Настройка запрета запуска

Можно задать параметры, в соответствии с которыми Kaspersky Endpoint Security для Windows запрещает запуск определенных объектов (исполняемых файлов и скриптов) или открытие документов Microsoft Office на устройствах пользователей.

Позже, при анализе обнаружений Endpoint Detection и Response, может потребоваться добавить обнаруженный объект в список правил запрета запуска, чтобы предотвратить его запуск в будущем на этом и других устройствах.

Для запрета запуска действуют следующие ограничения:

• Правила запрета запуска не применяются к файлам на CD- и DVD-дисках и к ISO-образам файлов. Kaspersky Endpoint Security для Windows не предотвращает выполнение и открытие таких файлов.
• Невозможно заблокировать запуск критически важных системных объектов – файлов, без которых операционная система и Kaspersky Endpoint Security для Windows не смогут функционировать.
• Можно добавить не более 1000 правил запрета запуска.

Чтобы настроить запрет запуска, выполните следующие действия:

1. Запустите Консоль Управления Kaspersky Endpoint Security Cloud.
2. Выберите раздел Управление безопасностью → Endpoint Detection and Response.
3. Выберите Параметры реагирования → Запрет запуска.
4. Переведите переключатель в положение Запрет запуска включен.
5. В разделе Действие выберите действие, которое будет выполняться, когда пользователь попытается запустить или открыть один из указанных нежелательных объектов:
   • Заблокировать и добавить в журнал событий (по умолчанию)

     Информация об обнаружении добавляется в журнал событий. Запуск или открытие объекта будет заблокирован.

   • Только добавить в журнал событий

     Информация об обнаружении добавляется в журнал событий. Никаких других действий не выполняется.

6. В разделе Правила запрета запуска укажите список объектов, контролируемых компонентом Запрет запуска.

   Выполните любое из следующих действий:

   • Чтобы добавить правило запрета запуска, выполните следующие действия:
     1. Нажмите на кнопку Добавить.
     2. В открывшемся окне Добавить правило запрета запуска задайте параметры правила, как описано далее в этом разделе.
     3. Нажмите на кнопку Сохранить, чтобы закрыть окно Добавить правило запрета запуска.
   • Чтобы включить или выключить добавленное правило запрета запуска, переведите переключатель напротив этого правила в соответствующее положение:
     • Если переключатель зеленого цвета, правило включено. Выполняется обнаружение запуска или открытия объекта, указанного в параметрах правила.

       Новые добавленные правила по умолчанию включены.

     • Если переключатель серого цвета, правило выключено. Обнаружение запуска или открытия объекта, указанного в параметрах правила, не выполняется.
   • Чтобы изменить добавленное правило запрета запуска:
     1. Установите флажок рядом с требуемым правилом.
     2. Нажмите на кнопку Изменить.
     3. В открывшемся окне Изменить правило запрета запуска задайте новые параметры правила, как описано далее в этом разделе.
     4. Нажмите на кнопку Сохранить, чтобы закрыть окно Изменить правило запрета запуска.
   • Чтобы удалить добавленные правила запрета запуска:
     1. Установите флажки рядом с требуемыми правилами.
     2. Нажмите на кнопку Удалить.
7. Нажмите Сохранить, чтобы сохранить изменения.

Список правил запрета запуска будет обновлен.

Чтобы указать параметры правила запрета запуска:

1. Начните добавлять или изменять правило, как описано ранее в этом разделе.
2. В поле Название правила введите название правила.
3. Выберите критерии, по которым будет указан требуемый объект.

   Можно указать любой из следующих критериев:

   • Путь к объекту

     Чтобы указать объект по его пути, выберите в списке вариант Используется, а затем введите значение.

   • Контрольная сумма объекта

     Чтобы указать объект по его контрольной сумме MD5 или SHA256, выберите в списке требуемый вариант, а затем введите значение контрольной суммы.

   Если указаны оба критерия, правило будет применяться к объектам, соответствующим обоим критериям одновременно.

4. Нажмите Сохранить, чтобы сохранить изменения.

Настроенные параметры будут сохранены.