La module Protection contre le chiffrement permet de protéger vos fichiers dans les répertoires locaux accessibles sur le réseau via les protocoles SMB/NFS contre le chiffrement malveillant à distance.
Pour utiliser le module, vous devez posséder la licence qui couvre cette fonction.
Cette fonctionnalité n'est pas prise en charge dans le conteneur KESL.
Si la protection contre le chiffrement est activée, Kaspersky Endpoint Security vérifie les actions des appareils distants avec des ressources de fichiers situées dans les répertoires réseau partagés de l'appareil protégé pour détecter la présence d'un chiffrement malveillant. Si une application interprète les actions d'un appareil distant accédant aux partages réseau comme un chiffrement malveillant, l'application crée et active une règle de pare-feu du système d'exploitation qui bloque le trafic réseau provenant de l'appareil compromis. L'appareil compromis est ajouté à la liste des appareils non fiables et l'accès aux répertoires réseau partagés pour tous les appareils non fiables est bloqué. L'application génère un événement Chiffrement détecté, qui contient des informations sur l'appareil compromis.
Par défaut, l'application bloque l'accès des hôtes douteux aux ressources de fichier réseau pendant 30 minutes. Une fois le délai de blocage expiré, l'application supprime l'appareil compromis de la liste des appareils non fiables et l'accès de l'appareil aux ressources de fichiers réseau est automatiquement restauré.
Les règles de pare-feu créées par le module Protection contre le chiffrement ne peuvent pas être supprimées à l'aide de l'utilitaire iptables, car l'application restaure l'ensemble des règles toutes les minutes.
Par défaut, la protection contre le chiffrement malveillant à distance est désactivée.
Vous pouvez activer ou désactiver la protection contre le chiffrement malveillant, et également configurer les paramètres de protection :
Si l'action Informer est sélectionné, l'application analyse malgré tout les actions des appareils distants sur les ressources de fichiers réseau afin d'identifier d'éventuels chiffrements malveillants lorsque la protection par chiffrement est activée. Si un chiffrement malveillant est détecté, un événement Chiffrement détecté est généré, mais l'appareil compromis n'est pas bloqué.
L'application ne considère pas les actions comme du chiffrement si une activité de chiffrement est détectée dans des répertoires exclus de la protection par chiffrement.
À l’aide des commandes de gestion des appareils verrouillés dans la ligne de commande, vous pouvez afficher une liste des appareils verrouillés et déverrouiller manuellement ces appareils. Kaspersky Security Center ne dispose pas d'outils de surveillance et de gestion des appareils bloqués, à l'exclusion des événements Chiffrement détecté.
Pour que le module Protection contre le chiffrement fonctionne correctement, il faut installer au moins un des services suivants dans le système d'exploitation : Samba ou NFS. Pour le service NFS, le paquet rpcbind doit être installé.
Le module Protection contre le chiffrement fonctionne sans problème avec les protocoles SMB1, SMB2, SMB3, NFS3, TCP / UDP et IP / IPv6. Les protocoles NFS2 et NFS4 ne sont pas pris en charge. Il est conseillé de configurer le serveur de telle sorte que les protocoles NFS2 et NFS4 ne puissent pas être utilisés pour monter des ressources.
Kaspersky Endpoint Security ne bloque pas l'accès aux ressources de fichiers réseau tant que les actions de l'appareil n'ont pas été considérées comme malveillantes. Autrement dit, au moins un fichier doit être chiffré avant que l'application ne détecte une activité malveillante.