Endpoint Security публикует в Журнал событий Windows и Kaspersky Security Center событие о попытках запуска исполняемых объектов или открытия документов, соответствующих критериям правил запрета, но не блокирует их запуск или открытие. Этот режим выбран по умолчанию.

  • Активный.

    В этом режиме приложение блокирует запуск объектов или открытие документов, соответствующих критериям правил запрета. Также приложение публикует в журнал событий Windows и Kaspersky Security Center событие о попытках запуска объектов или открытия документов.

Управление Запретом запуска объектов

Вы можете настроить параметры компонента только в Web Console.

Чтобы запретить запуск объектов, выполните следующие действия:

  1. В главном окне Web Console выберите УстройстваПолитики и профили политик.
  2. Нажмите на название политики Kaspersky Endpoint Security.

    Откроется окно свойств политики.

  3. Выберите закладку Параметры программы.
  4. Перейдите в раздел Detection and ResponseEndpoint Detection and Response.
  5. Включите переключатель Запрет запуска ВКЛЮЧЕН.
  6. В блоке Действие при запуске или открытии объекта выберите режим работы компонента:
    • Блокировать и записывать в отчет. В этом режиме приложение блокирует запуск объектов или открытие документов, соответствующих критериям правил запрета. Также приложение публикует в журнал событий Windows и Kaspersky Security Center событие о попытках запуска объектов или открытия документов.
    • Только записывать в отчет. В этом режиме Kaspersky Endpoint Security публикует в Журнал событий Windows и Kaspersky Security Center событие о попытках запуска исполняемых объектов или открытия документов, соответствующих критериям правил запрета, но не блокирует их запуск или открытие. Этот режим выбран по умолчанию.
  7. Сформируйте список правил запрета запуска:
    1. Нажмите на кнопку Добавить.
    2. В открывшемся окне введите имя правила запрета запуска (например, Приложение A).
    3. В раскрывающемся списке Тип выберите объект, который вы хотите заблокировать: Исполняемый файл, Скрипт, Файл Microsoft Office.

      Если вы выберите неверный тип объекта, Kaspersky Endpoint Security не заблокирует файл или скрипт.

    4. Для добавления файла вам нужно ввести хеш файла (SHA256 или MD5) или полный путь к файлу, или хеш файла и путь к файлу.

      Если файл расположен на сетевом диске, введите путь к файлу начиная с символов \\, а не с буквы диска. Например, \\server\shared_folder\file.exe. Если путь к файлу содержит букву сетевого диска, Kaspersky Endpoint Security не заблокирует файл или скрипт.

      Запрет запуска объектов поддерживает определенный набор расширений файлов офисного формата и определенный набор интерпретаторов скриптов.

    5. Нажмите на кнопку ОК.
  8. Сохраните внесенные изменения.

В результате Kaspersky Endpoint Security будет блокировать запуск объектов: запуск исполняемых файлов, скриптов и открытие файлов офисного формата. При этом вы можете, например, открыть файл скрипта в текстовом редакторе, даже если запуск скрипта запрещен. При блокировании запуска объекта Kaspersky Endpoint Security покажет пользователю стандартное уведомление приложения (см. рис. ниже), если уведомления включены в настройках приложения.

Уведомление о запрете выполнения скрипта. Пользователь может посмотреть подробную информацию о правиле.

Уведомление Запрета запуска объектов

Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!