22.05.2015 Vladimir Bezmaly
Voorkomen dat toepassingen worden gestart vanaf verwisselbare media met behulp van de geïnstalleerde zakelijke oplossing Kaspersky Lab
Kleine bedrijven die beveiligingsoplossingen gebruiken zonder een enkel centrum beheer, rijst de kwestie van het periodiek controleren van de lancering van programma's. Wat wordt bedoeld? De lancering van specifieke programma's en applicaties door een of andere gebruiker, de noodzaak om games te blokkeren, ongeautoriseerde geïnstalleerde browsers enz. Een van deze taken, die voornamelijk verband houden met de naleving van het beveiligingsregime, is het verbod op het starten van applicaties vanaf verwisselbare media. Hiervoor is voorzien hele regel oplossingen. We zullen bekijken hoe we dit probleem kunnen oplossen met een geïnstalleerde bedrijfsoplossing van Kaspersky Lab.
Voorkomen dat alle gebruikers toepassingen starten vanaf verwisselbare media
Open het hoofdvenster Kaspersky-programma's Endpoint Security 10 voor Windows (KES 10) en ga naar het tabblad Setup (zie Afbeelding 1).
| Scherm 1.Het venster voor het configureren van de KES 10-parameters: |
Selecteer het gedeelte "Toepassing Opstartbeheer" aan de linkerkant. Vergeet op het tabblad Instellingen niet het selectievakje Opstartbeheer van toepassing inschakelen in te schakelen. V anders de functie wordt standaard uitgeschakeld. Volg deze stappen om een controleregel toe te voegen:
- Klik op de knop Toevoegen. Het venster "Application Startup Control Rule" wordt geopend.
- Regelparameters maken:
a) voer in het veld "Naam" de naam van de regel in, bijvoorbeeld "Verwisselbare media";
b) maak in de tabel "Inclusief voorwaarden" een lijst met triggervoorwaarden voor de regel voor het opstarten van de toepassing (schakel in ons geval "Voorwaarde op bestandsmedia" in (zie afbeelding 2);
c) een lijst specificeren van gebruikers of groepen gebruikers die toepassingen mogen uitvoeren die voldoen aan de regels die triggerende voorwaarden veroorzaken. Verwijder in ons geval de lijst "Alle" door op de knop "Verwijderen" te klikken;
d) een lijst specificeren van gebruikers die geen toepassingen mogen uitvoeren die voldoen aan de voorwaarden voor activering van de regel. In ons geval "Iedereen". Verleen desgewenst startmachtiging aan uw lokale beheerder.
Houd er rekening mee dat de regel niet het starten van toepassingen door gebruikers of gebruikersgroepen regelt die niet zijn gespecificeerd in de velden voor het toestaan of weigeren van het starten van toepassingen.
Als de gebruiker na het voltooien van de bovenstaande stappen een programma probeert te starten vanaf verwisselbare media, verschijnt de waarschuwing in Afbeelding 3.
Als je het gebruik van games wilt verbieden, kan deze regel worden ingesteld met behulp van de zogenaamde KL-categorieën.
Het meest lastige is echter het gebruik van verschillende browsers en vooral hun actualisering. Aangezien de gemakkelijkste manier, naar mijn mening, in een zakelijke omgeving om te updaten Internet Explorer, laten we een regel maken waarmee Internet Explorer kan starten, maar het gebruik van alle andere browsers verbiedt. Laten we hiervoor een regel maken door deze stappen te volgen:
- Selecteer de categorie Ban alle browsers (uit de lijst KL-categorie) (zie figuur 4).
- De uitzondering is Internet Explorer, dat in figuur 5 te zien is.
We zijn er dus gemakkelijk in geslaagd om ongewenste browsers in de organisatie te verbieden. En tot slot sluiten we de toegang tot games.
Toegang tot games weigeren
Laten we, naar analogie met browsers, een gebruiksverbod in het leven roepen spelprogramma's Bij de organisatie. We selecteren programma's uit de categorie "Entertainment", de subcategorie "Games" (zie figuur 7).
Zoals je kunt zien, is het maken van een spelverbod vergelijkbaar met het vorige browserverbod.
Natuurlijk zijn er veel programma's om de lancering van bepaalde producten te controleren, en het ondoordachte gebruik ervan kan niet alleen de bescherming van uw netwerk niet alleen niet verbeteren, maar zelfs verslechteren, en vooral het microklimaat in het team.
Voordat u deze of gene regels maakt voor het besturen van het starten van programma's, raad ik u aan eerst een "matrix van rollen" voor uw gebruikers te maken (dat wil zeggen, welke gebruiker een bepaalde taak uitvoert en dienovereenkomstig deze of gene software nodig heeft). Op basis hiervan moet worden bepaald noodzakelijke minimum software en sluit dan pas de rest. Waarom minimaal? Ten eerste kost software geld. Ten tweede, hoe meer programma's van derden geïnstalleerd op de werkplek, hoe groter de kans op gebruikersfouten. En, ten slotte, hoe meer programma's van derden op de werkplek, hoe groter het risico om het systeem binnen te dringen via kwetsbaarheden in een bepaald programma. Dit alles heeft een negatief effect op zowel de productiviteit van uw mensen als de algehele veiligheid van de organisatie.
Dit materiaal is opgesteld voor professionals die betrokken zijn bij het beheer antivirus bescherming en veiligheid in het bedrijf.
De meest interessante functionaliteit van de nieuwste versies wordt op deze pagina beschreven en geanalyseerd. Kaspersky-eindpunt Beveiliging 10 en middenconsole Kaspersky-beheer Beveiligingscentrum 10.
De informatie is geselecteerd op basis van de ervaring van communicatie door NovaInTech-specialisten, met systeembeheerders, hoofden van IT-afdelingen en beveiligingsafdelingen van organisaties die net overstappen op Kaspersky antivirusbescherming, of het proces doorlopen om over te stappen van het gebruik van de 6e versie van het antivirusprogramma op clientcomputers en de beheerbeheerconsole Kit 8. In het laatste geval, wanneer antivirusbescherming van Kaspersky Lab al in gebruik is, is het ook gebruikelijk dat IT-specialisten niet de meeste weten interessante momenten in het werk aan nieuwe versies van producten die het leven van diezelfde IT-professionals echt gemakkelijker maken, en die tegelijkertijd het niveau van veiligheid en betrouwbaarheid verhogen.
Na het lezen van dit artikel en het bekijken van de video's, kunt u kort vertrouwd raken met de meest interessante functionaliteit van de nieuwste versie van de Kaseprky Security Center en Kaspersky Endpoint Security beheerconsole en zien hoe het werkt.
1. De beheerserver van Kaspersky Security Center 10 installeren.
De vereiste distributies zijn te vinden op de officiële website van Kaspersky Lab:
AANDACHT! naar distributie volledige versie Kaspersky Security Center bevat al de distributiekit van Kaspersky Endpoint Security laatste versie.
Allereerst wil ik u vertellen waar u kunt beginnen met het installeren van antivirusbescherming van Kaspersky Lab: niet van de antivirusprogramma's zelf op clientcomputers, zoals het op het eerste gezicht lijkt, maar vanaf de installatie van de beheerserver en de centrale beheerconsole van Kaspesky Security Center (KSC). Met behulp van deze console kunt u veel sneller antivirusbescherming implementeren op alle computers van uw instelling. In deze video zie je dat na installatie en minimale serverconfiguratie KSC administratie, wordt het mogelijk om een installatieprogramma te maken antivirus oplossing voor clientcomputers, die zelfs een volledig onvoorbereide gebruiker kan installeren (ik denk dat elke beheerder zulke "gebruikers" heeft) - de installatie-interface bevat slechts 2 knoppen - "Installeren" en "Sluiten".
De beheerserver zelf kan op elke computer worden geïnstalleerd die altijd aan staat of zo toegankelijk mogelijk is, deze computer moet zichtbaar zijn voor andere computers in het netwerk en het is erg belangrijk dat deze toegang heeft tot internet (voor het downloaden van databases en synchroniseren met de KSN-cloud).
Bekijk de video ook als je de middenconsole al eerder hebt geïnstalleerd, maar vorige versies- misschien hoor en zie je zelf iets nieuws...
LIKE DE VIDEO?
Wij doen ook levering van Kaspersky-producten... En nog meer: we bieden technische ondersteuning. We geven om onze klanten.
2. Centraal beheer instellen op computers waarop Kaspersky al is geïnstalleerd.
Vaak wordt gevonden dat in kleine organisaties, systeembeheerders installeer en configureer antivirusbescherming handmatig op elke computer. Zo neemt de tijd die ze besteden aan het onderhouden van antivirusbescherming toe en hebben ze niet genoeg tijd voor een aantal belangrijkere taken. Er zijn gevallen waarin beheerders, simpelweg door tijdgebrek, gewoon niet weten wat er aan de hand is zakelijke versies antivirusbescherming van Kaspersky Lab, over het algemeen is er: gecentraliseerd beheer, en weet niet dat je voor dit wonder van de beschaving niets hoeft te betalen.
Om de reeds geïnstalleerde client-antivirussen te "verbinden" met de beheerserver, hebt u heel weinig nodig:
- Installeer de Administration Server (deel 1 van dit artikel).
- Installeer de Administration Server Agent (NetAgent) op alle computers - ik zal de installatie-opties beschrijven in de bijgevoegde video hieronder.
- Na de installatie van de Administration Server-agent bevinden computers zich, afhankelijk van uw instellingen, in de sectie "Niet-gedistribueerde computers" of in de sectie "Beheerde computers". Als computers in "Niet" staan gedistribueerde computers"- ze moeten worden overgezet naar" Beheerde computers "en een beleid opzetten dat op hen van toepassing is.
Na deze acties zijn uw computers voor u zichtbaar vanaf de centrale console, kunnen gebruikers de antivirusprogramma's die op hun machines zijn geïnstalleerd niet langer beheren en als gevolg daarvan zijn er minder infecties en minder hoofdpijn voor de beheerder.
In de onderstaande video zal ik proberen de scenario's te beschrijven voor het installeren van NetAgents op clientcomputers, afhankelijk van hoe uw netwerk is ingericht.
Het bleek dat niet alle lezers productdocumentatie willen en vooral weten hoe ze de productdocumentatie moeten lezen en begrijpen; bovendien installeren de meesten van hen Kaspersky Endpoint Security met standaardinstellingen en gebruiken dit product vervolgens uitsluitend als antivirusprogramma. Ik heb al vaak geschreven dat dit product eigenlijk veel breder en krachtiger is.
Vandaag zullen we proberen te praten over het blokkeren van sites per categorie, dat wil zeggen, bijvoorbeeld hoe sociale netwerken te blokkeren.
De taak is ingesteld om te blokkeren bepaalde types plaatsen.
Deze taak behoort tot de categorie Webcontrole, dus in dit artikel zullen we het uitsluitend over deze technologie hebben.
De taak van Webcontrole is om gebruikerstoegang tot internetbronnen te filteren in overeenstemming met het interne beleid van de organisatie. Dit betekent meestal het blokkeren van sites. sociale netwerken, muziek en video, niet-opgenomen webmail, enz. v werktijd... Als de gebruiker contact wil opnemen met een dergelijke server, ontvangt hij een melding over blokkering, of een waarschuwing over ongewenste toegang ertoe, afhankelijk van de beleidsinstellingen.
Het werkingsprincipe van Web Control is vergelijkbaar met het werkingsprincipe van veel firewalls... De beheerder maakt een reeks regels die blokkerend of permissief kunnen zijn. Regels specificeren gebruikers, planning, inhoudstype en te ondernemen actie. De regels worden toegepast in de volgorde die is ingesteld door de beheerder, en de eerste die van toepassing is op de gevraagde pagina wordt geactiveerd. Eigenlijk laatste plek kosten universele regel laat iedereen alles doen.
Alleen HTTP- en HTTPS-verkeer wordt gescand.
Blokkeringscriteria
U kunt de toegang rechtstreeks vanaf de URL weigeren of toestaan. In dit geval kunt u maskers gebruiken.
Daarnaast kan KES de inhoud van webpagina's analyseren (bij het werken via HTTP). Hierdoor behoort de site tot een van de bestaande categorieën:
- Voor volwassenen
- Software, audio Video
- Alcohol, tabak, verdovende en psychotrope stoffen
- Geweld
- Vulgair taalgebruik
- Wapens, explosieven, vuurwerk
- gokken, loterijen, loterijen
- Hulpmiddelen voor internetcommunicatie
- Elektronische handel
- Werk zoeken
- HTTP-verzoeken doorsturen
- Computer spelletjes
- Religies, religieuze verenigingen
- Nieuwsbronnen
- spandoeken
of gedefinieerd als:
- Video
- Geluidsgegevens
- Bestanden kantoorprogramma's
- Uitvoerbare bestanden
- Archieven
- Grafische bestanden
In het geval van beveiligde verbindingen (HTTPS) heeft Kaspersky Endpoint Security geen toegang tot de verkeersinhoud. Daarom wordt HTTPs-verkeer alleen gefilterd op adressen. Maar dit heeft geen invloed op bijvoorbeeld het blokkeren van sociale netwerken en het verbieden van https://facebook.com- dit adres is opgenomen in de handtekeningendatabase als verwijzend naar sociale netwerken.
De beheerder kan de weergave van alle vermelde categorieën of gegevenstypen beperken, maar ze kunnen niet worden bewerkt of nieuwe worden toegevoegd.
Bij het maken van een regel kunt u filteren op categorieën en gegevenstypen combineren: blokkeer bijvoorbeeld Office-programmabestanden en archieven die alleen via webmail worden ontvangen.
Om te bepalen tot categorieën behoren, wordt de database met bekende adressen gebruikt (in de map met updates zijn dit pc * .dat-bestanden), en heuristische analyse pagina-inhoud (alleen voor onbeveiligde verbindingen). Daarnaast kan de reputatie van de pagina opgevraagd worden bij de KSN.
Regels voor webbeheer
Houd bij het definiëren van de regels rekening met:
- Volgorde van regels is belangrijk
- Regels worden van boven naar beneden uitgevoerd
- De standaardregel "Alles toestaan" staat helemaal onderaan de lijst
- Standaard wordt er niets geblokkeerd.
Taak: Nodig voor sleutelcomputer organisaties om het beleid voor het starten van applicaties te configureren via de witte lijst, d.w.z. de lancering van alle programma's is verboden, behalve de "witte lijst".
Ik moet meteen zeggen dat het niet mogelijk was om het probleem op te lossen zonder te dansen met een tamboerijn. En in principe durfde ik niet tot het einde.
Op de dit stadium terwijl ik twee minpunten zie:
De eerste is bij het opstartenramenKaspersky start niet onmiddellijk op en er is een interval waarin u software kunt starten die niet in de "witte lijst" staat.
De tweede is het toevoegen van software aan “ Witte lijst”. De toevoeging gebeurt door de hash van het bestand of de toegestane directory wordt eenvoudigweg aangegeven. Alleen op bestandsnaam werkt niet, weet niet waarom. V dit moment Ik communiceer hierover met Kaspersky's TP, er is nog geen oplossing.
Dus laten we beginnen
we hebben op klant machine
Kaspersky Eindpunt Veiligheid 10.
1.
Start Kaspersky Security Center op de server, ga naar de aangemaakte Application Startup Control-groep, ga naar het tabblad Beleid
2.
We openen het beleid
3.
Kies Workplace Control - Application Startup Control. Plaats aan de rechterkant een daw voor Application Startup Control
4.
Sluit vervolgens het beleid
5.
We gaan naar de sectie "Programmabeheer" - Programmacategorieën
6.
Boven "Categorie maken" - Categorietype (handmatig toegevoegde categorie)
7.
Voer de naam van de categorie in
8.
Toevoegen - Van bestandseigenschappen
9.
Gegevens ophalen - uit bestand
10.
Een bestand selecterenexe(Ik nam als voorbeeldExcel.
exe)
11.
We zetten de schakelaar op File Hash en OK.
PS Als je het op de metadata laat staan en alleen de bestandsnaam schrijft, werkt het niet. Het probleem is nog niet opgelost.
12.
Onze categorie zal verschijnen in de sectie Programmacategorieëntest
13.
Ga vervolgens naar de aangemaakte Application Startup Control-groep, ga naar het tabblad beleid
14.
We openen het beleid
15.
Werkplekbesturing selecteren - Opstartbesturing van toepassing
16.
Alles toestaan UIT zetten
17.
Klik op + Toevoegen en voeg onze categorie toetest, Gebruikers- Alle, vinkje - Vertrouwde programma's updates enoke.
18.
Het is raadzaam om de client-pc opnieuw op te starten om het beleid te activeren. Je hoeft niet te overbelasten, dan moet je wachten. Maar voor 100% zekerheid, ik was aan het overbelasten.
Conclusies: In principe is dat alles. Beslissen dit probleem u kunt ook via groepsbeleidADVERTENTIE, wat hoogstwaarschijnlijk redelijker is sinds filteren opexebestand in Kaspersky werkt nog niet. En als u uitsluit door bestandshash, gebruik dan Kaspersky. Nou, ik moest de Kaspersky-clientcomputer updaten naar de nieuwste versie, zodat de besturing op de een of andere manier zou werken. Zonder update werkte het helemaal niet.
PS na het updaten op de clientcomputer, moet u het hulpprogramma uitvoeren
