Prevenção de execução
A prevenção de execução permite o gerenciamento de execução de arquivos executáveis e scripts, assim como a abertura de arquivos no formato Office. Nesse sentido, é possível, por exemplo, prevenir a execução de aplicativos que possam ser considerados inseguros. A prevenção de execução é compatível com um conjunto de extensões de arquivos do office e um conjunto de intérpretes de script.
Regra de prevenção de execução
A prevenção de execução gerencia o acesso do usuário aos arquivos com regras de prevenção de execução. Uma regra de prevenção de execução é um conjunto de critérios que são considerados durante o bloqueio. O aplicativo identifica os arquivos por seus caminhos ou somas de verificação calculados usando algoritmos de hash MD5 e SHA256.
É possível criar regras de prevenção de execução:
- Em detalhes de alertas (somente para EDR Optimum).
Destalhes de alertas é uma ferramenta para visualizar todas as informações coletadas sobre uma ameaça detectada. Os detalhes da alertas incluem, por exemplo, o histórico de arquivos aparentes no computador. Para obter detalhes sobre o gerenciamento dos detalhes de alertas, consulte a Ajuda do Kaspersky Endpoint Detection and Response Optimum e a Ajuda do Kaspersky Endpoint Detection and Response Expert.
- Uso da política de grupo ou as configurações locais do aplicativo.
É preciso inserir o caminho do arquivo ou hash (SHA256 ou MD5) ou o caminho do arquivo e o hash do arquivo.
Também é possível gerenciar a prevenção de execução localmente utilizando a linha de comando.
Não é recomendado criar mais de 5000 regras de prevenção de execução, pois isso pode causar instabilidade no sistema.
As regras de prevenção não contemplam os arquivos em CD e imagens ISO. O aplicativo não bloqueia a execução ou a abertura destes arquivos.
Modos das regras de prevenção de execução
O componente prevenção de execução pode trabalhar em dois modos:
- Apenas estatístico.
Neste modo, o Kaspersky Endpoint Security publica um evento sobre tentativas de execução de objetos executáveis ou documentos abertos que correspondem aos critérios da regra de prevenção no log de eventos do Windows e no Kaspersky Security Center, mas não bloqueia a tentativa de executar ou abrir o objeto ou documento. O item está selecionado por padrão.
- Ativo.
Neste modo, o aplicativo bloqueia a execução de objetos ou a abertura de documentos que atendam aos critérios da regra de prevenção. O aplicativo também publica um evento sobre as tentativas de execução de objetos ou documentos abertos no log de eventos do Windows e no log de eventos do Kaspersky Security Center.
Gerenciamento da prevenção de execução
É possível configurar a tarefa para o EDR Optimum no Web Console e Cloud Console. As configurações da tarefa para EDR Expert estão disponíveis somente no Cloud Console.
Para prevenir a execução:
- Na janela principal do Web Console, selecione Dispositivos → Políticas e Perfis.
- Clique no nome da política do Kaspersky Endpoint Security.
A janela de propriedades da política é exibida.
- Selecione a guia Configurações do aplicativo.
- Acesse Detection and Response → Endpoint Detection and Response.
- Use o botão de alternância Prevenção de execução para ativar ou desativar o componente.
- No bloco Ação na execução ou abertura de objeto proibido, selecione o modo de operação do componente:
- Bloquear e gravar no relatório. Neste modo, o aplicativo bloqueia a execução de objetos ou a abertura de documentos que atendam aos critérios da regra de prevenção. O aplicativo também publica um evento sobre as tentativas de execução de objetos ou documentos abertos no log de eventos do Windows e no log de eventos do Kaspersky Security Center.
- Criar log de eventos apenas. Neste modo, o Kaspersky Endpoint Security publica um evento sobre tentativas de execução de objetos executáveis ou documentos abertos que correspondem aos critérios da regra de prevenção no log de eventos do Windows e no Kaspersky Security Center, mas não bloqueia a tentativa de executar ou abrir o objeto ou documento. O item está selecionado por padrão.
- Crie uma lista de regras de prevenção de execução:
- Clique no botão Adicionar.
- Uma janela é aberta; nesta janela, digite o nome da regra de prevenção de execução (por exemplo, aplicativo A).
- Na lista suspensa Tipo, selecione o objeto que deseja bloquear: arquivo executável, script, documento do Microsoft Office.
Caso selecione um tipo de objeto incorreto, o Kaspersky Endpoint Security não bloqueia o arquivo ou o script.
- Para adicionar o arquivo, é preciso inserir o hash do arquivo (SHA256 ou MD5), o caminho completo para o arquivo ou o hash e o caminho.
Caso o arquivo esteja localizado em uma unidade de rede, digite o caminho do arquivo começando com
\\
, e não a letra da unidade. Por exemplo,\\servidor\pasta_compartilhada\arquivo.exe
. Caso o caminho do arquivo contenha uma letra de unidade de rede, o Kaspersky Endpoint Security não bloqueia o arquivo ou script.A prevenção de execução é compatível com um conjunto de extensões de arquivos do office e um conjunto de intérpretes de script.
- Clique em OK.
- Salvar alterações.
Consequentemente, o Kaspersky Endpoint Security bloqueia a execução de objetos: execução de arquivos executáveis e scripts, abertura de arquivos em formato office. Contudo, é possível, por exemplo, abrir um arquivo de script em um editor de texto, mesmo que a execução do script esteja impedida. Ao bloquear a execução de um objeto, o Kaspersky Endpoint Security exibe uma notificação padrão (veja a figura abaixo) caso as notificações estejam ativadas nas configurações do aplicativo.
Notificação sobre as regras de prevenção de execução