Die Komponente "Schutz vor Verschlüsselung" ermöglicht Ihnen, Ihre Dateien in den lokalen Verzeichnissen mit Netzwerkzugang durch SMB-/NFS-Protokolle vor bösartiger Remote-Verschlüsselung zu schützen.
Um die Komponente nutzen zu können, benötigen Sie eine Lizenz, in der diese Funktionalität enthalten ist.
Diese Funktionalität wird im KESL-Container nicht unterstützt.
Wenn der Schutz vor Verschlüsselung aktiviert ist, prüft Kaspersky Endpoint Security die Aktionen von Remote-Geräten mit Dateiressourcen, die sich in freigegebenen Netzwerkverzeichnissen des geschützten Geräts befinden, auf bösartige Verschlüsselung. Wenn die App die Aktionen eines Remote-Geräts, das auf freigegebene Netzwerkressourcen zugreift, als bösartige Verschlüsselung interpretiert, erstellt und aktiviert die App eine Regel für die Firewall des Betriebssystems, die den Netzwerkverkehr vom gefährdeten Gerät blockiert. Das kompromittierte Gerät wird zur Liste der nicht vertrauenswürdigen Geräte hinzugefügt und der Zugriff auf freigegebene Netzwerkverzeichnisse für alle nicht vertrauenswürdigen Geräte wird blockiert. Die App generiert das Ereignis Verschlüsselung erkannt, das Informationen über das gefährdete Gerät enthält.
Standardmäßig blockiert die App den Zugriff von nicht vertrauenswürdigen Computern auf freigegebene Netzwerkordner für 30 Minuten. Nach Ablauf der Sperrzeit entfernt die App das gefährdete Gerät aus der Liste der nicht vertrauenswürdigen Geräte und der Zugriff des Geräts auf freigegebene Netzwerkordner wird automatisch wiederhergestellt.
Firewall-Regeln, die von der Komponente "Schutz vor Verschlüsselung" erstellt wurden, können nicht mithilfe des Tools "iptables" gelöscht werden, da die App die Regeln jede Minute wiederherstellt.
Standardmäßig ist der Schutz vor bösartiger Remote-Verschlüsselung deaktiviert.
Sie können den Schutz vor bösartiger Verschlüsselung ein- und ausschalten und auch Schutzeinstellungen konfigurieren:
Wenn die Aktion Informieren ausgewählt wurde, untersucht die App die Aktionen von Remote-Geräten mit freigegebenen Netzwerkordnern trotzdem auf bösartige Verschlüsselung, wenn die Aufgabe zum Schutz vor Verschlüsselung ausgeführt wird. Sollte eine bösartige Verschlüsselung erkannt werden, wird das Ereignis Verschlüsselung erkannt erstellt, das kompromittierte Gerät wird jedoch nicht blockiert.
Die App stuft eine Aktivität nicht als Verschlüsselung ein, wenn die Verschlüsselungsaktivität in Verzeichnissen entdeckt wird, die vom Schutz vor Verschlüsselung ausgeschlossen sind.
Mithilfe der Befehle zur Verwaltung blockierter Geräte in der Befehlszeile können Sie die Liste der blockierten Geräte anzeigen und diese Geräte manuell entsperren. Kaspersky Security Center verfügt über keine Tools zur Überwachung und Verwaltung blockierter Geräte, mit Ausnahme der Ereignisse Verschlüsselung erkannt.
Damit die Komponente "Schutz vor Verschlüsselung" ordnungsgemäß ausgeführt werden kann, muss mindestens einer der folgenden Dienste im Betriebssystem installiert sein: Samba oder NFS. Für den NFS-Dienst muss das Paket rpcbind installiert sein.
Die Komponente "Schutz vor Verschlüsselung" wird mit den Protokollen SMB1, SMB2, SMB3, NFS3, TCP/UDP und IP/IPv6 korrekt ausgeführt. Die Protokolle NFS2 und NFS4 werden nicht unterstützt. Es wird empfohlen, dass Sie Ihre Server-Einstellungen so konfigurieren, dass NFS2- und NFS4-Protokolle nicht zum Mounten von Ressourcen verwendet werden können.
Kaspersky Endpoint Security blockiert den Zugriff auf die freigegebenen Netzwerkordner erst dann, wenn die Aktivitäten des Geräts als bösartig eingestuft wurden. Es wird daher mindestens eine Datei verschlüsselt, bevor die App eine bösartige Aktivität erkennt.