Prevenção de execução
A prevenção de execução permite o gerenciamento de execução de arquivos executáveis e scripts, assim como a abertura de arquivos no formato Office. Nesse sentido, é possível, por exemplo, prevenir a execução de aplicativos que possam ser considerados inseguros. Como resultado, a propagação da ameaça pode ser interrompida. A prevenção de execução é compatível com um conjunto de extensões de arquivos do office e um conjunto de intérpretes de script.
Regra de prevenção de execução
A prevenção de execução gerencia o acesso do usuário aos arquivos com regras de prevenção de execução. A Regra de prevenção de execução é um conjunto de critérios que o aplicativo leva em consideração ao reagir à execução de um objeto, por exemplo, ao bloquear a execução de um objeto. O aplicativo identifica os arquivos por seus caminhos ou somas de verificação calculados usando algoritmos de hash MD5 e SHA256.
É possível criar regras de prevenção de execução:
- Em detalhes de alertas (somente para EDR Optimum).
Destalhes de alertas é uma ferramenta para visualizar todas as informações coletadas sobre uma ameaça detectada. Os detalhes da alertas incluem, por exemplo, o histórico de arquivos aparentes no computador. Para obter detalhes sobre o gerenciamento dos detalhes de alertas, consulte a Ajuda do Kaspersky Endpoint Detection and Response Optimum e a Ajuda do Kaspersky Endpoint Detection and Response Expert.
- Uso da política de grupo ou as configurações locais do aplicativo.
É preciso inserir o caminho do arquivo ou hash (SHA256 ou MD5) ou o caminho do arquivo e o hash do arquivo.
Também é possível gerenciar a prevenção de execução localmente utilizando a linha de comando.
A Prevenção de execução tem as seguintes limitações:
- As regras de prevenção não contemplam os arquivos em CD e imagens ISO. O aplicativo não bloqueia a execução ou a abertura destes arquivos.
- É impossível bloquear a inicialização de objetos críticos do sistema (SCO). SCOs são arquivos que o sistema operacional e o aplicativo Kaspersky Endpoint Security for Windows necessitam para serem executados.
- Não é recomendado criar mais de 5000 regras de prevenção de execução, pois isso pode causar instabilidade no sistema.
Modos das regras de prevenção de execução
O componente prevenção de execução pode trabalhar em dois modos:
- Somente Estatísticas
Neste modo, o Kaspersky Endpoint Security publica um evento sobre tentativas de execução de objetos executáveis ou documentos abertos que correspondem aos critérios da regra de prevenção no log de eventos do Windows e no Kaspersky Security Center, mas não bloqueia a tentativa de executar ou abrir o objeto ou documento. O item está selecionado por padrão.
- Ativo
Neste modo, o aplicativo bloqueia a execução de objetos ou a abertura de documentos que atendam aos critérios da regra de prevenção. O aplicativo também publica um evento sobre as tentativas de execução de objetos ou documentos abertos no log de eventos do Windows e no log de eventos do Kaspersky Security Center.
Gerenciamento da prevenção de execução
O componente só pode ser configurado no Web Console.
Para prevenir a execução:
- Na janela principal do Web Console, selecione Dispositivos → Políticas e perfis.
- Clique no nome da política do Kaspersky Endpoint Security.
A janela de propriedades da política é exibida.
- Selecione a guia Configurações do aplicativo.
- Selecione Detection and Response → Endpoint Detection and Response.
- Ative o botão de alternância Prevenção de Execução ATIVADA.
- No bloco Ação na execução ou abertura de objeto proibido, selecione o modo de operação do componente:
- Bloquear e gravar no relatório. Neste modo, o aplicativo bloqueia a execução de objetos ou a abertura de documentos que atendam aos critérios da regra de prevenção. O aplicativo também publica um evento sobre as tentativas de execução de objetos ou documentos abertos no log de eventos do Windows e no log de eventos do Kaspersky Security Center.
- Criar log de eventos apenas. Neste modo, o Kaspersky Endpoint Security publica um evento sobre tentativas de execução de objetos executáveis ou documentos abertos que correspondem aos critérios da regra de prevenção no log de eventos do Windows e no Kaspersky Security Center, mas não bloqueia a tentativa de executar ou abrir o objeto ou documento. O item está selecionado por padrão.
- Crie uma lista de regras de prevenção de execução:
- Clique Adicionar.
- Uma janela é aberta; nesta janela, digite o nome da regra de prevenção de execução (por exemplo, aplicativo A).
- Na lista suspensa Tipo, selecione o objeto que deseja bloquear: Arquivo executável, Script, Documento do Microsoft Office.
Caso selecione um tipo de objeto incorreto, o Kaspersky Endpoint Security não bloqueia o arquivo ou o script.
- Para adicionar o arquivo, é preciso inserir o hash do arquivo (SHA256 ou MD5), o caminho completo para o arquivo ou o hash e o caminho.
Caso o arquivo esteja localizado em uma unidade de rede, digite o caminho do arquivo começando com
\\
, e não a letra da unidade. Por exemplo,\\servidor\pasta_compartilhada\arquivo.exe
. Caso o caminho do arquivo contenha uma letra de unidade de rede, o Kaspersky Endpoint Security não bloqueia o arquivo ou script.A prevenção de execução é compatível com um conjunto de extensões de arquivos do office e um conjunto de intérpretes de script.
- Clique em OK.
- Salvar alterações.
Consequentemente, o Kaspersky Endpoint Security bloqueia a execução de objetos: execução de arquivos executáveis e scripts, abertura de arquivos em formato office. Contudo, é possível, por exemplo, abrir um arquivo de script em um editor de texto, mesmo que a execução do script esteja impedida. Ao bloquear a execução de um objeto, o Kaspersky Endpoint Security exibe uma notificação padrão (veja a figura abaixo) caso as notificações estejam ativadas nas configurações do aplicativo.
Notificação sobre as regras de prevenção de execução