Можно задать параметры, в соответствии с которыми Kaspersky Endpoint Security для Windows запрещает запуск определенных объектов (исполняемых файлов и скриптов) или открытие документов Microsoft Office на устройствах пользователей.
Позже, при анализе обнаружений Endpoint Detection и Response, может потребоваться добавить обнаруженный объект в список правил запрета запуска, чтобы предотвратить его запуск в будущем на этом и других устройствах.
Для запрета запуска действуют следующие ограничения:
Правила запрета запуска не применяются к файлам на CD- и DVD-дисках и к ISO-образам файлов. Kaspersky Endpoint Security для Windows не предотвращает выполнение и открытие таких файлов.
Невозможно заблокировать запуск критически важных системных объектов – файлов, без которых операционная система и Kaspersky Endpoint Security для Windows не смогут функционировать.
Можно добавить не более 1000 правил запрета запуска.
Чтобы настроить запрет запуска, выполните следующие действия:
Выберите раздел Управление безопасностью → Endpoint Detection and Response.
Выберите Параметры реагирования → Запрет запуска.
Переведите переключатель в положение Запрет запуска включен.
В разделе Действие выберите действие, которое будет выполняться, когда пользователь попытается запустить или открыть один из указанных нежелательных объектов:
Заблокировать и добавить в журнал событий (по умолчанию)
Информация об обнаружении добавляется в журнал событий. Запуск или открытие объекта будет заблокирован.
Только добавить в журнал событий
Информация об обнаружении добавляется в журнал событий. Никаких других действий не выполняется.
В разделе Правила запрета запуска укажите список объектов, контролируемых компонентом Запрет запуска.
Выполните любое из следующих действий:
Чтобы добавить правило запрета запуска, выполните следующие действия:
Нажмите на кнопку Добавить.
В открывшемся окне Добавить правило запрета запуска задайте параметры правила, как описано далее в этом разделе.
Нажмите на кнопку Сохранить, чтобы закрыть окно Добавить правило запрета запуска.
Чтобы включить или выключить добавленное правило запрета запуска, переведите переключатель напротив этого правила в соответствующее положение:
Если переключатель зеленого цвета, правило включено. Выполняется обнаружение запуска или открытия объекта, указанного в параметрах правила.
Новые добавленные правила по умолчанию включены.
Если переключатель серого цвета, правило выключено. Обнаружение запуска или открытия объекта, указанного в параметрах правила, не выполняется.
Чтобы изменить добавленное правило запрета запуска:
Установите флажок рядом с требуемым правилом.
Нажмите на кнопку Изменить.
В открывшемся окне Изменить правило запрета запуска задайте новые параметры правила, как описано далее в этом разделе.
Нажмите на кнопку Сохранить, чтобы закрыть окно Изменить правило запрета запуска.
Чтобы удалить добавленные правила запрета запуска:
Установите флажки рядом с требуемыми правилами.
Нажмите на кнопку Удалить.
Нажмите Сохранить, чтобы сохранить изменения.
Список правил запрета запуска будет обновлен.
Чтобы указать параметры правила запрета запуска:
Начните добавлять или изменять правило, как описано ранее в этом разделе.
В поле Название правила введите название правила.
Выберите критерии, по которым будет указан требуемый объект.
Можно указать любой из следующих критериев:
Путь к объекту
Чтобы указать объект по его пути, выберите в списке вариант Используется, а затем введите значение.
Контрольная сумма объекта
Чтобы указать объект по его контрольной сумме MD5 или SHA256, выберите в списке требуемый вариант, а затем введите значение контрольной суммы.
Если указаны оба критерия, правило будет применяться к объектам, соответствующим обоим критериям одновременно.