Prevenzione dell'esecuzione
Prevenzione dell'esecuzione consente di gestire l'esecuzione dei file eseguibili e degli script, nonché di aprire i file in formato Office. In questo modo, è possibile, ad esempio, impedire l'esecuzione di applicazioni non considerate sicure. Di conseguenza, la diffusione della minaccia può essere arrestata. Prevenzione dell'esecuzione supporta una serie di estensioni di file Office e una serie di interpreti di script.
Regola di prevenzione dell'esecuzione
Prevenzione dell'esecuzione gestisce l'accesso degli utenti ai file con regole di prevenzione dell'esecuzione. Regola di prevenzione dell'esecuzione è un insieme di criteri che l'applicazione prende in considerazione quando reagisce all'esecuzione di un oggetto, ad esempio quando blocca l'esecuzione di un oggetto. L'applicazione identifica i file in base ai loro percorsi o checksum calcolati utilizzando gli algoritmi di hash MD5 e SHA256.
È possibile creare regole di prevenzione dell'esecuzione:
- Nei dettagli degli avvisi (solo per EDR Optimum).
Dettagli avviso è uno strumento che consente di visualizzare la totalità delle informazioni raccolte su una minaccia rilevata. Dettagli avviso include, ad esempio, la cronologia dei file visualizzati nel computer. Per informazioni dettagliate sulla gestione dei dettagli degli avvisi, consultare la Guida di Kaspersky Endpoint Detection and Response Optimum e la Guida di Kaspersky Endpoint Detection and Response Expert.
- Tramite un criterio di gruppo o impostazioni delle applicazioni locali.
È necessario immettere il percorso del file o l'hash (SHA256 o MD5) oppure sia il percorso del file che l'hash del file.
È inoltre possibile gestire Prevenzione dell'esecuzione in locale tramite la riga di comando.
La prevenzione dell'esecuzione presenta le seguenti limitazioni:
- Le regole di prevenzione non vengono applicate ai file su CD o nelle immagini ISO. L'applicazione non blocca l'esecuzione o l'apertura di tali file.
- Non è possibile bloccare l'avvio degli oggetti critici del sistema (SCO, System-Critical Object). Gli SCO sono file necessari per l'esecuzione del sistema operativo e dell'applicazione Kaspersky Endpoint Security for Windows.
- Si sconsiglia di creare più di 5000 regole di prevenzione delle esecuzioni, per evitare di causare instabilità di sistema.
Modalità delle regole di prevenzione dell'esecuzione
Il componente Prevenzione dell'esecuzione può funzionare in due modalità:
- Statistics only
In questa modalità, Kaspersky Endpoint Security pubblica un evento sui tentativi di esecuzione di oggetti eseguibili o apertura di documenti che corrispondono ai criteri della regola di prevenzione nel registro eventi di Windows e in Kaspersky Security Center, ma non blocca il tentativo di esecuzione o apertura dell'oggetto o del documento. Questa modalità è selezionata per impostazione predefinita.
- Active
In questa modalità, l'applicazione blocca l'esecuzione di oggetti o l'apertura di documenti che soddisfano i criteri della regola di prevenzione. L'applicazione pubblica anche un evento sui tentativi di esecuzione di oggetti o apertura di documenti nel registro eventi di Windows e nel registro eventi di Kaspersky Security Center.
Gestione della prevenzione dell'esecuzione
È possibile configurare le impostazioni del componente solo in Web Console.
Per impedire l'esecuzione:
- Nella finestra principale di Web Console, selezionare Dispositivi → Criteri e profili.
- Fare clic sul nome del criterio di Kaspersky Endpoint Security.
Verrà visualizzata la finestra delle proprietà del criterio.
- Selezionare la scheda Impostazioni applicazione.
- Passare a Detection and Response → Endpoint Detection and Response.
- Attivare l'interruttore Prevenzione dell'esecuzione ABILITATA.
- Nel blocco Azione in caso di esecuzione o apertura di un oggetto vietato, selezionare la modalità operativa del componente:
- Blocca e scrivi nel rapporto. In questa modalità, l'applicazione blocca l'esecuzione di oggetti o l'apertura di documenti che soddisfano i criteri della regola di prevenzione. L'applicazione pubblica anche un evento sui tentativi di esecuzione di oggetti o apertura di documenti nel registro eventi di Windows e nel registro eventi di Kaspersky Security Center.
- Registra solo gli eventi. In questa modalità, Kaspersky Endpoint Security pubblica un evento sui tentativi di esecuzione di oggetti eseguibili o apertura di documenti che corrispondono ai criteri della regola di prevenzione nel registro eventi di Windows e in Kaspersky Security Center, ma non blocca il tentativo di esecuzione o apertura dell'oggetto o del documento. Questa modalità è selezionata per impostazione predefinita.
- Creare un elenco di regole di prevenzione dell'esecuzione:
- Fare clic su Aggiungi.
- Si apre una finestra; in questa finestra, immettere il nome della regola di prevenzione dell'esecuzione (ad esempio, Applicazione A).
- Nell'elenco a discesa Tipo, selezionare l'oggetto che si desidera bloccare: File eseguibile, Script, Documento di Microsoft Office.
Se si seleziona un tipo di oggetto errato, Kaspersky Endpoint Security non blocca il file o lo script.
- Per aggiungere il file, è necessario inserire l'hash del file (SHA256 o MD5), il percorso completo del file oppure sia l'hash che il percorso.
Se il file si trova su un'unità di rete, immettere il percorso del file che inizia con
\\
, non la lettera dell'unità. Ad esempio,\\server\cartella_condivisa\file.exe
. Se il percorso file contiene una lettera di unità di rete, Kaspersky Endpoint Security non blocca il file o lo script.Prevenzione dell'esecuzione supporta una serie di estensioni di file Office e una serie di interpreti di script.
- Fare clic su OK.
- Salvare le modifiche.
Di conseguenza, Kaspersky Endpoint Security blocca l'esecuzione degli oggetti: esecuzione di file eseguibili e script, apertura di file in formato Office. È tuttavia possibile, ad esempio, aprire un file di script in un editor di testo anche se l'esecuzione dello script è stata impedita. Quando si blocca l'esecuzione di un oggetto, Kaspersky Endpoint Security mostra una notifica standard (vedere la figura riportata di seguito) se le notifiche sono abilitate nelle impostazioni dell'applicazione.
Notifica di Prevenzione dell'esecuzione