Kaspersky sikkerhetssenter blokkerer applikasjoner som starter

Legg igjen en kommentar 6,950

22.05.2015 Vladimir Bezmaly

Hindre programmer fra å starte fra flyttbare medier ved å bruke den installerte bedriftsløsning Kaspersky Lab

Små bedrifter som bruker sikkerhetsløsninger uten et enkelt senter ledelsen, oppstår spørsmålet om å kontrollere lanseringen av programmer med jevne mellomrom. Hva menes? Lanseringen av spesifikke programmer og applikasjoner av en eller annen bruker, behovet for å blokkere spill, uautorisert installerte nettlesere etc. En av disse oppgavene, primært knyttet til overholdelse av sikkerhetsregimet, er forbudet mot å starte applikasjoner fra flyttbare medier. For dette er det gitt hele linjen løsninger. Vi vil vurdere hvordan vi løser dette problemet ved å bruke en installert bedriftsløsning fra Kaspersky Lab.

Hindre alle brukere fra å starte programmer fra flyttbare medier

Åpne hovedvinduet Kaspersky-programmer Endpoint Security Windows 10 (KES 10) og gå til fanen Oppsett (se figur 1).

Skjerm 1. Vinduet for konfigurering av KES 10-parametrene

Velg delen "Application Startup Control" til venstre. I kategorien Innstillinger, ikke glem å merke av for Aktiver programoppstartskontroll. V ellers funksjonen vil være deaktivert som standard. Følg disse trinnene for å legge til en kontrollregel:

  1. Klikk på Legg til-knappen. Vinduet "Application Startup Control Rule" åpnes.
  2. Opprett regelparametere:

a) i "Navn"-feltet, skriv inn navnet på regelen, for eksempel "Flyttbart medium";

b) i tabellen Inkluderende betingelser oppretter du en liste over aktiveringsbetingelsene for å utløse kontrollregelen for oppstart av applikasjonen (i vårt tilfelle, aktiver Betingelse etter filmedier (se figur 2);

c) angi en liste over brukere eller grupper av brukere som har tillatelse til å kjøre applikasjoner som oppfyller reglene som utløser utløsende forhold. I vårt tilfelle, slett "Alle"-listen ved å klikke på "Slett"-knappen;

d) angi en liste over brukere som har forbud mot å kjøre applikasjoner som oppfyller aktiveringsbetingelsene for at regelen skal utløses. I vårt tilfelle "Alle". Hvis du vil, gi lanseringstillatelse til din lokale administrator.

Vær oppmerksom på at regelen ikke kontrollerer oppstart av programmer av brukere eller brukergrupper som ikke er spesifisert i feltene for å tillate eller nekte oppstart av programmer.

Etter å ha fullført trinnene ovenfor, når brukeren prøver å starte et program fra flyttbare medier, vises advarselen vist i figur 3.

Hvis du ønsker å forby bruk av spill, kan denne regelen settes ved hjelp av de såkalte KL-kategoriene.

Det mest plagsomme er imidlertid bruken av forskjellige nettlesere og spesielt deres oppdatering. Siden den enkleste måten, etter min mening, i et bedriftsmiljø å oppdatere Internet Explorer, la oss lage en regel som lar Internet Explorer starte, men forbyr bruk av alle andre nettlesere. For å gjøre dette, la oss lage en regel ved å følge disse trinnene:

  1. Velg kategorien Ban alle nettlesere (fra listen KL-kategori) (se figur 4).
  2. Unntaket er Internet Explorer, som figur 5 viser.

Så vi har enkelt klart å forby uønskede nettlesere i organisasjonen. Og til slutt vil vi stenge tilgangen til spill.

Nekter tilgang til spill

La oss lage, analogt med nettlesere, et forbud mot bruk spillprogrammer I organisasjonen. Vi velger programmer fra kategorien «Underholdning», underkategorien «Spill» (se figur 7).

Som du kan se, ligner det å opprette et spillforbud på det forrige nettleserforbudet.

Selvfølgelig er det mange programmer for å kontrollere lanseringen av visse produkter, og deres tankeløse bruk kan ikke bare forbedre, men til og med forverre beskyttelsen av nettverket ditt, og enda mer mikroklimaet i teamet.

Før du oppretter disse eller disse reglene for å kontrollere lanseringen av programmer, vil jeg anbefale at du først oppretter en "matrise av roller" for brukerne dine (det vil si hvilken bruker som utfører en bestemt oppgave og som følgelig trenger denne eller den programvaren). Basert på dette bør det bestemmes nødvendig minimum programvare og først deretter lukke alt annet. Hvorfor minimum? For det første koster programvare penger. For det andre, jo mer tredjeparts programmer installert på arbeidsplassen, jo høyere er sannsynligheten for brukerfeil. Og til slutt, jo flere tredjepartsprogrammer som er på arbeidsplassen, desto høyere er risikoen for å trenge inn i systemet gjennom sårbarheter i et bestemt program. Alt dette vil negativt påvirke både produktiviteten til dine ansatte og den generelle sikkerheten til organisasjonen.



Dette materialet ble utarbeidet for fagpersoner involvert i ledelsen antivirusbeskyttelse og sikkerhet i virksomheten.

Den mest interessante funksjonaliteten til de nyeste versjonene er beskrevet og analysert på denne siden. Kaspersky-endepunkt Security 10 og midtkonsoll Kaspersky-ledelse Sikkerhetssenter 10.

Informasjonen ble valgt basert på erfaringen med kommunikasjon mellom NovaInTech-spesialister, med systemadministratorer, ledere for IT-avdelinger og sikkerhetsavdelinger i organisasjoner som nettopp bytter til Kaspersky antivirusbeskyttelse, eller går gjennom prosessen med å bytte fra å bruke den 6. versjon av antiviruset på klientdatamaskiner og administrasjonskonsollen Kit 8. I sistnevnte tilfelle, når antivirusbeskyttelse fra Kaspersky Lab allerede er i bruk, er det også vanlig at IT-spesialister ikke vet det meste interessante øyeblikk i arbeidet med nye versjoner av produkter som virkelig bidrar til å gjøre livet enklere for de samme IT-profesjonelle, og samtidig øke nivået av sikkerhet og pålitelighet.

Etter å ha lest denne artikkelen og sett videoene, kan du kort gjøre deg kjent med den mest interessante funksjonaliteten som tilbys av den nyeste versjonen av Kaseprky Security Center og Kaspersky Endpoint Security-administrasjonskonsollen og se hvordan den fungerer.

1. Installere administrasjonsserveren til Kaspersky Security Center 10.

De nødvendige distribusjonene finnes på det offisielle nettstedet til Kaspersky Lab:

MERK FØLGENDE! Til distribusjon fullversjon Kaspersky Security Center inkluderer allerede distribusjonssettet til Kaspersky Endpoint Security siste versjon.

Først av alt vil jeg fortelle deg om hvor du skal begynne å installere antivirusbeskyttelse fra Kaspersky Lab: Ikke fra selve antivirusene på klientdatamaskiner, som det kan virke ved første øyekast, men fra installasjonen av administrasjonsserveren og den sentrale administrasjonskonsollen til Kaspesky Security Center (KSC). Ved hjelp av denne konsollen kan du distribuere antivirusbeskyttelse på alle datamaskiner på institusjonen din mye raskere. I denne videoen vil du se det etter installasjon og minimal serverkonfigurasjon KSC administrasjon, blir det mulig å opprette et installasjonsprogram antivirusløsning for klientdatamaskiner, som selv en helt uforberedt bruker kan installere (jeg tror alle administratorer har slike "brukere") - installasjonsgrensesnittet inneholder kun 2 knapper - "Installer" og "Lukk".

Selve administrasjonsserveren kan installeres på hvilken som helst datamaskin som alltid er slått på eller så tilgjengelig som mulig, denne datamaskinen må være synlig for andre datamaskiner på nettverket, og det er veldig viktig for den å ha tilgang til Internett (for nedlasting av databaser og synkronisering med KSN-skyen).

Se videoen selv om du har installert midtkonsollen før, men tidligere versjoner- kanskje du vil høre og se noe nytt for deg selv ...

LIKER VIDEOEN?
Det gjør vi også levering av Kaspersky-produkter... Og enda mer – vi gir teknisk støtte. Vi bryr oss om kundene våre.

2. Sette opp sentralisert administrasjon på datamaskiner med Kaspersky allerede installert.

Det er ofte funnet at i små organisasjoner, systemadministratorer installer og konfigurer antivirusbeskyttelse på hver datamaskin manuelt. Dermed øker tiden de bruker på å vedlikeholde antivirusbeskyttelse og de har ikke nok tid til noen viktigere oppgaver. Det er tilfeller der administratorer, rett og slett på grunn av mangel på tid, rett og slett ikke vet om hva som er inne bedriftsversjoner antivirusbeskyttelse fra Kaspersky Lab, generelt finnes det sentralisert ledelse, og vet ikke at for dette sivilisasjonens mirakel trenger du ikke betale noe.

For å "koble" de allerede installerte klient-antivirusene til administrasjonsserveren trenger du veldig lite:

  • Installer administrasjonsserveren (del 1 i denne artikkelen).
  • Installer Administration Server Agent (NetAgent) på alle datamaskiner - jeg vil beskrive installasjonsalternativene i den vedlagte videoen nedenfor.
  • Etter installasjonen av Administration Server-agenten vil datamaskiner, avhengig av innstillingene dine, enten være i delen "Ikke distribuerte datamaskiner" eller i delen "Administrerte datamaskiner". Hvis datamaskiner er i "Not distribuerte datamaskiner"- de må overføres til" administrerte datamaskiner "og sette opp en policy som gjelder for dem.

Etter disse handlingene vil datamaskinene dine være synlige for deg fra sentralkonsollen, brukere vil ikke lenger kunne administrere antivirusene som er installert på maskinene deres, og som et resultat vil det være færre infeksjoner og mindre hodepine for administratoren.

I videoen nedenfor vil jeg prøve å beskrive scenariene for å installere NetAgents på klientdatamaskiner, avhengig av hvordan nettverket ditt er ordnet.


Det viste seg at ikke alle lesere vil ha, og viktigst av alt, vite hvordan de skal lese og forstå produktdokumentasjon; dessuten installerer de fleste Kaspersky Endpoint Security med standardinnstillinger og bruker deretter dette produktet utelukkende som et antivirus. Jeg har allerede skrevet mange ganger at dette produktet faktisk er mye bredere og kraftigere.

I dag vil vi prøve å snakke om blokkering av nettsteder etter kategori, det vil for eksempel være hvordan du blokkerer sosiale nettverk.

Oppgaven ble satt til å blokkere visse typer nettsteder.

Denne oppgaven tilhører kategorien Webkontroll, så i denne artikkelen vil vi utelukkende snakke om denne teknologien.

Oppgaven til Web Control er å filtrere brukertilgang til Internett-ressurser i samsvar med organisasjonens interne policy. Dette betyr vanligvis blokkering av nettsteder. sosiale nettverk, musikk og video, ikke-integrert webmail, etc. v arbeidstid... Hvis brukeren ønsker å kontakte en slik server, vil han motta et varsel om blokkering, eller en advarsel om uønsket tilgang til den, avhengig av policyinnstillingene.

Prinsippet for drift av webkontroll ligner på operasjonsprinsippet til mange brannmurer... Administratoren oppretter et sett med regler som kan være blokkerende eller tillate. Regler spesifiserer brukere, tidsplan, innholdstype og handling som skal utføres. Reglene brukes i rekkefølgen angitt av administratoren, og den første som gjelder for den forespurte siden utløses. Faktisk siste plass kostnader universell regel la alle gjøre alt.

Bare HTTP- og HTTPS-trafikk skannes.

Blokkeringskriterier

Du kan nekte eller tillate tilgang direkte fra URL-en. I dette tilfellet kan du bruke masker.

I tillegg kan KES analysere innholdet på nettsider (når du arbeider over HTTP). Som et resultat tilhører nettstedet en av de eksisterende kategoriene:

  • For voksne
  • Programvare, lyd video
  • Alkohol, tobakk, narkotiske og psykotrope stoffer
  • Vold
  • Banning
  • Våpen, eksplosiver, pyroteknikk
  • Gambling, lotterier, konkurranser
  • Internett-kommunikasjonsverktøy
  • Elektronisk handel
  • Jobb søk
  • Videresende HTTP-forespørsler
  • Dataspill
  • Religioner, religiøse foreninger
  • Nyhetsressurser
  • Bannere

eller definert som:

Når det gjelder sikre tilkoblinger (HTTPS), har ikke Kaspersky Endpoint Security tilgang til trafikkinnholdet. Derfor filtreres HTTP-trafikk kun etter adresser. Men dette forstyrrer ikke blokkering av sosiale nettverk, for eksempel, og forbud https://facebook.com- denne adressen er inkludert i signaturdatabasene som refererer til sosiale nettverk.

Administratoren kan begrense visningen av alle de listede kategoriene eller datatypene, men de kan ikke redigeres eller legges til nye.

Når du oppretter en regel, kan du kombinere filtrering etter kategorier og datatyper: for eksempel blokkere kontorprogramfiler og arkiver som bare mottas via webmail.

For å fastslå tilhørighet til kategorier brukes databasen med kjente adresser (i mappen med oppdateringer er disse pc * .dat-filer), og heuristisk analyse sideinnhold (kun for usikrede tilkoblinger). I tillegg kan sidens omdømme fås fra KSN.

Regler for nettkontroll

Når du definerer reglene, bør du vurdere:

  1. Rekkefølgen på regler har betydning
  2. Regler utføres fra topp til bunn
  3. Standardregelen «Tillat alle» er helt nederst på listen
  4. Som standard er ingenting blokkert.
Arkivert under:

Oppgave: Trengs for nøkkel datamaskin organisasjoner for å konfigurere policyen for å starte applikasjoner etter hvitelisten, dvs. lansering av alle programmer er forbudt bortsett fra "hvitelisten".
Jeg må si med en gang at det ikke var mulig å løse problemet uten å danse med tamburin. Og i prinsippet turte jeg ikke til slutten.
dette stadiet mens jeg ser to minuser:
Den første er ved oppstartWindowsKaspersky starter ikke opp umiddelbart, og det er et intervall der du kan starte programvare som ikke er på "hvitlisten".
Den andre er å legge til programvare til " Hvit liste". Tilføyelsen skjer ved at filens hash eller den tillatte katalogen er ganske enkelt angitt. Bare ved filnavn fungerer ikke, vet ikke hvorfor. V dette øyeblikket Jeg kommuniserer om dette med Kasperskys TP, det er ingen løsning ennå.
Så la oss begynne
Vi har på klientmaskin Kaspersky Endepunkt Sikkerhet 10.
1. Start Kaspersky Security Center på serveren, gå til den opprettede kontrollgruppen for programoppstart, gå til policy-fanen
2. Vi åpner politikken
3. Velg Workplace Control - Application Startup Control. På høyre side setter du en daw foran Application Startup Control

4. Deretter lukker du policyen
5. Vi går til seksjonen "Programledelse" - Programkategorier

6. Over "Opprett kategori" - Kategoritype (kategori lagt til manuelt)
7. Skriv inn navnet på kategorien
8. Legg til - Fra filegenskaper
9. Hent data – fra fil10. Velge en filexe(Jeg tok som eksempelutmerke. exe)
11. Vi setter bryteren på File Hash og OK.
P.S. Hvis du lar det stå på metadataene og bare skriver filnavnet, fungerer det ikke. Problemet er ikke løst ennå.12. Vår kategori vil vises i Programkategorier-delentest
13. Gå deretter til den opprettede kontrollgruppen for programoppstart, gå til policy-fanen
14. Vi åpner politikken
15. Velge Workplace Control - Application Startup Control
16. Tillat alt satt AV
17. Klikk + Legg til og legg til kategorien vårtest, Brukere- Alle, hake - Klarerte programmer oppdateringer ogOK.
18. Det anbefales å starte klient-PCen på nytt for at policyen skal aktiveres. Du trenger ikke å overbelaste, da må du vente. Men for 100% sikkerhet var jeg overbelastet.

Konklusjoner: I prinsippet er det alt. Bestemme seg for dette problemet du kan også gjennom gruppepolicyerAD, som mest sannsynlig er mer fornuftig siden filtrer etterexefilen i Kaspersky fungerer ikke ennå. Og hvis du ekskluderer med filhash, bruk Kaspersky. Vel, jeg måtte oppdatere på Kaspersky-klientmaskinen til den nyeste versjonen slik at kontrollen på en eller annen måte ville fungere. Uten oppdatering fungerte det ikke i det hele tatt.

P.S. etter oppdatering på klientmaskinen, må du kjøre verktøyet



© Copyright 2017, https://qzoreteam.ru