В рамках действия по реагированию на угрозы устройство может быть изолировано от сети.
Особенности работы сетевой изоляции
После включения сетевой изоляции приложение разрывает все активные и блокирует все новые сетевые соединения TCP/IP на устройстве, кроме следующих:
Сетевая изоляция может применяться при выполнении одного из следующих условий:
Выключение сетевой изоляции вручную доступно вне зависимости от того, включена ли интеграция с решениями Detection and Response, а также вне зависимости от того, распространяется ли на устройство действие политики. Активация компонента EDR Optimum и решения Kaspersky Anti Targeted Attack Platform также не влияет на возможность выключения сетевой изоляции.
При интеграции с Kaspersky Endpoint Detection and Response (KATA) включение и выключение сетевой изоляции устройства, а также настройка исключений из сетевой изоляции выполняется на стороне решения Kaspersky Endpoint Detection and Response (KATA). Подробнее см. в справке Kaspersky Anti Targeted Attack Platform. Если требуется, вы можете вручную выключать сетевую изоляцию устройства в свойствах устройства в Web Console или в командной строке.
При интеграции с Kaspersky Endpoint Detection and Response Optimum сетевая изоляция может применяться в одном из следующих режимов:
Вы можете настроить следующие параметры сетевой изоляции в автоматическом режиме:
Если на устройство, изолируемое в автоматическом режиме, распространяется политика, то применяются параметры, заданные в политике. Если политика не распространяется, то применяются параметры, заданные в свойствах устройства.
Вы можете настроить следующие параметры сетевой изоляции в ручном режиме:
При интеграции с Kaspersky Endpoint Detection and Response Optimum вы можете вручную выключать сетевую изоляцию устройства в свойствах устройства в Web Console и в командной строке.
Вы можете проверять статус сетевой изоляции устройства в командной строке.
Изолированному устройству автоматически присваивается тег ISOLATED FROM NETWORK. После выключения сетевой изоляции этот тег автоматически снимается.
Общую информацию о получении списка изолированных устройств по тегу см. в справке Kaspersky Endpoint Detection and Response Optimum.
Ограничения сетевой изоляции
При использовании сетевой изоляции настоятельно рекомендуется ознакомиться с описанными ограничениями.
Для работоспособности сетевой изоляции требуется, чтобы приложение Kaspersky Endpoint Security было запущено. Во время сбоя в работе приложения Kaspersky Endpoint Security (когда приложение не запущено), блокировка трафика при включении сетевой изоляции решением Kaspersky Anti Targeted Attack Platform или Kaspersky Endpoint Detection and Response Optimum не гарантируется.
DHCP и DNS не добавляются автоматически в исключения из сетевой изоляции, поэтому если сетевой адрес какого-то ресурса был изменен во время сетевой изоляции, приложение Kaspersky Endpoint Security не сможет получить к нему доступ. Это же относится к узлам отказоустойчивого сервера KATA. Не рекомендуется менять их адреса, чтобы приложение Kaspersky Endpoint Security не потеряло с ними связь.
Прокси-сервер не добавляется автоматически в исключения из сетевой изоляции, поэтому требуется добавить его в исключения вручную, чтобы приложение Kaspersky Endpoint Security не потеряло связь с сервером KATA.
Исключение процесса из сетевой изоляции по имени поддерживается на устройствах с версией ядра от 4.18 до 6.6 с поддержкой eBPF с BTF.
Если приложение Kaspersky Endpoint Security используется в стандартном режиме, при использовании сетевой изоляции рекомендуется:
В случае невозможности использования Kaspersky Security Center в качестве прокси-сервера требуется настроить параметры нужного прокси-сервера и добавить его в исключения.
Эти рекомендации неприменимы, если приложение Kaspersky Endpoint Security используется в режиме Легкого агента.