Запрет запуска объектов
Запрет запуска объектов позволяет контролировать запуск исполняемых файлов и скриптов, а также открытие файлов офисного формата. Таким образом, вы можете, например, запретить запуск приложений, использование которых считаете небезопасным. В результате распространение угрозы может быть остановлено. Запрет запуска объектов поддерживает определенный набор расширений файлов офисного формата и определенный набор интерпретаторов скриптов.
Правило запрета запуска
Запрет запуска объектов управляет доступом пользователей к файлам с помощью правил запрета запуска. Правило запрета запуска – это набор критериев, которые приложение учитывает при реагировании на запуск объекта, например, при блокировании запуска объекта. Приложение идентифицирует файлы по их пути или контрольной сумме с помощью алгоритмов хеширования MD5 и SHA256.
Вы можете создавать правила запрета запуска следующими способами:
- В деталях обнаружения (только для EDR Optimum).
Детали обнаружения – инструмент для просмотра всей собранной информации об обнаруженной угрозе. Детали обнаружения содержат, например, историю появления файлов на компьютере. Подробнее о работе с деталями обнаружения см. в справке Kaspersky Endpoint Detection and Response Optimum и в справке Kaspersky Endpoint Detection and Response Expert.
- С помощью групповой политики или локальных параметров приложения.
Вам нужно ввести путь к файлу или хеш файла (SHA256 или MD5), или путь к файлу и хеш файла.
Вы также можете управлять Запретом запуска объектов локально из командной строки.
Запрет запуска объектов имеет следующие ограничения:
- Правила запрета не распространяются на файлы, расположенные на компакт-дисках или в ISO-образах. Приложение не будет блокировать исполнение или открытие этих файлов.
- Невозможно запретить запуск критически важных системных объектов (англ. System Critical Object – SCO). К SCO относятся файлы, необходимые для работы операционной системы и приложения Kaspersky Endpoint Security для Windows.
- Не рекомендуется создавать более 5000 правил запрета запуска, поскольку это может привести к нестабильности системы.
Режимы применения правил запрета запуска
Компонент Запрет запуска объектов может работать в двух режимах:
- Только статистика.
В этом режиме Kaspersky Endpoint Security публикует в Журнал событий Windows и Kaspersky Security Center событие о попытках запуска исполняемых объектов или открытия документов, соответствующих критериям правил запрета, но не блокирует их запуск или открытие. Этот режим выбран по умолчанию.
- Активный.
В этом режиме приложение блокирует запуск объектов или открытие документов, соответствующих критериям правил запрета. Также приложение публикует в журнал событий Windows и Kaspersky Security Center событие о попытках запуска объектов или открытия документов.
Управление Запретом запуска объектов
Вы можете настроить параметры компонента только в Web Console.
Чтобы запретить запуск объектов, выполните следующие действия:
- В главном окне Web Console выберите Устройства → Политики и профили политик.
- Нажмите на название политики Kaspersky Endpoint Security.
Откроется окно свойств политики.
- Выберите закладку Параметры программы.
- Перейдите в раздел Detection and Response → Endpoint Detection and Response.
- Используйте переключатель Запрет запуска, чтобы включить или выключить компонент.
- В блоке Действие при запуске или открытии объекта выберите режим работы компонента:
- Блокировать и записывать в отчет. В этом режиме приложение блокирует запуск объектов или открытие документов, соответствующих критериям правил запрета. Также приложение публикует в журнал событий Windows и Kaspersky Security Center событие о попытках запуска объектов или открытия документов.
- Только записывать в отчет. В этом режиме Kaspersky Endpoint Security публикует в Журнал событий Windows и Kaspersky Security Center событие о попытках запуска исполняемых объектов или открытия документов, соответствующих критериям правил запрета, но не блокирует их запуск или открытие. Этот режим выбран по умолчанию.
- Сформируйте список правил запрета запуска:
- Нажмите на кнопку Добавить.
- В открывшемся окне введите имя правила запрета запуска (например, Приложение A).
- В раскрывающемся списке Тип выберите объект, который вы хотите заблокировать: Исполняемый файл, Скрипт, Файл Microsoft Office.
Если вы выберите неверный тип объекта, Kaspersky Endpoint Security не заблокирует файл или скрипт.
- Для добавления файла вам нужно ввести хеш файла (SHA256 или MD5) или полный путь к файлу, или хеш файла и путь к файлу.
Если файл расположен на сетевом диске, введите путь к файлу начиная с символов
\\
, а не с буквы диска. Например,\\server\shared_folder\file.exe
. Если путь к файлу содержит букву сетевого диска, Kaspersky Endpoint Security не заблокирует файл или скрипт.Запрет запуска объектов поддерживает определенный набор расширений файлов офисного формата и определенный набор интерпретаторов скриптов.
- Нажмите на кнопку ОК.
- Сохраните внесенные изменения.
В результате Kaspersky Endpoint Security будет блокировать запуск объектов: запуск исполняемых файлов, скриптов и открытие файлов офисного формата. При этом вы можете, например, открыть файл скрипта в текстовом редакторе, даже если запуск скрипта запрещен. При блокировании запуска объекта Kaspersky Endpoint Security покажет пользователю стандартное уведомление приложения (см. рис. ниже), если уведомления включены в настройках приложения.
Уведомление Запрета запуска объектов