22.05.2015 Владимир Безмалый
Запрет запуска приложений со сменных носителей с помощью установленного корпоративного решения «Лаборатории Касперского»
На небольших предприятиях, использующих защитные решения без единого центра управления, периодически встает вопрос проверки запуска программ. Что имеется в виду? Запуск конкретных программ и приложений тем или иным пользователем, необходимость блокирования игр, несанкционированно установленных браузеров и т. д. Одной из подобных задач, в первую очередь касающихся соблюдения режима безопасности, является запрет запуска приложений со сменных носителей. Для этого предусмотрен целый ряд решений. Мы рассмотрим решение данной задачи с помощью установленного корпоративного решения «Лаборатории Касперского».
Запрет запуска приложений со сменных носителей для всех пользователей
Откройте основное окно программы Kaspersky Endpoint Security 10 для Windows (KES 10) и перейдите на вкладку «Настройка» (см. экран 1).
| Экран 1. Окно настройки параметров KES 10 |
Выберите слева раздел «Контроль запуска программ». На вкладке «Настройка» не забудьте установить флажок «Включить контроль запуска программ». В противном случае по умолчанию функция будет отключена. Чтобы добавить правило контроля, выполните следующие действия:
- Нажмите кнопку «Добавить». Откроется окно «Правило контроля запуска программ».
- Создайте параметры правила:
а) в поле «Название» введите название правила, например «Сменные носители»;
б) в таблице «Включающие условия» сформируйте список включающих условий срабатывания правила контроля запуска программ (в нашем случае включите «Условие по носителю файла» (см. экран 2);
в) задайте список пользователей или групп пользователей, которым разрешено запускать программы, удовлетворяющие включающим условиям срабатывания правилам. В нашем случае удалите список «Все», нажав на кнопку «Удалить»;
г) задайте список пользователей, которым запрещено запускать программы, удовлетворяющие включающим условиям срабатывания правила. В нашем случае «Все». Если хотите, предоставьте разрешение на запуск локальному администратору.
Учтите, что правило не контролирует запуск программ пользователями или группами пользователей, которые не указаны в полях для разрешения и запрета запуска программ.
После выполнения перечисленных выше действий при попытке запуска пользователем программы со сменного носителя появится предупреждение, показанное на экране 3.ё
Если вы хотите запретить использование игр, это правило можно задать с помощью так называемых KL-категорий.
Однако больше всего хлопот вызывает применение различных браузеров и особенно их обновление. Так как проще всего, на мой взгляд, в корпоративной среде обновить Internet Explorer, создадим правило, которое будет разрешать запуск Internet Explorer, но запрещать применение всех остальных браузеров. Для этого сформируем правило, выполнив следующие шаги:
- Выберем категорию Запрет всех браузеров (из списка KL-категория) (см. экран 4).
- Исключение составляет Internet Explorer (см. экран 5).
Итак, нам без труда удалось запретить нежелательные браузеры в организации. Ну и напоследок закроем доступ к играм.
Запрет доступа к играм
Создадим по аналогии с браузерами запрет на использование игровых программ в организации. Выбираем программы из категории «Развлечения», подкатегория «Игры» (см. экран 7).
Как видите, создание запрета на игры аналогично предыдущему запрету на браузеры.
Безусловно, существует немало программ для контроля запуска тех или иных продуктов, и бездумное их применение может не только не улучшить, а даже ухудшить защиту вашей сети и уж тем более микроклимат в коллективе.
Перед тем как создавать те или иные правила контроля запуска программ, я бы рекомендовал вначале составить «матрицу ролей» ваших пользователей (то есть какой пользователь выполняет ту или иную задачу и, соответственно, нуждается в том или ином программном обеспечении). Исходя из этого следует определить необходимый минимум программного обеспечения и уже затем закрывать все остальное. Почему минимум? Во-первых, программное обеспечение стоит денег. Во-вторых, чем больше сторонних программ установлено на рабочем месте, тем выше вероятность ошибок пользователя. Ну и, наконец, чем больше на рабочем месте сторонних программ, тем выше риск проникновения в систему через уязвимые места в той или иной программе. А все это будет отрицательно сказываться как на производительности ваших сотрудников, так и на общем уровне безопасности организации.
Задача: Необходимо на ключевом компьютере организации настроить политику запуска программ по белому списку, т.е. запуск всех программ запрещен кроме “белого списка”.
Сразу скажу, что без танцев с бубном решить проблему не удавалось. Да и в принципе до конца так и не решилась.
На данном этапе пока вижу два минуса:
Первый- при загрузке
Windows
Касперский грузиться не сразу и есть интервал в течении которого можно запустить ПО, которое не в “белом списке”.
Второй - добавление ПО в “белый список”. Добавление происходит по хешу файла или просто указывается разрешенный каталог. Просто по имени файла не работает, не знаю почему. В данный момент общаюсь по этому поводу с ТП Касперского, решение пока никакого нет.
Итак, начнем
Имеем на клиентской машине
Kaspersky
Endpoint
Security
10.
1.
Запускаем Kaspersky Security Center на Сервере, заходим в созданную группу “Контроль запуска программ”, переходим на закладку политики
2.
Открываем политику
3.
Выбираем Контроль рабочего места - Контроль запуска программ. В правой части ставим галку напротив Контроль запуска программ
4.
Далее закрываем политику
5.
Идем в раздел “Управление программами” - Категории программ
6.
Сверху “Создать категорию” - Тип категории (пополняемая вручную категория)
7.
Вводим название категории
8.
Добавить - Из свойства файла
9.
Получить данные - Из файла
10.
Выбираем файл
exe
(я взял для примера
Excel
.
exe
)
11.
Ставим переключатель на Хеш файла и ОК.
П.С. Если оставить на метаданных и прописать просто имя файла, то не работает. Проблема пока не решена.
12.
В разделе Категории программ появится наша категория
test
13.
Далее заходим в созданную группу “Контроль запуска программ”, переходим на закладку политики
14.
Открываем политику
15.
Выбираем Контроль рабочего места - Контроль запуска программ
16.
Разрешить Все ставим ВЫКЛ
17.
Нажимаем +Добавить и добавляем нашу категорию
test
, Пользователи- Все, галочка - Доверенные программы обновления и
OK
.
18.
Желательно перегрузить клиентский ПК, чтоб политика активировалась. Можно и не перегружать, тогда необходимо подождать. Но для 100% уверенности я перегружал.
Выводы: В принципе на этом все. Решить данную проблему можно и через групповые политики AD , что скорее всего более разумно т.к. фильтр по exe файлу в Касперском не работает пока. А если исключать по хешу файла, то тогда использовать Касперский. Ну и пришлось обновить на клиентской машине Касперского до последней версии чтоб хоть как то контроль заработал. Без обновления вообще не работало никак.
П.С. после обновления на клиентской машине необходимо запустить утилиту
Большое количество статей описывает — как удаленно установить приложение на несколько компьютеров в доменной сети (AD). Но многие сталкиваются с проблемой поиска или создания подходящих пакетов установки Windows Installer (MSI).
Действительно. Для того что бы установить всем пользователям группы, например, FireFox — необходимо или собрать MSI-пакет самостоятельно (), или скачать на соответствующем сайте подходящий. Единственное, в первом случае — на самом-то деле — задача, весьма не тривиальная, а во втором — мы получаем пакет настроенные таким образом, как захотелось его создателю, да еще и по факту модифицированный (сомнительный, но минус).
Если в вашей организации в качестве антивирусной защиты используются продукты компании «Лаборатория Касперского» — и вы используете сервер администрирования — вы можете устанавливать удаленно программы даже из *.exe пакетов, используя ключи — для управления параметрами установки.
Параметры тихой установки
Большинство программ можно установить в «тихом» режиме, например есть таблица с большим количеством часто используемых программ, и поддерживаемые передаваемые параметры — при установке. Так же можно найти большое количество передаваемых параметров установки.Таким образом нам нужно:
- Скачать стандартный дистрибутив нужной нам программы с сайта разработчика (или откуда вы их обычно берете)
- Найти в интернете какие ключи «тихой» установки поддерживает используемая программа
- Установить программу на пользовательский ПК, используя Kaspersky Security Center
Панель администрирования — дает полную управляемость (при установке) сравнимую с администрированием через групповые политики Win-server’а, а для меня даже удобнее — меньше всяких фокусов — меньше шансов ошибиться;)
Если вы будете назначать установку программ вручную, или у вас все пользователи используют одинаковый набор программ — то можете пропустить этот раздел, но если же у вас в организации разным отделам устанавливается разное ПО — этим отделам можно назначить разные группы, для которых будут использоваться разные задачи.
Группы пользователей в KSC разделяются — аналогично структуре используемой в AD — каталоги и под каталоги. Задачи и политики используемые в родительских группах применяются всем дочерним группам.
Таким образом можно, например, всем пользователям компании установить FireFox и Chrome, и только дизайнерам Photoshop.
Итак приступим:
1) Для создания инсталляционного пакета необходимо перейти в подраздел «Инсталляционные пакеты» раздела «Хранилища» в панели управления KSC. Там мы увидим список созданных ИП, возможность создать новый, а так же редактировать или удалить существующий.Новый инсталляционный пакет создается просто: вы указываете его имя (то как он будет отображаться в KSC), выбираете «ИП для программы, указанной пользователем», указываете пусть к программе (exe, bat, cmd, msi) и указываете параметры запуска (ключи тихой установки).
Затем указанный пакет можно будет использовать для установки на удаленные компьютеры.
2) Теперь нам нужно создать задачу для установки созданного пакета. Если вы раньше работали с KSC, или с его предыдущим аналогом Adminkit. То сам процесс создания задачи — для вас не составит труда.
Можно либо создать задачу перейдя в папку соответствующей группы, и перейдя на вкладку «Задачи» — создать новую задачу. Либо Перейдя в Раздел «Задачи для наборов компьютеров» — создать новую задачу.
Задаем имя созданной задачи, и выбираем тип задачи «Удаленная установка программы».
Выбираем программу которую мы хотим устанавливать, каким группам пользователей будет назначена эта задача, и указываем пользователя которому позволено устанавливать ПО на все из используемых компьютеров (обычно — администратор домена).
Единственное, в плане настроек — мы ограничиваемся только теми параметрами, которые разрешает передавать разработчик при установки программы, и настроить прокси-сервер в браузере через командную строку нам вряд ли удастся. Но тут нам на помощь идут уже стандартные групповые политики AD. Ведь обычно у альтернативных браузеров -используются системные настройки прокси, а их мы можем назначить нужным пользователям через AD. ;)
