Центърът за сигурност на Kaspersky блокира стартирането на приложения

22.05.2015 Владимир Безмалий

Предотвратяване на стартиране на приложения от сменяеми носители с помощта на инсталираните корпоративно решениеЛаборатория на Касперски

Малките фирми използват решения за сигурност без един центъруправление, периодично възниква въпросът за проверка на стартирането на програми. Какво се има предвид? Стартирането на конкретни програми и приложения от един или друг потребител, необходимостта от блокиране на игри, неоторизирано инсталирани браузърии др. Една от тези задачи, свързани преди всичко със спазването на режима за сигурност, е забраната за стартиране на приложения от сменяеми носители. За това е предвидено цяла линиярешения. Ще разгледаме как да решим този проблем с помощта на инсталирано корпоративно решение от Kaspersky Lab.

Не позволявайте на всички потребители да стартират приложения от сменяеми носители

Отворете главния прозорец Програми на Касперски Защита на крайната точка Windows 10 (KES 10) и отидете на раздела Настройка (вижте фигура 1).

Изберете секцията „Управление на стартиране на приложението“ вляво. В раздела Настройки не забравяйте да поставите отметка в квадратчето Активиране на контрола при стартиране на приложения. V в противен случайфункцията ще бъде деактивирана по подразбиране. За да добавите правило за контрол, изпълнете следните стъпки:

1. Щракнете върху бутона Добавяне. Ще се отвори прозорецът "Правило за управление на стартиране на приложението".
2. Създаване на параметри на правилото:

а) в полето "Име" въведете името на правилото, например "Подвижен носител";

б) в таблицата „Включително условия“ създайте списък с условия за задействане за правилото за управление на стартиране на приложението (в нашия случай активирайте „Условие по файлов носител“ (вижте фигура 2);

в) посочете списък с потребители или групи потребители, на които е разрешено да изпълняват приложения, които отговарят на правилата, които задействат условия за задействане. В нашия случай изтрийте списъка "Всички", като щракнете върху бутона "Изтриване";

г) посочете списък с потребители, на които е забранено да изпълняват приложения, които отговарят на условията за разрешаване на правилото да бъде задействано. В нашия случай „Всички“. Ако искате, дайте разрешение за стартиране на вашия локален администратор.

Имайте предвид, че правилото не контролира стартирането на приложения от потребители или потребителски групи, които не са посочени в полетата за разрешаване или отказ на стартиране на приложения.

След завършване на горните стъпки, когато потребителят се опита да стартира програма от сменяем носител, ще се появи предупреждението, показано на фигура 3.

Ако искате да забраните използването на игри, това правило може да се зададе с помощта на така наречените KL-категории.

Най-обезпокоителното обаче е използването на различни браузърии особено тяхното актуализиране. Тъй като най-лесният начин, според мен, в корпоративна среда за актуализиране Internet Explorer, нека създадем правило, което ще позволи на Internet Explorer да стартира, но ще забрани използването на всички други браузъри. За да направите това, нека създадем правило, като изпълним следните стъпки:

1. Изберете категорията Забрана на всички браузъри (от списъка KL-категория) (вижте Фигура 4).
2. Изключението е Internet Explorer, който е показан на Фигура 5.

Така че лесно успяхме да забраним нежелани браузъри в организацията. И накрая, ще затворим достъпа до игрите.

Отказване на достъп до игри

Нека създадем, по аналогия с браузърите, забрана за използване игрови програмиВ организацията. Избираме програми от категорията "Развлечения", подкатегорията "Игри" (виж Фигура 7).

Както можете да видите, създаването на забрана за игра е подобно на предишната забрана на браузъра.

Разбира се, има много програми за контрол на пускането на определени продукти и тяхното безмислено използване може не само да не подобри, но дори да влоши защитата на вашата мрежа и още повече микроклимата в екипа.

Преди да създадете тези или онези правила за управление на стартирането на програми, бих препоръчал първо да създадете „матрица от роли“ за вашите потребители (тоест кой потребител изпълнява определена задача и съответно се нуждае от този или онзи софтуер). Въз основа на това трябва да се определи необходимия минимумсофтуер и едва след това затворете всичко останало. Защо минимум? Първо, софтуерът струва пари. Второ, толкова повече програми на трети страниинсталирани на работното място, толкова по-голяма е вероятността от грешка на потребителя. И накрая, колкото повече програми на трети страни са на работното място, толкова по-голям е рискът от проникване в системата чрез уязвимости в конкретна програма. Всичко това ще се отрази негативно както върху производителността на вашите хора, така и върху цялостната сигурност на организацията.

Този материал е изготвен за професионалисти, участващи в управлението антивирусна защитаи безопасност в предприятието.

Най-интересната функционалност на най-новите версии е описана и анализирана на тази страница. Kaspersky Endpoint Security 10 и централна конзола Управление на KasperskyЦентър за сигурност 10.

Информацията е избрана въз основа на опита от комуникацията между специалистите на NovaInTech, със системни администратори, ръководители на ИТ отдели и отдели за сигурност на организации, които току-що преминават към антивирусна защита на Kaspersky или преминават през процеса на преминаване от използване на 6-ти версия на антивируса на клиентски компютри и конзолата за управление на администриране Kit 8. В последния случай, когато антивирусната защита от Kaspersky Lab вече се използва, също така е често срещано ИТ специалистите да не знаят най-много интересни моментив работата на нови версии на продукти, които наистина помагат за улесняване на живота на същите тези ИТ специалисти и в същото време повишават нивото на сигурност и надеждност.

След като прочетете тази статия и изгледате видеоклиповете, можете накратко да се запознаете с най-интересната функционалност, предоставена от последната версия на Kaseprky Security Center и конзолата за управление на Kaspersky Endpoint Security и да видите как работи.

1. Инсталиране на административния сървър на Kaspersky Security Center 10.

Необходимите дистрибуции могат да бъдат намерени на официалния уебсайт на Kaspersky Lab:

ВНИМАНИЕ! За разпространение пълна версия Kaspersky SecurityЦентърът вече включва дистрибуторския комплект на Kaspersky Endpoint Security последна версия.

Първо, бих искал да ви кажа откъде да започнете да инсталирате антивирусна защита от Kaspersky Lab: не от самите антивируси на клиентските компютри, както може да изглежда на пръв поглед, а от инсталирането на административния сървър и централната конзола за управление на Kaspesky Security Center (KSC). С помощта на тази конзола можете да внедрите антивирусна защита на всички компютри на вашата институция много по-бързо. В това видео ще видите това след инсталация и минимална конфигурация на сървъра администрация на KSC, става възможно да се създаде инсталатор антивирусно решениеза клиентски компютри, които дори напълно неподготвен потребител може да инсталира (мисля, че всеки администратор има такива "потребители") - инсталационният интерфейс съдържа само 2 бутона - "Инсталиране" и "Затваряне".

Самият административен сървър може да бъде инсталиран на всеки компютър, който винаги е включен или възможно най-достъпен, този компютър трябва да е видим за други компютри в мрежата и е много важно за него да има достъп до Интернет (за изтегляне на бази данни и синхронизиране с облака KSN).

Гледайте видеото дори и преди да сте инсталирали централната конзола, но предишни версии- може би ще чуете и видите нещо ново за себе си ...

Харесвате ли видеото?
Ние също го правим доставка на продукти на Kaspersky... И още повече - ние предоставяме техническа поддръжка. Ние се грижим за нашите клиенти.

2. Настройване на централизирано управление на компютри с вече инсталиран Kaspersky.

Често се установява, че в малки организации, системни администраториинсталирайте и конфигурирайте антивирусна защита на всеки компютър ръчно. Така времето, което отделят за поддържане на антивирусна защита, се увеличава и те не разполагат с достатъчно време за някои по-важни задачи. Има случаи, когато администраторите просто поради липса на време просто не знаят какво има корпоративни версииантивирусна защита от Kaspersky Lab, като цяло има централизирано управление, и не знам, че за това чудо на цивилизацията не е нужно да плащате нищо.

За да "свържете" вече инсталираните клиентски антивируси със сървъра за администриране, ви трябва много малко:

• Инсталирайте административния сървър (Раздел 1 на тази статия).
• Инсталирайте агента на сървъра за администриране (NetAgent) на всички компютри - ще опиша опциите за инсталиране в прикачения видеоклип по-долу.
• След инсталирането на агента на сървъра за администриране, компютрите, в зависимост от вашите настройки, ще бъдат или в секцията „Неразпределени компютри“ или в секцията „Управлявани компютри“. Ако компютрите са в „Не разпределени компютри"- те ще трябва да бъдат прехвърлени към" Управлявани компютри "и да се настрои политика, която ще се прилага за тях.

След тези действия компютрите ви ще бъдат видими за вас от централната конзола, потребителите вече няма да могат да управляват антивирусите, инсталирани на техните машини и в резултат на това ще има по-малко инфекции и по-малко главоболие за администратора.

Във видеото по-долу ще се опитам да опиша сценариите за инсталиране на NetAgents клиентски компютри, в зависимост от това как е подредена вашата мрежа.

Както се оказа, не всички читатели искат и най-важното, знаят как да четат и разбират документацията на продукта; освен това повечето от тях инсталират Kaspersky Endpoint Security с настройки по подразбиране и след това използват този продукт изключително като антивирус. Вече съм писал много пъти, че този продукт всъщност е много по-широк и по-мощен.

Днес ще се опитаме да поговорим за блокиране на сайтове по категории, тоест например как да блокираме социални мрежи.

Задачата беше поставена да блокира определени видовесайтове.

Тази задача принадлежи към категорията Web Control, така че в тази статия ще говорим изключително за тази технология.

Задачата на Web Control е да филтрира достъпа на потребителите до интернет ресурси в съответствие с вътрешната политика на организацията. Това обикновено означава блокиране на сайтове. социални мрежи, музика и видео, некорпорирана уеб поща и др. v работно време... Ако потребителят иска да се свърже с такъв сървър, той ще получи известие за блокиране или предупреждение за нежелан достъп до него, в зависимост от настройките на политиката.

Принципът на действие на Web Control е подобен на принципа на действие на много защитни стени... Администраторът създава набор от правила, които могат да бъдат блокиращи или разрешаващи. Правилата определят потребители, график, тип съдържание и действие, което да предприемете. Правилата се прилагат в реда, зададен от администратора, и първото, което се прилага към заявената страница, се задейства. Всъщност последно мясторазходи универсално правилопозволи на всеки да прави всичко.

Сканира се само HTTP и HTTPS трафик.

Критерии за блокиране

Можете да откажете или разрешите достъп директно от URL адреса. В този случай можете да използвате маски.

В допълнение, KES може да анализира съдържанието на уеб страниците (при работа през HTTP). В резултат на това сайтът принадлежи към една от съществуващите категории:

• За възрастни
• софтуер, аудио Видео
• Алкохол, тютюн, наркотични и психотропни вещества
• Насилие
• Нецензурни думи
• Оръжия, експлозиви, пиротехника
• Хазартни игри, лотарии, лотарии
• Интернет комуникационни инструменти
• Електронна търговия
• Търсене на работа
• Препращане на HTTP заявки
• Компютърни игри
• Религии, религиозни сдружения
• Новинарски ресурси
• Банери

или дефиниран като:

• Видео
• Звукови данни
• Файлове офис програми
• Изпълними файлове
• Архиви
• Графични файлове

В случай на защитени връзки (HTTPS), Kaspersky Endpoint Security няма достъп до съдържанието на трафика. Следователно HTTPs трафикът се филтрира само по адреси. Но това не пречи на блокирането на социални мрежи, например, и забрана https://facebook.com- този адрес е включен в базите данни за подписи като отнасящ се към социалните мрежи.

Администраторът може да ограничи показването на всяка от изброените категории или типове данни, но те не могат да бъдат редактирани или добавяни нови.

Когато създавате правило, можете да комбинирате филтриране по категории и типове данни: например блокиране на офис програмни файлове и архиви, получени само чрез уеб поща.

За определяне на принадлежността към категории се използва базата данни с известни адреси (в папката с актуализации това са pc * .dat файлове) и евристичен анализсъдържание на страницата (само за незащитени връзки). В допълнение, репутацията на страницата може да бъде получена от KSN.

Правила за уеб контрол

Когато определяте правилата, имайте предвид:

1. Редът на правилата има значение
2. Правилата се изпълняват отгоре надолу
3. Правилото по подразбиране „Разрешаване на всички“ е най-отдолу на списъка
4. По подразбиране нищо не е блокирано.

Задача: Необходим за ключов компютърорганизации да конфигурират политиката за стартиране на приложения от белия списък, т.е. стартирането на всички програми е забранено с изключение на „белия списък“.
Трябва да кажа веднага, че не беше възможно да се реши проблемът без танци с тамбура. И по принцип не посмях докрай.
На този етапдокато виждам два минуса:
Първият е при зарежданеWindowsKaspersky не се стартира веднага и има интервал, през който можете да стартирате софтуер, който не е в "белия списък".
Второто е добавяне на софтуер към „ Бял списък“. Добавянето става чрез хеша на файла или разрешената директория е просто посочена. Само по име на файла не работи, не знам защо. V този моментОбщувам за това с TP на Kaspersky, все още няма решение.
И така, да започнем
Имаме на клиентска машина Касперски Крайна точка Сигурност 10.
1. Стартирайте Kaspersky Security Center на сървъра, отидете на създадената група за контрол на стартиране на приложения, отидете на раздела правила
2. Отваряме политиката
3. Изберете Контрол на работното място - Контрол при стартиране на приложения. От дясната страна поставете галка пред контрола за стартиране на приложения

4. След това затворете политиката
5. Отиваме в секцията "Управление на програмата" - Програмни категории

6. Над „Създаване на категория“ – Тип на категория (ръчно добавена категория)
7. Въведете името на категорията
8. Добавяне - От свойствата на файла
9. Получаване на данни - от файл10. Избиране на файлexe(Взех за примерExcel. exe)
11. Поставяме превключвателя на File Hash и OK.
P.S. Ако го оставите на метаданните и просто напишете името на файла, няма да работи. Проблемът все още не е решен.12. Нашата категория ще се появи в секцията Програмни категориитест
13. След това отидете на създадената група за управление на стартиране на приложения, отидете на раздела правила
14. Отваряме политиката
15. Избиране на Контрол на работното място - Контрол на стартиране на приложения
16. Разрешаване на All set OFF
17. Щракнете върху + Добавяне и добавете нашата категориятест, Потребители- Всички, отметка - Доверени програмиактуализации иДобре.
18. Препоръчително е да рестартирате клиентския компютър, за да се активира политиката. Не е нужно да претоварвате, тогава трябва да изчакате. Но за 100% сигурност бях претоварен.

Изводи: По принцип това е всичко. Реши този проблемможете и чрез групови политикиАД, което най-вероятно е по-разумно, тъй като филтриране поexeфайл в Kaspersky все още не работи. И ако изключите чрез хеширане на файла, тогава използвайте Kaspersky. Е, трябваше да актуализирам клиентската машина на Kaspersky до най-новата версия, така че поне по някакъв начин контролът да работи. Без актуализиране изобщо не работеше.

P.S. след актуализиране на клиентската машина, трябва да стартирате помощната програма