作为威胁响应操作的一部分,设备可以与网络隔离。
与网络隔离相关的特殊注意事项
启用网络隔离后,应用程序将切断设备上的所有活动网络连接并阻止所有新的 TCP/IP 网络连接,但以下列出的连接除外:
当满足以下条件之一时,可以应用网络隔离:
无论是否启用与 Detection and Response 解决方案的整合,也无论是否将策略应用于设备,都可以手动禁用网络隔离。激活 EDR Optimum 组件和 Kaspersky Anti Targeted Attack Platform 解决方案也不会影响禁用网络隔离的能力。
当与 Kaspersky Endpoint Detection and Response (KATA) 集成时,网络隔离被启用或禁用,并且在 Kaspersky Endpoint Detection and Response 解决方案端配置网络隔离排除项。有关更多详细信息,请参阅Kaspersky Anti Targeted Attack Platform 帮助。如有必要,您可以在Web Console 的设备属性中或命令行上手动禁用设备的网络隔离。
与 Kaspersky Endpoint Detection and Response Optimum 集成时,可以采用以下模式之一应用网络隔离:
您可以管理以下自动网络隔离设置:
如果被自动隔离的设备符合某项策略,则会应用该策略中指定的设置。如果未应用某项策略,则应用设备属性中指定的设置。
您可以管理以下手动网络隔离设置:
与 Kaspersky Endpoint Detection and Response Optimum 集成时,您可以在 Web Console 上的设备属性中和命令行上手动禁用设备的网络隔离。
您可以在命令行上检查设备的网络隔离状态。
隔离设备会被被自动分配“已从网络隔离”标签。当网络隔离被禁用时,此标签会被自动删除。
有关按标签获取隔离设备列表的常规信息,请参阅Kaspersky Endpoint Detection and Response Optimum 帮助。
网络隔离限制
使用网络隔离时,我们强烈建议您熟悉相关限制。
要使网络隔离起作用,必须运行 Kaspersky Endpoint Security。如果 Kaspersky Endpoint Security 出现故障(且应用程序未运行),则当 Kaspersky Anti Targeted Attack Platform 或 Kaspersky Endpoint Detection and Response Optimum 启用网络隔离时,无法保证流量阻止。
DHCP 和 DNS 不会自动添加到网络隔离排除项中,因此如果在网络隔离期间变更资源的网络地址,Kaspersky Endpoint Security 将无法访问该资源。这同样适用于容错 KATA 服务器的节点。我们建议不要更改它们的地址,这样 Kaspersky Endpoint Security 不会与它们失去联系。
代理服务器不会被自动添加到网络隔离排除项中,因此您需要手动将其添加到排除项中,以便 Kaspersky Endpoint Security 不会失去与 KATA 服务器的联系。
在支持带有 BTF 的 eBPF 的内核版本 4.18 至 6.6 的设备上,支持按照名称将进程从网络隔离中排除。
如果在标准模式下使用 Kaspersky Endpoint Security,我们建议在使用网络隔离时执行以下操作:
如果无法使用 Kaspersky Security Center 作为代理服务器,则必须配置要使用的代理服务器并将其添加到排除项中。
如果在 Light Agent 模式下使用 Kaspersky Endpoint Security,则这些建议不适用。