При работе в веб-интерфейсе программы пользователи с ролью Старший сотрудник службы безопасности могут управлять правилами запрета запуска файлов и процессов на выбранных хостах с помощью политик. Например, вы можете запретить запуск программ, использование которых считаете небезопасным, на выбранном хосте с Kaspersky Endpoint Agent. Программа идентифицирует файлы по их хешу с помощью алгоритмов хеширования MD5 и SHA256. Вы можете создавать, включать и отключать, удалять и изменять правила запрета. Кроме того, по ссылке с названием алгоритма хеширования в таблице правил запрета вы можете выполнять такие действия по поиску объектов, событий или обнаружений, по которым сработали правила запрета, как Найти события, Найти обнаружения, Найти на KL TIP или Найти на virustotal.com.
Правила запрета могут быть следующих типов:
Пользователи с ролью Старший сотрудник службы безопасности могут создавать, редактировать, удалять, включать и отключать правила запрета в рамках тех организаций, к данным которых у них есть доступ.
У пользователей с ролью Сотрудник службы безопасности нет доступа к политикам.
Пользователи с ролью Аудитор могут просматривать таблицу правил запрета запуска файлов и процессов, а также информацию о выбранном правиле запрета без возможности редактирования.
Все изменения в правилах запрета применяются на хостах после установки авторизованного соединения с выбранными хостами. Если соединение с хостами отсутствует, на хостах продолжают действовать старые правила запрета. Изменения в правилах запрета не влияют на уже запущенные процессы.
Правила запрета могут быть созданы автоматически на основе предустановленных политик (далее также "предустановок"), добавленных по умолчанию. При включенных предустановках программа создает правило запрета на основе обнаружения компонента Sandbox со средним или высоким уровнем важности. Созданное правило запрета блокирует запуск файла по его MD5-хешу. Пользователи с ролью Старший сотрудник службы безопасности могут включать и отключать предустановки.
Предустановки не поддерживаются в режиме распределенного решения и multitenancy.
Для правил запрета, созданных автоматически, доступны такие же операции, что и для правил, созданных вручную.
На каждый хеш файла можно создать только одно правило запрета.
Правила запрета действуют только когда программа Kaspersky Endpoint Agent запущена на хосте. Если попытка запуска файла будет совершена до запуска программы Kaspersky Endpoint Agent или после завершения работы программы Kaspersky Endpoint Agent на хосте, то запуск файла не будет заблокирован.
Управление правилами запрета запуска файлов и процессов на выбранных хостах с помощью политик доступно при интеграции Kaspersky Endpoint Agent с сервером Central Node и осуществляется только через веб-интерфейс Kaspersky Anti Targeted Attack Platform.