Cele mai bune practici pentru implementarea unei liste de aplicații permise

Când planificați implementarea modului listei albe, vă recomandăm să efectuați acțiunile următoare:

1. Formează următoarele tipuri de grupuri:
   • Grupuri de utilizatori. Grupurile de utilizatori pentru care trebuie să permiți utilizarea diverselor seturi de aplicații.
   • Grupuri de administrare. Unul sau mai multe grupuri de computere cărora Kaspersky Security Center le va aplica lista de aplicații permise. Este necesar să creați mai multe grupuri de computere dacă sunt utilizate setări diferite ale listei permise pentru acele grupuri.
2. Creează o listă de aplicații a căror pornire trebuie permisă.

   Înainte de crearea unei liste, ți se recomandă următoarele:

   1. Execută activitatea de inventar.

      Informațiile despre crearea, reconfigurarea și pornirea unei activități de inventariere sunt disponibile în secțiunea Gestionare activități.

   2. Vizualizare listă fișiere executabile.

Configurarea modului listă permise pentru aplicații

Când configurați modul listei permise, vă recomandăm să efectuați acțiunile următoare:

1. Creează categorii de aplicații care să conțină aplicațiile a căror pornire trebuie permisă.

   Poți selecta una dintre următoarele metode pentru crearea categoriilor de aplicații:

   • Category with content added manually. Poți adăuga manual în această categorie folosind condițiile următoare:
     • Metadate fișier. Kaspersky Security Center adaugă în categoria de aplicații toate fișierele executabile alături de metadatele specificate.
     • Cod hash fișier. Kaspersky Security Center adaugă în categoria de aplicații toate fișierele executabile alături de hash-urile specificate.

       Folosirea acestei condiții exclude posibilitatea de instalarea automată a actualizărilor pentru că versiunile diferite ale fișierelor vor avea coduri hash diferite.

     • Certificat fișier. Kaspersky Security Center adaugă în categoria de aplicații toate fișierele executabile alături de certificatul specificat.
     • Categorie KL. Kaspersky Security Center adaugă în categoria de aplicații toate aplicațiile aflate în categoria KL specificată.
     • Directorul aplicației. Kaspersky Security Center adăugă în categoria de aplicații toate fișierele executabile din acest director.

       Folosirea condiției directorului Aplicații poate fi nesigură pentru că se va permite pornirea oricărei aplicații din directorul specificat. Se recomandă să aplici reguli care utilizează categoriile de aplicații cu condiția directorului Aplicații doar acelor utilizatori pentru care trebuie permisă instalarea automată a actualizărilor.

   • Category that includes executable files from a specific folder. Poți specifica un director din care fișierele executabile vor fi atribuite automat categoriei de aplicații create.
   • Category that includes executable files from selected devices. Poți specifica un computer pentru care toate fișierele executabile vor fi atribuite automat categoriei de aplicații create.

     Când se folosește această metodă de creare a categoriilor de aplicații, Kaspersky Security Center primește informații despre aplicațiile de pe computer din directorul Fișiere executabile.

2. Select the allowlist mode pentru componenta Application Control.
3. Creează reguli Application Control folosind categoriile de aplicații create.

   Regula Golden Image și regula Trusted Updaters sunt inițial definite pentru modul Listă permise. Aceste reguli Application Control corespund categoriilor KL. Categoria KL „Imagine de aur” include programe care asigură funcționarea normală a sistemului de operare. Categoria KL „Programe de actualizare de încredere” include programe de actualizare de la cei mai reputați distribuitori de software. Nu poți șterge aceste reguli. Setările acestor reguli nu pot fi editate. În mod implicit, regula Golden Image este activată, iar regula Trusted Updaters este dezactivată. Tuturor utilizatorilor le este permis să pornească aplicații care corespund condițiilor de declanșare din aceste reguli.

4. Stabilește aplicațiile pentru care trebuie permisă instalarea automată a actualizărilor.

   Poți permite instalarea automată a actualizărilor prin una dintre modalitățile următoare:

   • Specifică o listă extinsă de aplicații permise prin activarea pornirii tuturor aplicațiilor care aparțin unei categorii KL.
   • Specifică o listă extinsă de aplicații permise prin activarea pornirii tuturor aplicațiilor semnate cu certificate.

     Pentru a permite pornirea tuturor aplicațiilor semnate cu certificate, poți crea o categorie cu condiție bazată pe certificat care folosește numai parametrul Subject cu valoarea *.

   • Pentru regula Application Control, selectați parametrul Trusted Updaters. Dacă această casetă de selectare este bifată, Kaspersky Endpoint Security consideră aplicațiile incluse în reguli drept Programe de actualizare de încredere. Kaspersky Endpoint Security permite pornirea aplicațiilor instalate sau actualizate de către aplicații incluse în regulă, cu condiția să nu fie aplicate reguli de blocare respectivelor aplicații.

     Atunci când se migrează setări Kaspersky Endpoint Security, se migrează și lista de fișiere executabile create de către programe de actualizare de încredere.

   • Creează un dosar și plasează în el fișierele executabile ale aplicațiilor pentru care dorești să permiți instalarea automată de actualizări. Apoi creează o categorie de aplicații cu condiția „Director aplicații” și stabilește calea către respectivul director. Apoi creează o regulă de permitere și selectați această categorie.

     Folosirea condiției directorului Aplicații poate fi nesigură pentru că se va permite pornirea oricărei aplicații din directorul specificat. Se recomandă să aplici reguli care utilizează categoriile de aplicații cu condiția directorului Aplicații doar acelor utilizatori pentru care trebuie permisă instalarea automată a actualizărilor.

Testarea modului listă permise

Pentru a te asigura că regulile Application Control nu îți blochează aplicații de care ai nevoie la serviciu, se recomandă să activezi testarea pentru regulile Application Control și să analizezi funcționarea lor după crearea de reguli noi. Când este activată testarea, Kaspersky Endpoint Security nu va bloca aplicațiile a căror lansare este interzisă de regulile Application Control, dar va trimite către serverul de administrare notificări despre pornirea lor.

Când testați modul listei permise, vă recomandăm să efectuați acțiunile următoare:

1. Stabilește perioada de testare (de la câteva zile până la două luni).
2. Activează testarea regulilor Application Control.
3. Examinează evenimentele rezultate în urma testării funcționării componentei Application Control și rapoartele despre aplicațiile blocate în modul de testare pentru a analiza rezultatele testării.
4. În funcție de rezultatele analizei, schimbă setările modului listei permise.

   În mod deosebit, în funcție de rezultatele testului, puteți adăuga fișiere executabile referitoare la evenimente într-o categorie de aplicații.

Compatibilitate pentru modul listă permise

După selectarea unei acțiuni de blocare pentru Application Control, vă recomandăm să continuați compatibilitatea modului listei permise efectuând acțiunile următoare:

• Examinează evenimentele rezultate în urma funcționării componentei Application Control și rapoartele despre executările blocate pentru a analiza eficiența Application Control.
• Analizează solicitările utilizatorilor de accesare a aplicațiilor.
• Analizați fișierele executabile necunoscute verificându-le reputația în Kaspersky Security Network.
• Înainte de instalarea actualizărilor pentru sistemul de operare sau pentru software, instalează actualizările respective pe un grup de computere test pentru a verifica modul în care vor fi procesate de regulile Application Control.
• Adaugă aplicațiile necesare în categoriile utilizate în regulile Application Control.