Ksc 10 настройка хранения событий

Новый этап развития Application Control

Использование режима Default Deny означает смещение приоритетов при выборе политики безопасности: от свободы действий и удобства конечных пользователей в сторону выполнения главной задачи любой системы защиты информации - сведения к минимуму риска утечки и/или потери критически важных для бизнеса данных.

Однако ранее внедрение жесткого режима контроля запуска и исполнения приложений приводило к возникновению серьезных функциональных ограничений, что делало использование такого режима практически невозможным. Обеспечение качественной поддержки режима Default Deny требует дополнительного функционала, без реализации которого переход на этот режим может нарушить нормальную работу корпоративной сети.

При переходе в Default Deny перед системными администраторами встает ряд задач, и, чтобы облегчить им решение этих задач, Application Control как основной компонент, осуществляющий управление приложениями корпоративной сети, должен был претерпеть существенные изменения.

Итак, использование режима Default Deny стало возможным только после внедрения следующего функционала:

• Инвентаризация - сбор информации обо всем ПО, установленном в корпоративной сети, — на всех компьютерах и сетевых ресурсах.
• Категоризация - деление идентифицированного в сети ПО на функциональные группы: компоненты ОС, браузеры, мультимедиа, игры и т.д.
• Конфигурирование, или Application Management - введение для пользователей/групп пользователей ограничений на запуск и исполнение приложений определенных категорий (собственно, определение политик безопасности).
• Dynamic Whitelist - база знаний обо всём многообразии выпускаемого в мире ПО. Актуальная и регулярно обновляемая информация о приложениях, их репутации, категориях и популярных/рекомендованных аналогах. Это экспертные данные, которые поставляются производителями решений по безопасности.
• Безопасные механизмы обновления ПО - автономные средства поддержки регулярных обновлений популярного ПО, избавляющие администраторов от необходимости повторно проводить утомительную процедуру идентификации и легализации обновлённых в сети приложений.
• Поддержка списков доверенных пользователей, источников ПО - инструментарий, предоставляющий администраторам сетей, инженерам информационной безопасности простые и удобные способы легализации ПО. В частности, создание списков доверенных сетевых ресурсов в интернете и в локальной корпоративной сети (HTTP/FTP/Shared folders/etc.) — источников чистых приложений, которые разрешено устанавливать и использовать.
• - средства статического или динамического обнаружения системных коллизий, возникающих в ходе внедрения тех или иных политик безопасности (несовместимости/неработоспособности различных приложений), в результате которых могут быть нарушены бизнес-процессы.
• - инструменты управления возникающими инцидентами для максимального облегчения процесса сопровождения и поддержки пользователей.
• Мониторинг и аудит - развитые средства для сбора, агрегации и систематизации отчётности.

Остановимся на ключевой составляющей Whitelist Security Approach - динамической базе чистых файлов (Dynamic Whitelist). Интерес к Dynamic Whitelist обусловлен не только ее техническими, но и организационными составляющими, без которых невозможно обеспечить максимальную эффективность базы Whitelist.

Dynamic Whitelist: динамическая база знаний о ПО

Что же такое база Dynamic Whitelist? Это база знаний обо всём многообразии легитимного ПО. С технической точки зрения Dynamic Whitelist представляет собой огромную базу «чистого» программного обеспечения, которая непрерывно пополняется новыми дистрибутивами, различного рода файлами, а главное - знаниями о данных объектах. Качество и полнота данных в такого рода источниках экспертных данных зависит от их поставщиков. Ведущие компании - производители решений по безопасности сами формируют базы Dynamic Whitelist.

Dynamic Whitelist является компонентом, который необходим для решения трёх из семи задач, стоящих при реализации Default Deny (см. таблицу выше). Очевидно, что качество предлагаемого вендором решения будет напрямую зависеть от качества используемой в нем базы знаний.

Для решения перечисленных выше задач база должна содержать:

1. Базовую информацию о ПО: производитель, название продукта, версия последнего, прочая информация, главным образом извлекаемая из атрибутов самих объектов.
2. Расширенную информацию (экспертные знания):
   • данные о степени риска - классификация ПО, его репутация: доверенное, недоверенное, сомнительное и т.п.;
   • категория ПО: системное ПО, браузеры, игры, офисные приложения и т.д.;
   • бизнес-ориентация приложений: бухгалтерия и финансы, маркетинг, HR, CRM, логистика и т.д.;
   • альтернативное ПО - информация об аналогах ПО;
   • статистические данные - например, популярность ПО, его распределение по регионам и т.д.

Какие ещё требования, помимо состава данных, предъявляются к таким базам знаний?

Прежде всего, база Dynamic Whitelist должна быть динамичной, что, собственно, и отражено в её названии. Ежедневно в свет выходит множество новых легитимных приложений и обновлений к уже существующему ПО, а это означает, что поставщики решений по безопасности должны незамедлительно реагировать на любые изменения в мире ПО, оперативно обновляя свои базы знаний. А для этого следует обеспечить регулярное и своевременное пополнение базы чистого ПО из множества источников из разных регионов мира. И это обновление должно происходить в автоматическом режиме, ведь речь идет о гигантских объемах информации (терабайты данных в сутки). Для этих целей поставщики баз Dynamic Whitelist разворачивают в Сети так называемые краулеры (от англ. crawler) - поисковые агенты, которые осуществляют мониторинг нового ПО и при необходимости - загрузку новых приложений.

Для поддержки актуальности базы данных необходимо также развитие технологических партнерских отношений вендора с крупными производителями и дистрибуторами ПО (Independent Software Vendors). Цель такого партнерства — получение, обработка и анализ (классификация и категоризация) нового ПО до выхода его публичных релизов с целью минимизации ложных срабатываний: случаев несовместимости решений по безопасности и ПО вендора-партнера.

Еще один возможный источник пополнения базы — глобальная информационная сеть, созданная вендором на базе сообщества его пользователей. Отметим, что такая информационная сеть является серьёзным конкурентным преимуществом. Она позволяет отслеживать метаданные о ПО, запускаемом на компьютерах пользователей, и снабжать базу знаний информацией о появлении новых приложений и выпуске различных обновлений ПО.

Необходимо внимательно контролировать все поступающие в базу Dynamic Whitelist объекты, а главное, поддерживать репутацию о них в актуальном состоянии. Ведь ПО, которое сегодня может быть классифицировано как «чистое», завтра, при более тщательном анализе, может оказаться носителем опасного вредоносного кода.

Надо отметить, что регулярное сканирование базы Dynamic Whitelist — весьма нетривиальная задача. Для ее решения, кроме автоматических средств обработки и анализа информации, необходима команда выделенных экспертов, способная в случаях возможных логических коллизий анализировать программный код и выносить финальный вердикт. Маленькие компании или производители «бесплатных» антивирусных продуктов позволить себе такой выделенной антивирусной лаборатории не могут. Кроме того, специфика обработки вредоносного и чистого ПО разная. В идеале компания должна располагать не только антивирусной, но и специализированной Whitelisting лабораторией , которая будет отслеживать входящие информационные потоки, заниматься обучением интеллектуальных систем, а также незамедлительно реагировать в экстренных случаях (такая Whitelisting лаборатория есть у «Лаборатории Касперского»).

От теории к практике: Endpoint 10 «Лаборатории Касперского»

Администраторы корпоративных сетей выполняют сложные, часто повторяемые задачи по обслуживанию множества рабочих станций различного назначения. Использование подхода Whitelist Security Approach (режима Default Deny) гарантирует значительно более высокий уровень безопасности в корпоративной сети. При этом внедрение режима Default Deny с его жёсткой системой ограничений требует реализации в соответствующих продуктах серьёзных средств автоматизации задач, которые встают перед администратором.

Рассмотрим, как осуществляется переход от теории к практике на примере продуктах класса Endpoint Security «Лаборатории Касперского», последовательно проследив все этапы жизненного цикла от инвентаризации ПО до поддержки корпоративной сети (после внедрения продукта).

Впервые Whitelist Security Approach был реализован в Kaspersky Endpoint Security 8 for Windows в 2011 году. В 2013 году Kaspersky Endpoint Security 10 for Windows представит еще более широкую функциональность, в том числе в области Application Control.

Этапы жизненного цикла (Default Deny)

• Инвентаризация . В самом начале, после установки продукта, администратор должен провести автоматическую процедуру инвентаризации всего ПО, установленного в корпоративной сети. В рамках этой задачи Kaspersky Endpoint Security собирает информацию обо всем ПО, установленном на компьютерах сети и сетевых ресурсах.

  
  Результат инвентаризации приложений в указанной директории

• Категоризация (автоматическая, на базе Dynamic Whitelist) . По окончании инвентаризации автоматически проходит категоризация всего ПО — разбиение на соответствующие группы согласно правилам, заложенным в продукте (ОС, мультимедиа, периферия, игры, браузеры и т.д.). Отметим, что такой функционал есть не у всех вендоров, реализовавших Application Control. Однако мы сочли, что для удобства управления огромным разнообразием ПО, установленного в корпоративной сети, он просто необходим. Поэтому разделили нашу базу Whitelist на 16 категорий верхнего уровня и 96 листовых категорий (см. наш каталог категорий).

  
  Каталог категорий «Лаборатории Касперского»
  

  Для определения критически важных компонентов ОС и драйверов в Kaspersky Endpoint Security реализована особая категория файлов ОС — Golden Image. В нее входят все необходимые компоненты для Win XP, Vista, Win7, Win8 (32 и 64) и более 15 локализаций для каждой (всего более 100 версий и локализаций). Администратору достаточно добавить в категорию Golden Image файлы из локальной Whitelist базы — и конфигурация Default Deny готова.

• Категоризация (ручная) . Важно учитывать, что белый список любого производителя защитных решений не может содержать информацию обо всем ПО, установленном в сети конкретной компании. Например, компании нередко имеют специализированный проприетарный софт, разработанный на месте или по заказу. В новом Kaspersky Endpoint Security 10 в Application Control администратор имеет возможность создать локальный белый список.

  Также в Kaspersky Endpoint Security 10 добавлена функциональность мультивекторной категоризации. Т.е. одно приложение может одновременно принадлежать сразу нескольким категориям.

  
  Возможности пользовательской категоризации файлов

• Конфигурирование . В Kaspersky Endpoint Security существует возможность управлять категоризированным ПО в зависимости от пользователей и групп пользователей. К примеру, можно разрешить использовать ПО категории «Accounting» только бухгалтерии, чтобы никто больше не имел доступа к финансовой информации компании.
  Именно на этом этапе можно ограничить использование нелицензионного и не связанного с работой ПО. Т.е., к примеру, запретить использование любого ПО, лицензиями на которое не располагает компания, или запретить все IM, кроме Skype например. Также можно запретить использование конкретных версий ПО, например, запретить все браузеры, кроме указанной версии Internet Explorer.
• Безопасные механизмы обновлений ПО . Режим автоматического обновления ПО в Kaspersky Endpoint Security обеспечивает технология Trusted updaters . Она позволяет реализовать безопасную процедуру обновления продуктов, учитывающую сложные цепочки программных вызовов, выполняемых в процессе обновления.
• Тестирование и поддержка режима опытной эксплуатации . Поскольку внедрение жестких политик в сети достаточно ответственное дело, мы предусмотрели специальный режим Test Mode, который администратор может использовать для моделирования и оценки работы любого правила. Реальная блокировка приложений в режиме Test Mode не происходит, но администратор по отчётам системы видит, что было бы, если бы данный режим работал. Это позволяет внести соответствующие коррективы в правила перед боевой реализацией, не вызывая негативной реакции со стороны пользователей и не нарушая бизнес-процессов компании в случае некорректной работы отлаживаемых правил.
• Обратная связь и поддержка пользователей . IT-среда компании динамична, поэтому пользователь всегда должен иметь возможность запросить у администратора разрешение на запуск нового ПО, а администратор должен иметь возможность простым нажатием кнопки в удобном интерфейсе запретить или разрешить соответствующий запрос. В нашем продукте реализованы обе возможности. Для обеспечения гибкости работы даже в режиме Default Deny мы внедрили возможность обслуживания администратором пользовательских жалоб. В случае если какое-либо приложение оказалось заблокированным, а пользователь считает, что оно необходимо ему для работы, ему достаточно нажать кнопку «Отправить запрос», и соответствующая нотификация поступит администратору автоматически.

  
  Пример сообщения, которое автоматически отправляется системному администратору в случае блокировки запуска приложения

  Последний год независимые тестовые лаборатории активизировались в новом для себя направлении тестирования Application Control. Сразу две компании проверили эффективность технологии Application Control для защиты от целевых атак и управления неавторизованным ПО. В начале 2012 года компания West Coast Labs опубликовала отчет по результатам первого в индустрии независимого теста, где технология «Лаборатории Касперского» заняла первое место. Позднее компания Dennis Labs также провела сравнительное тестирование и в начале 2013 года предоставила результат публике. Наше решение второй раз подряд получило высшую оценку.

Заключение

Увеличение количества и, главное, усложнение угроз заставляет производителей антивирусного ПО искать новые решения для эффективной защиты корпоративных сетей. Новый подход — Whitelist Security Approach — позволяет запуск и исполнение в системе только проверенного ПО из белых списков. Соответственно, запрещается запуск любого неизвестного или неавторизованного ПО. В результате любая вредоносная программа просто не может запуститься в системе. Такой подход позволяет обеспечить защиту от сложных и неизвестных угроз, в том числе целевых атак.

Whitelist Security Approach является новым витком развития технологии контроля запуска и исполнения программ (Application Control), дополненной реализацией развитой поддержки режима «Запрет по умолчанию» (Default Deny), а также инновационной технологии белых списков (Dynamic Whitelist).

Реализация режима повышенной безопасности Default Deny требует внедрения дополнительного функционала. Сценарий работы Application Control должен предусматривать несколько простых механизмов, таких как инвентаризация, категоризация, конфигурирование (Application Management), гибкое управление политиками локального белого списка и возможность использовать облачную базу Dynamic Whitelist, которая способна незамедлительно реагировать на регулярные изменения в мире ПО. А такой функционал как тестирование и поддержка режима опытной эксплуатации необходим для грамотного перехода в режим Default Deny.

Whitelist Security Approach помогает системному администратору выполнять ряд задач:

• Контролировать (разрешать, запрещать, гибко ограничивать и осуществлять аудит) запуск на рабочих станциях чистых программ в соответствии с политикой безопасности, действующей в компании.
• От поставщика решения получать экспертизу о чистоте файлов из базы Dynamic Whitelist.
• Гарантировать нормальную работу чистого и разрешенного ПО.
• Управлять категориями ПО, а не отдельными программами.
• На этапе промышленной эксплуатации осуществлять мониторинг, контроль и реагировать на проблемы, возникающие вследствие блокирования того или иного ПО.
• Оптимизировать использование IT-ресурсов компании и повышать их производительность за счет контроля использования постороннего и нелицензионного ПО в сети.

Application Control в совокупности с поддержкой Default Deny является мощным и удобным инструментом, который упрощает системному администратору задачу обслуживания рабочих станций в корпоративной сети и обеспечивает ее безопасность.

Мы в «Лаборатории Касперского» считаем Whitelist Security Approach одним из ключевых средств защиты корпоративных сетей будущего. В то же время мы полагаем, что не существует панацеи или единственной технологии, способной обеспечить защиту от всех угроз. Поэтому для корпоративных сетей целесообразно использование мощного endpoint-продукта, сочетающего различные технологии защиты. Только многоуровневая система защиты и контроля позволяет обеспечить максимально возможный уровень защиты корпоративной сети.
Авторы выражают благодарность Владиславу Мартыненко за помощь в подготовке главы «Компонентный состав современных продуктов безопасности».

22.05.2015 Владимир Безмалый

Запрет запуска приложений со сменных носителей с помощью установленного корпоративного решения «Лаборатории Касперского»

На небольших предприятиях, использующих защитные решения без единого центра управления, периодически встает вопрос проверки запуска программ. Что имеется в виду? Запуск конкретных программ и приложений тем или иным пользователем, необходимость блокирования игр, несанкционированно установленных браузеров и т. д. Одной из подобных задач, в первую очередь касающихся соблюдения режима безопасности, является запрет запуска приложений со сменных носителей. Для этого предусмотрен целый ряд решений. Мы рассмотрим решение данной задачи с помощью установленного корпоративного решения «Лаборатории Касперского».

Запрет запуска приложений со сменных носителей для всех пользователей

Откройте основное окно программы Kaspersky Endpoint Security 10 для Windows (KES 10) и перейдите на вкладку «Настройка» (см. экран 1).

Выберите слева раздел «Контроль запуска программ». На вкладке «Настройка» не забудьте установить флажок «Включить контроль запуска программ». В противном случае по умолчанию функция будет отключена. Чтобы добавить правило контроля, выполните следующие действия:

1. Нажмите кнопку «Добавить». Откроется окно «Правило контроля запуска программ».
2. Создайте параметры правила:

а) в поле «Название» введите название правила, например «Сменные носители»;

б) в таблице «Включающие условия» сформируйте список включающих условий срабатывания правила контроля запуска программ (в нашем случае включите «Условие по носителю файла» (см. экран 2);

в) задайте список пользователей или групп пользователей, которым разрешено запускать программы, удовлетворяющие включающим условиям срабатывания правилам. В нашем случае удалите список «Все», нажав на кнопку «Удалить»;

г) задайте список пользователей, которым запрещено запускать программы, удовлетворяющие включающим условиям срабатывания правила. В нашем случае «Все». Если хотите, предоставьте разрешение на запуск локальному администратору.

Учтите, что правило не контролирует запуск программ пользователями или группами пользователей, которые не указаны в полях для разрешения и запрета запуска программ.

После выполнения перечисленных выше действий при попытке запуска пользователем программы со сменного носителя появится предупреждение, показанное на экране 3.ё

Если вы хотите запретить использование игр, это правило можно задать с помощью так называемых KL-категорий.

Однако больше всего хлопот вызывает применение различных браузеров и особенно их обновление. Так как проще всего, на мой взгляд, в корпоративной среде обновить Internet Explorer, создадим правило, которое будет разрешать запуск Internet Explorer, но запрещать применение всех остальных браузеров. Для этого сформируем правило, выполнив следующие шаги:

1. Выберем категорию Запрет всех браузеров (из списка KL-катего­рия) (см. экран 4).
2. Исключение составляет Internet Explorer (см. экран 5).

Итак, нам без труда удалось запретить нежелательные браузеры в организации. Ну и напоследок закроем доступ к играм.

Запрет доступа к играм

Создадим по аналогии с браузерами запрет на использование игровых программ в организации. Выбираем программы из категории «Развлечения», подкатегория «Игры» (см. экран 7).

Как видите, создание запрета на игры аналогично предыдущему запрету на браузеры.

Безусловно, существует немало программ для контроля запуска тех или иных продуктов, и бездумное их применение может не только не улучшить, а даже ухудшить защиту вашей сети и уж тем более микроклимат в коллективе.

Перед тем как создавать те или иные правила контроля запуска программ, я бы рекомендовал вначале составить «матрицу ролей» ваших пользователей (то есть какой пользователь выполняет ту или иную задачу и, соответственно, нуждается в том или ином программном обеспечении). Исходя из этого следует определить необходимый минимум программного обеспечения и уже затем закрывать все остальное. Почему минимум? Во-первых, программное обеспечение стоит денег. Во-вторых, чем больше сторонних программ установлено на рабочем месте, тем выше вероятность ошибок пользователя. Ну и, наконец, чем больше на рабочем месте сторонних программ, тем выше риск проникновения в систему через уязвимые места в той или иной программе. А все это будет отрицательно сказываться как на производительности ваших сотрудников, так и на общем уровне безопасности организации.

Задача: Необходимо на ключевом компьютере организации настроить политику запуска программ по белому списку, т.е. запуск всех программ запрещен кроме “белого списка”.
Сразу скажу, что без танцев с бубном решить проблему не удавалось. Да и в принципе до конца так и не решилась.
На данном этапе пока вижу два минуса:
Первый- при загрузке Windows Касперский грузиться не сразу и есть интервал в течении которого можно запустить ПО, которое не в “белом списке”.
Второй - добавление ПО в “белый список”. Добавление происходит по хешу файла или просто указывается разрешенный каталог. Просто по имени файла не работает, не знаю почему. В данный момент общаюсь по этому поводу с ТП Касперского, решение пока никакого нет.
Итак, начнем
Имеем на клиентской машине Kaspersky Endpoint Security 10.
1. Запускаем Kaspersky Security Center на Сервере, заходим в созданную группу “Контроль запуска программ”, переходим на закладку политики
2. Открываем политику
3. Выбираем Контроль рабочего места - Контроль запуска программ. В правой части ставим галку напротив Контроль запуска программ

4. Далее закрываем политику
5. Идем в раздел “Управление программами” - Категории программ

6. Сверху “Создать категорию” - Тип категории (пополняемая вручную категория)
7. Вводим название категории
8. Добавить - Из свойства файла
9. Получить данные - Из файла 10. Выбираем файл exe (я взял для примера Excel . exe )
11. Ставим переключатель на Хеш файла и ОК.
П.С. Если оставить на метаданных и прописать просто имя файла, то не работает. Проблема пока не решена. 12. В разделе Категории программ появится наша категория test
13. Далее заходим в созданную группу “Контроль запуска программ”, переходим на закладку политики
14. Открываем политику
15. Выбираем Контроль рабочего места - Контроль запуска программ
16. Разрешить Все ставим ВЫКЛ
17. Нажимаем +Добавить и добавляем нашу категорию test , Пользователи- Все, галочка - Доверенные программы обновления и OK .
18. Желательно перегрузить клиентский ПК, чтоб политика активировалась. Можно и не перегружать, тогда необходимо подождать. Но для 100% уверенности я перегружал.

Выводы: В принципе на этом все. Решить данную проблему можно и через групповые политики AD , что скорее всего более разумно т.к. фильтр по exe файлу в Касперском не работает пока. А если исключать по хешу файла, то тогда использовать Касперский. Ну и пришлось обновить на клиентской машине Касперского до последней версии чтоб хоть как то контроль заработал. Без обновления вообще не работало никак.

П.С. после обновления на клиентской машине необходимо запустить утилиту

Уважаемые коллеги! Сегодня я хочу вам поведать о Системе администрирования Антивируса Касперского. Вещь, я вам скажу, очень занятная.

С помощью неё вы можете взять под свой контроль все компьютеры своей организации в плане разрешения/запрета открытия сайтов, разрешения/запрета запуска программ, в том числе по определенным категориям (например, можно запретить запуск всех браузеров, кроме определенных), разрешения/запрета подключения какого-либо оборудования – флэшек, жестких дисков и прочее (например, чтобы исключить слив информации пользователями), также автоматизировать обновление ключей для антивируса Касперского, минимизировать расход трафика при обновлении антивирусов (после установки KSC и настройки на него антивирусов, установленных на рабочих станциях, они будут обновляться именно с этого сервера, а не из сети Интернет). Для установки KSC 10 версии, со слов технического консультанта лаборатории Касперского в Приволжском федеральном округе – Павла Александрова, подходит ОС Windows (не обязательно серверная) хотя бы с 2-4 Гб оперативной памяти. Недавно компания “Умные решения” проводила Практический мастер-класс на ноутбуках , где ваш покорный слуга смог воочию ознакомиться с этим творением лаборатории Касперского. Kaspersky Security Center 10, как сказал Павел, предоставляется бесплатно для тех, кто владеет корпоративной лицензией для KES (Kaspersky Endpoint Security) 10. К счастью, нам, коллеги – программисты/системные администраторы бюджетных учреждений Республики Татарстан, не нужно ничего покупать – весь необходимый инструментарий доступен из сети ГИСТ по адресу kav.tatar.ru . А также, для вашего удобства, коллеги, я размещаю видеоуроки любезно предоставленные Игорем Александровичем, специалистом компании НоваИнТех -> Ссылка на видеоуроки на сайте Youtube . Если после просмотра видео у вас останутся какие-то вопросы, то я, с радостью, помогу вам в скайпе (lisischko).

P.S. Вы можете сделать свой сервер управления Антивирусом Касперского подчиненным ЦИТовскому KSC, какие это даёт преимущества не скажу – сам этого делать не стал, но это описано на сайте kav.tatar.ru

Примечание1: Список исполняемых файлов не пополнялся на сервере, даже созданной вновь задачей “Инвентаризация”, пока не была поставлена галочка в разделе “Дополнительные параметры” – “Отчёты и хранилища” – Информировать сервер администрирования “О запускаемых программах” в политике Антивируса.

Примечание4: Время от времени на компьютерах подвластных KSC всё начинает зависать. Диспетчер задач показал, что систему грузит процесс “Kaspersky Security Center Vulnerability Assessment & Patch Management Component” (исполняемый файл vapm.exe). Анализ проблемы показал, что в момент тормозов системы выполнялась задача “Поиск уязвимостей и требуемых обновлений”, перевод этой задачи в ручной запуск и остановка решил проблему. Также, есть вариант со снятием галочки “запускать пропущенные задачи” в расписании задачи (без перевода запуска в ручной режим), но испытывать этот вариант я не стал, в виду решения о ненадобности для нас этой функции. UPD: не прошло и получаса после остановки задачи и перевода режима её запуска в ручной, как её, снова, запустил какой-то триггер. Разбираться нет времени. Удалил задачу “Поиск уязвимостей и требуемых обновлений”, добавить её всегда можно впоследствии.