Kaspersky Endpoint Security для Windows 11.10.0
Русский

Содержание

[Topic 127969]

Что нового

Обновление 11.10.0

В Kaspersky Endpoint Security для Windows 11.10.0 появились следующие возможности и улучшения:

  1. Добавлена поддержка стороннего поставщика учетных данных ADSelfService Plus для работы SSO при полнодисковом шифровании Kaspersky. Kaspersky Endpoint Security контролирует пароль пользователя для ADSelfService Plus и обновляет данные для Агента аутентификации, если пользователь, например, сменил пароль.
  2. Добавлена возможность включить отображение угроз, обнаруженных с помощью технологии Cloud Sandbox. Эта возможность доступна пользователям решений Endpoint Detection and Response (EDR Optimum или EDR Expert). Cloud Sandbox – технология, которая позволяет обнаруживать сложные угрозы на компьютере. Kaspersky Endpoint Security автоматически отправляет подозрительные файлы в Cloud Sandbox для анализа. Cloud Sandbox запускает эти файлы в изолированной среде для выявления вредоносной активности и принимает решение о репутации этих файлов.
  3. Добавлена дополнительная информация о файлах в деталях обнаружения для пользователей EDR Optimum. Теперь детали обнаружения содержат информацию о группе доверия, цифровой подписи, данные о распространении файла и другую информацию. Также вы сможете перейти к подробному описанию файла на Kaspersky Threat Intelligence Portal (KL TIP) прямо из деталей обнаружения.
  4. Улучшена производительность приложения. Для этого оптимизирована работа фоновой проверки и добавлена возможность ставить задачи проверки в очередь, если проверка уже выполняется.

Обновление 11.9.0

В Kaspersky Endpoint Security для Windows 11.9.0 появились следующие возможности и улучшения:

  1. Добавлена возможность создавать служебную учетную запись Агента аутентификации при шифровании диска. Служебная учетная запись нужна для доступа к компьютеру в случаях, когда пользователь, например, забыл пароль. Также вы можете использовать служебную учетную запись в качестве резервной учетной записи.
  2. Из комплекта поставки приложения исключен дистрибутив Kaspersky Endpoint Agent. Для работы решений Detection and Response вы можете использовать встроенный агент Kaspersky Endpoint Security. Если требуется, вы можете загрузить дистрибутив Kaspersky Endpoint Agent из комплекта поставки решения Kaspersky Anti Targeted Attack Platform.
  3. Улучшен интерфейс деталей обнаружения для Kaspersky Endpoint Detection and Response Optimum (EDR Optimum). Добавлены подсказки к функциям реагирования на угрозы. Также отображается пошаговая инструкция по обеспечению безопасности инфраструктуры организации при обнаружении индикаторов компрометации.
  4. Добавлена возможность активации Kaspersky Endpoint Security для Windows лицензионным ключом Kaspersky Security для виртуальных и облачных сред.
  5. Добавлены новые события об установке соединения с доменами с недоверенными сертификатами и ошибках проверки защищенных соединений.

Обновление 11.8.0

В Kaspersky Endpoint Security для Windows 11.8.0 появились следующие возможности и улучшения:

  1. Добавлен встроенный агент для работы решения Kaspersky Endpoint Detection and Response Expert. Решение Kaspersky Endpoint Detection and Response Expert – решение, предназначенное для защиты IT-инфраструктуры организации от сложных кибернетических угроз. Функционал решения сочетает автоматическое обнаружение угроз с возможностью реагирования на эти угрозы для противодействия сложным атакам, в том числе новым эксплойтам (exploits), программам-вымогателям (ransomware), бесфайловым атакам (fileless attacks), а также методам, использующим законные системные инструменты. EDR Expert предлагает пользователю больше функций для мониторинга и реагирования на угрозы информационной безопасности, чем EDR Optimum. Подробнее о решении см. в справке Kaspersky Endpoint Detection and Response Expert.
  2. Улучшен интерфейс инструмента Мониторинга сети. Теперь Мониторинг сети кроме протокола TCP показывает протокол UDP.
  3. Улучшена работа задачи Антивирусная проверка. Если во время проверки вы перезагрузили компьютер, Kaspersky Endpoint Security запустит задачу автоматически с того же места, где проверка была прервана.
  4. Добавлена возможность установить ограничение длительности выполнения задач. Вы можете ограничить длительности выполнения для задач Антивирусная проверка и Поиск IOC. По истечении заданного времени Kaspersky Endpoint Security останавливает выполнение задачи. Чтобы уменьшить время выполнения задачи Антивирусная проверка, вы можете, например, настроить область проверки или оптимизировать проверку.
  5. Сняты некоторые ограничения серверных платформ для приложения, установленной на Windows 10 Enterprise multi-session. Теперь Kaspersky Endpoint Security определяет Windows 10 Enterprise multi-session как операционную систему для рабочей станции, а не для сервера. Соответственно, некоторые ограничения серверных платформ больше не применяются для приложений на Windows 10 Enterprise multi-session. Также для активации приложения будет использовать лицензионный ключ для рабочей станции, а не сервера.

Обновление 11.7.0

В Kaspersky Endpoint Security для Windows 11.7.0 появились следующие возможности и улучшения:

  1. Обновлен интерфейс приложения Kaspersky Endpoint Security для Windows.
  2. Поддержка операционных систем Windows 11, Windows 10 21H2 и Windows Server 2022.
  3. Добавлены новые компоненты:
    • Добавлен встроенный агент для интеграции с решением Kaspersky Sandbox. Решение Kaspersky Sandbox обнаруживает и автоматически блокирует сложные угрозы на компьютерах. Kaspersky Sandbox анализирует поведение объектов для выявления вредоносной активности и признаков целевых атак на IT-инфраструктуру организации. Kaspersky Sandbox выполняет анализ и проверку объектов на специальных серверах с развернутыми виртуальными образами операционных систем Microsoft Windows (серверы Kaspersky Sandbox). Подробнее о решении см. в справке Kaspersky Sandbox.

      Теперь вам не нужен Kaspersky Endpoint Agent для работы Kaspersky Sandbox. Все функции Kaspersky Endpoint Agent будет выполнять Kaspersky Endpoint Security. Для переноса политик Kaspersky Endpoint Agent воспользуйтесь мастером миграции. Для работы всех функций Kaspersky Sandbox требуется Kaspersky Security Center версии 13.2. Подробнее о миграции с Kaspersky Endpoint Agent на Kaspersky Endpoint Security для Windows см. в справке приложения.

    • Добавлен встроенный агент для работы решения Kaspersky Endpoint Detection and Response Optimum. Решение Kaspersky Endpoint Detection and Response Optimum – решение, предназначенное для защиты IT-инфраструктуры организации от сложных кибернетических угроз. Функционал решения сочетает автоматическое обнаружение угроз с возможностью реагирования на эти угрозы для противодействия сложным атакам, в том числе новым эксплойтам (exploits), программам-вымогателям (ransomware), бесфайловым атакам (fileless attacks), а также методам, использующим законные системные инструменты. Подробнее о решении см. в справке Kaspersky Endpoint Detection and Response Optimum.

      Теперь вам не нужен Kaspersky Endpoint Agent для работы Kaspersky Endpoint Detection and Response. Все функции Kaspersky Endpoint Agent будет выполнять Kaspersky Endpoint Security. Для переноса политик и задач Kaspersky Endpoint Agent воспользуйтесь мастером миграции. Для работы всех функций Kaspersky Endpoint Detection and Response Optimum требуется Kaspersky Security Center версии 13.2. Подробнее о миграции с Kaspersky Endpoint Agent на Kaspersky Endpoint Security для Windows см. в справке приложения.

  4. Добавлен мастер миграции политик и задач Kaspersky Endpoint Agent. Мастер миграции создает новые объединенные политики и задачи для приложения Kaspersky Endpoint Security для Windows. Мастер позволяет переключить работу решений Detection and Response с Kaspersky Endpoint Agent на Kaspersky Endpoint Security. К решениям Detection and Response относятся Kaspersky Sandbox, Kaspersky Endpoint Detection and Response Optimum (EDR Optimum) и Kaspersky Managed Detection and Response (MDR).
  5. Приложение Kaspersky Endpoint Agent, входящая в комплект поставки, обновлено до версии 3.11.

    При обновлении Kaspersky Endpoint Security приложение определяет версию и назначение Kaspersky Endpoint Agent. Если приложение Kaspersky Endpoint Agent предназначено для работы решений Kaspersky Sandbox, Kaspersky Managed Detection and Response (MDR) и Kaspersky Endpoint Detection and Response Optimum (EDR Optimum), Kaspersky Endpoint Security переключает работу этих решений на встроенный в приложение агент. Для Kaspersky Sandbox и EDR Optimum приложение автоматически удаляет Kaspersky Endpoint Agent. Для MDR вы можете удалить Kaspersky Endpoint Agent вручную. Если приложение предназначено для работы решения Kaspersky Endpoint Detection and Response Expert (EDR Expert), Kaspersky Endpoint Security обновит версию Kaspersky Endpoint Agent. Подробнее о работе приложения см. в документации к решениям "Лаборатории Касперского", которые поддерживают Kaspersky Endpoint Agent.

  6. Улучшена работа шифрования BitLocker:
  7. Добавлена возможность настроить максимальное количество попыток авторизации клавиатуры для Защиты от атак BadUSB. После заданного количества неудачных попыток ввода кода авторизации USB-устройство будет заблокировано на время.
  8. Улучшена работа Сетевого экрана:
    • Добавлена возможность задать диапазон IP-адресов для пакетных правил Сетевого экрана. Вы можете задать диапазон адресов в формате IPv4 или IPv6. Например, 192.168.1.1-192.168.1.100 или 12:34::2-12:34::99.
    • Добавлена возможность указать DNS-имена для пакетных правил Сетевого экрана вместо IP-адресов. Используйте DNS-имена только для компьютеров локальной сети или внутренних сервисов. Для работы с облачными сервисами (например, Microsoft Azure) и другими интернет-ресурсами предназначен компонент Веб-Контроль.
  9. Улучшен поиск правил Веб-Контроля. Для поиска правила доступа к веб-ресурсам кроме названия правила вы можете использовать URL-адрес веб-сайта, имя пользователя, категорию содержания, тип данных.
  10. Улучшена работа задачи Антивирусная проверка:
    • Улучшена работа задачи Антивирусная проверка в режиме простоя компьютера. Если во время проверки вы перезагрузили компьютер, Kaspersky Endpoint Security запустит задачу автоматически с того же места, где проверка была прервана.
    • Оптимизирована работа задачи Антивирусная проверка. Kaspersky Endpoint Security по умолчанию запускает проверку только во время простоя компьютера. Вы можете настроить запуск проверки компьютера в свойствах задачи.
  11. Добавлена возможность ограничить доступ пользователя к данным, которые предоставляет инструмент Мониторинг активности приложений. Мониторинг активности приложений – это инструмент, предназначенный для просмотра информации об активности приложений на компьютере пользователя в режиме реального времени. Администратор может скрыть Мониторинг активности приложений от пользователя в свойствах политики приложения.
  12. Улучшена безопасность управления приложением через REST API. Теперь Kaspersky Endpoint Security проверяет подпись запросов, отправленных через REST API. Для управления приложением вам нужно установить сертификат для идентификации запросов.

Обновление 11.6.0

В Kaspersky Endpoint Security для Windows 11.6.0 появились следующие возможности и улучшения:

  1. Поддержка операционной системы Windows 10 21H1. Особенности поддержки операционной системы Microsoft Windows 10 вы можете узнать в базе знаний Службы технической поддержки.
  2. Добавлен компонент Managed Detection and Response. Компонент обеспечивает взаимодействие с решением Kaspersky Managed Detection and Response. Kaspersky Managed Detection and Response (MDR) обеспечивает круглосуточную защиту от растущего количества угроз, способных обойти автоматические средства защиты, для организаций, которым сложно найти квалифицированных специалистов или у которых ограничены внутренние ресурсы. Подробную информацию о работе решения см. в справке Kaspersky Managed Detection and Response.
  3. Приложение Kaspersky Endpoint Agent, входящая в комплект поставки, обновлено до версии 3.10. В Kaspersky Endpoint Agent 3.10 добавили новые функции, исправили ошибки и повысили стабильность работы. Подробнее о работе приложения см. в документации к решениям "Лаборатории Касперского", которые поддерживают Kaspersky Endpoint Agent.
  4. Добавлена возможность управления защитой от атак типа Интенсивные сетевые запросы (англ. Network Flooding) и Сканирование портов в настройках компонента Защита от сетевых угроз.
  5. Добавлен новый способ создания сетевых правил для работы Сетевого экрана. Вы можете добавлять пакетные правила и правила приложений для соединений, которые отображаются в окне Мониторинга сети. При этом параметры соединения для сетевого правила будут настроены автоматически.
  6. Улучшен интерфейс инструмента Мониторинга сети. Добавлена информация о сетевой активности: ID процессов, которые инициируют сетевую активность; тип сети (локальная сеть или интернет); локальные порты. Информация о типе сети по умолчанию скрыта.
  7. Добавлена возможность автоматического создания учетных записей Агента аутентификации для новых пользователей Windows. Агент позволяет пользователю пройти аутентификацию для доступа к дискам, зашифрованным с помощью технологии Шифрование диска Kaspersky, и для загрузки операционной системы. Приложение проверяет информацию об учетных записях Windows на компьютере. Если Kaspersky Endpoint Security обнаружит учетную запись Windows, для которой нет учетной записи Агента аутентификации, приложение создаст новую учетную запись для доступа к зашифрованным дискам. Таким образом, вам не нужно вручную добавлять учетные записи Агента аутентификации для компьютеров с уже зашифрованными дисками.
  8. Добавлена возможность контролировать процесс шифрования дисков в интерфейсе приложения на компьютерах пользователей (Шифрование диска Kaspersky и BitLocker). Вы можете запустить инструмент Мониторинг шифрования из главного окна приложения.

Обновление 11.5.0

В Kaspersky Endpoint Security для Windows 11.5.0 появились следующие возможности и улучшения:

  1. Поддержка операционной системы Windows 10 20H2. Особенности поддержки операционной системы Microsoft Windows 10 вы можете узнать в базе знаний Службы технической поддержки.
  2. Обновлен интерфейс приложения. Также обновлен значок приложения в области уведомлений, уведомления приложения и диалоговые окна.
  3. Улучшен интерфейс веб-плагина Kaspersky Endpoint Security для компонентов Контроль приложений, Контроль устройств, Адаптивный контроль аномалий.
  4. Добавлена функция импорта и экспорта списков правил и исключений в XML-формат. XML-формат позволяет редактировать списки после экспорта. Вы можете работать со списками только в консоли Kaspersky Security Center. Для экспорта / импорта доступны следующие списки:
  5. В отчет об обнаружении угроз добавлена информация о MD5 объекта. В предыдущих версиях приложения Kaspersky Endpoint Security показывал только SHA256 объекта.
  6. Добавлена возможность назначить приоритет для правил доступа к устройствам в параметрах Контроля устройств. Приоритет позволяет гибко настроить доступ пользователей к устройствам. Если пользователь добавлен в несколько групп, Kaspersky Endpoint Security регулирует доступ к устройству по записи правила с высшим приоритетом. Например, вы можете предоставить разрешение только на чтение для группы "Все" и разрешение на чтение и запись для группы администраторов. Для этого назначьте записи для группы администраторов приоритет 0, а группе "Все" приоритет 1. Вы можете настроить приоритет только для устройств с файловой системой. К устройствам с файловой системой относятся жесткие диски, съемные диски, дискеты, CD/DVD-приводы, портативные устройства (MTP).
  7. Добавлены новые функции:
  8. Добавлена возможность настроить режим проверки защищенного трафика: проверять трафик всегда, даже если компоненты защиты выключены, или проверять трафик по запросу компонентов защиты.
  9. Изменен порядок удаления информации из отчетов. Пользователь может удалить только все отчеты. В предыдущих версиях приложения пользователь мог выбрать компоненты приложения, информацию из отчетов которых нужно удалить.
  10. Изменен порядок импорта конфигурационного файла с параметрами Kaspersky Endpoint Security, а также порядок восстановления параметров приложения. Перед импортом или восстановлением Kaspersky Endpoint Security показывает только предупреждение. В предыдущих версиях приложения был доступен просмотр значений новых параметров перед их применением.
  11. Упрощена процедура восстановления доступа к диску, зашифрованному BitLocker. После прохождения процедуры восстановления доступа Kaspersky Endpoint Security предложит пользователю задать новый пароль или PIN-код. После установки нового пароля BitLocker зашифрует диск. В предыдущей версии приложения пользователю нужно было сбрасывать пароль вручную в параметрах BitLocker.
  12. Для пользователя добавлена возможность формировать собственную локальную доверенную зону для отдельного компьютера. Таким образом, кроме общей доверенной зоны, сформированной в политике, пользователь может создавать собственные локальные списки исключений и доверенных приложений. Администратор может разрешить или запретить использование локальных исключений или локальных доверенных приложений. Администратор с помощью Kaspersky Security Center может просматривать, добавлять, изменять или удалять элементы списка в свойствах компьютера.
  13. Добавлена возможность ввести комментарий в свойствах доверенных приложений. Комментарий позволяет упростить поиск и сортировку доверенных приложений.
  14. Управление приложением через REST API:
    • Добавлена возможность настроить параметры расширения компонента Защита от почтовых угроз для Outlook.
    • Запрещено выключать обнаружение объектов следующих типов: вирусы, черви, троянские приложения.

Обновление 11.4.0

В Kaspersky Endpoint Security для Windows 11.4.0 появились следующие возможности и улучшения:

  1. Обновлен дизайн значка приложения в области уведомлений. Вместо значка icon_tray_on_old теперь используется значок . Если от пользователя требуется выполнить действие (например, перезагрузить компьютер после обновления приложения), значок изменится на . Если работа компонентов защиты приложения выключена или нарушена, значок изменится на или icon_tray_critical. Если навести курсор на значок, Kaspersky Endpoint Security покажет описание проблемы в защите компьютера.
  2. Приложение Kaspersky Endpoint Agent, входящее в комплект поставки, обновлено до версии 3.9. Kaspersky Endpoint Agent 3.9 поддерживает интеграцию с новыми решениями "Лаборатории Касперского". Подробнее о работе приложения см. в документации к решениям "Лаборатории Касперского", которые поддерживают Kaspersky Endpoint Agent.
  3. Добавлен статус Не поддерживается лицензией для компонентов Kaspersky Endpoint Security. Вы можете просмотреть статус компонентов в списке компонентов в главном окне приложения.
  4. В отчеты добавлены новые события о работе компонента Защита от эксплойтов.
  5. Драйверы для работы технологии Шифрование диска Kaspersky автоматически добавляются в среду восстановления Windows (англ. WinRE – Windows Recovery Environment) при запуске шифрования диска. В предыдущей версии приложение добавляло драйверы при установке Kaspersky Endpoint Security. Добавление драйверов в WinRE позволяет повысить стабильность работы приложения при восстановлении операционной системы на компьютерах, защищенных технологией Шифрование диска Kaspersky.

Компонент Endpoint Sensor исключен из приложения Kaspersky Endpoint Security. Вы можете продолжать настраивать параметры Endpoint Sensor с помощью политики, если на компьютере установлено приложение Kaspersky Endpoint Security версий 11.0.0 – 11.3.0.

В начало

[Topic 184649]

Часто задаваемые вопросы

ОБЩЕЕ

На каких компьютерах работает Kaspersky Endpoint Security?

Что изменилось с последней версии?

С какими другими приложениями "Лаборатории Касперского" может работать Kaspersky Endpoint Security?

Как сэкономить ресурсы компьютера при работе Kaspersky Endpoint Security?

РАЗВЕРТЫВАНИЕ

Как установить Kaspersky Endpoint Security на все компьютеры организации?

Какие параметры установки можно настроить в командной строке?

Как дистанционно удалить Kaspersky Endpoint Security?

ОБНОВЛЕНИЕ

Какие есть способы обновления баз?

Что делать, если после обновления появились проблемы?

Как обновить базы вне сети организации?

Возможно ли использование прокси-сервера для обновления?

БЕЗОПАСНОСТЬ

Каким образом Kaspersky Endpoint Security проверяет почту?

Как исключить доверенный файл из проверки?

Как защитить компьютер от вирусов на флешках?

Как выполнить антивирусную проверку незаметно для пользователя?

Как приостановить защиту Kaspersky Endpoint Security на время?

Как восстановить файл, который Kaspersky Endpoint Security ошибочно удалил?

Как защитить Kaspersky Endpoint Security от удаления пользователем?

ИНТЕРНЕТ

Проверяет ли Kaspersky Endpoint Security защищенные соединения (HTTPS)?

Как разрешить пользователям подключаться только к доверенным сетям Wi-Fi?

Как заблокировать социальные сети?

ПРИЛОЖЕНИЯ

Как узнать, какие приложения установлены на компьютере пользователя (инвентаризация)?

Как предотвратить запуск компьютерных игр?

Как проверить, что Контроль приложений настроен верно?

Как добавить приложение в список доверенных?

УСТРОЙСТВА

Как запретить использовать флешки?

Как добавить устройство в список доверенных?

Можно ли получить доступ к заблокированному устройству?

ШИФРОВАНИЕ

При каких условиях шифрование невозможно?

Как ограничить доступ к архиву с помощью пароля?

Возможно ли использование смарт-карт и токенов при шифровании?

Можно ли получить доступ к зашифрованным данным, если нет связи с Kaspersky Security Center?

Что делать, если на компьютере вышла из строя ОС, а данные остались зашифрованы?

ПОДДЕРЖКА

Где лежит файл с отчетами?

Как создать файл трассировки?

Как включить запись дампов?

В начало

[Topic 127971]

Kaspersky Endpoint Security для Windows

Kaspersky Endpoint Security для Windows (далее также Kaspersky Endpoint Security) обеспечивает комплексную защиту компьютера от различного вида угроз, сетевых и мошеннических атак.

Приложение не предназначено для использования в технологических процессах, в которых применяются автоматизированные системы управления. Для защиты устройств в таких системах рекомендуется использовать приложение Kaspersky Industrial CyberSecurity for Nodes.

Функциональность обновлений (включая обновления антивирусных сигнатур и обновления кодовой базы), а также функциональность KSN будут недоступны в приложении на территории США с 12:00 AM по восточному летнему времени (EDT) 10 сентября 2024 года в соответствии с ограничительными мерами.

Технологии обнаружения угроз

icon_technology_machine Машинное обучение

Kaspersky Endpoint Security использует модель на основе машинного обучения. Модель разработана специалистами "Лаборатории Касперского". Далее модель постоянно получает данные об угрозах из KSN (обучение модели).

icon_technology_cloud Облачный анализ

Kaspersky Endpoint Security получает данные об угрозах из Kaspersky Security Network. Kaspersky Security Network (KSN) – это инфраструктура облачных служб, предоставляющая доступ к оперативной базе знаний "Лаборатории Касперского" о репутации файлов, интернет-ресурсов и программного обеспечения.

icon_technology_expert Экспертный анализ

Kaspersky Endpoint Security использует данные об угрозах, добавленные вирусными аналитиками "Лаборатории Касперского". Вирусные аналитики проверяют объекты, если определить репутацию объекта автоматически не удалось.

icon_technology_behavier Поведенческий анализ

Kaspersky Endpoint Security анализирует активность объекта в режиме реального времени.

icon_technology_auto Автоматический анализ

Kaspersky Endpoint Security получает данные от системы автоматического анализа объектов. Система обрабатывает все объекты, которые поступают в "Лабораторию Касперского". Далее система определяет репутацию объекта и добавляет данные в антивирусные базы. Если системе не удалось определить репутацию объекта, система отправляет запрос вирусным аналитикам "Лаборатории Касперского".

icon_technology_sandbox Kaspersky Sandbox

Kaspersky Endpoint Security проверяет объект на виртуальной машине. Kaspersky Sandbox анализирует поведение объекта и принимает решение о его репутации. Технология доступна, только если вы используете решение Kaspersky Sandbox.

icon_technology_sandbox Cloud Sandbox

Kaspersky Endpoint Security проверяет объекты в изолированной среде, которую предоставляет "Лаборатория Касперского". Технология Cloud Sandbox включена постоянно и доступна всем пользователям Kaspersky Security Network независимо от типа лицензии, которую вы используете. Если у вас развернуто решение Endpoint Detection and Response Optimum, вы можете включить отдельный счетчик для угроз, обнаруженных с помощью Cloud Sandbox.

Компоненты приложения

Каждый тип угроз обрабатывается отдельным компонентом. Можно включать и выключать компоненты независимо друг от друга, а также настраивать параметры их работы.

Компоненты приложения

Раздел

Компонент

Базовая защита

Защита от файловых угроз

Компонент Защита от файловых угроз позволяет избежать заражения файловой системы компьютера. По умолчанию компонент Защита от файловых угроз постоянно находится в оперативной памяти компьютера. Компонент проверяет файлы на всех дисках компьютера, а также на подключенных дисках. Компонент обеспечивает защиту компьютера с помощью антивирусных баз, облачной службы Kaspersky Security Network и эвристического анализа.

Защита от веб-угроз

Компонент Защита от веб-угроз предотвращает загрузку вредоносных файлов из интернета, а также блокирует вредоносные и фишинговые веб-сайты. Компонент обеспечивает защиту компьютера с помощью антивирусных баз, облачной службы Kaspersky Security Network и эвристического анализа.

Защита от почтовых угроз

Компонент Защита от почтовых угроз проверяет вложения входящих и исходящих сообщений электронной почты на наличие в них вирусов и других приложений, представляющих угрозу. Также компонент проверяет сообщения на наличие вредоносных и фишинговых ссылок. По умолчанию компонент Защита от почтовых угроз постоянно находится в оперативной памяти компьютера и проверяет все сообщения, получаемые или отправляемые по протоколам POP3, SMTP, IMAP, NNTP или в почтовом клиенте Microsoft Office Outlook (MAPI). Компонент обеспечивает защиту компьютера с помощью антивирусных баз, облачной службы Kaspersky Security Network и эвристического анализа.

Защита от сетевых угроз

Компонент Защита от сетевых угроз (англ. IDS – Intrusion Detection System) отслеживает во входящем сетевом трафике активность, характерную для сетевых атак. Обнаружив попытку сетевой атаки на компьютер пользователя, приложение Kaspersky Endpoint Security блокирует сетевое соединение с атакующим компьютером. Описания известных в настоящее время видов сетевых атак и методов борьбы с ними содержатся в базах приложения Kaspersky Endpoint Security. Список сетевых атак, которые обнаруживает компонент Защита от сетевых угроз, пополняется в процессе обновления баз и модулей приложения.

Сетевой экран

Сетевой экран блокирует несанкционированные подключения к компьютеру во время работы в интернете или локальной сети. Также Сетевой экран контролирует сетевую активность приложений на компьютере. Это позволяет защитить локальную сеть организации от кражи персональных данных и других атак. Компонент обеспечивает защиту компьютера с помощью антивирусных баз, облачной службы Kaspersky Security Network и предустановленных сетевых правил.

Защита от атак BadUSB

Компонент Защита от атак BadUSB позволяет предотвратить подключение к компьютеру зараженных USB-устройств, имитирующих клавиатуру.

AMSI-защита

Компонент AMSI-защита предназначен для поддержки интерфейса Antimalware Scan Interface от Microsoft. Интерфейс Antimalware Scan Interface (AMSI) позволяет сторонним приложениям с поддержкой AMSI отправлять объекты (например, скрипты PowerShell) в Kaspersky Endpoint Security для дополнительной проверки и получать результаты проверки этих объектов.

Продвинутая защита

icon_components_advanced

Kaspersky Security Network

Kaspersky Security Network (KSN) – это инфраструктура облачных служб, предоставляющая доступ к оперативной базе знаний "Лаборатории Касперского" о репутации файлов, интернет-ресурсов и программного обеспечения. Использование данных Kaspersky Security Network обеспечивает более высокую скорость реакции Kaspersky Endpoint Security на неизвестные угрозы, повышает эффективность работы некоторых компонентов защиты, а также снижает вероятность ложных срабатываний. Если вы участвуете в Kaspersky Security Network, приложение Kaspersky Endpoint Security получает от служб KSN сведения о категории и репутации проверяемых файлов, а также сведения о репутации проверяемых веб-адресов.

Анализ поведения

Компонент Анализ поведения получает данные о действиях приложений на вашем компьютере и предоставляет эту информацию другим компонентам защиты для повышения эффективности их работы. Компонент Анализ поведения использует шаблоны опасного поведения приложений. Если активность приложения совпадает с одним из шаблонов опасного поведения, Kaspersky Endpoint Security выполняет выбранное ответное действие. Функциональность Kaspersky Endpoint Security, основанная на шаблонах опасного поведения, обеспечивает проактивную защиту компьютера.

Защита от эксплойтов

Компонент Защита от эксплойтов отслеживает программный код, который использует уязвимости на компьютере для получения эксплойтом прав администратора или выполнения вредоносных действий. Эксплойты, например, используют атаку на переполнение буфера обмена. Для этого эксплойт отправляет большой объем данных в уязвимое приложение. При обработке этих данных уязвимое приложение выполняет вредоносный код. В результате этой атаки эксплойт может запустить несанкционированную установку вредоносного ПО. Если попытка запустить исполняемый файл из уязвимого приложения не была произведена пользователем, то Kaspersky Endpoint Security блокирует запуск этого файла или информирует пользователя.

Предотвращение вторжений

Компонент Предотвращение вторжений (англ. HIPS – Host Intrusion Prevention System) предотвращает выполнение приложениями опасных для системы действий, а также обеспечивает контроль доступа к ресурсам операционной системы и персональным данным. Компонент обеспечивает защиту компьютера с помощью антивирусных баз и облачной службы Kaspersky Security Network.

Откат вредоносных действий

Компонент Откат вредоносных действий позволяет Kaspersky Endpoint Security выполнить откат действий, произведенных вредоносными приложениями в операционной системе.

Контроль безопасности

icon_component_control

Контроль приложений

Контроль приложений управляет запуском приложений на компьютерах пользователей. Это позволяет выполнить политику безопасности организации при использовании приложений. Также Контроль приложений снижает риск заражения компьютера, ограничивая доступ к приложениям.

Контроль устройств

Контроль устройств управляет доступом пользователей к установленным или подключенным к компьютеру устройствам (например, жестким дискам, камере или модулю Wi-Fi). Это позволяет защитить компьютер от заражения при подключении этих устройств и предотвратить потерю или утечку данных.

Веб-Контроль

Веб-Контроль управляет доступом пользователей к веб-ресурсам. Это позволяет уменьшить расход трафика и сократить нецелевое использование рабочего времени. При попытке пользователя открыть веб-сайт, доступ к которому ограничен Веб-Контролем, Kaspersky Endpoint Security заблокирует доступ или покажет предупреждение.

Адаптивный контроль аномалий

Компонент Адаптивный контроль аномалий отслеживает и блокирует действия, нехарактерные для компьютеров сети организации. Для отслеживания нехарактерных действий Адаптивный контроль аномалий использует набор правил (например, правило Запуск Windows PowerShell из офисного приложения). Правила созданы специалистами "Лаборатории Касперского" на основе типичных сценариев вредоносной активности. Вы можете выбрать поведение Адаптивного контроля аномалий для каждого из правил и, например, разрешить запуск PowerShell-скриптов для автоматизации решения корпоративных задач. Kaspersky Endpoint Security обновляет набор правил с базами приложения.

Задачи

icon_components_tasks

Антивирусная проверка

Kaspersky Endpoint Security выполняет проверку компьютера на присутствие вирусов и других приложений, представляющих угрозу. Антивирусная проверка позволяет исключить возможность распространения вредоносных приложений, которые не были обнаружены компонентами, например, из-за установленного низкого уровня защиты.

Обновление

Kaspersky Endpoint Security загружает обновленные базы и модули приложения. Это обеспечивает актуальность защиты компьютера от вирусов и других приложений, представляющих угрозу. По умолчанию приложение обновляется автоматически, но при необходимости вы можете вручную обновить базы и модули приложения.

Откат последнего обновления

Kaspersky Endpoint Security отменяет последнее обновление баз и модулей. Это позволяет вернуться к использованию предыдущих баз и модулей приложения при необходимости, например, в том случае, если новая версия баз содержит некорректную сигнатуру, из-за которой Kaspersky Endpoint Security блокирует безопасное приложение.

Проверка целостности

Kaspersky Endpoint Security проверяет модули приложения, находящиеся в папке установки приложения, на наличие повреждений или изменений. Если модуль приложения имеет некорректную цифровую подпись, то такой модуль считается поврежденным.

Шифрование данных

Шифрование файлов

Компонент позволяет создавать правила шифрования файлов. Вы можете выбрать для шифрования стандартные папки, выбрать папку вручную или выбрать отдельные файлы по расширению.

Полнодисковое шифрование

Компонент позволяет зашифровать диск с помощью следующих технологий: Шифрование диска Kaspersky или Шифрование диска BitLocker.

Шифрование съемных дисков

Компонент позволяет защитить данные на съемных дисках. Вы можете использовать следующие виды шифрования: полнодисковое шифрование (FDE) и шифрование файлов (FLE).

Detection and Response

icon_component_xDR

Endpoint Detection and Response Optimum

Встроенный агент для работы решения Kaspersky Endpoint Detection and Response Optimum (далее также "EDR Optimum"). Решение Kaspersky Endpoint Detection and Response – решение, предназначенное для защиты IT-инфраструктуры организации от сложных кибернетических угроз. Функционал решения сочетает автоматическое обнаружение угроз с возможностью реагирования на эти угрозы для противодействия сложным атакам, в том числе новым эксплойтам (exploits), программам-вымогателям (ransomware), бесфайловым атакам (fileless attacks), а также методам, использующим законные системные инструменты. Подробнее о решении см. в справке Kaspersky Endpoint Detection and Response Optimum.

Endpoint Detection and Response Expert

Встроенный агент для работы решения Kaspersky Endpoint Detection and Response Expert (далее также "EDR Expert"). EDR Expert предлагает пользователю больше функций для мониторинга и реагирования на угрозы информационной безопасности, чем EDR Optimum. Подробнее о решении см. в справке Kaspersky Endpoint Detection and Response Expert.

Kaspersky Sandbox

Встроенный агент для работы решения Kaspersky Sandbox. Решение Kaspersky Sandbox обнаруживает и автоматически блокирует сложные угрозы на компьютерах. Kaspersky Sandbox анализирует поведение объектов для выявления вредоносной активности и признаков целевых атак на IT-инфраструктуру организации. Kaspersky Sandbox выполняет анализ и проверку объектов на специальных серверах с развернутыми виртуальными образами операционных систем Microsoft Windows (серверы Kaspersky Sandbox). Подробнее о решении см. в справке Kaspersky Sandbox.

Managed Detection and Response

Встроенный агент для работы решения Kaspersky Managed Detection and Response. Kaspersky Managed Detection and Response (MDR) – решение, которое автоматически обнаруживает и анализирует инциденты безопасности в вашей инфраструктуре. Для этого MDR использует данные телеметрии, полученные от конечных точек, и машинное обучение. Данные об инцидентах MDR передает экспертам "Лаборатории Касперского". Далее эксперты могут самостоятельно обработать инцидент и, например, добавить новую запись в антивирусные базы. Или эксперты могут дать рекомендации по обработке инцидента и, например, предложить изолировать компьютер от сети. Подробную информацию о работе решения см. в справке Kaspersky Managed Detection and Response.

В этом разделе справки

Комплект поставки

Аппаратные и программные требования

Сравнение функций приложения в зависимости от типа операционной системы

Сравнение функций приложения в зависимости от инструментов управления

Совместимость с другими приложениями
В начало

[Topic 127970]

Комплект поставки

Комплект поставки содержит следующие дистрибутивы:

  • Strong encryption (AES256)

    Дистрибутив содержит криптографические средства, реализующие криптографический алгоритм AES (Advanced Encryption Standard) с эффективной длиной ключа 256 бит.

  • Lite encryption (AES56)

    Дистрибутив содержит криптографические средства, реализующие криптографический алгоритм AES с эффективной длиной ключа 56 бит.

Каждый дистрибутив содержит следующие файлы:

kes_win.msi

Пакет установки Kaspersky Endpoint Security.

setup_kes.exe

Файлы, необходимые для установки приложения всеми доступными способами.

kes_win.kud

Файл для создания инсталляционного пакета Kaspersky Endpoint Security.

klcfginst.msi

Пакет установки плагина управления Kaspersky Endpoint Security для Kaspersky Security Center.

bases.cab

Файлы пакетов обновлений, которые используются при установке приложения.

cleaner.cab

Файлы для удаления несовместимого программного обеспечения.

incompatible.txt

Файл со списком несовместимого программного обеспечения.

ksn_<ID языка>.txt

Файл, с помощью которого вы можете ознакомиться с условиями участия в Kaspersky Security Network.

license.txt

Файл, с помощью которого вы можете ознакомиться с Лицензионным соглашением и Политикой конфиденциальности.

installer.ini

Файл, содержащий внутренние параметры дистрибутива.

keswin_web_plugin.zip

Архив с файлами, необходимыми для установки веб-плагина Kaspersky Endpoint Security.

Не рекомендуется изменять значения этих параметров. Если вы хотите изменить параметры установки, используйте файл setup.ini.

В начало

[Topic 127972]

Аппаратные и программные требования

Для функционирования Kaspersky Endpoint Security компьютер должен удовлетворять следующим требованиям.

Минимальные общие требования:

  • 2 ГБ свободного места на жестком диске;
  • процессор:
    • рабочая станция – 1 ГГц;
    • сервер – 1.4 ГГц;
    • поддержка инструкций SSE2.
  • оперативная память:
    • рабочая станция (x86) – 1 ГБ;
    • рабочая станция (x64) – 2 ГБ;
    • сервер – 2 ГБ.

Рабочие станции

Поддерживаемые операционные системы для рабочих станций:

  • Windows 7 Home / Professional / Ultimate / Enterprise Service Pack 1 и выше;
  • Windows 8 Professional / Enterprise;
  • Windows 8.1 Professional / Enterprise;
  • Windows 10 Home / Pro / Pro для рабочих станций / Education / Enterprise / Enterprise multi-session;
  • Windows 11 Home / Pro / Pro для рабочих станций / Education / Enterprise.

Особенности поддержки операционной системы Microsoft Windows 10 вы можете узнать в базе знаний Службы технической поддержки.

Особенности поддержки операционной системы Microsoft Windows 11 вы можете узнать в базе знаний Службы технической поддержки.

Серверы

Kaspersky Endpoint Security поддерживает работу основных компонентов приложения на компьютерах под управлением операционной системы Windows для серверов. Вы можете использовать Kaspersky Endpoint Security для Windows вместо Kaspersky Security для Windows Server на серверах и кластерах организации. Также приложение поддерживает режим основных серверных компонентов (англ. Core Mode) (см. известные ограничения).

Поддерживаемые операционные системы для серверов:

  • Windows Small Business Server 2011 Essentials / Standard (64-разрядная);

    Microsoft Small Business Server 2011 Standard (64-разрядная) поддерживается только с установленным Service Pack 1 для Microsoft Windows Server 2008 R2.

  • Windows MultiPoint Server 2011 (64-разрядная);
  • Windows Server 2008 R2 Foundation / Standard / Enterprise / Datacenter Service Pack 1 и выше;
  • Windows Server 2012 Foundation / Essentials / Standard / Datacenter;
  • Windows Server 2012 R2 Foundation / Essentials / Standard / Datacenter;
  • Windows Server 2016 Essentials / Standard / Datacenter;
  • Windows Server 2019 Essentials / Standard / Datacenter;
  • Windows Server 2022.

Особенности поддержки операционной системы Microsoft Windows Server 2016 и Microsoft Windows Server 2019 вы можете узнать в базе знаний Службы технической поддержки.

Особенности поддержки операционной системы Microsoft Windows Server 2022 вы можете узнать в базе знаний Службы технической поддержки.

Неподдерживаемые операционные системы для серверов:

  • Windows Server 2003 Standard / Enterprise / Datacenter с пакетом обновлений SP2 или выше;
  • Windows Server 2003 R2 Foundation / Standard / Enterprise / Datacenter с пакетом обновлений SP2 или выше;
  • Windows Server 2008 Standard / Enterprise / Datacenter с пакетом обновлений SP2 или выше;
  • Windows Server 2008 Core Standard / Enterprise / Datacenter с пакетом обновлений SP2 или выше;
  • Microsoft Small Business Server 2008 Standard / Premium SP2 или выше.

Виртуальные платформы

Поддерживаемые виртуальные платформы:

  • VMware Workstation 16.2.3;
  • VMware ESXi 7.0 Update 3d;
  • Microsoft Hyper-V Server 2019;
  • Citrix Virtual Apps and Desktops 7 2203 LTSR;
  • Citrix Provisioning 2203 LTSR;
  • Citrix Hypervisor 8.2 LTSR (Cumulative Update 1).

Терминальные серверы

Поддерживаемые типы терминальных серверов:

  • Microsoft Remote Desktop Services на базе Windows Server 2008 R2 SP1;
  • Microsoft Remote Desktop Services на базе Windows Server 2012;
  • Microsoft Remote Desktop Services на базе Windows Server 2012 R2;
  • Microsoft Remote Desktop Services на базе Windows Server 2016;
  • Microsoft Remote Desktop Services на базе Windows Server 2019;
  • Microsoft Remote Desktop Services на базе Windows Server 2022.

Поддержка Kaspersky Security Center

Kaspersky Endpoint Security поддерживает работу со следующими версиями Kaspersky Security Center:

  • Kaspersky Security Center 11;
  • Kaspersky Security Center 12;
  • Kaspersky Security Center 13;
  • Kaspersky Security Center 13.1;
  • Kaspersky Security Center 13.2;
  • Kaspersky Security Center 13.2.2;
  • Kaspersky Security Center 14.
В начало

[Topic 181834]

Сравнение функций приложения в зависимости от типа операционной системы

Набор доступных функций Kaspersky Endpoint Security зависит от типа операционной системы: рабочая станция или сервер (см. таблицу ниже).

Сравнение функций Kaspersky Endpoint Security

 

Функция

Рабочая станция

Сервер

Продвинутая защита

 

 

Kaspersky Security Network

Анализ поведения

Защита от эксплойтов

Предотвращение вторжений

Откат вредоносных действий

Базовая защита

 

 

Защита от файловых угроз

Защита от веб-угроз

Защита от почтовых угроз

Сетевой экран

Защита от сетевых угроз

Защита от атак BadUSB

AMSI-защита

Контроль безопасности

 

 

Контроль приложений

Контроль устройств

Веб-Контроль

Адаптивный контроль аномалий

Шифрование данных

 

 

Шифрование диска Kaspersky

Шифрование диска BitLocker

Шифрование файлов

Шифрование съемных дисков

Detection and Response

 

 

Endpoint Detection and Response Optimum

Endpoint Detection and Response Expert

Kaspersky Sandbox

Managed Detection and Response (MDR)

В начало

[Topic 188654]

Сравнение функций приложения в зависимости от инструментов управления

Набор доступных функций Kaspersky Endpoint Security зависит от инструментов управления (см. таблицу ниже).

Вы можете управлять приложением с помощью следующих консолей Kaspersky Security Center:

  • Консоль администрирования. Оснастка к Microsoft Management Console (MMC), которая устанавливается на рабочее место администратора.
  • Web Console. Компонент Kaspersky Security Center, который устанавливается на Сервер администрирования. Вы можете работать в Web Console через браузер на любом компьютере, который имеет доступ к Серверу администрирования.

Вы также можете управлять приложением с помощью Kaspersky Security Center Cloud Console. Kaspersky Security Center Cloud Console – это облачная версия Kaspersky Security Center. То есть, Сервер администрирования и другие компоненты Kaspersky Security Center установлены в облачной инфраструктуре "Лаборатории Касперского". Подробнее об управлении приложением с помощью Kaspersky Security Center Cloud Console см. в справке Kaspersky Security Center Cloud Console.

Сравнение функций Kaspersky Endpoint Security

 

Функция

Kaspersky Security Center

Kaspersky Security Center

 

Консоль администрирования

Web Console

Cloud Console

Продвинутая защита

 

 

 

Kaspersky Security Network

Kaspersky Private Security Network

Анализ поведения

Защита от эксплойтов

Предотвращение вторжений

Откат вредоносных действий

Базовая защита

 

 

 

Защита от файловых угроз

Защита от веб-угроз

Защита от почтовых угроз

Сетевой экран

Защита от сетевых угроз

Защита от атак BadUSB

AMSI-защита

Контроль безопасности

 

 

 

Контроль приложений

Контроль устройств

Веб-Контроль

Адаптивный контроль аномалий

Шифрование данных

 

 

 

Шифрование диска Kaspersky

Шифрование диска BitLocker

Шифрование файлов

Шифрование съемных дисков

Detection and Response

 

 

 

Endpoint Detection and Response Optimum

Endpoint Detection and Response Expert

Kaspersky Sandbox

Managed Detection and Response (MDR)

Задачи

 

 

 

Добавление ключа

Изменение состава компонентов приложения

Инвентаризация

Обновление

Откат обновления

Антивирусная проверка

Проверка целостности

Удаление данных

Управление учетными записями Агента аутентификации (Шифрование диска Kaspersky)

Поиск IOC (EDR)

Помещение файла на карантин (EDR)

Получение файла (EDR)

Удаление файла (EDR)

Запуск процесса (EDR)

Завершение процесса (EDR)

В начало

[Topic 182030]

Совместимость с другими приложениями

Kaspersky Endpoint Security проверяет компьютер на наличие приложений "Лаборатории Касперского" перед установкой. Также приложение проверяет компьютер на наличие несовместимого программного обеспечения.

Совместимость с сторонними приложениями

Список несовместимого ПО приведен в файле incompatible.txt в комплекте поставки.

ЗАГРУЗИТЬ ФАЙЛ INCOMPATIBLE.TXT

Совместимость с приложениям "Лаборатории Касперского"

Приложение Kaspersky Endpoint Security несовместимо со следующими приложениями "Лаборатории Касперского":

  • Kaspersky Small Office Security.
  • Kaspersky Internet Security.
  • Kaspersky Anti-Virus.
  • Kaspersky Total Security.
  • Kaspersky Safe Kids.
  • Kaspersky Free.
  • Kaspersky Anti-Ransomware Tool.
  • Kaspersky Anti Targeted Attack Platform (в том числе компонент Endpoint Sensor).
  • Kaspersky Sandbox (в том числе Kaspersky Endpoint Agent).
  • Kaspersky Endpoint Detection and Response (в том числе компонент Endpoint Sensor).

    Если на компьютере установлен компонент Endpoint Agent с помощью инструментов развертывания других приложений "Лаборатории Касперского", при установке Kaspersky Endpoint Security компонент будет удален автоматически. При этом Kaspersky Endpoint Security может включать в себя компонент Endpoint Sensor / Kaspersky Endpoint Agent, если в списке компонентов приложения вы выбрали Endpoint Agent.

  • Kaspersky Security для виртуальных сред Легкий агент.
  • Kaspersky Fraud Prevention for Endpoint.
  • Kaspersky Security для Windows Server.
  • Kaspersky Embedded Systems Security.

Если на компьютере установлены приложения "Лаборатории Касперского" из списка, Kaspersky Endpoint Security удаляет эти приложения. Дождитесь завершения этого процесса, чтобы продолжить установку Kaspersky Endpoint Security.

Пропуск проверки на несовместимое ПО

Если Kaspersky Endpoint Security обнаружил на компьютере несовместимое ПО, установка приложения будет прекращена. Для продолжения установки вам нужно удалить несовместимое ПО. Но, если поставщик стороннего ПО указал в своей документации совместимость с системами защиты конечных устройств (англ. Endpoint Protection Platform – EPP), вы можете установить Kaspersky Endpoint Security на компьютер с приложением этого поставщика. Например, поставщик решения Endpoint Detection and Response (EDR) может заявить совместимость со сторонними EPP-системами. В этом случае вам нужно запустить установку Kaspersky Endpoint Security без проверки на несовместимое ПО. Для этого вам нужно передать в установщик следующие параметры:

  • SKIPPRODUCTCHECK=1. Выключение проверки на наличие несовместимого ПО. Список несовместимого ПО приведен в файле incompatible.txt в комплекте поставки. Если параметр не задан, при обнаружении несовместимого ПО установка Kaspersky Endpoint Security будет прекращена.
  • SKIPPRODUCTUNINSTALL=1. Запрет на автоматическое удаление найденного несовместимого ПО. Если параметр не задан, Kaspersky Endpoint Security пытается удалить несовместимое ПО.

Вы можете передать параметры в командной строке при локальной установке приложения.

Пример:

C:\KES\setup_kes.exe /pEULA=1 /pPRIVACYPOLICY=1 /pKSN=0 /pSKIPPRODUCTCHECK=1 /pSKIPPRODUCTUNINSTALL=1 /s

Для дистанционной установки Kaspersky Endpoint Security вам нужно добавить параметры в файл для создания инсталляционного пакета kes_win.kud в разделе [Setup] (см. ниже). Файл kes_win.kud входит в комплект поставки.

kes_win.kud

[Setup]

UseWrapper=1

ExecutableRelPath=EXEC

Params=/s /pAKINSTALL=1 /pEULA=1 /pPRIVACYPOLICY=1 /pKSN=0 /pSKIPPRODUCTCHECK=1 /pSKIPPRODUCTUNINSTALL=1

Executable=setup_kes.exe

RebootDelegated = 1

RebootAllowed=1

ConfigFile=installer.ini

RelPathsToExclude=klcfginst.msi

В начало

[Topic 50360]

Установка и удаление приложения

Приложение Kaspersky Endpoint Security может быть установлено на компьютер следующими способами:

Вы можете настроить параметры установки приложения несколькими способами. Если вы одновременно используете несколько способов настройки параметров, Kaspersky Endpoint Security применяет параметры с наивысшим приоритетом. Kaspersky Endpoint Security использует следующий порядок приоритетов:

  1. Параметры, полученные из файла setup.ini.
  2. Параметры, полученные из файла installer.ini.
  3. Параметры, полученные из командной строки.

Перед началом установки Kaspersky Endpoint Security (в том числе удаленной) рекомендуется закрыть все работающие приложения.

В этом разделе

Развертывание через Kaspersky Security Center

Локальная установка приложения с помощью мастера

Удаленная установка приложения с помощью System Center Configuration Manager

Описание параметров установки в файле setup.ini

Изменение состава компонентов приложения

Обновление предыдущей версии приложения

Удаление приложения
В начало

[Topic 176372]

Развертывание через Kaspersky Security Center

Kaspersky Endpoint Security можно разворачивать на компьютерах в сети организации несколькими способами. Вы можете выбрать наиболее подходящий для вашей организации способ развертывания, а также использовать несколько способов развертывания одновременно. Kaspersky Security Center поддерживает следующие основные способы развертывания:

  • Установка приложения с помощью мастера развертывания защиты.

    Стандартный способ установки, который удобен, если вас удовлетворяют параметры Kaspersky Endpoint Security по умолчанию и в вашей организации простая инфраструктура, которая не требует специальной настройки.

  • Установка приложения с помощью задачи удаленной установки.

    Универсальный способ установки, который позволяет настроить параметры Kaspersky Endpoint Security и гибко управлять задачами удаленной установки. Установка Kaspersky Endpoint Security состоит из следующих этапов:

    1. создание инсталляционного пакета;
    2. создание задачи удаленной установки.

Kaspersky Security Center также поддерживает другие способы установки Kaspersky Endpoint Security, например, развертывание в составе образа операционной системы. Подробнее о других способах развертывания см. в справке Kaspersky Security Center.

В этом разделе

Стандартная установка приложения

Создание инсталляционного пакета

Обновление баз в инсталляционном пакете

Создание задачи удаленной установки
В начало

[Topic 177979]

Стандартная установка приложения

Для установки приложения на компьютерах организации в Kaspersky Security Center предусмотрен мастер развертывания защиты. Мастер развертывания защиты включает в себя следующие основные действия:

  1. Выбор инсталляционного пакета Kaspersky Endpoint Security.

    Инсталляционный пакет – набор файлов, формируемый для удаленной установки приложения "Лаборатории Касперского" при помощи Kaspersky Security Center. Инсталляционный пакет содержит набор параметров, необходимых для установки приложения и обеспечения ее работоспособности сразу после установки. Инсталляционный пакет создается на основании файлов с расширениями kpd и kud, входящих в состав дистрибутива приложения. Инсталляционный пакет Kaspersky Endpoint Security общий для всех поддерживаемых версий операционной системы Windows и типов архитектуры процессора.

  2. Создание задачи Сервера администрирования Kaspersky Security Center Удаленная установка приложения.

    Развертывание Kaspersky Endpoint Security

Как запустить мастер развертывания защиты в Консоли администрирования (MMC)

  1. В Консоли администрирования перейдите в папку Сервер администрированияДополнительноУдаленная установка.
  2. Нажмите на ссылку Развернуть инсталляционный пакет на управляемые устройства (рабочие места).

В результате запустится мастер развертывания защиты. Следуйте его указаниям.

На клиентском компьютере необходимо открыть порты TCP 139 и 445, UDP 137 и 138.

Шаг 1. Выбор инсталляционного пакета

В списке инсталляционных пакетов выберите пакет Kaspersky Endpoint Security. Если в списке отсутствует инсталляционный пакет Kaspersky Endpoint Security, вы можете создать пакет в мастере.

Вы можете настроить параметры инсталляционного пакета в Kaspersky Security Center, например, выбрать компоненты приложения, которые будут установлены на компьютер.

Также с Kaspersky Endpoint Security будет установлен Агент администрирования. Агент администрирования обеспечивает взаимодействие между Сервером администрирования и клиентским компьютером. Если на компьютере уже установлен Агент администрирования, установка не повторяется.

Шаг 2 Выбор устройств для установки

Выберите компьютеры, на которые будет установлено приложение Kaspersky Endpoint Security. Доступны следующие способы:

  • Назначить задачу группе администрирования. В этом случае задача назначается компьютерам, входящим в ранее созданную группу администрирования.
  • Выбрать компьютеры, обнаруженные в сети Сервером администрирования, – нераспределенные устройства. На нераспределенных устройствах не установлен Агент администрирования. В этом случае задача назначается набору устройств. В набор устройств вы можете включать как устройства в группах администрирования, так и нераспределенные устройства.
  • Задать адреса устройств вручную или импортировать из списка. Вы можете задавать NetBIOS-имена, IP-адреса, а также диапазоны IP-адресов устройств, которым нужно назначить задачу.

Шаг 3. Определение параметров задачи удаленной установки

Настройте следующие дополнительные параметры приложения:

  • Принудительно загрузить инсталляционный пакет. Выберите средства установки приложения:
    • С помощью Агента администрирования. Если на компьютере не установлен Агент администрирования, то сначала Агент администрирования будет установлен средствами операционной системы. Далее Kaspersky Endpoint Security устанавливается средствами Агента администрирования.
    • Средствами операционной системы с помощью точек распространения. Инсталляционный пакет передается на клиентские компьютеры средствами операционной системы через точки распространения. Этот вариант можно выбрать, если в сети есть хотя бы одна точка распространения. Подробнее о работе точек распространения см. в справке Kaspersky Security Center.
    • Средствами операционной системы с помощью Сервера администрирования. Доставка файлов на клиентские компьютеры будет осуществляться средствами операционной системы с помощью Сервера администрирования. Этот вариант можно выбрать, если на клиентском компьютере не установлен Агент администрирования, но клиентский компьютер находится в той же сети, что и Сервер администрирования.
  • Поведение устройств, управляемых другими Серверами администрирования. Выберите способ установки Kaspersky Endpoint Security. Если в сети установлено более одного Сервера администрирования, эти Серверы могут видеть одни и те же клиентские компьютеры. Это может привести, например, к удаленной установке одного и того же приложения на одном и том же клиентском компьютере с нескольких Серверов администрирования и к другим конфликтам.
  • Не устанавливать программу, если она уже установлена. Снимите этот флажок, если вы хотите, например, установить приложение более ранней версии.
  • Назначить установку Агента администрирования в групповых политиках Active Directory. Установка Агента администрирования средствами Active Directory вручную. Для установки Агента администрирования задача удаленной установки должна быть запущена с правами администратора домена.

Шаг 4. Выбор лицензионного ключа

Добавьте ключ в инсталляционный пакет для активации приложения. Этот шаг не является обязательным. Если на Сервере администрирования размещен лицензионный ключ с функцией автоматического распространения, ключ будет добавлен автоматически позднее. Также вы можете активировать приложение позднее с помощью задачи Добавление ключа.

Шаг 5. Выбор параметра перезагрузки операционной системы

Выберите действие, которое будет выполняться, если потребуется перезагрузка компьютера. При установке Kaspersky Endpoint Security перезагрузка не требуется. Перезагрузка требуется, только если перед установкой необходимо удалить несовместимые приложения. Также перезагрузка может потребоваться при обновлении версии приложения.

Шаг 6. Удаление несовместимых приложений перед установкой приложения

Ознакомьтесь со списком несовместимых приложений и разрешите удаление этих приложений. Если на компьютере установлены несовместимые приложения, установка Kaspersky Endpoint Security завершается с ошибкой.

Шаг 7. Выбор учетной записи для доступа к устройствам

Выберите учетную запись для установки Агента администрирования средствами операционной системы. В этом случае для доступа к компьютеру требуются права администратора. Вы можете добавить несколько учетных записей. Если у учетной записи нет необходимых прав, мастер установки использует следующую учетную запись. Для установки Kaspersky Endpoint Security средствами Агента администрирования выбирать учетную запись не требуется.

Шаг 8. Запуск установки

Завершите работу мастера. Если требуется, установите флажок Запустить задачу после завершения работы мастера. Вы можете следить за ходом выполнения задачи в свойствах задачи.

Как запустить мастер развертывания защиты в Web Console и Cloud Console

В главном окне Web Console выберите Обнаружение устройств и развертываниеРазвертывание и назначениеМастер развертывания защиты.

В результате запустится мастер развертывания защиты. Следуйте его указаниям.

На клиентском компьютере необходимо открыть порты TCP 139 и 445, UDP 137 и 138.

Шаг 1. Выбор инсталляционного пакета

В списке инсталляционных пакетов выберите пакет Kaspersky Endpoint Security. Если в списке отсутствует инсталляционный пакет Kaspersky Endpoint Security, вы можете создать пакет в мастере. Для создания инсталляционного пакета вам не нужно искать дистрибутив и сохранять его в память компьютера. В Kaspersky Security Center доступен список дистрибутивов, размещенных на серверах "Лаборатории Касперского", и создание инсталляционного пакета выполняется автоматически. "Лаборатория Касперского" обновляет список после выпуска новых версий приложений.

Вы можете настроить параметры инсталляционного пакета в Kaspersky Security Center, например, выбрать компоненты приложения, которые будут установлены на компьютер.

Шаг 2. Выбор лицензионного ключа

Добавьте ключ в инсталляционный пакет для активации приложения. Этот шаг не является обязательным. Если на Сервере администрирования размещен лицензионный ключ с функцией автоматического распространения, ключ будет добавлен автоматически позднее. Также вы можете активировать приложение позднее с помощью задачи Добавление ключа.

Шаг 3. Выбор Агента администрирования

Выберите версию Агента администрирования, который будет установлен вместе с Kaspersky Endpoint Security. Агент администрирования обеспечивает взаимодействие между Сервером администрирования и клиентским компьютером. Если на компьютере уже установлен Агент администрирования, установка не повторяется.

Шаг 4. Выбор устройств для установки

Выберите компьютеры, на которые будет установлено приложение Kaspersky Endpoint Security. Доступны следующие способы:

  • Назначить задачу группе администрирования. В этом случае задача назначается компьютерам, входящим в ранее созданную группу администрирования.
  • Выбрать компьютеры, обнаруженные в сети Сервером администрирования, – нераспределенные устройства. На нераспределенных устройствах не установлен Агент администрирования. В этом случае задача назначается набору устройств. В набор устройств вы можете включать как устройства в группах администрирования, так и нераспределенные устройства.
  • Задать адреса устройств вручную или импортировать из списка. Вы можете задавать NetBIOS-имена, IP-адреса, а также диапазоны IP-адресов устройств, которым нужно назначить задачу.

Шаг 5. Настройка дополнительных параметров

Настройте следующие дополнительные параметры приложения:

  • Принудительно загрузить инсталляционный пакет. Выбор средства установки приложения:
    • С помощью Агента администрирования. Если на компьютере не установлен Агент администрирования, то сначала Агент администрирования будет установлен средствами операционной системы. Далее Kaspersky Endpoint Security устанавливается средствами Агента администрирования.
    • Средствами операционной системы с помощью точек распространения. Инсталляционный пакет передается на клиентские компьютеры средствами операционной системы через точки распространения. Этот вариант можно выбрать, если в сети есть хотя бы одна точка распространения. Подробнее о работе точек распространения см. в справке Kaspersky Security Center.
    • Средствами операционной системы с помощью Сервера администрирования. Доставка файлов на клиентские компьютеры будет осуществляться средствами операционной системы с помощью Сервера администрирования. Этот вариант можно выбрать, если на клиентском компьютере не установлен Агент администрирования, но клиентский компьютер находится в той же сети, что и Сервер администрирования.
  • Не устанавливать программу, если она уже установлена. Снимите этот флажок, если вы хотите, например, установить приложение более ранней версии.
  • Назначить установку инсталляционного пакета в групповых политиках Active Directory. Установка Kaspersky Endpoint Security выполняется средствами Агента администрирования или средствами Active Directory вручную. Для установки Агента администрирования задача удаленной установки должна быть запущена с правами администратора домена.

Шаг 6. Выбор параметра перезагрузки операционной системы

Выберите действие, которое будет выполняться, если потребуется перезагрузка компьютера. При установке Kaspersky Endpoint Security перезагрузка не требуется. Перезагрузка требуется, только если перед установкой необходимо удалить несовместимые приложения. Также перезагрузка может потребоваться при обновлении версии приложения.

Шаг 7. Удаление несовместимых приложений перед установкой приложения

Ознакомьтесь со списком несовместимых приложений и разрешите удаление этих приложений. Если на компьютере установлены несовместимые приложения, установка Kaspersky Endpoint Security завершается с ошибкой.

Шаг 8. Перемещение в группу администрирования

Выберите группу администрирования, в которую будут перемещены компьютеры после установки Агента администрирования. Перемещение в группу администрирования необходимо для применения политик и групповых задач. Если компьютер уже состоит в любой группе администрирования, то компьютер перемещен не будет. Если вы не выберете группу администрирования, компьютеры будут добавлены в группу Нераспределенные устройства.

Шаг 9. Выбор учетной записи для доступа к устройствам

Выберите учетную запись для установки Агента администрирования средствами операционной системы. В этом случае для доступа к компьютеру требуются права администратора. Вы можете добавить несколько учетных записей. Если у учетной записи нет необходимых прав, мастер установки использует следующую учетную запись. Для установки Kaspersky Endpoint Security средствами Агента администрирования выбирать учетную запись не требуется.

Шаг 10. Запуск установки

Завершите работу мастера. Если требуется, установите флажок Запустить задачу после завершения работы мастера. Вы можете следить за ходом выполнения задачи в свойствах задачи.

В начало

[Topic 177937]

Создание инсталляционного пакета

Инсталляционный пакет – набор файлов, формируемый для удаленной установки приложения "Лаборатории Касперского" при помощи Kaspersky Security Center. Инсталляционный пакет содержит набор параметров, необходимых для установки приложения и обеспечения ее работоспособности сразу после установки. Инсталляционный пакет создается на основании файлов с расширениями kpd и kud, входящих в состав дистрибутива приложения. Инсталляционный пакет Kaspersky Endpoint Security общий для всех поддерживаемых версий операционной системы Windows и типов архитектуры процессора.

Как создать инсталляционный пакет в Консоли администрирования (MMC)

  1. В Консоли администрирования перейдите в папку Сервер администрированияДополнительноУдаленная установкаИнсталляционные пакеты.

    Откроется список инсталляционных пакетов, загруженных в Kaspersky Security Center.

  2. Нажмите на кнопку Создать инсталляционный пакет.

Запустится мастер создания инсталляционного пакета. Следуйте его указаниям.

Шаг 1. Выбор типа инсталляционного пакета

Выберите вариант Создать инсталляционный пакет для программы "Лаборатории Касперского".

Шаг 2. Определение имени инсталляционного пакета

Введите имя инсталляционного пакета, например, Kaspersky Endpoint Security для Windows 11.10.0.

Шаг 3. Выбор дистрибутива приложения для установки

Нажмите на кнопку Обзор и выберите файл kes_win.kud, который входит в комплект поставки.

Если требуется, обновите антивирусные базы в инсталляционном пакете с помощью флажка Скопировать обновления из хранилища в инсталляционный пакет.

Шаг 4. Лицензионное соглашение и Политика конфиденциальности

Прочитайте и примите условия Лицензионного соглашения и Политики конфиденциальности.

Инсталляционный пакет будет создан и добавлен в Kaspersky Security Center. С помощью инсталляционного пакета вы можете установить Kaspersky Endpoint Security на компьютеры сети организации или обновить версию приложения. Также в параметрах инсталляционного пакета вы можете выбрать компоненты приложения и настроить параметры установки приложения (см. таблицу ниже). Инсталляционный пакет содержит антивирусные базы из хранилища Сервера администрирования. Вы можете обновлять базы в инсталляционном пакете, чтобы уменьшить расход трафика при обновлении баз после установки Kaspersky Endpoint Security.

Как создать инсталляционный пакет в Web Console и Cloud Console

  1. В главном окне Web Console выберите Обнаружение устройств и развертываниеРазвертывание и назначениеИнсталляционные пакеты.

    Откроется список инсталляционных пакетов, загруженных в Kaspersky Security Center.

  2. Нажмите на кнопку Добавить.

Запустится мастер создания инсталляционного пакета. Следуйте его указаниям.

Шаг 1. Выбор типа инсталляционного пакета

Выберите вариант Создать инсталляционный пакет для программы "Лаборатории Касперского".

Мастер создаст инсталляционный пакет из дистрибутива, размещенного на серверах "Лаборатории Касперского". Список обновляется автоматически по мере выпуска новых версий приложений. Для установки Kaspersky Endpoint Security рекомендуется выбрать этот вариант.

Также вы можете создать инсталляционный пакет из файла.

Шаг 2. Инсталляционные пакеты

Выберите инсталляционный пакет Kaspersky Endpoint Security для Windows. Запустится процесс создания инсталляционного пакета. Во время создания инсталляционного пакета необходимо принять условия Лицензионного соглашения и Политики конфиденциальности.

Инсталляционный пакет будет создан и добавлен в Kaspersky Security Center. С помощью инсталляционного пакета вы можете установить Kaspersky Endpoint Security на компьютеры сети организации или обновить версию приложения. Также в параметрах инсталляционного пакета вы можете выбрать компоненты приложения и настроить параметры установки приложения (см. таблицу ниже). Инсталляционный пакет содержит антивирусные базы из хранилища Сервера администрирования. Вы можете обновлять базы в инсталляционном пакете, чтобы уменьшить расход трафика при обновлении баз после установки Kaspersky Endpoint Security.

Параметры инсталляционного пакета

Раздел

Описание

Компоненты защиты

В этом разделе вы можете выбрать компоненты приложения, которые будут доступны. Вы можете изменить состав компонентов приложения позднее с помощью задачи Изменение состава компонентов приложения. Компоненты Защита от атак BadUSB, Detection and Response и компоненты шифрования данных не устанавливаются по умолчанию. Эти компоненты можно добавить в параметрах инсталляционного пакета.

Если вам нужно установить компоненты Detection and Response, Kaspersky Endpoint Security поддерживает следующие конфигурации:

  • только Endpoint Detection and Response Optimum;
  • только Endpoint Detection and Response Expert;
  • только Kaspersky Sandbox;
  • Endpoint Detection and Response Optimum и Kaspersky Sandbox;
  • Endpoint Detection and Response Expert и Kaspersky Sandbox.

Kaspersky Endpoint Security проверяет выбор компонентов перед установкой приложения. Если конфигурация компонентов Detection and Response не поддерживается, установить Kaspersky Endpoint Security невозможно.

Лицензионный ключ

В этом разделе вы можете активировать приложение. Для активации приложения вам нужно выбрать лицензионный ключ. Перед этим вам нужно добавить ключ на Сервер администрирования. Подробнее о добавлении ключей на Сервер администрирования Kaspersky Security Center см. в справке Kaspersky Security Center.

Несовместимые программы

Ознакомьтесь со списком несовместимых приложений и разрешите удаление этих приложений. Если на компьютере установлены несовместимые приложения, установка Kaspersky Endpoint Security завершается с ошибкой.

Настройки установки

Добавить путь к программе в переменную окружения %PATH%. Вы можете добавить путь установки в переменную %PATH% для удобства использования интерфейса командной строки.

Не защищать процесс установки программы. Защита установки включает в себя защиту от подмены дистрибутива вредоносными приложениями, блокирование доступа к папке установки Kaspersky Endpoint Security и блокирование доступа к разделу системного реестра с ключами приложения. Выключать защиту процесса установки рекомендуется в том случае, когда иначе невозможно выполнить установку приложения (например, такая ситуация может возникнуть при удаленной установке через Windows Remote Desktop).

Обеспечить совместимость с Citrix PVS (необходимо использовать только при работе с Citrix PVS). Вы можете включить поддержку Citrix Provisioning Services для установки Kaspersky Endpoint Security на виртуальную машину.

Путь к папке для установки программы. Вы можете изменить путь установки Kaspersky Endpoint Security на клиентском компьютере. По умолчанию приложение устанавливается в папку %ProgramFiles%\Kaspersky Lab\KES.

Конфигурационный файл. Вы можете загрузить файл, который задает параметры работы Kaspersky Endpoint Security. Вы можете создать конфигурационный файл в локальном интерфейсе приложения.

В начало

[Topic 189376]

Обновление баз в инсталляционном пакете

Инсталляционный пакет содержит антивирусные базы из хранилища Сервера администрирования, актуальные при создании инсталляционного пакета. После создания инсталляционного пакета вы можете обновлять антивирусные базы в инсталляционном пакете. Это позволяет уменьшить расход трафика на обновление антивирусных баз после установки Kaspersky Endpoint Security.

Чтобы обновить антивирусные базы в хранилище Сервера администрирования, используйте задачу Сервера администрирования Загрузка обновлений в хранилище Сервера администрирования. Подробнее об обновлении антивирусных баз в хранилище Сервера администрирования см. в справке Kaspersky Security Center.

Вы можете обновлять базы в инсталляционном пакете только в Консоли администрирования и Kaspersky Security Center Web Console. Обновлять базы в инсталляционном пакете в Kaspersky Security Center Cloud Console невозможно.

Как обновить антивирусные базы в инсталляционном пакете через Консоль администрирования (MMC)

  1. В Консоли администрирования перейдите в папку Сервер администрированияДополнительноУдаленная установкаИнсталляционные пакеты.

    Откроется список инсталляционных пакетов, загруженных в Kaspersky Security Center.

  2. Откройте свойства инсталляционного пакета.
  3. В разделе Общие нажмите на кнопку Обновить базы.

В результате антивирусные базы в инсталляционном пакете будут обновлены из хранилища Сервера администрирования. Файл bases.cab, который входит в комплект поставки, будет заменен папкой bases. Внутри папки будут расположены файлы пакетов обновлений.

Как обновить антивирусные базы в инсталляционном пакете через Web Console

  1. В главном окне Web Console выберите Обнаружение устройств и развертываниеРазвертывание и назначениеИнсталляционные пакеты.

    Откроется список инсталляционных пакетов, загруженных в Web Console.

  2. Нажмите на название инсталляционного пакета Kaspersky Endpoint Security, в котором вы хотите обновить антивирусные базы.

    Откроется окно свойств инсталляционного пакета.

  3. На закладке Общая информация нажмите на ссылку Обновить базы.

В результате антивирусные базы в инсталляционном пакете будут обновлены из хранилища Сервера администрирования. Файл bases.cab, который входит в комплект поставки, будет заменен папкой bases. Внутри папки будут расположены файлы пакетов обновлений.

В начало

[Topic 177980]

Создание задачи удаленной установки

Для удаленной установки Kaspersky Endpoint Security предназначена задача Удаленная установка приложения. Задача Удаленная установка приложения позволяет развернуть инсталляционный пакет приложения на все компьютеры организации. Перед развертыванием инсталляционного пакета вы можете обновить антивирусные базы внутри пакета, а также выбрать доступные компоненты приложения в свойствах инсталляционного пакета.

Как создать задачу удаленной установки в Консоли администрирования (MMC)

  1. В Консоли администрирования перейдите в папку Сервер администрированияЗадачи.

    Откроется список задач.

  2. Нажмите на кнопку Новая задача.

Запустится мастер создания задачи. Следуйте его указаниям.

Шаг 1. Выбор типа задачи

Выберите Сервер администрирования Kaspersky Security CenterУдаленная установка программы.

Шаг 2. Выбор инсталляционного пакета

В списке инсталляционных пакетов выберите пакет Kaspersky Endpoint Security. Если в списке отсутствует инсталляционный пакет Kaspersky Endpoint Security, вы можете создать пакет в мастере.

Вы можете настроить параметры инсталляционного пакета в Kaspersky Security Center, например, выбрать компоненты приложения, которые будут установлены на компьютер.

Также с Kaspersky Endpoint Security будет установлен Агент администрирования. Агент администрирования обеспечивает взаимодействие между Сервером администрирования и клиентским компьютером. Если на компьютере уже установлен Агент администрирования, установка не повторяется.

Шаг 3. Дополнительно

Выберите инсталляционный пакет Агента администрирования. Выбранная версия Агента администрирования будет установлена вместе с Kaspersky Endpoint Security.

Шаг 4. Параметры

Настройте следующие дополнительные параметры приложения:

  • Принудительно загрузить инсталляционный пакет. Выберите средства установки приложения:
    • С помощью Агента администрирования. Если на компьютере не установлен Агент администрирования, то сначала Агент администрирования будет установлен средствами операционной системы. Далее Kaspersky Endpoint Security устанавливается средствами Агента администрирования.
    • Средствами операционной системы с помощью точек распространения. Инсталляционный пакет передается на клиентские компьютеры средствами операционной системы через точки распространения. Этот вариант можно выбрать, если в сети есть хотя бы одна точка распространения. Подробнее о работе точек распространения см. в справке Kaspersky Security Center.
    • Средствами операционной системы с помощью Сервера администрирования. Доставка файлов на клиентские компьютеры будет осуществляться средствами операционной системы с помощью Сервера администрирования. Этот вариант можно выбрать, если на клиентском компьютере не установлен Агент администрирования, но клиентский компьютер находится в той же сети, что и Сервер администрирования.
  • Поведение устройств, управляемых другими Серверами администрирования. Выберите способ установки Kaspersky Endpoint Security. Если в сети установлено более одного Сервера администрирования, эти Серверы могут видеть одни и те же клиентские компьютеры. Это может привести, например, к удаленной установке одного и того же приложения на одном и том же клиентском компьютере с нескольких Серверов администрирования и к другим конфликтам.
  • Не устанавливать программу, если она уже установлена. Снимите этот флажок, если вы хотите, например, установить приложение более ранней версии.

Шаг 5. Выбор параметра перезагрузки операционной системы

Выберите действие, которое будет выполняться, если потребуется перезагрузка компьютера. При установке Kaspersky Endpoint Security перезагрузка не требуется. Перезагрузка требуется, только если перед установкой необходимо удалить несовместимые приложения. Также перезагрузка может потребоваться при обновлении версии приложения.

Шаг 6. Выбор устройств, которым будет назначена задача

Выберите компьютеры, на которые будет установлено приложение Kaspersky Endpoint Security. Доступны следующие способы:

  • Назначить задачу группе администрирования. В этом случае задача назначается компьютерам, входящим в ранее созданную группу администрирования.
  • Выбрать компьютеры, обнаруженные в сети Сервером администрирования, – нераспределенные устройства. На нераспределенных устройствах не установлен Агент администрирования. В этом случае задача назначается набору устройств. В набор устройств вы можете включать как устройства в группах администрирования, так и нераспределенные устройства.
  • Задать адреса устройств вручную или импортировать из списка. Вы можете задавать NetBIOS-имена, IP-адреса, а также диапазоны IP-адресов устройств, которым нужно назначить задачу.

Шаг 7. Выбор учетной записи для запуска задачи

Выберите учетную запись для установки Агента администрирования средствами операционной системы. В этом случае для доступа к компьютеру требуются права администратора. Вы можете добавить несколько учетных записей. Если у учетной записи нет необходимых прав, мастер установки использует следующую учетную запись. Для установки Kaspersky Endpoint Security средствами Агента администрирования выбирать учетную запись не требуется.

Шаг 8. Настройка расписания запуска задачи

Настройте расписание запуска задачи, например, вручную или во время простоя компьютера.

Шаг 9. Определение названия задачи

Введите название задачи, например, Установка Kaspersky Endpoint Security для Windows 11.10.0.

Шаг 10. Завершение создания задачи

Завершите работу мастера. Если требуется, установите флажок Запустить задачу после завершения работы мастера. Вы можете следить за ходом выполнения задачи в свойствах задачи. Установка приложения будет выполнена в тихом режиме. После установки в области уведомлений компьютера пользователя будет добавлен значок . Если значок имеет вид , убедитесь, что вы активировали приложение.

Как создать задачу удаленной установки в Web Console и Cloud Console

  1. В главном окне Web Console выберите УстройстваЗадачи.

    Откроется список задач.

  2. Нажмите на кнопку Добавить.

Запустится мастер создания задачи. Следуйте его указаниям.

Шаг 1. Настройка основных параметров задачи

Настройте основные параметры задачи:

  1. В раскрывающимся списке Программа выберите Kaspersky Security Center.
  2. В раскрывающемся списке Тип задачи выберите Удаленная установка программы.
  3. В поле Название задачи введите короткое описание, например, Установка Kaspersky Endpoint Security для менеджеров.
  4. В блоке Выбор устройств, которым будет назначена задача выберите область действия задачи.

Шаг 2. Выбор компьютеров для установки

На этом шаге выберите компьютеры, на которые будет установлено приложение Kaspersky Endpoint Security, в соответствии с выбранным вариантом области действия задачи.

Шаг 3. Настройка параметров инсталляционного пакета

На этом шаге настройте параметры инсталляционного пакета:

  1. Выберите инсталляционный пакет Kaspersky Endpoint Security для Windows (11.10.0).
  2. Выберите инсталляционный пакет Агента администрирования.

    Выбранная версия Агента администрирования будет установлена вместе с Kaspersky Endpoint Security. Агент администрирования обеспечивает взаимодействие между Сервером администрирования и клиентским компьютером. Если на компьютере уже установлен Агент администрирования, установка не повторяется.

  3. В блоке Принудительно загрузить инсталляционный пакет выберите средства установки приложения:
    • С помощью Агента администрирования. Если на компьютере не установлен Агент администрирования, то сначала Агент администрирования будет установлен средствами операционной системы. Далее Kaspersky Endpoint Security устанавливается средствами Агента администрирования.
    • Средствами операционной системы с помощью точек распространения. Инсталляционный пакет передается на клиентские компьютеры средствами операционной системы через точки распространения. Этот вариант можно выбрать, если в сети есть хотя бы одна точка распространения. Подробнее о работе точек распространения см. в справке Kaspersky Security Center.
    • Средствами операционной системы с помощью Сервера администрирования. Доставка файлов на клиентские компьютеры будет осуществляться средствами операционной системы с помощью Сервера администрирования. Этот вариант можно выбрать, если на клиентском компьютере не установлен Агент администрирования, но клиентский компьютер находится в той же сети, что и Сервер администрирования.
  4. В поле Максимальное количество одновременных загрузок установите ограничение количества запросов к Серверу администрирования для загрузки инсталляционного пакета. Ограничение запросов позволит избежать перегрузки сети.
  5. В поле Максимальное количество попыток установки установите ограничение попыток установить приложение. Если установка Kaspersky Endpoint Security завершается с ошибкой, задача автоматически запускает установку повторно.
  6. Если требуется, снимите флажок Не устанавливать программу, если она уже установлена. Это позволит, например, установить приложение более ранней версии.
  7. Если требуется, снимите флажок Предварительно проверять тип операционной системы перед загрузкой. Это позволит избежать загрузки дистрибутива приложения, если операционная система компьютера не соответствует программным требованиям. Если вы уверены, что операционная система компьютера соответствует программным требованиям, проверку можно пропустить.
  8. Если требуется, установите флажок Назначить установку инсталляционного пакета в групповых политиках Active Directory. Установка Kaspersky Endpoint Security выполняется средствами Агента администрирования или средствами Active Directory вручную. Для установки Агента администрирования задача удаленной установки должна быть запущена с правами администратора домена.
  9. Если требуется, установите флажок Предлагать пользователю закрыть работающие программы. Установка Kaspersky Endpoint Security требует ресурсов компьютера. Для удобства пользователя мастер установки приложения предлагает закрыть работающие приложения перед началом установки. Это позволит избежать замедление в работе других приложений и возможных сбоев в работе компьютера.
  10. В блоке Поведение устройств, управляемых другими Серверами администрирования выберите способ установки Kaspersky Endpoint Security. Если в сети установлено более одного Сервера администрирования, эти Серверы могут видеть одни и те же клиентские компьютеры. Это может привести, например, к удаленной установке одного и того же приложения на одном и том же клиентском компьютере с нескольких Серверов администрирования и к другим конфликтам.

Шаг 4. Выбор учетной записи для запуска задачи

Выберите учетную запись для установки Агента администрирования средствами операционной системы. В этом случае для доступа к компьютеру требуются права администратора. Вы можете добавить несколько учетных записей. Если у учетной записи нет необходимых прав, мастер установки использует следующую учетную запись. Для установки Kaspersky Endpoint Security средствами Агента администрирования выбирать учетную запись не требуется.

Шаг 5. Завершение создания задачи

Завершите работу мастера по кнопке Готово. В списке задач отобразится новая задача. Для выполнения задачи установите флажок напротив задачи и нажмите на кнопку Запустить. Установка приложения будет выполнена в тихом режиме. После установки в области уведомлений компьютера пользователя будет добавлен значок . Если значок имеет вид , убедитесь, что вы активировали приложение.

В начало

[Topic 141289]

Локальная установка приложения с помощью мастера

Интерфейс мастера установки приложения состоит из последовательности окон, соответствующих шагам установки приложения.

Чтобы установить приложение или обновить предыдущую версию приложения с помощью мастера установки приложения, выполните следующие действия:

  1. Скопируйте папку комплекта поставки на компьютер пользователя.
  2. Запустите файл setup_kes.exe.

Запустится мастер установки приложения.

Подготовка к установке

Перед установкой Kaspersky Endpoint Security на компьютер или обновлением предыдущей версии приложения проверяются следующие условия:

Если какое-либо из перечисленных условий не выполнено, на экран выводится соответствующее уведомление.

Если компьютер соответствует предъявляемым требованиям, мастер установки приложения выполняет поиск приложений "Лаборатории Касперского", одновременная работа которых может привести к возникновению конфликтов. Если такие приложения найдены, вам предлагается удалить их вручную.

Если в числе обнаруженных приложений есть предыдущие версии Kaspersky Endpoint Security, то все данные, которые могут быть мигрированы (например, информация об активации, параметры приложения), сохраняются и используются при установке Kaspersky Endpoint Security 11.10.0 для Windows, а предыдущая версия приложения автоматически удаляется. Это относится к следующим версиям приложения:

  • Kaspersky Endpoint Security 10 Service Pack 2 Maintenance Release 4 для Windows (сборка 10.3.3.304).
  • Kaspersky Endpoint Security для Windows 11.2.0 (сборка 11.2.0.2254).
  • Kaspersky Endpoint Security для Windows 11.2.0 CF1 (сборка 11.2.0.2254).
  • Kaspersky Endpoint Security для Windows 11.3.0 (сборка 11.3.0.773).
  • Kaspersky Endpoint Security для Windows 11.4.0 (сборка 11.4.0.233).
  • Kaspersky Endpoint Security для Windows 11.5.0 (сборка 11.5.0.590).
  • Kaspersky Endpoint Security для Windows 11.6.0 (сборка 11.6.0.394).
  • Kaspersky Endpoint Security для Windows 11.7.0 (сборка 11.7.0.669).
  • Kaspersky Endpoint Security для Windows 11.8.0 (сборка 11.8.0.384).
  • Kaspersky Endpoint Security для Windows 11.9.0 (сборка 11.9.0.351).

Компоненты Kaspersky Endpoint Security

В процессе установки вы можете выбрать компоненты Kaspersky Endpoint Security, которые вы хотите установить. Компонент Защита от файловых угроз является обязательным компонентом для установки. Вы не можете отменить его установку.

По умолчанию для установки выбраны все компоненты приложения, кроме следующих компонентов:

Вы можете изменить состав компонентов после установки приложения. Для этого вам нужно запустить мастер установки повторно и выбрать операцию изменения состава компонентов.

Если вам нужно установить компоненты Detection and Response, Kaspersky Endpoint Security поддерживает следующие конфигурации:

  • только Endpoint Detection and Response Optimum;
  • только Endpoint Detection and Response Expert;
  • только Kaspersky Sandbox;
  • Endpoint Detection and Response Optimum и Kaspersky Sandbox;
  • Endpoint Detection and Response Expert и Kaspersky Sandbox.

Kaspersky Endpoint Security проверяет выбор компонентов перед установкой приложения. Если конфигурация компонентов Detection and Response не поддерживается, установить Kaspersky Endpoint Security невозможно.

Дополнительные параметры

Защитить процесс установки программы. Защита установки включает в себя защиту от подмены дистрибутива вредоносными приложениями, блокирование доступа к папке установки Kaspersky Endpoint Security и блокирование доступа к разделу системного реестра с ключами приложения. Выключать защиту процесса установки рекомендуется в том случае, когда иначе невозможно выполнить установку приложения (например, такая ситуация может возникнуть при удаленной установке через Windows Remote Desktop).

Обеспечить совместимость с Citrix PVS (необходимо использовать только при работе с Citrix PVS). Вы можете включить поддержку Citrix Provisioning Services для установки Kaspersky Endpoint Security на виртуальную машину.

Добавить путь к программе в переменную окружения %PATH%. Вы можете добавить путь установки в переменную %PATH% для удобства использования интерфейса командной строки.

В начало

[Topic 132945]

Удаленная установка приложения с помощью System Center Configuration Manager

Инструкция актуальна для версии System Center Configuration Manager 2012 R2.

Чтобы удаленно установить приложение с помощью System Center Configuration Manager, выполните следующие действия:

  1. Откройте консоль Configuration Manager.
  2. В правой части консоли в блоке Управление приложениями выберите раздел Пакеты.
  3. В верхней части консоли в панели управления нажмите на кнопку Создать пакет.

    Запустится Мастер создания пакетов и приложений.

  4. В Мастере создания пакетов и приложений выполните следующие действия:
    1. В разделе Пакет выполните следующие действия:
      • В поле Имя введите имя инсталляционного пакета.
      • В поле Исходная папка укажите путь к папке, в которой расположен дистрибутив Kaspersky Endpoint Security.
    2. В разделе Тип программы выберите вариант Стандартная программа.
    3. В разделе Стандартная программа выполните следующие действия:
      • В поле Имя введите уникальное имя инсталляционного пакета (например, название приложения с указанием версии).
      • В поле Командная строка укажите параметры установки Kaspersky Endpoint Security из командной строки.
      • По кнопке Обзор задайте путь к исполняемому файлу приложения.
      • Убедитесь, что в раскрывающемся списке Режим выполнения выбран элемент Запустить с правами администратора.
    4. В разделе Требования выполните следующие действия:
      • Установите флажок Запустить сначала другую программу, если вы хотите, чтобы перед установкой Kaspersky Endpoint Security было запущено другое приложение.

        Выберите приложение из раскрывающегося списка Программа или укажите путь к исполняемому файлу этого приложения по кнопке Обзор.

      • Выберите вариант Эту программу можно запускать только на указанных платформах в блоке Требования к платформе, если вы хотите, чтобы приложение было установлено только в указанных операционных системах.

        В списке ниже установите флажки напротив тех операционных систем, в которых должен быть установлен Kaspersky Endpoint Security.

      Этот шаг не является обязательным.

    5. В разделе Сводка проверьте все заданные значения параметров и нажмите на кнопку Далее.

    Созданный инсталляционный пакет появится в разделе Пакеты в списке доступных инсталляционных пакетов.

  5. В контекстном меню инсталляционного пакета выберите пункт Развернуть.

    Запустится Мастер развертывания программного обеспечения.

  6. В Мастере развертывания программного обеспечения выполните следующие действия:
    1. В разделе Общие выполните следующие действия:
      • В поле Программное обеспечение введите уникальное имя инсталляционного пакета или выберите инсталляционный пакет из списка по кнопке Обзор.
      • В поле Коллекция введите название коллекции компьютеров, на которые должно быть установлено приложение, или выберите эту коллекцию по кнопке Обзор.
    2. В разделе Содержимое добавьте точки распространения (более подробную информацию вы можете найти в сопроводительной документации для System Center Configuration Manager).
    3. Если требуется, укажите значения других параметров в мастере развертывания программного обеспечения. Эти параметры являются необязательными для удаленной установки Kaspersky Endpoint Security.
    4. В разделе Сводка проверьте все заданные значения параметров и нажмите на кнопку Далее.

    После завершения работы Мастера развертывания программного обеспечения будет создана задача по удаленной установке Kaspersky Endpoint Security.

В начало

[Topic 127982]

Описание параметров установки в файле setup.ini

Файл setup.ini используется при установке приложения из командной строки или с помощью редактора управления групповыми политиками Microsoft Windows. Чтобы применить параметры из файла setup.ini, разместите файл в папке с дистрибутивом Kaspersky Endpoint Security.

ЗАГРУЗИТЬ ФАЙЛ SETUP.INI

Файл setup.ini состоит из следующих разделов:

  • [Setup] – общие параметры установки приложения.
  • [Components] – выбор компонентов приложения для установки. Если не указан ни один из компонентов, то устанавливаются все доступные для операционной системы компоненты. Защита от файловых угроз является обязательным компонентом и устанавливается на компьютер независимо от того, какие параметры указаны в этом блоке.
  • [Tasks] – выбор задач для включения в список задач Kaspersky Endpoint Security. Если не указана ни одна задача, все задачи включаются в список задач Kaspersky Endpoint Security.

Вместо значения 1 могут использоваться значения yes, on, enable, enabled.

Вместо значения 0 могут использоваться значения no, off, disable, disabled.

Параметры файла setup.ini

Раздел

Параметр

Описание

[Setup]

InstallDir

Путь к папке установки приложения.

 

ActivationCode

Код активации Kaspersky Endpoint Security.

 

EULA=1

Согласие с положениями Лицензионного соглашения. Текст Лицензионного соглашения входит в комплект поставки Kaspersky Endpoint Security.

Согласие с положениями Лицензионного соглашения является необходимым условием для установки приложения или обновления версии приложения.

 

PrivacyPolicy=1

Согласие с Политикой конфиденциальности. Текст Политики конфиденциальности входит в комплект поставки Kaspersky Endpoint Security.

Согласие с Политикой конфиденциальности является необходимым условием для установки приложения или обновления версии приложения.

 

KSN

Согласие или отказ участвовать в Kaspersky Security Network (KSN). Если параметр не указан, Kaspersky Endpoint Security запросит подтверждения участия в KSN при первом запуске приложения. Возможные значения:

  • 1 – согласие участвовать в KSN.
  • 0 – отказ участвовать в KSN (значение по умолчанию).

Дистрибутив Kaspersky Endpoint Security оптимизирован для использования Kaspersky Security Network. Если вы отказались от участия в Kaspersky Security Network, то сразу после завершения установки обновите Kaspersky Endpoint Security.

 

Login

Установка имени пользователя для доступа к управлению функциями и параметрами Kaspersky Endpoint Security (компонент Защита паролем). Имя пользователя устанавливается вместе с параметрами Password и PasswordArea. По умолчанию используется имя пользователя KLAdmin.

 

Password

Установка пароля для доступа к управлению функциями и параметрами Kaspersky Endpoint Security (пароль устанавливается вместе с параметрами Login и PasswordArea).

Если вы указали пароль, но не задали имя пользователя с помощью параметра Login, то по умолчанию используется имя пользователя KLAdmin.

 

PasswordArea

Определение области действия пароля для доступа к Kaspersky Endpoint Security. При попытке пользователя выполнить действие из этой области Kaspersky Endpoint Security запрашивает учетные данные пользователя (параметры Login и Password). Для указания множественного значения используйте символ ";".

Возможные значения:

  • SET – изменение параметров приложения.
  • EXIT – завершение работы приложения.
  • DISPROTECT – выключение компонентов защиты и остановка задач проверки.
  • DISPOLICY – выключение политики Kaspersky Security Center.
  • UNINST – удаление приложения с компьютера.
  • DISCTRL – выключение компонентов контроля.
  • REMOVELIC – удаление ключа.
  • REPORTS – просмотр отчетов.

 

SelfProtection

Включение или выключение механизма защиты установки приложения. Возможные значения:

  • 1 – механизм защиты установки приложения включен (значение по умолчанию).
  • 0 – механизм защиты установки приложения выключен.

Защита установки включает в себя защиту от подмены дистрибутива вредоносными приложениями, блокирование доступа к папке установки Kaspersky Endpoint Security и блокирование доступа к разделу системного реестра с ключами приложения. Выключать защиту процесса установки рекомендуется в том случае, когда иначе невозможно выполнить установку приложения (например, такая ситуация может возникнуть при удаленной установке через Windows Remote Desktop).

 

Reboot=1

Автоматическая перезагрузка компьютера после установки или обновления приложения, если требуется. Если параметр не задан, автоматическая перезагрузка компьютера запрещена.

При установке Kaspersky Endpoint Security перезагрузка не требуется. Перезагрузка требуется, только если перед установкой необходимо удалить несовместимые приложения. Также перезагрузка может потребоваться при обновлении версии приложения.

 

AddEnvironment

Добавление в системную переменную %PATH% пути к исполняемым файлам, расположенным в папке установки Kaspersky Endpoint Security. Возможные значения:

  • 1 – в системную переменную %PATH% добавляется путь к исполняемым файлам, расположенным в папке установки Kaspersky Endpoint Security.
  • 0 – в системную переменную %PATH% не добавляется путь к исполняемым файлам, расположенным в папке установки Kaspersky Endpoint Security.

 

AMPPL

Включение или выключение защиты процессов Kaspersky Endpoint Security с использованием технологии AM-PPL (Antimalware Protected Process Light). Подробнее о технологии AM-PPL см. на сайте Microsoft.

Технология AM-PPL доступна для операционных систем Windows 10 версии 1703 (RS2) и выше, Windows Server 2019.

Возможные значения:

  • 1 – защита процессов Kaspersky Endpoint Security с использованием технологии AM-PPL включена (значение по умолчанию).
  • 0 – защита процессов Kaspersky Endpoint Security с использованием технологии AM-PPL выключена.

 

UPGRADEMODE

Режим обновления версии приложения:

  • Seamless – обновление приложения с перезагрузкой компьютера (значение по умолчанию).
  • Force – обновление приложения без перезагрузки.

Вы можете обновлять версию приложения без перезагрузки начиная с версии 11.10.0. Для обновление более ранних версий приложения необходимо выполнять перезагрузку компьютера.

 

SetupReg

Включение записи ключей реестра из файла setup.reg в реестр. Значение параметра SetupReg: setup.reg.

 

EnableTraces

Включение или выключение трассировки приложения. После запуска Kaspersky Endpoint Security приложение сохраняет файлы трассировки в папке %ProgramData%\Kaspersky Lab\KES\Traces. Возможные значения:

  • 1 – трассировка включена.
  • 0 – трассировка выключена (значение по умолчанию).

 

TracesLevel

Уровень детализации трассировки. Возможные значения:

  • 100 (критический). Только сообщения о неустранимых ошибках.
  • 200 (высокий). Сообщения обо всех ошибках, включая неустранимые.
  • 300 (диагностический). Сообщения обо всех ошибках, а также предупреждения.
  • 400 (важный). Сообщения обо всех ошибках, предупреждения, а также дополнительная информация.
  • 500 (обычный). Сообщения обо всех ошибках, предупреждениях, а также подробная информация о работе приложения в нормальном режиме (значение по умолчанию).
  • 600 (низкий). Все сообщения.

 

RESTAPI

Управление приложением через REST API. Для управления приложением через REST API обязательно нужно задать имя пользователя (параметр RESTAPI_User).

Возможные значения:

  • 1 – управление через REST API разрешено.
  • 0 – управление через REST API запрещено (значение по умолчанию).

Для управления приложением через REST API должно быть разрешено управление с помощью систем администрирования. Для этого задайте параметр AdminKitConnector=1. Если вы управляете приложением через REST API, управлять приложением с помощью систем администрирования "Лаборатории Касперского" невозможно.

 

RESTAPI_User

Имя пользователя доменной учетной записи Windows для управления приложением через REST API. Управление приложением через REST API доступно только этому пользователю. Введите имя пользователя в формате <DOMAIN>\<UserName> (например, RESTAPI_User=COMPANY\Administrator). Для работы с REST API вы можете выбрать только одного пользователя.

Добавление имени пользователя является необходимым условием для управления приложением через REST API.

 

RESTAPI_Port

Порт для управления приложением через REST API. По умолчанию используется порт 6782.

 

RESTAPI_Certificate

Сертификат для идентификации запросов (например, RESTAPI_Certificate=C:\cert.pem). Для безопасной работы Kaspersky Endpoint Security с REST-клиентом вам нужно настроить идентификацию запросов. Для этого вам нужно установить сертификат и в дальнейшем подписывать полезные данные каждого запроса.

[Components]

ALL

Установка всех компонентов. Если указано значение параметра 1, все компоненты будут установлены независимо от параметров установки отдельных компонентов.

Из-за особенностей поддержки решений Detection and Response на компьютер будут установлены компоненты Endpoint Detection and Response Optimum и Kaspersky Sandbox. Компонент Endpoint Detection and Response Expert несовместим с такой конфигурацией приложения.

 

MailThreatProtection

Защита от почтовых угроз.

 

WebThreatProtection

Защита от веб-угроз.

 

AMSI

AMSI-защита.

 

HostIntrusionPrevention

Предотвращение вторжений.

 

BehaviorDetection

Анализ поведения.

 

ExploitPrevention

Защита от эксплойтов.

 

RemediationEngine

Откат вредоносных действий.

 

Firewall

Сетевой экран.

 

NetworkThreatProtection

Защита от сетевых угроз.

 

WebControl

Веб-Контроль.

 

DeviceControl

Контроль устройств.

 

ApplicationControl

Контроль приложений.

 

AdaptiveAnomaliesControl

Адаптивный контроль аномалий.

 

FileEncryption

Библиотеки для шифрования файлов.

 

DiskEncryption

Библиотеки для полнодискового шифрования.

 

BadUSBAttackPrevention

Защита от атак BadUSB.

 

EDR

Endpoint Detection and Response Optimum (EDR Optimum).

Компонент несовместим с компонентом EDR Expert (EDRCloud).

 

EDRCloud

Endpoint Detection and Response Expert (EDR Expert).

Компонент несовместим с компонентом EDR Optimum (EDR).

 

SB

Kaspersky Sandbox.

 

MDR

Managed Detection and Response.

 

AdminKitConnector

Управление приложением с помощью систем администрирования. К системам администрирования относится, например, Kaspersky Security Center. Кроме систем администрирования "Лаборатории Касперского" вы можете использовать сторонние решения. Для этого Kaspersky Endpoint Security предоставляет API.

Возможные значения:

  • 1 – управление приложением c помощью систем администрирования разрешено (значение по умолчанию).
  • 0 – разрешено управление приложением только через локальный интерфейс.

[Tasks]

ScanMyComputer

Задача полной проверки. Возможные значения:

  • 1 – задача включается в список задач Kaspersky Endpoint Security.
  • 0 – задача не включается в список задач Kaspersky Endpoint Security.

 

ScanCritical

Задача проверки важных областей. Возможные значения:

  • 1 – задача включается в список задач Kaspersky Endpoint Security.
  • 0 – задача не включается в список задач Kaspersky Endpoint Security.

 

Updater

Задача обновления. Возможные значения:

  • 1 – задача включается в список задач Kaspersky Endpoint Security.
  • 0 – задача не включается в список задач Kaspersky Endpoint Security.
В начало

[Topic 181472]

Изменение состава компонентов приложения

Во время установки приложения вы можете выбрать компоненты, которые будут доступны. Вы можете изменить состав приложения следующими способами:

  • Локально с помощью мастера установки приложения.

    Изменение состава приложения выполняется обычным способом, принятым для операционной системы Windows, через Панель управления. Запустите мастер установки приложения и выберите операцию изменения состава компонентов приложения. Следуйте указаниям на экране.

  • Удаленно с помощью Kaspersky Security Center.

    Для изменения состава компонентов Kaspersky Endpoint Security после установки приложения предназначена задача Изменение состава компонентов приложения.

Изменение состава приложения имеет следующие особенности:

  • На компьютеры под управлением Windows Server можно установить не все компоненты Kaspersky Endpoint Security (например, недоступен компонент Адаптивный контроль аномалий).
  • Если на компьютере жесткие диски защищены полнодисковым шифрованием (FDE), удалить компонент Полнодисковое шифрование невозможно. Для удаления компонента Полнодисковое шифрование расшифруйте все жесткие диски компьютера.
  • Если на компьютере есть зашифрованные файлы (FLE) или пользователь использует зашифрованные съемные диски (FDE или FLE), после удаления компонентов шифрования данных получить доступ к файлам и съемным дискам будет невозможно. Вы можете получить доступ к файлам и съемным дискам, если переустановите компоненты шифрования данных.

Как добавить или удалить компоненты приложения в Консоли администрирования (MMC)

  1. В Консоли администрирования перейдите в папку Сервер администрированияЗадачи.

    Откроется список задач.

  2. Нажмите на кнопку Новая задача.

Запустится мастер создания задачи. Следуйте его указаниям.

Шаг 1. Выбор типа задачи

Выберите Kaspersky Endpoint Security для Windows (11.10.0)Изменение состава компонентов приложения.

Шаг 2. Параметры задачи изменения компонентов приложения

Выберите компоненты приложения, которые будут доступны на компьютере пользователя.

Установите флажок Удалять несовместимые приложения сторонних производителей. Список несовместимых приложений можно просмотреть в incompatible.txt, который входит в комплект поставки. Если на компьютере установлены несовместимые приложения, установка Kaspersky Endpoint Security завершается с ошибкой.

Если требуется, включите защиту паролем на выполнение задачи:

  1. Нажмите на кнопку Дополнительно.
  2. Установите флажок Использовать пароль для изменения состава компонентов.
  3. Введите учетные данные пользователя KLAdmin.

Шаг 3. Выбор устройств, которым будет назначена задача

Выберите компьютеры, на которых будет выполнена задача. Доступны следующие способы:

  • Назначить задачу группе администрирования. В этом случае задача назначается компьютерам, входящим в ранее созданную группу администрирования.
  • Выбрать компьютеры, обнаруженные в сети Сервером администрирования, – нераспределенные устройства. В набор устройств вы можете включать как устройства в группах администрирования, так и нераспределенные устройства.
  • Задать адреса устройств вручную или импортировать из списка. Вы можете задавать NetBIOS-имена, IP-адреса, а также диапазоны IP-адресов устройств, которым нужно назначить задачу.

Шаг 4. Настройка расписания запуска задачи

Настройте расписание запуска задачи, например, вручную или во время простоя компьютера.

Шаг 5. Определение названия задачи

Введите название задачи, например, Добавление компонента Контроль приложений.

Шаг 6. Завершение создания задачи

Завершите работу мастера. Если требуется, установите флажок Запустить задачу после завершения работы мастера. Вы можете следить за ходом выполнения задачи в свойствах задачи.

В результате на компьютерах пользователей будет изменен состав компонентов Kaspersky Endpoint Security в тихом режиме. В локальном интерфейсе приложения будут отображаться параметры доступных компонентов. Компоненты, которые не вошли в состав приложения, выключены, а параметры этих компонентов недоступны.

Как добавить или удалить компоненты приложения в Web Console и Cloud Console

  1. В главном окне Web Console выберите УстройстваЗадачи.

    Откроется список задач.

  2. Нажмите на кнопку Добавить.

Запустится мастер создания задачи. Следуйте его указаниям.

Шаг 1. Настройка основных параметров задачи

Настройте основные параметры задачи:

  1. В раскрывающемся списке Программа выберите Kaspersky Endpoint Security для Windows (11.10.0).
  2. В раскрывающемся списке Тип задачи выберите Изменение состава компонентов программы.
  3. В поле Название задачи введите короткое описание, например, Добавление компонента Контроль приложений.
  4. В блоке Выбор устройств, которым будет назначена задача выберите область действия задачи.

Шаг 2. Выбор устройств, которым будет назначена задача

Выберите компьютеры, на которых будет выполнена задача. Например, выберите отдельную группу администрирования или сделайте выборку.

Шаг 3. Завершение создание задачи

Установите флажок Открыть окно свойств задачи после ее создания и завершите работу мастера. В свойствах задачи выберите закладку Параметры программы и выберите компоненты приложения, которые будут доступны.

Если требуется, включите защиту паролем на выполнение задачи:

  1. В блоке Дополнительные настройки установите флажок Использовать пароль для изменения состава компонентов программы.
  2. Введите учетные данные пользователя KLAdmin.

Сохраните внесенные изменения и запустите задачу.

В результате на компьютерах пользователей будет изменен состав компонентов Kaspersky Endpoint Security в тихом режиме. В локальном интерфейсе приложения будут отображаться параметры доступных компонентов. Компоненты, которые не вошли в состав приложения, выключены, а параметры этих компонентов недоступны.

В начало

[Topic 123470]

Обновление предыдущей версии приложения

Обновление предыдущей версии приложения имеет следующие особенности:

  • Локализация новой версии Kaspersky Endpoint Security должна совпадать с локализацией установленной версией приложения. Если локализация приложений не совпадает, обновление версии приложения завершится с ошибкой.
  • Перед началом обновления приложения рекомендуется закрыть все работающие приложения.
  • Если на компьютере установлены жесткие диски, к которым применено полнодисковое шифрование (FDE), для обновления Kaspersky Endpoint Security с версии 10 до версии 11.0.0 и более поздней нужно расшифровать все зашифрованные жесткие диски.

    Перед обновлением Kaspersky Endpoint Security блокирует функциональность полнодискового шифрования. Если функциональность полнодискового шифрования не удалось заблокировать, установка обновления не начнется. После обновления приложения функциональность полнодискового шифрования будет восстановлена.

Kaspersky Endpoint Security поддерживает обновление следующих версий приложения:

  • Kaspersky Endpoint Security 10 Service Pack 2 Maintenance Release 4 для Windows (сборка 10.3.3.304).
  • Kaspersky Endpoint Security для Windows 11.2.0 (сборка 11.2.0.2254).
  • Kaspersky Endpoint Security для Windows 11.2.0 CF1 (сборка 11.2.0.2254).
  • Kaspersky Endpoint Security для Windows 11.3.0 (сборка 11.3.0.773).
  • Kaspersky Endpoint Security для Windows 11.4.0 (сборка 11.4.0.233).
  • Kaspersky Endpoint Security для Windows 11.5.0 (сборка 11.5.0.590).
  • Kaspersky Endpoint Security для Windows 11.6.0 (сборка 11.6.0.394).
  • Kaspersky Endpoint Security для Windows 11.7.0 (сборка 11.7.0.669).
  • Kaspersky Endpoint Security для Windows 11.8.0 (сборка 11.8.0.384).
  • Kaspersky Endpoint Security для Windows 11.9.0 (сборка 11.9.0.351).

Способы обновления версии приложения

Приложение Kaspersky Endpoint Security может быть обновлено на компьютере следующими способами:

Если в сети организации развернуто приложение с набором компонентов, отличным от набора по умолчанию, обновление приложения через Консоль администрирования (MMC) отличается от обновления приложения через Web Console и Cloud Console. Обновление Kaspersky Endpoint Security имеет следующие особенности:

  • Kaspersky Security Center Web Console или Kaspersky Security Center Cloud Console.

    Если вы создали инсталляционный пакет новой версии приложения с набором компонентов по умолчанию, после обновления набор компонентов на компьютере пользователя не будет изменен. Для использования Kaspersky Endpoint Security с набором компонентов по умолчанию нужно открыть свойства инсталляционного пакета, изменить набор компонентов, вернуть набор компонентов в исходное состояние и сохранить изменения.

  • Консоль администрирования Kaspersky Security Center.

    Набор компонентов приложения после обновления будет соответствовать набору компонентов в инсталляционном пакете. То есть, если новая версия приложения имеет набор компонентов по умолчанию, то, например, компонент Защита от атак BadUSB будет удален с компьютера, так как этот компонент исключен из набора по умолчанию. Для продолжения использования приложения с прежним набором компонентов нужно выбрать необходимые компоненты в параметрах инсталляционного пакета.

Обновление версии приложения без перезагрузки

В Kaspersky Endpoint Security версии 11.10.0 добавлена возможность обновлять версию приложения без перезагрузки компьютера. Это позволяет обеспечить бесперебойную работу серверов при обновлении версии приложения.

Обновление версии приложения без перезагрузки имеет следующие ограничения:

  • Обновление версии приложения без перезагрузки доступно только для основных обновлений приложения (англ. Major Updates).
  • Обновление версии приложения без перезагрузки доступно только при установке одного обновления приложения. При установке нескольких обновлений приложения необходимо перезагрузить компьютер.
  • Вы можете обновлять версию приложения без перезагрузки начиная с версии 11.10.0. Для обновление более ранних версий приложения необходимо выполнять перезагрузку компьютера.
  • Обновление версии приложения без перезагрузки невозможно выполнить на компьютерах с включенным шифрованием данных (Шифрование Kaspersky (FDE), BitLocker, Шифрование файлов (FLE). Для обновления версии приложения на компьютерах с включенным шифрованием данных необходимо выполнять перезагрузку компьютера.
  • После обновления приложения версии 11.10.0 и выше для изменения состава компонентов или восстановления приложения с помощью инсталлятора необходимо перезагрузить компьютер.

Как выбрать режим обновления версии приложения в Консоли администрирования (MMC)

  1. Откройте Консоль администрирования Kaspersky Security Center.
  2. В папке Управляемые устройства дерева Консоли администрирования откройте папку с названием группы администрирования, в состав которой входят нужные клиентские компьютеры.
  3. В рабочей области выберите закладку Политики.
  4. Выберите нужную политику и откройте свойства политики двойным щелчком мыши.
  5. В окне политики выберите Общие настройкиНастройки приложения.
  6. С помощью флажка Устанавливать новые версии приложения без перезагрузки компьютера настройте режим обновления приложения.
  7. Сохраните внесенные изменения.

Как выбрать режим обновления версии приложения в Web Console

  1. В главном окне Web Console выберите УстройстваПолитики и профили политик.
  2. Нажмите на название политики Kaspersky Endpoint Security.

    Откроется окно свойств политики.

  3. Выберите закладку Параметры программы.
  4. Перейдите в раздел Общие настройкиНастройки приложения.
  5. С помощью флажка Устанавливать новые версии приложения без перезагрузки компьютера настройте режим обновления приложения.
  6. Сохраните внесенные изменения.

Также вы можете выбрать режим обновления версии приложения при установке приложения из командной строки (параметр UPGRADEMODE).

В результате после обновления версии приложения без перезагрузки на компьютер будут установлены две версии приложения. Инсталлятор устанавливает новую версию приложения в отдельные подпапки в папках Program Files и Program Data. Также инсталлятор создает отдельную ветку реестра для новой версии приложения. Удалять предыдущую версию приложения вручную не требуется. Предыдущая версия приложения будет удалена автоматически после перезагрузки компьютера.

Вы можете проверить обновление Kaspersky Endpoint Security с помощью отчета о версиях программ "Лабратории Касперского" в консоли Kaspersky Security Center.

В начало

[Topic 50362]

Удаление приложения

В результате удаления Kaspersky Endpoint Security компьютер и данные пользователя окажутся незащищенными.

Дистанционное удаление приложения с помощью Kaspersky Security Center

Вы можете удалить приложение дистанционно с помощью задачи Удаленная деинсталляция приложения. При выполнении задачи Kaspersky Endpoint Security загрузит на компьютер пользователя утилиту для удаления приложения. После завершения удаления приложения, утилита будет удалена автоматически.

Как удалить приложение через Консоль администрирования (MMC)

  1. В Консоли администрирования перейдите в папку Сервер администрированияЗадачи.

    Откроется список задач.

  2. Нажмите на кнопку Новая задача.

Запустится мастер создания задачи. Следуйте его указаниям.

Шаг 1. Выбор типа задачи

Выберите Сервер администрирования Kaspersky Security CenterДополнительноУдаленная деинсталляция программы.

Шаг 2. Выбор удаляемого приложения

Выберите Удалить программу, поддерживаемую Kaspersky Security Center.

Шаг 3. Параметры задачи удаления приложения

Выберите Kaspersky Endpoint Security для Windows (11.10.0).

Шаг 4. Параметры утилиты деинсталляции

Настройте следующие дополнительные параметры приложения:

  • Принудительно загрузить утилиту деинсталляции. Выберите средства доставки утилиты:
    • С помощью Агента администрирования. Если на компьютере не установлен Агент администрирования, то сначала Агент администрирования будет установлен средствами операционной системы. Далее Kaspersky Endpoint Security удаляется средствами Агента администрирования.
    • Средствами операционной системы с помощью Сервера администрирования. Доставка утилиты на клиентские компьютеры будет осуществляться средствами операционной системы с помощью Сервера администрирования. Этот вариант можно выбрать, если на клиентском компьютере не установлен Агент администрирования, но клиентский компьютер находится в той же сети, что и Сервер администрирования.
    • Средствами операционной системы с помощью точек распространения. Утилита передается на клиентские компьютеры средствами операционной системы через точки распространения. Этот вариант можно выбрать, если в сети есть хотя бы одна точка распространения. Подробнее о работе точек распространения см. в справке Kaspersky Security Center.
  • Предварительно проверять тип операционной системы перед загрузкой. Если требуется, снимите этот флажок. Это позволит избежать загрузки утилиты деинсталляции, если операционная система компьютера не соответствует программным требованиям. Если вы уверены, что операционная система компьютеров соответствует программным требованиям, проверку можно пропустить.

Если операция удаления приложения защищена паролем, выполните следующие действия:

  1. Установите флажок Использовать пароль деинсталляции.
  2. Нажмите на кнопку Изменить.
  3. Введите пароль учетной записи KLAdmin.

Шаг 5. Выбор параметра перезагрузки операционной системы

После удаления приложения требуется перезагрузка. Выберите действие, которое будет выполняться для перезагрузки компьютера.

Шаг 6. Выбор устройств, которым будет назначена задача

Выберите компьютеры, на которых будет выполнена задача. Доступны следующие способы:

  • Назначить задачу группе администрирования. В этом случае задача назначается компьютерам, входящим в ранее созданную группу администрирования.
  • Выбрать компьютеры, обнаруженные в сети Сервером администрирования, – нераспределенные устройства. В набор устройств вы можете включать как устройства в группах администрирования, так и нераспределенные устройства.
  • Задать адреса устройств вручную или импортировать из списка. Вы можете задавать NetBIOS-имена, IP-адреса, а также диапазоны IP-адресов устройств, которым нужно назначить задачу.

Шаг 7. Выбор учетной записи для запуска задачи

Выберите учетную запись для установки Агента администрирования средствами операционной системы. В этом случае для доступа к компьютеру требуются права администратора. Вы можете добавить несколько учетных записей. Если у учетной записи нет необходимых прав, мастер установки использует следующую учетную запись. Для удаления Kaspersky Endpoint Security средствами Агента администрирования выбирать учетную запись не требуется.

Шаг 8. Настройка расписания запуска задачи

Настройте расписание запуска задачи, например, вручную или во время простоя компьютера.

Шаг 9. Определение названия задачи

Введите название задачи, например, Удаление Kaspersky Endpoint Security 11.10.0.

Шаг 10. Завершение создания задачи

Завершите работу мастера. Если требуется, установите флажок Запустить задачу после завершения работы мастера. Вы можете следить за ходом выполнения задачи в свойствах задачи.

Удаление приложения будет выполнено в тихом режиме.

Как удалить приложение через Web Console и Cloud Console

  1. В главном окне Web Console выберите УстройстваЗадачи.

    Откроется список задач.

  2. Нажмите на кнопку Добавить.

Запустится мастер создания задачи. Следуйте его указаниям.

Шаг 1. Настройка основных параметров задачи

Настройте основные параметры задачи:

  1. В раскрывающимся списке Программа выберите Kaspersky Security Center.
  2. В раскрывающемся списке Тип задачи выберите Удаленная деинсталляция программы.
  3. В поле Название задачи введите короткое описание, например, Удаление Kaspersky Endpoint Security на компьютерах Службы технической поддержки.
  4. В блоке Выбор устройств, которым будет назначена задача выберите область действия задачи.

Шаг 2. Выбор устройств, которым будет назначена задача

Выберите компьютеры, на которых будет выполнена задача. Например, выберите отдельную группу администрирования или сделайте выборку.

Шаг 3. Настройка параметров удаления приложения

На этом шаге настройте параметры удаления приложения:

  1. Выберите тип Удалить управляемую программу.
  2. Выберите Kaspersky Endpoint Security для Windows (11.10.0).
  3. Принудительно загрузить утилиту деинсталляции. Выберите средства доставки утилиты:
    • С помощью Агента администрирования. Если на компьютере не установлен Агент администрирования, то сначала Агент администрирования будет установлен средствами операционной системы. Далее Kaspersky Endpoint Security удаляется средствами Агента администрирования.
    • Средствами операционной системы с помощью Сервера администрирования. Доставка утилиты на клиентские компьютеры будет осуществляться средствами операционной системы с помощью Сервера администрирования. Этот вариант можно выбрать, если на клиентском компьютере не установлен Агент администрирования, но клиентский компьютер находится в той же сети, что и Сервер администрирования.
    • Средствами операционной системы с помощью точек распространения. Утилита передается на клиентские компьютеры средствами операционной системы через точки распространения. Этот вариант можно выбрать, если в сети есть хотя бы одна точка распространения. Подробнее о работе точек распространения см. в справке Kaspersky Security Center.
  4. В поле Максимальное количество одновременных загрузок установите ограничение количества запросов к Серверу администрирования для загрузки утилиты для удаления приложения. Ограничение запросов позволит избежать перегрузки сети.
  5. В поле Максимальное количество попыток деинсталляции установите ограничение попыток удалить приложение. Если удаление Kaspersky Endpoint Security завершается с ошибкой, задача автоматически запускает удаление повторно.
  6. Если требуется, снимите флажок Предварительно проверять тип операционной системы перед загрузкой. Это позволит избежать загрузки утилиты деинсталляции, если операционная система компьютера не соответствует программным требованиям. Если вы уверены, что операционная система компьютеров соответствует программным требованиям, проверку можно пропустить.

Шаг 4. Выбор учетной записи для запуска задачи

Выберите учетную запись для установки Агента администрирования средствами операционной системы. В этом случае для доступа к компьютеру требуются права администратора. Вы можете добавить несколько учетных записей. Если у учетной записи нет необходимых прав, мастер установки использует следующую учетную запись. Для удаления Kaspersky Endpoint Security средствами Агента администрирования выбирать учетную запись не требуется.

Шаг 5. Завершение создания задачи

Завершите работу мастера по кнопке Готово. В списке задач отобразится новая задача.

Для выполнения задачи установите флажок напротив задачи и нажмите на кнопку Запустить. Удаление приложения будет выполнено в тихом режиме. После завершения удаления Kaspersky Endpoint Security покажет запрос на перезагрузку компьютера.

Если операция удаления приложения защищена паролем, введите пароль учетной записи KLAdmin в свойствах задачи Удаленная деинсталляция приложения. Без пароля задача не будет выполнена.

Чтобы использовать пароль учетной записи KLAdmin в задаче Удаленная деинсталляция приложения, выполните следующие действия:

  1. В главном окне Web Console выберите УстройстваЗадачи.

    Откроется список задач.

  2. Нажмите на задачу Kaspersky Security Center Удаленная деинсталляция программы.

    Откроется окно свойств задачи.

  3. Выберите закладку Параметры программы.
  4. Установите флажок Использовать пароль деинсталляции.
  5. Введите пароль учетной записи KLAdmin.
  6. Сохраните внесенные изменения.

Дистанционное удаление приложения с помощью Active Directory

Вы можете удалить приложение дистанционно с помощью политики Microsoft Windows. Для удаления приложения вам нужно открыть Консоль управления групповой политикой (gpmc.msc) и в редакторе управления групповыми политиками создать задачу удаления приложения (подробнее см. на сайте Службы технической поддержки Microsoft).

Если операция удаления приложения защищена паролем, вам нужно выполнить следующие действия:

  1. Создайте bat-файл со следующим содержанием:

    msiexec.exe /x<GUID> KLLOGIN=<имя пользователя> KLPASSWD=<пароль> /qn

    где <GUID> – уникальный идентификатор приложения. Вы можете узнать GUID приложения с помощью команды:

    wmic product where "Name like '%Kaspersky Endpoint Security%'" get Name, IdentifyingNumber

    Пример:

    msiexec.exe /x{6BB76C8F-365E-4345-83ED-6D7AD612AF76} KLLOGIN=KLAdmin KLPASSWD=!Password1 /qn
  2. Создайте новую политику Microsoft Windows для компьютеров в Консоли управления групповой политикой (gpmc.msc).
  3. Запустите созданный bat-файл на компьютерах с помощью новой политики.

Локальное удаление приложения

Вы можете удалить приложение локально с помощью мастера установки приложения. Удаление Kaspersky Endpoint Security выполняется обычным способом, принятым для операционной системы Windows, через Панель управления. Запустится мастер установки приложения. Следуйте указаниям на экране.

Вы можете указать, какие используемые приложением данные вы хотите сохранить для дальнейшего использования при повторной установке приложения (например, ее более новой версии). Если вы не укажете никаких данных, приложение будет удалено полностью.

Вы можете сохранить следующие данные:

  • Информация об активации – данные, позволяющие в дальнейшем не активировать приложение повторно. Kaspersky Endpoint Security автоматически добавляет лицензионный ключ, если срок действия лицензии не истек к моменту установки.
  • Файлы резервного хранилища – файлы, проверенные приложением и помещенные в резервное хранилище.

    Доступ к файлам резервного хранилища, сохраненным после удаления приложения, возможен только из той же версии приложения, в которой они были сохранены.

    Если вы планируете использовать объекты резервного хранилища после удаления приложения, вам нужно восстановить их до удаления приложения. Однако эксперты "Лаборатории Касперского" не рекомендуют восстанавливать объекты из резервного хранилища, так как это может нанести вред компьютеру.

  • Настройки работы приложения – значения параметров работы приложения, установленные в процессе ее настройки.
  • Локальное хранилище ключей шифрования – данные, которые обеспечивают доступ к зашифрованным до удаления приложения файлам и дискам. Для доступа к зашифрованным файлам и дискам убедитесь, что вы выбрали функциональность шифрования данных при повторной установке Kaspersky Endpoint Security. Дополнительных действий для доступа к зашифрованным раннее файлам и дискам выполнять не требуется.

Вы также можете удалить приложение локально из командной строки.

В начало

[Topic 127993]

О Лицензионном соглашении

Лицензионное соглашение – это юридическое соглашение между вами и АО "Лаборатория Касперского", в котором указано, на каких условиях вы можете использовать приложение.

Рекомендуется внимательно ознакомиться с условиями Лицензионного соглашения перед началом работы с приложением.

Вы можете ознакомиться с условиями Лицензионного соглашения следующими способами:

Вы принимаете условия Лицензионного соглашения, подтверждая свое согласие с текстом Лицензионного соглашения во время установки приложения. Если вы не согласны с условиями Лицензионного соглашения, вы должны прервать установку приложения.

В начало

[Topic 123473]

О лицензии

Лицензия – это ограниченное по времени право на использование приложения, предоставляемое вам на основе Лицензионного соглашения.

Лицензия включает в себя право на использование приложения в соответствии с условиями Лицензионного соглашения, а также получение технической поддержки. Список доступных функций и срок использования приложения зависят от типа лицензии, по которой было активировано приложение.

Предусмотрены следующие типы лицензий:

  • Пробная – бесплатная лицензия, предназначенная для ознакомления с приложением.

    Пробная лицензия обычно имеет небольшой срок действия. По истечении срока действия пробной лицензии Kaspersky Endpoint Security прекращает выполнять все свои функции. Чтобы продолжить использование приложения, вам нужно приобрести коммерческую лицензию.

    Вы можете активировать приложение по пробной лицензии только один раз.

  • Коммерческая – платная лицензия, предоставляемая при приобретении приложения.

    Функциональность приложения, доступная по коммерческой лицензии, зависит от выбора продукта. Выбранный продукт указан в Лицензионном сертификате. Информацию о доступных продуктах вы можете найти на сайте "Лаборатории Касперского".

    По истечении срока действия коммерческой лицензии приложение прекращает выполнять свои основные функции. Для продолжения работы приложения вам нужно продлить лицензию. Если вы не планируете продлевать лицензию, удалите приложение с компьютера.

В начало

[Topic 73976]

О лицензионном сертификате

Лицензионный сертификат – это документ, который передается вам вместе с файлом ключа или кодом активации.

В Лицензионном сертификате содержится следующая информация о предоставляемой лицензии:

  • лицензионный ключ или номер заказа;
  • информация о пользователе, которому предоставляется лицензия;
  • информация о программе, которую можно активировать по предоставляемой лицензии;
  • ограничение на количество единиц лицензирования (например, устройств, на которых можно использовать программу по предоставляемой лицензии);
  • дата начала срока действия лицензии;
  • дата окончания срока действия лицензии или срок действия лицензии;
  • тип лицензии.
В начало

[Topic 135439]

О подписке

Подписка на Kaspersky Endpoint Security – это заказ на использование приложения с выбранными параметрами (дата окончания подписки, количество защищаемых устройств). Подписку на Kaspersky Endpoint Security можно зарегистрировать у поставщика услуг (например, у интернет-провайдера). Подписку можно продлевать вручную или в автоматическом режиме или отказаться от нее. Управление подпиской доступно на веб-сайте поставщика услуг.

Подписка может быть ограниченной (например, на один год) или неограниченной (без даты окончания). Для продолжения работы Kaspersky Endpoint Security после истечения ограниченной подписки вам нужно ее продлевать. Неограниченная подписка продлевается автоматически при условии своевременного внесения предоплаты поставщику услуг.

Если подписка ограничена, по ее истечении может предоставляться льготный период для продления подписки, в течение которого функциональность приложения сохраняется. Наличие и длительность льготного периода определяет поставщик услуг.

Чтобы использовать Kaspersky Endpoint Security по подписке, вам нужно применить код активации, предоставленный поставщиком услуг. После применения кода активации добавляется активный ключ, определяющий лицензию на использование приложения по подписке. Активировать приложение по подписке с помощью файла ключа невозможно. Поставщик услуг может предоставить только код активации. Добавить резервный ключ по подписке невозможно.

Коды активации, приобретенные по подписке, не могут быть использованы для активации предыдущих версий Kaspersky Endpoint Security.

В начало

[Topic 124700]

О лицензионном ключе

Лицензионный ключ – последовательность бит, с помощью которой вы можете активировать и затем использовать приложение в соответствии с условиями Лицензионного соглашения.

Для ключа, добавленного по подписке, Лицензионный сертификат не предоставляется.

Вы можете добавить лицензионный ключ в приложение одним из следующих способов: применить файл ключа или ввести код активации.

Ключ может быть заблокирован "Лабораторией Касперского", если условия Лицензионного соглашения нарушены. Если ключ заблокирован, для обеспечения работы приложения вам нужно добавить другой ключ.

Ключ может быть активным и резервным.

Активный ключ – ключ, используемый в текущий момент для работы приложения. В качестве активного ключа может быть добавлен ключ для пробной или коммерческой лицензии. В приложении не может быть больше одного активного ключа.

Резервный ключ – ключ, подтверждающий право на использование приложения, но не используемый в текущий момент. По истечении срока годности активного ключа резервный ключ автоматически становится активным. Резервный ключ может быть добавлен только при наличии активного ключа.

Ключ для пробной лицензии может быть добавлен только в качестве активного ключа. Он не может быть добавлен в качестве резервного ключа. Ключ для пробной лицензии не может заменить активный ключ для коммерческой лицензии.

Если ключ попадает в список запрещенных ключей, в течение восьми дней доступна функциональность приложения, определенная лицензией, по которой приложение активировано. Приложение уведомляет пользователя о том, что ключ помещен в список запрещенных ключей. По истечении восьми дней функциональность приложения соответствует ситуации, когда истекает срок действия лицензии. Вы можете использовать компоненты защиты и контроля и выполнять проверку на основе баз приложения, установленных до истечения срока действия лицензии. Кроме того, приложение продолжает шифровать изменяющиеся файлы, зашифрованные до истечения срока действия лицензии, но не шифрует новые файлы. Использование Kaspersky Security Network недоступно.

В начало

[Topic 127994]

О коде активации

Код активации – это уникальная последовательность из двадцати латинских букв и цифр. Вы вводите код активации, чтобы добавить лицензионный ключ, активирующий Kaspersky Endpoint Security. Вы получаете код активации по указанному вами адресу электронной почты после приобретения Kaspersky Endpoint Security.

Чтобы активировать приложение с помощью кода активации, требуется доступ в интернет для подключения к серверам активации "Лаборатории Касперского".

При активации приложения с помощью кода активации добавляется активный ключ. При этом резервный ключ может быть добавлен только с помощью кода активации и не может быть добавлен с помощью файла ключа.

Если код активации был потерян после активации приложения, вы можете восстановить код активации. Вам может потребоваться код активации, например, для регистрации в Kaspersky CompanyAccount. Если код активации был потерян после активации приложения, свяжитесь с партнером "Лаборатории Касперского", у которого вы приобрели лицензию.

В начало

[Topic 127995]

О файле ключа

Файл ключа – это файл с расширением key, который вам предоставляет "Лаборатория Касперского". Файл ключа предназначен для добавления лицензионного ключа, активирующего программу.

Вы получаете файл ключа по указанному вами адресу электронной почты после приобретения Kaspersky Endpoint Security или после заказа пробной версии Kaspersky Endpoint Security.

Чтобы активировать программу с помощью файла ключа, не требуется подключение к серверам активации "Лаборатории Касперского".

Если файл ключа был случайно удален, вы можете его восстановить. Файл ключа может потребоваться вам, например, для регистрации в Kaspersky CompanyAccount.

Для восстановления файла ключа вам нужно выполнить одно из следующих действий:

При активации приложения с помощью файла ключа добавляется активный ключ. При этом резервный ключ может быть добавлен только с помощью файла ключа и не может быть добавлен с помощью кода активации.

В начало

[Topic 176377]

Сравнение функций приложения в зависимости от типа лицензии для рабочих станций

Набор доступных функций Kaspersky Endpoint Security на рабочих станциях зависят от типа лицензии (см. таблицу ниже).

См. также сравнение функций приложения для серверов

Сравнение функций Kaspersky Endpoint Security

 

Функция

Kaspersky Endpoint Security для бизнеса Стандартный

Kaspersky Endpoint Security для бизнеса Расширенный

Kaspersky Total Security

Kaspersky Endpoint Detection and Response Optimum

Kaspersky Optimum Security

Kaspersky Endpoint Detection and Response Expert

Kaspersky Security для виртуальных и облачных сред Standard

Kaspersky Security для виртуальных и облачных сред Enterprise

Продвинутая защита

 

 

 

 

 

 

 

 

Kaspersky Security Network

Включено.

Включено.

Включено.

Включено.

Включено.

Включено.

Включено.

Включено.

Анализ поведения

Включено.

Включено.

Включено.

Включено.

Включено.

Включено.

Включено.

Включено.

Защита от эксплойтов

Включено.

Включено.

Включено.

Включено.

Включено.

Включено.

Включено.

Включено.

Предотвращение вторжений

Включено.

Включено.

Включено.

Включено.

Включено.

Включено.

Включено.

Включено.

Откат вредоносных действий

Включено.

Включено.

Включено.

Включено.

Включено.

Включено.

Включено.

Включено.

Базовая защита

 

 

 

 

 

 

 

 

Защита от файловых угроз

Включено.

Включено.

Включено.

Включено.

Включено.

Включено.

Включено.

Включено.

Защита от веб-угроз

Включено.

Включено.

Включено.

Включено.

Включено.

Включено.

Включено.

Включено.

Защита от почтовых угроз

Включено.

Включено.

Включено.

Включено.

Включено.

Включено.

Включено.

Включено.

Сетевой экран

Включено.

Включено.

Включено.

Включено.

Включено.

Включено.

Включено.

Включено.

Защита от сетевых угроз

Включено.

Включено.

Включено.

Включено.

Включено.

Включено.

Включено.

Включено.

Защита от атак BadUSB

Включено.

Включено.

Включено.

Включено.

Включено.

Включено.

Включено.

Включено.

AMSI-защита

Включено.

Включено.

Включено.

Включено.

Включено.

Включено.

Включено.

Включено.

Контроль безопасности

 

 

 

 

 

 

 

 

Контроль приложений

Включено.

Включено.

Включено.

Включено.

Включено.

Включено.

Включено.

Включено.

Контроль устройств

Включено.

Включено.

Включено.

Включено.

Включено.

Включено.

Включено.

Включено.

Веб-Контроль

Включено.

Включено.

Включено.

Включено.

Включено.

Включено.

Включено.

Включено.

Адаптивный контроль аномалий

Включено.

Включено.

Включено.

Включено.

Включено.

Включено.

Шифрование данных

 

 

 

 

 

 

 

 

Шифрование диска Kaspersky

Включено.

Включено.

Включено.

Включено.

Включено.

Включено.

Шифрование диска BitLocker

Включено.

Включено.

Включено.

Включено.

Включено.

Включено.

Шифрование файлов

Включено.

Включено.

Включено.

Включено.

Включено.

Включено.

Шифрование съемных дисков

Включено.

Включено.

Включено.

Включено.

Включено.

Включено.

Detection and Response

 

 

 

 

 

 

 

 

Endpoint Detection and Response Optimum

Включено.

Включено.

Endpoint Detection and Response Expert

Включено.

Kaspersky Sandbox

(лицензию на Kaspersky Sandbox нужно приобрести отдельно)

Включено.

Включено.

Включено.

Включено.

Включено.

Включено.

Включено.

Включено.

В начало

[Topic 228553]

Сравнение функций приложения в зависимости от типа лицензии для серверов

Набор доступных функций Kaspersky Endpoint Security на серверах зависит от типа лицензии (см. таблицу ниже).

См. также сравнение функций приложения для рабочих станций

Сравнение функций Kaspersky Endpoint Security

 

Функция

Kaspersky Endpoint Security для бизнеса Стандартный

Kaspersky Endpoint Security для бизнеса Расширенный

Kaspersky Total Security

Kaspersky Endpoint Detection and Response Optimum

Kaspersky Optimum Security

Kaspersky Endpoint Detection and Response Expert

Kaspersky Security для виртуальных и облачных сред Standard

Kaspersky Security для виртуальных и облачных сред Enterprise

Продвинутая защита

 

 

 

 

 

 

 

 

Kaspersky Security Network

Включено.

Включено.

Включено.

Включено.

Включено.

Включено.

Включено.

Включено.

Анализ поведения

Включено.

Включено.

Включено.

Включено.

Включено.

Включено.

Включено.

Включено.

Защита от эксплойтов

Включено.

Включено.

Включено.

Включено.

Включено.

Включено.

Включено.

Включено.

Предотвращение вторжений

Откат вредоносных действий

Включено.

Включено.

Включено.

Включено.

Включено.

Включено.

Включено.

Включено.

Базовая защита

 

 

 

 

 

 

 

 

Защита от файловых угроз

Включено.

Включено.

Включено.

Включено.

Включено.

Включено.

Включено.

Включено.

Защита от веб-угроз

Включено.

Включено.

Включено.

Включено.

Включено.

Включено.

Включено.

Защита от почтовых угроз

Включено.

Включено.

Включено.

Включено.

Включено.

Включено.

Включено.

Сетевой экран

Включено.

Включено.

Включено.

Включено.

Включено.

Включено.

Включено.

Включено.

Защита от сетевых угроз

Включено.

Включено.

Включено.

Включено.

Включено.

Включено.

Включено.

Включено.

Защита от атак BadUSB

Включено.

Включено.

Включено.

Включено.

Включено.

Включено.

Включено.

Включено.

AMSI-защита

Включено.

Включено.

Включено.

Включено.

Включено.

Включено.

Включено.

Включено.

Контроль безопасности

 

 

 

 

 

 

 

 

Контроль приложений

Включено.

Включено.

Включено.

Включено.

Включено.

Включено.

Контроль устройств

Включено.

Включено.

Включено.

Включено.

Включено.

Включено.

Включено.

Веб-Контроль

Включено.

Включено.

Включено.

Включено.

Включено.

Включено.

Включено.

Адаптивный контроль аномалий

Шифрование данных

 

 

 

 

 

 

 

 

Шифрование диска Kaspersky

Шифрование диска BitLocker

Включено.

Включено.

Включено.

Включено.

Включено.

Включено.

Шифрование файлов

Шифрование съемных дисков

Detection and Response

 

 

 

 

 

 

 

 

Endpoint Detection and Response Optimum

Включено.

Включено.

Endpoint Detection and Response Expert

Включено.

Kaspersky Sandbox

(лицензию на Kaspersky Sandbox нужно приобрести отдельно)

Включено.

Включено.

Включено.

Включено.

Включено.

Включено.

Включено.

Включено.

В начало

[Topic 177935]

Активация приложения

Активация – это процедура введения в действие лицензии, дающей право на использование полнофункциональной версии приложения в течение срока действия лицензии. Активация приложения заключается в добавлении лицензионного ключа.

Вы можете активировать приложение одним из следующих способов:

  • Локально из интерфейса приложения с помощью мастера активации приложения. Этим способом вы можете добавить и активный, и резервный ключ.
  • Удаленно с помощью программного комплекса Kaspersky Security Center путем создания и последующего запуска задачи добавления лицензионного ключа. Этим способом вы можете добавить и активный, и резервный ключ.
  • Удаленно путем распространения на клиентские компьютеры файлов ключей и кодов активации, размещенных в хранилище ключей на Сервере администрирования Kaspersky Security Center. Подробнее о распространении ключей см. в справке Kaspersky Security Center. Этим способом вы можете добавить и активный, и резервный ключ.

    Код активации, приобретенный по подписке, распространяется в первую очередь.

  • С помощью командной строки.

Во время активации приложения, удаленно или во время установки приложения в тихом режиме, с помощью кода активации возможна произвольная задержка, связанная с распределением нагрузки на серверы активации "Лаборатории Касперского". Если требуется немедленная активация приложения, вы можете прервать выполняющуюся активацию и запустить активацию приложения с помощью мастера активации приложения.

В этом разделе

Активация приложения через Kaspersky Security Center

Активация приложения с помощью мастера активации приложения
В начало

[Topic 176374]

Активация приложения через Kaspersky Security Center

Вы можете активировать приложение дистанционно через Kaspersky Security Center следующими способами:

  • С помощью задачи Добавление ключа.

    Этот способ позволяет добавить ключ на конкретный компьютер или компьютеры, входящие в группу администрирования.

  • Путем распространения на компьютеры ключа, размещенного на Сервере администрирования Kaspersky Security Center.

    Этот способ позволяет автоматически добавлять ключ на компьютеры, уже подключенные к Kaspersky Security Center, а также на новые компьютеры. Для использования этого способа вам нужно сначала добавить ключ на Сервер администрирования Kaspersky Security Center. Подробнее о добавлении ключей на Сервер администрирования Kaspersky Security Center см. в справке Kaspersky Security Center.

  • Путем добавления ключа в инсталляционный пакет Kaspersky Endpoint Security.

    Этот способ позволяет добавить ключ в свойствах инсталляционного пакета при развертывании Kaspersky Endpoint Security. Приложение будет активировано автоматически после установки.

Для Kaspersky Security Center Cloud Console предусмотрена пробная версия. Пробная версия – это специальная версия Kaspersky Security Center Cloud Console, предназначенная для ознакомления пользователя с функциями Kaspersky Security Center Cloud Console. В этой версии вы можете выполнять действия в рабочем пространстве в течении 30 дней. Все управляемые приложения запускаются по пробной лицензии Kaspersky Security Center Cloud Console автоматически, включая Kaspersky Endpoint Security. При этом активировать Kaspersky Endpoint Security по собственной пробной лицензии по истечении пробной лицензии Kaspersky Security Center Cloud Console невозможно. Подробнее о лицензировании Kaspersky Security Center см. в справке Kaspersky Security Center Cloud Console.

Пробная версия Kaspersky Security Center Cloud Console не позволяет вам впоследствии перейти на коммерческую версию. Любое пробное рабочее пространство будет автоматически удалено со всем его содержимым по истечении 30-дневного срока.

Вы можете контролировать использование лицензий следующими способами:

  • Просмотреть Отчет об использовании ключей в инфраструктуре организации (Мониторинг и отчетыОтчеты).
  • Просмотреть статусы компьютеров на закладке УстройстваУправляемые устройства. Если приложение не активировано, то у компьютера будет статус Приложение не активировано.
  • Просмотреть информацию о лицензии в свойствах компьютера.
  • Просмотреть свойства ключа (ОперацииЛицензирование).

Как активировать приложение в Консоли администрирования (MMC)

  1. В Консоли администрирования перейдите в папку Сервер администрированияЗадачи.

    Откроется список задач.

  2. Нажмите на кнопку Новая задача.

Запустится мастер создания задачи. Следуйте его указаниям.

Шаг 1. Выбор типа задачи

Выберите Kaspersky Endpoint Security для Windows (11.10.0)Добавление ключа.

Шаг 2. Добавление ключа

Введите код активации или выберите файл ключа.

Подробнее о добавлении ключей в хранилище Kaspersky Security Center см. в справке Kaspersky Security Center.

Шаг 3. Выбор устройств, которым будет назначена задача

Выберите компьютеры, на которых будет выполнена задача. Доступны следующие способы:

  • Назначить задачу группе администрирования. В этом случае задача назначается компьютерам, входящим в ранее созданную группу администрирования.
  • Выбрать компьютеры, обнаруженные в сети Сервером администрирования, – нераспределенные устройства. В набор устройств вы можете включать как устройства в группах администрирования, так и нераспределенные устройства.
  • Задать адреса устройств вручную или импортировать из списка. Вы можете задавать NetBIOS-имена, IP-адреса, а также диапазоны IP-адресов устройств, которым нужно назначить задачу.

Шаг 4. Настройка расписания запуска задачи

Настройте расписание запуска задачи, например, вручную или во время простоя компьютера.

Шаг 5. Определение названия задачи

Введите название задачи, например, Активация Kaspersky Endpoint Security для Windows.

Шаг 6. Завершение создания задачи

Завершите работу мастера. Если требуется, установите флажок Запустить задачу после завершения работы мастера. Вы можете следить за ходом выполнения задачи в свойствах задачи. В результате на компьютерах пользователей будет активировано приложение Kaspersky Endpoint Security в тихом режиме.

Как активировать приложение в Web Console и Cloud Console

  1. В главном окне Web Console выберите УстройстваЗадачи.

    Откроется список задач.

  2. Нажмите на кнопку Добавить.

Запустится мастер создания задачи. Следуйте его указаниям.

Шаг 1. Настройка основных параметров задачи

Настройте основные параметры задачи:

  1. В раскрывающемся списке Программа выберите Kaspersky Endpoint Security для Windows (11.10.0).
  2. В раскрывающемся списке Тип задачи выберите Добавление ключа.
  3. В поле Название задачи введите короткое описание, например, Активация Kaspersky Endpoint Security для Windows.
  4. В блоке Выбор устройств, которым будет назначена задача выберите область действия задачи. Перейдите к следующему шагу.

Шаг 2. Выбор устройств, которым будет назначена задача

Выберите компьютеры, на которых будет выполнена задача. Доступны следующие способы:

  • Назначить задачу группе администрирования. В этом случае задача назначается компьютерам, входящим в ранее созданную группу администрирования.
  • Выбрать компьютеры, обнаруженные в сети Сервером администрирования, – нераспределенные устройства. В набор устройств вы можете включать как устройства в группах администрирования, так и нераспределенные устройства.
  • Задать адреса устройств вручную или импортировать из списка. Вы можете задавать NetBIOS-имена, IP-адреса, а также диапазоны IP-адресов устройств, которым нужно назначить задачу.

Шаг 3. Выбор лицензии

Выберите лицензию, по которой вы хотите активировать приложение. Перейдите к следующему шагу.

Вы можете добавлять ключи в Web Console (ОперацииЛицензирование).

Шаг 4. Завершение создания задачи

Завершите работу мастера по кнопке Готово. В списке задач отобразится новая задача. Для выполнения задачи установите флажок напротив задачи и нажмите на кнопку Запустить. В результате на компьютерах пользователей будет активировано приложение Kaspersky Endpoint Security в тихом режиме.

В свойствах задачи Добавление ключа вы можете добавить на компьютер резервный ключ. Резервный ключ становится активным либо по истечении срока годности активного ключа, либо при удалении активного ключа. Наличие резервного ключа позволяет избежать ограничения функциональности приложения в момент окончания срока действия лицензии.

Как автоматически добавить лицензионный ключ на компьютеры через Консоль администрирования (MMC)

  1. В Консоли администрирования перейдите в папку Сервер администрированияЛицензии Лаборатории Касперского.

    Откроется список лицензионных ключей.

  2. Откройте свойства лицензионного ключа.
  3. В разделе Общие установите флажок Автоматически распространяемый лицензионный ключ.
  4. Сохраните внесенные изменения.

В результате ключ будет автоматически распространяться на компьютеры, для которых он подходит. При автоматическом распространении ключа в качестве активного или резервного учитывается лицензионное ограничение на количество компьютеров, заданное в свойствах ключа. Если лицензионное ограничение достигнуто, распространение ключа на компьютеры автоматически прекращается. Вы можете просмотреть количество компьютеров, на которые добавлен ключ, и другие данные в свойствах ключа в разделе Устройства.

Как автоматически добавить лицензионный ключ на компьютеры через Web Console и Cloud Console

  1. В главном окне Web Console выберите ОперацииЛицензированиеЛицензии "Лаборатории Касперского".

    Откроется список лицензионных ключей.

  2. Откройте свойства лицензионного ключа.
  3. На закладке Общие включите переключатель Распространять лицензионный ключ автоматически.
  4. Сохраните внесенные изменения.

В результате ключ будет автоматически распространяться на компьютеры, для которых он подходит. При автоматическом распространении ключа в качестве активного или резервного учитывается лицензионное ограничение на количество компьютеров, заданное в свойствах ключа. Если лицензионное ограничение достигнуто, распространение ключа на компьютеры автоматически прекращается. Вы можете просмотреть количество компьютеров, на которые добавлен ключ, и другие данные в свойствах ключа на закладке Устройства.

В начало

[Topic 127998]

Активация приложения с помощью мастера активации приложения

Чтобы активировать Kaspersky Endpoint Security с помощью мастера активации приложения, выполните следующие действия:

  1. В главном окне приложения перейдите в раздел Лицензия.
  2. Нажмите на кнопку Активировать приложение по новой лицензии.

Запустится мастер активации приложения. Следуйте указаниям мастера активации приложения.

В начало

[Topic 128001]

Просмотр информации о лицензии

Чтобы просмотреть информацию о лицензии,

в главном окне приложения перейдите в раздел Лицензия (см. рис. ниже).

Окно Лицензирование

В разделе представлена следующая информация:

  • Статус ключа. На компьютере может быть несколько ключей. Ключ может быть активным и резервным. В приложении не может быть больше одного активного ключа. Резервный ключ может стать активным только после истечения срока годности активного ключа или после удаления активного ключа по кнопке Удалить.
  • Название приложения. Полное название приобретенного приложения "Лаборатории Касперского".
  • Тип лицензии. Предусмотрены следующие типы лицензий: пробная и коммерческая.
  • Функциональность. Функции приложения, которые доступны по вашей лицензии. Предусмотрены следующие функции: Защита, Контроль безопасности, Шифрование данных и другие. Список доступных функций также указан в Лицензионном сертификате.
  • Дополнительная информация о лицензии. Дата начала и дата и время окончания срока действия лицензии (только для активного ключа), оставшийся срок действия лицензии.

    Время окончания срока действия лицензии отображается в часовом поясе, настроенном в операционной системе.

  • Ключ. Ключ – это уникальная буквенно-цифровая последовательность, которая формируется из кода активации или файла ключа.

Также в окне лицензирования доступны следующие действия:

  • Купить лицензию / Продлить срок действия лицензии. Открывает веб-сайт интернет-магазина "Лаборатории Касперского", где вы можете приобрести лицензию или продлить срок действия лицензии. Для этого вам будет нужно ввести данные организации и оплатить заказ.
  • Активировать приложение по новой лицензии. Запускает мастер активации приложения. Мастер позволяет добавить ключ с помощью кода активации или файла ключа. Мастер активации приложения позволяет добавить активный ключ и только один резервный ключ.
В начало

[Topic 127999]

Приобретение лицензии

Вы можете приобрести лицензию уже после установки приложения. Приобретя лицензию, вы получите код активации или файл ключа, с помощью которых нужно активировать приложение.

Чтобы приобрести лицензию, выполните следующие действия:

  1. В главном окне приложения перейдите в раздел Лицензия.
  2. Выполните одно из следующих действий:
    • Нажмите на кнопку Купить лицензию, если не добавлен ни один ключ или добавлен ключ для пробной лицензии.
    • Нажмите на кнопку Продлить срок действия лицензии, если добавлен ключ для коммерческой лицензии.

    Откроется веб-сайт интернет-магазина "Лаборатории Касперского", где вы можете приобрести лицензию.

В начало

[Topic 124701]

Продление подписки

При использовании приложения по подписке Kaspersky Endpoint Security автоматически обращается к серверу активации через определенные промежутки времени вплоть до даты окончания подписки.

Если вы используете приложение по неограниченной подписке, Kaspersky Endpoint Security автоматически в фоновом режиме проверяет наличие обновленного ключа на сервере активации. Если на сервере активации есть ключ, приложение добавляет его в режиме замены предыдущего ключа. Таким образом неограниченная подписка на Kaspersky Endpoint Security продлевается без вашего участия.

Если вы используете приложение по ограниченной подписке, в день истечения подписки или льготного периода после истечения подписки, во время которого доступно ее продление, Kaspersky Endpoint Security уведомляет вас об этом и прекращает попытки автоматического продления подписки. Поведение Kaspersky Endpoint Security при этом соответствует ситуации, когда истекает срок действия коммерческой лицензии на использование приложения, – приложение работает без обновлений и Kaspersky Security Network недоступен.

Вы можете продлить подписку на веб-сайте поставщика услуг.

Чтобы перейти на веб сайт поставщика услуг из интерфейса приложения, выполните следующие действия:

  1. В главном окне приложения перейдите в раздел Лицензия.
  2. Нажмите на кнопку Связаться с поставщиком подписки.

Вы можете обновить статус подписки вручную. Это может потребоваться, если подписка продлена после истечения льготного периода, и приложение автоматически не обновляет статус подписки.

В начало

[Topic 127996]

Предоставление данных в рамках Лицензионного соглашения

Если для активации Kaspersky Endpoint Security применяется код активации, с целью проверки правомерности использования приложения вы соглашаетесь периодически передавать в автоматическом режиме в "Лабораторию Касперского" следующую информацию:

  • тип, версию и локализацию Kaspersky Endpoint Security;
  • версии установленных обновлений Kaspersky Endpoint Security;
  • идентификатор компьютера и идентификатор установки Kaspersky Endpoint Security на компьютере;
  • серийный номер и идентификатор активного ключа;
  • тип, версию и разрядность операционной системы, название виртуальной среды, если приложение Kaspersky Endpoint Security установлено в виртуальной среде;
  • идентификаторы компонентов Kaspersky Endpoint Security, активных на момент предоставления информации.

"Лаборатория Касперского" может также использовать эту информацию для формирования статистической информации о распространении и использовании программного обеспечения "Лаборатории Касперского".

Используя код активации, вы соглашаетесь на автоматическую передачу данных, перечисленных выше. Если вы не согласны предоставлять эту информацию "Лаборатории Касперского", для активации Kaspersky Endpoint Security следует использовать файл ключа.

Принимая условия Лицензионного соглашения, вы соглашаетесь передавать в автоматическом режиме следующую информацию:

  • При обновлении Kaspersky Endpoint Security:
    • версию Kaspersky Endpoint Security;
    • идентификатор Kaspersky Endpoint Security;
    • активный ключ;
    • уникальный идентификатор запуска задачи обновления;
    • уникальный идентификатор установки Kaspersky Endpoint Security.
  • При переходе по ссылкам из интерфейса Kaspersky Endpoint Security:
    • версию Kaspersky Endpoint Security;
    • версию операционной системы;
    • дату активации Kaspersky Endpoint Security;
    • дату окончания действия лицензии;
    • дату создания ключа;
    • дату установки Kaspersky Endpoint Security;
    • идентификатор Kaspersky Endpoint Security;
    • идентификатор обнаруженной уязвимости операционной системы;
    • идентификатор последнего установленного обновления для Kaspersky Endpoint Security;
    • хеш обнаруженного файла, представляющего угрозу, и название этого объекта по классификации "Лаборатории Касперского";
    • категорию ошибки активации Kaspersky Endpoint Security;
    • код ошибки активации Kaspersky Endpoint Security;
    • количество дней до истечения срока годности ключа;
    • количество дней, прошедших с момента добавления ключа;
    • количество дней, прошедших с момента окончания срока действия лицензии;
    • количество компьютеров, на которые распространяется действующая лицензия;
    • активный ключ;
    • срок действия лицензии Kaspersky Endpoint Security;
    • текущий статус лицензии;
    • тип действующей лицензии;
    • тип приложения;
    • уникальный идентификатор запуска задачи обновления;
    • уникальный идентификатор установки Kaspersky Endpoint Security на компьютере;
    • язык интерфейса Kaspersky Endpoint Security.

Полученная информация защищается "Лабораторией Касперского" в соответствии с установленными законом требованиями и действующими правилами "Лаборатории Касперского". Данные передаются по зашифрованным каналам связи.

Более подробную информацию о получении, обработке, хранении и уничтожении информации об использовании приложения после принятия Лицензионного соглашения и согласия с Положением о Kaspersky Security Network вы можете узнать, прочитав тексты этих документов, а также на веб-сайте "Лаборатории Касперского". Файлы license.txt и ksn_<ID языка>.txt с текстами Лицензионного соглашения и Положения о Kaspersky Security Network входят в комплект поставки приложения.

В начало

[Topic 165983]

Предоставление данных при использовании Kaspersky Security Network

Набор данных, которые Kaspersky Endpoint Security передает в "Лабораторию Касперского", зависят от типа лицензии и параметров использования Kaspersky Security Network.

Использование KSN по лицензии не более чем на 4 компьютера

Принимая Положение о Kaspersky Security Network, вы соглашаетесь передавать в автоматическом режиме следующую информацию:

  • информацию об обновлении конфигурации KSN: идентификатор действующей конфигурации, идентификатор полученной конфигурации, код ошибки обновления конфигурации;
  • информацию о проверяемых файлах и URL-адресах: контрольные суммы проверяемого файла (MD5, SHA2-256, SHA1) и паттернов файла (MD5), размер паттерна, тип обнаруженной угрозы и ее название согласно классификации Правообладателя, идентификатор антивирусных баз, URL-адрес, по которому запрашивается репутация, а также URL-адрес страницы, с которой осуществлен переход на проверяемый URL-адрес, идентификатор протокола соединения и номер используемого порта;
  • идентификатор задачи проверки, в которой обнаружена угроза;
  • информацию об используемых цифровых сертификатах, необходимую для проверки их подлинности: контрольные суммы (SHA256) сертификата, которым подписан проверяемый объект, и открытого ключа сертификата;
  • идентификатор компонента ПО, выполняющего сканирование;
  • идентификаторы антивирусных баз и записей в антивирусных базах;
  • информацию об активации ПО на Компьютере: подписанный заголовок тикета от службы активации (идентификатор регионального центра активации, контрольную сумму кода активации, контрольную сумму тикета, дату создания тикета, уникальный идентификатор тикета, версию тикета, статус лицензии, дату и время начала / окончания действия тикета, уникальный идентификатор лицензии, версию лицензии), идентификатор сертификата, которым подписан заголовок тикета, контрольную сумму (MD5) файла ключа;
  • информацию о ПО Правообладателя: полную версию, тип, версию используемого протокола соединения с сервисами "Лаборатории Касперского".

Использование KSN по лицензии на 5 компьютеров и более

Принимая Положение о Kaspersky Security Network, вы соглашаетесь передавать в автоматическом режиме следующую информацию:

Если флажок Kaspersky Security Network установлен, а флажок Включить расширенный режим KSN снят, приложение передает следующую информацию:

  • информацию об обновлении конфигурации KSN: идентификатор действующей конфигурации, идентификатор полученной конфигурации, код ошибки обновления конфигурации;
  • информацию о проверяемых файлах и URL-адресах: контрольные суммы проверяемого файла (MD5, SHA2-256, SHA1) и паттернов файла (MD5), размер паттерна, тип обнаруженной угрозы и ее название согласно классификации Правообладателя, идентификатор антивирусных баз, URL-адрес, по которому запрашивается репутация, а также URL-адрес страницы, с которой осуществлен переход на проверяемый URL-адрес, идентификатор протокола соединения и номер используемого порта;
  • идентификатор задачи проверки, в которой обнаружена угроза;
  • информацию об используемых цифровых сертификатах, необходимую для проверки их подлинности: контрольные суммы (SHA256) сертификата, которым подписан проверяемый объект, и открытого ключа сертификата;
  • идентификатор компонента ПО, выполняющего сканирование;
  • идентификаторы антивирусных баз и записей в антивирусных базах;
  • информацию об активации ПО на Компьютере: подписанный заголовок тикета от службы активации (идентификатор регионального центра активации, контрольную сумму кода активации, контрольную сумму тикета, дату создания тикета, уникальный идентификатор тикета, версию тикета, статус лицензии, дату и время начала / окончания действия тикета, уникальный идентификатор лицензии, версию лицензии), идентификатор сертификата, которым подписан заголовок тикета, контрольную сумму (MD5) файла ключа;
  • информацию о ПО Правообладателя: полную версию, тип, версию используемого протокола соединения с сервисами "Лаборатории Касперского".

Если в дополнение к флажку Kaspersky Security Network установлен флажок Включить расширенный режим KSN, приложение дополнительно к перечисленному выше передает следующую информацию:

  • информацию о результатах категоризации запрашиваемых веб-ресурсов, которая содержит проверяемый URL-адрес и IP-адрес хоста, версию компонента ПО, выполнившего категоризацию, способ категоризации и набор категорий, определенных для веб-ресурса;
  • информацию об установленном на Компьютере программном обеспечении: название программного обеспечения и его производителей, используемые ключи реестра и их значения, информацию о файлах компонентов установленного программного обеспечения (контрольные суммы (MD5, SHA2-256, SHA1), имя, путь к файлу на Компьютере, размер, версию и цифровую подпись);
  • информацию о состоянии антивирусной защиты Компьютера: версии, даты и время выпуска используемых антивирусных баз, идентификатор задачи и идентификатор ПО, выполняющего сканирование;
  • информацию о загружаемых Пользователем файлах: URL- и IP-адреса, откуда была выполнена загрузка, и URL-адрес страницы, с которой был выполнен переход на страницу загрузки файла, идентификатор протокола загрузки и номер порта соединения, признак вредоносности адресов, атрибуты и размер файла и его контрольные суммы (MD5, SHA2-256, SHA1), информацию о процессе, загрузившем файл (контрольные суммы (MD5, SHA2-256, SHA1), дата и время создания и линковки, признак нахождения в автозапуске, атрибуты, имена упаковщиков, информация о подписи, признак исполняемого файла, идентификатор формата, тип учетной записи, от имени которой был запущен процесс), информацию о файле процесса (имя, путь к файлу и размер), имя файла, путь к файлу на Компьютере, цифровая подпись файла и информация о выполнении подписи, URL-адрес, на котором произошло обнаружение, номер скрипта на странице, оказавшегося подозрительным или вредоносным;
  • информацию о запускаемых приложениях и их модулях: данные о запущенных процессах в системе (идентификатор процесса в системе (PID), имя процесса, данные об учетной записи, от которой запущен процесс, приложению и команде, запустившей процесс, а также признак доверенности приложения или процесса, полный путь к файлам процесса и их контрольные суммы (MD5, SHA2-256, SHA1), командная строка запуска, уровень целостности процесса, описание продукта, к которому относится процесс (название продукта и данные об издателе), а также данные об используемых цифровых сертификатах и информацию, необходимую для проверки их подлинности, или данные об отсутствии цифровой подписи файла), также информацию о загружаемых в процессы модулях (имя, размер, тип, дата создания, атрибуты, контрольные суммы (MD5, SHA2-256, SHA1), путь), информация заголовка PE-файлов, названия упаковщика (если файл был упакован);
  • информацию обо всех потенциально вредоносных объектах и действиях: название детектируемого объекта и полный путь к объекту на Компьютере, контрольные суммы обрабатываемых файлов (MD5, SHA2-256, SHA1), дата и время обнаружения, названия и размер обрабатываемых файлов и пути к ним, код шаблона пути, признак исполняемого файла, признак, является ли объект контейнером, названия упаковщика (если файл был упакован), код типа файла, идентификатор формата файла, идентификаторы антивирусных баз и записей в антивирусных базах, на основании которых было вынесено решение ПО, признак потенциально вредоносного объекта, название обнаруженной угрозы согласно классификации Правообладателя, степень опасности, статус и способ обнаружения, причина включения в анализируемый контекст и порядковый номер файла в контексте, контрольные суммы (MD5, SHA2-256, SHA1), имя и атрибуты исполняемого файла приложения, через которое прошло зараженное сообщение или ссылка, IP-адреса (IPv4 и IPv6) хоста заблокированного объекта, энтропия файла, признак нахождения файла в автозапуске, время первого обнаружения файла в системе, количество запусков файла с момента последней отправки статистик, тип компилятора, информация о названии, контрольных суммах (MD5, SHA2-256, SHA1) и размере почтового клиента, через который был получен вредоносный объект, идентификатор задачи ПО, которое выполнило проверку, признак проверки репутации или подписи файла, результаты статического анализа содержимого объекта, паттерны объекта, размер паттерна в байтах, технические характеристики по применяемым технологиям детектирования;
  • информацию о проверенных объектах: присвоенную группу доверия, в которую помещен и/или из которой перемещен файл, причина, по которой файл помещен в данную категорию, идентификатор категории, информация об источнике категорий и версии базы категорий, признак наличия у файла доверенного сертификата, название производителя файла, версия файла, имя и версия приложения, частью которого является файл;
  • информацию об обнаруженных уязвимостях: идентификатор уязвимости в базе уязвимостей, класс опасности уязвимости;
  • информацию о выполнении эмуляции исполняемого файла: размер файла и его контрольные суммы (MD5, SHA2-256, SHA1), версия компонента эмуляции, глубина эмуляции, вектор характеристик логических блоков и функций внутри логических блоков, полученный в ходе эмуляции, данные из структуры PE-заголовка исполняемого файла;
  • информацию о сетевых атаках: IP-адреса атакующего компьютера (IPv4 и IPv6), номер порта Компьютера, на который была направлена сетевая атака, идентификатор протокола IP-пакета, в котором зафиксирована атака, цель атаки (название организации, веб-сайт), флаг реакции на атаку, весовой уровень атаки, значение уровня доверия;
  • информацию об атаках, связанных с подменой сетевых ресурсов, DNS- и IP-адреса (IPv4 или IPv6) посещаемых веб-сайтов;
  • DNS- и IP-адреса (IPv4 или IPv6) запрашиваемого веб-ресурса, информацию о файле и веб-клиенте, обращающемся к веб-ресурсу: название, размер, контрольные суммы (MD5, SHA2-256, SHA1) файла, полный путь к нему и код шаблона пути, результат проверки его цифровой подписи и его статус в KSN;
  • информацию о выполнении отката деятельности вредоносного приложения: данные о файле, активность которого откатывается (имя файла, полный путь к нему, его размер и контрольные суммы (MD5, SHA2-256, SHA1)), данные об успешных и неуспешных действиях по удалению, переименованию и копированию файлов и восстановлению значений в реестре (имена ключей реестра и их значения), информация о системных файлах, измененных вредоносным приложением, до и после выполнения отката;
  • информацию об исключениях для правил компонента Адаптивный контроль аномалий: идентификатор и статус сработавшего правила, действие ПО при срабатывании правила, тип учетной записи, от имени которой процесс или поток выполняет подозрительные действия, информацию о процессе, выполнившем подозрительные действия, и о процессе, в отношении которого были выполнены подозрительные действия (идентификатор скрипта или имя файла процесса, полный путь к файлу процесса, код шаблона пути, контрольные суммы (MD5, SHA2-256, SHA1) файла процесса), информацию об объекте, от имени которого были выполнены подозрительные действия, и об объекте, в отношении которого были выполнены подозрительные действия (название ключа реестра или имя файла, полный путь к файлу, код шаблона пути и контрольные суммы (MD5, SHA2-256, SHA1) файла);
  • информацию о загружаемых ПО модулях: название, размер и контрольные суммы (MD5, SHA2-256, SHA1) файла модуля, полный путь к нему и код шаблона пути, параметры цифровой подписи файла модуля, дата и время создания подписи, название субъекта и организации, подписавших файл модуля, идентификатор процесса, в который был загружен модуль, название поставщика модуля, порядковый номер модуля в очереди загрузки;
  • информацию о качестве работы ПО с сервисами KSN: дату и время начала и окончания периода формирования статистики, информацию о качестве запросов и соединения с каждым из используемых сервисов KSN (идентификатор сервиса KSN, количество успешных запросов, количество запросов с ответами из кеша, количество неуспешных запросов (сетевые проблемы, выключен KSN в параметрах ПО, неправильная маршрутизация), распределение по времени успешных запросов, распределение по времени отмененных запросов, распределение по времени запросов, превысивших ограничение на время ожидания, количество подключений к KSN, взятых из кеша, количество успешных подключений к KSN, количество неуспешных подключений к KSN, количество успешных транзакций, количество неуспешных транзакций, распределение по времени успешных подключений к KSN, распределение по времени неуспешных подключений к KSN, распределение по времени успешных транзакций, распределение по времени неуспешных транзакций);
  • в случае обнаружения потенциально вредоносного объекта предоставляется информация о данных в памяти процессов: элементы иерархии системных объектов (ObjectManager), данные памяти UEFI BIOS, названия ключей реестра и их значения;
  • информацию о событиях в системных журналах: время события, название журнала, в котором обнаружено событие, тип и категория события, название источника события и его описание;
  • информацию о сетевых соединениях: версия и контрольные суммы (MD5, SHA2-256, SHA1) файла процесса, открывшего порт, путь к файлу процесса и его цифровая подпись, локальный и удаленный IP-адреса, номера локального и удаленного портов соединения, состояние соединения, время открытия порта;
  • информацию о дате установки и активации ПО на Компьютере: идентификатор партнера, у которого приобретена лицензия, серийный номер лицензии, подписанный заголовок тикета от службы активации (идентификатор регионального центра активации, контрольную сумму кода активации, контрольную сумму тикета, дату создания тикета, уникальный идентификатор тикета, версию тикета, статус лицензии, дату и время начала / окончания действия тикета, уникальный идентификатор лицензии, версию лицензии), идентификатор сертификата, которым подписан заголовок тикета, контрольную сумму (MD5) файла ключа, уникальный идентификатор установки ПО на Компьютере, тип и идентификатор обновляемого приложения, идентификатор задачи обновления;
  • информацию о наборе всех установленных обновлений, а также о наборе последних установленных и/или удаленных обновлений, тип события, служащего причиной отправки информации об обновлениях, период времени, прошедший после установки последнего обновления, информацию о загруженных в момент предоставления информации антивирусных базах;
  • информацию о работе ПО на Компьютере: данные по использованию процессора (CPU), данные по использованию памяти (Private Bytes, Non-Paged Pool, Paged Pool), количество активных потоков в процессе ПО и потоков в состоянии ожидания, длительность работы ПО до возникновения ошибки, признак работы ПО в интерактивном режиме;
  • количество дампов ПО и дампов системы (BSOD) с момента установки ПО и с момента последнего обновления, идентификатор и версия модуля ПО, в котором произошел сбой, стек памяти в продуктовом процессе и информация об антивирусных базах в момент сбоя;
  • данные о дампе системы (BSOD): признак возникновения BSOD на Компьютере, имя драйвера, вызвавшего BSOD, адрес и стек памяти в драйвере, признак длительности сессии ОС до возникновения BSOD, стек памяти падения драйвера, тип сохраненного дампа памяти, признак того, что сессия работы ОС до BSOD длилась более 10 минут, уникальный идентификатор дампа, дата и время возникновения BSOD;
  • данные об ошибках или проблемах с производительностью, возникших в работе компонентов ПО: идентификатор состояния ПО, тип, код и причина ошибки, а также время ее возникновения, идентификаторы компонента, модуля и процесса продукта, в котором возникла ошибка, идентификатор задачи или категории обновления, при выполнении которой возникла ошибка, логи драйверов, используемых ПО (код ошибки, имя модуля, имя исходного файла и строка, где произошла ошибка);
  • данные об обновлениях антивирусных баз и компонент ПО: имена, даты и время индексных файлов, загруженных в результате последнего обновления и загружаемых в текущем обновлении;
  • информацию об аварийных завершениях работы ПО: дату и время создания дампа, его тип, тип события, вызвавшего аварийное завершение работы ПО (непредвиденное отключение питания, падение приложения стороннего правообладателя), дату и время непредвиденного отключения питания;
  • информацию о совместимости драйверов ПО с аппаратным и программным обеспечением: информацию о свойствах ОС, накладывающих ограничения на функциональность компонентов ПО (Secure Boot, KPTI, WHQL Enforce, BitLocker, Case Sensitivity), тип встроенного ПО загрузки (UEFI, BIOS), признак наличия доверенного платформенного модуля (Trusted Platform Module, TPM), версия спецификации TPM, информацию об установленном на компьютере центральном процессоре (CPU), режим и параметры работы Code Integrity и Device Guard, режим работы драйверов и причина использования текущего режима, версию драйверов ПО, статус поддержки драйверами программных и аппаратных средств виртуализации Компьютера;
  • информацию о сторонних приложениях, вызвавших ошибку: их название, версию и локализацию, код ошибки и информацию о ней из системного журнала приложений, адрес возникновения ошибки и стек памяти стороннего приложения, признак возникновения ошибки в компоненте ПО, длительность работы стороннего приложения до возникновения ошибки, контрольные суммы (MD5, SHA2-256, SHA1) образа процесса приложения, в котором произошла ошибка, путь к этому образу процесса приложения и код шаблона пути, информацию из системного журнала ОС с описанием ошибки, связанной с приложением, информацию о модуле приложения, в котором произошла ошибка (идентификатор ошибки, адрес ошибки как смещение в модуле, имя и версию модуля, идентификатор падения приложения в плагине Правообладателя и стек памяти такого падения, время работы приложения до сбоя);
  • версию компонента обновления ПО, количество аварийных завершений работы компонента обновления ПО при выполнении задач обновления за время работы компонента, идентификатор типа задачи обновления, количество неуспешных завершений задач обновления компонента обновления ПО;
  • информацию о работе компонентов мониторинга системы: полные версии компонентов, дату и время запуска компонентов, код события, которое переполнило очередь событий, и количество таких событий, общее количество переполнений очереди событий, информация о файле процесса-инициатора события (название файла и путь к нему на Компьютере, код шаблона пути, контрольные суммы (MD5, SHA2-256, SHA1) процесса, связанного с файлом, версия файла), идентификатор выполненного перехвата события, полная версия фильтра перехвата, идентификатор типа перехваченного события, размер очереди событий и количество событий между первым событием в очереди и текущим событием, количество просроченных событий в очереди, информация о процессе-инициаторе текущего события (название файла процесса и путь к нему на Компьютере, код шаблона пути, контрольные суммы (MD5, SHA2-256, SHA1) процесса), время обработки события, максимально допустимое время обработки событий, значение вероятности отправки данных, информацию о событиях ОС, время обработки которых ПО превысило ограничение на время ожидания (дата и время получения события, количество повторных инициализаций антивирусных баз, дату и время последней повторной инициализации антивирусных баз после их обновления, время задержки обработки события каждым компонентом мониторинга системы, количество ожидающих событий, количество обработанных событий, количество задержанных событий текущего типа, суммарное время задержки событий текущего типа, суммарное время задержки всех событий);
  • информацию от инструмента трассировки событий Windows (Event Tracing for Windows, ETW) при проблемах с производительностью ПО, поставщики событий SysConfig / SysConfigEx / WinSATAssessment от Microsoft: данные о компьютере (модель, производитель, форм-фактор корпуса, версия), данные о метриках производительности Windows (данные WinSAT-оценки, индекс производительности Windows), имя домена, данные о физических и логических процессорах (количество физических и логических процессоров, производитель, модель, степпинг, количество ядер, тактовая частота, идентификатор процессора (CPUID), характеристики кэша, характеристики логического процессора, признаки поддержки режимов и инструкций), данные о модулях оперативной памяти (тип, форм-фактор, производитель, модель, объем, гранулярность выделения памяти), данные о сетевых интерфейсах (IP- и MAC-адреса, название, описание, конфигурация сетевых интерфейсов, распределение числа и объема сетевых пакетов по типам, скорость сетевого обмена, распределение числа сетевых ошибок по типам), конфигурацию IDE-контроллера, IP-адреса DNS-серверов, данные о видеокарте (модель, описание, производитель, совместимость, объем видеопамяти, разрешение экрана, количество бит на пиксель, версия BIOS), данные о подключенных самонастраиваемых (Plug-and-Play) устройствах (название, описание, идентификатор устройства [PnP, ACPI], данные о дисках и накопителях (количество дисков или флеш-накопителей, производитель, модель, объем диска, число цилиндров, число дорожек на цилиндр, число секторов на дорожку, объем сектора, характеристики кэша, порядковый номер, число разделов, конфигурация контролера SCSI), данные о логических дисках (порядковый номер, объем раздела, объем тома, буква тома, тип раздела, тип файловой системы, количество кластеров, размер кластера, число секторов в кластере, число занятых и свободных кластеров, буква загрузочного тома, адрес-смещение раздела относительно начала диска), данные о BIOS материнской платы (производитель, дата выпуска, версия), данные о материнской плате (производитель, модель, тип), данные о физической памяти (общий и свободный объем), данные о службах операционной системы (имя, описание, статус, тег, данные о процессах [имя и идентификатор PID]), параметры энергопотребления компьютера, конфигурацию контролера прерываний, пути к системным папкам Windows (Windows и System32), данные об ОС (версия, сборка, дата выпуска, название, тип, дата установки), размер файла подкачки, данные о мониторах (количество, производитель, разрешение экрана, разрешающая способность, тип), данные о драйвере видеокарты (производитель, дата выпуска, версия);
  • информацию от ETW, поставщики событий EventTrace / EventMetadata от Microsoft: данные о последовательности системных событий (тип, время, дата, часовой пояс), метаданные о файле с результатами трассировки (имя, структура, параметры трассировки, распределение числа операций трассировки по типам), данные об ОС (название, тип, версия, сборка, дата выпуска, время старта);
  • информацию от ETW, поставщики событий Process / Microsoft-Windows-Kernel-Process / Microsoft-Windows-Kernel-Processor-Power от Microsoft: данные о запускаемых и завершаемых процессах (имя, идентификатор PID, параметры старта, командная строка, код возврата, параметры управления питанием, время запуска и завершения, тип маркера доступа, идентификатор безопасности SID, идентификатор сеанса SessionID, число установленных дескрипторов), данные об изменении приоритетов потоков (идентификатор потока TID, приоритет, время), данные о дисковых операциях процесса (тип, время, объем, число), история изменения структуры и объема используемой процессом памяти;
  • информацию от ETW, поставщики событий StackWalk / Perfinfo от Microsoft: данные счетчиков производительности (производительность отдельных участков кода, последовательность вызовов функций, идентификатор процесса PID, идентификатор потока TID, адреса и атрибуты обработчиков прерываний ISR и отложенных вызовов процедур DPC);
  • информацию от ETW, поставщик событий KernelTraceControl-ImageID от Microsoft: данные об исполняемых файлах и динамических библиотеках (имя, размер образа, полный путь), данные о PDB-файлах (имя, идентификатор), данные ресурса VERSIONINFO исполняемого файла (название, описание, производитель, локализация, версия и идентификатор приложения, версия и идентификатор файла);
  • информацию от ETW, поставщики событий FileIo / DiskIo / Image / Windows-Kernel-Disk от Microsoft: данные о файловых и дисковых операциях (тип, объем, время начала, время завершения, длительность, статус завершения, идентификатор процесса PID, идентификатор потока TID, адреса вызовов функций драйвера, пакет запроса ввода-вывода (I/O Request Packet, IRP), атрибуты файлового объекта Windows), данные о файлах, участвующих в файловых и дисковых операциях (имя, версия, размер, полный путь, атрибуты, смещение, контрольная сумма образа, опции открытия и доступа);
  • информацию от ETW, поставщик событий PageFault от Microsoft: данные об ошибках доступа к страницам памяти (адрес, время, объем, идентификатор процесса PID, идентификатор потока TID, атрибуты файлового объекта Windows, параметры выделения памяти);
  • информацию от ETW, поставщик событий Thread от Microsoft: данные о создании / завершении потоков, данные о запущенных потоках (идентификатор процесса PID, идентификатор потока TID, размер стека, приоритеты и распределение ресурсов CPU, ресурсов ввода-вывода, страниц памяти между потоками, адрес стека, адрес начальной функции, адрес блока окружения потока (Thread Environment Block, TEB), тег службы Windows);
  • информацию от ETW, поставщик событий Microsoft-Windows-Kernel-Memory от Microsoft: данные об операциях управления памятью (статус завершения, время, количество, идентификатор процесса PID), структура распределения памяти (тип, объем, идентификатор сеанса SessionID, идентификатор процесса PID);
  • информацию о работе ПО при появлении проблем с производительностью: идентификатор установки ПО, тип и значение снижения производительности, данные о последовательности внутренних событий ПО (время, часовой пояс, тип, статус завершения, идентификатор компонента ПО, идентификатор сценария работы ПО, идентификатор потока TID, идентификатор процесса PID, адреса вызовов функций), данные о проверяемых сетевых соединениях (URL, направление соединения, размер сетевого пакета), данные о PDB-файлах (имя, идентификатор, размер образа исполняемого файла), данные о проверяемых файлах (имя, полный путь, контрольная сумма), параметры мониторинга производительности ПО;
  • информацию о неуспешной последней перезагрузке ОС: количество неуспешных перезагрузок с момента установки ОС, данные о дампе системы (код и параметры ошибки, имя, версия и контрольная сумма (CRC32) модуля, вызвавшего ошибку в работе ОС, адрес ошибки как смещение в модуле, контрольные суммы (MD5, SHA2-256, SHA1) дампа системы);
  • информацию для проверки подлинности сертификатов, которыми подписаны файлы: отпечаток сертификата, алгоритм вычисления контрольной суммы, публичный ключ и серийный номер сертификата, имя эмитента сертификата, результат проверки сертификата и идентификатор базы сертификатов;
  • информацию о процессе, выполняющем атаку на самозащиту ПО: имя и размер файла процесса, его контрольные суммы (MD5, SHA2-256, SHA1), полный путь к нему и код шаблона пути, даты и время создания и компоновки файла процесса, код типа файла процесса, признак исполняемого файла, атрибуты файла процесса, информацию о сертификате, которым подписан файл процесса, тип учетной записи, от имени которой процесс или поток выполняет подозрительные действия, идентификатор операций, которые осуществлялись для доступа к процессу, тип ресурса, с которым выполняется операция (процесс, файл, объект реестра, поиск окна с помощью функции FindWindow), имя ресурса, с которым выполняется операция, признак успешности выполнения операции, статус файла процесса и его подписи в KSN;
  • информацию о ПО Правообладателя: полную версию, тип, локализацию и статус работы используемого ПО, версии установленных компонентов ПО и статус их работы, данные об установленных обновлениях ПО, а также значение фильтра TARGET, версию используемого протокола соединения с сервисами Правообладателя;
  • информацию об установленном на Компьютере аппаратном обеспечении: тип, название, модель, версию прошивки, характеристики встроенных и подключенных устройств, уникальный идентификатор Компьютера, на котором установлено ПО;
  • информацию о версии установленной на Компьютере операционной системы (ОС) и установленных пакетов обновлений, разрядность, редакцию и параметры режима работы ОС, версию и контрольные суммы (MD5, SHA2-256, SHA1) файла ядра ОС, дату и время запуска OC;
  • исполняемые и неисполняемые файлы целиком или частично;
  • участки оперативной памяти Компьютера;
  • сектора, участвующие в процессе загрузки операционной системы;
  • пакеты данных сетевого трафика;
  • веб-страницы и электронные письма, содержащие подозрительные и вредоносные объекты;
  • описание классов и экземпляров классов WMI хранилища;
  • отчеты об активностях приложений:
    • имя, размер и версия отправляемого файла, его описание и контрольные суммы (MD5, SHA2-256, SHA1), идентификатор формата, название его производителя, название продукта, к которому относится файл, полный путь к файлу на Компьютере и код шаблона пути, дата и время создания и модификации файла;
    • даты и время начала и окончания срока действия сертификата, если отправляемый файл имеет ЭЦП, дата и время подписания, имя эмитента сертификата, информация о владельце сертификата, отпечаток и открытый ключ сертификата и алгоритмы их вычисления, серийный номер сертификата;
    • имя учетной записи, от которой запущен процесс;
    • контрольные суммы (MD5, SHA2-256, SHA1) имени Компьютера, на котором запущен процесс;
    • заголовки окон процесса;
    • идентификатор антивирусных баз, название обнаруженной угрозы согласно классификации Правообладателя;
    • информацию об установленной в ПО лицензии, идентификатор лицензии, ее тип и дата истечения;
    • локальное время Компьютера в момент предоставления информации;
    • имена и пути к файлам, к которым получал доступ процесс;
    • имена ключей реестра и их значения, к которым получал доступ процесс;
    • URL- и IP-адреса, к которым обращался процесс;
    • URL- и IP-адреса, с которых был получен запускаемый файл.
В начало

[Topic 249456]

Предоставление данных при использовании решений Detection and Response

На компьютерах с установленным приложением Kaspersky Endpoint Security хранятся данные, подготовленные для автоматической отправки на серверы решений Kaspersky Endpoint Detection and Response и Kaspersky Sandbox. Файлы хранятся на компьютерах в открытом незашифрованном виде.

Конкретный состав данных зависит от решения, в составе которого используется Kaspersky Endpoint Security.

В этом разделе

Kaspersky Endpoint Detection and Response

Kaspersky Sandbox
В начало

[Topic 249504]

Kaspersky Endpoint Detection and Response

Все данные, которые приложение хранит локально на компьютере, будут удалены с компьютера при удалении Kaspersky Endpoint Security.

Данные о результатах выполнения задачи Поиск IOC (стандартная задача)

Kaspersky Endpoint Security автоматически передает данные о результатах выполнения задач Поиск IOC в Kaspersky Security Center.

Данные в результатах выполнения задач Поиск IOC могут содержать следующую информацию:

  • IP-адрес из ARP-таблицы.
  • Физический адрес из ARP-таблицы.
  • Тип и имя записи DNS.
  • IP-адрес защищаемого компьютера.
  • Физический адрес (MAC) защищаемого компьютера.
  • Идентификатор записи в журнале событий.
  • Имя источника данных в журнале.
  • Имя журнала.
  • Время события.
  • MD5 и SHA256-хеши файла.
  • Полное имя файла (включая путь).
  • Размер файла.
  • Удаленные IP-адрес и порт, с которыми было установлено соединение в момент проверки.
  • IP-адрес локального адаптера.
  • Порт, открытый на локальном адаптере.
  • Протокол в виде числа (в соответствии со стандартом IANA).
  • Имя процесса.
  • Аргументы процесса.
  • Путь к файлу процесса.
  • Windows идентификатор процесса (PID).
  • Windows идентификатор родительского процесса (PID).
  • Имя учетной записи пользователя, запустившего процесс.
  • Дата и время запуска процесса.
  • Имя службы.
  • Описание службы.
  • Путь и имя DLL-службы (для svchost).
  • Путь и имя исполняемого файла службы.
  • Windows идентификатор службы (PID).
  • Тип службы (например, драйвер ядра или адаптер).
  • Статус службы.
  • Режим запуска службы.
  • Имя учетной записи пользователя.
  • Наименование тома.
  • Буква тома.
  • Тип тома.
  • Значение реестра Windows.
  • Значение куста реестра.
  • Путь к ключу реестра (без куста и без имени значения).
  • Параметр реестра.
  • Система (окружение).
  • Имя и версия операционной системы, установленной на компьютере.
  • Сетевое имя защищаемого компьютера.
  • Домен или группа, к которому принадлежит защищаемый компьютер.
  • Имя браузера.
  • Версия браузера.
  • Время последнего обращения к веб-ресурсу.
  • URL из HTTP-запроса.
  • Имя учетной записи, под которой выполнен HTTP-запрос.
  • Имя файла процесса, выполнившего HTTP-запрос.
  • Полный путь к файлу процесса, выполнившего HTTP-запрос.
  • Windows идентификатор (PID) процесса, выполнившего HTTP-запрос.
  • HTTP referer (URL источника HTTP-запроса).
  • URI ресурса, запрошенного по протоколу HTTP.
  • Информация о HTTP агенте пользователя (приложении, выполнившем HTTP-запрос).
  • Время выполнения HTTP-запроса.
  • Уникальный идентификатор процесса, выполнившего HTTP-запрос.

Данные для построения цепочки развития угрозы

Данные для построения цепочки развития угрозы по умолчанию хранятся семь дней. Эти данные автоматически передаются в Kaspersky Security Center.

Данные для построения цепочки развития угрозы могут содержать следующую информацию:

  • Дата и время инцидента.
  • Имя обнаружения.
  • Режим проверки.
  • Статус последнего действия, связанного с обнаружением.
  • Причина неудачной обработки обнаружения.
  • Тип обнаруженного объекта.
  • Имя обнаруженного объекта.
  • Статус угрозы после обработки объекта.
  • Причина неудачного выполнения действий над объектом.
  • Действия, выполняемые для отката вредоносных действий.
  • Об обрабатываемом объекте:
    • Уникальный идентификатор процесса.
    • Уникальный идентификатор родительского процесса.
    • Уникальный идентификатор файла процесса.
    • Идентификатор процесса Windows (PID).
    • Командная строка процесса.
    • Имя учетной записи пользователя, запустившего процесс.
    • Код сеанса входа в систему, в котором запущен процесс.
    • Тип сеанса, в котором запущен процесс.
    • Уровень целостности обрабатываемого процесса.
    • Принадлежность учетной записи пользователя, запустившего процесс, к привилегированным локальным и доменным группам.
    • Идентификатор обрабатываемого объекта.
    • Полное имя обрабатываемого объекта.
    • Идентификатор защищаемого устройства.
    • Полное имя объекта (имя локального файла или веб-адрес загружаемого файла).
    • MD5 и SHA256-хеши обрабатываемого объекта.
    • Тип обрабатываемого объекта.
    • Дата создания обрабатываемого объекта.
    • Дата последнего изменения обрабатываемого объекта.
    • Размер обрабатываемого объекта.
    • Атрибуты обрабатываемого объекта.
    • Организация, подписавшая обрабатываемый объект.
    • Результат проверки цифрового сертификата обрабатываемого объекта.
    • Идентификатор безопасности (SID) обрабатываемого объекта.
    • Идентификатор часового пояса обрабатываемого объекта.
    • Веб-адрес загрузки обрабатываемого объекта (только для файла на диске).
    • Название приложения, загрузившего файл.
    • MD5 и SHA256-хеши приложения, загрузившего файл.
    • Название приложения, последний раз изменившего файл.
    • MD5 и SHA256-хеши приложения, последний раз изменившего файл.
    • Количество запусков обрабатываемого объекта.
    • Дата и время первого запуска обрабатываемого объекта.
    • Уникальный идентификатор файла.
    • Полное имя файла (имя локального файла или веб-адрес загружаемого файла).
    • Путь к обрабатываемой переменной реестра Windows.
    • Имя обрабатываемой переменной реестра Windows.
    • Значение обрабатываемой переменной реестра Windows.
    • Тип обрабатываемой переменной реестра Windows.
    • Показатель принадлежности обрабатываемого ключа реестра к точке автозапуска.
    • Веб-адрес обрабатываемого веб-запроса.
    • Источник ссылок обрабатываемого веб-запроса.
    • Агент пользователя обрабатываемого веб-запроса.
    • Тип обрабатываемого веб-запроса (GET или POST).
    • Локальный IP-порт для обрабатываемого веб-запроса.
    • Удаленный IP-порт для обрабатываемого веб-запроса.
    • Направление соединения (входящее или исходящее) обрабатываемого веб-запроса.
    • Идентификатор процесса, в который произошло внедрение вредоносного кода.
В начало

[Topic 249509]

Kaspersky Sandbox

Все данные, которые приложение хранит локально на компьютере, будут удалены с компьютера при удалении Kaspersky Endpoint Security.

Служебные данные

Kaspersky Endpoint Security хранит следующие данные, обрабатываемые при автоматическом реагировании:

  • Обрабатываемые файлы и данные, передаваемые пользователем в ходе настройки параметров встроенного агента Kaspersky Endpoint Security:
    • Файлы на карантине.
    • Открытый ключ сертификата для интеграции с Kaspersky Sandbox.
  • Кеш встроенного агента Kaspersky Endpoint Security:
    • Время записи результата проверки в кеш.
    • MD5-хеш задачи проверки.
    • Идентификатор задачи проверки.
    • Результат проверки объекта.
  • Очередь запросов на проверку объекта:
    • Идентификатор объекта в очереди.
    • Время помещения объекта в очередь.
    • Статус обработки объекта в очереди.
    • Идентификатор пользовательской сессии в операционной системе, в которой создана задача на проверку объекта.
    • Системный идентификатор (SID) пользователя операционной системы, под учетной записью которого создана задача.
    • MD5-хеш задачи проверки объекта.
  • Информация о задачах, для которых встроенный агент Kaspersky Endpoint Security ожидает результат проверки от Kaspersky Sandbox:
    • Время получения задачи на проверку объекта.
    • Статус обработки объекта.
    • Идентификатор пользовательской сессии в операционной системе, в которой создана задача на проверку объекта.
    • Идентификатор задачи на проверку объекта.
    • MD5-хеш задачи проверки объекта.
    • Системный идентификатор (SID) пользователя операционной системы, под учетной записью которого создана задача.
    • XML-схема автоматически созданного IOC.
    • MD5 и SHA256-хеши проверяемого объекта.
    • Ошибки обработки.
    • Имена объектов, для которых создана задача.
    • Результат проверки объекта.

Данные из запросов к Kaspersky Sandbox

Следующие данные из запросов от встроенного агента Kaspersky Endpoint Security к Kaspersky Sandbox хранятся локально на компьютере:

  • MD5-хеш задачи проверки.
  • Идентификатор задачи проверки.
  • Проверяемый объект и все связанные с ним файлы.

Данные о результатах выполнения задачи Поиск IOC (автономная задача)

Kaspersky Endpoint Security автоматически передает данные о результатах выполнения задач Поиск IOC в Kaspersky Security Center.

Данные в результатах выполнения задач Поиск IOC могут содержать следующую информацию:

  • IP-адрес из ARP-таблицы.
  • Физический адрес из ARP-таблицы.
  • Тип и имя записи DNS.
  • IP-адрес защищаемого компьютера.
  • Физический адрес (MAC) защищаемого компьютера.
  • Идентификатор записи в журнале событий.
  • Имя источника данных в журнале.
  • Имя журнала.
  • Время события.
  • MD5 и SHA256-хеши файла.
  • Полное имя файла (включая путь).
  • Размер файла.
  • Удаленные IP-адрес и порт, с которыми было установлено соединение в момент проверки.
  • IP-адрес локального адаптера.
  • Порт, открытый на локальном адаптере.
  • Протокол в виде числа (в соответствии со стандартом IANA).
  • Имя процесса.
  • Аргументы процесса.
  • Путь к файлу процесса.
  • Windows идентификатор процесса (PID).
  • Windows идентификатор родительского процесса (PID).
  • Имя учетной записи пользователя, запустившего процесс.
  • Дата и время запуска процесса.
  • Имя службы.
  • Описание службы.
  • Путь и имя DLL-службы (для svchost).
  • Путь и имя исполняемого файла службы.
  • Windows идентификатор службы (PID).
  • Тип службы (например, драйвер ядра или адаптер).
  • Статус службы.
  • Режим запуска службы.
  • Имя учетной записи пользователя.
  • Наименование тома.
  • Буква тома.
  • Тип тома.
  • Значение реестра Windows.
  • Значение куста реестра.
  • Путь к ключу реестра (без куста и без имени значения).
  • Параметр реестра.
  • Система (окружение).
  • Имя и версия операционной системы, установленной на компьютере.
  • Сетевое имя защищаемого компьютера.
  • Домен или группа, к которому принадлежит защищаемый компьютер.
  • Имя браузера.
  • Версия браузера.
  • Время последнего обращения к веб-ресурсу.
  • URL из HTTP-запроса.
  • Имя учетной записи, под которой выполнен HTTP-запрос.
  • Имя файла процесса, выполнившего HTTP-запрос.
  • Полный путь к файлу процесса, выполнившего HTTP-запрос.
  • Windows идентификатор (PID) процесса, выполнившего HTTP-запрос.
  • HTTP referer (URL источника HTTP-запроса).
  • URI ресурса, запрошенного по протоколу HTTP.
  • Информация о HTTP агенте пользователя (приложении, выполнившем HTTP-запрос).
  • Время выполнения HTTP-запроса.
  • Уникальный идентификатор процесса, выполнившего HTTP-запрос.
В начало

[Topic 202579]

Соответствие законодательству Европейского союза (GDPR)

Kaspersky Endpoint Security может передавать данные в "Лабораторию Касперского" при выполнении следующих условий:

  • Использование Kaspersky Security Network.
  • Активация приложения с помощью кода активации.
  • Обновление антивирусных баз и модулей приложения.
  • Переход по ссылкам в интерфейсе приложения.
  • Запись дампов.

Вне зависимости от классификации и территории, откуда данные были получены, "Лаборатория Касперского" использует высокий уровень стандартов защиты данных и применяет правовые, организационные и технические меры, чтобы защитить данные пользователей, гарантировать безопасность и конфиденциальность, а также обеспечить выполнение прав пользователей, гарантированных применимым законодательством. Текст Политики конфиденциальности входит в комплект поставки приложения и доступен на веб-сайте "Лаборатории Касперского".

Перед использованием Kaspersky Endpoint Security ознакомьтесь с описанием передаваемых данных в Лицензионном соглашении и Положении о Kaspersky Security Network. Если в соответствии с вашим локальным законодательством или стандартом данные, передаваемые из Kaspersky Endpoint Security в рамках любого из описанных сценариев, могут быть классифицированы как персональные, вам необходимо обеспечить законность их обработки и получить согласие конечных пользователей на сбор и передачу этих данных.

Более подробную информацию о получении, обработке, хранении и уничтожении информации об использовании приложения после принятия Лицензионного соглашения и согласия с Положением о Kaspersky Security Network вы можете узнать, прочитав тексты этих документов, а также на веб-сайте "Лаборатории Касперского". Файлы license.txt и ksn_<ID языка>.txt с текстами Лицензионного соглашения и Положения о Kaspersky Security Network входят в комплект поставки приложения.

Если вы не хотите предоставлять данные в "Лабораторию Касперского", вы можете выключить передачу данных.

Использование Kaspersky Security Network

Используя Kaspersky Security Network, вы соглашаетесь на автоматическую передачу данных, перечисленных в Положении о Kaspersky Security Network. Если вы не согласны предоставлять эту информацию "Лаборатории Касперского", используйте Локальный KSN или выключите использование KSN. Подробнее о работе Локального KSN см. в документации для Kaspersky Private Security Network.

Активация приложения с помощью кода активации

Используя код активации, вы соглашаетесь на автоматическую передачу данных, перечисленных в Лицензионном соглашении. Если вы не согласны предоставлять эту информацию "Лаборатории Касперского", используйте файл ключа для активации Kaspersky Endpoint Security.

Обновление антивирусных баз и модулей приложения

Используя для обновления серверы "Лаборатории Касперского", вы соглашаетесь на автоматическую передачу данных, перечисленных в Лицензионном соглашении. Информация требуется для проверки правомерности использования приложения Kaspersky Endpoint Security. Если вы не согласны предоставлять эту информацию "Лаборатории Касперского", используйте Kaspersky Security Center для обновления баз или Kaspersky Update Utility.

Переход по ссылкам в интерфейсе приложения

Используя ссылки в интерфейсе приложения, вы соглашаетесь на автоматическую передачу данных, перечисленных в Лицензионном соглашении. Точный перечень данных, передаваемых в каждой конкретной ссылке, зависит от того, где именно расположена ссылка в интерфейсе приложения и какую проблему она призвана решить. Если вы не согласны предоставлять эту информацию "Лаборатории Касперского", используйте упрощенный интерфейс приложения или скройте интерфейс приложения.

Запись дампов

Если вы включили запись дампов, Kaspersky Endpoint Security создаст файл дампа, который будет содержать всю информацию о рабочей памяти процессов приложения на момент создания этого файла.

В начало

[Topic 176561]

Начало работы

После установки Kaspersky Endpoint Security вы можете управлять приложением с помощью следующих интерфейсов:

Консоль администрирования Kaspersky Security Center

Kaspersky Security Center позволяет удаленно устанавливать и удалять, запускать и останавливать Kaspersky Endpoint Security, настраивать параметры работы приложения, изменять состав компонентов приложения, добавлять ключи, запускать и останавливать задачи обновления и проверки.

Управление приложением через Kaspersky Security Center осуществляется с помощью плагина управления Kaspersky Endpoint Security.

Подробнее об управлении приложением через Kaspersky Security Center см. в справке Kaspersky Security Center.

Kaspersky Security Center Web Console и Kaspersky Security Center Cloud Console

Kaspersky Security Center Web Console (далее также "Web Console") представляет собой веб-приложение, предназначенное для централизованного решения основных задач по управлению и обслуживанию системы защиты сети организации. Web Console является компонентом Kaspersky Security Center, предоставляющим пользовательский интерфейс. Подробную информацию о Kaspersky Security Center Web Console см. в справке Kaspersky Security Center.

Kaspersky Security Center Cloud Console (далее также "Cloud Console") представляет собой облачное решение для защиты и контроля сети организации. Подробную информацию о Kaspersky Security Center Cloud Console см. в справке Kaspersky Security Center Cloud Console.

С помощью Web Console и Cloud Console вы можете выполнять следующие действия:

  • контролировать состояние системы безопасности вашей организации;
  • устанавливать приложения "Лаборатории Касперского" на устройства вашей сети;
  • управлять установленными приложениями;
  • просматривать отчеты о состоянии системы безопасности.

Управление приложением Kaspersky Endpoint Security через Web Console, Cloud Console и Консоль администрирования Kaspersky Security Center отличается. Также отличается список доступных компонентов и задач.

В этом разделе справки

O плагине управления Kaspersky Endpoint Security для Windows

Особенности работы с плагинами управления разных версий

Особенности использования защищенных протоколов для взаимодействия с внешними службами

Интерфейс приложения

Подготовка приложения к работе

Управление политиками

Управление задачами

Настройка локальных параметров приложения

Запуск и остановка Kaspersky Endpoint Security

Приостановка и возобновление защиты и контроля компьютера

Создание и использование конфигурационного файла

Восстановление параметров приложения по умолчанию
В начало

[Topic 176371]

O плагине управления Kaspersky Endpoint Security для Windows

Плагин управления Kaspersky Endpoint Security для Windows обеспечивает взаимодействие Kaspersky Endpoint Security c Kaspersky Security Center. Плагин управления позволяет управлять Kaspersky Endpoint Security с помощью следующих инструментов: политики, задачи, а также локальные параметры приложения. Для взаимодействия с Kaspersky Security Center Web Console предназначен веб-плагин.

Версия плагина управления может отличаться от версии приложения Kaspersky Endpoint Security, установленной на клиентском компьютере. Если в установленной версии плагина управления предусмотрено меньше функций, чем в установленной версии Kaspersky Endpoint Security, то параметры недостающих функций не регулируются плагином управления. Такие параметры могут быть изменены пользователем в локальном интерфейсе Kaspersky Endpoint Security.

Веб-плагин по умолчанию не установлен в Kaspersky Security Center Web Console. В отличие от плагина управления для Консоли администрирования Kaspersky Security Center, который устанавливается на рабочее место администратора, веб-плагин требуется установить на компьютер с установленным приложением Kaspersky Security Center Web Console. При этом функции веб-плагина доступны всем администраторам, у которых есть доступ к Web Console в браузере. Вы можете просмотреть список установленных веб-плагинов в интерфейсе Web Console (Параметры КонсолиВеб-плагины). Подробнее о совместимости версий веб-плагинов и Web Console см. в справке Kaspersky Security Center.

Установка веб-плагина

Вы можете установить веб-плагин следующими способами:

  • Установить веб-плагин с помощью мастера первоначальной настройки Kaspersky Security Center Web Console.

    Web Console автоматически предлагает запустить мастер первоначальной настройки при первом подключении Web Console к Серверу администрирования. Также вы можете запустить мастер первоначальной настройки в интерфейсе Web Console (Обнаружение устройств и развертываниеРазвертывание и назначениеМастер первоначальной настройки). Мастер первоначальной настройки также может проверить актуальность установленных веб-плагинов и загрузит необходимые обновления для них. Подробнее о мастере первоначальной настройки Kaspersky Security Center Web Console см. в справке Kaspersky Security Center.

  • Установить веб-плагин из списка доступных дистрибутивов в Web Console.

    Для установки веб-плагина требуется выбрать дистрибутив веб-плагина Kaspersky Endpoint Security в интерфейсе Web Console (Параметры КонсолиВеб-плагины). Список доступных дистрибутивов обновляется автоматически после выпуска новых версий приложений "Лаборатории Касперского".

  • Загрузить дистрибутив в Web Console из стороннего источника.

    Для установки веб-плагина требуется добавить ZIP-архив дистрибутива веб-плагина Kaspersky Endpoint Security в интерфейсе Web Console (Параметры КонсолиВеб-плагины). Дистрибутив веб-плагина вы можете загрузить, например, на веб-сайте "Лаборатории Касперского".

Обновление плагина управления

Для обновления плагина управления Kaspersky Endpoint Security для Windows требуется загрузить последнюю версию плагина управления (входит в комплект поставки) и запустить мастер установки плагина.

При появлении новой версии веб-плагина Web Console отобразит уведомление Доступны обновления для используемых плагинов. Вы можете перейти к обновлению версии веб-плагина из уведомления Web Console. Также вы можете проверить наличие обновлений веб-плагина вручную в интерфейсе Web Console (Параметры КонсолиВеб-плагины). Предыдущая версия веб-плагина будут автоматически удалена во время обновления.

При обновлении веб-плагина сохраняются уже существующие элементы (например, политики или задачи). Новые параметры элементов, реализующие новые функции Kaspersky Endpoint Security, появятся в существующих элементах и будут иметь значения по умолчанию.

Вы можете обновить веб-плагин следующими способами:

  • Обновить веб-плагин в списке веб-плагинов в онлайн-режиме.

    Для обновления веб-плагина требуется выбрать дистрибутив веб-плагина Kaspersky Endpoint Security в интерфейсе Web Console и запустить обновление (Параметры КонсолиВеб-плагины). Web Console проверит наличие обновлений на серверах "Лаборатории Касперского" и загрузит необходимые обновления.

  • Обновить веб-плагин из файла.

    Для обновления веб-плагина требуется выбрать ZIP-архив дистрибутива веб-плагина Kaspersky Endpoint Security в интерфейсе Web Console (Параметры КонсолиВеб-плагины). Дистрибутив веб-плагина вы можете загрузить, например, на веб-сайте "Лаборатории Касперского". Вы можете обновить веб-плагин Kaspersky Endpoint Security только до более новой версии. Обновить веб-плагин до более старой версии невозможно.

При открытии любого элемента (например, политики или задачи) веб-плагин проверяет информацию о совместимости. Если версия веб-плагина равна или выше версии, указанной в информации о совместимости, то вы можете изменять параметры этого элемента. В противном случае изменение параметров выбранного элемента с помощью веб-плагина недоступно. Рекомендуется обновить веб-плагин.

В начало

[Topic 134238]

Особенности работы с плагинами управления разных версий

Для управления приложением Kaspersky Endpoint Security через Kaspersky Security Center требуется плагин управления, версия которого равна или выше версии, указанной в информации о совместимости Kaspersky Endpoint Security с плагином управления. Вы можете посмотреть минимальную необходимую версию плагина управления в файле installer.ini, входящем в комплект поставки.

При открытии любого элемента (например, политики или задачи) плагин управления проверяет информацию о совместимости. Если версия плагина управления равна или выше версии, указанной в информации о совместимости, то вы можете изменять параметры этого элемента. В противном случае изменение параметров выбранного элемента с помощью плагина управления недоступно. Рекомендуется обновить плагин управления.

Обновление плагина управления Kaspersky Endpoint Security 10 для Windows

Если в Консоли администрирования установлен плагин управления Kaspersky Endpoint Security 10 для Windows, то установка плагина управления Kaspersky Endpoint Security 11 для Windows имеет следующие особенности:

  • Плагин управления Kaspersky Endpoint Security 10 для Windows не будет удален и останется доступным для работы. Таким образом, вам будут доступны два плагина управления для работы с приложением версии 10 и 11.
  • Плагин управления Kaspersky Endpoint Security 11 для Windows не поддерживает управление приложением Kaspersky Endpoint Security 10 для Windows на компьютерах пользователей.
  • Плагин управления Kaspersky Endpoint Security 11 для Windows не поддерживает элементы (например, политики или задачи), созданные с помощью плагина управления Kaspersky Endpoint Security 10 для Windows.

    Вы можете выполнить конвертацию политик и задач с версии 10 на версию 11 с помощью мастера массовой конвертации политик и задач. Подробнее о конвертации политик и задач см. в справке Kaspersky Security Center.

Обновление плагина управления Kaspersky Endpoint Security 11 для Windows

Если в Консоли администрирования установлен плагин управления Kaspersky Endpoint Security 11 для Windows, то установка новой версии плагина управления Kaspersky Endpoint Security 11 для Windows имеет следующие особенности:

  • Предыдущая версия плагина управления Kaspersky Endpoint Security 11 для Windows будет удалена.
  • Плагин управления Kaspersky Endpoint Security 11 для Windows новой версии поддерживает управление приложением Kaspersky Endpoint Security 11 для Windows предыдущей версии на компьютерах пользователей.
  • С помощью плагина управления новой версии вы можете изменять параметры в политиках, задачах и т.п., созданных плагином управления предыдущей версии.
  • Для новых параметров плагин управления новой версии устанавливает значения по умолчанию при первом сохранении политики, профиля политики или задачи.

    После обновления плагина управления рекомендуется проверить и сохранить значения новых параметров в политиках и профилях политик. Если вы этого не сделаете, новые блоки параметров Kaspersky Endpoint Security на компьютере пользователя будут иметь значения по умолчанию и доступны для изменения (атрибут ). Рекомендуется выполнять проверку начиная с политик и профилей политик верхнего уровня иерархии. Также рекомендуется использовать учетную запись пользователя, для которой настроены права доступа ко всем функциональным областям Kaspersky Security Center.

    О новых возможностях приложения вы можете узнать в Release Notes или в справке к приложению.

  • Если в блок параметров в новой версии плагина управления был добавлен новый параметр, то ранее заданный статус атрибута / для этого блока параметров не изменяется.
  • При обновлении плагина управления до версии 11.2.0 для автоматической конвертации политики вам нужно открыть политику. При этом Kaspersky Endpoint Security запросит подтверждение участия в KSN. Если на компьютерах организации вы уже обновили приложение до версии 11.20, то участие в KSN будет выключено, пока вы не примите условия участия в KSN.
В начало

[Topic 202633]

Особенности использования защищенных протоколов для взаимодействия с внешними службами

Kaspersky Endpoint Security и Kaspersky Security Center используют защищенный канал связи с TLS (Transport Layer Security) для работы с внешними службами "Лаборатории Касперского". Kaspersky Endpoint Security использует внешние службы для работы следующих функций:

  • обновление баз и модулей приложения;
  • активация приложения с помощью кода активации (тип активации 2.0);
  • использование Kaspersky Security Network.

Использование TLS обеспечивает безопасность работы приложения за счет следующих свойств:

  • Шифрование. Содержание сообщений конфиденциально и не раскрывается посторонним пользователям.
  • Целостность. Получатель сообщения уверен в неизменности содержания с момента отсылки отправителем.
  • Аутентификация. Получатель уверен, что связь устанавливается только с доверенным сервером "Лаборатории Касперского".

Для аутентификации серверов Kaspersky Endpoint Security использует сертификаты открытых ключей. Для работы с сертификатами требуется инфраструктура открытых ключей (англ. Public Key Infrastructure – PKI). Удостоверяющий центр является частью PKI. Так как службы "Лаборатории Касперского" не являются публичными и носят технический характер, "Лаборатория Касперского" использует собственный Удостоверяющий центр. В этом случае при отзыве корневых сертификатов Thawte, VeriSign, GlobalTrust и других, работоспособность PKI "Лаборатории Касперского" не будет нарушена.

Окружения, имеющие MITM (программные и аппаратные средства, поддерживающие разбор протокола HTTPS), Kaspersky Endpoint Security считает небезопасными. При работе со службами "Лаборатории Касперского" могут возникать ошибки, например, ошибки об использовании самозаверяющих сертификатов (англ. Self-Signed Certificate). Эти ошибки могут возникать из-за того, что средство HTTPS Inspection из вашего окружения не распознает PKI "Лаборатории Касперского". Для устранения проблем необходимо настроить исключения для взаимодействия с внешними службами.

В начало

[Topic 127988]

Интерфейс приложения

Главное окно приложения

Мониторинг
  • Отчеты. Просмотр событий, произошедших во время работы приложения, отдельных компонентов и задач.
  • Резервное хранилище. Просмотр списка копий зараженных файлов, которые были удалены в ходе работы приложения.
  • Технологии обнаружения угроз. Просмотр информации о технологиях обнаружения угроз и количестве угроз, обнаруженных с помощью этих технологий.
  • Kaspersky Security Network. Статус подключения Kaspersky Endpoint Security к Kaspersky Security Network и глобальная статистика KSN. Kaspersky Security Network (KSN) – это инфраструктура облачных служб, предоставляющая доступ к оперативной базе знаний "Лаборатории Касперского" о репутации файлов, интернет-ресурсов и программного обеспечения. Использование данных Kaspersky Security Network обеспечивает более высокую скорость реакции Kaspersky Endpoint Security на неизвестные угрозы, повышает эффективность работы некоторых компонентов защиты, а также снижает вероятность ложных срабатываний. Если вы участвуете в Kaspersky Security Network, приложение Kaspersky Endpoint Security получает от служб KSN сведения о категории и репутации проверяемых файлов, а также сведения о репутации проверяемых веб-адресов.
  • Мониторинг активности приложений. Просмотр информации о работе установленных приложениях. Мониторинг активности отслеживает файловые, реестровые и системные события в операционной системе, связанные с приложением.
  • Мониторинг сети. Просмотр информации о сетевой активности компьютера в режиме реальном времени.
  • Мониторинг шифрования. Контроль процесса шифрования или расшифровки дисков в режиме реального времени. Мониторинг шифрования доступен, если установлены компоненты Шифрование диска Kaspersky или Шифрование диска BitLocker.

Безопасность

Статус работы установленных компонентов. Также вы можете перейти к настройке компонентов или просмотреть отчеты.

Обновление

Управление задачами обновления Kaspersky Endpoint Security. Вы можете выполнять обновление антивирусных баз и модулей приложения и откат последнего обновления. Администратор может скрыть раздел от пользователя или ограничить управление задачами.

Задачи

Управление задачами проверки Kaspersky Endpoint Security. Вы можете выполнять антивирусную проверку и проверку целостности приложения. Администратор может скрыть задачи от пользователя или ограничить управление задачами.

Лицензия

Лицензирование приложения. Вы можете приобрести лицензию, активировать приложение или продлить подписку. Так же вы можете просмотреть информацию о действующей лицензии.

icon_settings

Настройка параметров приложения. Администратор может запретить изменение параметров в Kaspersky Security Center.

icon_support

Информация о приложении: текущая версия Kaspersky Endpoint Security, дата выпуска баз, ключ и другая информация. Также вы можете перейти на информационные ресурсы "Лаборатории Касперского", чтобы получить полезную информацию, рекомендации и ответы на часто задаваемые вопросы о приобретении, установке и использовании приложения.

Сообщения с информацией о доступных обновлениях, а также запросы доступа к зашифрованным файлам и устройствам.

В этом разделе справки

Значок приложения в области уведомлений

Упрощенный интерфейс приложения

Настройка отображения интерфейса приложения
В начало

[Topic 127989]

Значок приложения в области уведомлений

Сразу после установки Kaspersky Endpoint Security значок приложения появляется в области уведомлений панели задач Microsoft Windows.

Значок приложения выполняет следующие функции:

  • служит индикатором работы приложения;
  • обеспечивает доступ к контекстному меню значка приложения и главному окну приложения.

Для отображения информации о работе приложения предназначены следующие статусы значка приложения:

  • Значок  означает, что работа критически важных компонентов защиты приложения включена. Kaspersky Endpoint Security покажет предупреждение , если от пользователя требуется выполнить действие, например, перезагрузить компьютер после обновления приложения.
  • Значок означает, что работа критически важных компонентов защиты приложения выключена или нарушена. Работа компонентов защиты может быть нарушена, например, если срок действия лицензии истек или произошел сбой в работе приложения. Kaspersky Endpoint Security покажет предупреждение icon_tray_critical с описанием проблемы в защите компьютера.

Контекстное меню значка приложения содержит следующие пункты:

  • Kaspersky Endpoint Security для Windows. Открывает главное окно приложения. В этом окне вы можете регулировать работу компонентов и задач приложения, просматривать статистику об обработанных файлах и обнаруженных угрозах.
  • Приостановить защиту / Возобновить защиту. Приостановка работы всех компонентов защиты и контроля, не отмеченных в политике замком (). Перед выполнением этой операции рекомендуется выключить политику Kaspersky Security Center.

    Перед приостановкой работы компонентов защиты и контроля приложение запрашивает пароль доступа к Kaspersky Endpoint Security (пароль учетной записи или временный пароль). Далее вы можете выбрать период приостановки: на указанное время, до перезагрузки или по требованию пользователя.

    Этот пункт контекстного меню доступен, если включена Защита паролем. Для возобновления работы компонентов защиты и контроля выберите пункт Возобновить защиту в контекстном меню приложения.

    Приостановка работы компонентов защиты и контроля не влияет на выполнение задач обновления и проверки. Также приложение продолжает использование Kaspersky Security Network.

  • Выключить политику / Включить политику. Выключает политику Kaspersky Security Center на компьютере. Все параметры Kaspersky Endpoint Security доступны для настройки, в том числе параметры, отмеченные в политике закрытым замком (). При выключении политики приложение запрашивает пароль доступа к Kaspersky Endpoint Security (пароль учетной записи или временный пароль). Этот пункт контекстного меню доступен, если включена Защита паролем. Для включения политики выберите пункт Включить политику в контекстном меню приложения.
  • Настройка. Открывает окно настройки параметров приложения.
  • Поддержка. Открывает окно, содержащее информацию, необходимую для обращения в Службу технической поддержки "Лаборатории Касперского".
  • О приложении. Открывает информационное окно со сведениями о приложении.
  • Выход. Завершает работу Kaspersky Endpoint Security. Если вы выбрали этот пункт контекстного меню, приложение выгружается из оперативной памяти компьютера.

    Контекстное меню значка приложения

В начало

[Topic 158640]

Упрощенный интерфейс приложения

Если к клиентскому компьютеру, на котором установлено приложение Kaspersky Endpoint Security, применена политика Kaspersky Security Center, в которой настроено отображение упрощенного интерфейса приложения, то на этом клиентском компьютере недоступно главное окно приложения. По правой клавише мыши пользователь может открыть контекстное меню значка Kaspersky Endpoint Security (см. рис. ниже), содержащее следующие пункты:

  • Выключить политику / Включить политику. Выключает политику Kaspersky Security Center на компьютере. Все параметры Kaspersky Endpoint Security доступны для настройки, в том числе параметры, отмеченные в политике закрытым замком (). При выключении политики приложение запрашивает пароль доступа к Kaspersky Endpoint Security (пароль учетной записи или временный пароль). Этот пункт контекстного меню доступен, если включена Защита паролем. Для включения политики выберите пункт Включить политику в контекстном меню приложения.
  • Задачи. Раскрывающийся список, содержащий следующие элементы:
    • Проверка целостности.
    • Откат к предыдущей версии баз.
    • Полная проверка.
    • Выборочная проверка.
    • Проверка важных областей.
    • Обновление баз.
  • Поддержка. Открывает окно, содержащее информацию, необходимую для обращения в Службу технической поддержки "Лаборатории Касперского".
  • Выход. Завершает работу Kaspersky Endpoint Security. Если вы выбрали этот пункт контекстного меню, приложение выгружается из оперативной памяти компьютера.

    Контекстное меню значка приложения при отображении упрощенного интерфейса приложения

В начало

[Topic 158636]

Настройка отображения интерфейса приложения

Вы можете настроить отображение интерфейса приложения для пользователя компьютера. Пользователь может взаимодействовать с приложением следующими способами:

Как настроить отображение интерфейса приложения в Консоли администрирования (MMC)

  1. Откройте Консоль администрирования Kaspersky Security Center.
  2. В папке Управляемые устройства дерева Консоли администрирования откройте папку с названием группы администрирования, в состав которой входят нужные клиентские компьютеры.
  3. В рабочей области выберите закладку Политики.
  4. Выберите нужную политику и откройте свойства политики двойным щелчком мыши.
  5. В окне политики выберите Общие настройкиИнтерфейс.
  6. В блоке Взаимодействие с пользователем выполните одно из следующих действий:
    • Установите флажок Отображать пользовательский интерфейс, если вы хотите, чтобы на клиентском компьютере отображались следующие элементы интерфейса:
      • папка с названием приложения в меню Пуск;
      • значок Kaspersky Endpoint Security в области уведомлений панели задач Microsoft Windows;
      • всплывающие уведомления.

      Если установлен этот флажок, пользователь может просматривать и, при наличии прав, изменять параметры приложения из интерфейса приложения.

    • Снимите флажок Отображать пользовательский интерфейс, если вы хотите скрыть все признаки работы Kaspersky Endpoint Security на клиентском компьютере.
  7. В блоке Взаимодействие с пользователем установите флажок Отображать упрощенный интерфейс, если вы хотите, чтобы на клиентском компьютере с установленным приложением Kaspersky Endpoint Security отображался упрощенный интерфейс приложения.

Как настроить отображение интерфейса приложения в Web Console и Cloud Console

  1. В главном окне Web Console выберите УстройстваПолитики и профили политик.
  2. Нажмите на название политики Kaspersky Endpoint Security.

    Откроется окно свойств политики.

  3. Выберите закладку Параметры программы.
  4. Перейдите в раздел Общие настройкиИнтерфейс.
  5. В блоке Взаимодействие с пользователем настройте отображение интерфейса приложения:
  6. Сохраните внесенные изменения.
В начало

[Topic 176593]

Подготовка приложения к работе

После развертывания приложения на клиентских компьютерах для работы с Kaspersky Endpoint Security из Kaspersky Security Center вам нужно выполнить следующие действия:

  • Создать и настроить политику.

    При помощи политик вы можете установить одинаковые значения параметров работы приложения Kaspersky Endpoint Security для всех клиентских компьютеров, входящих в состав группы администрирования. Мастер первоначальной настройки Kaspersky Security Center создает политику для Kaspersky Endpoint Security автоматически.

  • Создать задачи Обновление и Антивирусная проверка.

    Задача Обновление требуется для поддержания защиты компьютера в актуальном состоянии. При выполнении задачи Kaspersky Endpoint Security обновляет антивирусные базы и модули приложения. Задача Обновление создается автоматически мастером первоначальной настройки Kaspersky Security Center. Для создания задачи Обновления во время работы мастера установите веб-плагин Kaspersky Endpoint Security для Windows.

    Задача Антивирусная проверка требуется для своевременного обнаружения вирусов и других приложений, представляющих угрозу. Задачу Антивирусная проверка вам нужно создать вручную.

Как создать задачу Антивирусная проверка в Консоли администрирования (MMC)

  1. В Консоли администрирования перейдите в папку Сервер администрированияЗадачи.

    Откроется список задач.

  2. Нажмите на кнопку Новая задача.

Запустится мастер создания задачи. Следуйте его указаниям.

Шаг 1. Выбор типа задачи

Выберите Kaspersky Endpoint Security для Windows (11.10.0)Антивирусная проверка.

Шаг 2. Область проверки

Создайте список объектов, которые Kaspersky Endpoint Security будет проверять во время выполнения задачи проверки.

Шаг 3. Действие Kaspersky Endpoint Security

Выберите действие при обнаружении угрозы:

  • Лечить; удалять, если лечение невозможно. Если выбран этот вариант действия, то приложение автоматически пытается вылечить все обнаруженные зараженные файлы. Если лечение невозможно, то приложение их удаляет.
  • Лечить; информировать, если лечение невозможно. Если выбран этот вариант действия, то Kaspersky Endpoint Security автоматически пытается вылечить все обнаруженные зараженные файлы. Если лечение невозможно, то Kaspersky Endpoint Security добавляет информацию об обнаруженных зараженных файлах в список активных угроз.
  • Информировать. Если выбран этот вариант действия, то при обнаружении зараженных файлов Kaspersky Endpoint Security добавляет информацию об этих файлах в список активных угроз.
  • Выполнять лечение активного заражения немедленно. Если флажок установлен, Kaspersky Endpoint Security использует технологию лечения активного заражения во время проверки.

    Технология лечения активного заражения направлена на лечение операционной системы от вредоносных приложений, которые уже запустили свои процессы в оперативной памяти и мешают Kaspersky Endpoint Security удалить их с помощью других методов. В результате угроза нейтрализуется. В процессе процедуры лечения активного заражения не рекомендуется запускать новые процессы или редактировать реестр операционной системы. Технология лечения активного заражения требует значительных ресурсов операционной системы, что может замедлить работу других приложений. После окончания процедуры лечения активного заражения Kaspersky Endpoint Security перезагружает компьютер без запроса у пользователя подтверждения.

Настройте режим запуска проверки с помощью флажка Выполнять только во время простоя компьютера. Флажок включает / выключает функцию, которая приостанавливает задачу Антивирусная проверка, если ресурсы компьютера заняты. Kaspersky Endpoint Security приостанавливает задачу Антивирусная проверка, если не включена экранная заставка и разблокирован компьютер.

Шаг 4. Выбор устройств, которым будет назначена задача

Выберите компьютеры, на которых будет выполнена задача. Доступны следующие способы:

  • Назначить задачу группе администрирования. В этом случае задача назначается компьютерам, входящим в ранее созданную группу администрирования.
  • Выбрать компьютеры, обнаруженные в сети Сервером администрирования, – нераспределенные устройства. В набор устройств вы можете включать как устройства в группах администрирования, так и нераспределенные устройства.
  • Задать адреса устройств вручную или импортировать из списка. Вы можете задавать NetBIOS-имена, IP-адреса, а также диапазоны IP-адресов устройств, которым нужно назначить задачу.

Шаг 5. Выбор учетной записи для запуска задачи

Выберите учетную запись для запуска задачи Антивирусная проверка. По умолчанию Kaspersky Endpoint Security запускает задачу с правами учетной записи локального пользователя. Если в область проверки входят сетевые диски или другие объекты, доступ к которым ограничен, выберите учетную запись пользователя с необходимыми правами доступа.

Шаг 6. Настройка расписания запуска задачи

Настройте расписание запуска задачи, например, вручную или после загрузки антивирусных баз в хранилище.

Шаг 7. Определение названия задачи

Введите название задачи, например, Полная проверка каждый день.

Шаг 8. Завершение создания задачи

Завершите работу мастера. Если требуется, установите флажок Запустить задачу после завершения работы мастера. Вы можете следить за ходом выполнения задачи в свойствах задачи. В результате на компьютерах пользователей будет выполняться антивирусная проверка в соответствии с установленным расписанием.

Как создать задачу Антивирусная проверка в Web Console

  1. В главном окне Web Console выберите УстройстваЗадачи.

    Откроется список задач.

  2. Нажмите на кнопку Добавить.

    Запустится мастер создания задачи.

  3. Настройте параметры задачи:
    1. В раскрывающемся списке Программа выберите Kaspersky Endpoint Security для Windows (11.10.0).
    2. В раскрывающемся списке Тип задачи выберите Антивирусная проверка.
    3. В поле Название задачи введите короткое описание, например, Еженедельная проверка.
    4. В блоке Выбор устройств, которым будет назначена задача выберите область действия задачи.
  4. Выберите устройства в соответствии с выбранным вариантом области действия задачи. Перейдите к следующему шагу.
  5. Завершите работу мастера.

    В списке задач отобразится новая задача.

  6. Для настройки расписания выполнения задачи перейдите в свойства задачи.

    Рекомендуется настроить расписание выполнения задачи минимум раз в неделю.

  7. Установите флажок напротив задачи.
  8. Нажмите на кнопку Запустить.

    Вы можете отслеживать статус задачи, количество устройств, на которых задача выполнена успешно или завершилась с ошибкой.

В результате на компьютерах пользователей будет выполняться антивирусная проверка в соответствии с установленным расписанием.

В начало

[Topic 176976]

Управление политиками

Политика – это набор параметров работы приложения, определенный для группы администрирования. Для одного приложения можно настроить несколько политик с различными значениями. Для разных групп администрирования параметры работы приложения могут быть различными. В каждой группе администрирования может быть создана собственная политика для приложения.

Параметры политики передаются на клиентские компьютеры с помощью Агента администрирования при синхронизации. По умолчанию Сервер администрирования выполняет синхронизацию сразу после изменения параметров политики. Синхронизация выполняется через UDP-порт 15000 на клиентском компьютере. Сервер администрирования по умолчанию выполняет синхронизацию каждые 15 минут. Если синхронизация после изменения параметров политики не удалась, следующая попытка синхронизации будет выполнена по настроенному расписанию.

Активная и неактивная политика

Политика предназначена для группы управляемых компьютеров и может быть активной или неактивной. Параметры активной политики во время синхронизации сохраняются на клиентских компьютерах. К одному компьютеру нельзя одновременно применить несколько политик, поэтому в каждой группе активной может быть только одна политика.

Вы можете создать неограниченное количество неактивных политик. Неактивная политика не влияет на параметры приложения на компьютерах в сети. Неактивные политики предназначены для подготовки к нештатным ситуациям, например, в случае вирусной атаки. В случае атаки через флеш-накопители, вы можете активировать политику, блокирующую доступ к флеш-накопителям. При этом активная политика автоматически становится неактивной.

Политика для автономных пользователей

Политика для автономных пользователей активируется, когда компьютер покидает периметр сети организации.

Наследование параметров

Политики, как и группы администрирования, имеют иерархию. По умолчанию дочерняя политика наследует параметры родительской политики. Дочерняя политика – политика вложенного уровня иерархии, т.е. политика для вложенных групп администрирования и подчиненных Серверов администрирования. Вы можете выключить наследование параметров из родительской политики.

Каждый параметр, представленный в политике, имеет атрибут , который показывает, наложен ли запрет на изменение параметров в дочерних политиках и локальных параметрах приложения. Атрибут работает только, если в дочерней политике включено наследование параметров из родительской политики. Политики для автономных пользователей не действуют по иерархии групп администрирования на другие политики.

Наследование параметров

Права на доступ к параметрам политики (чтение, изменение, выполнение) задаются для каждого пользователя, имеющего доступ к Серверу администрирования Kaspersky Security Center, и отдельно для каждой функциональной области Kaspersky Endpoint Security. Для настройки прав доступа к параметрам политики перейдите в раздел Безопасность окна свойств Сервера администрирования Kaspersky Security Center.

Создание политики

Как создать политику в Консоли администрирования (MMC)

  1. Откройте Консоль администрирования Kaspersky Security Center.
  2. В папке Управляемые устройства дерева Консоли администрирования выберите папку с названием группы администрирования, в состав которой входят интересующие вас клиентские компьютеры.
  3. В рабочей области выберите закладку Политики.
  4. Нажмите на кнопку Новая политика.

    Запустится мастер создания политики.

  5. Следуйте указаниям мастера создания политики.

Как создать политику в Web Console и Cloud Console

  1. В главном окне Web Console выберите УстройстваПолитики и профили политик.
  2. Нажмите на кнопку Добавить.

    Запустится мастер создания политики.

  3. Выберите приложение Kaspersky Endpoint Security и нажмите Далее.
  4. Прочитайте и примите условия Положения о Kaspersky Security Network (KSN) и нажмите Далее.
  5. На закладке Общие вы можете выполнить следующие действия:
    • Изменить имя политики.
    • Выбрать состояние политики:
      • Активна. После следующей синхронизации политика будет использоваться на компьютере в качестве действующей.
      • Неактивна. Резервная политика. При необходимости неактивную политику можно сделать активной.
      • Для автономных пользователей. Политика начинает действовать, когда компьютер покидает периметр сети организации.
    • Настроить наследование параметров:
      • Наследовать параметры родительской политики. Если переключатель включен, значения параметров политики наследуются из политики верхнего уровня иерархии. Параметры политики недоступны для изменения, если в родительской политике установлен .
      • Обеспечить принудительное наследование параметров для дочерних политик. Если переключатель включен, значения параметров политики будут распространены на дочерние политики. В свойствах дочерней политики будет автоматически включен и недоступен для выключения переключатель Наследовать параметры родительской политики. Параметры дочерней политики наследуются из родительской политики, кроме параметров с . Параметры дочерних политик недоступны для изменения, если в родительской политике установлен .
  6. На закладке Параметры программы вы можете настроить параметры политики Kaspersky Endpoint Security.
  7. Сохраните внесенные изменения.

В результате параметры Kaspersky Endpoint Security будут настроены на клиентских компьютерах при следующей синхронизации. Вы можете просмотреть информацию о политике, которая применена к компьютеру, в интерфейсе Kaspersky Endpoint Security по кнопке icon_support на главном экране (например, имя политики). Для этого в параметрах политики Агента администрирования нужно включить получение расширенных данных политики. Подробнее о политике Агента администрирования см. в справке Kaspersky Security Center.

Индикатор уровня защиты

В верхней части окна Свойства: <Название политики> отображается индикатор уровня защиты. Индикатор может принимать одно из следующих значений:

  • Уровень защиты высокий. Индикатор принимает это значение и цвет индикатора изменяется на зеленый, если включены все компоненты, относящиеся к следующим категориям:
    • Критические. Категория включает следующие компоненты:
      • Защита от файловых угроз.
      • Анализ поведения.
      • Защита от эксплойтов.
      • Откат вредоносных действий.
    • Важные. Категория включает следующие компоненты:
      • Kaspersky Security Network.
      • Защита от веб-угроз.
      • Защита от почтовых угроз.
      • Предотвращение вторжений.
  • Уровень защиты средний. Индикатор принимает это значение и цвет индикатора изменяется на желтый, если отключен один важный компонент.
  • Уровень защиты низкий. Индикатор принимает это значение и цвет индикатора изменяется на красный в одном из следующих случаев:
    • отключены один или несколько критических компонентов;
    • отключены два или более важных компонента.

Если отображается индикатор со значением Уровень защиты средний или Уровень защиты низкий, то справа от индикатора доступна ссылка, по которой открывается окно Рекомендуемые компоненты защиты. В этом окне вы можете включить любой из рекомендованных компонентов защиты.

В начало

[Topic 176975]

Управление задачами

Для работы с Kaspersky Endpoint Security через Kaspersky Security Center вы можете создавать следующие типы задач:

  • локальные задачи, определенные для отдельного клиентского компьютера;
  • групповые задачи, определенные для клиентских компьютеров, входящих в группы администрирования;
  • задачи для выборки компьютеров.

Вы можете создавать любое количество групповых задач, задач для выборки компьютеров и локальных задач. Подробнее о работе с группами администрирования и выборками компьютеров см. в справке Kaspersky Security Center.

Kaspersky Endpoint Security поддерживает выполнение следующих задач:

  • Антивирусная проверка. Kaspersky Endpoint Security проверяет на вирусы и другие приложения, представляющие угрозу, области компьютера, указанные в параметрах задачи. Задача Антивирусная проверка является обязательной для работы Kaspersky Endpoint Security и создается во время работы мастера первоначальной настройки. Рекомендуется настроить расписание выполнения задачи минимум раз в неделю.
  • Добавление ключа. Kaspersky Endpoint Security добавляет ключ для активации приложения, в том числе дополнительный. Перед выполнением задачи убедитесь, что количество компьютеров, на которых будет выполняться задача, не превышает количество компьютеров, на которые рассчитана лицензия.
  • Изменение состава компонентов приложения. Kaspersky Endpoint Security устанавливает или удаляет на клиентских компьютерах компоненты согласно списку компонентов, указанному в параметрах задачи. Компонент Защита от файловых угроз удалить невозможно. Оптимальный состав компонентов Kaspersky Endpoint Security позволяет экономить ресурсы компьютера.
  • Инвентаризация. Kaspersky Endpoint Security получает информацию обо всех исполняемых файлах приложений, хранящихся на компьютерах. Задачу Инвентаризация выполняет компонент Контроль приложений. Если компонент Контроль приложений не установлен, задача завершит работу с ошибкой.
  • Обновление. Kaspersky Endpoint Security обновляет базы и модули приложения. Задача Обновление является обязательной для работы Kaspersky Endpoint Security и создается во время работы мастера первоначальной настройки. Рекомендуется настроить расписание выполнения задачи минимум раз в день.
  • Удаление данных. Kaspersky Endpoint Security удаляет файлы и папки с компьютеров пользователей немедленно или при длительном отсутствии связи с Kaspersky Security Center.
  • Откат обновления. Kaspersky Endpoint Security откатывает последнее обновление баз и модулей приложения. Это может понадобиться, например, если новые базы содержат некорректные данные, из-за которых Kaspersky Endpoint Security может блокировать безопасное приложение.
  • Проверка целостности. Kaspersky Endpoint Security анализирует файлы приложения, проверяет файлы на наличие повреждений или изменений и проверяет цифровые подписи файлов приложения.
  • Управление учетными записями Агента аутентификации. Kaspersky Endpoint Security настраивает параметры учетных записей Агента аутентификации. Агент аутентификации нужен для работы с зашифрованными дисками. Перед загрузкой операционной системы пользователю нужно пройти аутентификацию с помощью агента.

Запуск задач на компьютере выполняется только в том случае, если запущено приложение Kaspersky Endpoint Security.

Создание задачи

Как создать задачу в Консоли администрирования (MMC)

  1. Откройте Консоль администрирования Kaspersky Security Center.
  2. Выберите папку Задачи дерева Консоли администрирования.
  3. Нажмите на кнопку Новая задача.

    Запустится мастер создания задачи.

  4. Следуйте указаниям мастера создания задачи.

Как создать задачу в Web Console и Cloud Console

  1. В главном окне Web Console выберите УстройстваЗадачи.

    Откроется список задач.

  2. Нажмите на кнопку Добавить.

    Запустится мастер создания задачи.

  3. Настройте параметры задачи:
    1. В раскрывающемся списке Программа выберите Kaspersky Endpoint Security для Windows (11.10.0).
    2. В раскрывающемся списке Тип задачи выберите задачу, которую вы хотите запустить на компьютерах пользователей.
    3. В поле Название задачи введите короткое описание.
    4. В блоке Выбор устройств, которым будет назначена задача выберите область действия задачи.
  4. Выберите устройства в соответствии с выбранным вариантом области действия задачи. Перейдите к следующему шагу.
  5. Завершите работу мастера.

В списке задач отобразится новая задача. Задача будет иметь параметры по умолчанию. Для настройки параметров задачи вам нужно перейти в свойства задачи. Для выполнения задачи вам нужно установить флажок напротив задачи и нажать на кнопку Запустить. После запуска задачи вы можете остановить задачу и возобновить выполнение задачи позже.

В списке задач вы можете контролировать результат выполнения задачи: статус задачи и статистику выполнения задачи на компьютерах. Также вы можете создать выборку событий для контроля за выполнением задач (Мониторинг и отчетыВыборки событий). Подробнее о выборке событий см. в справке Kaspersky Security Center. Также результаты выполнения задач сохраняются локально на компьютере в журнале событий Windows и в отчетах Kaspersky Endpoint Security.

Управление доступом к задачам

Права на доступ к задачам Kaspersky Endpoint Security (чтение, изменение, выполнение) задаются для каждого пользователя, имеющего доступ к Серверу администрирования Kaspersky Security Center, через параметры доступа к функциональным областям Kaspersky Endpoint Security. Для настройки доступа к функциональным областям Kaspersky Endpoint Security перейдите в раздел Безопасность окна свойств Сервера администрирования Kaspersky Security Center. Подробнее о концепции управления задачами через Kaspersky Security Center см. в справке Kaspersky Security Center.

Вы можете настроить права доступа к задачам для пользователей компьютеров с помощью политики (режим работы с задачами). Например, вы можете скрыть групповые задачи в интерфейсе Kaspersky Endpoint Security.

Как настроить режим работы с задачами в интерфейсе Kaspersky Endpoint Security через Консоль администрирования (MMC)

  1. Откройте Консоль администрирования Kaspersky Security Center.
  2. В папке Управляемые устройства дерева Консоли администрирования откройте папку с названием группы администрирования, в состав которой входят нужные клиентские компьютеры.
  3. В рабочей области выберите закладку Политики.
  4. Выберите нужную политику и откройте свойства политики двойным щелчком мыши.
  5. В окне политики выберите Локальные задачиУправление задачами.
  6. Настройте режим работы с задачами (см. таблицу ниже).
  7. Сохраните внесенные изменения.

Как настроить режим работы с задачами в интерфейсе Kaspersky Endpoint Security через Web Console

  1. В главном окне Web Console выберите УстройстваПолитики и профили политик.
  2. Нажмите на название политики Kaspersky Endpoint Security.

    Откроется окно свойств политики.

  3. Выберите закладку Параметры программы.
  4. Перейдите в раздел Локальные задачиУправление задачами.
  5. Настройте режим работы с задачами (см. таблицу ниже).
  6. Сохраните внесенные изменения.

Параметры управления задачами

Параметр

Описание

Разрешить использование локальных задач

Если флажок установлен, то локальные задачи отображаются в локальном интерфейсе Kaspersky Endpoint Security. Пользователь, при отсутствии дополнительных ограничений политики, может настраивать и запускать задачи. При этом параметры расписания запуска задачи остаются недоступными для пользователя. Пользователь может запускать задачи только вручную.

Если флажок снят, то использование локальных задач прекращается. В этом режиме локальные задачи не запускаются по расписанию. Задачи недоступны для запуска и настройки в локальном интерфейсе Kaspersky Endpoint Security, а также при работе с командной строкой.

Пользователь по-прежнему может запустить антивирусную проверку файла или папки, выбрав пункт Проверить на вирусы в контекстном меню файла или папки. При этом задача проверки запустится со значениями параметров, установленными по умолчанию для задачи выборочной проверки.

Разрешить отображение групповых задач

Если флажок установлен, то групповые задачи отображаются в локальном интерфейсе Kaspersky Endpoint Security. Пользователь может просмотреть полный список задач в интерфейсе приложения.

Если флажок снят, Kaspersky Endpoint Security показывает пустой список задач.

Разрешить управление групповыми задачами

Если флажок установлен, пользователь может запускать и останавливать заданные в Kaspersky Security Center групповые задачи. Пользователь может запускать и останавливать задачи в интерфейсе приложения или в упрощенном интерфейсе приложения.

Если флажок снят, Kaspersky Endpoint Security запускает задачи автоматически по расписанию, или администратор запускает задачи вручную в Kaspersky Security Center.

В начало

[Topic 176978]

Настройка локальных параметров приложения

В Kaspersky Security Center вы можете настроить параметры Kaspersky Endpoint Security на конкретном компьютере – локальные параметры приложения. Некоторые параметры могут быть недоступны для изменения. Эти параметры заблокированы атрибутом в свойствах политики.

Как настроить локальные параметры приложения в Консоли администрирования (MMC)

  1. Откройте Консоль администрирования Kaspersky Security Center.
  2. В папке Управляемые устройства дерева Консоли администрирования откройте папку с названием группы администрирования, в состав которой входит нужный вам клиентский компьютер.
  3. В рабочей области выберите закладку Устройства.
  4. Выберите компьютер, для которого вы хотите настроить параметры Kaspersky Endpoint Security.
  5. В контекстном меню клиентского компьютера выберите пункт Свойства.

    Откроется окно свойств клиентского компьютера.

  6. В окне свойств клиентского компьютера выберите раздел Программы.

    Справа в окне свойств клиентского компьютера отобразится список приложений "Лаборатории Касперского", установленных на клиентском компьютере.

  7. Выберите приложение Kaspersky Endpoint Security.
  8. Нажмите на кнопку Свойства под списком приложений "Лаборатории Касперского".

    Откроется окно Параметры программы "Kaspersky Endpoint Security для Windows".

  9. В разделе Общие параметры настройте параметры работы Kaspersky Endpoint Security, а также параметры отчетов и хранилищ.

    Остальные разделы окна Параметры программы "Kaspersky Endpoint Security для Windows" стандартны для Kaspersky Security Center. Описание этих разделов вы можете прочитать в справке для Kaspersky Security Center.

    Если для приложения создана политика, в которой запрещено изменение некоторых параметров, то во время настройки параметров приложения в разделе Общие настройки их изменение недоступно.

  10. Сохраните внесенные изменения.

Как настроить локальные параметры приложения в Web Console и Cloud Console

  1. В главном окне Web Console выберите УстройстваУправляемые устройства.
  2. Нажмите на имя компьютера, на котором вы хотите настроить локальные параметры приложения.

    Откроются свойства компьютера.

  3. Выберите закладку Программы.
  4. Нажмите на Kaspersky Endpoint Security для Windows.

    Откроются локальные параметры приложения.

  5. Выберите закладку Параметры программы.
  6. Настройте локальные параметры приложения.
  7. Сохраните внесенные изменения.

Локальные параметры приложения повторяют параметры политики, кроме параметров шифрования.

В начало

[Topic 176378]

Запуск и остановка Kaspersky Endpoint Security

После установки Kaspersky Endpoint Security на компьютер пользователя запуск приложения выполняется автоматически. Далее по умолчанию запуск Kaspersky Endpoint Security выполняется сразу после операционной системы. Настроить автоматический запуск приложения в параметрах операционной системы невозможно.

Загрузка антивирусных баз Kaspersky Endpoint Security после загрузки операционной системы занимает до двух минут, в зависимости от производительности (технических возможностей) компьютера. В течение этого времени уровень защиты компьютера снижен. Загрузка антивирусных баз при запуске приложения Kaspersky Endpoint Security в уже запущенной операционной системе не вызывает снижения уровня защиты компьютера.

Как настроить запуск Kaspersky Endpoint Security в Консоли администрирования (MMC)

  1. Откройте Консоль администрирования Kaspersky Security Center.
  2. В папке Управляемые устройства дерева Консоли администрирования откройте папку с названием группы администрирования, в состав которой входят нужные клиентские компьютеры.
  3. В рабочей области выберите закладку Политики.
  4. Выберите нужную политику и откройте свойства политики двойным щелчком мыши.
  5. В окне политики выберите Общие настройкиНастройки приложения.
  6. С помощью флажка Запускать Kaspersky Endpoint Security для Windows при включении компьютера настройте запуск приложения.
  7. Сохраните внесенные изменения.

Как настроить запуск Kaspersky Endpoint Security в Web Console

  1. В главном окне Web Console выберите УстройстваПолитики и профили политик.
  2. Нажмите на название политики Kaspersky Endpoint Security.

    Откроется окно свойств политики.

  3. Выберите закладку Параметры программы.
  4. Перейдите в раздел Общие настройкиНастройки приложения.
  5. С помощью флажка Запускать Kaspersky Endpoint Security при включении компьютера (рекомендуется) настройте запуск приложения.
  6. Сохраните внесенные изменения.

Как настроить запуск Kaspersky Endpoint Security в интерфейсе приложения

  1. В главном окне приложения нажмите на кнопку icon_settings.
  2. В окне параметров приложения выберите раздел Общие настройкиНастройки приложения.
  3. С помощью флажка Запускать Kaspersky Endpoint Security при включении компьютера настройте запуск приложения.
  4. Сохраните внесенные изменения.

Специалисты "Лаборатории Касперского" рекомендуют не завершать работу Kaspersky Endpoint Security, поскольку в этом случае защита компьютера и ваших данных окажется под угрозой. Если требуется, вы можете приостановить защиту компьютера на необходимый срок, не завершая работу приложения.

Вы можете контролировать статус работы приложения с помощью виджета Состояние защиты.

Как запустить или остановить Kaspersky Endpoint Security в Консоли администрирования (MMC)

  1. Откройте Консоль администрирования Kaspersky Security Center.
  2. В папке Управляемые устройства дерева Консоли администрирования откройте папку с названием группы администрирования, в состав которой входит нужный вам клиентский компьютер.
  3. В рабочей области выберите закладку Устройства.
  4. Выберите компьютер, на котором вы хотите запустить или остановить приложение.
  5. По правой клавише мыши откройте контекстное меню клиентского компьютера и выберите пункт Свойства.
  6. В окне свойств клиентского компьютера выберите раздел Программы.

    Справа в окне свойств клиентского компьютера отобразится список приложений "Лаборатории Касперского", установленных на клиентском компьютере.

  7. Выберите приложение Kaspersky Endpoint Security.
  8. Выполните следующие действия:
    • Если вы хотите запустить приложение, справа от списка приложений "Лаборатории Касперского" нажмите на кнопку .
    • Если вы хотите остановить работу приложения, справа от списка приложений "Лаборатории Касперского" нажмите на кнопку .

Как запустить или остановить Kaspersky Endpoint Security в Web Console

  1. В главном окне Web Console выберите УстройстваУправляемые устройства.
  2. Нажмите на имя компьютера, на котором вы хотите запустить или остановить Kaspersky Endpoint Security.

    Откроется окно свойств компьютера.

  3. Выберите закладку Программы.
  4. Установите флажок напротив приложения Kaspersky Endpoint Security для Windows.
  5. Нажмите на кнопку Запустить или Остановить.

Как запустить или остановить Kaspersky Endpoint Security через командную строку

Для завершения работы приложения из командной строки необходимо включить внешнее управление системными службами.

Для запуска или завершения работы приложения из командной строки используется файл klpsm.exe, входящий в комплект поставки Kaspersky Endpoint Security.

  1. Запустите интерпретатор командной строки cmd от имени администратора.
  2. Перейдите в папку, в которой расположен исполняемый файл Kaspersky Endpoint Security.
  3. Для запуска приложения в командной строке введите klpsm.exe start_avp_service.
  4. Для остановки приложения в командной строке введите klpsm.exe stop_avp_service.
В начало

[Topic 128006]

Приостановка и возобновление защиты и контроля компьютера

Приостановка защиты и контроля компьютера означает выключение на некоторое время всех компонентов защиты и всех компонентов контроля Kaspersky Endpoint Security.

Состояние приложения отображается с помощью значка приложения в области уведомлений панели задач:

  • значок icon_tray_critical свидетельствует о приостановке защиты и контроля компьютера;
  • значок  свидетельствует о том, что защита и контроль компьютера включены.

Приостановка и возобновление защиты и контроля компьютера не оказывает влияния на выполнение задач проверки и задачи обновления.

Если в момент приостановки и возобновления защиты и контроля компьютера были установлены сетевые соединения, на экран выводится уведомление о разрыве этих сетевых соединений.

Чтобы приостановить защиту и контроль компьютера, выполните следующие действия:

  1. По правой клавише мыши откройте контекстное меню значка приложения, который расположен в области уведомлений панели задач.
  2. В контекстном меню выберите пункт Приостановить защиту (см. рисунок ниже).

    Этот пункт контекстного меню доступен, если включена Защита паролем.

  3. Выберите один из следующих вариантов:
    • Приостановить на <период времени> – защита и контроль компьютера включатся через интервал времени, указанный в раскрывающемся списке ниже.
    • Приостановить до перезапуска приложения – защита и контроль компьютера включатся после перезапуска приложения или перезагрузки операционной системы. Для использования этой возможности должен быть включен автоматический запуск приложения.
    • Приостановить – защита и контроль компьютера включатся тогда, когда вы решите возобновить их.
  4. Нажмите на кнопку Приостановить защиту.

Kaspersky Endpoint Security приостановит работу всех компонентов защиты и контроля, не отмеченных в политике замком (). Перед выполнением этой операции рекомендуется выключить политику Kaspersky Security Center.

Контекстное меню значка приложения

Чтобы возобновить защиту и контроль компьютера, выполните следующие действия:

  1. По правой клавише мыши откройте контекстное меню значка приложения, который расположен в области уведомлений панели задач.
  2. В контекстном меню выберите пункт Возобновить защиту.

Вы можете возобновить защиту и контроль компьютера в любой момент, независимо от того, какой вариант приостановки защиты и контроля компьютера вы выбрали ранее.

В начало

[Topic 134486]

Создание и использование конфигурационного файла

Конфигурационный файл с параметрами работы Kaspersky Endpoint Security позволяет решить следующие задачи:

  • Выполнить локальную установку Kaspersky Endpoint Security через командную строку с заранее заданными параметрами.

    Для этого требуется сохранить конфигурационный файл в той же папке, где находится дистрибутив.

  • Выполнить удаленную установку Kaspersky Endpoint Security через Kaspersky Security Center с заранее заданными параметрами.
  • Перенести параметры работы Kaspersky Endpoint Security с одного компьютера на другой.

Чтобы создать конфигурационный файл, выполните следующие действия:

  1. В главном окне приложения нажмите на кнопку icon_settings.
  2. В окне параметров приложения выберите раздел Общие настройкиУправление настройками.
  3. Нажмите на кнопку Экспортировать.
  4. В открывшемся окне укажите путь, по которому вы хотите сохранить конфигурационный файл, и введите его имя.

    Чтобы использовать конфигурационный файл для локальной или удаленной установки Kaspersky Endpoint Security, необходимо назвать его install.cfg.

  5. Сохраните файл.

Чтобы импортировать параметры работы Kaspersky Endpoint Security из конфигурационного файла, выполните следующие действия:

  1. В главном окне приложения нажмите на кнопку icon_settings.
  2. В окне параметров приложения выберите раздел Общие настройкиУправление настройками.
  3. Нажмите на кнопку Импортировать.
  4. В открывшемся окне укажите путь к конфигурационному файлу.
  5. Откройте файл.

Все значения параметров Kaspersky Endpoint Security будут установлены в соответствии с выбранным конфигурационным файлом.

В начало

[Topic 201017]

Восстановление параметров приложения по умолчанию

Вы в любое время можете восстановить настройки приложения, рекомендуемые "Лабораторией Касперского". В результате восстановления настроек для всех компонентов защиты будет установлен уровень безопасности Рекомендуемый.

Чтобы восстановить параметры приложения по умолчанию, выполните следующие действия:

  1. В главном окне приложения нажмите на кнопку icon_settings.
  2. В окне параметров приложения выберите раздел Общие настройкиУправление настройками.
  3. Нажмите на кнопку Восстановить.
  4. Сохраните внесенные изменения.
В начало

[Topic 40782]

Антивирусная проверка компьютера

Антивирусная проверка является важным фактором для обеспечения безопасности компьютера. Требуется регулярно выполнять антивирусную проверку, чтобы исключить возможность распространения вредоносных приложений, которые не были обнаружены компонентами защиты, например, из-за установленного низкого уровня защиты или по другим причинам.

Kaspersky Endpoint Security не проверяет файлы, содержимое которых расположено в облачном хранилище OneDrive, и создает в журнале записи о том, что эти файлы не были проверены.

Полная проверка

Тщательная проверка всей системы. Kaspersky Endpoint Security проверяет следующие объекты:

  • память ядра;
  • объекты, загрузка которых осуществляется при запуске операционной системы;
  • загрузочные секторы;
  • резервное хранилище операционной системы;
  • все жесткие и съемные диски.

Специалисты "Лаборатории Касперского" рекомендуют не изменять область проверки задачи Полная проверка.

Для экономии ресурсов компьютера рекомендуется вместо задачи полной проверки использовать задачу фоновой проверки. Уровень защиты компьютера при этом не изменится.

Проверка важных областей

По умолчанию Kaspersky Endpoint Security проверяет память ядра, запущенные процессы и загрузочные секторы.

Специалисты "Лаборатории Касперского" рекомендуют не изменять область проверки задачи Проверка важных областей.

Выборочная проверка

Kaspersky Endpoint Security проверяет объекты, выбранные пользователем. Вы можете проверить любой объект из следующего списка:

  • системная память;
  • объекты, загрузка которых осуществляется при запуске операционной системы;
  • резервное хранилище операционной системы;
  • почтовый ящик Microsoft Outlook;
  • жесткие, съемные и сетевые диски;
  • любой выбранный файл.

Фоновая проверка

Фоновая проверка – это режим проверки Kaspersky Endpoint Security без отображения уведомлений для пользователя. Фоновая проверка требует меньше ресурсов компьютера, чем другие виды проверок (например, полная проверка). В этом режиме Kaspersky Endpoint Security проверяет объекты автозапуска, загрузочного сектора, системной памяти и системного раздела.

Проверка целостности

Kaspersky Endpoint Security проверяет модули приложения на наличие повреждений или изменений.

В этом разделе

Проверка компьютера

Проверка съемных дисков при подключении к компьютеру

Фоновая проверка

Проверка из контекстного меню

Проверка целостности приложения

Формирование области проверки

Запуск проверки по расписанию

Запуск проверки с правами другого пользователя

Оптимизация проверки
В начало

[Topic 199173]

Проверка компьютера

Антивирусная проверка является важным фактором для обеспечения безопасности компьютера. Требуется регулярно выполнять антивирусную проверку, чтобы исключить возможность распространения вредоносных приложений, которые не были обнаружены компонентами защиты, например, из-за установленного низкого уровня защиты или по другим причинам. Компонент обеспечивает защиту компьютера с помощью антивирусных баз, облачной службы Kaspersky Security Network и эвристического анализа.

В Kaspersky Endpoint Security предустановлены стандартные задачи Полная проверка, Проверка важных областей, Выборочная проверка. Если в вашей организации развернута система администрирования Kaspersky Security Center, вы можете создать задачу Антивирусная проверка и настроить параметры проверки. Также в Kaspersky Security Center доступна задача Фоновая проверка. Настроить параметры фоновой проверки невозможно.

Как запустить антивирусную проверку в Консоли администрирования (MMC)

  1. Откройте Консоль администрирования Kaspersky Security Center.
  2. В папке Управляемые устройства дерева Консоли администрирования откройте папку с названием группы администрирования, в состав которой входят нужные клиентские компьютеры.
  3. В рабочей области выберите закладку Задачи.
  4. Выберите задачу проверки и откройте свойства задачи двойным щелчком мыши.

    Если требуется, создайте задачу Антивирусная проверка.

  5. В окне свойств задачи выберите раздел Настройки.
  6. Настройте параметры задачи проверки (см. таблицу ниже).

    Если требуется, настройте расписание запуска задачи проверки.

  7. Сохраните внесенные изменения.
  8. Запустите задачу проверки.

Kaspersky Endpoint Security запустит проверку компьютера. Если пользователь прервал выполнение задачи (например, выключил компьютер), Kaspersky Endpoint Security запустит задачу автоматически с того же места, где проверка была прервана.

Как запустить антивирусную проверку в Web Console и Cloud Console

  1. В главном окне Web Console выберите УстройстваЗадачи.

    Откроется список задач.

  2. Нажмите на задачу проверки.

    Откроется окно свойств задачи.

  3. Выберите закладку Параметры программы.
  4. Настройте параметры задачи проверки (см. таблицу ниже).

    Если требуется, настройте расписание запуска задачи проверки.

  5. Сохраните внесенные изменения.
  6. Запустите задачу проверки.

Kaspersky Endpoint Security запустит проверку компьютера. Если пользователь прервал выполнение задачи (например, выключил компьютер), Kaspersky Endpoint Security запустит задачу автоматически с того же места, где проверка была прервана.

Как запустить антивирусную проверку в интерфейсе приложения

  1. В главном окне приложения перейдите в раздел Задачи.
  2. В открывшемся списке задач выберите задачу проверки и нажмите на кнопку icon_settings.
  3. Настройте параметры задачи проверки (см. таблицу ниже).

    Если требуется, настройте расписание запуска задачи проверки.

  4. Сохраните внесенные изменения.
  5. Запустите задачу проверки.

Kaspersky Endpoint Security запустит проверку компьютера. Приложение покажет процесс проверки, количество проверенных файлов и оставшиеся время. Вы можете остановить выполнение задачи в любое время по кнопке Остановить. Если задача проверки не отображается, администратор запретил использование локальных задач в политике.

Параметры проверки

Параметр

Описание

Уровень безопасности

Для проверки Kaspersky Endpoint Security применяет разные наборы настроек. Наборы настроек, сохраненные в приложении, называются уровнями безопасности:

  • Высокий. Приложение Kaspersky Endpoint Security проверяет файлы всех типов. Во время проверки составных файлов приложение дополнительно проверяет файлы почтовых форматов.
  • Рекомендуемый. Приложение Kaspersky Endpoint Security проверяет только файлы определенных форматов на всех жестких, сменных и сетевых дисках компьютера, а также вложенные OLE-объекты. Приложение не проверяет архивы и установочные пакеты.
  • Низкий. Приложение Kaspersky Endpoint Security проверяет только новые и измененные файлы с определенными расширениями на всех жестких, сменных и сетевых дисках компьютера. Приложение не проверяет составные файлы.

Вы можете выбрать один из предустановленных уровней безопасности или настроить параметры уровня безопасности самостоятельно. После того как вы изменили параметры уровня безопасности, вы всегда можете вернуться к рекомендуемым параметрам уровня безопасности.

Действие при обнаружении угрозы

Лечить; удалять, если лечение невозможно. Если выбран этот вариант действия, то приложение автоматически пытается вылечить все обнаруженные зараженные файлы. Если лечение невозможно, то приложение их удаляет.

Лечить; блокировать, если лечение невозможно. Если выбран этот вариант действия, то Kaspersky Endpoint Security автоматически пытается вылечить все обнаруженные зараженные файлы. Если лечение невозможно, то Kaspersky Endpoint Security добавляет информацию об обнаруженных зараженных файлах в список активных угроз.

Информировать. Если выбран этот вариант действия, то при обнаружении зараженных файлов Kaspersky Endpoint Security добавляет информацию об этих файлах в список активных угроз.

Перед лечением или удалением зараженного файла приложение формирует его резервную копию на тот случай, если впоследствии понадобится восстановить файл или появится возможность его вылечить.

При обнаружении зараженных файлов, являющихся частью приложения Windows Store, Kaspersky Endpoint Security пытается удалить файл.

Выполнять лечение активного заражения немедленно

(доступен только в консоли Kaspersky Security Center)

Лечение активного заражения в ходе выполнения задачи поиска вирусов на компьютере осуществляется только в том случае, если в свойствах примененной к этому компьютеру политики включена функция лечения активного заражения.

Если флажок установлен, Kaspersky Endpoint Security лечит активное заражение сразу после его обнаружения в ходе выполнения задачи поиска вирусов. После лечения активного заражения Kaspersky Endpoint Security перезагружает компьютер, не запрашивая подтверждение у пользователя.

Если флажок снят, Kaspersky Endpoint Security не лечит активное заражение сразу после его обнаружения в ходе выполнения задачи поиска вирусов. Приложение формирует события об активном заражении в локальных отчетах приложения и на стороне Kaspersky Security Center. Лечение активного заражения возможно при повторном запуске задачи поиска вирусов с включенной функцией лечения активного заражения. Таким образом, системный администратор имеет возможность выбрать подходящее время для лечения активного заражения компьютеров и их последующей автоматической перезагрузки.

Область проверки

Список объектов, которые Kaspersky Endpoint Security проверяет во время выполнения задачи проверки. Объектом проверки может быть память ядра, запущенные процессы, загрузочные секторы, системное резервное хранилище, почтовые базы, жесткий, съемный или сетевой диск, папка или файл.

Расписание проверки

Вручную. Режим запуска, при котором вы запускаете проверку вручную в удобное для вас время.

По расписанию. Режим запуска задачи проверки, при котором приложение выполняет задачу проверки по сформированному вами расписанию. Если выбран этот режим запуска задачи проверки, вы также можете запускать задачу проверки вручную.

Отложить запуск после старта приложения на N минут

Отложенный запуск задачи проверки после старта приложения. После старта операционной системы запускается множество процессов, поэтому удобно запускать задачу проверки не сразу после запуска Kaspersky Endpoint Security, а через некоторое время.

Запускать пропущенные задачи

Если флажок установлен, Kaspersky Endpoint Security запускает пропущенную задачу проверки, как только это станет возможным. Задача проверки может быть пропущена, например, если в установленное время запуска задачи проверки был выключен компьютер. Если флажок снят, Kaspersky Endpoint Security не запускает пропущенные задачи проверки, а выполняет следующую задачу проверки по установленному расписанию.

Выполнять только во время простоя компьютера

Отложенный запуск задачи проверки, если ресурсы компьютера заняты. Kaspersky Endpoint Security запускает задачу проверки, если компьютер заблокирован или включена экранная заставка. Если вы прервали выполнение задачи и, например, разблокировали компьютер, Kaspersky Endpoint Security запустит задачу автоматически с того же места, где проверка была прервана.

Запускать проверку с правами

По умолчанию задача проверки запускается от имени пользователя, с правами которого вы зарегистрированы в операционной системе. Область защиты может включать сетевые диски или другие объекты, для доступа к которым нужны специальные права. Вы можете указать пользователя, обладающего этими правами, в параметрах приложения, и запускать задачу проверки от имени этого пользователя.

Типы файлов

Файлы без расширения приложение Kaspersky Endpoint Security считает исполняемыми. Приложение проверяет исполняемые файлы всегда, независимо от того, файлы какого типа вы выбрали для проверки.

Все файлы. Если выбран этот параметр, Kaspersky Endpoint Security проверяет все файлы без исключения (любых форматов и расширений).

Файлы, проверяемые по формату. Если выбран этот параметр, приложение проверяет только

потенциально заражаемые файлы
. Перед началом поиска вредоносного кода в файле выполняется анализ его внутреннего заголовка на предмет формата файла (например, TXT, DOC, EXE). В процессе проверки учитывается также расширение файла.

Файлы, проверяемые по расширению. Если выбран этот параметр, приложение проверяет только потенциально заражаемые файлы. Формат файла определяется на основании его расширения.

По умолчанию Kaspersky Endpoint Security проверяет файлы по формату. Проверять файлы по расширению менее безопасно, так как вредоносный файл может иметь расширение, которое не входит в список потенциально заражаемых (например, .123).

Проверять только новые и измененные файлы

Проверка только новых файлов и тех файлов, которые изменились после предыдущей проверки. Это позволит сократить время выполнения проверки. Такой режим проверки распространяется как на простые, так и на составные файлы.

Пропускать файлы, если их проверка длится более N секунд

Ограничение длительности проверки одного объекта. По истечении заданного времени приложение прекращает проверку файла. Это позволит сократить время выполнения проверки.

Не запускать несколько задач проверки одновременно

Отложенный запуск задач проверки, если проверка уже выполняется. Kaspersky Endpoint Security ставит новые задачи проверки в очередь, если текущая проверка еще продолжается. Это позволяет оптимизировать нагрузку на компьютер. Например, приложение запустило задачу полной проверки по расписанию. Если пользователь пытается запустить быструю проверку в интерфейсе приложения, Kaspersky Endpoint Security поставит задачу быстрой проверки в очередь и автоматически запустит задачу после завершения полной проверки.

Kaspersky Endpoint Security запускает задачу проверки немедленно, даже если запущена другая задача проверки, в следующих случаях:

Если флажок снят, Kaspersky Endpoint Security позволяет запускать несколько задач проверки одновременно. Запуск нескольких задач проверки требует больше ресурсов компьютера.

Проверять архивы

Проверка архивов ZIP, GZIP, BZIP, RAR, TAR, ARJ, CAB, LHA, JAR, ICE и других архивов. Приложение проверяет архивы не только по расширению, но и по формату. При проверке архивов приложение выполняет рекурсивную распаковку. Это позволяет обнаруживать угрозы внутри многоуровневых архивов (архив внутри архива).

Проверять дистрибутивы

Флажок включает / выключает проверку дистрибутивов сторонних приложений.

Проверять файлы офисных форматов

Проверка файлов Microsoft Office (DOC, DOCX, XLS, PPT и других). К файлам офисных форматов также относятся OLE-объекты.

Проверять файлы почтовых форматов

Проверка файлов почтовых форматов, а также почтовой базы данных. Приложение проверяет PST- и OST-файлы, которые используют почтовые клиенты MS Outlook, Windows Mail/Outlook Express, и EML-файлы.

Kaspersky Endpoint Security не поддерживает работу с 64-битной версией почтового клиента MS Outlook. То есть, Kaspersky Endpoint Security не проверяет файлы, связанные с работой 64-битной версии почтового клиента MS Outlook (PST- и OST-файлы), даже если почта включена в область проверки.

Если флажок установлен, Kaspersky Endpoint Security разбирает файл почтового формата на составляющие части (заголовок, тело, вложения) и анализирует их на наличие угроз.

Если флажок снят, Kaspersky Endpoint Security проверяет файл почтового формата как единый файл.

Проверять архивы, защищенные паролем

Если флажок установлен, приложение проверяет архивы, защищенные паролем. Перед проверкой файлов, содержащихся в архиве, на экран выводится запрос пароля.

Если флажок не установлен, приложение пропускает проверку защищенных паролем архивов.

Не распаковывать составные файлы большого размера

Если флажок установлен, то приложение не проверяет составные файлы, размеры которых больше заданного значения.

Если флажок снят, приложение проверяет составные файлы любого размера.

Приложение проверяет файлы больших размеров, извлеченные из архивов, независимо от состояния флажка.

Машинное обучение и сигнатурный анализ

При методе проверки Машинное обучение и сигнатурный анализ используются базы Kaspersky Endpoint Security, содержащие описания известных угроз и методы их устранения. Защиту с использованием этого метода проверки обеспечивает минимально допустимый уровень безопасности.

В соответствии с рекомендациями специалистов "Лаборатории Касперского" метод проверки Машинное обучение и сигнатурный анализ всегда включен.

Эвристический анализ

Технология обнаружения угроз, которые невозможно определить с помощью текущей версии баз приложений "Лаборатории Касперского". Позволяет находить файлы, которые могут содержать неизвестный вирус или новую модификацию известного вируса.

Во время проверки файлов на наличие вредоносного кода эвристический анализатор выполняет инструкции в исполняемых файлах. Количество инструкций, которые выполняет эвристический анализатор, зависит от заданного уровня эвристического анализа. Уровень эвристического анализа обеспечивает баланс между тщательностью поиска новых угроз, степенью загрузки ресурсов операционной системы и длительностью эвристического анализа.

Технология iSwift

(доступен только в Консоли администрирования (MMC) и интерфейсе Kaspersky Endpoint Security)

Технология, позволяющая увеличить скорость проверки за счет исключения из нее некоторых файлов. Файлы исключаются из проверки по специальному алгоритму, учитывающему дату выпуска баз Kaspersky Endpoint Security, дату предыдущей проверки файла, а также изменение параметров проверки. Технология iSwift является развитием технологии iChecker для файловой системы NTFS.

Технология iChecker

(доступен только в Консоли администрирования (MMC) и интерфейсе Kaspersky Endpoint Security)

Технология, позволяющая увеличить скорость проверки за счет исключения из нее некоторых файлов. Файлы исключаются из проверки по специальному алгоритму, учитывающему дату выпуска баз приложения Kaspersky Endpoint Security, дату предыдущей проверки файла, а также изменение настроек проверки. Технология iChecker имеет ограничение: она не работает с файлами больших размеров, а кроме того, применима только к файлам с известной приложению структурой (например, к файлам формата EXE, DLL, LNK, TTF, INF, SYS, COM, CHM, ZIP, RAR).

В начало

[Topic 178477]

Проверка съемных дисков при подключении к компьютеру

Kaspersky Endpoint Security проверяет все файлы, которые вы запускаете или копируете, даже если файл расположен на съемном диске (компонент Защита от файловых угроз). Для предотвращения распространения вирусов и других приложений, представляющих угрозу, вы можете настроить автоматическую проверку съемных дисков при подключении к компьютеру. При обнаружении угрозы Kaspersky Endpoint Security автоматически пытается вылечить все обнаруженные зараженные файлы. Если лечение невозможно, то Kaspersky Endpoint Security их удаляет. Компонент обеспечивают защиту компьютера с помощью следующих методов проверки: машинное обучение, эвристический анализ (высокий уровень) и сигнатурный анализ. Также Kaspersky Endpoint Security использует технологии оптимизации проверки iSwift и iChecker. Технологии включены постоянно и выключить их невозможно.

Как настроить запуск проверки съемных дисков в Консоли администрирования (MMC)

  1. Откройте Консоль администрирования Kaspersky Security Center.
  2. В папке Управляемые устройства дерева Консоли администрирования откройте папку с названием группы администрирования, в состав которой входят нужные клиентские компьютеры.
  3. В рабочей области выберите закладку Политики.
  4. Выберите нужную политику и откройте свойства политики двойным щелчком мыши.
  5. В окне политики выберите Локальные задачиПроверка съемных дисков.
  6. В раскрывающемся списке Действие при подключении съемного диска выберите Подробная проверка или Быстрая проверка.
  7. Настройте дополнительные параметры проверки съемных дисков (см. таблицу ниже).
  8. Сохраните внесенные изменения.

Как настроить запуск проверки съемных дисков в Web Console и Cloud Console

  1. В главном окне Web Console выберите УстройстваПолитики и профили политик.
  2. Нажмите на название политики Kaspersky Endpoint Security.

    Откроется окно свойств политики.

  3. Выберите закладку Параметры программы.
  4. Перейдите в раздел Локальные задачиПроверка съемных дисков.
  5. В раскрывающемся списке Действие при подключении съемного диска выберите Подробная проверка или Быстрая проверка.
  6. Настройте дополнительные параметры проверки съемных дисков (см. таблицу ниже).
  7. Сохраните внесенные изменения.

Как настроить запуск проверки съемных дисков в интерфейсе приложения

  1. В главном окне приложения перейдите в раздел Задачи.
  2. В открывшемся списке задач выберите задачу проверки и нажмите на кнопку icon_settings.
  3. Используйте переключатель Проверка съемных дисков, чтобы включить или выключить проверку съемных дисков при подключении к компьютеру.
  4. Настройте дополнительные параметры проверки съемных дисков (см. таблицу ниже).
  5. Сохраните внесенные изменения.

В результате Kaspersky Endpoint Security будет запускать проверку съемных дисков, размер которых не превышает указанный максимальный размер. Если задача Проверка съемных дисков не отображается, администратор запретил использование локальных задач в политике.

Параметры задачи Проверка съемных дисков

Параметр

Описание

Действие при подключении съемного диска

Подробная проверка. Если выбран этот элемент, то после подключения съемного диска Kaspersky Endpoint Security проверяет все файлы, расположенные на съемном диске, в том числе вложенные файлы внутри составных объектов, архивы, дистрибутивы, файлы офисных форматов. Kaspersky Endpoint Security не проверяет файлы почтовых форматов и защищенные паролем архивы.

Быстрая проверка. Если выбран этот вариант, то после подключения съемного диска Kaspersky Endpoint Security проверяет только файлы определенных форматов, наиболее подверженные заражению, а также не распаковывает составные объекты.

Максимальный размер съемного диска

Если флажок установлен, то Kaspersky Endpoint Security выполняет действие, выбранное в раскрывающемся списке Действие при подключении съемного диска, над съемными дисками, размер которых не превышает указанный максимальный размер.

Если флажок снят, то Kaspersky Endpoint Security выполняет действие, выбранное в раскрывающемся списке Действие при подключении съемного диска, над съемными дисками любого размера.

Отображать ход проверки

Если флажок установлен, то Kaspersky Endpoint Security отображает ход проверки съемных дисков в отдельном окне, а также в разделе Задачи.

Если флажок снят, то Kaspersky Endpoint Security выполняет проверку съемных дисков в фоновом режиме.

Запретить остановку задачи проверки

Если флажок установлен, то в локальном интерфейсе Kaspersky Endpoint Security для задачи проверки съемных дисков недоступны кнопка Остановить в разделе Задачи и кнопка Остановить в окне проверки съемного диска.

В начало

[Topic 178480]

Фоновая проверка

Фоновая проверка – это режим проверки Kaspersky Endpoint Security без отображения уведомлений для пользователя. Фоновая проверка требует меньше ресурсов компьютера, чем другие виды проверок (например, полная проверка). В этом режиме Kaspersky Endpoint Security проверяет объекты автозапуска, загрузочного сектора, системной памяти и системного раздела.

Для экономии ресурсов компьютера рекомендуется вместо задачи полной проверки использовать задачу фоновой проверки. Уровень защиты компьютера при этом не изменится. Область проверки для этих задач одинаковая. Для оптимизации нагрузки на компьютер приложение не запускает задачи полной проверки и фоновой проверки одновременно. Если вы запустили задачу полной проверки, Kaspersky Endpoint Security не будет запускать задачу фоновой проверки в течение семи дней после выполнения полной проверки.

Фоновая проверка запускается в следующих случаях:

  • после обновления антивирусных баз;
  • через 30 минут после запуска Kaspersky Endpoint Security;
  • каждые шесть часов;
  • при простое компьютера в течение пяти и более минут (компьютер заблокирован или включена экранная заставка).

Фоновая проверка при простое компьютера прерывается при выполнении любого из следующих условий:

  • Компьютер перешел в активный режим.

    Если фоновая проверка не выполнялась более десяти дней, проверка не прерывается.

  • Компьютер (ноутбук) перешел в режим питания от батареи.

При выполнении фоновой проверки Kaspersky Endpoint Security не проверяет файлы, содержимое которых расположено в облачном хранилище OneDrive.

Как включить фоновую проверку в Консоли администрирования (MMC)

  1. Откройте Консоль администрирования Kaspersky Security Center.
  2. В папке Управляемые устройства дерева Консоли администрирования откройте папку с названием группы администрирования, в состав которой входят нужные клиентские компьютеры.
  3. В рабочей области выберите закладку Политики.
  4. Выберите нужную политику и откройте свойства политики двойным щелчком мыши.
  5. В окне политики выберите Локальные задачиФоновая проверка.
  6. Используйте флажок Включить фоновую проверку, чтобы включить или выключить фоновую проверку.
  7. Сохраните внесенные изменения.

Как включить фоновую проверку в Web Console и Cloud Console

  1. В главном окне Web Console выберите УстройстваПолитики и профили политик.
  2. Нажмите на название политики Kaspersky Endpoint Security.

    Откроется окно свойств политики.

  3. Выберите закладку Параметры программы.
  4. Перейдите в раздел Локальные задачиФоновая проверка.
  5. Используйте флажок Включить фоновую проверку, чтобы включить или выключить фоновую проверку.
  6. Сохраните внесенные изменения.

Как включить фоновую проверку в интерфейсе приложения

  1. В главном окне приложения перейдите в раздел Задачи.
  2. В открывшемся списке задач выберите задачу проверки и нажмите на кнопку icon_settings.
  3. Используйте переключатель Фоновая проверка, чтобы включить или выключить фоновую проверку.
  4. Сохраните внесенные изменения.

Если задача Фоновая проверка не отображается, администратор запретил использование локальных задач в политике.

См. также об управлении программой через локальный интерфейс

Включение и выключение Защиты от файловых угроз

Автоматическая приостановка Защиты от файловых угроз

Проверка составных файлов
В начало

[Topic 178476]

Проверка из контекстного меню

Kaspersky Endpoint Security позволяет проверять отдельные файлы на вирусы и другие приложения, представляющие угрозу, из контекстного меню (см. рис. ниже).

При выполнении проверки из контекстного меню Kaspersky Endpoint Security не проверяет файлы, содержимое которых расположено в облачном хранилище OneDrive.

Проверка из контекстного меню

Как настроить параметры проверки из контекстного меню в Консоли администрирования (MMC)

  1. Откройте Консоль администрирования Kaspersky Security Center.
  2. В папке Управляемые устройства дерева Консоли администрирования откройте папку с названием группы администрирования, в состав которой входят нужные клиентские компьютеры.
  3. В рабочей области выберите закладку Политики.
  4. Выберите нужную политику и откройте свойства политики двойным щелчком мыши.
  5. В окне политики выберите Локальные задачиПроверка из контекстного меню.
  6. Настройте параметры проверки из контекстного меню (см. таблицу ниже).
  7. Сохраните внесенные изменения.

Как настроить параметры проверки из контекстного меню в Web Console и Cloud Console

  1. В главном окне Web Console выберите УстройстваПолитики и профили политик.
  2. Нажмите на название политики Kaspersky Endpoint Security.

    Откроется окно свойств политики.

  3. Выберите закладку Параметры программы.
  4. Перейдите в раздел Локальные задачиПроверка из контекстного меню.
  5. Настройте параметры проверки из контекстного меню (см. таблицу ниже).
  6. Сохраните внесенные изменения.

Как настроить параметры проверки из контекстного меню в интерфейсе приложения

  1. В главном окне приложения перейдите в раздел Задачи.
  2. В открывшемся списке задач выберите задачу проверки и нажмите на кнопку icon_settings.
  3. Настройте параметры проверки из контекстного меню (см. таблицу ниже).
  4. Сохраните внесенные изменения.

Если задача Проверка из контекстного меню не отображается, администратор запретил использование локальных задач в политике.

Параметры задачи Проверка из контекстного меню

Параметр

Описание

Уровень безопасности

Для проверки Kaspersky Endpoint Security применяет разные наборы настроек. Наборы настроек, сохраненные в приложении, называются уровнями безопасности:

  • Высокий. Приложение Kaspersky Endpoint Security проверяет файлы всех типов. Во время проверки составных файлов приложение дополнительно проверяет файлы почтовых форматов.
  • Рекомендуемый. Приложение Kaspersky Endpoint Security проверяет только файлы определенных форматов на всех жестких, сменных и сетевых дисках компьютера, а также вложенные OLE-объекты. Приложение не проверяет архивы и установочные пакеты.
  • Низкий. Приложение Kaspersky Endpoint Security проверяет только новые и измененные файлы с определенными расширениями на всех жестких, сменных и сетевых дисках компьютера. Приложение не проверяет составные файлы.

Действие при обнаружении угрозы

Лечить; удалять, если лечение невозможно. Если выбран этот вариант действия, то приложение автоматически пытается вылечить все обнаруженные зараженные файлы. Если лечение невозможно, то приложение их удаляет.

Лечить; блокировать, если лечение невозможно. Если выбран этот вариант действия, то Kaspersky Endpoint Security автоматически пытается вылечить все обнаруженные зараженные файлы. Если лечение невозможно, то Kaspersky Endpoint Security добавляет информацию об обнаруженных зараженных файлах в список активных угроз.

Информировать. Если выбран этот вариант действия, то при обнаружении зараженных файлов Kaspersky Endpoint Security добавляет информацию об этих файлах в список активных угроз.

Типы файлов

Файлы без расширения приложение Kaspersky Endpoint Security считает исполняемыми. Приложение проверяет исполняемые файлы всегда, независимо от того, файлы какого типа вы выбрали для проверки.

Все файлы. Если выбран этот параметр, Kaspersky Endpoint Security проверяет все файлы без исключения (любых форматов и расширений).

Файлы, проверяемые по формату. Если выбран этот параметр, приложение проверяет только потенциально заражаемые файлы. Перед началом поиска вредоносного кода в файле выполняется анализ его внутреннего заголовка на предмет формата файла (например, TXT, DOC, EXE). В процессе проверки учитывается также расширение файла.

Файлы, проверяемые по расширению. Если выбран этот параметр, приложение проверяет только потенциально заражаемые файлы. Формат файла определяется на основании его расширения.

По умолчанию Kaspersky Endpoint Security проверяет файлы по формату. Проверять файлы по расширению менее безопасно, так как вредоносный файл может иметь расширение, которое не входит в список потенциально заражаемых (например, .123).

Проверять только новые и измененные файлы

Проверка только новых файлов и тех файлов, которые изменились после предыдущей проверки. Это позволит сократить время выполнения проверки. Такой режим проверки распространяется как на простые, так и на составные файлы.

Пропускать файлы, если их проверка длится более N секунд

Ограничение длительности проверки одного объекта. По истечении заданного времени приложение прекращает проверку файла. Это позволит сократить время выполнения проверки.

Проверять архивы

Проверка архивов ZIP, GZIP, BZIP, RAR, TAR, ARJ, CAB, LHA, JAR, ICE и других архивов. Приложение проверяет архивы не только по расширению, но и по формату. При проверке архивов приложение выполняет рекурсивную распаковку. Это позволяет обнаруживать угрозы внутри многоуровневых архивов (архив внутри архива).

Проверять дистрибутивы

Флажок включает / выключает проверку дистрибутивов.

Проверять файлы офисных форматов

Проверка файлов Microsoft Office (DOC, DOCX, XLS, PPT и других). К файлам офисных форматов также относятся OLE-объекты.

Проверять файлы почтовых форматов

Проверка файлов почтовых форматов, а также почтовой базы данных. Приложение проверяет PST- и OST-файлы, которые используют почтовые клиенты MS Outlook, Windows Mail/Outlook Express, и EML-файлы.

Kaspersky Endpoint Security не поддерживает работу с 64-битной версией почтового клиента MS Outlook. То есть, Kaspersky Endpoint Security не проверяет файлы, связанные с работой 64-битной версии почтового клиента MS Outlook (PST- и OST-файлы), даже если почта включена в область проверки.

Если флажок установлен, Kaspersky Endpoint Security разбирает файл почтового формата на составляющие части (заголовок, тело, вложения) и анализирует их на наличие угроз.

Если флажок снят, Kaspersky Endpoint Security проверяет файл почтового формата как единый файл.

Проверять архивы, защищенные паролем

Если флажок установлен, приложение проверяет архивы, защищенные паролем. Перед проверкой файлов, содержащихся в архиве, на экран выводится запрос пароля.

Если флажок не установлен, приложение пропускает проверку защищенных паролем архивов.

Не распаковывать составные файлы большого размера

Если флажок установлен, то приложение не проверяет составные файлы, размеры которых больше заданного значения.

Если флажок снят, приложение проверяет составные файлы любого размера.

Приложение проверяет файлы больших размеров, извлеченные из архивов, независимо от состояния флажка.

Машинное обучение и сигнатурный анализ

При методе проверки Машинное обучение и сигнатурный анализ используются базы Kaspersky Endpoint Security, содержащие описания известных угроз и методы их устранения. Защиту с использованием этого метода проверки обеспечивает минимально допустимый уровень безопасности.

В соответствии с рекомендациями специалистов "Лаборатории Касперского" метод проверки Машинное обучение и сигнатурный анализ всегда включен.

Эвристический анализ

Технология обнаружения угроз, которые невозможно определить с помощью текущей версии баз приложений "Лаборатории Касперского". Позволяет находить файлы, которые могут содержать неизвестный вирус или новую модификацию известного вируса.

Во время проверки файлов на наличие вредоносного кода эвристический анализатор выполняет инструкции в исполняемых файлах. Количество инструкций, которые выполняет эвристический анализатор, зависит от заданного уровня эвристического анализа. Уровень эвристического анализа обеспечивает баланс между тщательностью поиска новых угроз, степенью загрузки ресурсов операционной системы и длительностью эвристического анализа.

Технология iSwift

Технология, позволяющая увеличить скорость проверки за счет исключения из нее некоторых файлов. Файлы исключаются из проверки по специальному алгоритму, учитывающему дату выпуска баз Kaspersky Endpoint Security, дату предыдущей проверки файла, а также изменение параметров проверки. Технология iSwift является развитием технологии iChecker для файловой системы NTFS.

Технология iChecker

Технология, позволяющая увеличить скорость проверки за счет исключения из нее некоторых файлов. Файлы исключаются из проверки по специальному алгоритму, учитывающему дату выпуска баз приложения Kaspersky Endpoint Security, дату предыдущей проверки файла, а также изменение настроек проверки. Технология iChecker имеет ограничение: она не работает с файлами больших размеров, а кроме того, применима только к файлам с известной приложению структурой (например, к файлам формата EXE, DLL, LNK, TTF, INF, SYS, COM, CHM, ZIP, RAR).

В начало

[Topic 201526]

Проверка целостности приложения

Kaspersky Endpoint Security проверяет модули приложения на наличие повреждений или изменений. Например, если библиотека приложения имеет некорректную цифровую подпись, то такая библиотека считается поврежденной. Для проверки файлов приложения предназначена задача Проверка целостности. Запускайте задачу Проверка целостности, если приложение Kaspersky Endpoint Security обнаружила вредоносный объект и не обезвредила его.

Вы можете создать задачу Проверка целостности в Kaspersky Security Center Web Console и Консоли администрирования. Создать задачу в приложении Kaspersky Security Center Cloud Console невозможно.

Нарушения целостности приложения могут, например, возникать в следующих случаях:

  • Вредоносный объект внес изменения в файлы Kaspersky Endpoint Security. В этом случае выполните процедуру восстановления Kaspersky Endpoint Security средствами операционной системы. После восстановления запустите полную проверку компьютера и повторите проверку целостности.
  • Истек срок действия цифровой подписи. В этом случае обновите Kaspersky Endpoint Security.

Как выполнить проверку целостности приложения через Консоль администрирования (MMC)

  1. В Консоли администрирования перейдите в папку Сервер администрированияЗадачи.

    Откроется список задач.

  2. Нажмите на кнопку Новая задача.

Запустится мастер создания задачи. Следуйте его указаниям.

Шаг 1. Выбор типа задачи

Выберите Kaspersky Endpoint Security для Windows (11.10.0)Проверка целостности.

Шаг 2. Выбор устройств, которым будет назначена задача

Выберите компьютеры, на которых будет выполнена задача. Доступны следующие способы:

  • Назначить задачу группе администрирования. В этом случае задача назначается компьютерам, входящим в ранее созданную группу администрирования.
  • Выбрать компьютеры, обнаруженные в сети Сервером администрирования, – нераспределенные устройства. В набор устройств вы можете включать как устройства в группах администрирования, так и нераспределенные устройства.
  • Задать адреса устройств вручную или импортировать из списка. Вы можете задавать NetBIOS-имена, IP-адреса, а также диапазоны IP-адресов устройств, которым нужно назначить задачу.

Шаг 3. Настройка расписания запуска задачи

Настройте расписание запуска задачи, например, вручную или при обнаружении вирусной атаки.

Шаг 4. Определение названия задачи

Введите название задачи, например, Проверка целостности приложения после заражения компьютера.

Шаг 5. Завершение создания задачи

Завершите работу мастера. Если требуется, установите флажок Запустить задачу после завершения работы мастера. Вы можете следить за ходом выполнения задачи в свойствах задачи. В результате Kaspersky Endpoint Security выполнит проверку целостности приложения. Вы также можете настроить расписание проверки целостности приложения в свойствах задачи (см. таблицу ниже).

Как выполнить проверку целостности приложения через Web Console

  1. В главном окне Web Console выберите УстройстваЗадачи.

    Откроется список задач.

  2. Нажмите на кнопку Добавить.

    Запустится мастер создания задачи.

  3. Настройте параметры задачи:
    1. В раскрывающемся списке Программа выберите Kaspersky Endpoint Security для Windows (11.10.0).
    2. В раскрывающемся списке Тип задачи выберите Проверка целостности.
    3. В поле Название задачи введите короткое описание, например, Проверка целостности приложения после заражения компьютера.
    4. В блоке Выбор устройств, которым будет назначена задача выберите область действия задачи.
  4. Выберите устройства в соответствии с выбранным вариантом области действия задачи. Перейдите к следующему шагу.
  5. Завершите работу мастера.

    В списке задач отобразится новая задача.

  6. Установите флажок напротив задачи.

В результате Kaspersky Endpoint Security выполнит проверку целостности приложения. Вы также можете настроить расписание проверки целостности приложения в свойствах задачи (см. таблицу ниже).

Как выполнить проверку целостности в интерфейсе приложения

  1. В главном окне приложения перейдите в раздел Задачи.
  2. В открывшемся списке задач выберите задачу Проверка целостности и нажмите на кнопку Запустить проверку.

В результате Kaspersky Endpoint Security выполнит проверку целостности приложения. Вы также можете настроить расписание проверки целостности приложения в свойствах задачи (см. таблицу ниже). Если задача Проверка целостности не отображается, администратор запретил использование локальных задач в политике.

Параметры задачи Проверка целостности

Параметр

Описание

Расписание проверки

Вручную. Режим запуска, при котором вы запускаете проверку вручную в удобное для вас время.

По расписанию. Режим запуска задачи проверки, при котором приложение выполняет задачу проверки по сформированному вами расписанию. Если выбран этот режим запуска задачи проверки, вы также можете запускать задачу проверки вручную.

Запускать пропущенные задачи

Если флажок установлен, Kaspersky Endpoint Security запускает пропущенную задачу проверки, как только это станет возможным. Задача проверки может быть пропущена, например, если в установленное время запуска задачи проверки был выключен компьютер. Если флажок снят, Kaspersky Endpoint Security не запускает пропущенные задачи проверки, а выполняет следующую задачу проверки по установленному расписанию.

Выполнять только во время простоя компьютера

Отложенный запуск задачи проверки, если ресурсы компьютера заняты. Kaspersky Endpoint Security запускает задачу проверки, если компьютер заблокирован или включена экранная заставка. Если вы прервали выполнение задачи и, например, разблокировали компьютер, Kaspersky Endpoint Security запустит задачу автоматически с того же места, где проверка была прервана.

В начало

[Topic 123515]

Формирование области проверки

Область проверки – список путей к папкам и файлам, которые Kaspersky Endpoint Security проверяет во время выполнения задачи. Kaspersky Endpoint Security поддерживает переменные среды и символы * и ? для ввода маски.

Для формирования области проверки рекомендуется использовать задачу Выборочная проверка. Специалисты "Лаборатории Касперского" рекомендуют не изменять область проверки задач Полная проверка и Проверка важных областей.

В Kaspersky Endpoint Security предустановлены следующие объекты для формирования области проверки:

  • Моя почта.

    Файлы, связанные с работой почтового клиента Outlook: файлы данных (PST), автономные файлы данных (OST).

  • Системная память.
  • Объекты автозапуска.

    Память, занятая процессами, и исполняемые файлы приложения, которые запускаются при старте операционной системы.

  • Загрузочные секторы.

    Загрузочные секторы жестких и съемных дисков.

  • Системное резервное хранилище.

    Содержимое папки System Volume Information.

  • Все внешние устройства.
  • Все жесткие диски.
  • Все сетевые диски.

Для исключения папок или файлов из области проверки вам нужно добавить папку или файл в доверенную зону.

Как сформировать область проверки в Консоли администрирования (MMC)

  1. Откройте Консоль администрирования Kaspersky Security Center.
  2. В папке Управляемые устройства дерева Консоли администрирования откройте папку с названием группы администрирования, в состав которой входят нужные клиентские компьютеры.
  3. В рабочей области выберите закладку Задачи.
  4. Выберите задачу проверки и откройте свойства задачи двойным щелчком мыши.

    Если требуется, создайте задачу Антивирусная проверка.

  5. В окне свойств задачи выберите раздел Настройки.
  6. В разделе Область проверки нажмите на кнопку Настройка.
  7. В открывшемся окне выберите объекты, которые вы хотите добавить в область проверки или исключить из нее.
  8. Если вы хотите добавить новый объект в область проверки, выполните следующие действия:
    1. Нажмите на кнопку Добавить.
    2. В поле Объект введите путь к папке или файлу.

      Используйте маски:

      • Символ *, который заменяет любой набор символов, в том числе пустой, кроме символов \ и / (разделители имен файлов и папок в путях к файлам и папкам). Например, маска C:\*\*.txt будет включать все пути к файлам с расширением txt, расположенным в папках на диске (C:), но не в подпапках.
      • Два введенных подряд символа * заменяют любой набор символов, в том числе пустой, в имени файла или папки, включая символы \ и / (разделители имен файлов и папок в путях к файлам и папкам). Например, маска C:\Folder\**\*.txt будет включать все пути к файлам с расширением txt в папках, вложенных в папку Folder, кроме самой папки Folder. Маска должна включать хотя бы один уровень вложенности. Маска C:\**\*.txt не работает.
      • Символ ?, который заменяет любой один символ, кроме символов \ и / (разделители имен файлов и папок в путях к файлам и папкам). Например, маска C:\Folder\???.txt будет включать пути ко всем расположенным в папке Folder файлам с расширением txt и именем, состоящим из трех символов.

    Вы можете исключить объект из проверки, не удаляя его из списка объектов области проверки. Для этого снимите флажок рядом с ним.

  9. Сохраните внесенные изменения.

Как сформировать область проверки в Web Console и Cloud Console

  1. В главном окне Web Console выберите УстройстваЗадачи.

    Откроется список задач.

  2. Нажмите на задачу проверки.

    Откроется окно свойств задачи. Если требуется, создайте задачу Антивирусная проверка.

  3. Выберите закладку Параметры программы.
  4. В разделе Область защиты выберите объекты, которые вы хотите добавить в область проверки или исключить из нее.
  5. Если вы хотите добавить новый объект в область проверки, выполните следующие действия:
    1. Нажмите на кнопку Добавить.
    2. В поле Расположение введите путь к папке или файлу.

      Используйте маски:

      • Символ *, который заменяет любой набор символов, в том числе пустой, кроме символов \ и / (разделители имен файлов и папок в путях к файлам и папкам). Например, маска C:\*\*.txt будет включать все пути к файлам с расширением txt, расположенным в папках на диске (C:), но не в подпапках.
      • Два введенных подряд символа * заменяют любой набор символов, в том числе пустой, в имени файла или папки, включая символы \ и / (разделители имен файлов и папок в путях к файлам и папкам). Например, маска C:\Folder\**\*.txt будет включать все пути к файлам с расширением txt в папках, вложенных в папку Folder, кроме самой папки Folder. Маска должна включать хотя бы один уровень вложенности. Маска C:\**\*.txt не работает.
      • Символ ?, который заменяет любой один символ, кроме символов \ и / (разделители имен файлов и папок в путях к файлам и папкам). Например, маска C:\Folder\???.txt будет включать пути ко всем расположенным в папке Folder файлам с расширением txt и именем, состоящим из трех символов.

    Вы можете исключить объект из проверки, не удаляя его из списка объектов области проверки. Для этого выключите переключатель рядом с ним.

  6. Сохраните внесенные изменения.

Как сформировать область проверки в интерфейсе приложения

  1. В главном окне приложения перейдите в раздел Задачи.
  2. В открывшемся списке задач выберите задачу Выборочная проверка и нажмите на кнопку Выбрать.

    Вы также можете изменить область проверки для других задач. Специалисты "Лаборатории Касперского" рекомендуют не изменять область проверки задач Полная проверка и Проверка важных областей.

  3. В открывшемся окне выберите объекты, которые вы хотите добавить в область проверки.
  4. Сохраните внесенные изменения.

Если задача проверки не отображается, администратор запретил использование локальных задач в политике.

В начало

[Topic 123523]

Запуск проверки по расписанию

Проверка компьютера занимает некоторое время и требует затрат ресурсов компьютера. Выберите оптимальное время для запуска проверки компьютера, чтобы производительность других приложений не снижалась. Kaspersky Endpoint Security позволяет настроить обычное расписание проверки компьютера. Этот способ удобен, если сотрудники вашей организации работают по графику. Вы можете настроить запуск проверки компьютера ночью или в выходные дни. Если по каким-либо причинам запуск задачи проверки невозможен (например, в это время компьютер выключен), вы можете настроить автоматический запуск пропущенной задачи проверки, как только это станет возможным.

Если настроить оптимальное расписание проверки компьютера не удалось, Kaspersky Endpoint Security позволяет запускать проверку компьютера при выполнении следующих специальных условий:

  • После обновления баз.

    Kaspersky Endpoint Security запускает проверку компьютера с новыми базами сигнатур.

  • При запуске приложения.

    Kaspersky Endpoint Security запускает проверку компьютера по истечении заданного времени после старта приложения. После старта операционной системы запускается множество процессов, поэтому удобно запускать задачу проверки не сразу после запуска Kaspersky Endpoint Security, а через некоторое время.

  • Функция Wake-on-LAN.

    Kaspersky Endpoint Security запускает проверку компьютера по расписанию даже если компьютер выключен. Для этого приложение использует функцию операционной системы Wake-on-LAN. Функция Wake-on-LAN позволяет удаленно включать компьютер с помощью отправки специального сигнала через локальную сеть. Для использования этой функции необходимо включить Wake-on-LAN в параметрах BIOS компьютера.

    Вы можете настроить запуск проверки компьютера с функцией Wake-on-LAN только для задачи Антивирусная проверка в Kaspersky Security Center. Включить функцию Wake-on-LAN для проверки компьютера в интерфейсе приложения невозможно.

  • При простое компьютера.

    Kaspersky Endpoint Security запускает проверку компьютера по расписанию, если включена экранная заставка или компьютер заблокирован. Если пользователь разблокировал компьютер, Kaspersky Endpoint Security приостанавливает проверку компьютера. Таким образом, приложение может выполнять полную проверку компьютера несколько дней.

Как настроить расписание проверки компьютера в Консоли администрирования (MMC)

  1. Откройте Консоль администрирования Kaspersky Security Center.
  2. В папке Управляемые устройства дерева Консоли администрирования откройте папку с названием группы администрирования, в состав которой входят нужные клиентские компьютеры.
  3. В рабочей области выберите закладку Задачи.
  4. Выберите задачу проверки и откройте свойства задачи двойным щелчком мыши.

    Если требуется, создайте задачу Антивирусная проверка.

  5. В окне свойств задачи выберите раздел Расписание.
  6. Настройте расписание запуска задачи проверки.
  7. В зависимости от выбранной периодичности настройте дополнительные параметры, которые уточняют расписание запуска задачи (см. таблицу ниже).
  8. Сохраните внесенные изменения.

Как настроить расписание проверки компьютера в Web Console и Cloud Console

  1. В главном окне Web Console выберите УстройстваЗадачи.

    Откроется список задач.

  2. Нажмите на задачу проверки.

    Откроется окно свойств задачи.

  3. Выберите закладку Расписание.
  4. Настройте расписание запуска задачи проверки.
  5. В зависимости от выбранной периодичности настройте дополнительные параметры, которые уточняют расписание запуска задачи (см. таблицу ниже).
  6. Сохраните внесенные изменения.

Как настроить расписание проверки компьютера в интерфейсе приложения

Вы можете настроить расписание проверки, только если к компьютеру не применена политика. Для компьютеров под политикой вы можете настроить расписание запуска задачи Антивирусная проверка в Kaspersky Security Center.

  1. В главном окне приложения перейдите в раздел Задачи.
  2. В открывшемся списке задач выберите задачу проверки и нажмите на кнопку icon_settings.

    Вы можете настроить расписание для запуска полной проверки, проверки важных областей и проверки целостности. Выборочную проверку вы можете запускать только вручную.

  3. Нажмите на кнопку Расписание проверки.
  4. В открывшемся окне настройте расписание запуска задачи проверки.
  5. В зависимости от выбранной периодичности настройте дополнительные параметры, которые уточняют расписание запуска задачи (см. таблицу ниже).
  6. Сохраните внесенные изменения.

Параметры расписания проверки

Параметр

Описание

Расписание проверки

Вручную. Режим запуска, при котором вы запускаете проверку вручную в удобное для вас время.

По расписанию. Режим запуска задачи проверки, при котором приложение выполняет задачу проверки по сформированному вами расписанию. Если выбран этот режим запуска задачи проверки, вы также можете запускать задачу проверки вручную.

Отложить запуск после старта приложения на N минут

Отложенный запуск задачи проверки после старта приложения. После старта операционной системы запускается множество процессов, поэтому удобно запускать задачу проверки не сразу после запуска Kaspersky Endpoint Security, а через некоторое время.

Запускать пропущенные задачи

Если флажок установлен, Kaspersky Endpoint Security запускает пропущенную задачу проверки, как только это станет возможным. Задача проверки может быть пропущена, например, если в установленное время запуска задачи проверки был выключен компьютер. Если флажок снят, Kaspersky Endpoint Security не запускает пропущенные задачи проверки, а выполняет следующую задачу проверки по установленному расписанию.

Выполнять только во время простоя компьютера

Отложенный запуск задачи проверки, если ресурсы компьютера заняты. Kaspersky Endpoint Security запускает задачу проверки, если компьютер заблокирован или включена экранная заставка. Если вы прервали выполнение задачи и, например, разблокировали компьютер, Kaspersky Endpoint Security запустит задачу автоматически с того же места, где проверка была прервана.

Использовать автоматическое определение случайного интервала между запусками задачи

(доступен только в консоли Kaspersky Security Center)

Если флажок установлен, задача запускается на компьютерах не точно по расписанию, а случайным образом в течение определенного интервала времени, то есть происходит распределенный запуск задачи. Распределенный запуск задачи помогает избежать одновременного обращения большого количества компьютеров к Серверу администрирования при запуске задачи по расписанию.

Период распределенного запуска рассчитывается автоматически при создании задачи, в зависимости от количества компьютеров, которым назначена задача. Позже задача всегда запускается в расчетное время запуска. Однако когда в параметры задачи вносятся правки или задача запускается вручную, рассчитанное значение времени запуска задачи изменяется.

Если флажок снят, запуск задачи на компьютерах выполняется по расписанию.

Остановить задачу, если она выполняется более чем N (мин)

(доступен только в консоли Kaspersky Security Center)

Ограничение длительности выполнения задачи. По истечении заданного времени Kaspersky Endpoint Security останавливает выполнение задачи. При этом задача не будет завершена. Следующий запуск задачи Kaspersky Endpoint Security выполнит сначала и по расписанию.

Чтобы уменьшить время выполнения задачи, вы можете, например, настроить область проверки или оптимизировать проверку.

Активировать устройство перед запуском задачи функцией Wake-on-LAN за N (мин)

(доступен только в консоли Kaspersky Security Center)

Если флажок установлен, операционная система на компьютере будет загружаться за указанное время до начала выполнения задачи. Время, заданное по умолчанию, – 5 минут.

Установите флажок, если вы хотите запустить выполнение задачи на всех компьютерах, включая компьютеры, которые выключены.

В начало

[Topic 123506]

Запуск проверки с правами другого пользователя

По умолчанию задача проверки запускается от имени пользователя, с правами которого вы зарегистрированы в операционной системе. Область защиты может включать сетевые диски или другие объекты, для доступа к которым нужны специальные права. Вы можете указать пользователя, обладающего этими правами, в параметрах приложения, и запускать задачу проверки от имени этого пользователя.

Вы можете запускать проверку с правами другого пользователя для следующих типов проверки:

Настроить права пользователя для запуска проверки съемных дисков, фоновой проверки и проверки целостности невозможно.

Как запустить проверку с правами другого пользователя в Консоли администрирования (MMC)

  1. Откройте Консоль администрирования Kaspersky Security Center.
  2. В папке Управляемые устройства дерева Консоли администрирования откройте папку с названием группы администрирования, в состав которой входят нужные клиентские компьютеры.
  3. В рабочей области выберите закладку Задачи.
  4. Выберите задачу проверки и откройте свойства задачи двойным щелчком мыши.
  5. В окне свойств задачи выберите раздел Учетная запись.
  6. Введите учетные данные пользователя, права которого требуется использовать для запуска задачи проверки.
  7. Сохраните внесенные изменения.

Как запустить проверку с правами другого пользователя в Web Console и Cloud Console

  1. В главном окне Web Console выберите УстройстваЗадачи.

    Откроется список задач.

  2. Нажмите на задачу проверки.

    Откроется окно свойств задачи.

  3. Выберите закладку Параметры.
  4. В блоке Учетная запись нажмите на кнопку Параметры.
  5. Введите учетные данные пользователя, права которого требуется использовать для запуска задачи проверки.
  6. Сохраните внесенные изменения.

Как запустить проверку с правами другого пользователя в интерфейсе приложения

  1. В главном окне приложения перейдите в раздел Задачи.
  2. В открывшемся списке задач выберите задачу проверки и нажмите на кнопку icon_settings.
  3. В свойствах задачи выберите Расширенная настройкаЗапускать проверку с правами.
  4. В открывшемся окне введите учетные данные пользователя, права которого требуется использовать для запуска задачи проверки.
  5. Сохраните внесенные изменения.

Если задача проверки не отображается, администратор запретил использование локальных задач в политике.

В начало

[Topic 128101]

Оптимизация проверки

Вы можете оптимизировать проверку файлов: сократить время проверки и увеличить скорость работы Kaspersky Endpoint Security. Этого можно достичь, если проверять только новые файлы и те файлы, которые изменились с момента их предыдущего анализа. Такой режим проверки распространяется как на простые, так и на составные файлы. Вы можете также ограничить длительность проверки одного файла. По истечении заданного времени Kaspersky Endpoint Security исключает файл из текущей проверки (кроме архивов и объектов, в состав которых входит несколько файлов).

Распространенной практикой сокрытия вирусов и других приложений, представляющих угрозу, является внедрение их в составные файлы, например, архивы или базы данных. Чтобы обнаружить скрытые таким образом вирусы и другие приложения, представляющие угрозу, составной файл нужно распаковать, что может привести к снижению скорости проверки. Вы можете ограничить типы проверяемых составных файлов, таким образом увеличив скорость проверки.

Вы также можете включить использование технологий iChecker и iSwift. Технологии iChecker и iSwift позволяют оптимизировать скорость проверки файлов за счет исключения из проверки файлов, не измененных с момента их последней проверки.

Как оптимизировать проверку в Консоли администрирования (MMC)

  1. Откройте Консоль администрирования Kaspersky Security Center.
  2. В папке Управляемые устройства дерева Консоли администрирования откройте папку с названием группы администрирования, в состав которой входят нужные клиентские компьютеры.
  3. В рабочей области выберите закладку Задачи.
  4. Выберите задачу проверки и откройте свойства задачи двойным щелчком мыши.

    Если требуется, создайте задачу Антивирусная проверка.

  5. В окне свойств задачи выберите раздел Настройки.
  6. В блоке Уровень безопасности нажмите на кнопку Настройка.

    Откроется окно настройки задачи проверки.

  7. В блоке Оптимизация проверки настройте параметры проверки:
    • Проверять только новые и измененные файлы. Проверка только новых файлов и тех файлов, которые изменились после предыдущей проверки. Это позволит сократить время выполнения проверки. Такой режим проверки распространяется как на простые, так и на составные файлы.

      Вы также можете настроить проверку новых файлов по типам. Например, вы можете запускать проверку всех дистрибутивов и проверку только новых архивов и файлов офисных форматов.

    • Пропускать файлы, если их проверка длится более N с. Ограничение длительности проверки одного объекта. По истечении заданного времени приложение прекращает проверку файла. Это позволит сократить время выполнения проверки.
    • Не запускать несколько задач проверки одновременно. Отложенный запуск задач проверки, если проверка уже выполняется. Kaspersky Endpoint Security ставит новые задачи проверки в очередь, если текущая проверка еще продолжается. Это позволяет оптимизировать нагрузку на компьютер. Например, приложение запустило задачу полной проверки по расписанию. Если пользователь пытается запустить быструю проверку в интерфейсе приложения, Kaspersky Endpoint Security поставит задачу быстрой проверки в очередь и автоматически запустит задачу после завершения полной проверки.
  8. Нажмите на кнопку Дополнительно.

    Откроется окно настройки проверки составных файлов.

  9. В блоке Ограничение по размеру установите флажок Не распаковывать составные файлы большого размера. Ограничение длительности проверки одного объекта. По истечении заданного времени приложение прекращает проверку файла. Это позволит сократить время выполнения проверки.

    Kaspersky Endpoint Security проверяет файлы больших размеров, извлеченные из архивов, независимо от того, установлен ли флажок Не распаковывать составные файлы большого размера.

  10. Нажмите на кнопку .
  11. Перейдите на закладку Дополнительно.
  12. В блоке Технологии проверки установите флажки около названий технологий, которые вы хотите использовать во время проверки:
    • Технология iSwift. Технология, позволяющая увеличить скорость проверки за счет исключения из нее некоторых файлов. Файлы исключаются из проверки по специальному алгоритму, учитывающему дату выпуска баз Kaspersky Endpoint Security, дату предыдущей проверки файла, а также изменение параметров проверки. Технология iSwift является развитием технологии iChecker для файловой системы NTFS.
    • Технология iChecker. Технология, позволяющая увеличить скорость проверки за счет исключения из нее некоторых файлов. Файлы исключаются из проверки по специальному алгоритму, учитывающему дату выпуска баз приложения Kaspersky Endpoint Security, дату предыдущей проверки файла, а также изменение настроек проверки. Технология iChecker имеет ограничение: она не работает с файлами больших размеров, а кроме того, применима только к файлам с известной приложению структурой (например, к файлам формата EXE, DLL, LNK, TTF, INF, SYS, COM, CHM, ZIP, RAR).
  13. Сохраните внесенные изменения.

Как оптимизировать проверку в Web Console и Cloud Console

  1. В главном окне Web Console выберите УстройстваЗадачи.

    Откроется список задач.

  2. Нажмите на задачу проверки.

    Откроется окно свойств задачи. Если требуется, создайте задачу Антивирусная проверка.

  3. Выберите закладку Параметры программы.
  4. В блоке Действие при обнаружении угрозы установите флажок Проверять только новые и измененные файлы. Проверка только новых файлов и тех файлов, которые изменились после предыдущей проверки. Это позволит сократить время выполнения проверки. Такой режим проверки распространяется как на простые, так и на составные файлы.

    Вы также можете настроить проверку новых файлов по типам. Например, вы можете запускать проверку всех дистрибутивов и проверку только новых архивов и файлов офисных форматов.

  5. В блоке Оптимизация проверки установите флажок Не распаковывать составные файлы большого размера. Ограничение длительности проверки одного объекта. По истечении заданного времени приложение прекращает проверку файла. Это позволит сократить время выполнения проверки.

    Kaspersky Endpoint Security проверяет файлы больших размеров, извлеченные из архивов, независимо от того, установлен ли флажок Не распаковывать составные файлы большого размера.

  6. Установить флажок Не запускать несколько задач проверки одновременно. Отложенный запуск задач проверки, если проверка уже выполняется. Kaspersky Endpoint Security ставит новые задачи проверки в очередь, если текущая проверка еще продолжается. Это позволяет оптимизировать нагрузку на компьютер. Например, приложение запустило задачу полной проверки по расписанию. Если пользователь пытается запустить быструю проверку в интерфейсе приложения, Kaspersky Endpoint Security поставит задачу быстрой проверки в очередь и автоматически запустит задачу после завершения полной проверки.
  7. В блоке Дополнительные настройки установите флажок Пропускать файлы, если их проверка длится более N сек. Ограничение длительности проверки одного объекта. По истечении заданного времени приложение прекращает проверку файла. Это позволит сократить время выполнения проверки.
  8. Сохраните внесенные изменения.

Как оптимизировать проверку в интерфейсе приложения

  1. В главном окне приложения перейдите в раздел Задачи.
  2. В открывшемся списке задач выберите задачу проверки и нажмите на кнопку icon_settings.
  3. Нажмите на кнопку Расширенная настройка.
  4. В блоке Оптимизация проверки настройте параметры проверки:
    • Проверять только новые и измененные файлы. Проверка только новых файлов и тех файлов, которые изменились после предыдущей проверки. Это позволит сократить время выполнения проверки. Такой режим проверки распространяется как на простые, так и на составные файлы.

      Вы также можете настроить проверку новых файлов по типам. Например, вы можете запускать проверку всех дистрибутивов и проверку только новых архивов и файлов офисных форматов.

    • Пропускать файлы, если их проверка длится более N секунд. Ограничение длительности проверки одного объекта. По истечении заданного времени приложение прекращает проверку файла. Это позволит сократить время выполнения проверки.
    • Не запускать несколько задач проверки одновременно. Отложенный запуск задач проверки, если проверка уже выполняется. Kaspersky Endpoint Security ставит новые задачи проверки в очередь, если текущая проверка еще продолжается. Это позволяет оптимизировать нагрузку на компьютер. Например, приложение запустило задачу полной проверки по расписанию. Если пользователь пытается запустить быструю проверку в интерфейсе приложения, Kaspersky Endpoint Security поставит задачу быстрой проверки в очередь и автоматически запустит задачу после завершения полной проверки.
  5. В блоке Ограничение по размеру установите флажок Не распаковывать составные файлы большого размера. Ограничение длительности проверки одного объекта. По истечении заданного времени приложение прекращает проверку файла. Это позволит сократить время выполнения проверки.

    Kaspersky Endpoint Security проверяет файлы больших размеров, извлеченные из архивов, независимо от того, установлен ли флажок Не распаковывать составные файлы большого размера.

  6. В блоке Технологии проверки установите флажки около названий технологий, которые вы хотите использовать во время проверки:
    • Технология iSwift. Технология, позволяющая увеличить скорость проверки за счет исключения из нее некоторых файлов. Файлы исключаются из проверки по специальному алгоритму, учитывающему дату выпуска баз Kaspersky Endpoint Security, дату предыдущей проверки файла, а также изменение параметров проверки. Технология iSwift является развитием технологии iChecker для файловой системы NTFS.
    • Технология iChecker. Технология, позволяющая увеличить скорость проверки за счет исключения из нее некоторых файлов. Файлы исключаются из проверки по специальному алгоритму, учитывающему дату выпуска баз приложения Kaspersky Endpoint Security, дату предыдущей проверки файла, а также изменение настроек проверки. Технология iChecker имеет ограничение: она не работает с файлами больших размеров, а кроме того, применима только к файлам с известной приложению структурой (например, к файлам формата EXE, DLL, LNK, TTF, INF, SYS, COM, CHM, ZIP, RAR).
  7. Сохраните внесенные изменения.

Если задача проверки не отображается, администратор запретил использование локальных задач в политике.

В начало

[Topic 34566]

Обновление баз и модулей приложения

Обновление баз и модулей приложения Kaspersky Endpoint Security обеспечивает актуальность защиты компьютера. Каждый день в мире появляются новые вирусы и другие приложения, представляющие угрозу. Информация об угрозах и способах их нейтрализации содержится в базах Kaspersky Endpoint Security. Чтобы своевременно обнаруживать угрозы, вам нужно регулярно обновлять базы и модули приложения.

Для регулярного обновления требуется действующая лицензия на использование приложения. Если лицензия отсутствует, вы сможете выполнить обновление только один раз.

Основным источником обновлений Kaspersky Endpoint Security служат серверы обновлений "Лаборатории Касперского".

Для успешной загрузки пакета обновлений с серверов обновлений "Лаборатории Касперского" компьютер должен быть подключен к интернету. По умолчанию параметры подключения к интернету определяются автоматически. Если вы используете прокси-сервер, требуется настроить параметры прокси-сервера.

Загрузка обновлений осуществляется по протоколу HTTPS. Загрузка по протоколу HTTP может осуществляться в случае, когда загрузка обновлений по протоколу HTTPS невозможна.

В процессе обновления на ваш компьютер загружаются и устанавливаются следующие объекты:

  • Базы Kaspersky Endpoint Security. Защита компьютера обеспечивается на основании баз данных, содержащих сигнатуры вирусов и других приложений, представляющих угрозу, и информацию о способах борьбы с ними. Компоненты защиты используют эту информацию при поиске и обезвреживании зараженных файлов на компьютере. Базы регулярно пополняются записями о появляющихся угрозах и способах борьбы с ними. Поэтому рекомендуется регулярно обновлять базы.

    Наряду с базами Kaspersky Endpoint Security обновляются сетевые драйверы, обеспечивающие функциональность для перехвата сетевого трафика компонентами защиты.

  • Модули приложения. Помимо баз Kaspersky Endpoint Security, можно обновлять и модули приложения. Обновления модулей приложения устраняют уязвимости Kaspersky Endpoint Security, добавляют новые функции или улучшают существующие.

В процессе обновления базы и модули приложения на вашем компьютере сравниваются с их актуальной версией, расположенной в источнике обновлений. Если текущие базы и модули приложения отличаются от актуальной версии, на компьютер устанавливается недостающая часть обновлений.

Вместе с обновлением модулей приложения может быть обновлена и контекстная справка приложения.

Если базы сильно устарели, то пакет обновлений может иметь значительный размер и создать дополнительный интернет-трафик (до нескольких десятков мегабайт).

Информация о текущем состоянии баз Kaspersky Endpoint Security отображается в главном окне приложения или в подсказке при наведении курсора на значок приложения в области уведомлений.

Информация о результатах обновления и обо всех событиях, произошедших при выполнении задачи обновления, записывается в отчет Kaspersky Endpoint Security.

В этом разделе

Схемы обновления баз и модулей приложения

Запуск и остановка задачи обновления

Запуск задачи обновления с правами другого пользователя

Выбор режима запуска для задачи обновления

Добавление источника обновлений

Настройка обновления из папки общего доступа

Обновление модулей приложения

Использование прокси-сервера при обновлении

Откат последнего обновления
В начало

[Topic 176379]

Схемы обновления баз и модулей приложения

Обновление баз и модулей приложения Kaspersky Endpoint Security обеспечивает актуальность защиты компьютера. Каждый день в мире появляются новые вирусы и другие приложения, представляющие угрозу. Информация об угрозах и способах их нейтрализации содержится в базах Kaspersky Endpoint Security. Чтобы своевременно обнаруживать угрозы, вам нужно регулярно обновлять базы и модули приложения.

На компьютерах пользователей обновляются следующие объекты:

  • Антивирусные базы. Антивирусные базы включают в себя базы сигнатур вредоносных приложений, описание сетевых атак, базы вредоносных и фишинговых веб-адресов, базы баннеров, спам-базы и другие данные.
  • Модули приложения. Обновление модулей предназначено для устранения уязвимостей в приложении и улучшения методов защиты компьютера. Обновления модулей могут менять поведение компонентов приложения и добавлять новые возможности.

Kaspersky Endpoint Security поддерживает следующие схемы обновления баз и модулей приложения:

  • Обновление с серверов "Лаборатории Касперского".

    Серверы обновлений "Лаборатории Касперского" расположены в разных странах по всему миру. Это обеспечивает высокую надежность обновления. Если обновление не может быть выполнено с одного сервера, Kaspersky Endpoint Security переключается к следующему серверу.

    Обновление с серверов "Лаборатории Касперского"

  • Централизованное обновление.

    Централизованное обновление обеспечивает снижение внешнего интернет-трафика, а также удобство контроля за обновлением.

    Централизованное обновление состоит из следующих этапов:

    1. Загрузка пакета обновлений в хранилище внутри сети организации.

      Загрузку пакета обновлений в хранилище обеспечивает задача Сервера администрирования Загрузка обновлений в хранилище Сервера администрирования.

    2. Загрузка пакета обновлений в папку общего доступа (необязательно).

      Загрузку пакета обновлений в папку общего доступа можно обеспечить следующими способами:

      • С помощью задачи Kaspersky Endpoint Security Обновление. Задача предназначена для одного из компьютеров локальной сети организации.
      • С помощью Kaspersky Update Utility. Подробную информацию о работе с Kaspersky Update Utility см. в Базе знаний "Лаборатории Касперского".
    3. Распространение пакета обновлений на клиентские компьютеры.

      Распространение пакета обновлений на клиентские компьютеры обеспечивает задача Kaspersky Endpoint Security Обновление. Вы можете создать неограниченное количество задач обновления для каждой из групп администрирования.

    Обновление с серверного хранилища

    Обновление из папки общего доступа

    Обновление с помощью Kaspersky Update Utility

Для Web Console по умолчанию список источников обновлений содержит Сервер администрирования Kaspersky Security Center и серверы обновлений "Лаборатории Касперского". Для Kaspersky Security Center Cloud Console по умолчанию список источников обновлений содержит точки распространения и серверы обновлений "Лаборатории Касперского". Подробнее о точках распространения см. в справке Kaspersky Security Center Cloud Console. Вы можете добавлять в список другие источники обновлений. В качестве источников обновлений можно указывать HTTP- или FTP-серверы, папки общего доступа. Если обновление не может быть выполнено с одного источника обновлений, Kaspersky Endpoint Security переключается к следующему.

Загрузка обновлений с серверов обновлений "Лаборатории Касперского" или с других FTP- или HTTP-серверов осуществляется по стандартным сетевым протоколам. Если для доступа к источнику обновлений требуется подключение к прокси-серверу, введите параметры прокси-сервера в свойствах политики Kaspersky Endpoint Security.

В этом разделе

Обновление с серверного хранилища

Обновление из папки общего доступа

Обновление с помощью Kaspersky Update Utility

Обновление в мобильном режиме
В начало

[Topic 176856]

Обновление с серверного хранилища

Для экономии интернет-трафика вы можете настроить обновление баз и модулей приложения на компьютерах локальной сети организации с серверного хранилища. Для этого Kaspersky Security Center должен загружать пакет обновлений в хранилище (FTP-, HTTP-сервер, сетевая или локальная папка) с серверов обновлений "Лаборатории Касперского". В этом случае остальные компьютеры локальной сети организации смогут получать пакет обновлений с серверного хранилища.

Настройка обновления баз и модулей приложения с серверного хранилища состоит из следующих этапов:

  1. Настройка перемещения пакета обновлений в хранилище на Сервере администрирования (задача Загрузка обновлений в хранилище Сервера администрирования).
  2. Настройка обновления баз и модулей приложения из указанного серверного хранилища на остальных компьютерах локальной сети организации (задача Обновление).

    Обновление с серверного хранилища

Чтобы настроить загрузку пакета обновлений в серверное хранилище, выполните следующие действия:

  1. В главном окне Web Console выберите УстройстваЗадачи.

    Откроется список задач.

  2. Нажмите на задачу Сервера администрирования Загрузка обновлений в хранилище Сервера администрирования.

    Откроется окно свойств задачи.

    Задача Загрузка обновлений в хранилище Сервера администрирования создается автоматически мастером первоначальной настройки Kaspersky Security Center Web Console и может существовать только в единственном экземпляре.

  3. Выберите закладку Параметры программы.
  4. В блоке Прочие параметры нажмите на кнопку Настроить.
  5. В поле Папка для хранения обновлений укажите адрес FTP- или HTTP-сервера, сетевой или локальной папки, в которую Kaspersky Security Center копирует пакет обновлений, полученный с серверов обновлений "Лаборатории Касперского".

    Формат пути для источника обновлений следующий:

    • Для FTP- или HTTP-сервера введите веб-адрес или IP-адрес сайта.

      Например, http://dnl-01.geo.kaspersky.com/ или 93.191.13.103.

      Для FTP-сервера в адресе можно указывать параметры аутентификации в формате ftp://<имя пользователя>:<пароль>@<узел>:<порт>.

    • Для сетевой папки введите UNC-путь.

      Например, \\Server\Share\Update distribution.

    • Для локальной папки введите полный путь к папке.

      Например, C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP11\Update distribution\.

  6. Сохраните внесенные изменения.

Чтобы настроить обновление Kaspersky Endpoint Security из указанного серверного хранилища, выполните следующие действия:

  1. В главном окне Web Console выберите УстройстваЗадачи.

    Откроется список задач.

  2. Нажмите на задачу Kaspersky Endpoint Security Обновление.

    Откроется окно свойств задачи.

    Задача Обновление создается автоматически мастером первоначальной настройки Kaspersky Security Center. Для создания задачи Обновления во время работы мастера установите веб-плагин Kaspersky Endpoint Security для Windows.

  3. Выберите закладку Параметры программыЛокальный режим.
  4. В списке источников обновлений нажмите на кнопку Добавить.
  5. В поле Источник укажите адрес FTP- или HTTP-сервера, сетевой или локальной папки, в которую Kaspersky Security Center копирует пакет обновлений, полученный с серверов обновлений "Лаборатории Касперского".

    Адрес источника должен совпадать с адресом, указанный ранее в поле Папка для хранения обновлений при настройке загрузки обновлений в серверное хранилище (см. инструкцию выше).

  6. В блоке Статус выберите вариант Включено.
  7. Нажмите на кнопку ОК.
  8. Настройте приоритеты источников обновлений с помощью кнопок Вверх и Вниз.
  9. Сохраните внесенные изменения.

Если обновление не может быть выполнено из первого источника обновлений, Kaspersky Endpoint Security переключается к следующему автоматически.

В начало

[Topic 176801]

Обновление из папки общего доступа

Для экономии интернет-трафика вы можете настроить обновление баз и модулей приложения на компьютерах локальной сети организации из папки общего доступа. Для этого один из компьютеров локальной сети организации должен получать пакеты обновлений с Сервера администрирования Kaspersky Security Center или серверов обновлений "Лаборатории Касперского" и копировать полученный пакет обновлений в папку общего доступа. В этом случае остальные компьютеры локальной сети организации смогут получать пакет обновлений из папки общего доступа.

Настройка обновления баз и модулей приложения из папки общего доступа состоит из следующих этапов:

  1. Настройка обновления баз и модулей приложения с серверного хранилища.
  2. Включение режима копирования пакета обновлений в папку общего доступа на одном из компьютеров локальной сети организации (см. инструкцию ниже).
  3. Настройка обновления баз и модулей приложения из указанной папки общего доступа на остальных компьютерах локальной сети организации (см. инструкцию ниже).

    Версия и локализация приложения Kaspersky Endpoint Security, которое копирует пакет обновлений в папку общего доступа, и приложения, которое обновляет базы из папки общего доступа, должны совпадать. Если версия или локализация приложений не совпадает, обновление баз может завершиться с ошибкой.

    Обновление из папки общего доступа

Чтобы включить режим копирования пакета обновлений в папку общего доступа, выполните следующие действия:

  1. В главном окне Web Console выберите УстройстваЗадачи.

    Откроется список задач.

    Задача Обновление должна быть назначена для одного компьютера, который будет считаться источником обновлений.

  2. Нажмите на задачу Kaspersky Endpoint Security Обновление.

    Откроется окно свойств задачи.

    Задача Обновление создается автоматически мастером первоначальной настройки Kaspersky Security Center. Для создания задачи Обновления во время работы мастера установите веб-плагин Kaspersky Endpoint Security для Windows.

  3. Выберите закладку Параметры программыЛокальный режим.
  4. Настройте источники обновлений.

    В качестве источников обновлений могут быть использованы серверы обновлений "Лаборатории Касперского", Сервер администрирования Kaspersky Security Center или другие FTP- или HTTP-серверы, локальные или сетевые папки.

  5. Установите флажок Копировать обновления в папку.
  6. В поле Расположение введите UNC-путь к папке общего доступа (например, \\Server\Share\Update distribution).

    Если оставить поле пустым, Kaspersky Endpoint Security будет копировать пакет обновлений в папку C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP11\Update distribution\.

  7. Сохраните внесенные изменения.

Чтобы настроить обновление из папки общего доступа, выполните следующие действия:

  1. В главном окне Web Console выберите УстройстваЗадачи.

    Откроется список задач.

  2. Нажмите на кнопку Добавить.

    Запустится мастер создания задачи.

  3. Настройте параметры задачи:
    1. В раскрывающемся списке Программа выберите Kaspersky Endpoint Security для Windows (11.10.0).
    2. В раскрывающемся списке Тип задачи выберите Обновление.
    3. В поле Название задачи введите короткое описание, например, Обновление из папки общего доступа.
    4. В блоке Выбор устройств, которым будет назначена задача выберите область действия задачи.

      Задача Обновление должна быть назначена остальным компьютерам локальной сети организации кроме компьютера, который считается источником обновлений.

  4. Выберите устройства в соответствии с выбранным вариантом области действия задачи и перейдите к следующему шагу.
  5. Завершите работу мастера.

    В таблице задач отобразится новая задача.

  6. Нажмите на созданную задачу Обновление.

    Откроется окно свойств задачи.

  7. Перейдите в раздел Параметры программы.
  8. Выберите закладку Локальный режим.
  9. В блоке Источник обновлений нажмите на кнопку Добавить.
  10. В поле Источник укажите путь к папке общего доступа.

    Адрес источника должен совпадать с адресом, указанным ранее в поле Расположение при настройке режима копирования пакета обновлений в папку общего доступа (см. инструкцию выше).

  11. Нажмите на кнопку ОК.
  12. Настройте приоритеты источников обновлений с помощью кнопок Вверх и Вниз.
  13. Сохраните внесенные изменения.
В начало

[Topic 176381]

Обновление с помощью Kaspersky Update Utility

Для экономии интернет-трафика вы можете настроить обновление баз и модулей приложения на компьютерах локальной сети организации из папки общего доступа с помощью утилиты Kaspersky Update Utility. Для этого один из компьютеров локальной сети организации должен получать пакеты обновлений с Сервера администрирования Kaspersky Security Center или серверов обновлений "Лаборатории Касперского" и копировать полученные пакеты обновлений в папку общего доступа с помощью утилиты. В этом случае остальные компьютеры локальной сети организации смогут получать пакет обновлений из папки общего доступа.

Настройка обновления баз и модулей приложения из папки общего доступа состоит из следующих этапов:

  1. Настройка обновления баз и модулей приложения с серверного хранилища.
  2. Установка Kaspersky Update Utility на одном из компьютеров локальной сети организации.
  3. Настройка копирования пакета обновлений в папку общего доступа в параметрах Kaspersky Update Utility.
  4. Настройка обновления баз и модулей приложения из указанной папки общего доступа на остальных компьютерах локальной сети организации.

    Версия и локализация приложения Kaspersky Endpoint Security, которое копирует пакет обновлений в папку общего доступа, и приложения, которое обновляет базы из папки общего доступа, должны совпадать. Если версия или локализация приложений не совпадает, обновление баз может завершиться с ошибкой.

    Обновление с помощью Kaspersky Update Utility

Вы можете загрузить дистрибутив Kaspersky Update Utility с веб-сайта Службы технической поддержки "Лаборатории Касперского". После установки утилиты выберите источник обновлений (например, хранилище Сервера администрирования) и папку общего доступа, в которую Kaspersky Update Utility будет копировать пакеты обновлений. Подробную информацию о работе с Kaspersky Update Utility см. в Базе знаний "Лаборатории Касперского".

Чтобы настроить обновление из папки общего доступа, выполните следующие действия:

  1. В главном окне Web Console выберите УстройстваЗадачи.

    Откроется список задач.

  2. Нажмите на задачу Kaspersky Endpoint Security Обновление.

    Откроется окно свойств задачи.

    Задача Обновление создается автоматически мастером первоначальной настройки Kaspersky Security Center. Для создания задачи Обновления во время работы мастера установите веб-плагин Kaspersky Endpoint Security для Windows.

  3. Выберите закладку Параметры программыЛокальный режим.
  4. В списке источников обновлений нажмите на кнопку Добавить.
  5. В поле Источник введите UNC-путь к папке общего доступа (например, \\Server\Share\Update distribution).

    Адрес источника должен совпадать с адресом, указанным в параметрах Kaspersky Update Utility.

  6. Нажмите на кнопку ОК.
  7. Настройте приоритеты источников обновлений с помощью кнопок Вверх и Вниз.
  8. Сохраните внесенные изменения.
В начало

[Topic 176800]

Обновление в мобильном режиме

Мобильный режим – режим работы Kaspersky Endpoint Security, при котором компьютер покидает периметр сети организации (автономный компьютер). Подробнее о работе с автономными компьютерами и автономными пользователями см. в справке Kaspersky Security Center.

Автономный компьютер за пределами сети организации не может подключиться к Серверу администрирования для обновления баз и модулей приложения. По умолчанию для обновления баз и модулей приложения в мобильном режиме в качестве источника обновлений используются только серверы обновлений "Лаборатории Касперского". Использование прокси-сервера для подключения к интернету определяется специальной политикой для автономных пользователей. Политику для автономных пользователей требуется создать отдельно. После перехода Kaspersky Endpoint Security в мобильный режим задача обновления запускается раз в два часа.

Чтобы настроить параметры обновления в мобильном режиме, выполните следующие действия:

  1. В главном окне Web Console выберите УстройстваЗадачи.

    Откроется список задач.

  2. Нажмите на задачу Kaspersky Endpoint Security Обновление.

    Откроется окно свойств задачи.

    Задача Обновление создается автоматически мастером первоначальной настройки Kaspersky Security Center. Для создания задачи Обновления во время работы мастера установите веб-плагин Kaspersky Endpoint Security для Windows.

    Выберите закладку Параметры программыМобильный режим.

  3. Настройте источники обновлений. В качестве источников обновлений могут быть использованы серверы обновлений "Лаборатории Касперского" или другие FTP- или HTTP-серверы, локальные или сетевые папки.
  4. Сохраните внесенные изменения.

В результате на компьютерах пользователей будут обновлены базы и модули приложения при переходе в мобильный режим.

В начало

[Topic 39100]

Запуск и остановка задачи обновления

Независимо от выбранного режима запуска задачи обновления вы можете запустить или остановить задачу обновления Kaspersky Endpoint Security в любой момент.

Чтобы запустить или остановить задачу обновления, выполните следующие действия:

  1. В главном окне приложения перейдите в раздел Обновление.
  2. В плитке Обновление баз и модулей приложения нажмите на кнопку Обновить, если вы хотите запустить задачу обновления.

Kaspersky Endpoint Security запустит обновление баз и модулей приложения. Приложение покажет процесс проверки, размер загруженных файлов и источник обновления. Вы можете остановить выполнение задачи в любое время кнопкой Остановить обновление.

Чтобы запустить или остановить задачу обновления при отображении упрощенного интерфейса приложения, выполните следующие действия:

  1. По правой клавише мыши откройте контекстное меню значка приложения, который расположен в области уведомлений панели задач.
  2. В контекстном меню в раскрывающемся списке Задачи выполните одно из следующих действий:
    • выберите незапущенную задачу обновления, чтобы запустить ее;
    • выберите запущенную задачу обновления, чтобы остановить ее;
    • выберите остановленную задачу обновления, чтобы возобновить ее или запустить ее заново.
В начало

[Topic 133791]

Запуск задачи обновления с правами другого пользователя

По умолчанию задача обновления приложения Kaspersky Endpoint Security запускается от имени пользователя, с правами которого вы зарегистрированы в операционной системе. Однако обновление приложения Kaspersky Endpoint Security может производиться из источника обновления, к которому у пользователя нет прав доступа (например, из папки общего доступа, содержащей пакет обновлений) или для которого не настроено использование аутентификации на прокси-сервере. Вы можете указать пользователя, обладающего этими правами, в параметрах приложения и запускать задачу обновления приложения Kaspersky Endpoint Security от имени этого пользователя.

Чтобы запускать задачу обновления с правами другого пользователя, выполните следующие действия:

  1. В главном окне приложения перейдите в раздел Обновление.
  2. В открывшемся списке задач выберите задачу обновления и нажмите на кнопку icon_settings.
  3. Нажмите на кнопку Запускать обновление баз с правами пользователя.
  4. В открывшемся окне выберите вариант Другого пользователя.
  5. Введите учетные данные пользователя, права которого требуется использовать для доступа к источнику обновлений.
  6. Сохраните внесенные изменения.
В начало

[Topic 128098]

Выбор режима запуска для задачи обновления

Если по каким-либо причинам запуск задачи обновления невозможен (например, в это время компьютер выключен), вы можете настроить автоматический запуск пропущенной задачи обновления, как только это станет возможным.

Вы можете отложить запуск задачи обновления после старта приложения для случаев, если вы выбрали режим запуска задачи обновления По расписанию и время запуска Kaspersky Endpoint Security совпадает с расписанием запуска задачи обновления. Задача обновления запускается только по истечении указанного времени после старта Kaspersky Endpoint Security.

Чтобы выбрать режим запуска для задачи обновления, выполните следующие действия:

  1. В главном окне приложения перейдите в раздел Обновление.
  2. В открывшемся списке задач выберите задачу обновления и нажмите на кнопку icon_settings.
  3. Нажмите на кнопку Режим запуска.
  4. В открывшемся окне выберите режим запуска задачи обновления:
    • Выберите вариант Автоматически, если вы хотите, чтобы Kaspersky Endpoint Security запускал задачу обновления в зависимости от наличия пакета обновлений в источнике обновления. Частота проверки Kaspersky Endpoint Security наличия пакета обновлений увеличивается во время вирусных эпидемий и сокращается при их отсутствии.
    • Выберите вариант Вручную, если вы хотите запускать задачу обновления вручную.
    • Выберите другие варианты, если вы хотите настроить расписание запуска задачи обновления. Настройте дополнительные параметры запуска задачи обновления:
      • В поле Отложить запуск после старта приложения на N минут укажите время, на которое следует отложить запуск задачи обновления после старта Kaspersky Endpoint Security.
      • Установите флажок Запускать проверку по расписанию на следующий день, если компьютер был выключен, если вы хотите, чтобы Kaspersky Endpoint Security запускал при первой возможности не запущенные вовремя задачи обновления.
  5. Сохраните внесенные изменения.
В начало

[Topic 133787]

Добавление источника обновлений

Источник обновлений – это ресурс, содержащий обновления баз и модулей приложения Kaspersky Endpoint Security.

Источником обновлений могут быть сервер Kaspersky Security Center, серверы обновлений "Лаборатории Касперского", сетевая или локальная папка.

По умолчанию список источников обновлений содержит сервер Kaspersky Security Center и серверы обновлений "Лаборатории Касперского". Вы можете добавлять в список другие источники обновлений. В качестве источников обновлений можно указывать HTTP- или FTP-серверы, папки общего доступа.

Kaspersky Endpoint Security не поддерживает загрузку обновлений с HTTPS-серверов, если это не серверы обновлений "Лаборатории Касперского".

Если в качестве источников обновлений выбрано несколько ресурсов, в процессе обновления Kaspersky Endpoint Security обращается к ним строго по списку и выполняет задачу обновления, используя пакет обновлений первого доступного источника обновлений.

Чтобы добавить источник обновлений, выполните следующие действия:

  1. В главном окне приложения перейдите в раздел Обновление.
  2. В открывшемся списке задач выберите задачу обновления и нажмите на кнопку icon_settings.
  3. Нажмите на кнопку Настроить источники обновлений.
  4. В открывшемся окне нажмите на кнопку Добавить.
  5. В открывшемся окне укажите адрес FTP- или HTTP-сервера, сетевой или локальной папки, которая содержит пакет обновлений.

    Формат пути для источника обновлений следующий:

    • Для FTP- или HTTP-сервера введите веб-адрес или IP-адрес сайта.

      Например, http://dnl-01.geo.kaspersky.com/ или 93.191.13.103.

      Для FTP-сервера в адресе можно указывать параметры аутентификации в формате ftp://<имя пользователя>:<пароль>@<узел>:<порт>.

    • Для сетевой папки введите UNC-путь.

      Например, \\Server\Share\Update distribution.

    • Для локальной папки введите полный путь к папке.

      Например, C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP11\Update distribution\.

  6. Нажмите на кнопку Выбрать.
  7. Настройте приоритеты источников обновлений с помощью кнопок Вверх и Вниз.
  8. Сохраните внесенные изменения.

     

В начало

[Topic 133789]

Настройка обновления из папки общего доступа

Для экономии интернет-трафика вы можете настроить обновление баз и модулей приложения на компьютерах локальной сети организации из папки общего доступа. Для этого один из компьютеров локальной сети организации должен получать пакеты обновлений с Сервера администрирования Kaspersky Security Center или серверов обновлений "Лаборатории Касперского" и копировать полученный пакет обновлений в папку общего доступа. В этом случае остальные компьютеры локальной сети организации смогут получать пакет обновлений из папки общего доступа.

Настройка обновления баз и модулей приложения из папки общего доступа состоит из следующих этапов:

  1. Включение режима копирования пакета обновлений в папку общего доступа на одном из компьютеров локальной сети организации.
  2. Настройка обновления баз и модулей приложения из указанной папки общего доступа на остальных компьютерах локальной сети организации.

Чтобы включить режим копирования пакета обновлений в папку общего доступа, выполните следующие действия:

  1. В главном окне приложения перейдите в раздел Обновление.
  2. В открывшемся списке задач выберите задачу обновления и нажмите на кнопку icon_settings.
  3. В блоке Копирование обновлений установите флажок Копировать обновления в папку.
  4. Введите UNC-путь к папке общего доступа (например, \\Server\Share\Update distribution).
  5. Сохраните внесенные изменения.

Чтобы настроить обновление из папки общего доступа, выполните следующие действия:

  1. В главном окне приложения перейдите в раздел Обновление.
  2. В открывшемся списке задач выберите задачу обновления и нажмите на кнопку icon_settings.
  3. Нажмите на кнопку Настроить источники обновлений.
  4. В открывшемся окне нажмите на кнопку Добавить.
  5. В открывшемся окне укажите путь к папке общего доступа.

    Адрес источника должен совпадать с адресом, указанным ранее при настройке режима копирования пакета обновлений в папку общего доступа (см. инструкцию выше).

  6. Нажмите на кнопку Выбрать.
  7. Настройте приоритеты источников обновлений с помощью кнопок Вверх и Вниз.
  8. Сохраните внесенные изменения.
В начало

[Topic 87929]

Обновление модулей приложения

Обновления модулей приложения исправляют ошибки, улучшают производительность, а также добавляют новые функции. При появлении нового обновления модулей приложения вам необходимо подтвердить установку обновления. Вы можете подтвердить установку обновления модулей приложения в интерфейсе приложения или в Kaspersky Security Center. При появлении обновления приложение покажет уведомление в главном окне Kaspersky Endpoint Security – . Если обновление модулей приложения предполагает ознакомление и согласие с положениями Лицензионного соглашения, то приложение устанавливает обновление после согласия с положениями Лицензионного соглашения. Подробнее об отслеживании обновлений модулей приложения и подтверждении обновления в Kaspersky Security Center см. в справке Kaspersky Security Center.

После установки обновления приложения может потребоваться перезагрузка компьютера.

Чтобы настроить обновление модулей приложения, выполните следующие действия:

  1. В главном окне приложения перейдите в раздел Обновление.
  2. В открывшемся списке задач выберите задачу обновления и нажмите на кнопку icon_settings.
  3. В блоке Загрузка и установка обновлений модулей приложения установите флажок Загружать обновления модулей приложения.
  4. Выберите обновления модулей приложения, которые вы хотите устанавливать:
    • Устанавливать критические и одобренные обновления. Если выбран этот вариант, то при наличии обновлений модулей приложения Kaspersky Endpoint Security устанавливает критические обновления автоматически, а остальные обновления модулей приложения – после одобрения их установки, локально через интерфейс приложения или на стороне Kaspersky Security Center.
    • Устанавливать только одобренные обновления. Если выбран этот вариант, то при наличии обновлений модулей приложения Kaspersky Endpoint Security устанавливает их после одобрения их установки, локально через интерфейс приложения или на стороне Kaspersky Security Center. Этот вариант выбран по умолчанию.
  5. Сохраните внесенные изменения.
В начало

[Topic 176799]

Использование прокси-сервера при обновлении

Для загрузки обновлений баз и модулей приложения из источника обновлений может потребоваться указать параметры прокси-сервера. Если источников обновлений несколько, параметры прокси-сервера применяются для всех источников. Если для некоторых источников обновлений прокси-сервер не нужен, вы можете выключить использование прокси-сервера в свойствах политики. Kaspersky Endpoint Security также будет использовать прокси-сервер для доступа к Kaspersky Security Network и серверам активации.

Чтобы настроить подключение к источникам обновлений через прокси-сервер, выполните следующие действия:

  1. В главном окне Web Console нажмите .

    Откроется окно свойств Сервера администрирования.

  2. Перейдите в раздел Параметры доступа к сети Интернет.
  3. Установите флажок Использовать прокси-сервер.
  4. Настройте параметры подключения к прокси-серверу: адрес прокси-сервера, порт и параметры аутентификации (имя пользователя и пароль).
  5. Сохраните внесенные изменения.

Чтобы выключить использование прокси-сервера для определенной группы администрирования, выполните следующие действия:

  1. В главном окне Web Console выберите УстройстваПолитики и профили политик.
  2. Нажмите на название политики Kaspersky Endpoint Security.

    Откроется окно свойств политики.

  3. Выберите закладку Параметры программы.
  4. Перейдите в раздел Общие настройкиНастройки сети.
  5. В блоке Настройки прокси-сервера выберите вариант Не использовать прокси-сервер для локальных адресов.
  6. Сохраните внесенные изменения.

Чтобы настроить параметры прокси-сервера в интерфейсе приложения, выполните следующие действия:

  1. В главном окне приложения нажмите на кнопку icon_settings.
  2. В окне параметров приложения выберите раздел Общие настройкиНастройки сети.
  3. В блоке Прокси-сервер перейдите по ссылке Настройка прокси-сервера.
  4. В открывшемся окне выберите один из следующих вариантов определения адреса прокси-сервера:
    • Автоматически определять настройки прокси-сервера.

      Этот вариант выбран по умолчанию. Kaspersky Endpoint Security использует параметры прокси-сервера заданные в параметрах операционной системы.

    • Использовать указанные настройки прокси-сервера.

      Если вы выбрали этот вариант, настройте параметры подключения к прокси-серверу: адрес прокси-сервера и порт.

  5. Если вы хотите включить использование аутентификации на прокси-сервере, установите флажок Использовать аутентификацию на прокси-сервере и укажите учетные данные пользователя.
  6. Если вы хотите выключить использование прокси-сервера при обновлении баз и модулей приложения из папки общего доступа, установите флажок Не использовать прокси-сервер для локальных адресов.
  7. Сохраните внесенные изменения.

В результате Kaspersky Endpoint Security будет использовать прокси-сервер для загрузки обновлений баз и модулей приложения. Также Kaspersky Endpoint Security использует прокси-сервер для доступа к серверам KSN и серверам активации "Лаборатории Касперского". Если требуется аутентификация на прокси-сервере, а учетные данные пользователя не указаны или указаны неверно, Kaspersky Endpoint Security запросит имя пользователя и пароль.

В начало

[Topic 34568]

Откат последнего обновления

После первого обновления баз и модулей приложения становится доступна функция отката к предыдущим базам и модулям приложения.

Каждый раз, когда пользователь запускает обновление, Kaspersky Endpoint Security создает резервную копию используемых баз и модулей приложения и только потом приступает к их обновлению. Это позволяет вернуться к использованию предыдущих баз и модулей приложения при необходимости. Возможность отката последнего обновления полезна, например, в том случае, если новая версия баз содержит некорректную сигнатуру, из-за которой Kaspersky Endpoint Security блокирует безопасное приложение.

Чтобы откатить последнее обновление, выполните следующие действия:

  1. В главном окне приложения перейдите в раздел Обновление.
  2. В плитке Откат к предыдущей версии баз нажмите на кнопку Откатить.

Kaspersky Endpoint Security запустит откат последнего обновления баз. Приложение покажет процесс отката, размер загруженных файлов и источник обновления. Вы можете остановить выполнение задачи в любое время кнопкой Остановить обновление.

Чтобы запустить или остановить задачу отката обновления при отображении упрощенного интерфейса приложения, выполните следующие действия:

  1. По правой клавише мыши откройте контекстное меню значка приложения, который расположен в области уведомлений панели задач.
  2. В контекстном меню в раскрывающемся списке Задачи выполните одно из следующих действий:
    • Выберите незапущенную задачу отката обновления, чтобы запустить ее.
    • Выберите запущенную задачу отката обновления, чтобы остановить ее.
    • Выберите остановленную задачу отката обновления, чтобы возобновить ее или запустить ее заново.

В начало

[Topic 128103]

Работа с активными угрозами

Kaspersky Endpoint Security фиксирует информацию о файлах, которые она по каким-либо причинам не обработала. Эта информация записывается в виде событий в список активных угроз (см. рис. ниже). Для работы с активными угрозами Kaspersky Endpoint Security использует технологию лечения активного заражения. Лечение активного заражения для рабочих станций и серверов отличается. Вы можете настроить лечение активного заражения в свойствах задачи Антивирусная проверка и в параметрах приложения.

loc_screen_kes11_show_active_threat

Список активных угроз

В этом разделе

Лечение активных угроз на рабочих станциях

Лечение активных угроз на серверах

Включение и выключение технологии лечения активного заражения

Обработка активных угроз
В начало

[Topic 224289]

Лечение активных угроз на рабочих станциях

Для работы с активными угрозами на рабочих станциях вам нужно включить технологию лечения активного заражения в параметрах приложения. Далее вам нужно настроить взаимодействие приложения с пользователем в свойствах задачи Антивирусная проверка. В свойствах задачи есть флажок Выполнять лечение активного заражения немедленно. Если флажок установлен, Kaspersky Endpoint Security выполнит лечение без уведомления пользователя. После лечения угроз компьютер будет перезагружен. Если флажок снят, Kaspersky Endpoint Security показывает уведомление об обнаружении активных угроз (см. рис. ниже). Закрыть уведомление, не обработав файл, невозможно.

Лечение активного заражения в ходе выполнения задачи поиска вирусов на компьютере осуществляется только в том случае, если в свойствах примененной к этому компьютеру политики включена функция лечения активного заражения.

loc_screen_KES11_ActiveThreats_Notification

Уведомление об активной угрозе

В начало

[Topic 224294]

Лечение активных угроз на серверах

Для работы с активными угрозами на серверах вам нужно выполнить следующие действия:

Если приложение Kaspersky Endpoint Security установлено на компьютере под управлением операционной системы Windows для серверов, Kaspersky Endpoint Security не показывает уведомление. Таким образом, пользователь не может выбрать действие для лечения активного заражения. Для устранения угрозы вам необходимо включить технологию лечения активного заражения в параметрах приложения и включить немедленное лечение активного заражения в свойствах задачи Антивирусная проверка. Далее вам нужно запустить задачу Антивирусная проверка.

В начало

[Topic 128147]

Включение и выключение технологии лечения активного заражения

Если Kaspersky Endpoint Security не может остановить выполнение вредоносного приложения, вы можете использовать технологию лечения активного заражения. По умолчанию технология лечения активного заражения выключена, так как технология использует значительные ресурсы компьютера. Таким образом, вы можете включать технологию лечения активного заражения только при работе с активными угрозами.

Работа технологии лечения активного заражения для рабочих станций и серверов отличается. Для работы технологии на серверах вам нужно включить немедленное лечение активного заражения в свойствах задачи Антивирусная проверка. Для работы технологии на рабочих станциях это условие не является обязательным.

Как включить или выключить технологию лечения активного заражения в Консоли администрирования (MMC)

  1. Откройте Консоль администрирования Kaspersky Security Center.
  2. В папке Управляемые устройства дерева Консоли администрирования откройте папку с названием группы администрирования, в состав которой входят нужные клиентские компьютеры.
  3. В рабочей области выберите закладку Политики.
  4. Выберите нужную политику и откройте свойства политики двойным щелчком мыши.
  5. В окне политики выберите Общие настройкиНастройки приложения.
  6. В блоке Режим работы используйте флажок Применять технологию лечения активного заражения, чтобы включить или выключить технологию лечения активного заражения.
  7. Сохраните внесенные изменения.

Как включить или выключить технологию лечения активного заражения в Web Console и Cloud Console

  1. В главном окне Web Console выберите УстройстваПолитики и профили политик.
  2. Нажмите на название политики Kaspersky Endpoint Security.

    Откроется окно свойств политики.

  3. Выберите закладку Параметры программы.
  4. Выберите раздел Общие настройкиНастройки приложения.
  5. В блоке Режим работы используйте флажок Применять технологию лечения активного заражения, чтобы включить или выключить технологию лечения активного заражения.
  6. Сохраните внесенные изменения.

Как включить или выключить технологию лечения активного заражения в интерфейсе приложения

  1. В главном окне приложения нажмите на кнопку icon_settings.
  2. В окне параметров приложения выберите раздел Общие настройкиНастройки приложения.
  3. В блоке Режим работы используйте флажок Применять технологию лечения активного заражения (использует значительные ресурсы компьютера), чтобы включить или выключить технологию лечения активного заражения.
  4. Сохраните внесенные изменения.

В результате при лечении активного заражения пользователю не будут доступны большинство функций операционной системы. После завершения лечения компьютер будет перезагружен.

В начало

[Topic 224297]

Обработка активных угроз

Зараженный файл считается обработанным, если Kaspersky Endpoint Security в процессе проверки компьютера на вирусы и другие приложения, представляющие угрозу, вылечил или удалил угрозу.

Kaspersky Endpoint Security помещает файл в список активных угроз, если в процессе проверки компьютера на вирусы и другие приложения, представляющие угрозу, Kaspersky Endpoint Security по каким-либо причинам не совершил действие с этим файлом согласно заданным настройкам приложения.

Такая ситуация возможна в следующих случаях:

  • Проверяемый файл недоступен (например, находится на сетевом диске или внешнем диске без прав на запись данных).
  • В настройках задачи Антивирусная проверка при обнаружении угрозы выбрано действие Информировать. Далее когда на экране отобразилось уведомление о зараженном файле, пользователь выбрал вариант Пропустить.

При наличии необработанных угроз Kaspersky Endpoint Security изменит значок на . В главном окне приложения появится сообщение об угрозе (см. рис ниже). В консоли Kaspersky Security Center статус компьютера будет изменен на Критический – .

Как обработать угрозу в Консоли администрирования (MMC)

  1. В Консоли администрирования перейдите в папку Сервер администрированияДополнительноХранилищаАктивные угрозы.

    Откроется список активных угроз.

  2. Выберите объект, который вы хотите устранить.
  3. Выберите способ устранения угрозы:
    • Лечить. Если выбран этот вариант действия, то приложение автоматически пытается вылечить все обнаруженные зараженные файлы. Если лечение невозможно, то приложение их удаляет.
    • Удалить.

Как обработать угрозу в Web Console и Cloud Console

  1. В главном окне Web Console выберите ОперацииХранилищаАктивные угрозы.

    Откроется список активных угроз.

  2. Выберите объект, который вы хотите устранить.
  3. Выберите способ устранения угрозы:
    • Лечить. Если выбран этот вариант действия, то приложение автоматически пытается вылечить все обнаруженные зараженные файлы. Если лечение невозможно, то приложение их удаляет.
    • Удалить.

Как обработать угрозу в интерфейсе приложения

  1. В главном окне приложения в разделе Мониторинг нажмите на плитку Безопасность под угрозой.

    Откроется список активных угроз.

  2. Выберите объект, который вы хотите устранить.
  3. Выберите способ устранения угрозы:
    • Устранить. Если выбран этот вариант действия, то приложение автоматически пытается вылечить все обнаруженные зараженные файлы. Если лечение невозможно, то приложение их удаляет.
    • Добавить в исключения. Если выбран этот вариант действия, то Kaspersky Endpoint Security предложит добавить файл в список исключений из проверки. Приложение автоматически настроит параметры исключения. Если добавление исключения недоступно, администратор запретил добавление исключений в параметрах политики.
    • Игнорировать. Если выбран этот вариант действия, то Kaspersky Endpoint Security удалит запись из списка активных угроз. Если в списке не осталось активных угроз, статус компьютера будет изменен на ОК. При повторном обнаружении объекта Kaspersky Endpoint Security снова добавит запись в список активных угроз.
    • Открыть папку с файлом. Если выбран этот вариант действия, то Kaspersky Endpoint Security откроет папку с объектом в файловом менеджере. Далее вы можете вручную удалить объект или переместить объект в папку, которая не входит в область защиты.
    • Узнать больше. Если выбран этот вариант действия, то Kaspersky Endpoint Security откроет сайт Вирусной энциклопедии "Лаборатории Касперского".

Главное окно приложения при обнаружении угрозы

В начало

[Topic 34233]

Защита от файловых угроз

Компонент Защита от файловых угроз позволяет избежать заражения файловой системы компьютера. По умолчанию компонент Защита от файловых угроз постоянно находится в оперативной памяти компьютера. Компонент проверяет файлы на всех дисках компьютера, а также на подключенных дисках. Компонент обеспечивает защиту компьютера с помощью антивирусных баз, облачной службы Kaspersky Security Network и эвристического анализа.

Компонент проверяет файлы, к которым обращается пользователь или приложение. При обнаружении вредоносного файла Kaspersky Endpoint Security блокирует операцию с файлом. Далее приложение лечит или удаляет вредоносный файл, в зависимости от настройки компонента Защита от файловых угроз.

При обращении к файлу, содержимое которого расположено в облачном хранилище OneDrive, Kaspersky Endpoint Security загружает и проверяет содержимое этого файла.

В этом разделе

Включение и выключение Защиты от файловых угроз

Автоматическая приостановка Защиты от файловых угроз

Изменение действия компонента Защита от файловых угроз над зараженными файлами

Формирование области защиты компонента Защита от файловых угроз

Использование методов проверки

Использование технологий проверки в работе компонента Защита от файловых угроз

Оптимизация проверки файлов

Проверка составных файлов

Изменение режима проверки файлов
В начало

[Topic 133730]

Включение и выключение Защиты от файловых угроз

По умолчанию компонент Защита от файловых угроз включен и работает в рекомендованном специалистами "Лаборатории Касперского" режиме. Для работы Защиты от файловых угроз приложение Kaspersky Endpoint Security применяет разные наборы настроек. Наборы настроек, сохраненные в приложении, называются уровнями безопасности: Высокий, Рекомендуемый, Низкий. Параметры уровня безопасности Рекомендуемый считаются оптимальными, они рекомендованы специалистами "Лаборатории Касперского" (см. таблицу ниже). Вы можете выбрать один из предустановленных уровней безопасности или настроить параметры уровня безопасности самостоятельно. После того как вы изменили параметры уровня безопасности, вы всегда можете вернуться к рекомендуемым параметрам уровня безопасности.

Чтобы включить или выключить компонент Защита от файловых угроз, выполните следующие действия:

  1. В главном окне приложения нажмите на кнопку icon_settings.
  2. В окне параметров приложения выберите раздел Базовая защитаЗащита от файловых угроз.
  3. Используйте переключатель Защита от файловых угроз, чтобы включить или выключить компонент.
  4. Если вы включили компонент, в блоке Уровень безопасности выполните одно из следующих действий:
    • Если вы хотите применить один из предустановленных уровней безопасности, выберите его при помощи ползунка:
      • Высокий. Уровень безопасности файлов, при котором компонент Защита от файловых угроз максимально контролирует все открываемые, сохраняемые и запускаемые файлы. Компонент Защита от файловых угроз проверяет все типы файлов на всех жестких, сменных и сетевых дисках компьютера, а также архивы, установочные пакеты и вложенные OLE-объекты.
      • Рекомендуемый. Уровень безопасности файлов, который рекомендован для использования специалистами "Лаборатории Касперского". Компонент Защита от файловых угроз проверяет только файлы определенных форматов на всех жестких, сменных и сетевых дисках компьютера, а также вложенные OLE-объекты, компонент Защита от файловых угроз не проверяет архивы и установочные пакеты. Значения параметров для рекомендуемого уровня безопасности см. в таблице ниже.
      • Низкий. Уровень безопасности файлов, параметры которого обеспечивают максимальную скорость проверки. Компонент Защита от файловых угроз проверяет только файлы с определенными расширениями на всех жестких, сменных и сетевых дисках компьютера, компонент Защита от файловых угроз не проверяет составные файлы.
    • Если вы хотите настроить уровень безопасности самостоятельно, нажмите на кнопку Расширенная настройка и задайте параметры работы компонента.

      Вы можете восстановить значения предустановленных уровней безопасности по кнопке Восстановить рекомендуемый уровень безопасности в верхней части окна.

  5. Сохраните внесенные изменения.

    Параметры Защиты от файловых угроз, рекомендованные специалистами "Лаборатории Касперского", (рекомендованный уровень безопасности)

    Параметр

    Значение

    Описание

    Типы файлов

    Файлы, проверяемые по формату

    Если выбран этот параметр, приложение проверяет только потенциально заражаемые файлы. Перед началом поиска вредоносного кода в файле выполняется анализ его внутреннего заголовка на предмет формата файла (например, TXT, DOC, EXE). В процессе проверки учитывается также расширение файла.

    Эвристический анализ

    Поверхностный

    Технология обнаружения угроз, которые невозможно определить с помощью текущей версии баз приложений "Лаборатории Касперского". Позволяет находить файлы, которые могут содержать неизвестный вирус или новую модификацию известного вируса.

    Во время проверки файлов на наличие вредоносного кода эвристический анализатор выполняет инструкции в исполняемых файлах. Количество инструкций, которые выполняет эвристический анализатор, зависит от заданного уровня эвристического анализа. Уровень эвристического анализа обеспечивает баланс между тщательностью поиска новых угроз, степенью загрузки ресурсов операционной системы и длительностью эвристического анализа.

    Проверять только новые и измененные файлы

    Вкл

    Проверка только новых файлов и тех файлов, которые изменились после предыдущей проверки. Это позволит сократить время выполнения проверки. Такой режим проверки распространяется как на простые, так и на составные файлы.

    Технология iSwift

    Вкл

    Технология, позволяющая увеличить скорость проверки за счет исключения из нее некоторых файлов. Файлы исключаются из проверки по специальному алгоритму, учитывающему дату выпуска баз Kaspersky Endpoint Security, дату предыдущей проверки файла, а также изменение параметров проверки. Технология iSwift является развитием технологии iChecker для файловой системы NTFS.

    Технология iChecker

    Вкл

    Технология, позволяющая увеличить скорость проверки за счет исключения из нее некоторых файлов. Файлы исключаются из проверки по специальному алгоритму, учитывающему дату выпуска баз приложения Kaspersky Endpoint Security, дату предыдущей проверки файла, а также изменение настроек проверки. Технология iChecker имеет ограничение: она не работает с файлами больших размеров, а кроме того, применима только к файлам с известной приложению структурой (например, к файлам формата EXE, DLL, LNK, TTF, INF, SYS, COM, CHM, ZIP, RAR).

    Проверять файлы офисных форматов

    Вкл

    Проверка файлов Microsoft Office (DOC, DOCX, XLS, PPT и других). К файлам офисных форматов также относятся OLE-объекты.

    Режим проверки

    Интеллектуальный

    Режим проверки, при котором Защита от файловых угроз проверяет объект на основании анализа операций, выполняемых над объектом. Например, при работе с документом Microsoft Office приложение Kaspersky Endpoint Security проверяет файл при первом открытии и при последнем закрытии. Все промежуточные операции перезаписи файла из проверки исключаются.

    Действие при обнаружении угрозы

    Лечить; удалять, если лечение невозможно

    Если выбран этот вариант действия, то приложение автоматически пытается вылечить все обнаруженные зараженные файлы. Если лечение невозможно, то приложение их удаляет.

В начало

[Topic 123514]

Автоматическая приостановка Защиты от файловых угроз

Вы можете настроить автоматическую приостановку Защиты от файловых угроз в указанное время или во время работы с определенными приложениями.

Приостановка работы Защиты от файловых угроз при конфликте с определенными приложениями является экстренной мерой. Если во время работы компонента возникают какие-либо конфликты, рекомендуется обратиться в Службу технической поддержки "Лаборатории Касперского". Специалисты помогут вам наладить совместную работу компонента Защита от файловых угроз с другими приложениями на вашем компьютере.

Чтобы настроить автоматическую приостановку работы Защиты от файловых угроз, выполните следующие действия:

  1. В главном окне приложения нажмите на кнопку icon_settings.
  2. В окне параметров приложения выберите раздел Базовая защитаЗащита от файловых угроз.
  3. Нажмите на кнопку Расширенная настройка.
  4. В блоке Приостановка Защиты от файловых угроз перейдите по ссылке Приостановить Защиту от файловых угроз.
  5. В открывшемся окне настройте параметры приостановки работы Защиты от файловых угроз:
    1. Настройте расписание автоматической приостановки Защиты от файловых угроз.
    2. Сформируйте список приложений, во время работы которых Защиту от файловых угроз следует приостанавливать.
  6. Сохраните внесенные изменения.

     

В начало

[Topic 128010]

Изменение действия компонента Защита от файловых угроз над зараженными файлами

По умолчанию компонент Защита от файловых угроз автоматически пытается вылечить все обнаруженные зараженные файлы. Если лечение невозможно, то компонент Защита от файловых угроз удаляет эти файлы.

Чтобы изменить действие компонента Защита от файловых угроз над зараженными файлами, выполните следующие действия:

  1. В главном окне приложения нажмите на кнопку icon_settings.
  2. В окне параметров приложения выберите раздел Базовая защитаЗащита от файловых угроз.
  3. В блоке Действие при обнаружении угрозы выберите нужный вариант:
    • Лечить; удалять, если лечение невозможно. Если выбран этот вариант действия, то приложение автоматически пытается вылечить все обнаруженные зараженные файлы. Если лечение невозможно, то приложение их удаляет.
    • Лечить; блокировать, если лечение невозможно. Если выбран этот вариант действия, то Kaspersky Endpoint Security автоматически пытается вылечить все обнаруженные зараженные файлы. Если лечение невозможно, то Kaspersky Endpoint Security добавляет информацию об обнаруженных зараженных файлах в список активных угроз.
    • Блокировать. Если выбран этот вариант действия, то компонент Защита от файловых угроз автоматически блокирует зараженные файлы без попытки их вылечить.

    Перед лечением или удалением зараженного файла приложение формирует его резервную копию на тот случай, если впоследствии понадобится восстановить файл или появится возможность его вылечить.

  4. Сохраните внесенные изменения.

     

В начало

[Topic 123504]

Формирование области защиты компонента Защита от файловых угроз

Под областью защиты подразумеваются объекты, которые проверяет компонент во время своей работы. Область защиты разных компонентов имеет разные свойства. Свойствами области защиты компонента Защита от файловых угроз являются местоположение и тип проверяемых файлов. По умолчанию компонент Защита от файловых угроз проверяет только потенциально заражаемые файлы, запускаемые со всех жестких, съемных и сетевых дисков компьютера.

Выбирая тип проверяемых файлов, нужно учитывать следующее:

  1. Вероятность внедрения вредоносного кода в файлы некоторых форматов и его последующей активации низка (например, формат TXT). В то же время существуют форматы файлов, которые содержат исполняемый код (например, форматы EXE, DLL). Также исполняемый код могут содержать форматы файлов, которые для этого не предназначены (например, формат DOC). Риск внедрения в такие файлы вредоносного кода и его активации высок.
  2. Злоумышленник может отправить вирус или другое приложение, представляющее угрозу, на ваш компьютер в исполняемом файле, переименованном в файл с расширением txt. Если вы выбрали проверку файлов по расширению, то в процессе проверки приложение пропускает такой файл. Если же выбрана проверка файлов по формату, то вне зависимости от расширения Kaspersky Endpoint Security анализирует заголовок файла. Если в результате выясняется, что файл имеет формат исполняемого файла (например, EXE), то приложение проверяет его.

Чтобы сформировать область защиты, выполните следующие действия:

  1. В главном окне приложения нажмите на кнопку icon_settings.
  2. В окне параметров приложения выберите раздел Базовая защитаЗащита от файловых угроз.
  3. Нажмите на кнопку Расширенная настройка.
  4. В блоке Типы файлов укажите тип файлов, которые вы хотите проверять компонентом Защита от файловых угроз:
    • Все файлы. Если выбран этот параметр, Kaspersky Endpoint Security проверяет все файлы без исключения (любых форматов и расширений).
    • Файлы, проверяемые по формату. Если выбран этот параметр, приложение проверяет только потенциально заражаемые файлы. Перед началом поиска вредоносного кода в файле выполняется анализ его внутреннего заголовка на предмет формата файла (например, TXT, DOC, EXE). В процессе проверки учитывается также расширение файла.
    • Файлы, проверяемые по расширению. Если выбран этот параметр, приложение проверяет только потенциально заражаемые файлы. Формат файла определяется на основании его расширения.
  5. Перейдите по ссылке Изменить область защиты.
  6. В открывшемся окне выберите объекты, которые вы хотите добавить в область защиты или исключить из нее.

    Вы не можете удалить или изменить объекты, включенные в область защиты по умолчанию.

  7. Если вы хотите добавить новый объект в область защиты, выполните следующие действия:
    1. Нажмите на кнопку Добавить.

      Откроется дерево папок.

    2. Выберите объект для добавления в область защиты.

    Вы можете исключить объект из проверки, не удаляя его из списка объектов области проверки. Для этого снимите флажок рядом с ним.

  8. Сохраните внесенные изменения.

     

В начало

[Topic 133732]

Использование методов проверки

Во время своей работы Kaspersky Endpoint Security использует метод проверки Машинное обучение и сигнатурный анализ. В процессе сигнатурного анализа Kaspersky Endpoint Security сравнивает найденный объект с записями в базах приложения. В соответствии с рекомендациями специалистов "Лаборатории Касперского" метод проверки Машинное обучение и сигнатурный анализ всегда включен.

Чтобы повысить эффективность защиты, вы можете использовать эвристический анализ. Во время проверки файлов на наличие вредоносного кода эвристический анализатор выполняет инструкции в исполняемых файлах. Количество инструкций, которые выполняет эвристический анализатор, зависит от заданного уровня эвристического анализа. Уровень эвристического анализа обеспечивает баланс между тщательностью поиска новых угроз, степенью загрузки ресурсов операционной системы и длительностью эвристического анализа.

Чтобы настроить использование эвристического анализа в работе компонента Защита от файловых угроз, выполните следующие действия:

  1. В главном окне приложения нажмите на кнопку icon_settings.
  2. В окне параметров приложения выберите раздел Базовая защитаЗащита от файловых угроз.
  3. Нажмите на кнопку Расширенная настройка.
  4. В блоке Методы проверки установите флажок Эвристический анализ, если вы хотите, чтобы приложение использовало эвристический анализ для защиты от файловых угроз. Далее при помощи ползунка задайте уровень эвристического анализа: Поверхностный, Средний или Глубокий.
  5. Сохраните внесенные изменения.

     

В начало

[Topic 133733]

Использование технологий проверки в работе компонента Защита от файловых угроз

Чтобы настроить использование технологий проверки в работе компонента Защита от файловых угроз, выполните следующие действия:

  1. В главном окне приложения нажмите на кнопку icon_settings.
  2. В окне параметров приложения выберите раздел Базовая защитаЗащита от файловых угроз.
  3. Нажмите на кнопку Расширенная настройка.
  4. В блоке Технологии проверки установите флажки около названий технологий, которые вы хотите использовать для защиты от файловых угроз:
    • Технология iSwift. Технология, позволяющая увеличить скорость проверки за счет исключения из нее некоторых файлов. Файлы исключаются из проверки по специальному алгоритму, учитывающему дату выпуска баз Kaspersky Endpoint Security, дату предыдущей проверки файла, а также изменение параметров проверки. Технология iSwift является развитием технологии iChecker для файловой системы NTFS.
    • Технология iChecker. Технология, позволяющая увеличить скорость проверки за счет исключения из нее некоторых файлов. Файлы исключаются из проверки по специальному алгоритму, учитывающему дату выпуска баз приложения Kaspersky Endpoint Security, дату предыдущей проверки файла, а также изменение настроек проверки. Технология iChecker имеет ограничение: она не работает с файлами больших размеров, а кроме того, применима только к файлам с известной приложению структурой (например, к файлам формата EXE, DLL, LNK, TTF, INF, SYS, COM, CHM, ZIP, RAR).
  5. Сохраните внесенные изменения.
В начало

[Topic 133734]

Оптимизация проверки файлов

Вы можете оптимизировать проверку файлов компонентом Защита от файловых угроз: сократить время проверки и увеличить скорость работы Kaspersky Endpoint Security. Этого можно достичь, если проверять только новые файлы и те файлы, которые изменились с момента их предыдущего анализа. Такой режим проверки распространяется как на простые, так и на составные файлы.

Вы также можете включить использование технологий iChecker и iSwift, которые позволяют оптимизировать скорость проверки файлов за счет исключения из проверки файлов, не измененных с момента их последней проверки.

Чтобы оптимизировать проверку файлов, выполните следующие действия:

  1. В главном окне приложения нажмите на кнопку icon_settings.
  2. В окне параметров приложения выберите раздел Базовая защитаЗащита от файловых угроз.
  3. Нажмите на кнопку Расширенная настройка.
  4. В блоке Оптимизация проверки установите флажок Проверять только новые и измененные файлы.
  5. Сохраните внесенные изменения.

     

В начало

[Topic 128011]

Проверка составных файлов

Распространенной практикой сокрытия вирусов и других приложений, представляющих угрозу, является внедрение их в составные файлы, например, архивы или базы данных. Чтобы обнаружить скрытые таким образом вирусы и другие приложения, представляющие угрозу, составной файл нужно распаковать, что может привести к снижению скорости проверки. Вы можете ограничить типы проверяемых составных файлов, таким образом увеличив скорость проверки.

Способ обработки зараженного составного файла (лечение или удаление) зависит от типа файла.

Компонент Защита от файловых угроз лечит составные файлы форматов ZIP, GZIP, BZIP, RAR, TAR, ARJ, CAB, LHA, JAR, ICE и удаляет файлы всех остальных форматов (кроме почтовых баз).

Чтобы настроить проверку составных файлов, выполните следующие действия:

  1. В главном окне приложения нажмите на кнопку icon_settings.
  2. В окне параметров приложения выберите раздел Базовая защитаЗащита от файловых угроз.
  3. Нажмите на кнопку Расширенная настройка.
  4. В блоке Проверка составных файлов укажите, какие составные файлы вы хотите проверять: архивы, установочные пакеты или файлы офисных форматов.
  5. Если режим проверки только новых и измененных файлов выключен, настройте параметры проверки каждого типа составных файлов: проверка всех файлов этого типа или только новых файлов.

    Если режим проверки только новых и измененных файлов включен, Kaspersky Endpoint Security проверяет только новые и измененные файлы всех типов составных файлов.

  6. Настройте дополнительные параметры проверки составных файлов:
    • Не распаковывать составные файлы большого размера.

      Если флажок установлен, то Kaspersky Endpoint Security не проверяет составные файлы, размеры которых больше заданного значения.

      Если флажок снят, Kaspersky Endpoint Security проверяет составные файлы любого размера.

      Kaspersky Endpoint Security проверяет файлы больших размеров, извлеченные из архивов, независимо от того, установлен ли флажок Не распаковывать составные файлы большого размера.

    • Распаковывать составные файлы в фоновом режиме.

      Если флажок установлен, Kaspersky Endpoint Security предоставляет доступ к составным файлам, размер которых превышает заданное значение, до проверки этих файлов. При этом Kaspersky Endpoint Security в фоновом режиме распаковывает и проверяет составные файлы.

      Kaspersky Endpoint Security предоставляет доступ к составным файлам, размер которых меньше данного значения, только после распаковки и проверки этих файлов.

      Если флажок снят, Kaspersky Endpoint Security предоставляет доступ к составным файлам только после распаковки и проверки файлов любого размера.

  7. Сохраните внесенные изменения.
В начало

[Topic 133735]

Изменение режима проверки файлов

Под режимом проверки подразумевается условие, при котором компонент Защита от файловых угроз начинает проверять файлы. По умолчанию Kaspersky Endpoint Security использует интеллектуальный режим проверки файлов. Работая в этом режиме проверки файлов, компонент Защита от файловых угроз принимает решение о проверке файлов на основании анализа операций, которые пользователь, приложение от имени пользователя (под учетными данными которого был осуществлен вход в операционную систему или другого пользователя) или операционная система выполняет над файлами. Например, работая с документом Microsoft Office Word, Kaspersky Endpoint Security проверяет файл при первом открытии и при последнем закрытии. Все промежуточные операции перезаписи файла из проверки исключаются.

Чтобы изменить режим проверки файлов, выполните следующие действия:

  1. В главном окне приложения нажмите на кнопку icon_settings.
  2. В окне параметров приложения выберите раздел Базовая защитаЗащита от файловых угроз.
  3. Нажмите на кнопку Расширенная настройка.
  4. В блоке Режим проверки выберите нужный режим:
    • Интеллектуальный. Режим проверки, при котором Защита от файловых угроз проверяет объект на основании анализа операций, выполняемых над объектом. Например, при работе с документом Microsoft Office приложение Kaspersky Endpoint Security проверяет файл при первом открытии и при последнем закрытии. Все промежуточные операции перезаписи файла из проверки исключаются.
    • При доступе и изменении. Режим проверки, при котором Защита от файловых угроз проверяет объекты при попытке их открыть или изменить.
    • При доступе. Режим проверки, при котором Защита от файловых угроз проверяет объекты только при попытке их открыть.
    • При выполнении. Режим проверки, при котором Защита от файловых угроз проверяет объекты только при попытке их запустить.
  5. Сохраните внесенные изменения.
В начало

[Topic 34322]

Защита от веб-угроз

Компонент Защита от веб-угроз предотвращает загрузку вредоносных файлов из интернета, а также блокирует вредоносные и фишинговые веб-сайты. Компонент обеспечивает защиту компьютера с помощью антивирусных баз, облачной службы Kaspersky Security Network и эвристического анализа.

Kaspersky Endpoint Security проверяет HTTP-, HTTPS- и FTP-трафик. Kaspersky Endpoint Security проверяет URL- и IP-адреса. Вы можете задать порты, которые Kaspersky Endpoint Security будет контролировать, или выбрать все порты.

Для контроля HTTPS-трафика нужно включить проверку защищенных соединений.

При попытке пользователя открыть вредоносный или фишинговый веб-сайт, Kaspersky Endpoint Security заблокирует доступ и покажет предупреждение (см. рис. ниже).

Сообщение о запрете доступа к веб-сайту

В этом разделе

Включение и выключение Защиты от веб-угроз

Настройка методов обнаружения вредоносных веб-адресов

Анти-Фишинг

Формирование списка доверенных веб-адресов

Экспорт и импорт списка доверенных веб-адресов
В начало

[Topic 128209]

Включение и выключение Защиты от веб-угроз

По умолчанию компонент Защита от веб-угроз включен и работает в рекомендованном специалистами "Лаборатории Касперского" режиме. Для работы Защиты от веб-угроз приложение применяет разные наборы настроек. Наборы настроек, сохраненные в приложении, называются уровнями безопасности: Высокий, Рекомендуемый, Низкий. Параметры уровня безопасности веб-трафика Рекомендуемый считаются оптимальными, они рекомендованы специалистами "Лаборатории Касперского" (см. таблицу ниже). Вы можете выбрать один из предустановленных уровней безопасности веб-трафика, получаемых или передаваемых по протоколам HTTP и FTP, или настроить уровень безопасности веб-трафика самостоятельно. После того как вы изменили параметры уровня безопасности веб-трафика, вы всегда можете вернуться к рекомендуемым параметрам уровня безопасности веб-трафика.

Вы можете выбрать или настроить уровень безопасности только в Консоли администрирования (MMC) или в локальном интерфейсе приложения. Выбрать или настроить уровень безопасности в Web Console или Cloud Console невозможно.

Как включить или выключить компонент Защита от веб-угроз в Консоли администрирования (MMC)

  1. Откройте Консоль администрирования Kaspersky Security Center.
  2. В папке Управляемые устройства дерева Консоли администрирования откройте папку с названием группы администрирования, в состав которой входят нужные клиентские компьютеры.
  3. В рабочей области выберите закладку Политики.
  4. Выберите нужную политику и откройте свойства политики двойным щелчком мыши.
  5. В окне политики выберите Базовая защитаЗащита от веб-угроз.
  6. Используйте флажок Защита от веб-угроз, чтобы включить или выключить компонент.
  7. Если вы включили компонент, в блоке Уровень безопасности выполните одно из следующих действий:
    • Если вы хотите применить один из предустановленных уровней безопасности, выберите его при помощи ползунка:
      • Высокий. Уровень безопасности веб-трафика, при котором компонент Защита от веб-угроз максимально проверяет веб-трафик, поступающий на компьютер по HTTP- и FTP-протоколам. Защита от веб-угроз детально проверяет все объекты веб-трафика, используя полный набор баз приложения, а также выполняет максимально глубокий 
        эвристический анализ
        .
      • Рекомендуемый. Уровень безопасности веб-трафика, обеспечивающий оптимальный баланс между производительностью приложения Kaspersky Endpoint Security и безопасностью веб-трафика. Компонент Защита от веб-угроз выполняет эвристический анализ на среднем уровне. Этот уровень безопасности веб-трафика рекомендован для использования специалистами "Лаборатории Касперского". Значения параметров для рекомендуемого уровня безопасности см. в таблице ниже.
      • Низкий. Уровень безопасности веб-трафика, параметры которого обеспечивают максимальную скорость проверки веб-трафика. Компонент Защита от веб-угроз выполняет эвристический анализ на поверхностном уровне.

      Если вы хотите настроить уровень безопасности самостоятельно, нажмите на кнопку Настройка и задайте параметры работы компонента.

      Вы можете восстановить значения предустановленных уровней безопасности по кнопке По умолчанию в блоке Уровень безопасности.

  8. В блоке Действие при обнаружении угрозы выберите вариант действия, которое Kaspersky Endpoint Security выполняет над вредоносными объектами веб-трафика:
    • Запрещать загрузку. Если выбран этот вариант, то в случае обнаружения в веб-трафике зараженного объекта компонент Защита от веб-угроз блокирует доступ к объекту и показывает сообщение в браузере.
    • Информировать. Если выбран этот вариант, то в случае обнаружения в веб-трафике зараженного объекта Kaspersky Endpoint Security разрешает загрузку этого объекта на компьютер и добавляет информацию о зараженном объекте в список активных угроз.
  9. Сохраните внесенные изменения.

Как включить или выключить компонент Защита от веб-угроз в Web Console и Cloud Console

  1. В главном окне Web Console выберите УстройстваПолитики и профили политик.
  2. Нажмите на название политики Kaspersky Endpoint Security.

    Откроется окно свойств политики.

  3. Выберите закладку Параметры программы.
  4. Перейдите в раздел Базовая защитаЗащита от веб-угроз.
  5. Используйте переключатель Защита от веб-угроз, чтобы включить или выключить компонент.
  6. В блоке Действие при обнаружении угрозы выберите вариант действия, которое Kaspersky Endpoint Security выполняет над вредоносными объектами веб-трафика:
    • Запрещать загрузку. Если выбран этот вариант, то в случае обнаружения в веб-трафике зараженного объекта компонент Защита от веб-угроз блокирует доступ к объекту и показывает сообщение в браузере.
    • Информировать. Если выбран этот вариант, то в случае обнаружения в веб-трафике зараженного объекта Kaspersky Endpoint Security разрешает загрузку этого объекта на компьютер и добавляет информацию о зараженном объекте в список активных угроз.
  7. Сохраните внесенные изменения.

Как включить или выключить компонент Защита от веб-угроз в интерфейсе приложения

  1. В главном окне приложения нажмите на кнопку icon_settings.
  2. В окне параметров приложения выберите раздел Базовая защитаЗащита от веб-угроз.
  3. Используйте переключатель Защита от веб-угроз, чтобы включить или выключить компонент.
  4. Если вы включили компонент, в блоке Уровень безопасности выполните одно из следующих действий:
    • Если вы хотите применить один из предустановленных уровней безопасности, выберите его при помощи ползунка:
      • Высокий. Уровень безопасности веб-трафика, при котором компонент Защита от веб-угроз максимально проверяет веб-трафик, поступающий на компьютер по HTTP- и FTP-протоколам. Защита от веб-угроз детально проверяет все объекты веб-трафика, используя полный набор баз приложения, а также выполняет максимально глубокий эвристический анализ.
      • Рекомендуемый. Уровень безопасности веб-трафика, обеспечивающий оптимальный баланс между производительностью приложения Kaspersky Endpoint Security и безопасностью веб-трафика. Компонент Защита от веб-угроз выполняет эвристический анализ на среднем уровне. Этот уровень безопасности веб-трафика рекомендован для использования специалистами "Лаборатории Касперского". Значения параметров для рекомендуемого уровня безопасности см. в таблице ниже.
      • Низкий. Уровень безопасности веб-трафика, параметры которого обеспечивают максимальную скорость проверки веб-трафика. Компонент Защита от веб-угроз выполняет эвристический анализ на поверхностном уровне.
    • Если вы хотите настроить уровень безопасности самостоятельно, нажмите на кнопку Расширенная настройка и задайте параметры работы компонента.

      Вы можете восстановить значения предустановленных уровней безопасности по кнопке Восстановить рекомендуемый уровень безопасности в верхней части окна.

  5. В блоке Действие при обнаружении угрозы выберите вариант действия, которое Kaspersky Endpoint Security выполняет над вредоносными объектами веб-трафика:
    • Запрещать загрузку. Если выбран этот вариант, то в случае обнаружения в веб-трафике зараженного объекта компонент Защита от веб-угроз блокирует доступ к объекту и показывает сообщение в браузере.
    • Информировать. Если выбран этот вариант, то в случае обнаружения в веб-трафике зараженного объекта Kaspersky Endpoint Security разрешает загрузку этого объекта на компьютер и добавляет информацию о зараженном объекте в список активных угроз.
  6. Сохраните внесенные изменения.

Параметры Защиты от веб-угроз, рекомендованные специалистами "Лаборатории Касперского", (рекомендованный уровень безопасности)

Параметр

Значение

Описание

Проверять веб-адрес по базе вредоносных веб-адресов

Вкл

Проверка ссылок на принадлежность к базе вредоносных веб-адресов позволяет отследить веб-сайты, которые находятся в списке запрещенных веб-адресов. База вредоносных веб-адресов формируется специалистами "Лаборатории Касперского", входит в комплект поставки приложения и пополняется при обновлении баз приложения Kaspersky Endpoint Security.

Проверять веб-адрес по базе фишинговых веб-адресов

Вкл

В состав базы фишинговых веб-адресов включены веб-адреса известных на настоящее время веб-сайтов, которые используются для фишинг-атак. Базу фишинговых веб-адресов специалисты "Лаборатории Касперского" пополняют веб-адресами, предоставленными международной организацией по борьбе с фишингом The Anti-Phishing Working Group. База фишинговых веб-адресов входит в комплект поставки приложения и пополняется при обновлении баз приложения Kaspersky Endpoint Security.

Использовать эвристический анализ (Защита от веб-угроз)

Средний

Технология обнаружения угроз, которые невозможно определить с помощью текущей версии баз приложений "Лаборатории Касперского". Позволяет находить файлы, которые могут содержать неизвестный вирус или новую модификацию известного вируса.

Во время проверки веб-трафика на наличие вирусов и других приложений, представляющих угрозу, эвристический анализатор выполняет инструкции в исполняемых файлах. Количество инструкций, которые выполняет эвристический анализатор, зависит от заданного уровня эвристического анализа. Уровень эвристического анализа обеспечивает баланс между тщательностью поиска новых угроз, степенью загрузки ресурсов операционной системы и длительностью эвристического анализа.

Использовать эвристический анализ (Анти-Фишинг)

Вкл

Технология обнаружения угроз, которые невозможно определить с помощью текущей версии баз приложений "Лаборатории Касперского". Позволяет находить файлы, которые могут содержать неизвестный вирус или новую модификацию известного вируса.

Действие при обнаружении угрозы

Запрещать загрузку

Если выбран этот вариант, то в случае обнаружения в веб-трафике зараженного объекта компонент Защита от веб-угроз блокирует доступ к объекту и показывает сообщение в браузере.

 

В начало

[Topic 128019]

Настройка методов обнаружения вредоносных веб-адресов

Защита от веб-угроз обнаруживает вредоносные веб-адреса с помощью антивирусных баз, облачной службы Kaspersky Security Network и эвристического анализа.

Вы можете выбрать методы обнаружения вредоносных веб-адресов только в Консоли администрирования (MMC) или в локальном интерфейсе приложения. Выбрать методы обнаружения вредоносных веб-адресов в Web Console или Cloud Console невозможно. По умолчанию проверка по базе вредоносных веб-адресов с использованием эвристического анализа (средний уровень) включена.

Проверка по базе вредоносных адресов

Проверка ссылок на принадлежность к базе вредоносных веб-адресов позволяет отследить веб-сайты, которые находятся в списке запрещенных веб-адресов. База вредоносных веб-адресов формируется специалистами "Лаборатории Касперского", входит в комплект поставки приложения и пополняется при обновлении баз приложения Kaspersky Endpoint Security.

Kaspersky Endpoint Security проверяет все ссылки по базам вредоносных веб-адресов. Параметры проверки защищенных соединений приложения не влияют на проверку ссылок. То есть, если проверка защищенных соединений выключена, Kaspersky Endpoint Security проверяет ссылки по базам вредоносных веб-адресов, даже если сетевой трафик передается по защищенному соединению.

Как включить или выключить проверку по базе вредоносных адресов в Консоли администрирования (MMC)

  1. Откройте Консоль администрирования Kaspersky Security Center.
  2. В папке Управляемые устройства дерева Консоли администрирования откройте папку с названием группы администрирования, в состав которой входят нужные клиентские компьютеры.
  3. В рабочей области выберите закладку Политики.
  4. Выберите нужную политику и откройте свойства политики двойным щелчком мыши.
  5. В окне политики выберите Базовая защитаЗащита от веб-угроз.
  6. В блоке Уровень безопасности нажмите на кнопку Настройка.
  7. В открывшемся окне в блоке Методы проверки используйте флажок Проверять веб-адрес по базе вредоносных веб-адресов, чтобы включить или выключить проверку по базе вредоносных адресов.
  8. Сохраните внесенные изменения.

Как включить или выключить проверку по базе вредоносных адресов в интерфейсе приложения

  1. В главном окне приложения нажмите на кнопку icon_settings.
  2. В окне параметров приложения выберите раздел Базовая защитаЗащита от веб-угроз.
  3. Нажмите на кнопку Расширенная настройка.
  4. В блоке Методы проверки используйте флажок Проверять веб-адрес по базе вредоносных веб-адресов, чтобы включить или выключить проверку по базе вредоносных адресов.
  5. Сохраните внесенные изменения.

Эвристический анализ

В процессе эвристического анализа Kaspersky Endpoint Security анализирует активность, которую приложения производят в операционной системе. Эвристический анализ позволяет обнаруживать угрозы, записей о которых еще нет в базах Kaspersky Endpoint Security.

Во время проверки веб-трафика на наличие вирусов и других приложений, представляющих угрозу, эвристический анализатор выполняет инструкции в исполняемых файлах. Количество инструкций, которые выполняет эвристический анализатор, зависит от заданного уровня эвристического анализа. Уровень эвристического анализа обеспечивает баланс между тщательностью поиска новых угроз, степенью загрузки ресурсов операционной системы и длительностью эвристического анализа.

Как включить или выключить использование эвристического анализа в Консоли администрирования (MMC)

  1. Откройте Консоль администрирования Kaspersky Security Center.
  2. В папке Управляемые устройства дерева Консоли администрирования откройте папку с названием группы администрирования, в состав которой входят нужные клиентские компьютеры.
  3. В рабочей области выберите закладку Политики.
  4. Выберите нужную политику и откройте свойства политики двойным щелчком мыши.
  5. В окне политики выберите Базовая защитаЗащита от веб-угроз.
  6. В блоке Уровень безопасности нажмите на кнопку Настройка.
  7. В открывшемся окне в блоке Методы проверки установите флажок Использовать эвристический анализ, если вы хотите, чтобы приложение использовало эвристический анализ при проверке веб-трафика на наличие вирусов и других приложений, представляющих угрозу.
  8. При помощи ползунка задайте уровень эвристического анализа: Поверхностный, Средний или Глубокий.

    Во время проверки веб-трафика на наличие вирусов и других приложений, представляющих угрозу эвристический анализатор выполняет инструкции в исполняемых файлах. Количество инструкций, которые выполняет эвристический анализатор, зависит от заданного уровня эвристического анализа. Уровень эвристического анализа обеспечивает баланс между тщательностью поиска новых угроз, степенью загрузки ресурсов операционной системы и длительностью эвристического анализа.

  9. Сохраните внесенные изменения.

Как включить или выключить использование эвристического анализа в интерфейсе приложения

  1. В главном окне приложения нажмите на кнопку icon_settings.
  2. В окне параметров приложения выберите раздел Базовая защитаЗащита от веб-угроз.
  3. Нажмите на кнопку Расширенная настройка.
  4. В блоке Методы проверки установите флажок Использовать эвристический анализ, если вы хотите, чтобы приложение использовало эвристический анализ при проверке веб-трафика на наличие вирусов и других приложений, представляющих угрозу.

    Во время проверки веб-трафика на наличие вирусов и других приложений, представляющих угрозу эвристический анализатор выполняет инструкции в исполняемых файлах. Количество инструкций, которые выполняет эвристический анализатор, зависит от заданного уровня эвристического анализа. Уровень эвристического анализа обеспечивает баланс между тщательностью поиска новых угроз, степенью загрузки ресурсов операционной системы и длительностью эвристического анализа.

  5. Сохраните внесенные изменения.

 

В начало

[Topic 128018]

Анти-Фишинг

Защита от веб-угроз проверяет ссылки на принадлежность к фишинговым веб-адресам. Это позволяет избежать фишинговых атак. Частным примером фишинговых атак может служить сообщение электронной почты якобы от банка, клиентом которого вы являетесь, со ссылкой на официальный веб-сайт банка в интернете. Воспользовавшись ссылкой, вы попадаете на точную копию веб-сайта банка и даже можете видеть его веб-адрес в браузере, однако находитесь на фиктивном веб-сайте. Все ваши дальнейшие действия на веб-сайте отслеживаются и могут быть использованы для кражи ваших денежных средств.

Поскольку ссылка на фишинговый веб-сайт может содержаться не только в сообщении электронной почты, но и, например, в сообщении мессенджера, компонент Защита от веб-угроз отслеживает попытки перейти на фишинговый веб-сайт на уровне проверки веб-трафика и блокирует доступ к таким веб-сайтам. Списки фишинговых веб-адресов включены в комплект поставки Kaspersky Endpoint Security.

Вы можете настроить функцию Анти-Фишинг только в Консоли администрирования (MMC) или в локальном интерфейсе приложения. Настроить функцию Анти-Фишинг в Web Console или Cloud Console невозможно. По умолчанию функция Анти-Фишинг с использованием эвристического анализа включена.

Как включить или выключить функцию Анти-Фишинг в Консоли администрирования (MMC)

  1. Откройте Консоль администрирования Kaspersky Security Center.
  2. В папке Управляемые устройства дерева Консоли администрирования откройте папку с названием группы администрирования, в состав которой входят нужные клиентские компьютеры.
  3. В рабочей области выберите закладку Политики.
  4. Выберите нужную политику и откройте свойства политики двойным щелчком мыши.
  5. В окне политики выберите Базовая защитаЗащита от веб-угроз.
  6. В блоке Уровень безопасности нажмите на кнопку Настройка.
  7. В открывшемся окне в блоке Настройки Анти-Фишинга используйте флажок Проверять веб-адрес по базе фишинговых веб-адресов, чтобы включить или выключить функцию Анти-Фишинг.

    В состав базы фишинговых веб-адресов включены веб-адреса известных на настоящее время веб-сайтов, которые используются для фишинг-атак. Базу фишинговых веб-адресов специалисты "Лаборатории Касперского" пополняют веб-адресами, предоставленными международной организацией по борьбе с фишингом The Anti-Phishing Working Group. База фишинговых веб-адресов входит в комплект поставки приложения и пополняется при обновлении баз приложения Kaspersky Endpoint Security.

  8. Установите флажок Использовать эвристический анализ, если вы хотите, чтобы приложение использовало эвристический анализ при проверке веб-страниц на наличие фишинговых ссылок.

    В процессе эвристического анализа Kaspersky Endpoint Security анализирует активность, которую приложения производят в операционной системе. Эвристический анализ позволяет обнаруживать угрозы, записей о которых еще нет в базах Kaspersky Endpoint Security.

    Для проверки ссылок кроме антивирусных баз и эвристического анализа вы также можете использовать репутационные базы Kaspersky Security Network.

  9. Сохраните внесенные изменения.

Как включить или выключить функцию Анти-Фишинг в интерфейсе приложения

  1. В главном окне приложения нажмите на кнопку icon_settings.
  2. В окне параметров приложения выберите раздел Базовая защитаЗащита от веб-угроз.
  3. Нажмите на кнопку Расширенная настройка.
  4. В блоке Анти-Фишинг установите флажок Проверять веб-адрес по базе фишинговых веб-адресов, если вы хотите, чтобы компонент Защита от веб-угроз проверял ссылки по базам фишинговых веб-адресов. В состав базы фишинговых веб-адресов включены веб-адреса известных на настоящее время веб-сайтов, которые используются для фишинг-атак. Базу фишинговых веб-адресов специалисты "Лаборатории Касперского" пополняют веб-адресами, предоставленными международной организацией по борьбе с фишингом The Anti-Phishing Working Group. База фишинговых веб-адресов входит в комплект поставки приложения и пополняется при обновлении баз приложения Kaspersky Endpoint Security.
  5. Установите флажок Использовать эвристический анализ, если вы хотите, чтобы приложение использовало эвристический анализ при проверке веб-страниц на наличие фишинговых ссылок.

    В процессе эвристического анализа Kaspersky Endpoint Security анализирует активность, которую приложения производят в операционной системе. Эвристический анализ позволяет обнаруживать угрозы, записей о которых еще нет в базах Kaspersky Endpoint Security.

    Для проверки ссылок кроме антивирусных баз и эвристического анализа вы также можете использовать репутационные базы Kaspersky Security Network.

  6. Сохраните внесенные изменения.
В начало

[Topic 128021]

Формирование списка доверенных веб-адресов

Защита от веб-угроз, кроме вредоносных и фишинговых веб-сайтов, может заблокировать и другие веб-сайты. Например, Защита от веб-угроз блокирует HTTP-трафик, который не соответствует стандартам RFC. Вы можете сформировать список веб-адресов, содержанию которых вы доверяете. Компонент Защита от веб-угроз не анализирует информацию, поступающую с доверенных веб-адресов, на присутствие вирусов и других приложений, представляющих угрозу. Такая возможность может быть использована, например, в том случае, если компонент Защита от веб-угроз препятствует загрузке файла с известного вам веб-сайта.

Под веб-адресом подразумевается адрес как отдельной веб-страницы, так и веб-сайта.

Как добавить доверенный веб-адрес в Консоли администрирования (MMC)

  1. Откройте Консоль администрирования Kaspersky Security Center.
  2. В папке Управляемые устройства дерева Консоли администрирования откройте папку с названием группы администрирования, в состав которой входят нужные клиентские компьютеры.
  3. В рабочей области выберите закладку Политики.
  4. Выберите нужную политику и откройте свойства политики двойным щелчком мыши.
  5. В окне политики выберите Базовая защитаЗащита от веб-угроз.
  6. В блоке Уровень безопасности нажмите на кнопку Настройка.
  7. В открывшемся окне перейдите на закладку Доверенные веб-адреса.
  8. Установите флажок Не проверять веб-трафик с доверенных веб-адресов.

    Если флажок установлен, компонент Защита от веб-угроз не проверяет содержимое веб-страниц / веб-сайтов, адреса которых включены в список доверенных веб-адресов. Вы можете добавить в список доверенных веб-адресов как конкретный адрес веб-страницы / веб-сайта, так и маску адреса веб-страницы / веб-сайта.

  9. Сформируйте список адресов веб-сайтов / веб-страниц, содержимому которых вы доверяете.

    Kaspersky Endpoint Security поддерживает символы * и ? для ввода маски.

    Вы также можете импортировать список доверенных веб-адресов из XML-файла.

  10. Сохраните внесенные изменения.

Как добавить доверенный веб-адрес в Web Console и Cloud Console

  1. В главном окне Web Console выберите УстройстваПолитики и профили политик.
  2. Нажмите на название политики Kaspersky Endpoint Security.

    Откроется окно свойств политики.

  3. Выберите закладку Параметры программы.
  4. Перейдите в раздел Базовая защитаЗащита от веб-угроз.
  5. В блоке Доверенные веб-адреса установите флажок Не проверять веб-трафик с доверенных веб-адресов.

    Если флажок установлен, компонент Защита от веб-угроз не проверяет содержимое веб-страниц / веб-сайтов, адреса которых включены в список доверенных веб-адресов. Вы можете добавить в список доверенных веб-адресов как конкретный адрес веб-страницы / веб-сайта, так и маску адреса веб-страницы / веб-сайта.

  6. Сформируйте список адресов веб-сайтов / веб-страниц, содержимому которых вы доверяете.

    Kaspersky Endpoint Security поддерживает символы * и ? для ввода маски.

    Вы также можете импортировать список доверенных веб-адресов из XML-файла.

  7. Сохраните внесенные изменения.

Как добавить доверенный веб-адрес в интерфейсе приложения

  1. В главном окне приложения нажмите на кнопку icon_settings.
  2. В окне параметров приложения выберите раздел Базовая защитаЗащита от веб-угроз.
  3. Нажмите на кнопку Расширенная настройка.
  4. Установите флажок Не проверять веб-трафик с доверенных веб-адресов .

    Если флажок установлен, компонент Защита от веб-угроз не проверяет содержимое веб-страниц / веб-сайтов, адреса которых включены в список доверенных веб-адресов. Вы можете добавить в список доверенных веб-адресов как конкретный адрес веб-страницы / веб-сайта, так и маску адреса веб-страницы / веб-сайта.

  5. Сформируйте список адресов веб-сайтов / веб-страниц, содержимому которых вы доверяете.

    Kaspersky Endpoint Security поддерживает символы * и ? для ввода маски.

    Вы также можете импортировать список доверенных веб-адресов из XML-файла.

  6. Сохраните внесенные изменения.

В результате Защита от веб-угроз не будет проверять трафик доверенных веб-адресов. Пользователь всегда может открыть доверенный веб-сайт и загрузить файл с веб-сайта. Если получить доступ к веб-сайту не удалось, проверьте параметры компонентов Проверка защищенных соединений, Веб-Контроль и Контроль сетевых портов. Если Kaspersky Endpoint Security определяет загруженный с доверенного веб-сайта файл как вредоносный, вам нужно добавить этот файл в исключения.

Вы также можете сформировать общий список исключений защищенных соединений. В этом случае Kaspersky Endpoint Security не будет проверять HTTPS-трафик доверенных веб-адресов при работе компонентов Защита от веб-угроз, Защита от почтовых угроз, Веб-Контроль.

В начало

[Topic 202082]

Экспорт и импорт списка доверенных веб-адресов

Вы можете экспортировать список доверенных веб-адресов в файл в формате XML. Далее вы можете вносить изменения в файл, чтобы, например, добавить большое количество однотипных веб-адресов. Также вы можете использовать функцию экспорта / импорта для резервного копирования списка доверенных веб-адресов или для миграции списка на другой сервер.

Как экспортировать / импортировать список доверенных веб-адресов в Консоли администрирования (MMC)

  1. Откройте Консоль администрирования Kaspersky Security Center.
  2. В папке Управляемые устройства дерева Консоли администрирования откройте папку с названием группы администрирования, в состав которой входят нужные клиентские компьютеры.
  3. В рабочей области выберите закладку Политики.
  4. Выберите нужную политику и откройте свойства политики двойным щелчком мыши.
  5. В окне политики выберите Базовая защитаЗащита от веб-угроз.
  6. В блоке Уровень безопасности нажмите на кнопку Настройка.
  7. В открывшемся окне выберите закладку Доверенные веб-адреса.
  8. Для экспорта списка доверенных веб-адресов выполните следующие действия:
    1. Выберите доверенные веб-адреса, которые вы хотите экспортировать. Чтобы выбрать несколько записей, используйте клавиши CTRL или SHIFT.

      Если вы не выбрали ни одного доверенного веб-адреса, Kaspersky Endpoint Security экспортирует все веб-адреса.

    2. Нажмите на ссылку Экспорт.
    3. В открывшемся окне введите имя файла формата XML, в который вы хотите экспортировать список доверенных веб-адресов, а также выберите папку, в которой вы хотите сохранить этот файл.
    4. Сохраните файл.

      Kaspersky Endpoint Security экспортирует список доверенных веб-адресов в XML-файл.

  9. Для импорта списка доверенных адресов выполните следующие действия:
    1. Нажмите на ссылку Импорт.

      В открывшемся окне выберите XML-файл, из которого вы хотите импортировать список доверенных адресов.

    2. Откройте файл.

      Если на компьютере уже есть список доверенных адресов, Kaspersky Endpoint Security предложит удалить действующий список или добавить в него новые записи из XML-файла.

  10. Сохраните внесенные изменения.

Как экспортировать / импортировать список доверенных веб-адресов в Web Console и Cloud Console

  1. В главном окне Web Console выберите УстройстваПолитики и профили политик.
  2. Нажмите на название политики Kaspersky Endpoint Security.

    Откроется окно свойств политики.

  3. Выберите закладку Параметры программы.
  4. Перейдите в раздел Базовая защитаЗащита от веб-угроз.
  5. Для экспорта списка исключений в блоке Доверенные веб-адреса выполните следующие действия:
    1. Выберите доверенные веб-адреса, которые вы хотите экспортировать.
    2. Нажмите на ссылку Экспорт.
    3. В открывшемся окне введите имя файла формата XML, в который вы хотите экспортировать список доверенных веб-адресов, а также выберите папку, в которой вы хотите сохранить этот файл.
    4. Сохраните файл.

      Kaspersky Endpoint Security экспортирует список доверенных веб-адресов в XML-файл.

  6. Для импорта списка исключений в блоке Доверенные веб-адреса выполните следующие действия:
    1. Нажмите на ссылку Импорт.

      В открывшемся окне выберите XML-файл, из которого вы хотите импортировать список доверенных адресов.

    2. Откройте файл.

      Если на компьютере уже есть список доверенных адресов, Kaspersky Endpoint Security предложит удалить действующий список или добавить в него новые записи из XML-файла.

  7. Сохраните внесенные изменения.
В начало

[Topic 34268]

Защита от почтовых угроз

Компонент Защита от почтовых угроз проверяет вложения входящих и исходящих сообщений электронной почты на наличие в них вирусов и других приложений, представляющих угрозу. Компонент обеспечивает защиту компьютера с помощью антивирусных баз, облачной службы Kaspersky Security Network и эвристического анализа.

Защита от почтовых угроз может проверять и получаемые, и отправляемые сообщения. Приложение поддерживает протоколы POP3, SMTP, IMAP, NNTP в следующих почтовых клиентах:

  • Microsoft Office Outlook;
  • Mozilla Thunderbird;
  • Microsoft Outlook Express;
  • Windows Mail.

Другие протоколы и почтовые клиенты Защита от почтовых угроз не поддерживает.

Защита от почтовых угроз не всегда может получить доступ к сообщениям на уровне протокола (например, при использовании решения Microsoft Exchange). Поэтому дополнительно в состав Защиты от почтовых угроз включено расширение для Microsoft Office Outllook. Расширение позволяет проверять сообщения на уровне почтового клиента. Расширение компонента Защита от почтовых угроз поддерживает работу с Outlook 2010, 2013, 2016, 2019.

Компонент Защита от почтовых угроз не проверяет сообщения, если почтовый клиент открыт в браузере.

При обнаружении вредоносного файла во вложении Kaspersky Endpoint Security добавляет информацию о выполненном действии в тему сообщения, например, [Сообщение было обработано] <тема сообщения>.

В этом разделе

Включение и выключение Защиты от почтовых угроз

Изменение действия над зараженными сообщениями электронной почты

Формирование области защиты компонента Защита от почтовых угроз

Проверка составных файлов, вложенных в сообщения электронной почты

Фильтрация вложений в сообщениях электронной почты

Экспорт и импорт списка расширений для фильтра вложений

Проверка почты в Microsoft Office Outlook
В начало

[Topic 128208]

Включение и выключение Защиты от почтовых угроз

По умолчанию компонент Защита от почтовых угроз включен и работает в рекомендованном специалистами "Лаборатории Касперского" режиме. Для работы Защиты от почтовых угроз приложение Kaspersky Endpoint Security применяет разные наборы настроек. Наборы настроек, сохраненные в приложении, называются уровнями безопасности: Высокий, Рекомендуемый, Низкий. Параметры уровня безопасности почты Рекомендуемый считаются оптимальными, они рекомендованы специалистами "Лаборатории Касперского" (см. таблицу ниже). Вы можете выбрать один из предустановленных уровней безопасности почты или настроить уровень безопасности почты самостоятельно. После того как вы изменили параметры уровня безопасности почты, вы всегда можете вернуться к рекомендуемым параметрам уровня безопасности почты.

Чтобы включить или выключить компонент Защита от почтовых угроз выполните следующие действия:

  1. В главном окне приложения нажмите на кнопку icon_settings.
  2. В окне параметров приложения выберите раздел Базовая защитаЗащита от почтовых угроз.
  3. Используйте переключатель Защита от почтовых угроз, чтобы включить или выключить компонент.
  4. Если вы включили компонент, в блоке Уровень безопасности выполните одно из следующих действий:
    • Если вы хотите применить один из предустановленных уровней безопасности, выберите его при помощи ползунка:
      • Высокий. Уровень безопасности почты, при котором компонент Защита от почтовых угроз максимально контролирует сообщения. Компонент Защита от почтовых угроз проверяет входящие и исходящие сообщения электронной почты, а также выполняет глубокий эвристический анализ. Высокий уровень безопасности почты рекомендуется применять для работы в опасной среде. Примером опасной среды может служить подключение к одному из бесплатных почтовых сервисов из домашней сети, не обеспечивающей централизованной защиты почты.
      • Рекомендуемый. Уровень безопасности почты, обеспечивающий оптимальный баланс между производительностью приложения Kaspersky Endpoint Security и безопасностью почты. Компонент Защита от почтовых угроз проверяет входящие и исходящие сообщения электронной почты, а также выполняет эвристический анализ среднего уровня. Этот уровень безопасности почты рекомендован для использования специалистами "Лаборатории Касперского". Значения параметров для рекомендуемого уровня безопасности см. в таблице ниже.
      • Низкий. Уровень безопасности почты, при котором компонент Защита от почтовых угроз проверяет только входящие сообщения электронной почты, а также выполняет поверхностный эвристический анализ и не проверяет архивы, вложенные в сообщения. Если используется этот уровень безопасности почты, компонент Защита от почтовых угроз проверяет сообщения электронной почты максимально быстро и затрачивает минимум ресурсов операционной системы. Низкий уровень безопасности почты рекомендуется применять для работы в хорошо защищенной среде. Примером такой среды может служить локальная сеть организации с централизованным обеспечением безопасности почты.
    • Если вы хотите настроить уровень безопасности самостоятельно, нажмите на кнопку Расширенная настройка и задайте параметры работы компонента.

      Вы можете восстановить значения предустановленных уровней безопасности по кнопке Восстановить рекомендуемый уровень безопасности в верхней части окна.

  5. Сохраните внесенные изменения.

    Параметры Защиты от почтовых угроз, рекомендованные специалистами "Лаборатории Касперского", (рекомендованный уровень безопасности)

    Параметр

    Значение

    Описание

    Область защиты

    Входящие и исходящие сообщения

    Область защиты – это объекты, которые проверяет компонент во время своей работы: входящие и исходящие сообщения или только входящие сообщения.

    Для защиты компьютеров достаточно проверять только входящие сообщения. Вы можете включить проверку исходящих сообщений для предотвращения отправки зараженных файлов в архивах. Вы также можете включить проверку исходящих сообщений, если вы хотите запретить обмен файлами определенных форматов, например, аудио или видео.

    Подключить расширение для Microsoft Outlook

    Вкл

    Если флажок установлен, включена проверка сообщений электронной почты, передающихся по протоколам POP3, SMTP, NNTP, IMAP на стороне расширения, интегрированного в Microsoft Outlook.

    В случае проверки почты с помощью расширения для Microsoft Outlook рекомендуется использовать режим кеширования Exchange (Cached Exchange Mode). Более подробную информацию о режиме кеширования Exchange и рекомендации по его использованию вы можете найти в базе знаний Microsoft.

    Проверять вложенные архивы

    Вкл

    Проверка архивов ZIP, GZIP, BZIP, RAR, TAR, ARJ, CAB, LHA, JAR, ICE и других архивов. Приложение проверяет архивы не только по расширению, но и по формату.

    Проверять вложенные файлы форматов Microsoft Office

    Вкл

    Проверка файлов Microsoft Office (DOC, DOCX, XLS, PPT и других). К файлам офисных форматов также относятся OLE-объекты.

    Фильтр вложений

    Переименовывать вложения указанных типов

    Если выбран этот вариант, компонент Защита от почтовых угроз заменяет последний символ расширения вложенных файлов указанных типов на символ подчеркивания (например, attachment.doc_). Таким образом, чтобы открыть файл, пользователю нужно переименовать файл.

    Эвристический анализ

    Средний

    Технология обнаружения угроз, которые невозможно определить с помощью текущей версии баз приложений "Лаборатории Касперского". Позволяет находить файлы, которые могут содержать неизвестный вирус или новую модификацию известного вируса.

    Во время проверки файлов на наличие вредоносного кода эвристический анализатор выполняет инструкции в исполняемых файлах. Количество инструкций, которые выполняет эвристический анализатор, зависит от заданного уровня эвристического анализа. Уровень эвристического анализа обеспечивает баланс между тщательностью поиска новых угроз, степенью загрузки ресурсов операционной системы и длительностью эвристического анализа.

    Действие при обнаружении угрозы

    Лечить; удалять, если лечение невозможно

    При обнаружении зараженного объекта во входящем или исходящем сообщении приложение Kaspersky Endpoint Security пытается вылечить обнаруженный объект. Пользователю будет доступно сообщение с безопасным вложением. Если вылечить объект не удалось, приложение Kaspersky Endpoint Security удаляет зараженный объект. Приложение Kaspersky Endpoint Security добавит информацию о выполненном действии в тему сообщения, например, [Сообщение было обработано] <тема сообщения>.

 

В начало

[Topic 129850]

Изменение действия над зараженными сообщениями электронной почты

По умолчанию компонент Защита от почтовых угроз автоматически пытается вылечить все обнаруженные зараженные сообщения электронной почты. Если лечение невозможно, то компонент Защита от почтовых угроз удаляет зараженные сообщения электронной почты.

Чтобы изменить действие над зараженными сообщениями электронной почты, выполните следующие действия:

  1. В главном окне приложения нажмите на кнопку icon_settings.
  2. В окне параметров приложения выберите раздел Базовая защитаЗащита от почтовых угроз.
  3. В блоке Действие при обнаружении угрозы выберите вариант действия, которое выполняет Kaspersky Endpoint Security при обнаружении зараженного сообщения:
    • Лечить; удалять, если лечение невозможно. При обнаружении зараженного объекта во входящем или исходящем сообщении приложение Kaspersky Endpoint Security пытается вылечить обнаруженный объект. Пользователю будет доступно сообщение с безопасным вложением. Если вылечить объект не удалось, приложение Kaspersky Endpoint Security удаляет зараженный объект. Приложение Kaspersky Endpoint Security добавит информацию о выполненном действии в тему сообщения, например, [Сообщение было обработано] <тема сообщения>.
    • Лечить; блокировать, если лечение невозможно. При обнаружении зараженного объекта во входящем сообщении приложение Kaspersky Endpoint Security пытается вылечить обнаруженный объект. Пользователю будет доступно сообщение с безопасным вложением. Если вылечить объект не удалось, приложение Kaspersky Endpoint Security добавит предупреждение к теме сообщения. Пользователю будет доступно сообщение с исходным вложением. При обнаружении зараженного объекта в исходящем сообщении приложение Kaspersky Endpoint Security пытается вылечить обнаруженный объект. Если вылечить объект не удалось, приложение Kaspersky Endpoint Security блокирует отправку сообщения, почтовый клиент показывает ошибку.
    • Блокировать. При обнаружении зараженного объекта во входящем сообщении приложение Kaspersky Endpoint Security добавит предупреждение к теме сообщения. Пользователю будет доступно сообщение с исходным вложением. При обнаружении зараженного объекта в исходящем сообщении приложение Kaspersky Endpoint Security блокирует отправку сообщения, почтовый клиент показывает ошибку.
  4. Сохраните внесенные изменения.

     

В начало

[Topic 128357]

Формирование области защиты компонента Защита от почтовых угроз

Область защиты – это объекты, которые проверяет компонент во время своей работы. Область защиты разных компонентов имеет разные свойства. Свойствами области защиты компонента Защита от почтовых угроз являются параметры интеграции компонента Защита от почтовых угроз в почтовые клиенты, тип сообщений электронной почты и почтовые протоколы, трафик которых проверяет компонент Защита от почтовых угроз. По умолчанию Kaspersky Endpoint Security проверяет как входящие, так и исходящие сообщения электронной почты, трафик почтовых протоколов POP3, SMTP, NNTP и IMAP, а также интегрируется в почтовый клиент Microsoft Office Outlook.

Чтобы сформировать область защиты компонента Защита от почтовых угроз, выполните следующие действия:

  1. В главном окне приложения нажмите на кнопку icon_settings.
  2. В окне параметров приложения выберите раздел Базовая защитаЗащита от почтовых угроз.
  3. Нажмите на кнопку Расширенная настройка.
  4. В блоке Область защиты выберите сообщения для проверки:
    • Входящие и исходящие сообщения.
    • Только входящие сообщения.

    Для защиты компьютеров достаточно проверять только входящие сообщения. Вы можете включить проверку исходящих сообщений для предотвращения отправки зараженных файлов в архивах. Вы также можете включить проверку исходящих сообщений, если вы хотите запретить обмен файлами определенных форматов, например, аудио или видео.

    Если вы выбираете проверку только входящих сообщений, рекомендуется однократно проверить все исходящие сообщения, поскольку существует вероятность того, что на вашем компьютере есть почтовые черви, которые используют электронную почту в качестве канала распространения. Это позволит избежать проблем, связанных с неконтролируемой рассылкой зараженных сообщений с вашего компьютера.

  5. В блоке Встраивание в операционную систему выполните следующие действия:
    • Установите флажок Проверять трафик POP3, SMTP, NNTP, IMAP, если вы хотите, чтобы компонент Защита от почтовых угроз проверял сообщения, передающиеся по протоколам POP3, SMTP, NNTP и IMAP, до их получения на компьютере пользователя.

      Снимите флажок Проверять трафик POP3, SMTP, NNTP, IMAP, если вы хотите, чтобы компонент Защита от почтовых угроз не проверял сообщения, передающиеся по протоколам POP3, SMTP, NNTP и IMAP, до их получения на компьютере пользователя. В этом случае сообщения проверяет расширение компонента Защита от почтовых угроз, встроенное в почтовый клиент Microsoft Office Outlook, после их получения на компьютере пользователя, если установлен флажок Подключить расширение для Microsoft Outlook.

      Если вы используете почтовый клиент, отличный от Microsoft Office Outlook, то при снятом флажке Проверять трафик POP3, SMTP, NNTP, IMAP компонент Защита от почтовых угроз не проверяет сообщения, передающиеся по почтовым протоколам POP3, SMTP, NNTP и IMAP.

    • Установите флажок Подключить расширение для Microsoft Outlook, если вы хотите открыть доступ к настройке параметров компонента Защита от почтовых угроз из приложения Microsoft Office Outlook и включить проверку сообщений, передающихся по протоколам POP3, SMTP, NNTP, IMAP и MAPI, после их получения на компьютере пользователя с помощью расширения, интегрированного в приложение Microsoft Office Outlook.

      Снимите флажок Подключить расширение для Microsoft Outlook, если вы хотите закрыть доступ к настройке параметров компонента Защита от почтовых угроз из приложения Microsoft Office Outlook и выключить проверку сообщений, передающихся по протоколам POP3, SMTP, NNTP, IMAP и MAPI, после их получения на компьютере пользователя с помощью расширения, интегрированного в приложение Microsoft Office Outlook.

      Расширение компонента Защита от почтовых угроз встраивается в почтовый клиент Microsoft Office Outlook во время установки Kaspersky Endpoint Security.

  6. Сохраните внесенные изменения.
В начало

[Topic 128886]

Проверка составных файлов, вложенных в сообщения электронной почты

Вы можете включить или выключить проверку объектов, вложенных в сообщения, ограничить максимальный размер проверяемых объектов, вложенных в сообщения, и максимальную длительность проверки объектов, вложенных в сообщения.

Чтобы настроить проверку составных файлов, вложенных в сообщения электронной почты, выполните следующие действия:

  1. В главном окне приложения нажмите на кнопку icon_settings.
  2. В окне параметров приложения выберите раздел Базовая защитаЗащита от почтовых угроз.
  3. Нажмите на кнопку Расширенная настройка.
  4. В блоке Проверка составных файлов настройте параметры проверки:
    • Проверять вложенные файлы форматов Microsoft Office. Проверка файлов Microsoft Office (DOC, DOCX, XLS, PPT и других). К файлам офисных форматов также относятся OLE-объекты.
    • Проверять вложенные архивы. Проверка архивов ZIP, GZIP, BZIP, RAR, TAR, ARJ, CAB, LHA, JAR, ICE и других архивов. Приложение проверяет архивы не только по расширению, но и по формату.

      • Если во время проверки приложение Kaspersky Endpoint Security обнаружило в тексте сообщения пароль к архиву, пароль будет использован для проверки содержания этого архива на наличие вредоносных приложений. Пароль при этом не сохраняется. При проверке архива выполняется его распаковка. Если во время распаковки архива произошел сбой в работе приложения, вы можете вручную удалить файлы, которые при распаковке сохраняются по следующему пути: %systemroot%\temp. Файлы имеют префикс PR.

    • Не проверять архивы размером более N MБ. Если флажок установлен, компонент Защита от почтовых угроз исключает из проверки вложенные в сообщения электронной почты архивы, размер которых больше заданного. Если флажок снят, компонент Защита от почтовых угроз проверяет архивы любого размера, вложенные в сообщения электронной почты.
    • Ограничить время проверки архива до N сек. Если флажок установлен, то время проверки архивов, вложенных в сообщения электронной почты, ограничено указанным периодом.
  5. Сохраните внесенные изменения.

     

В начало

[Topic 128353]

Фильтрация вложений в сообщениях электронной почты

Функциональность фильтрации вложений не применяется для исходящих сообщений электронной почты.

Вредоносные приложения могут распространяться в виде вложений в сообщениях электронной почты. Вы можете настроить фильтрацию по типу вложений в сообщениях, чтобы автоматически переименовывать или удалять файлы указанных типов. Переименовав вложение определенного типа, Kaspersky Endpoint Security может защитить ваш компьютер от автоматического запуска вредоносного приложения.

Чтобы настроить фильтрацию вложений, выполните следующие действия:

  1. В главном окне приложения нажмите на кнопку icon_settings.
  2. В окне параметров приложения выберите раздел Базовая защитаЗащита от почтовых угроз.
  3. Нажмите на кнопку Расширенная настройка.
  4. В блоке Фильтр вложений выполните одно из следующих действий:
    • Не применять фильтр. Если выбран этот вариант, компонент Защита от почтовых угроз не фильтрует файлы, вложенные в сообщения электронной почты.
    • Переименовывать вложения указанных типов. Если выбран этот вариант, компонент Защита от почтовых угроз заменяет последний символ расширения вложенных файлов указанных типов на символ подчеркивания (например, attachment.doc_). Таким образом, чтобы открыть файл, пользователю нужно переименовать файл.
    • Удалять вложения указанных типов. Если выбран этот вариант, компонент Защита от почтовых угроз удаляет из сообщений электронной почты вложенные файлы указанных типов.
  5. Если на предыдущем шаге инструкции вы выбрали вариант Переименовывать вложения указанных типов или вариант Удалять вложения указанных типов, установите флажки напротив нужных типов файлов.
  6. Сохраните внесенные изменения.

     

В начало

[Topic 202315]

Экспорт и импорт списка расширений для фильтра вложений

Вы можете экспортировать список расширений для работы фильтра вложений в файл в формате XML. Вы можете использовать функцию экспорта / импорта для резервного копирования списка расширений или для миграции списка на другой сервер.

Как экспортировать / импортировать список расширений для работы фильтра вложений в Консоли администрирования (MMC)

  1. Откройте Консоль администрирования Kaspersky Security Center.
  2. В папке Управляемые устройства дерева Консоли администрирования откройте папку с названием группы администрирования, в состав которой входят нужные клиентские компьютеры.
  3. В рабочей области выберите закладку Политики.
  4. Выберите нужную политику и откройте свойства политики двойным щелчком мыши.
  5. В окне политики выберите Базовая защитаЗащита от почтовых угроз.
  6. В блоке Уровень безопасности нажмите на кнопку Настройка.
  7. В открывшемся окне выберите закладку Фильтр вложений.
  8. Для экспорта списка расширений выполните следующие действия:
    1. Выберите расширения, которые вы хотите экспортировать. Чтобы выбрать несколько записей, используйте клавиши CTRL или SHIFT.
    2. Нажмите на ссылку Экспорт.
    3. В открывшемся окне введите имя файла формата XML, в который вы хотите экспортировать список расширений, а также выберите папку, в которой вы хотите сохранить этот файл.
    4. Сохраните файл.

      Kaspersky Endpoint Security экспортирует список расширений в XML-файл.

  9. Для импорта списка расширений выполните следующие действия:
    1. Нажмите на ссылку Импорт.
    2. В открывшемся окне выберите XML-файл, из которого вы хотите импортировать список расширений.
    3. Откройте файл.

      Если на компьютере уже есть список расширений, Kaspersky Endpoint Security предложит удалить действующий список или добавить в него новые записи из XML-файла.

  10. Сохраните внесенные изменения.

Как экспортировать / импортировать список расширений для работы фильтра вложений в Web Console и Cloud Console

  1. В главном окне Web Console выберите УстройстваПолитики и профили политик.
  2. Нажмите на название политики Kaspersky Endpoint Security.

    Откроется окно свойств политики.

  3. Выберите закладку Параметры программы.
  4. Перейдите в раздел Базовая защитаЗащита от почтовых угроз.
  5. Для экспорта списка расширений в блоке Фильтр вложений выполните следующие действия:
    1. Выберите расширения, которые вы хотите экспортировать.
    2. Нажмите на ссылку Экспорт.
    3. В открывшемся окне введите имя файла формата XML, в который вы хотите экспортировать список расширений, а также выберите папку, в которой вы хотите сохранить этот файл.
    4. Сохраните файл.

      Kaspersky Endpoint Security экспортирует список расширений в XML-файл.

  6. Для импорта списка расширений в блоке Фильтр вложений выполните следующие действия:
    1. Нажмите на ссылку Импорт.
    2. В открывшемся окне выберите XML-файл, из которого вы хотите импортировать список расширений.
    3. Откройте файл.

      Если на компьютере уже есть список расширений, Kaspersky Endpoint Security предложит удалить действующий список или добавить в него новые записи из XML-файла.

  7. Сохраните внесенные изменения.
В начало

[Topic 128015]

Проверка почты в Microsoft Office Outlook

Во время установки Kaspersky Endpoint Security в приложение Microsoft Office Outlook (далее также "Outlook") встраивается расширение компонента Защита от почтовых угроз. Оно позволяет перейти к настройке параметров компонента Защита от почтовых угроз из приложения Outlook, а также указать, в какой момент проверять сообщения электронной почты на присутствие вирусов и других приложений, представляющих угрозу. Расширение компонента Защита от почтовых угроз для Outlook может проверять входящие и исходящие сообщения, переданные по протоколам POP3, SMTP, NNTP, IMAP и MAPI. Также Kaspersky Endpoint Security поддерживает работу с другими почтовыми клиентами (в том числе с Microsoft Outlook Express, Windows Mail и Mozilla Thunderbird).

Расширение компонента Защита от почтовых угроз поддерживает работу с Outlook 2010, 2013, 2016, 2019.

Работая с почтовым клиентом Mozilla Thunderbird, компонент Защита от почтовых угроз не проверяет на вирусы и другие приложения, представляющие угрозу, сообщения, передаваемые по протоколу IMAP, в случае если используются фильтры, перемещающие сообщения из папки входящих сообщений.

В приложении Outlook входящие сообщения сначала проверяет компонент Защита от почтовых угроз (если в интерфейсе приложения Kaspersky Endpoint Security включена проверка трафика POP3 / SMTP / NNTP / IMAP), затем входящие сообщения проверяет расширение компонента Защита от почтовых угроз для Outlook. Если компонент Защита от почтовых угроз обнаруживает в сообщении вредоносный объект, он уведомляет вас об этом.

Настройка параметров компонента Защита от почтовых угроз из приложения Outlook доступна в том случае, если в интерфейсе приложения Kaspersky Endpoint Security подключено расширение для Microsoft Outlook.

Исходящие сообщения сначала проверяет расширение компонента Защита от почтовых угроз для Outlook, а затем проверяет компонент Защита от почтовых угроз.

В случае проверки почты с помощью расширения компонента Защита от почтовых угроз для Outlook рекомендуется использовать режим кеширования сервера Exchange (Use Cached Exchange Mode). Более подробную информацию о режиме кеширования Exchange и рекомендации по его использованию вы можете найти в базе знаний Microsoft.

Чтобы настроить режим работы расширения компонента Защита от почтовых угроз для Outlook с помощью Kaspersky Security Center, выполните следующие действия:

  1. Откройте Консоль администрирования Kaspersky Security Center.
  2. В папке Управляемые устройства дерева Консоли администрирования откройте папку с названием группы администрирования, в состав которой входят нужные клиентские компьютеры.
  3. В рабочей области выберите закладку Политики.
  4. Выберите нужную политику и откройте свойства политики двойным щелчком мыши.
  5. В окне политики выберите Базовая защитаЗащита от почтовых угроз.
  6. В блоке Уровень безопасности нажмите на кнопку Настройка.
  7. В открывшемся окне в блоке Встраивание в систему нажмите на кнопку Настройка.
  8. В окне Защита почты выполните следующие действия:
    • Установите флажок Проверять при получении, если вы хотите, чтобы расширение компонента Защита от почтовых угроз для Outlook проверяло входящие сообщения в момент их поступления в почтовый ящик.
    • Установите флажок Проверять при прочтении, если вы хотите, чтобы расширение компонента Защита от почтовых угроз для Outlook проверяло входящие сообщения в тот момент, когда пользователь открывает их для чтения.
    • Установите флажок Проверять при отправке, если вы хотите, чтобы расширение компонента Защита от почтовых угроз для Outlook проверяло исходящие сообщения в момент их отправки.
  9. Сохраните внесенные изменения.
В начало

[Topic 34430]

Защита от сетевых угроз

Компонент Защита от сетевых угроз (англ. IDS – Intrusion Detection System) отслеживает во входящем сетевом трафике активность, характерную для сетевых атак. Обнаружив попытку сетевой атаки на компьютер пользователя, приложение Kaspersky Endpoint Security блокирует сетевое соединение с атакующим компьютером. Описания известных в настоящее время видов сетевых атак и методов борьбы с ними содержатся в базах приложения Kaspersky Endpoint Security. Список сетевых атак, которые обнаруживает компонент Защита от сетевых угроз, пополняется в процессе обновления баз и модулей приложения.

В этом разделе

Включение и выключение Защиты от сетевых угроз

Блокирование атакующего компьютера

Настройка адресов исключений из блокирования

Экспорт и импорт списка исключений из блокирования

Настройка защиты от сетевых атак по типам
В начало

[Topic 128211]

Включение и выключение Защиты от сетевых угроз

По умолчанию Защита от сетевых угроз включена и работает в оптимальном режиме. При необходимости вы можете выключить Защиту от сетевых угроз.

Чтобы включить или выключить Защиту от сетевых угроз, выполните следующие действия:

  1. В главном окне приложения нажмите на кнопку icon_settings.
  2. В окне параметров приложения выберите раздел Базовая защитаЗащита от сетевых угроз.
  3. Используйте переключатель Защита от сетевых угроз, чтобы включить или выключить компонент.
  4. Сохраните внесенные изменения.

В результате, если Защита от сетевых угроз включена, Kaspersky Endpoint Security отслеживает во входящем сетевом трафике активность, характерную для сетевых атак. Обнаружив попытку сетевой атаки на компьютер пользователя, Kaspersky Endpoint Security блокирует сетевое соединение с атакующим компьютером.

В начало

[Topic 133746]

Блокирование атакующего компьютера

Чтобы заблокировать атакующий компьютер, выполните следующие действия:

  1. В главном окне приложения нажмите на кнопку icon_settings.
  2. В окне параметров приложения выберите раздел Базовая защитаЗащита от сетевых угроз.
  3. Установите флажок Добавлять атакующий компьютер в список блокирования на N мин.

    Если переключатель включен, компонент Защита от сетевых угроз добавляет атакующий компьютер в список блокирования. Это означает, что компонент Защита от сетевых угроз блокирует сетевое соединение с атакующим компьютером после первой попытки сетевой атаки в течение заданного времени, чтобы автоматически защитить компьютер пользователя от возможных будущих сетевых атак с этого адреса. Минимальное время, на которое атакующий компьютер можно добавить в список блокирования, составляет одну минуту. Максимальное – 32768 минут.

    Вы можете посмотреть список блокирования в окне инструмента Мониторинг сети.

    Kaspersky Endpoint Security очищает список блокирования при перезапуске приложения и при изменении параметров Защиты от сетевых угроз.

  4. Измените время блокирования атакующего компьютера в поле, расположенном справа от флажка Добавлять атакующий компьютер в список блокирования на N мин.
  5. Сохраните внесенные изменения.

В результате Kaspersky Endpoint Security, обнаружив попытку сетевой атаки на компьютер пользователя, блокирует все соединения с атакующим компьютером.

В начало

[Topic 130879]

Настройка адресов исключений из блокирования

Kaspersky Endpoint Security может распознать сетевую атаку и заблокировать безопасное сетевое соединение, по которому передается большое количество пакетов (например, от камер наблюдения). Для работы с доверенными устройствами вы можете добавить IP-адреса этих устройств в список исключений.

Чтобы настроить адреса исключений из блокирования, выполните следующие действия:

  1. В главном окне приложения нажмите на кнопку icon_settings.
  2. В окне параметров приложения выберите раздел Базовая защитаЗащита от сетевых угроз.
  3. Нажмите на ссылку Настроить исключения.
  4. В открывшемся окне нажмите на кнопку Добавить.
  5. Введите IP-адрес компьютера, сетевые атаки с которого не должны блокироваться.
  6. Сохраните внесенные изменения.

В результате Kaspersky Endpoint Security не отслеживает активность от устройств из списка исключений.

В начало

[Topic 202434]

Экспорт и импорт списка исключений из блокирования

Вы можете экспортировать список исключений в файл в формате XML. Далее вы можете вносить изменения в файл, чтобы, например, добавить большое количество однотипных адресов. Также вы можете использовать функцию экспорта / импорта для резервного копирования списка исключений или для миграции списка на другой сервер.

Как экспортировать / импортировать список исключений в Консоли администрирования (MMC)

  1. Откройте Консоль администрирования Kaspersky Security Center.
  2. В папке Управляемые устройства дерева Консоли администрирования откройте папку с названием группы администрирования, в состав которой входят нужные клиентские компьютеры.
  3. В рабочей области выберите закладку Политики.
  4. Выберите нужную политику и откройте свойства политики двойным щелчком мыши.
  5. В окне политики выберите Базовая защитаЗащита от сетевых угроз.
  6. В блоке Настройка защиты от сетевых угроз нажмите на кнопку Исключения.
  7. Для экспорта списка исключений выполните следующие действия:
    1. Выберите исключения, которые вы хотите экспортировать. Чтобы выбрать несколько записей, используйте клавиши CTRL или SHIFT.

      Если вы не выбрали ни одного исключения, Kaspersky Endpoint Security экспортирует все исключения.

    2. Нажмите на ссылку Экспортировать.
    3. В открывшемся окне введите имя файла формата XML, в который вы хотите экспортировать список исключений, а также выберите папку, в которой вы хотите сохранить этот файл.
    4. Сохраните файл.

      Kaspersky Endpoint Security экспортирует список исключений в XML-файл.

  8. Для импорта списка исключений выполните следующие действия:
    1. Нажмите на кнопку Импорт.
    2. В открывшемся окне выберите XML-файл, из которого вы хотите импортировать список исключений.
    3. Откройте файл.

      Если на компьютере уже есть список исключений, Kaspersky Endpoint Security предложит удалить действующий список или добавить в него новые записи из XML-файла.

  9. Сохраните внесенные изменения.

Как экспортировать / импортировать список исключений в Web Console и Cloud Console

  1. В главном окне Web Console выберите УстройстваПолитики и профили политик.
  2. Нажмите на название политики Kaspersky Endpoint Security.

    Откроется окно свойств политики.

  3. Выберите закладку Параметры программы.
  4. Перейдите в раздел Базовая защитаЗащита от сетевых угроз.
  5. В блоке Настройки Защиты от сетевых угроз нажмите на ссылку Исключения.

    Откроется список исключений.

  6. Для экспорта списка исключений выполните следующие действия:
    1. Выберите исключения, которые вы хотите экспортировать.
    2. Нажмите на кнопку Экспорт.
    3. Подтвердите, что вы хотите экспортировать только выбранные исключения, или экспортируйте весь список.
    4. В открывшемся окне введите имя файла формата XML, в который вы хотите экспортировать список исключений, а также выберите папку, в которой вы хотите сохранить этот файл.
    5. Сохраните файл.

      Kaspersky Endpoint Security экспортирует список исключений в XML-файл.

  7. Для импорта списка исключений выполните следующие действия:
    1. Нажмите на кнопку Импорт.
    2. В открывшемся окне выберите XML-файл, из которого вы хотите импортировать список исключений.
    3. Откройте файл.

      Если на компьютере уже есть список исключений, Kaspersky Endpoint Security предложит удалить действующий список или добавить в него новые записи из XML-файла.

  8. Сохраните внесенные изменения.
В начало

[Topic 174954]

Настройка защиты от сетевых атак по типам

Kaspersky Endpoint Security позволяет управлять защитой от следующих типов сетевых атак:

  • Атака типа Интенсивные сетевые запросы (англ. Network Flooding)атака на сетевые ресурсы организации (например, веб-серверы). Атака заключается в отправке большого количества запросов для превышения пропускной способности сетевых ресурсов. Таким образом пользователи не могут получить доступ к сетевым ресурсам организации.
  • Атака типа Сканирование портов заключается в сканировании UDP- и TCP-портов, а также сетевых служб на компьютере. Атака позволяет определить степень уязвимости компьютера перед более опасными видами сетевых атак. Сканирование портов также позволяет злоумышленнику определить операционную систему на компьютере и выбрать подходящие для нее сетевые атаки.
  • Атака типа MAC-спуфинг заключается в изменении MAC-адреса сетевого устройства (сетевой карты). В результате злоумышленник может перенаправить данные, отправленные на устройство, на другое устройство и получить доступ к этим данным. Kaspersky Endpoint Security позволяет блокировать атаки MAC-спуфинга и получать уведомления об атаках.

Вы можете выключить обнаружение этих типов атак, так как некоторые разрешенные приложения выполняют действия, характерные для таких атак. Таким образом, вы можете избежать ложных срабатываний.

По умолчанию Kaspersky Endpoint Security не отслеживает атаки типа Интенсивные сетевые запросы, Сканирование портов и MAC-спуфинг.

Чтобы настроить защиту от сетевых атак по типам, выполните следующие действия:

  1. В главном окне приложения нажмите на кнопку icon_settings.
  2. В окне параметров приложения выберите раздел Базовая защитаЗащита от сетевых угроз.
  3. Используйте переключатель Считать атаками сканирование портов и интенсивные сетевые запросы, чтобы включить или выключить обнаружение атак.
  4. Используйте переключатель Защита от MAC-спуфинга.
  5. В блоке При обнаружении атаки MAC-спуфинг выберите один из следующих вариантов:
    • Только уведомлять.
    • Уведомлять и блокировать.
  6. Сохраните внесенные изменения.
В начало

[Topic 43497]

Сетевой экран

Сетевой экран блокирует несанкционированные подключения к компьютеру во время работы в интернете или локальной сети. Также Сетевой экран контролирует сетевую активность приложений на компьютере. Это позволяет защитить локальную сеть организации от кражи персональных данных и других атак. Компонент обеспечивает защиту компьютера с помощью антивирусных баз, облачной службы Kaspersky Security Network и предустановленных сетевых правил.

Для взаимодействия с Kaspersky Security Center приложение использует Агент администрирования. При этом Сетевой экран автоматически создает сетевые правила, необходимые для работы Агента администрирования и приложения. В результате Сетевой экран открывает некоторые порты на компьютере. Набор портов отличается в зависимости от роли компьютера (например, точка распространения). Подробнее о портах, которые будут открыты на компьютере, см. в справке Kaspersky Security Center.

Сетевые правила

Вы можете настроить сетевые правила на следующих уровнях:

  • Сетевые пакетные правила. Используются для ввода ограничений на сетевые пакеты независимо от приложения. Такие правила ограничивают входящую и исходящую сетевую активность по определенным портам выбранного протокола передачи данных. Kaspersky Endpoint Security имеет предустановленные сетевые пакетные правила с разрешениями, рекомендованными специалистами "Лаборатории Касперского".
  • Сетевые правила приложений. Используются для ограничения сетевой активности конкретного приложения. Учитываются не только характеристики сетевого пакета, но и конкретное приложение, которому адресован этот сетевой пакет, либо которое инициировало отправку этого сетевого пакета.

Контроль доступа приложений к ресурсам операционной системы, процессам и персональным данным обеспечивает компонент Предотвращение вторжений с помощью прав приложений.

Во время первого запуска приложения Сетевой экран выполняет следующие действия:

  1. Проверяет безопасность приложения с помощью загруженных антивирусных баз.
  2. Проверяет безопасность приложения в Kaspersky Security Network.

    Для более эффективной работы Сетевого экрана вам рекомендуется принять участие в Kaspersky Security Network.

  3. Помещает приложение в одну из групп доверия: Доверенные, Слабые ограничения, Сильные ограничения, Недоверенные.

    Группа доверия определяет права, которые Kaspersky Endpoint Security использует для контроля активности приложений. Kaspersky Endpoint Security помещает приложение в группу доверия в зависимости от уровня опасности, которую это приложение может представлять для компьютера.

    Kaspersky Endpoint Security помещает приложение в группу доверия для компонентов Сетевой экран и Предотвращение вторжений. Изменить группу доверия только для Сетевого экрана или только для Предотвращения вторжений невозможно.

    Если вы отказались принимать участие в KSN или отсутствует сеть, Kaspersky Endpoint Security помещает приложение в группу доверия в зависимости от параметров компонента Предотвращение вторжений. После получения данных о репутации приложения от KSN группа доверия может быть изменена автоматически.

  4. Блокирует сетевую активность приложения в зависимости от группы доверия. Например, приложениям из группы доверия "Сильные ограничения" запрещены любые сетевые соединения.

При следующем запуске приложения Kaspersky Endpoint Security проверяет целостность приложения. Если приложение не было изменено, компонент применяет к нему текущие сетевые правила. Если приложение было изменено, Kaspersky Endpoint Security исследует приложение как при первом запуске.

Приоритеты сетевых правил

Каждое правило имеет приоритет. Чем выше правило в списке, тем выше его приоритет. Если сетевая активность добавлена в несколько правил, Сетевой экран регулирует сетевую активность по правилу с высшим приоритетом.

Сетевые пакетные правила имеют более высокий приоритет, чем сетевые правила приложений. Если для одного и того же вида сетевой активности заданы и сетевые пакетные правила, и сетевые правила приложений, то эта сетевая активность обрабатывается по сетевым пакетным правилам.

Сетевые правила приложений имеют особенность. Сетевые правило приложений включает в себя правила доступа по статусу сети: публичная, локальная, доверенная. Например, для группы доверия "Сильные ограничения" по умолчанию запрещена любая сетевая активность приложения в сетях всех статусов. Если для отдельного приложения (родительское приложение) задано сетевое правило, то дочерние процессы других приложений будут выполнены в соответствии с сетевым правилом родительского приложения. Если сетевое правило для приложения отсутствует, дочерние процессы будут выполнены в соответствии с правилом доступа к сетям группы доверия.

Например, вы запретили любую сетевую активность всех приложений для сетей всех статусов, кроме браузера X. Если в браузере X (родительское приложение) запустить установку браузера Y (дочерний процесс), то установщик браузера Y получит доступ к сети и загрузит необходимые файлы. После установки браузеру Y будут запрещены любые сетевые соединения в соответствии с параметрами Сетевого экрана. Чтобы запретить установщику браузера Y сетевую активность в качестве дочернего процесса, необходимо добавить сетевое правило для установщика браузера Y.

Статусы сетевых соединений

Сетевой экран позволяет контролировать сетевую активность в зависимости от статуса сетевого соединения. Kaspersky Endpoint Security получает статус сетевого соединения от операционной системы компьютера. Статус сетевого соединения в операционной системе задает пользователь при настройке подключения. Вы можете изменить статус сетевого соединения в параметрах Kaspersky Endpoint Security. Сетевой экран будет контролировать сетевую активность в зависимости от статуса сети в параметрах Kaspersky Endpoint Security, а не операционной системы.

Выделены следующие статусы сетевого соединения:

  • Публичная сеть. Сеть не защищена антивирусными приложениями, сетевыми экранами, фильтрами (например, Wi-Fi в кафе). Пользователю компьютера, подключенного к такой сети, Сетевой экран закрывает доступ к файлам и принтерам этого компьютера. Сторонние пользователи также не могут получить доступ к информации через папки общего доступа и удаленный доступ к рабочему столу этого компьютера. Сетевой экран фильтрует сетевую активность каждого приложения в соответствии с сетевыми правилами этого приложения.

    Сетевой экран по умолчанию присваивает статус Публичная сеть сети Интернет. Вы не можете изменить статус сети Интернет.

  • Локальная сеть. Сеть для пользователей, которым ограничен доступ к файлам и принтерам этого компьютера (например, для локальной сети организации или для домашней сети).
  • Доверенная сеть. Безопасная сеть, во время работы в которой компьютер не подвергается атакам и попыткам несанкционированного доступа к данным. Для сетей с этим статусом Сетевой экран разрешает любую сетевую активность в рамках этой сети.

В этом разделе

Включение и выключение Сетевого экрана

Изменение статуса сетевого соединения

Работа с сетевыми пакетными правилами

Работа с сетевыми правилами приложений

Мониторинг сети
В начало

[Topic 128210]

Включение и выключение Сетевого экрана

По умолчанию Сетевой экран включен и работает в оптимальном режиме.

Чтобы включить или выключить Сетевой экран выполните следующие действия:

  1. В главном окне приложения нажмите на кнопку icon_settings.
  2. В окне параметров приложения выберите раздел Базовая защита → Сетевой экран.
  3. Используйте переключатель Сетевой экран, чтобы включить или выключить компонент.
  4. Сохраните внесенные изменения.

В результате, если Сетевой экран включен, Kaspersky Endpoint Security контролирует сетевую активность и блокирует несанкционированные сетевые подключения к компьютеру, а также блокирует несанкционированную сетевую активность приложений на компьютере. Также сетевую активность контролирует компонент Защита от сетевых угроз. Компонент Защита от сетевых угроз (англ. IDS – Intrusion Detection System) отслеживает во входящем сетевом трафике активность, характерную для сетевых атак.

Kaspersky Endpoint Security регистрирует в отчетах события сетевых атак независимо от параметров Сетевого экрана. Даже если Сетевой экран блокирует сетевое подключение с помощью правил и тем самым предотвращает сетевую атаку, компонент Защита от сетевых угроз регистрирует события сетевой атаки. Это нужно для формирования статистический информации о сетевых атаках на компьютеры организации.

В начало

[Topic 133742]

Изменение статуса сетевого соединения

Сетевой экран по умолчанию присваивает статус Публичная сеть сети Интернет. Вы не можете изменить статус сети Интернет.

Чтобы изменить статус сетевого соединения, выполните следующие действия:

  1. В главном окне приложения нажмите на кнопку icon_settings.
  2. В окне параметров приложения выберите раздел Базовая защита → Сетевой экран.
  3. Нажмите на кнопку Доступные сети.
  4. Выберите сетевое соединение, статус которого вы хотите изменить.
  5. В графе Тип сети выберите статус сетевого соединения:
    • Публичная сеть. Сеть не защищена антивирусными приложениями, сетевыми экранами, фильтрами (например, Wi-Fi в кафе). Пользователю компьютера, подключенного к такой сети, Сетевой экран закрывает доступ к файлам и принтерам этого компьютера. Сторонние пользователи также не могут получить доступ к информации через папки общего доступа и удаленный доступ к рабочему столу этого компьютера. Сетевой экран фильтрует сетевую активность каждого приложения в соответствии с сетевыми правилами этого приложения.
    • Локальная сеть. Сеть для пользователей, которым ограничен доступ к файлам и принтерам этого компьютера (например, для локальной сети организации или для домашней сети).
    • Доверенная сеть. Безопасная сеть, во время работы в которой компьютер не подвергается атакам и попыткам несанкционированного доступа к данным. Для сетей с этим статусом Сетевой экран разрешает любую сетевую активность в рамках этой сети.
  6. Сохраните внесенные изменения.
В начало

[Topic 44428]

Работа с сетевыми пакетными правилами

Вы можете выполнить следующие действия в процессе работы с сетевыми пакетными правилами:

  • Создать новое сетевое пакетное правило.

    Вы можете создать новое сетевое пакетное правило, сформировав набор условий и действий над сетевыми пакетами и потоками данных.

  • Включить и выключить сетевое пакетное правило.

    Все сетевые пакетные правила, созданные Сетевым экраном по умолчанию, имеют статус Включено. Если сетевое пакетное правило включено, Сетевой экран применяет это правило.

    Вы можете выключить любое сетевое пакетное правило, выбранное в списке сетевых пакетных правил. Если сетевое пакетное правило выключено, Сетевой экран временно не применяет это правило.

    Новое сетевое пакетное правило, созданное пользователем, по умолчанию добавляется в список сетевых пакетных правил со статусом Включено.

  • Изменить параметры существующего сетевого пакетного правила.

    После того как вы создали новое сетевое пакетное правило, вы всегда можете вернуться к настройке его параметров и изменить нужные.

  • Изменить действие Сетевого экрана для сетевого пакетного правила.

    В списке сетевых пакетных правил вы можете изменить действие, которое Сетевой экран выполняет, обнаружив сетевую активность указанного сетевого пакетного правила. 

  • Изменить приоритет сетевого пакетного правила.

    Вы можете повысить или понизить приоритет выбранного в списке сетевого пакетного правила.

  • Удалить сетевое пакетное правило.

    Вы можете удалить сетевое пакетное правило, если вы не хотите, чтобы Сетевой экран применял это правило при обнаружении сетевой активности, и чтобы оно отображалось в списке сетевых пакетных правил со статусом Выключено.

     

В этом разделе

Создание сетевого пакетного правила

Включение и выключение сетевого пакетного правила

Изменение действия Сетевого экрана для сетевого пакетного правила

Изменение приоритета сетевого пакетного правила

Экспорт и импорт сетевых пакетных правил
В начало

[Topic 123451]

Создание сетевого пакетного правила

Вы можете создать сетевое пакетное правило следующими способами:

  • С помощью инструмента Мониторинг сети.

    Мониторинг сети – это инструмент, предназначенный для просмотра информации о сетевой активности компьютера пользователя в реальном времени. Этот способ удобен, так как вам не нужно настраивать все параметры правила. Некоторые параметры Сетевой экран подставит автоматически из данных Мониторинга сети. Мониторинг сети доступен только в интерфейсе приложения.

  • В параметрах Сетевого экрана.

    Этот способ позволяет выполнить тонкую настройку параметров Сетевого экрана. Вы можете создать правила для любой сетевой активности, даже если сетевой активности нет в реальном времени.

Создавая сетевые пакетные правила, следует помнить, что они имеют приоритет над сетевыми правилами приложений.

Как создать сетевое пакетное правило в интерфейсе приложения с помощью инструмента Мониторинг сети

  1. В главном окне приложения в разделе Мониторинг нажмите на плитку Мониторинг сети.
  2. Перейдите на закладку Сетевая активность.

    На закладке Сетевая активность отображаются все активные на текущий момент сетевые соединения с компьютером пользователя. Приводятся как сетевые соединения, инициированные компьютером пользователя, так и входящие сетевые соединения.

  3. В контекстном меню сетевого соединения выберите пункт Создать сетевое пакетное правило.

    Откроются свойства сетевого правила.

  4. Установите статус пакетного правила Активно.
  5. В поле Название введите название сетевой службы вручную.
  6. Настройте параметры сетевого правила (см. таблицу ниже).

    Вы можете выбрать предустановленный шаблон правила по ссылке Шаблон сетевого правила. Шаблоны правила описывают наиболее часто используемые сетевые соединения.

    Все параметры сетевого правила будут заполнены автоматически.

  7. Установите флажок Записывать события, если вы хотите, чтобы действие сетевого правила было отражено в отчете.
  8. Нажмите на кнопку Сохранить.

    Новое сетевое правило будет добавлено в список.

  9. Кнопками Вверх / Вниз установите приоритет сетевого правила.
  10. Сохраните внесенные изменения.

Как создать сетевое пакетное правило в интерфейсе приложения в параметрах Сетевого экрана

  1. В главном окне приложения нажмите на кнопку icon_settings.
  2. В окне параметров приложения выберите раздел Базовая защита → Сетевой экран.
  3. Нажмите на кнопку Пакетные правила.

    Откроется список сетевых правил, установленных Сетевым экраном по умолчанию.

  4. Нажмите на кнопку Добавить.

    Откроются свойства сетевого правила.

  5. Установите статус пакетного правила Активно.
  6. В поле Название введите название сетевой службы вручную.
  7. Настройте параметры сетевого правила (см. таблицу ниже).

    Вы можете выбрать предустановленный шаблон правила по ссылке Шаблон сетевого правила. Шаблоны правила описывают наиболее часто используемые сетевые соединения.

    Все параметры сетевого правила будут заполнены автоматически.

  8. Установите флажок Записывать события, если вы хотите, чтобы действие сетевого правила было отражено в отчете.
  9. Нажмите на кнопку Сохранить.

    Новое сетевое правило будет добавлено в список.

  10. Кнопками Вверх / Вниз установите приоритет сетевого правила.
  11. Сохраните внесенные изменения.

Как создать сетевое пакетное правило в Консоли администрирования (MMC)

  1. Откройте Консоль администрирования Kaspersky Security Center.
  2. В папке Управляемые устройства дерева Консоли администрирования откройте папку с названием группы администрирования, в состав которой входят нужные клиентские компьютеры.
  3. В рабочей области выберите закладку Политики.
  4. Выберите нужную политику и откройте свойства политики двойным щелчком мыши.
  5. В окне политики выберите Базовая защита → Сетевой экран.
  6. В блоке Настройки Сетевого экрана нажмите на кнопку Настройка.

    Откроются список сетевых пакетных правил и список сетевых правил приложений.

  7. Перейдите на закладку Сетевые пакетные правила.

    Откроется список сетевых правил, установленных Сетевым экраном по умолчанию.

  8. Нажмите на кнопку Добавить.

    Откроются свойства пакетного правила.

  9. В поле Название введите название сетевой службы вручную.
  10. Настройте параметры сетевого правила (см. таблицу ниже).

    Вы можете выбрать предустановленный шаблон правила по кнопке . Шаблоны правила описывают наиболее часто используемые сетевые соединения.

    Все параметры сетевого правила будут заполнены автоматически.

  11. Установите флажок Записывать в отчет, если вы хотите, чтобы действие сетевого правила было отражено в отчете.
  12. Сохраните новое сетевое правило.
  13. Кнопками Вверх / Вниз установите приоритет сетевого правила.
  14. Сохраните внесенные изменения.

Сетевой экран будет контролировать сетевые пакеты согласно правилу. Вы можете выключить пакетное правило из работы Сетевого экрана не удаляя его из списка. Для этого снимите флажок рядом с ним.

Как создать сетевое пакетное правило в Web Console и Cloud Console

  1. В главном окне Web Console выберите УстройстваПолитики и профили политик.
  2. Нажмите на название политики Kaspersky Endpoint Security.

    Откроется окно свойств политики.

  3. Выберите закладку Параметры программы.
  4. Перейдите в раздел Базовая защита → Сетевой экран.
  5. В блоке Настройки Сетевого экрана нажмите на ссылку Сетевые пакетные правила.

    Откроется список сетевых правил, установленных Сетевым экраном по умолчанию.

  6. Нажмите на кнопку Добавить.

    Откроются свойства пакетного правила.

  7. В поле Название введите название сетевой службы вручную.
  8. Настройте параметры сетевого правила (см. таблицу ниже).

    Вы можете выбрать предустановленный шаблон правила по ссылке Выбрать шаблон. Шаблоны правила описывают наиболее часто используемые сетевые соединения.

    Все параметры сетевого правила будут заполнены автоматически.

  9. Установите флажок Записывать в отчет, если вы хотите, чтобы действие сетевого правила было отражено в отчете.
  10. Сохраните сетевое правило.

    Новое сетевое правило будет добавлено в список.

  11. Кнопками Вверх / Вниз установите приоритет сетевого правила.
  12. Сохраните внесенные изменения.

Сетевой экран будет контролировать сетевые пакеты согласно правилу. Вы можете выключить пакетное правило из работы Сетевого экрана не удаляя его из списка. Используйте переключатель в графе Статус, чтобы включить или выключить пакетное правило.

Параметры сетевого пакетного правила

Параметр

Описание

Действие

Разрешать.

Запрещать.

По правилам приложения. Если выбран этот элемент, Сетевой экран применяет к сетевому соединению сетевые правила приложения.

Протокол

Контроль сетевой активности по выбранному протоколу: TCP, UDP, ICMP, ICMPv6, IGMP и GRE.

Если в качестве протокола выбран протокол ICMP или ICMPv6, вы можете задать тип и код ICMP-пакета.

Если в качестве протокола выбран протокол TCP или UDP, вы можете через запятую указать номера портов компьютера пользователя и удаленного компьютера, соединение между которыми следует контролировать.

Направление

Входящее (пакет). Сетевой экран применяет сетевое правило ко всем входящим сетевым пакетам.

Входящее. Сетевой экран применяет сетевое правило ко всем сетевым пакетам в рамках соединения, которое инициировал удаленный компьютер.

Входящее / Исходящее. Сетевой экран применяет сетевое правило как к входящему, так и к исходящему сетевому пакету, независимо от того, компьютер пользователя или удаленный компьютер инициировал сетевое соединение.

Исходящее (пакет). Сетевой экран применяет сетевое правило ко всем исходящим сетевым пакетам.

Исходящее. Сетевой экран применяет сетевое правило ко всем сетевым пакетам в рамках соединения, которое инициировал компьютер пользователя.

Сетевые адаптеры

Сетевые адаптеры, которые могут передавать / получать сетевые пакеты. Указание параметров сетевых адаптеров позволяет различать сетевые пакеты, отправленные или полученные сетевыми адаптерами с одинаковыми IP-адресами.

Время жизни (TTL)

Ограничение контроля сетевых пакетов по времени их жизни (англ. TTL, Time to Live).

Удаленный адрес

Сетевые адреса удаленных компьютеров, которые могут передавать / получать сетевые пакеты. К заданному диапазону удаленных сетевых адресов Сетевой экран применяет сетевое правило. Вы можете включить в сетевое правило все IP-адреса, создать отдельный список IP-адресов, указать диапазон IP-адресов или выбрать подсеть (Доверенные сети, Локальные сети, Публичные сети). Также вместо IP-адреса вы можете указать DNS-имя компьютера. Используйте DNS-имена только для компьютеров локальной сети или внутренних сервисов. Для работы с облачными сервисами (например, Microsoft Azure) и другими интернет-ресурсами предназначен компонент Веб-Контроль.

Kaspersky Endpoint Security поддерживает DNS-имена начиная с версии 11.7.0. Если вы укажете DNS-имя для версии 11.6.0 и ниже, Kaspersky Endpoint Security может применить правило для всех адресов.

Локальный адрес

Сетевые адреса компьютеров, которые могут передавать / получать сетевые пакеты. К заданному диапазону локальных сетевых адресов Сетевой экран применяет сетевое правило. Вы можете включить в сетевое правило все IP-адреса, создать отдельный список IP-адресов или указать диапазон IP-адресов.

Kaspersky Endpoint Security поддерживает DNS-имена начиная с версии 11.7.0. Если вы укажете DNS-имя для версии 11.6.0 и ниже, Kaspersky Endpoint Security может применить правило для всех адресов.

Для приложений не всегда возможно получить локальный адрес. В этом случае этот параметр игнорируется.

В начало

[Topic 133743]

Включение и выключение сетевого пакетного правила

Чтобы включить или выключить сетевое пакетное правило, выполните следующие действия:

  1. В главном окне приложения нажмите на кнопку icon_settings.
  2. В окне параметров приложения выберите раздел Базовая защита → Сетевой экран.
  3. Нажмите на кнопку Пакетные правила.

    Откроется список сетевых пакетных правил, установленных Сетевым экраном по умолчанию.

  4. Выберите в списке нужное сетевое пакетное правило.
  5. Используйте переключатель в графе Статус, чтобы включить или выключить правило.
  6. Сохраните внесенные изменения.
В начало

[Topic 133744]

Изменение действия Сетевого экрана для сетевого пакетного правила

Чтобы изменить действие Сетевого экрана для сетевого пакетного правила, выполните следующие действия:

  1. В главном окне приложения нажмите на кнопку icon_settings.
  2. В окне параметров приложения выберите раздел Базовая защита → Сетевой экран.
  3. Нажмите на кнопку Пакетные правила.

    Откроется список сетевых пакетных правил, установленных Сетевым экраном по умолчанию.

  4. Выберите его в списке сетевых пакетных правил и нажмите на кнопку Изменить.
  5. В раскрывающемся списке Действие выберите действие, которое должен выполнять Сетевой экран, обнаружив этот вид сетевой активности:
    • Разрешать.
    • Запрещать.
    • По правилам приложения. Если выбран этот элемент, Сетевой экран применяет к сетевому соединению сетевые правила приложения.
  6. Сохраните внесенные изменения.
В начало

[Topic 133745]

Изменение приоритета сетевого пакетного правила

Приоритет выполнения сетевого пакетного правила определяется его положением в списке сетевых пакетных правил. Первое сетевое пакетное правило в списке сетевых пакетных правил обладает самым высоким приоритетом.

Каждое сетевое пакетное правило, которое вы создали вручную, добавляется в конец списка сетевых пакетных правил и имеет самый низкий приоритет.

Сетевой экран выполняет правила в порядке их расположения в списке сетевых пакетных правил, сверху вниз. Согласно каждому обрабатываемому сетевому пакетному правилу, применяемому к определенному сетевому соединению, Сетевой экран либо разрешает, либо блокирует сетевой доступ к адресу и порту, указанным в настройках этого сетевого соединения.

Чтобы изменить приоритет сетевого пакетного правила, выполните следующие действия:

  1. В главном окне приложения нажмите на кнопку icon_settings.
  2. В окне параметров приложения выберите раздел Базовая защита → Сетевой экран.
  3. Нажмите на кнопку Пакетные правила.

    Откроется список сетевых пакетных правил, установленных Сетевым экраном по умолчанию.

  4. Выберите в списке сетевое пакетное правило, приоритет которого вы хотите изменить.
  5. Кнопками Вверх / Вниз установите приоритет сетевого правила.
  6. Сохраните внесенные изменения.
В начало

[Topic 202615]

Экспорт и импорт сетевых пакетных правил

Вы можете экспортировать список сетевых пакетных правил в файл в формате XML. Далее вы можете вносить изменения в файл, чтобы, например, добавить большое количество однотипных правил. Вы можете использовать функцию экспорта / импорта для резервного копирования списка сетевых пакетных правил или для миграции списка на другой сервер.

Как экспортировать / импортировать список сетевых пакетных правил в Консоли администрирования (MMC)

  1. Откройте Консоль администрирования Kaspersky Security Center.
  2. В папке Управляемые устройства дерева Консоли администрирования откройте папку с названием группы администрирования, в состав которой входят нужные клиентские компьютеры.
  3. В рабочей области выберите закладку Политики.
  4. Выберите нужную политику и откройте свойства политики двойным щелчком мыши.
  5. В окне политики выберите Базовая защита → Сетевой экран.
  6. В блоке Настройки Сетевого экрана нажмите на кнопку Настройка.

    Откроются список сетевых пакетных правил и список сетевых правил приложений.

  7. Перейдите на закладку Сетевые пакетные правила.
  8. Для экспорта списка сетевых пакетных правил выполните следующие действия:
    1. Выберите правила, которые вы хотите экспортировать. Чтобы выбрать несколько записей, используйте клавиши CTRL или SHIFT.

      Если вы не выбрали ни одного правила, Kaspersky Endpoint Security экспортирует все правила.

    2. Нажмите на ссылку Экспортировать.
    3. В открывшемся окне введите имя файла формата XML, в который вы хотите экспортировать список правил, а также выберите папку, в которой вы хотите сохранить этот файл.
    4. Сохраните файл.

      Kaspersky Endpoint Security экспортирует список правил в XML-файл.

  9. Для импорта списка сетевых пакетных правил выполните следующие действия:
    1. Нажмите на ссылку Импортировать.

      В открывшемся окне выберите XML-файл, из которого вы хотите импортировать список правил.

    2. Откройте файл.

      Если на компьютере уже есть список правил, Kaspersky Endpoint Security предложит удалить действующий список или добавить в него новые записи из XML-файла.

  10. Сохраните внесенные изменения.

Как экспортировать / импортировать список сетевых пакетных правил в Web Console и Console

  1. В главном окне Web Console выберите УстройстваПолитики и профили политик.
  2. Нажмите на название политики Kaspersky Endpoint Security.

    Откроется окно свойств политики.

  3. Выберите закладку Параметры программы.
  4. Перейдите в раздел Базовая защита → Сетевой экран.
  5. Перейдите по ссылке Сетевые пакетные правила.
  6. Для экспорта списка сетевых пакетных правил выполните следующие действия:
    1. Выберите правила, которые вы хотите экспортировать.
    2. Нажмите на кнопку Экспорт.
    3. Подтвердите, что вы хотите экспортировать только выбранные правила, или экспортируйте весь список.
    4. Сохраните файл.

      Kaspersky Endpoint Security экспортирует список правил в XML-файл в папку для загрузки по умолчанию.

  7. Для импорта списка сетевых пакетных правил выполните следующие действия:
    1. Нажмите на ссылку Импортировать.

      В открывшемся окне выберите XML-файл, из которого вы хотите импортировать список правил.

    2. Откройте файл.

      Если на компьютере уже есть список правил, Kaspersky Endpoint Security предложит удалить действующий список или добавить в него новые записи из XML-файла.

  8. Сохраните внесенные изменения.
В начало

[Topic 128236]

Работа с сетевыми правилами приложений

Kaspersky Endpoint Security по умолчанию группирует все приложения, установленные на компьютере пользователя, по названию производителей программного обеспечения, файловую и сетевую активность которого он контролирует. Группы приложений, в свою очередь, сгруппированы в группы доверия. Все приложения и группы приложений наследуют свойства своей родительской группы: правила контроля приложений, сетевые правила приложения, а также приоритет их выполнения.

Как и компонент Предотвращение вторжений, компонент Сетевой экран по умолчанию применяет сетевые правила группы приложений для фильтрации сетевой активности всех помещенных в группу приложений. Сетевые правила группы приложений определяют, какими правами доступа к различным сетевым соединениям обладают приложения, входящие в эту группу.

Сетевой экран по умолчанию создает набор сетевых правил для каждой группы приложений, которые Kaspersky Endpoint Security обнаружил на компьютере. Вы можете изменить действие Сетевого экрана для сетевых правил группы приложений, созданных по умолчанию. Вы не можете изменить, удалить или выключить сетевые правила группы приложений, созданные по умолчанию, а также изменить их приоритет.

Вы также можете создать сетевое правило для отдельного приложения. Такое правило будет иметь более высокий приоритет, чем сетевое правило группы, в которую входит это приложение.

 

В этом разделе

Создание сетевого правила приложения

Включение и выключение сетевого правила приложений

Изменение действия Сетевого экрана для сетевого правила приложений

Изменение приоритета сетевого правила приложений
В начало

[Topic 123452]

Создание сетевого правила приложения

По умолчанию для контроля работы приложения применяются сетевые правила, определенные для той группы доверия, в которую Kaspersky Endpoint Security поместил приложение при первом ее запуске. При необходимости вы можете создать сетевые правила для всей группы доверия, для отдельного приложения или группы приложений внутри группы доверия.

Сетевые правила, заданные вручную, имеют более высокий приоритет, чем сетевые правила, определенные для группы доверия. То есть, если правила приложения, заданные вручную, отличаются от правил приложений, определенных для группы доверия, Сетевой экран контролирует работу приложения в соответствии с правилами приложений, заданными вручную.

Сетевой экран по умолчанию создает следующие сетевые правила для каждого приложения:

  • Любая сетевая активность в Доверенных сетях.
  • Любая сетевая активность в Локальных сетях.
  • Любая сетевая активность в Публичных сетях.

Kaspersky Endpoint Security контролирует сетевую активность приложений по предустановленным сетевым правилам следующим образом:

  • "Доверенные" и "Слабые ограничения" – любая сетевая активность разрешена.
  • "Сильные ограничения" и "Недоверенные" – любая сетевая активность запрещена.

Предустановленные правила приложений невозможно изменить или удалить.

Вы можете создать сетевое правило приложения следующими способами:

  • С помощью инструмента Мониторинг сети.

    Мониторинг сети – это инструмент, предназначенный для просмотра информации о сетевой активности компьютера пользователя в реальном времени. Этот способ удобен, так как вам не нужно настраивать все параметры правила. Некоторые параметры Сетевой экран подставит автоматически из данных Мониторинга сети. Мониторинг сети доступен только в интерфейсе приложения.

  • В параметрах Сетевого экрана.

    Этот способ позволяет выполнить тонкую настройку параметров Сетевого экрана. Вы можете создать правила для любой сетевой активности, даже если сетевой активности нет в реальном времени.

Создавая сетевые правила приложений, следует помнить, что сетевые пакетные правила имеют приоритет над сетевыми правилами приложений.

Как создать сетевое правило приложения в интерфейсе приложения с помощью инструмента Мониторинг сети

  1. В главном окне приложения в разделе Мониторинг нажмите на плитку Мониторинг сети.
  2. Перейдите на закладку Сетевая активность или Открытые порты.

    На закладке Сетевая активность отображаются все активные на текущий момент сетевые соединения с компьютером пользователя. Приводятся как сетевые соединения, инициированные компьютером пользователя, так и входящие сетевые соединения.

    На закладке Открытые порты перечислены все открытые сетевые порты на компьютере пользователя.

  3. В контекстном меню сетевого соединения выберите пункт Создать сетевое правило приложения.

    Откроется окно свойств и правил приложения.

  4. Выберите закладку Сетевые правила.

    Откроется список сетевых правил, установленных Сетевым экраном по умолчанию.

  5. Нажмите на кнопку Добавить.

    Откроются свойства сетевого правила.

  6. В поле Название введите название сетевой службы вручную.
  7. Настройте параметры сетевого правила (см. таблицу ниже).

    Вы можете выбрать предустановленный шаблон правила по ссылке Шаблон сетевого правила. Шаблоны правила описывают наиболее часто используемые сетевые соединения.

    Все параметры сетевого правила будут заполнены автоматически.

  8. Установите флажок Записывать события, если вы хотите, чтобы действие сетевого правила было отражено в отчете.
  9. Нажмите на кнопку Сохранить.

    Новое сетевое правило будет добавлено в список.

  10. Кнопками Вверх / Вниз установите приоритет сетевого правила.
  11. Сохраните внесенные изменения.

Как создать сетевое правило приложения в интерфейсе приложения в параметрах Сетевого экрана

  1. В главном окне приложения нажмите на кнопку icon_settings.
  2. В окне параметров приложения выберите раздел Базовая защита → Сетевой экран.
  3. Нажмите на кнопку Правила приложений.

    Откроется список сетевых правил, установленных Сетевым экраном по умолчанию.

  4. В списке приложений выберите приложение или группу приложений, для которого вы хотите создать сетевое правило.
  5. По правой клавише мыши откройте контекстное меню и выберите пункт Подробности и правила.

    Откроется окно свойств и правил приложения.

  6. Выберите закладку Сетевые правила.
  7. Нажмите на кнопку Добавить.

    Откроются свойства сетевого правила.

  8. В поле Название введите название сетевой службы вручную.
  9. Настройте параметры сетевого правила (см. таблицу ниже).

    Вы можете выбрать предустановленный шаблон правила по ссылке Шаблон сетевого правила. Шаблоны правила описывают наиболее часто используемые сетевые соединения.

    Все параметры сетевого правила будут заполнены автоматически.

  10. Установите флажок Записывать события, если вы хотите, чтобы действие сетевого правила было отражено в отчете.
  11. Нажмите на кнопку Сохранить.

    Новое сетевое правило будет добавлено в список.

  12. Кнопками Вверх / Вниз установите приоритет сетевого правила.
  13. Сохраните внесенные изменения.

Как создать сетевое правило приложения в Консоли администрирования (MMC)

  1. Откройте Консоль администрирования Kaspersky Security Center.
  2. В папке Управляемые устройства дерева Консоли администрирования откройте папку с названием группы администрирования, в состав которой входят нужные клиентские компьютеры.
  3. В рабочей области выберите закладку Политики.
  4. Выберите нужную политику и откройте свойства политики двойным щелчком мыши.
  5. В окне политики выберите Базовая защита → Сетевой экран.
  6. В блоке Настройки Сетевого экрана нажмите на кнопку Настройка.

    Откроются список сетевых пакетных правил и список сетевых правил приложений.

  7. Перейдите на закладку Сетевые правила приложений.
  8. Нажмите на кнопку Добавить.
  9. В открывшемся окне задайте параметры поиска приложения, для которого вы хотите создать сетевое правило.

    Вы можете ввести название приложения или название компании производителя. Kaspersky Endpoint Security поддерживает переменные среды и символы * и ? для ввода маски.

  10. Нажмите на кнопку Обновить.

    Kaspersky Endpoint Security выполнит поиск приложения в консолидированном списке приложений, установленных на управляемых компьютерах. Kaspersky Endpoint Security покажет список приложений, которые удовлетворяют параметрам поиска.

  11. Выберите нужное приложение.
  12. В раскрывающемся списке Переместить приложение в группу доверия выберите пункт Исходные группы и нажмите на кнопку .

    Приложение будет добавлено в исходную группу.

  13. Выберите нужное приложение и в контекстном меню приложения выберите пункт Права приложения.

    Откроется окно свойств и правил приложения.

  14. Выберите закладку Сетевые правила.

    Откроется список сетевых правил, установленных Сетевым экраном по умолчанию.

  15. Нажмите на кнопку Добавить.

    Откроются свойства сетевого правила.

  16. В поле Название введите название сетевой службы вручную.
  17. Настройте параметры сетевого правила (см. таблицу ниже).

    Вы можете выбрать предустановленный шаблон правила по кнопке . Шаблоны правила описывают наиболее часто используемые сетевые соединения.

    Все параметры сетевого правила будут заполнены автоматически.

  18. Установите флажок Записывать в отчет, если вы хотите, чтобы действие сетевого правила было отражено в отчете.
  19. Сохраните новое сетевое правило.
  20. Кнопками Вверх / Вниз установите приоритет сетевого правила.
  21. Сохраните внесенные изменения.

Как создать сетевое правило приложения в Web Console и Cloud Console

  1. В главном окне Web Console выберите УстройстваПолитики и профили политик.
  2. Нажмите на название политики Kaspersky Endpoint Security.

    Откроется окно свойств политики.

  3. Выберите закладку Параметры программы.
  4. Перейдите в раздел Базовая защита → Сетевой экран.
  5. В блоке Настройки Сетевого экрана нажмите на ссылку Сетевые правила приложений.

    Откроется окно настройки прав приложений и список защищаемых ресурсов.

  6. Перейдите на закладку Права приложений.

    Откроется список групп доверия в левой части окна и их свойства в правой части.

  7. Нажмите на кнопку Добавить.

    Запустится мастер добавления приложения в группу доверия.

  8. Выберите группу доверия, в которую вы хотите поместить приложение.
  9. Выберите тип Приложение. Нажмите на кнопку Далее.

    Если вы хотите создать сетевое правило для нескольких приложений, выберите тип Группа и задайте имя группы приложений.

  10. В открывшемся списке приложений выберите приложения, для которых вы хотите создать сетевое правило.

    Используйте фильтр. Вы можете ввести название приложения или название компании производителя. Kaspersky Endpoint Security поддерживает переменные среды и символы * и ? для ввода маски.

  11. Завершите работу мастера по кнопке ОК.

    Приложение будет добавлено в группу доверия.

  12. В левой части окна выберите нужное приложение.
  13. В правой части окна в раскрывающемся списке выберите пункт Сетевые правила.

    Откроется список сетевых правил, установленных Сетевым экраном по умолчанию.

  14. Нажмите на кнопку Добавить.

    Откроются свойства правила приложения.

  15. В поле Название введите название сетевой службы вручную.
  16. Настройте параметры сетевого правила (см. таблицу ниже).

    Вы можете выбрать предустановленный шаблон правила по ссылке Выбрать шаблон. Шаблоны правила описывают наиболее часто используемые сетевые соединения.

    Все параметры сетевого правила будут заполнены автоматически.

  17. Установите флажок Записывать в отчет, если вы хотите, чтобы действие сетевого правила было отражено в отчете.
  18. Сохраните сетевое правило.

    Новое сетевое правило будет добавлено в список.

  19. Кнопками Вверх / Вниз установите приоритет сетевого правила.
  20. Сохраните внесенные изменения.

Параметры сетевого правила приложения

Параметр

Описание

Действие

Разрешать.

Запрещать.

Протокол

Контроль сетевой активности по выбранному протоколу: TCP, UDP, ICMP, ICMPv6, IGMP и GRE.

Если в качестве протокола выбран протокол ICMP или ICMPv6, вы можете задать тип и код ICMP-пакета.

Если в качестве протокола выбран протокол TCP или UDP, вы можете через запятую указать номера портов компьютера пользователя и удаленного компьютера, соединение между которыми следует контролировать.

Направление

Входящее.

Входящее / Исходящее.

Исходящее.

Удаленный адрес

Сетевые адреса удаленных компьютеров, которые могут передавать / получать сетевые пакеты. К заданному диапазону удаленных сетевых адресов Сетевой экран применяет сетевое правило. Вы можете включить в сетевое правило все IP-адреса, создать отдельный список IP-адресов, указать диапазон IP-адресов или выбрать подсеть (Доверенные сети, Локальные сети, Публичные сети). Также вместо IP-адреса вы можете указать DNS-имя компьютера. Используйте DNS-имена только для компьютеров локальной сети или внутренних сервисов. Для работы с облачными сервисами (например, Microsoft Azure) и другими интернет-ресурсами предназначен компонент Веб-Контроль.

Kaspersky Endpoint Security поддерживает DNS-имена начиная с версии 11.7.0. Если вы укажете DNS-имя для версии 11.6.0 и ниже, Kaspersky Endpoint Security может применить правило для всех адресов.

Локальный адрес

Сетевые адреса компьютеров, которые могут передавать / получать сетевые пакеты. К заданному диапазону локальных сетевых адресов Сетевой экран применяет сетевое правило. Вы можете включить в сетевое правило все IP-адреса, создать отдельный список IP-адресов или указать диапазон IP-адресов.

Kaspersky Endpoint Security поддерживает DNS-имена начиная с версии 11.7.0. Если вы укажете DNS-имя для версии 11.6.0 и ниже, Kaspersky Endpoint Security может применить правило для всех адресов.

Для приложений не всегда возможно получить локальный адрес. В этом случае этот параметр игнорируется.

В начало

[Topic 133631]

Включение и выключение сетевого правила приложений

Чтобы включить или выключить сетевое правило приложений, выполните следующие действия:

  1. В главном окне приложения нажмите на кнопку icon_settings.
  2. В окне параметров приложения выберите раздел Базовая защита → Сетевой экран.
  3. Нажмите на кнопку Правила приложений.

    Откроется список правил приложений.

  4. В списке приложений выберите приложение или группу приложений, для которой вы хотите создать или изменить сетевое правило.
  5. По правой клавише мыши откройте контекстное меню и выберите пункт Подробности и правила.

    Откроется окно свойств и правил приложения.

  6. Выберите закладку Сетевые правила.
  7. В списке сетевых правил группы приложений выберите нужное вам сетевое правило.

    Откроется окно свойств сетевого правила.

  8. Установите статус сетевого правила Активно или Неактивно.

    Вы не можете выключить сетевое правило группы приложений, если оно создано Сетевым экраном по умолчанию.

  9. Сохраните внесенные изменения.
В начало

[Topic 133632]

Изменение действия Сетевого экрана для сетевого правила приложений

Вы можете изменить действие Сетевого экрана для всех сетевых правил приложения или группы приложений, которые были созданы по умолчанию, а также изменить действие Сетевого экрана для одного сетевого правила приложения или группы приложений, которое было создано вручную.

Чтобы изменить действие Сетевого экрана для всех сетевых правил приложения или группы приложений, выполните следующие действия:

  1. В главном окне приложения нажмите на кнопку icon_settings.
  2. В окне параметров приложения выберите раздел Базовая защита → Сетевой экран.
  3. Нажмите на кнопку Правила приложений.

    Откроется список правил приложений.

  4. В списке выберите приложение или группу приложений, если вы хотите изменить действие Сетевого экрана для всех ее сетевых правил, созданных по умолчанию. Сетевые правила, созданные вручную, останутся без изменений.
  5. По правой клавише мыши откройте контекстное меню и выберите пункт Сетевые правила и выберите действие, которое вы хотите назначить:
    • Наследовать.
    • Разрешить.
    • Блокировать.
  6. Сохраните внесенные изменения.

Чтобы изменить действие Сетевого экрана для одного сетевого правила приложения или группы приложений, выполните следующие действия:

  1. В главном окне приложения нажмите на кнопку icon_settings.
  2. В окне параметров приложения выберите раздел Базовая защита → Сетевой экран.
  3. Нажмите на кнопку Правила приложений.

    Откроется список правил приложений.

  4. В списке выберите приложение или группу приложений, для которого вы хотите изменить действие одного сетевого правила.
  5. По правой клавише мыши откройте контекстное меню и выберите пункт Подробности и правила.

    Откроется окно свойств и правил приложения.

  6. Выберите закладку Сетевые правила.
  7. Выберите сетевое правило, для которого вы хотите изменить действие Сетевого экрана.
  8. В графе Разрешение по правой клавише мыши откройте контекстное меню и выберите действие, которое вы хотите назначить:
    • Наследовать.
    • Разрешить.
    • Запретить.
    • Записывать в отчет.
  9. Сохраните внесенные изменения.
В начало

[Topic 133633]

Изменение приоритета сетевого правила приложений

Приоритет выполнения сетевого правила определяется его положением в списке сетевых правил. Сетевой экран выполняет правила в порядке их расположения в списке сетевых правил, сверху вниз. Согласно каждому обрабатываемому сетевому правилу, применяемому к определенному сетевому соединению, Сетевой экран либо разрешает, либо блокирует сетевой доступ к адресу и порту, указанным в настройках этого сетевого соединения.

Созданные вручную сетевые правила имеют более высокий приоритет, чем сетевые правила, созданные по умолчанию.

Вы не можете изменить приоритет сетевых правил группы приложений, созданных по умолчанию.

Чтобы изменить приоритет сетевого правила, выполните следующие действия:

  1. В главном окне приложения нажмите на кнопку icon_settings.
  2. В окне параметров приложения выберите раздел Базовая защита → Сетевой экран.
  3. Нажмите на кнопку Правила приложений.

    Откроется список правил приложений.

  4. В списке приложений выберите приложение или группу приложений, для которого вы хотите изменить приоритет сетевого правила.
  5. По правой клавише мыши откройте контекстное меню и выберите пункт Подробности и правила.

    Откроется окно свойств и правил приложения.

  6. Выберите закладку Сетевые правила.
  7. Выберите сетевое правило, приоритет которого вы хотите изменить.
  8. Кнопками Вверх / Вниз установите приоритет сетевого правила.
  9. Сохраните внесенные изменения.
В начало

[Topic 49629]

Мониторинг сети

Мониторинг сети – это инструмент, предназначенный для просмотра информации о сетевой активности компьютера пользователя в реальном времени.

Чтобы запустить Мониторинг сети,

в главном окне приложения в разделе Мониторинг нажмите на плитку Мониторинг сети.

Откроется окно Мониторинга сети. В этом окне информация о сетевой активности компьютера пользователя представлена на четырех закладках:

  • На закладке Сетевая активность отображаются все активные на текущий момент сетевые соединения с компьютером пользователя. Приводятся как сетевые соединения, инициированные компьютером пользователя, так и входящие сетевые соединения. На этой закладке вы также можете создавать сетевые пакетные правила для работы Сетевого экрана.
  • На закладке Открытые порты перечислены все открытые сетевые порты на компьютере пользователя. На этой закладке вы также можете создавать сетевые пакетные правила и правила приложения для работы Сетевого экрана.
  • На закладке Сетевой трафик отображается объем входящего и исходящего сетевого трафика между компьютером пользователя и другими компьютерами сети, в которой пользователь работает в текущий момент.
  • На закладке Заблокированные компьютеры представлен список IP-адресов удаленных компьютеров, сетевую активность которых компонент Защита от сетевых угроз заблокировал, обнаружив попытку сетевой атаки с этого IP-адреса.
В начало

[Topic 97193]

Защита от атак BadUSB

Некоторые вирусы изменяют встроенное программное обеспечение USB-устройств так, чтобы операционная система определяла USB-устройство как клавиатуру. В результате вирус может выполнять команды под вашей учетной записью, например, загрузить вредоносное приложение.

Компонент Защита от атак BadUSB позволяет предотвратить подключение к компьютеру зараженных USB-устройств, имитирующих клавиатуру.

Когда к компьютеру подключается USB-устройство, определенное операционной системой как клавиатура, приложение предлагает пользователю ввести c этой клавиатуры или с помощью экранной клавиатуры (если она доступна) цифровой код, сформированный приложением (см. рис. ниже). Эта процедура называется авторизацией клавиатуры.

Если код введен правильно, приложение сохраняет идентификационные параметры – VID/PID клавиатуры и номер порта, по которому она подключена, в списке авторизованных клавиатур. Авторизация клавиатуры при ее повторном подключении или перезагрузке операционной системы не требуется.

При подключении авторизованной клавиатуры через другой USB-порт компьютера приложение снова запрашивает ее авторизацию.

Если цифровой код введен неправильно, приложение формирует новый. Вы можете настроить число попыток для ввода цифрового кода. Если цифровой код введен неправильно несколько раз или закрыто окно авторизации клавиатуры (см. рис. ниже), приложение блокирует ввод с этой клавиатуры. По истечении времени блокировки USB-устройства или перезагрузке операционной системы приложение снова предлагает пройти авторизацию клавиатуры.

Приложение разрешает использование авторизованной клавиатуры и блокирует использование клавиатуры, не прошедшей авторизацию.

Компонент Защита от атак BadUSB не устанавливается по умолчанию. Если вам нужен компонент Защита от атак BadUSB, вы можете добавить компонент в свойствах инсталляционного пакета перед установкой приложения или измените состав компонентов приложения после установки приложения.

loc_screen_KES11_BadUSB_authorization

Авторизация клавиатуры

В этом разделе

Включение и выключение Защиты от атак BadUSB

Использовании экранной клавиатуры при авторизации USB-устройств
В начало

[Topic 138434]

Включение и выключение Защиты от атак BadUSB

USB-устройства, определенные операционной системой как клавиатуры и подключенные к компьютеру до установки компонента Защита от атак BadUSB, считаются авторизованными после его установки.

Чтобы включить или выключить Защиту от атак BadUSB, выполните следующие действия:

  1. В главном окне приложения нажмите на кнопку icon_settings.
  2. В окне параметров приложения выберите раздел Базовая защитаЗащита от атак BadUSB.
  3. Используйте переключатель Защита от атак BadUSB, чтобы включить или выключить компонент.
  4. В блоке Авторизация USB-устройств при подключении настройте параметры безопасности ввода кода авторизации:
    • Максимальное количество попыток авторизации USB-устройства. Автоматическое блокирование USB-устройства, если код авторизации введен неверно заданное количество раз. Доступны значения от 1 до 10. Например, если вы разрешили 5 попыток ввода кода авторизации, после пятой неудачной попытки приложение заблокирует USB-устройство. Kaspersky Endpoint Security покажет время блокировки USB-устройства. По истечении указанного времени, вам будет доступно 5 попыток ввода кода авторизации.
    • Таймаут при достижении максимального количества попыток. Время блокировки USB-устройства после заданного количества неудачных попыток ввода кода авторизации. Доступны значения от 1 до 180 (минут).
  5. Сохраните внесенные изменения.

В результате, если Защита от атак BadUSB включена, Kaspersky Endpoint Security требует авторизацию подключенного USB-устройства, определенного операционной системой как клавиатура. Пользователь не может использовать неавторизованную клавиатуру до тех пор, пока она не будет авторизована.

В начало

[Topic 134688]

Использовании экранной клавиатуры при авторизации USB-устройств

Возможность использовать экранную клавиатуру предназначена только для авторизации USB-устройств, не поддерживающих произвольный ввод символов (например, сканеров штрих-кодов). Не рекомендуется использовать экранную клавиатуру для авторизации неизвестных вам USB-устройств.

Чтобы разрешить или запретить использование экранной клавиатуры при авторизации, выполните следующие действия:

  1. В главном окне приложения нажмите на кнопку icon_settings.
  2. В окне параметров приложения выберите раздел Базовая защитаЗащита от атак BadUSB.
  3. Используйте флажок Запретить использование экранной клавиатуры для авторизации USB-устройств, чтобы запретить или разрешить использование экранной клавиатуры для авторизации.
  4. Сохраните внесенные изменения.
В начало

[Topic 173854]

AMSI-защита

Компонент AMSI-защита предназначен для поддержки интерфейса Antimalware Scan Interface от Microsoft. Интерфейс Antimalware Scan Interface (AMSI) позволяет сторонним приложениям с поддержкой AMSI отправлять объекты (например, скрипты PowerShell) в Kaspersky Endpoint Security для дополнительной проверки и получать результаты проверки этих объектов. Сторонними приложениями могут быть, например, приложения Microsoft Office (см. рис. ниже). Подробнее об интерфейсе AMSI см. в документации Microsoft.

AMSI-защита может только обнаруживать угрозу и уведомлять стороннее приложение об обнаруженной угрозе. Стороннее приложение после получения уведомления об угрозе не дает выполнить вредоносные действия (например, завершает работу).

Пример работы AMSI

Компонент AMSI-защита может отклонить запрос от стороннего приложения, например, если это приложение превысило максимальное количество запросов за промежуток времени. Kaspersky Endpoint Security отправляет информацию об отклонении запроса от стороннего приложения на Сервер администрирования. Компонент AMSI-защита не отклоняет запросы от тех сторонних приложений, для которых включена функция постоянного взаимодействия с компонентом AMSI-защита.

AMSI-защита доступна для следующих операционных систем рабочих станций и серверов:

  • Windows 10 Home / Pro / Pro для рабочих станций / Education / Enterprise;
  • Windows 11 Home / Pro / Pro для рабочих станций / Education / Enterprise;
  • Windows Server 2016 Essentials / Standard / Datacenter;
  • Windows Server 2019 Essentials / Standard / Datacenter;
  • Windows Server 2022.

В этом разделе

Включение и выключение AMSI-защиты

Проверка составных файлов AMSI-защитой
В начало

[Topic 174820]

Включение и выключение AMSI-защиты

По умолчанию AMSI-защита включена.

Чтобы включить или выключить AMSI-защиту, выполните следующие действия:

  1. В главном окне приложения нажмите на кнопку icon_settings.
  2. В окне параметров приложения выберите раздел Базовая защитаAMSI-защита.
  3. Используйте переключатель AMSI-защита, чтобы включить или выключить компонент.
  4. Сохраните внесенные изменения.
В начало

[Topic 174821]

Проверка составных файлов AMSI-защитой

Распространенной практикой сокрытия вирусов и других приложений, представляющих угрозу, является внедрение их в составные файлы, например, архивы. Чтобы обнаружить скрытые таким образом вирусы и другие приложения, представляющие угрозу, составной файл нужно распаковать, что может привести к снижению скорости проверки. Вы можете ограничить набор типов проверяемых составных файлов, таким образом увеличив скорость проверки.

Чтобы настроить проверку составных файлов AMSI-защитой, выполните следующие действия:

  1. В главном окне приложения нажмите на кнопку icon_settings.
  2. В окне параметров приложения выберите раздел Базовая защитаAMSI-защита.
  3. В блоке Проверка составных файлов укажите, какие составные файлы вы хотите проверять: архивы, дистрибутивы или файлы офисных форматов.
  4. В блоке Ограничение по размеру выполните одно из следующих действий:
    • Чтобы запретить компоненту AMSI-защита распаковывать составные файлы большого размера, установите флажок Не распаковывать составные файлы большого размера и в поле Максимальный размер файла укажите нужное значение. Компонент AMSI-защита не будет распаковывать составные файлы больше указанного размера.
    • Чтобы разрешить компоненту AMSI-защита распаковывать составные файлы большого размера, снимите флажок Не распаковывать составные файлы большого размера.

    Компонент AMSI-защита проверяет файлы больших размеров, извлеченные из архивов, независимо от того, установлен ли флажок Не распаковывать составные файлы большого размера.

  5. Сохраните внесенные изменения.
В начало

[Topic 151109]

Защита от эксплойтов

Компонент Защита от эксплойтов отслеживает программный код, который использует уязвимости на компьютере для получения эксплойтом прав администратора или выполнения вредоносных действий. Эксплойты, например, используют атаку на переполнение буфера обмена. Для этого эксплойт отправляет большой объем данных в уязвимое приложение. При обработке этих данных уязвимое приложение выполняет вредоносный код. В результате этой атаки эксплойт может запустить несанкционированную установку вредоносного ПО. Если попытка запустить исполняемый файл из уязвимого приложения не была произведена пользователем, то Kaspersky Endpoint Security блокирует запуск этого файла или информирует пользователя.

В этом разделе

Включение и выключение Защиты от эксплойтов

Выбор действия при обнаружении эксплойта

Защита памяти системных процессов
В начало

[Topic 151128]

Включение и выключение Защиты от эксплойтов

По умолчанию Защита от эксплойтов включена и работает в режиме, рекомендованном специалистами "Лаборатории Касперского". Вы можете выключить Защиту от эксплойтов при необходимости.

Чтобы включить или выключить Защиту от эксплойтов, выполните следующие действия:

  1. В главном окне приложения нажмите на кнопку icon_settings.
  2. В окне параметров приложения выберите раздел Продвинутая защитаЗащита от эксплойтов.
  3. Используйте переключатель Защита от эксплойтов, чтобы включить или выключить компонент.
  4. Сохраните внесенные изменения.

В результате, если Защита от эксплойтов включена, Kaspersky Endpoint Security будет отслеживать исполняемые файлы, запускаемые уязвимыми приложениями. Если Kaspersky Endpoint Security обнаруживает, что исполняемый файл из уязвимого приложения был запущен не пользователем, то Kaspersky Endpoint Security выполняет выбранное действие (например, блокирует операцию).

В начало

[Topic 151129]

Выбор действия при обнаружении эксплойта

По умолчанию, обнаружив эксплойт, Kaspersky Endpoint Security блокирует операции этого эксплойта.

Чтобы выбрать действие при обнаружении эксплойта, выполните следующие действия:

  1. В главном окне приложения нажмите на кнопку icon_settings.
  2. В окне параметров приложения выберите раздел Продвинутая защитаЗащита от эксплойтов.
  3. В блоке При обнаружении эксплойта выберите нужное действие:
    • Блокировать операцию. Если выбран этот элемент, то, обнаружив эксплойт, Kaspersky Endpoint Security блокирует операции этого эксплойта и создает в журнале запись, содержащую информацию об этом эксплойте.
    • Информировать. Если выбран этот элемент, то, обнаружив эксплойт, Kaspersky Endpoint Security создает в журнале запись, содержащую информацию об этом эксплойте, и добавляет информацию об этом эксплойте в список активных угроз.
  4. Сохраните внесенные изменения.
В начало

[Topic 158231]

Защита памяти системных процессов

По умолчанию защита памяти системных процессов включена.

Чтобы включить или выключить защиту памяти системных процессов, выполните следующие действия:

  1. В главном окне приложения нажмите на кнопку icon_settings.
  2. В окне параметров приложения выберите раздел Продвинутая защитаЗащита от эксплойтов.
  3. Используйте переключатель Включить защиту памяти системных процессов, чтобы включить или выключить функцию.
  4. Сохраните внесенные изменения.

В результате Kaspersky Endpoint Security будет блокировать сторонние процессы, осуществляющие попытки доступа к системным процессам.

В начало

[Topic 151031]

Анализ поведения

Компонент Анализ поведения получает данные о действиях приложений на вашем компьютере и предоставляет эту информацию другим компонентам защиты для повышения эффективности их работы. Компонент Анализ поведения использует шаблоны опасного поведения приложений. Если активность приложения совпадает с одним из шаблонов опасного поведения, Kaspersky Endpoint Security выполняет выбранное ответное действие. Функциональность Kaspersky Endpoint Security, основанная на шаблонах опасного поведения, обеспечивает проактивную защиту компьютера.

В этом разделе

Включение и выключение Анализа поведения

Выбор действия при обнаружении вредоносной активности приложения

Защита папок общего доступа от внешнего шифрования
В начало

[Topic 151064]

Включение и выключение Анализа поведения

По умолчанию Анализ поведения включен и работает в режиме, рекомендованном специалистами "Лаборатории Касперского". Вы можете выключить Анализ поведения при необходимости.

Не рекомендуется выключать Анализ поведения без необходимости, так как это снижает эффективность работы компонентов защиты. Компоненты защиты могут запрашивать данные, полученные компонентом Анализ поведения, для обнаружения угроз.

Чтобы включить или выключить Анализ поведения, выполните следующие действия:

  1. В главном окне приложения нажмите на кнопку icon_settings.
  2. В окне параметров приложения выберите раздел Продвинутая защитаАнализ поведения.
  3. Используйте переключатель Анализ поведения, чтобы включить или выключить компонент.
  4. Сохраните внесенные изменения.

В результате, если Анализ поведения включен, Kaspersky Endpoint Security будет анализировать активность приложений в операционной системе, используя шаблоны опасного поведения.

В начало

[Topic 151065]

Выбор действия при обнаружении вредоносной активности приложения

Чтобы выбрать действие при обнаружении вредоносной активности приложения, выполните следующие действия:

  1. В главном окне приложения нажмите на кнопку icon_settings.
  2. В окне параметров приложения выберите раздел Продвинутая защитаАнализ поведения.
  3. В блоке При обнаружении вредоносной активности приложения выберите нужное действие:
    • Удалять файл. Если выбран этот элемент, то, обнаружив вредоносную активность приложения, Kaspersky Endpoint Security удаляет исполняемый файл вредоносного приложения и создает резервную копию файла в резервном хранилище.
    • Завершать работу приложения. Если выбран этот элемент, то, обнаружив вредоносную активность приложения, Kaspersky Endpoint Security завершает работу этого приложения.
    • Информировать. Если выбран этот элемент, то, обнаружив вредоносную активность приложения, Kaspersky Endpoint Security добавляет информацию о вредоносной активности этого приложения в список активных угроз.

  4. Сохраните внесенные изменения.
В начало

[Topic 151229]

Защита папок общего доступа от внешнего шифрования

Компонент обеспечивает отслеживание операций только над теми файлами, которые расположены на запоминающих устройствах с файловой системой NTFS и не зашифрованы системой EFS.

Функция защиты папок общего доступа от внешнего шифрования обеспечивает анализ активности в папках общего доступа. Если активность совпадает с одним из шаблонов поведения, характерного для внешнего шифрования, Kaspersky Endpoint Security выполняет выбранное действие.

По умолчанию защита папок общего доступа от внешнего шифрования выключена.

После установки Kaspersky Endpoint Security функция защиты папок общего доступа от внешнего шифрования будет ограничена до перезагрузки компьютера.

В этом разделе

Включение и выключение защиты папок общего доступа от внешнего шифрования

Выбор действия при обнаружении внешнего шифрования папок общего доступа

Создание исключения для защиты папок общего доступа от внешнего шифрования

Настройка адресов исключений из защиты папок общего доступа от внешнего шифрования

Экспорт и импорт списка исключений из защиты папок общего доступа от внешнего шифрования
В начало

[Topic 151230]

Включение и выключение защиты папок общего доступа от внешнего шифрования

После установки Kaspersky Endpoint Security функция защиты папок общего доступа от внешнего шифрования будет ограничена до перезагрузки компьютера.

Чтобы включить или выключить защиту папок общего доступа от внешнего шифрования, выполните следующие действия:

  1. В главном окне приложения нажмите на кнопку icon_settings.
  2. В окне параметров приложения выберите раздел Продвинутая защитаАнализ поведения.
  3. Используйте переключатель Включить защиту папок общего доступа от внешнего шифрования, чтобы включить или выключить анализ активности, характерную для внешнего шифрования.
  4. Сохраните внесенные изменения.
В начало

[Topic 151231]

Выбор действия при обнаружении внешнего шифрования папок общего доступа

Чтобы выбрать действие при обнаружении внешнего шифрования папок общего доступа, выполните следующие действия:

  1. В главном окне приложения нажмите на кнопку icon_settings.
  2. В окне параметров приложения выберите раздел Продвинутая защитаАнализ поведения.
  3. В блоке Защита папок общего доступа от внешнего шифрования выберите нужное действие:
    • Блокировать соединение на N мин. (от 1 до 43800). Если выбран этот вариант, то при обнаружении попытки изменения файлов в папках общего доступа, Kaspersky Endpoint Security выполняет следующие действия:
      • блокирует доступ на изменение файлов (только чтение) для сессии, которая инициировала вредоносную активность;
      • создает резервные копии подверженных изменению файлов;
      • добавляет запись в отчеты локального интерфейса приложения;
      • отправляет в Kaspersky Security Center информацию об обнаружении вредоносной активности.

      Если при этом включен компонент Откат вредоносных действий, то выполняется восстановление измененных файлов из резервных копий.

    • Информировать. Если выбран этот вариант, то при обнаружении попытки изменения файлов в папках общего доступа, Kaspersky Endpoint Security выполняет следующие действия:
  4. Сохраните внесенные изменения.
В начало

[Topic 234668]

Создание исключения для защиты папок общего доступа от внешнего шифрования

Исключение папки позволит сократить количество ложных срабатываний, если в вашей организации используется шифрование данных при обмене файлами с помощью папок общего доступа. Например, Анализ поведения может создавать ложные срабатывания при работе пользователя с файлами с расширением ENC в папке общего доступа. Такая активность совпадает с шаблоном поведения, характерного для внешнего шифрования. Если вы зашифровали файлы в папке общего доступа для защиты данных, добавьте эту папку в исключения.

Как создать исключение для защиты папок общего доступа в Консоли администрирования (MMC)

  1. Откройте Консоль администрирования Kaspersky Security Center.
  2. В папке Управляемые устройства дерева Консоли администрирования откройте папку с названием группы администрирования, в состав которой входят нужные клиентские компьютеры.
  3. В рабочей области выберите закладку Политики.
  4. Выберите нужную политику и откройте свойства политики двойным щелчком мыши.
  5. В окне политики выберите Общие настройкиИсключения.
  6. В блоке Исключения из проверки и доверенные приложения нажмите на кнопку Настройка.
  7. В открывшемся окне выберите закладку Исключения из проверки.

    Откроется окно со списком исключений.

  8. Установите флажок Объединять значения при наследовании, если вы хотите создать общий список исключений для всех компьютеров организации. Списки исключений родительских и дочерних политик будут объединены. Для объединения списков должно быть включено наследование параметров родительской политики. Исключения родительской политики отображаются в дочерних политиках и доступны только для просмотра. Изменение или удаление исключений родительской политики невозможно.
  9. Установите флажок Разрешить использование локальных доверенных программ, если вы хотите чтобы у пользователя была возможность создать локальный список исключений. Таким образом, кроме общего списка исключений, сформированного в политике, пользователь может создавать собственный локальный список исключений. Администратор с помощью Kaspersky Security Center может просматривать, добавлять, изменять или удалять элементы списка в свойствах компьютера.

    Если флажок снят, пользователю доступен только общий список исключений, сформированный в политике.

  10. Нажмите на кнопку Добавить.
  11. В блоке Свойства установите флажок Файл или папка.
  12. По ссылке выберите файл или папку, расположенной в блоке Описание исключения из проверки (нажмите на подчеркнутые элементы для их изменения), откройте окно Имя файла или папки.
  13. Выберите папку общего доступа, нажав на кнопку Обзор.

    Также вы можете ввести путь вручную. Kaspersky Endpoint Security поддерживает символы * и ? для ввода маски:

    • Символ *, который заменяет любой набор символов, в том числе пустой, кроме символов \ и / (разделители имен файлов и папок в путях к файлам и папкам). Например, маска C:\*\*.txt будет включать все пути к файлам с расширением txt, расположенным в папках на диске (C:), но не в подпапках.
    • Два введенных подряд символа * заменяют любой набор символов, в том числе пустой, в имени файла или папки, включая символы \ и / (разделители имен файлов и папок в путях к файлам и папкам). Например, маска C:\Folder\**\*.txt будет включать все пути к файлам с расширением txt в папках, вложенных в папку Folder, кроме самой папки Folder. Маска должна включать хотя бы один уровень вложенности. Маска C:\**\*.txt не работает.
    • Символ ?, который заменяет любой один символ, кроме символов \ и / (разделители имен файлов и папок в путях к файлам и папкам). Например, маска C:\Folder\???.txt будет включать пути ко всем расположенным в папке Folder файлам с расширением txt и именем, состоящим из трех символов.
  14. Если необходимо, в поле Комментарий введите краткий комментарий к создаваемому исключению из проверки.
  15. По ссылке любые, расположенной в блоке Описание исключения из проверки (нажмите на подчеркнутые элементы для их изменения), активируйте ссылку выберите компоненты.
  16. По ссылке выберите компоненты откройте окно Компоненты защиты.
  17. Установите флажок напротив компонента Анализ поведения.
  18. Сохраните внесенные изменения.

Как создать исключение для защиты папок общего доступа в Web Console и Cloud Console

  1. В главном окне Web Console выберите УстройстваПолитики и профили политик.
  2. Нажмите на название политики Kaspersky Endpoint Security.

    Откроется окно свойств политики.

  3. Выберите закладку Параметры программы.
  4. Перейдите в раздел Общие настройкиИсключения.
  5. В блоке Исключения из проверки и доверенные программы перейдите по ссылке Исключения из проверки.
  6. Установите флажок Объединять значения при наследовании, если вы хотите создать общий список исключений для всех компьютеров организации. Списки исключений родительских и дочерних политик будут объединены. Для объединения списков должно быть включено наследование параметров родительской политики. Исключения родительской политики отображаются в дочерних политиках и доступны только для просмотра. Изменение или удаление исключений родительской политики невозможно.
  7. Установите флажок Разрешить использование локальных доверенных программ, если вы хотите чтобы у пользователя была возможность создать локальный список исключений. Таким образом, кроме общего списка исключений, сформированного в политике, пользователь может создавать собственный локальный список исключений. Администратор с помощью Kaspersky Security Center может просматривать, добавлять, изменять или удалять элементы списка в свойствах компьютера.

    Если флажок снят, пользователю доступен только общий список исключений, сформированный в политике.

  8. Нажмите на кнопку Добавить.
  9. Выберите способ добавления исключения Файл или папка.
  10. Выберите папку общего доступа, нажав на кнопку Обзор.

    Также вы можете ввести путь вручную. Kaspersky Endpoint Security поддерживает символы * и ? для ввода маски:

    • Символ *, который заменяет любой набор символов, в том числе пустой, кроме символов \ и / (разделители имен файлов и папок в путях к файлам и папкам). Например, маска C:\*\*.txt будет включать все пути к файлам с расширением txt, расположенным в папках на диске (C:), но не в подпапках.
    • Два введенных подряд символа * заменяют любой набор символов, в том числе пустой, в имени файла или папки, включая символы \ и / (разделители имен файлов и папок в путях к файлам и папкам). Например, маска C:\Folder\**\*.txt будет включать все пути к файлам с расширением txt в папках, вложенных в папку Folder, кроме самой папки Folder. Маска должна включать хотя бы один уровень вложенности. Маска C:\**\*.txt не работает.
    • Символ ?, который заменяет любой один символ, кроме символов \ и / (разделители имен файлов и папок в путях к файлам и папкам). Например, маска C:\Folder\???.txt будет включать пути ко всем расположенным в папке Folder файлам с расширением txt и именем, состоящим из трех символов.
  11. В блоке Компоненты защиты выберите компонент Анализ поведения.
  12. Если необходимо, в поле Комментарий введите краткий комментарий к создаваемому исключению из проверки.
  13. Установите статус для исключения Активно.

    Вы можете в любое время остановить работу исключения с помощью переключателя.

  14. Сохраните внесенные изменения.

Как создать исключение для защиты папок общего доступа в интерфейсе приложения

  1. В главном окне приложения нажмите на кнопку icon_settings.
  2. В окне параметров приложения выберите раздел Общие настройкиУгрозы и исключения.
  3. В блоке Исключения перейдите по ссылке Настроить исключения.
  4. Нажмите на кнопку Добавить.
  5. Выберите папку общего доступа, нажав на кнопку Обзор.

    Также вы можете ввести путь вручную. Kaspersky Endpoint Security поддерживает символы * и ? для ввода маски:

    • Символ *, который заменяет любой набор символов, в том числе пустой, кроме символов \ и / (разделители имен файлов и папок в путях к файлам и папкам). Например, маска C:\*\*.txt будет включать все пути к файлам с расширением txt, расположенным в папках на диске (C:), но не в подпапках.
    • Два введенных подряд символа * заменяют любой набор символов, в том числе пустой, в имени файла или папки, включая символы \ и / (разделители имен файлов и папок в путях к файлам и папкам). Например, маска C:\Folder\**\*.txt будет включать все пути к файлам с расширением txt в папках, вложенных в папку Folder, кроме самой папки Folder. Маска должна включать хотя бы один уровень вложенности. Маска C:\**\*.txt не работает.
    • Символ ?, который заменяет любой один символ, кроме символов \ и / (разделители имен файлов и папок в путях к файлам и папкам). Например, маска C:\Folder\???.txt будет включать пути ко всем расположенным в папке Folder файлам с расширением txt и именем, состоящим из трех символов.
  6. В блоке Компоненты защиты выберите компонент Анализ поведения.
  7. Если необходимо, в поле Комментарий введите краткий комментарий к создаваемому исключению из проверки.
  8. Установите статус для исключения Активно.

    Вы можете в любое время остановить работу исключения с помощью переключателя.

  9. Сохраните внесенные изменения.
В начало

[Topic 151232]

Настройка адресов исключений из защиты папок общего доступа от внешнего шифрования

Для работы функциональности исключений адресов из защиты папок общего доступа от внешнего шифрования необходимо включить службу Аудит входа в систему. По умолчанию служба Аудит входа в систему выключена (подробную информацию о включении службы Аудит входа в систему см. на сайте корпорации Microsoft).

Функциональность исключений адресов из защиты папок общего доступа не работает на удаленном компьютере, если этот удаленный компьютер был включен до запуска Kaspersky Endpoint Security. Вы можете перезагрузить этот удаленный компьютер после запуска Kaspersky Endpoint Security, чтобы обеспечить работу функциональности исключений адресов из защиты папок общего доступа на этом удаленном компьютере.

Чтобы исключить из защиты удаленные компьютеры, осуществляющие внешнее шифрование папок общего доступа, выполните следующие действия:

  1. В главном окне приложения нажмите на кнопку icon_settings.
  2. В окне параметров приложения выберите раздел Продвинутая защитаАнализ поведения.
  3. В блоке Исключения перейдите по ссылке Настройка адресов исключений.
  4. Если вы хотите добавить IP-адрес или имя компьютера в список исключений, нажмите на кнопку Добавить.
  5. Введите IP-адрес компьютера или имя компьютера, попытки внешнего шифрования с которого не должны обрабатываться.
  6. Сохраните внесенные изменения.
В начало

[Topic 201977]

Экспорт и импорт списка исключений из защиты папок общего доступа от внешнего шифрования

Вы можете экспортировать список исключений в файл в формате XML. Далее вы можете вносить изменения в файл, чтобы, например, добавить большое количество однотипных адресов. Также вы можете использовать функцию экспорта / импорта для резервного копирования списка исключений или для миграции списка на другой сервер.

Как экспортировать / импортировать список исключений в Консоли администрирования (MMC)

  1. Откройте Консоль администрирования Kaspersky Security Center.
  2. В папке Управляемые устройства дерева Консоли администрирования откройте папку с названием группы администрирования, в состав которой входят нужные клиентские компьютеры.
  3. В рабочей области выберите закладку Политики.
  4. Выберите нужную политику и откройте свойства политики двойным щелчком мыши.
  5. В окне политики выберите Продвинутая защитаАнализ поведения.
  6. В блоке Настройка защиты от сетевых угроз нажмите на кнопку Исключения.
  7. Для экспорта списка исключений выполните следующие действия:
    1. Выберите исключения, которые вы хотите экспортировать. Чтобы выбрать несколько записей, используйте клавиши CTRL или SHIFT.

      Если вы не выбрали ни одного исключения, Kaspersky Endpoint Security экспортирует все исключения.

    2. Нажмите на ссылку Экспортировать.
    3. В открывшемся окне введите имя файла формата XML, в который вы хотите экспортировать список исключений, а также выберите папку, в которой вы хотите сохранить этот файл.
    4. Сохраните файл.

      Kaspersky Endpoint Security экспортирует список исключений в XML-файл.

  8. Для импорта списка исключений выполните следующие действия:
    1. Нажмите на кнопку Импорт.
    2. В открывшемся окне выберите XML-файл, из которого вы хотите импортировать список исключений.
    3. Откройте файл.

      Если на компьютере уже есть список исключений, Kaspersky Endpoint Security предложит удалить действующий список или добавить в него новые записи из XML-файла.

  9. Сохраните внесенные изменения.

Как экспортировать / импортировать список исключений в Web Console и Cloud Console

  1. В главном окне Web Console выберите УстройстваПолитики и профили политик.
  2. Нажмите на название политики Kaspersky Endpoint Security.

    Откроется окно свойств политики.

  3. Выберите закладку Параметры программы.
  4. Перейдите в раздел Продвинутая защитаАнализ поведения.
  5. Для экспорта списка исключений, в блоке Исключения выполните следующие действия:
    1. Выберите исключения, которые вы хотите экспортировать.
    2. Нажмите на кнопку Экспорт.
    3. Подтвердите, что вы хотите экспортировать только выбранные исключения, или экспортируйте весь список.
    4. В открывшемся окне введите имя файла формата XML, в который вы хотите экспортировать список исключений, а также выберите папку, в которой вы хотите сохранить этот файл.
    5. Сохраните файл.

      Kaspersky Endpoint Security экспортирует список исключений в XML-файл.

  6. Для импорта списка исключений, в блоке Исключения выполните следующие действия:
    1. Нажмите на кнопку Импорт.
    2. В открывшемся окне выберите XML-файл, из которого вы хотите импортировать список исключений.
    3. Откройте файл.

      Если на компьютере уже есть список исключений, Kaspersky Endpoint Security предложит удалить действующий список или добавить в него новые записи из XML-файла.

  7. Сохраните внесенные изменения.
В начало

[Topic 39265]

Предотвращение вторжений

Этот компонент доступен, если приложение Kaspersky Endpoint Security установлено на компьютере под управлением операционной системы Windows для рабочих станций. Этот компонент недоступен, если приложение Kaspersky Endpoint Security установлено на компьютере под управлением операционной системы Windows для серверов.

Компонент Предотвращение вторжений (англ. HIPS – Host Intrusion Prevention System) предотвращает выполнение приложениями опасных для системы действий, а также обеспечивает контроль доступа к ресурсам операционной системы и персональным данным. Компонент обеспечивает защиту компьютера с помощью антивирусных баз и облачной службы Kaspersky Security Network.

Компонент контролирует работу приложений с помощью прав приложений. Права приложений включают в себя следующие параметры доступа:

  • доступ к ресурсам операционной системы (например, параметры автозапуска, ключи реестра);
  • доступ к персональным данным (например, к файлам, приложениям).

Сетевую активность приложений контролирует Сетевой экран с помощью сетевых правил.

Во время первого запуска приложения компонент Предотвращение вторжений выполняет следующие действия:

  1. Проверяет безопасность приложения с помощью загруженных антивирусных баз.
  2. Проверяет безопасность приложения в Kaspersky Security Network.

    Для более эффективной работы компонента Предотвращение вторжений вам рекомендуется принять участие в Kaspersky Security Network.

  3. Помещает приложение в одну из групп доверия: Доверенные, Слабые ограничения, Сильные ограничения, Недоверенные.

    Группа доверия определяет права, которые Kaspersky Endpoint Security использует для контроля активности приложений. Kaspersky Endpoint Security помещает приложение в группу доверия в зависимости от уровня опасности, которую это приложение может представлять для компьютера.

    Kaspersky Endpoint Security помещает приложение в группу доверия для компонентов Сетевой экран и Предотвращение вторжений. Изменить группу доверия только для Сетевого экрана или только для Предотвращения вторжений невозможно.

    Если вы отказались принимать участие в KSN или отсутствует сеть, Kaspersky Endpoint Security помещает приложение в группу доверия в зависимости от параметров компонента Предотвращение вторжений. После получения данных о репутации приложения от KSN группа доверия может быть изменена автоматически.

  4. Блокирует действия приложения в зависимости от группы доверия. Например, приложениям из группы доверия "Сильные ограничения" запрещен доступ к модулям операционной системы.

При следующем запуске приложения Kaspersky Endpoint Security проверяет целостность приложения. Если приложение не было изменено, компонент применяет к ней текущие права приложения. Если приложение было изменено, Kaspersky Endpoint Security исследует приложение как при первом запуске.

В этом разделе

Включение и выключение Предотвращения вторжений

Работа с группами доверия приложений

Работа с правами приложений

Защита ресурсов ОС и персональных данных

Удаление информации о неиспользуемых приложениях

Мониторинг работы Предотвращения вторжений

Защита доступа к аудио и видео
В начало

[Topic 128217]

Включение и выключение Предотвращения вторжений

По умолчанию компонент Предотвращение вторжений включен и работает в рекомендованном специалистами "Лаборатории Касперского" режиме.

Как включить или выключить компонент Предотвращение вторжений в Консоли администрирования (MMC)

  1. Откройте Консоль администрирования Kaspersky Security Center.
  2. В папке Управляемые устройства дерева Консоли администрирования откройте папку с названием группы администрирования, в состав которой входят нужные клиентские компьютеры.
  3. В рабочей области выберите закладку Политики.
  4. Выберите нужную политику и откройте свойства политики двойным щелчком мыши.
  5. В окне политики выберите Продвинутая защитаПредотвращение вторжений.
  6. Используйте флажок Предотвращение вторжений, чтобы включить или выключить компонент.
  7. Сохраните внесенные изменения.

Как включить или выключить компонент Предотвращение вторжений в Web Console и Cloud Console

  1. В главном окне Web Console выберите УстройстваПолитики и профили политик.
  2. Нажмите на название политики Kaspersky Endpoint Security.

    Откроется окно свойств политики.

  3. Выберите закладку Параметры программы.
  4. Перейдите в раздел Продвинутая защитаПредотвращение вторжений.
  5. Используйте переключатель Предотвращение вторжений, чтобы включить или выключить компонент.
  6. Сохраните внесенные изменения.

Как включить или выключить компонент Предотвращение вторжений в интерфейсе приложения

  1. В главном окне приложения нажмите на кнопку icon_settings.
  2. В окне параметров приложения выберите раздел Продвинутая защитаПредотвращение вторжений.
  3. Используйте переключатель Предотвращение вторжений, чтобы включить или выключить компонент.
  4. Сохраните внесенные изменения.

В результате, если компонент Предотвращение вторжений включен, Kaspersky Endpoint Security помещает приложение в группу доверия в зависимости от уровня опасности, которую это приложение может представлять для компьютера. Далее Kaspersky Endpoint Security будет блокировать действия приложения в зависимости от группы доверия.

В начало

[Topic 130895]

Работа с группами доверия приложений

Во время первого запуска каждого приложения компонент Предотвращение вторжений проверяет безопасность приложения и помещает приложение в одну из групп доверия.

На первом этапе проверки приложения Kaspersky Endpoint Security ищет запись о приложении во внутренней базе известных приложений и одновременно отправляет запрос в базу Kaspersky Security Network (при наличии подключения к интернету). По результатам проверки по внутренней базе и по базе Kaspersky Security Network приложение помещается в группу доверия. При каждом повторном запуске приложения Kaspersky Endpoint Security отправляет новый запрос в базу KSN и перемещает приложение в другую группу доверия, если репутация приложения в базе KSN изменилась.

Вы можете выбрать группу доверия, в которую Kaspersky Endpoint Security должен автоматически помещать все неизвестные приложения. приложения, которые были запущены до Kaspersky Endpoint Security, автоматически помещаются в группу доверия, установленную в параметрах компонента Предотвращение вторжений.

Для приложений, запущенных до Kaspersky Endpoint Security, контролируется только сетевая активность. Контроль осуществляется согласно сетевым правилам, установленным в параметрах Сетевого экрана.

В этом разделе

Изменение группы доверия для приложения

Настройка прав группы доверия

Выбор группы доверия для приложений, запускаемых до Kaspersky Endpoint Security

Выбор группы доверия для неизвестных приложений

Выбор группы доверия для приложений с цифровой подписью
В начало

[Topic 123280]

Изменение группы доверия для приложения

Во время первого запуска каждого приложения компонент Предотвращение вторжений проверяет безопасность приложения и помещает приложение в одну из групп доверия.

Специалисты "Лаборатории Касперского" не рекомендуют перемещать приложения из группы доверия, определенной автоматически, в другую группу доверия. Вместо этого при необходимости измените права отдельного приложения.

Как изменить группу доверия для приложения в Консоли администрирования (MMC)

  1. Откройте Консоль администрирования Kaspersky Security Center.
  2. В папке Управляемые устройства дерева Консоли администрирования откройте папку с названием группы администрирования, в состав которой входят нужные клиентские компьютеры.
  3. В рабочей области выберите закладку Политики.
  4. Выберите нужную политику и откройте свойства политики двойным щелчком мыши.
  5. В окне политики выберите Продвинутая защитаПредотвращение вторжений.
  6. В блоке Права приложений и защищаемые ресурсы нажмите на кнопку Настройка.

    Откроется окно настройки прав приложений и список защищаемых ресурсов.

  7. Перейдите на закладку Права приложений.
  8. Нажмите на кнопку Добавить.
  9. В открывшемся окне задайте параметры поиска приложения, для которой вы хотите изменить группу доверия.

    Вы можете ввести название приложения или название компании производителя. Kaspersky Endpoint Security поддерживает переменные среды и символы * и ? для ввода маски.

  10. Нажмите на кнопку Обновить.

    Kaspersky Endpoint Security выполнит поиск приложения в консолидированном списке приложений, установленных на управляемых компьютерах. Kaspersky Endpoint Security покажет список приложений, которые удовлетворяют параметрам поиска.

  11. Выберите нужное приложение.
  12. В раскрывающемся списке Переместить приложение в группу доверия выберите нужную группу доверия для приложения.
  13. Сохраните внесенные изменения.

Как изменить группу доверия для приложения в Web Console и Cloud Console

  1. В главном окне Web Console выберите УстройстваПолитики и профили политик.
  2. Нажмите на название политики Kaspersky Endpoint Security.

    Откроется окно свойств политики.

  3. Выберите закладку Параметры программы.
  4. Перейдите в раздел Продвинутая защитаПредотвращение вторжений.
  5. В блоке Права приложений и защищаемые ресурсы нажмите на ссылку Права программ и защищаемые ресурсы.

    Откроется окно настройки прав приложения и список защищаемых ресурсов.

  6. Перейдите на закладку Права программ.

    Откроется список групп доверия в левой части окна и их свойства в правой части.

  7. Нажмите на кнопку Добавить.

    Запустится мастер добавления приложения в группу доверия.

  8. Выберите группу доверия, в которую вы хотите поместить приложение.
  9. Выберите тип Приложение. Нажмите на кнопку Далее.

    Если вы хотите изменить группу доверия для нескольких приложений, выберите тип Группа и задайте имя группы приложений.

  10. В открывшемся списке приложений выберите приложения, для которых вы хотите изменить группу доверия.

    Используйте фильтр. Вы можете ввести название приложения или название компании производителя. Kaspersky Endpoint Security поддерживает переменные среды и символы * и ? для ввода маски.

  11. Завершите работу мастера по кнопке ОК.

    Приложение будет добавлено в группу доверия.

  12. Сохраните внесенные изменения.

Как изменить группу доверия для приложения в интерфейсе приложения

  1. В главном окне приложения нажмите на кнопку icon_settings.
  2. В окне параметров приложения выберите раздел Продвинутая защитаПредотвращение вторжений.
  3. Нажмите на кнопку Управление приложениями.

    Откроется список установленных приложений.

  4. Выберите нужное приложение.
  5. В контекстном меню приложения выберите пункт Ограничения<группа доверия>.
  6. Сохраните внесенные изменения.

В результате приложение будет перемещено в другую группу доверия. Далее Kaspersky Endpoint Security будет блокировать действия приложения в зависимости от группы доверия. Приложению будет присвоен статус icon_HIPS_user_choice (задано пользователем). При изменении репутации приложения в Kaspersky Security Network компонент Предотвращение вторжений оставит группу доверия для этого приложения без изменений.

В начало

[Topic 133777]

Настройка прав группы доверия

По умолчанию для разных групп доверия созданы оптимальные права приложений. Параметры прав групп приложений, входящих в группу доверия, наследуют значения параметров прав групп доверия.

Как изменить права группы доверия в Консоли администрирования (MMC)

  1. Откройте Консоль администрирования Kaspersky Security Center.
  2. В папке Управляемые устройства дерева Консоли администрирования откройте папку с названием группы администрирования, в состав которой входят нужные клиентские компьютеры.
  3. В рабочей области выберите закладку Политики.
  4. Выберите нужную политику и откройте свойства политики двойным щелчком мыши.
  5. В окне политики выберите Продвинутая защитаПредотвращение вторжений.
  6. В блоке Права приложений и защищаемые ресурсы нажмите на кнопку Настройка.

    Откроется окно настройки прав приложений и список защищаемых ресурсов.

  7. Перейдите на закладку Права приложений.
  8. Выберите нужную группу доверия.
  9. В контекстном меню группы доверия выберите пункт Права группы.

    Откроются свойства группы доверия.

  10. Выполните одно из следующих действий:
    • Выберите закладку Файлы и системный реестр, если вы хотите изменить права группы доверия, регулирующие операции с реестром операционной системы, файлами пользователя и параметрами приложений.
    • Выберите закладку Права, если вы хотите изменить права группы доверия, регулирующие доступ к процессам и объектам операционной системы.

    Сетевую активность приложений контролирует Сетевой экран с помощью сетевых правил.

  11. Для нужного ресурса в графе соответствующего действия по правой клавише мыши откройте контекстное меню и выберите нужный пункт: Наследовать, Разрешать () или Запрещать ().
  12. Если вы хотите контролировать использование ресурсов компьютера, выберите пункт Записывать в отчет (icon_WC_Forbid_Report / icon_WC_Access_Report).

    Kaspersky Endpoint Security будет записывать информацию о работе компонента Предотвращение вторжений. Отчеты содержат информацию о выполнении приложением операций с ресурсами компьютера (разрешено или запрещено). Также отчеты содержат информацию о приложениях, которые используют каждый ресурс.

  13. Сохраните внесенные изменения.

Как изменить права группы доверия в Web Console и Cloud Console

  1. В главном окне Web Console выберите УстройстваПолитики и профили политик.
  2. Нажмите на название политики Kaspersky Endpoint Security.

    Откроется окно свойств политики.

  3. Выберите закладку Параметры программы.
  4. Перейдите в раздел Продвинутая защитаПредотвращение вторжений.
  5. В блоке Права приложений и защищаемые ресурсы нажмите на ссылку Права приложений и защищаемые ресурсы.

    Откроется окно настройки прав приложений и список защищаемых ресурсов.

  6. Перейдите на закладку Права программ.

    Откроется список групп доверия в левой части окна и их свойства в правой части.

  7. В левой части окна выберите нужную группу доверия.
  8. В правой части окна в раскрывающемся списке выполните одно из следующих действий:
    • Выберите пункт Файлы и системный реестр, если вы хотите изменить права группы доверия, регулирующие операции с реестром операционной системы, файлами пользователя и параметрами приложения.
    • Выберите пункт Права, если вы хотите изменить права группы доверия, регулирующие доступ к процессам и объектам операционной системы.

    Сетевую активность приложений контролирует Сетевой экран с помощью сетевых правил.

  9. Для нужного ресурса в графе соответствующего действия выберите нужный пункт: Наследовать, Разрешать (icon_WC_Web_Access_Allow), Запрещать (icon_WC_Web_Access_Forbid).
  10. Если вы хотите контролировать использование ресурсов компьютера, выберите пункт Записывать в отчет (icon_WC_Web_Access_Allow_Report / icon_WC_Web_Access_Forbid_Repotr).

    Kaspersky Endpoint Security будет записывать информацию о работе компонента Предотвращение вторжений. Отчеты содержат информацию о выполнении приложением операций с ресурсами компьютера (разрешено или запрещено). Также отчеты содержат информацию о приложениях, которые используют каждый ресурс.

  11. Сохраните внесенные изменения.

Как изменить права группы доверия в интерфейсе приложения

  1. В главном окне приложения нажмите на кнопку icon_settings.
  2. В окне параметров приложения выберите раздел Продвинутая защитаПредотвращение вторжений.
  3. Нажмите на кнопку Управление приложениями.

    Откроется список установленных приложений.

  4. Выберите нужную группу доверия.
  5. В контекстном меню группы доверия выберите пункт Подробности и правила.

    Откроются свойства группы доверия.

  6. Выполните одно из следующих действий:
    • Выберите закладку Файлы и системный реестр, если вы хотите изменить права группы доверия, регулирующие операции с реестром операционной системы, файлами пользователя и параметрами приложений.
    • Выберите закладку Права, если вы хотите изменить права группы доверия, регулирующие доступ к процессам и объектам операционной системы.

    Сетевую активность приложений контролирует Сетевой экран с помощью сетевых правил.

  7. Для нужного ресурса в графе соответствующего действия по правой клавише мыши откройте контекстное меню и выберите нужный пункт: Наследовать, Разрешить (icon_WC_Local_Access_Allow), Запретить (icon_WC_Local_Access_Forbid).
  8. Если вы хотите контролировать использование ресурсов компьютера, выберите пункт Записывать в отчет (icon_WC_Local_Access_Report).

    Kaspersky Endpoint Security будет записывать информацию о работе компонента Предотвращение вторжений. Отчеты содержат информацию о выполнении приложением операций с ресурсами компьютера (разрешено или запрещено). Также отчеты содержат информацию о приложениях, которые используют каждый ресурс.

  9. Сохраните внесенные изменения.

В результате права группы доверия будут изменены. Далее Kaspersky Endpoint Security будет блокировать действия приложения в зависимости от группы доверия. Группе доверия будет присвоен статус icon_HIPS_Settings_Edited (Настройки пользователя).

В начало

[Topic 130891]

Выбор группы доверия для приложений, запускаемых до Kaspersky Endpoint Security

Для приложений, запущенных до Kaspersky Endpoint Security, контролируется только сетевая активность. Контроль осуществляется согласно сетевым правилам, установленным в параметрах Сетевого экрана. Чтобы указать, какими сетевыми правилами должен регулироваться контроль сетевой активности таких приложений, необходимо выбрать группу доверия.

Как выбрать группу доверия для приложений, запускаемых до Kaspersky Endpoint Security, в Консоли администрирования (MMC)

  1. Откройте Консоль администрирования Kaspersky Security Center.
  2. В папке Управляемые устройства дерева Консоли администрирования откройте папку с названием группы администрирования, в состав которой входят нужные клиентские компьютеры.
  3. В рабочей области выберите закладку Политики.
  4. Выберите нужную политику и откройте свойства политики двойным щелчком мыши.
  5. В окне политики выберите Продвинутая защитаПредотвращение вторжений.
  6. В блоке Права приложений и защищаемые ресурсы нажмите на кнопку Изменить.
  7. Для параметра Группа доверия для приложений, запущенных до начала работы Kaspersky Endpoint Security для Windows выберите нужную группу доверия.
  8. Сохраните внесенные изменения.

Как выбрать группу доверия для приложений, запускаемых до Kaspersky Endpoint Security, в Web Console и Cloud Console

  1. В главном окне Web Console выберите УстройстваПолитики и профили политик.
  2. Нажмите на название политики Kaspersky Endpoint Security.

    Откроется окно свойств политики.

  3. Выберите закладку Параметры программы.
  4. Перейдите в раздел Продвинутая защитаПредотвращение вторжений.
  5. Для параметра Группа доверия для приложений, запущенных до начала работы Kaspersky Endpoint Security для Windows выберите нужную группу доверия.
  6. Сохраните внесенные изменения.

Как выбрать группу доверия для приложений, запускаемых до Kaspersky Endpoint Security, в интерфейсе приложения

  1. В главном окне приложения нажмите на кнопку icon_settings.
  2. В окне параметров приложения выберите раздел Продвинутая защитаПредотвращение вторжений.
  3. В блоке Группа доверия для приложений, запущенных до начала работы Kaspersky Endpoint Security для Windows выберите нужную группу доверия.
  4. Сохраните внесенные изменения.

В результате приложение, запускаемое до Kaspersky Endpoint Security, будет помещено в другую группу доверия. Далее Kaspersky Endpoint Security будет блокировать действия приложения в зависимости от группы доверия.

В начало

[Topic 39270]

Выбор группы доверия для неизвестных приложений

Во время первого запуска приложения компонент Предотвращение вторжений определяет группу доверия для приложения. Если у вас отсутствует доступ в интернет или в Kaspersky Security Network нет информации об этом приложении, то Kaspersky Endpoint Security по умолчанию помещает приложение в группу "Слабые ограничения". При обнаружении в KSN информации о ранее неизвестном приложении Kaspersky Endpoint Security обновит права приложения. После этого вы можете изменить права приложения вручную.

Как выбрать группу доверия для неизвестных приложений в Консоли администрирования (MMC)

  1. Откройте Консоль администрирования Kaspersky Security Center.
  2. В папке Управляемые устройства дерева Консоли администрирования откройте папку с названием группы администрирования, в состав которой входят нужные клиентские компьютеры.
  3. В рабочей области выберите закладку Политики.
  4. Выберите нужную политику и откройте свойства политики двойным щелчком мыши.
  5. В окне политики выберите Продвинутая защитаПредотвращение вторжений.
  6. В блоке Правила обработки приложений с помощью раскрывающегося списка Группа доверия для приложений, которые не удалось распределить по другим группам выберите нужную группу доверия.

    Если участие в Kaspersky Security Network включено, Kaspersky Endpoint Security отправляет запрос о репутации приложения в KSN при каждом запуске приложения. На основе полученного ответа приложение может быть перемещено в группу доверия, отличную от заданной в параметрах компонента Предотвращение вторжений.

  7. Используйте флажок Обновлять права для ранее неизвестных приложений из базы KSN, чтобы настроить автоматическое обновление прав неизвестных приложений.
  8. Сохраните внесенные изменения.

Как выбрать группу доверия для неизвестных приложений в Web Console и Cloud Console

  1. В главном окне Web Console выберите УстройстваПолитики и профили политик.
  2. Нажмите на название политики Kaspersky Endpoint Security.

    Откроется окно свойств политики.

  3. Выберите закладку Параметры программы.
  4. Перейдите в раздел Продвинутая защитаПредотвращение вторжений.
  5. В блоке Правила обработки приложений с помощью раскрывающегося списка Группа доверия для приложений, которые не удалось распределить по другим группам выберите нужную группу доверия.

    Если участие в Kaspersky Security Network включено, Kaspersky Endpoint Security отправляет запрос о репутации приложения в KSN при каждом запуске приложения. На основе полученного ответа приложение может быть перемещено в группу доверия, отличную от заданной в параметрах компонента Предотвращение вторжений.

  6. Используйте флажок Обновлять права для ранее неизвестных приложений из базы KSN, чтобы настроить автоматическое обновление прав неизвестных приложений.
  7. Сохраните внесенные изменения.

Как выбрать группу доверия для неизвестных приложений в интерфейсе приложения

  1. В главном окне приложения нажмите на кнопку icon_settings.
  2. В окне параметров приложения выберите раздел Продвинутая защитаПредотвращение вторжений.
  3. В блоке Правила обработки приложений выберите нужную группу доверия.

    Если участие в Kaspersky Security Network включено, Kaspersky Endpoint Security отправляет запрос о репутации приложения в KSN при каждом запуске приложения. На основе полученного ответа приложение может быть перемещено в группу доверия, отличную от заданной в параметрах компонента Предотвращение вторжений.

  4. Используйте флажок Обновлять правила для ранее неизвестных приложений из KSN, чтобы настроить автоматическое обновление прав неизвестных приложений.
  5. Сохраните внесенные изменения.
В начало

[Topic 128240]

Выбор группы доверия для приложений с цифровой подписью

Kaspersky Endpoint Security всегда помещает приложения, подписанные сертификатами Microsoft или сертификатами "Лаборатории Касперского", в группу доверия "Доверенные".

Как выбрать группу доверия для приложений с цифровой подписью в Консоли администрирования (MMC)

  1. Откройте Консоль администрирования Kaspersky Security Center.
  2. В папке Управляемые устройства дерева Консоли администрирования откройте папку с названием группы администрирования, в состав которой входят нужные клиентские компьютеры.
  3. В рабочей области выберите закладку Политики.
  4. Выберите нужную политику и откройте свойства политики двойным щелчком мыши.
  5. В окне политики выберите Продвинутая защитаПредотвращение вторжений.
  6. В блоке Правила обработки приложений используйте флажок Доверять приложениям, имеющим цифровую подпись, чтобы включить или выключить автоматическое перемещение приложений с цифровой подписью доверенных производителей в группу доверия "Доверенные".

    Доверенные производители – производители, которые включены в список доверенных "Лабораторией Касперского". Также вы можете добавить сертификат производителя в доверенное системное хранилище сертификатов вручную.

    Если флажок снят, компонент Предотвращение вторжений не считает приложения с цифровой подписью доверенными и распределяет их по группам доверия на основании других параметров.

  7. Сохраните внесенные изменения.

Как выбрать группу доверия для приложений с цифровой подписью в Web Console и Cloud Console

  1. В главном окне Web Console выберите УстройстваПолитики и профили политик.
  2. Нажмите на название политики Kaspersky Endpoint Security.

    Откроется окно свойств политики.

  3. Выберите закладку Параметры программы.
  4. Перейдите в раздел Продвинутая защитаПредотвращение вторжений.
  5. В блоке Правила обработки приложений используйте флажок Доверять приложениям, имеющим цифровую подпись, чтобы включить или выключить автоматическое перемещение приложений с цифровой подписью доверенных производителей в группу доверия "Доверенные".

    Доверенные производители – производители, которые включены в список доверенных "Лабораторией Касперского". Также вы можете добавить сертификат производителя в доверенное системное хранилище сертификатов вручную.

    Если флажок снят, компонент Предотвращение вторжений не считает приложения с цифровой подписью доверенными и распределяет их по группам доверия на основании других параметров.

  6. Сохраните внесенные изменения.

Как выбрать группу доверия для приложений с цифровой подписью в интерфейсе приложения

  1. В главном окне приложения нажмите на кнопку icon_settings.
  2. В окне параметров приложения выберите раздел Продвинутая защитаПредотвращение вторжений.
  3. В блоке Правила обработки приложений используйте флажок Доверять приложениям, имеющим цифровую подпись, чтобы включить или выключить автоматическое перемещение приложений с цифровой подписью доверенных производителей в группу доверия "Доверенные".

    Доверенные производители – производители, которые включены в список доверенных "Лабораторией Касперского". Также вы можете добавить сертификат производителя в доверенное системное хранилище сертификатов вручную.

    Если флажок снят, компонент Предотвращение вторжений не считает приложения с цифровой подписью доверенными и распределяет их по группам доверия на основании других параметров.

  4. Сохраните внесенные изменения.
В начало

[Topic 39278]

Работа с правами приложений

По умолчанию для контроля работы приложения применяются права приложений, определенные для той группы доверия, в которую Kaspersky Endpoint Security поместил приложение при первом ее запуске. При необходимости вы можете изменить права приложений для всей группы доверия, для отдельного приложения или группы приложений внутри группы доверия.

Права приложений, заданные вручную, имеют более высокий приоритет, чем права приложений, определенные для группы доверия. То есть, если права приложения, заданные вручную, отличаются от прав приложений, определенных для группы доверия, компонент Предотвращение вторжения контролирует работу приложения в соответствии с правами приложений, заданными вручную.

Правила, которые вы создаете для приложений, наследуются дочерними приложениями. Например, если вы запретили любую сетевую активность приложению cmd.exe, этот запрет будет распространятся на приложение notepad.exe, если она была запущена с помощью cmd.exe. При опосредованном запуске приложения (если приложение не является дочерним по отношению к приложению, из которого оно запускается), правила унаследованы не будут.

Как изменить права приложения в Консоли администрирования (MMC)

  1. Откройте Консоль администрирования Kaspersky Security Center.
  2. В папке Управляемые устройства дерева Консоли администрирования откройте папку с названием группы администрирования, в состав которой входят нужные клиентские компьютеры.
  3. В рабочей области выберите закладку Политики.
  4. Выберите нужную политику и откройте свойства политики двойным щелчком мыши.
  5. В окне политики выберите Продвинутая защитаПредотвращение вторжений.
  6. В блоке Права приложений и защищаемые ресурсы нажмите на кнопку Настройка.

    Откроется окно настройки прав приложений и список защищаемых ресурсов.

  7. Перейдите на закладку Права приложений.
  8. Нажмите на кнопку Добавить.
  9. В открывшемся окне задайте параметры поиска приложения, для которого вы хотите изменить права приложения.

    Вы можете ввести название приложения или название компании производителя. Kaspersky Endpoint Security поддерживает переменные среды и символы * и ? для ввода маски.

  10. Нажмите на кнопку Обновить.

    Kaspersky Endpoint Security выполнит поиск приложений в консолидированном списке приложений, установленных на управляемых компьютерах. Kaspersky Endpoint Security покажет список приложений, которые удовлетворяют параметрам поиска.

  11. Выберите нужное приложение.
  12. В раскрывающемся списке Переместить приложение в группу доверия выберите пункт Исходные группы и нажмите на кнопку .

    Приложение будет добавлено в исходную группу.

  13. Выберите нужное приложение и в контекстном меню приложения выберите пункт Права приложения.

    Откроются свойства приложения.

  14. Выполните одно из следующих действий:
    • Выберите закладку Файлы и системный реестр, если вы хотите изменить права группы доверия, регулирующие операции с реестром операционной системы, файлами пользователя и параметрами приложений.
    • Выберите закладку Права, если вы хотите изменить права группы доверия, регулирующие доступ к процессам и объектам операционной системы.

    Сетевую активность приложений контролирует Сетевой экран с помощью сетевых правил.

  15. Для нужного ресурса в графе соответствующего действия по правой клавише мыши откройте контекстное меню и выберите нужный пункт: Наследовать, Разрешать () или Запрещать ().
  16. Если вы хотите контролировать использование ресурсов компьютера, выберите пункт Записывать в отчет (icon_WC_Forbid_Report / icon_WC_Access_Report).

    Kaspersky Endpoint Security будет записывать информацию о работе компонента Предотвращение вторжений. Отчеты содержат информацию о выполнении приложением операций с ресурсами компьютера (разрешено или запрещено). Также отчеты содержат информацию о приложениях, которые используют каждый ресурс.

  17. Сохраните внесенные изменения.

Как изменить права приложения в Web Console и Cloud Console

  1. В главном окне Web Console выберите УстройстваПолитики и профили политик.
  2. Нажмите на название политики Kaspersky Endpoint Security.

    Откроется окно свойств политики.

  3. Выберите закладку Параметры программы.
  4. Перейдите в раздел Продвинутая защитаПредотвращение вторжений.
  5. В блоке Права приложений и защищаемые ресурсы нажмите на ссылку Права приложений и защищаемые ресурсы.

    Откроется окно настройки прав приложений и список защищаемых ресурсов.

  6. Перейдите на закладку Права программ.

    Откроется список групп доверия в левой части окна и их свойства в правой части.

  7. Нажмите на кнопку Добавить.

    Запустится мастер добавления приложения в группу доверия.

  8. Выберите группу доверия, в которую вы хотите поместить приложение.
  9. Выберите тип Приложение. Нажмите на кнопку Далее.

    Если вы хотите изменить группу доверия для нескольких приложений, выберите тип Группа и задайте имя группы приложений.

  10. В открывшемся списке приложений выберите приложения, для которых вы хотите изменить права приложения.

    Используйте фильтр. Вы можете ввести название приложения или название компании производителя. Kaspersky Endpoint Security поддерживает переменные среды и символы * и ? для ввода маски.

  11. Завершите работу мастера по кнопке ОК.

    Приложение будет добавлено в группу доверия.

  12. В левой части окна выберите нужное приложение.
  13. В правой части окна в раскрывающемся списке выполните одно из следующих действий:
    • Выберите пункт Файлы и системный реестр, если вы хотите изменить права группы доверия, регулирующие операции с реестром операционной системы, файлами пользователя и параметрами приложения.
    • Выберите пункт Права, если вы хотите изменить права группы доверия, регулирующие доступ к процессам и объектам операционной системы.

    Сетевую активность приложений контролирует Сетевой экран с помощью сетевых правил.

  14. Для нужного ресурса в графе соответствующего действия выберите нужный пункт: Наследовать, Разрешать (icon_WC_Web_Access_Allow), Запрещать (icon_WC_Web_Access_Forbid).
  15. Если вы хотите контролировать использование ресурсов компьютера, выберите пункт Записывать в отчет (icon_WC_Web_Access_Allow_Report / icon_WC_Web_Access_Forbid_Repotr).

    Kaspersky Endpoint Security будет записывать информацию о работе компонента Предотвращение вторжений. Отчеты содержат информацию о выполнении приложением операций с ресурсами компьютера (разрешено или запрещено). Также отчеты содержат информацию о приложениях, которые используют каждый ресурс.

  16. Сохраните внесенные изменения.

Как изменить права приложения в интерфейсе приложения

  1. В главном окне приложения нажмите на кнопку icon_settings.
  2. В окне параметров приложения выберите раздел Продвинутая защитаПредотвращение вторжений.
  3. Нажмите на кнопку Управление приложениями.

    Откроется список установленных приложений.

  4. Выберите нужное приложение.
  5. В контекстном меню приложения выберите пункт Подробности и правила.

    Откроются свойства приложения.

  6. Выполните одно из следующих действий:
    • Выберите закладку Файлы и системный реестр, если вы хотите изменить права группы доверия, регулирующие операции с реестром операционной системы, файлами пользователя и параметрами приложений.
    • Выберите закладку Права, если вы хотите изменить права группы доверия, регулирующие доступ к процессам и объектам операционной системы.
  7. Для нужного ресурса в графе соответствующего действия по правой клавише мыши откройте контекстное меню и выберите нужный пункт: Наследовать, Разрешить (icon_WC_Local_Access_Allow), Запретить (icon_WC_Local_Access_Forbid).
  8. Если вы хотите контролировать использование ресурсов компьютера, выберите пункт Записывать в отчет (icon_WC_Local_Access_Report).

    Kaspersky Endpoint Security будет записывать информацию о работе компонента Предотвращение вторжений. Отчеты содержат информацию о выполнении приложением операций с ресурсами компьютера (разрешено или запрещено). Также отчеты содержат информацию о приложениях, которые используют каждый ресурс.

  9. Выберите закладку Исключения и настройте дополнительные параметры приложения (см. таблицу ниже).
  10. Сохраните внесенные изменения.

    Дополнительные параметры приложения

    Параметр

    Описание

    Не проверять открываемые файлы

    Kaspersky Endpoint Security исключает из проверки все файлы, открываемые с помощью приложения. Например, если вы используете приложения резервного копирования файлов, функция позволит снизить потребление ресурсов компьютера Kaspersky Endpoint Security.

    Не контролировать активность приложения

    Kaspersky Endpoint Security не контролирует файловую и сетевую активности приложения в операционной системе. Контроль за активностью приложения выполняют следующие компоненты: Анализ поведения, Защита от эксплойтов, Предотвращение вторжений, Откат вредоносных действий и Сетевой экран.

    Не наследовать ограничения родительского процесса (приложения)

    Kaspersky Endpoint Security не применяет ограничения к процессу, которые настроены для родительского процесса. Родительский процесс запускает приложение, для которой настроены права приложения (Предотвращение вторжений) и сетевые правила приложения (Сетевой экран).

    Не контролировать активность дочерних приложений

    Kaspersky Endpoint Security не контролирует файловую и сетевую активности приложений, которые запускает приложение.

    Разрешить взаимодействие с интерфейсом приложения

    Самозащита Kaspersky Endpoint Security блокирует все попытки управления службами приложения с удаленного компьютера. Если флажок установлен, то приложению удаленного доступа к компьютеру разрешено управлять параметрами Kaspersky Endpoint Security через интерфейс Kaspersky Endpoint Security.

    Не проверять зашифрованный трафик / Не проверять весь трафик

    Kaspersky Endpoint Security исключает из проверки сетевой трафик, инициируемый приложением. Вы можете исключить из проверки весь трафик или только зашифрованный трафик. Также вы можете исключить из проверки отдельные IP-адреса или номера портов.

В начало

[Topic 39271]

Защита ресурсов ОС и персональных данных

Компонент Предотвращение вторжений управляет правами приложений на операции над различными категориями ресурсов операционной системы и персональных данных. Специалисты "Лаборатории Касперского" выделили предустановленные категории защищаемых ресурсов. Например, в категории Операционная система есть подкатегория Параметры автозапуска, где перечислены все ключи реестра, относящиеся к автозапуску приложений. Вы не можете изменять или удалять предустановленные категории защищаемых ресурсов и относящиеся к ним защищаемые ресурсы.

Для защиты ресурсов ОС, которые расположены в реестре \HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet, вам нужно добавить ключи реестра, расположенные в реестре \HKEY_LOCAL_MACHINE\SYSTEM\ControlSet???. Например, \HKEY_LOCAL_MACHINE\SYSTEM\ControlSet???\services\*\. Это связано с особенностями работы реестра Windows.

Как добавить защищаемый ресурс в Консоли администрирования (MMC)

  1. Откройте Консоль администрирования Kaspersky Security Center.
  2. В папке Управляемые устройства дерева Консоли администрирования откройте папку с названием группы администрирования, в состав которой входят нужные клиентские компьютеры.
  3. В рабочей области выберите закладку Политики.
  4. Выберите нужную политику и откройте свойства политики двойным щелчком мыши.
  5. В окне политики выберите Продвинутая защитаПредотвращение вторжений.
  6. В блоке Права приложений и защищаемые ресурсы нажмите на кнопку Настройка.

    Откроется окно настройки прав приложений и список защищаемых ресурсов.

  7. Перейдите на закладку Защищаемые ресурсы.

    Откроется список защищаемых ресурсов в левой части окна и права доступа к этим ресурсам, в зависимости от группы доверия.

  8. Выберите категорию защищаемых ресурсов, в которую вы хотите добавить новый защищаемый ресурс.

    Если вы хотите добавить вложенную категорию, нажмите на кнопку ДобавитьКатегорию.

  9. Нажмите на кнопку Добавить и в раскрывающемся списке выберите тип ресурса, который вы хотите добавить: Файл или папку или Ключ реестра.
  10. В открывшемся окне выберите файл, папку или ключ реестра.

    Вы можете посмотреть права доступа приложений к добавленным ресурсам. Для этого выберите добавленный ресурс в левой части окна и Kaspersky Endpoint Security покажет права доступа для каждой из групп доверия. Также вы можете выключить контроль действия приложений на операции с ресурсами с помощью флажка рядом с новым ресурсом.

  11. Сохраните внесенные изменения.

Как добавить защищаемый ресурс в Web Console и Cloud Console

  1. В главном окне Web Console выберите УстройстваПолитики и профили политик.
  2. Нажмите на название политики Kaspersky Endpoint Security.

    Откроется окно свойств политики.

  3. Выберите закладку Параметры программы.
  4. Перейдите в раздел Продвинутая защитаПредотвращение вторжений.
  5. В блоке Права приложений и защищаемые ресурсы нажмите на ссылку Права приложений и защищаемые ресурсы.

    Откроется окно настройки прав приложений и список защищаемых ресурсов.

  6. Перейдите на закладку Защищаемые ресурсы.

    Откроется список защищаемых ресурсов в левой части окна и права доступа к этим ресурсам, в зависимости от группы доверия.

  7. Нажмите на кнопку Добавить.

    Запустится мастер добавления ресурса.

  8. По ссылке Имя группы выберите категорию защищаемых ресурсов, в которую вы хотите добавить новый защищаемый ресурс.

    Если вы хотите добавить вложенную категорию, выберите вариант Категория защищаемых ресурсов.

  9. Выберите тип ресурса, который вы хотите добавить: Файл или папка или Ключ реестра.
  10. Выберите файл, папку или ключ реестра.
  11. Завершите работу мастера по кнопке ОК.

    Вы можете посмотреть права доступа приложений к добавленным ресурсам. Для этого выберите добавленный ресурс в левой части окна и Kaspersky Endpoint Security покажет права доступа для каждой из групп доверия. Также вы можете выключить контроль действия приложений на операции с ресурсами с помощью флажка в графе Статус.

  12. Сохраните внесенные изменения.

Как добавить защищаемый ресурс в интерфейсе приложения

  1. В главном окне приложения нажмите на кнопку icon_settings.
  2. В окне параметров приложения выберите раздел Продвинутая защитаПредотвращение вторжений.
  3. Нажмите на кнопку Управление ресурсами.

    Откроется список защищаемых ресурсов.

  4. Выберите категорию защищаемых ресурсов, в которую вы хотите добавить новый защищаемый ресурс.

    Если вы хотите добавить вложенную категорию, нажмите на кнопку ДобавитьКатегорию.

  5. Нажмите на кнопку Добавить и в раскрывающемся списке выберите тип ресурса, который вы хотите добавить: Файл или папку или Ключ реестра.
  6. В открывшемся окне выберите файл, папку или ключ реестра.

    Вы можете посмотреть права доступа приложений к добавленным ресурсам. Для этого выберите добавленный ресурс в левой части окна и Kaspersky Endpoint Security покажет список приложений и права доступа для каждого из приложений. Также вы можете выключить контроль действия приложений на операции с ресурсами кнопкой icon_HIPS_control_off Выключить контроль в графе Статус.

  7. Сохраните внесенные изменения.

В результате Kaspersky Endpoint Security будет контролировать доступ к добавленным ресурсам операционной системы и персональных данных. Kaspersky Endpoint Security контролирует доступ приложения к ресурсам на основании присвоенной группы доверия. Вы также можете изменить группу доверия для приложения.

В начало

[Topic 128039]

Удаление информации о неиспользуемых приложениях

Kaspersky Endpoint Security контролирует работу приложений с помощью прав приложений. Права приложения определены группой доверия. Kaspersky Endpoint Security помещает приложение в группу доверия при первом запуске. Вы можете изменить группу доверия для приложения вручную. Также вы можете настроить права для отдельного приложения вручную. Таким образом, Kaspersky Endpoint Security хранит следующую информацию о приложении: группа доверия и права приложения.

Kaspersky Endpoint Security автоматически удаляет информацию о неиспользуемых приложениях для экономии ресурсов компьютера. Kaspersky Endpoint Security удаляет информацию о приложениях по следующим правилам:

  • Если группа доверия и права приложения определены автоматически, Kaspersky Endpoint Security удаляет информацию об этом приложении через 30 дней. Изменить время хранения информации о приложении или выключить автоматическое удаление невозможно.
  • Если вы вручную поместили приложение в группу доверия или настроили права доступа, Kaspersky Endpoint Security удаляет информацию об этом приложении через 60 дней (значение по умолчанию). Вы можете изменить время хранения информации о приложении или выключить автоматическое удаление (см. инструкцию ниже).

При запуске приложения, информация о которой была удалена, Kaspersky Endpoint Security исследует приложение как при первом запуске.

Как настроить автоматическое удаление информации о неиспользуемых приложениях в Консоли администрирования (MMC)

  1. Откройте Консоль администрирования Kaspersky Security Center.
  2. В папке Управляемые устройства дерева Консоли администрирования откройте папку с названием группы администрирования, в состав которой входят нужные клиентские компьютеры.
  3. В рабочей области выберите закладку Политики.
  4. Выберите нужную политику и откройте свойства политики двойным щелчком мыши.
  5. В окне политики выберите Продвинутая защитаПредотвращение вторжений.
  6. В блоке Правила обработки приложений выполните одно из следующих действий:
    • Если вы хотите настроить автоматическое удаление, установите флажок Удалять правила для приложений, не запускавшихся более N дней и укажите нужное количество дней.

      Kaspersky Endpoint Security будет удалять информацию о тех приложениях, которые вы вручную поместили в группу доверия или для которых вы настроили права доступа, через заданное количество дней. Также Kaspersky Endpoint Security будет удалять информацию о приложениях, для которых группа доверия и права приложения определены автоматически, через 30 дней.

    • Если вы хотите выключить автоматическое удаление, снимите флажок Удалять правила для приложений, не запускавшихся более N дней.

      Kaspersky Endpoint Security будет хранить информацию о тех приложениях, которые вы вручную поместили в группу доверия или для которых вы настроили права доступа, без ограничений по времени. Kaspersky Endpoint Security будет удалять информацию только о приложениях, для которых группа доверия и права приложения определены автоматически, через 30 дней.

  7. Сохраните внесенные изменения.

Как настроить автоматическое удаление информации о неиспользуемых приложениях в Web Console и Cloud Console

  1. В главном окне Web Console выберите УстройстваПолитики и профили политик.
  2. Нажмите на название политики Kaspersky Endpoint Security.

    Откроется окно свойств политики.

  3. Выберите закладку Параметры программы.
  4. Перейдите в раздел Продвинутая защитаПредотвращение вторжений.
  5. В блоке Правила обработки приложений выполните одно из следующих действий:
    • Если вы хотите настроить автоматическое удаление, установите флажок Удалять правила для приложений, не запускавшихся более N дней и укажите нужное количество дней.

      Kaspersky Endpoint Security будет удалять информацию о тех приложениях, которые вы вручную поместили в группу доверия или для которых вы настроили права доступа, через заданное количество дней. Также Kaspersky Endpoint Security будет удалять информацию о приложениях, для которых группа доверия и права приложения определены автоматически, через 30 дней.

    • Если вы хотите выключить автоматическое удаление, снимите флажок Удалять правила для приложений, не запускавшихся более N дней.

      Kaspersky Endpoint Security будет хранить информацию о тех приложениях, которые вы вручную поместили в группу доверия или для которых вы настроили права доступа, без ограничений по времени. Kaspersky Endpoint Security будет удалять информацию только о приложениях, для которых группа доверия и права приложения определены автоматически, через 30 дней.

  6. Сохраните внесенные изменения.

Как настроить автоматическое удаление информации о неиспользуемых приложениях в интерфейсе приложения

  1. В главном окне приложения нажмите на кнопку icon_settings.
  2. В окне параметров приложения выберите раздел Продвинутая защитаПредотвращение вторжений.
  3. В блоке Правила обработки приложений выполните одно из следующих действий:
    • Если вы хотите настроить автоматическое удаление, установите флажок Удалять правила для приложений, не запускавшихся более N дней и укажите нужное количество дней.

      Kaspersky Endpoint Security будет удалять информацию о тех приложениях, которые вы вручную поместили в группу доверия или для которых вы настроили права доступа, через заданное количество дней. Также Kaspersky Endpoint Security будет удалять информацию о приложениях, для которых группа доверия и права приложения определены автоматически, через 30 дней.

    • Если вы хотите выключить автоматическое удаление, снимите флажок Удалять правила для приложений, не запускавшихся более N дней.

      Kaspersky Endpoint Security будет хранить информацию о тех приложениях, которые вы вручную поместили в группу доверия или для которых вы настроили права доступа, без ограничений по времени. Kaspersky Endpoint Security будет удалять информацию только о приложениях, для которых группа доверия и права приложения определены автоматически, через 30 дней.

  4. Сохраните внесенные изменения.

 

В начало

[Topic 133783]

Мониторинг работы Предотвращения вторжений

Вы можете получать отчеты о работе компонента Предотвращение вторжений. Отчеты содержат информацию о выполнении приложением операций с ресурсами компьютера (разрешено или запрещено). Также отчеты содержат информацию о приложениях, которые используют каждый ресурс.

Для мониторинга работы Предотвращения вторжений вам нужно включить запись в отчет. Например, вы можете включить отправку отчетов для отдельных приложений в параметрах компонента Предотвращение вторжений.

При настройке мониторинга работы Предотвращения вторжения учитывайте нагрузку на сеть при отправке событий в Kaspersky Security Center. Также вы можете включить сохранение отчетов только в локальном журнале Kaspersky Endpoint Security.

В начало

[Topic 134861]

Защита доступа к аудио и видео

Злоумышленники могут с помощью специальных приложений пытаться получить доступ к устройствам записи аудио и видео (например, микрофоны или веб-камеры). Kaspersky Endpoint Security контролирует получение приложениями аудиосигнала и видеосигнала и защищает данные от несанкционированного перехвата.

По умолчанию Kaspersky Endpoint Security контролирует доступ приложений к аудиосигналу и видеосигналу следующим образом:

  • "Доверенные" и "Слабые ограничения" – получение аудиосигнала и видеосигнала с устройств разрешено по умолчанию.
  • "Сильные ограничения" и "Недоверенные" – получение аудиосигнала и видеосигнала с устройств запрещено по умолчанию.

Вы можете вручную разрешать приложениям получать аудиосигнал и видеосигнал.

Особенности защиты аудиосигнала

Функциональность защиты аудиосигнала имеет следующие особенности:

  • Для работы функциональности необходимо, чтобы был включен компонент Предотвращение вторжений.
  • Если приложение начало получать аудиосигнал до запуска компонента Предотвращение вторжений, то Kaspersky Endpoint Security разрешает приложению получение аудиосигнала и не показывает никаких уведомлений.
  • Если вы поместили приложение в группу "Недоверенные" или "Сильные ограничения" после того, как приложение начало получать аудиосигнал, то Kaspersky Endpoint Security разрешает приложению получение аудиосигнала и не показывает никаких уведомлений.
  • При изменении параметров доступа приложения к устройствам записи звука (например, приложению было запрещено получение аудиосигнала) требуется перезапуск этого приложения, чтобы она перестала получать аудиосигнал.
  • Контроль получения аудиосигнала с устройств записи звука не зависит от параметров доступа приложений к веб-камере.
  • Kaspersky Endpoint Security защищает доступ только к встроенным и внешним микрофонам. Другие устройства передачи звука не поддерживаются.
  • Kaspersky Endpoint Security не гарантирует защиту аудиосигнала, передаваемого с таких устройств, как DSLR-камеры, портативные видеокамеры, экшн-камеры.
  • При первом запуске приложения Kaspersky Endpoint Security с момента ее установки воспроизведение или запись аудио и видео могут быть прерваны в приложениях записи или воспроизведения аудио и видео. Это необходимо для того, чтобы включилась функциональность контроля доступа приложений к устройствам записи звука. Системная служба управления средствами работы со звуком будет перезапущена при первом запуске приложения Kaspersky Endpoint Security.

Особенности доступа приложений к веб-камерам

Функциональность защиты доступа к веб-камере имеет следующие особенности и ограничения:

  • Приложение контролирует видео и статические изображения, полученные в результате обработки данных веб-камеры.
  • Приложение контролирует аудиосигнал, если он является частью видеопотока, получаемого с веб-камеры.
  • Приложение контролирует только веб-камеры, подключаемые по интерфейсу USB или IEEE1394 и отображаемые в Диспетчере устройств Windows как Устройства обработки изображений (англ. Imaging Device).
  • Kaspersky Endpoint Security поддерживает следующие веб-камеры:
    • Logitech HD Webcam C270;
    • Logitech HD Webcam C310;
    • Logitech Webcam C210;
    • Logitech Webcam Pro 9000;
    • Logitech HD Webcam C525;
    • Microsoft LifeCam VX-1000;
    • Microsoft LifeCam VX-2000;
    • Microsoft LifeCam VX-3000;
    • Microsoft LifeCam VX-800;
    • Microsoft LifeCam Cinema.

    "Лаборатория Касперского" не гарантирует поддержку веб-камер, не указанных в этом списке.

В начало

[Topic 151135]

Откат вредоносных действий

Компонент Откат вредоносных действий позволяет Kaspersky Endpoint Security выполнить откат действий, произведенных вредоносными приложениями в операционной системе.

Во время отката действий вредоносного приложения в операционной системе Kaspersky Endpoint Security обрабатывает следующие типы активности вредоносного приложения:

  • Файловая активность

    Kaspersky Endpoint Security выполняет следующие действия:

    • удаляет исполняемые файлы, созданные вредоносным приложением (на всех носителях, кроме сетевых дисков);
    • удаляет исполняемые файлы, созданные приложениями, в которые внедрилось вредоносное приложение;
    • восстанавливает измененные или удаленные вредоносным приложением файлы.

    Функциональность восстановления файлов имеет ряд ограничений.

  • Реестровая активность

    Kaspersky Endpoint Security выполняет следующие действия:

    • удаляет разделы и ключи реестра, созданные вредоносным приложением;
    • не восстанавливает измененные или удаленные вредоносным приложением разделы и ключи реестра.
  • Системная активность

    Kaspersky Endpoint Security выполняет следующие действия:

    • завершает процессы, которые запускало вредоносное приложение;
    • завершает процессы, в которые внедрялось вредоносное приложение;
    • не возобновляет процессы, которые остановило вредоносное приложение.
  • Сетевая активность

    Kaspersky Endpoint Security выполняет следующие действия:

    • запрещает сетевую активность вредоносного приложения;
    • запрещает сетевую активность тех процессов, в которые внедрялось вредоносное приложение.

Откат действий вредоносного приложения может быть запущен компонентом Защита от файловых угроз, Анализ поведения или при антивирусной проверке.

Откат действий вредоносного приложения затрагивает строго ограниченный набор данных. Откат не оказывает негативного влияния на работу операционной системы и целостность информации на вашем компьютере.

Как включить или выключить компонент Откат вредоносных действий в Консоли администрирования (MMC)

  1. Откройте Консоль администрирования Kaspersky Security Center.
  2. В папке Управляемые устройства дерева Консоли администрирования откройте папку с названием группы администрирования, в состав которой входят нужные клиентские компьютеры.
  3. В рабочей области выберите закладку Политики.
  4. Выберите нужную политику и откройте свойства политики двойным щелчком мыши.
  5. В окне политики выберите Продвинутая защитаОткат вредоносных действий.
  6. Используйте флажок Откат вредоносных действий, чтобы включить или выключить компонент.
  7. Сохраните внесенные изменения.

Как включить или выключить компонент Откат вредоносных действий в Web Console и Cloud Console

  1. В главном окне Web Console выберите УстройстваПолитики и профили политик.
  2. Нажмите на название политики Kaspersky Endpoint Security.

    Откроется окно свойств политики.

  3. Выберите закладку Параметры программы.
  4. Перейдите в раздел Продвинутая защитаОткат вредоносных действий.
  5. Используйте переключатель Откат вредоносных действий, чтобы включить или выключить компонент.
  6. Сохраните внесенные изменения.

Как включить или выключить компонент Откат вредоносных действий в интерфейсе приложения

  1. В главном окне приложения нажмите на кнопку icon_settings.
  2. В окне параметров приложения выберите раздел Продвинутая защитаОткат вредоносных действий.
  3. Используйте переключатель Откат вредоносных действий, чтобы включить или выключить компонент.
  4. Сохраните внесенные изменения.

В результате, если Откат вредоносных действий включен, Kaspersky Endpoint Security будет откатывать действия, которые вредоносные приложения совершили в операционной системе.

В начало

[Topic 177936]

Kaspersky Security Network

Чтобы повысить эффективность защиты компьютера пользователя, Kaspersky Endpoint Security использует данные, полученные от пользователей во всем мире. Для получения этих данных предназначена сеть Kaspersky Security Network.

Kaspersky Security Network (KSN) – это инфраструктура облачных служб, предоставляющая доступ к оперативной базе знаний "Лаборатории Касперского" о репутации файлов, интернет-ресурсов и программного обеспечения. Использование данных Kaspersky Security Network обеспечивает более высокую скорость реакции Kaspersky Endpoint Security на неизвестные угрозы, повышает эффективность работы некоторых компонентов защиты, а также снижает вероятность ложных срабатываний. Если вы участвуете в Kaspersky Security Network, приложение Kaspersky Endpoint Security получает от служб KSN сведения о категории и репутации проверяемых файлов, а также сведения о репутации проверяемых веб-адресов.

Использование Kaspersky Security Network является добровольным. Приложение предлагает использовать KSN во время первоначальной настройки приложения. Начать или прекратить использование KSN можно в любой момент.

Более подробную информацию об отправке в "Лабораторию Касперского", хранении и уничтожении статистической информации, полученной во время использования KSN, вы можете прочитать в Положении о Kaspersky Security Network и на веб-сайте "Лаборатории Касперского". Файл ksn_<ID языка>.txt с текстом Положения о Kaspersky Security Network входит в комплект поставки приложения.

Для снижения нагрузки на серверы KSN специалисты "Лаборатории Касперского" могут выпускать обновления для приложения, которые временно выключают или частично ограничивают обращения в Kaspersky Security Network. В этом случае статус подключения к KSN в локальном интерфейсе приложения – Включено с ограничениями.

Инфраструктура KSN

Kaspersky Endpoint Security поддерживает следующие инфраструктурные решения KSN:

  • Глобальный KSN – это решение, которое используют большинство приложений "Лаборатории Касперского". Участники KSN получают информацию от Kaspersky Security Network, а также отправляют в "Лабораторию Касперского" данные об объектах, обнаруженных на компьютере пользователя, для дополнительной проверки аналитиками "Лаборатории Касперского" и пополнения репутационных и статистических баз Kaspersky Security Network.
  • Локальный KSN – это решение, позволяющее пользователям компьютеров, на которые установлено приложение Kaspersky Endpoint Security или другие приложение "Лаборатории Касперского", получать доступ к репутационным базам Kaspersky Security Network, а также другим статистическим данным, не отправляя данные в KSN со своих компьютеров. Локальный KSN разработан для корпоративных клиентов, не имеющих возможности участвовать в Kaspersky Security Network, например, по следующим причинам:
    • отсутствие подключения локальных рабочих мест к сети Интернет;
    • законодательный запрет или ограничение корпоративной безопасности на отправку любых данных за пределы страны или за пределы локальной сети организации.

По умолчанию Kaspersky Security Center использует Глобальный KSN. Вы можете настроить использование Локального KSN в Консоли администрирования (MMC), Kaspersky Security Center Web Console, а также с помощью командной строки. Настроить использование Локального KSN в Kaspersky Security Center Cloud Console невозможно.

Подробнее о работе Локального KSN см. в документации для Kaspersky Private Security Network.

В этом разделе

Включение и выключение использования Kaspersky Security Network

Ограничения работы с Локальным KSN

Включение и выключение облачного режима для компонентов защиты

Настройка KSN Proxy

Проверка репутации файла в Kaspersky Security Network
В начало

[Topic 126799]

Включение и выключение использования Kaspersky Security Network

Чтобы включить или выключить использование Kaspersky Security Network, выполните следующие действия:

  1. В главном окне приложения нажмите на кнопку icon_settings.
  2. В окне параметров приложения выберите раздел Продвинутая защитаKaspersky Security Network.
  3. Используйте переключатель Kaspersky Security Network, чтобы включить или выключить компонент.

    Если вы включили использование KSN, Kaspersky Endpoint Security покажет Положение о Kaspersky Security Network. Если вы согласны, примите условия использования KSN.

    По умолчанию Kaspersky Endpoint Security использует расширенный режим KSN. Расширенный режим KSN – режим работы приложения, при котором Kaspersky Endpoint Security передает в "Лабораторию Касперского" дополнительные данные.

  4. Если требуется, выключите переключатель Включить расширенный режим KSN.
  5. Сохраните внесенные изменения.

В результате, если использование KSN включено, Kaspersky Endpoint Security использует информацию о репутации файлов, веб-ресурсов и приложений, полученную из Kaspersky Security Network.

В начало

[Topic 203181]

Ограничения работы с Локальным KSN

Локальный KSN (далее также "KPSN") позволяет использовать собственную базу данных репутаций объектов (файлов или веб-адресов) с помощью локальной репутационной базы. Репутация объекта, добавленного в локальную репутационную базу, имеет приоритет выше, чем в KSN / KPSN. То есть, если Kaspersky Endpoint Security при проверке компьютера запросит репутацию файла в KSN / KPSN, и в локальной репутационной базе файл имеет репутацию "недоверенный", а в KSN / KPSN объект имеет репутацию "доверенный", то Kaspersky Endpoint Security обнаружит файл как "недоверенный" и выполнит действие, заданное для обнаруженных угроз.

Однако в некоторых случаях Kaspersky Endpoint Security может не запрашивать репутацию объекта в KSN / KPSN. В результате Kaspersky Endpoint Security не получит данные из локальной репутационной базы KPSN. Kaspersky Endpoint Security может не запрашивать репутацию объекта в KSN / KPSN, например, по следующим причинам:

  • Приложения "Лаборатории Касперского" используют офлайн репутационные базы. Офлайн репутационные базы предназначены для оптимизации ресурсов при работе приложений "Лаборатории Касперского" и защите критически важных объектов компьютера. Офлайн репутационные базы формируют специалисты "Лаборатории Касперского" на основании данных Kaspersky Security Network. приложения "Лаборатории Касперского" обновляют офлайн репутационные базы с антивирусными базами приложения. Если информация о проверяемом объекте содержится в офлайн репутационных базах, приложение не запрашивает репутацию этого объекта в KSN / KPSN.
  • В параметрах приложения настроены исключения из проверки (доверенная зона). В этом случае приложение не учитывает репутацию объекта в локальной репутационной базе.
  • Приложение использует технологии оптимизации проверки, например, технологии iSwift, iChecker или кеширование запросов репутации в KSN / KPSN. В этом случае приложение может не запрашивать репутацию ранее проверенных объектов.
  • Для оптимизации нагрузки приложение проверяет файлы определенного формата и размера. Список форматов и ограничения по размеру определяют специалисты "Лаборатории Касперского". Этот список обновляется с антивирусными базами приложения. Также вы можете настроить параметры оптимизации проверки в интерфейсе приложения, например, для компонента Защита от файловых угроз.
В начало

[Topic 155760]

Включение и выключение облачного режима для компонентов защиты

Облачный режим – режим работы приложения, при котором Kaspersky Endpoint Security использует облегченную версию антивирусных баз. Работу приложения с облегченными антивирусными базами обеспечивает Kaspersky Security Network. Облегченная версия антивирусных баз позволяет снизить нагрузку на оперативную память компьютера примерно в два раза. Если вы не участвуете в Kaspersky Security Network или облачный режим выключен, Kaspersky Endpoint Security загружает полную версию антивирусных баз с серверов "Лаборатории Касперского".

При использовании Kaspersky Private Security Network функциональность облачного режима доступна начиная с версии Kaspersky Private Security Network 3.0.

Чтобы включить или выключить облачный режим для компонентов защиты, выполните следующие действия:

  1. В главном окне приложения нажмите на кнопку icon_settings.
  2. В окне параметров приложения выберите раздел Продвинутая защитаKaspersky Security Network.
  3. Используйте переключатель Включить облачный режим, чтобы включить или выключить компонент.
  4. Сохраните внесенные изменения.

В результате Kaspersky Endpoint Security загружает облегченную или полную версию антивирусных баз в ходе ближайшего обновления.

Если облегченная версия антивирусных баз недоступна для использования, Kaspersky Endpoint Security автоматически переключается на использование полной версии антивирусных баз.

В начало

[Topic 232851]

Настройка KSN Proxy

Компьютеры пользователей, работающие под управлением Сервера администрирования Kaspersky Security Center, могут взаимодействовать с KSN при помощи службы KSN Proxy.

Служба KSN Proxy предоставляет следующие возможности:

  • Компьютер пользователя может выполнять запросы к KSN и передавать в KSN информацию, даже если он не имеет прямого доступа в интернет.
  • Служба KSN Proxy кеширует обработанные данные, снижая тем самым нагрузку на канал связи с внешней сетью и ускоряя получение компьютером пользователя запрошенной информации.

По умолчанию после включения использования KSN и принятия Положения об использовании KSN приложение использует прокси-сервер для связи с Kaspersky Security Network. В качестве прокси-сервера приложение использует Сервер администрирования Kaspersky Security Center и TCP-порт 13111. Таким образом, если KSN Proxy недоступен, вам нужно проверить следующие параметры:

  • На Сервере администрирования запущена служба ksnproxy.
  • На компьютере Сетевой экран не блокирует порт 13111.

Вы можете настроить использование KSN Proxy: включить или выключить KSN Proxy, настроить порт для соединения. Для этого вам нужно открыть свойства Сервера администрирования. Подробнее о настройке KSN Proxy см. в справке Kaspersky Security Center. Также вы можете включить или выключить KSN Proxy для отдельных компьютеров в политике Kaspersky Endpoint Security.

Как включить или выключить KSN Proxy в Консоли администрирования (MMC)

  1. В главном окне приложения нажмите на кнопку icon_settings.
  2. В окне параметров приложения выберите раздел Продвинутая защитаKaspersky Security Network.
  3. В блоке Настройки KSN Proxy используйте флажок Использовать KSN Proxy, чтобы включить или выключить KSN Proxy.
  4. Если требуется, установите флажок Использовать серверы KSN при недоступности KSN Proxy.

    Если флажок установлен, Kaspersky Endpoint Security использует серверы KSN, когда служба KSN Proxy недоступна. Серверы KSN могут быть расположены как на стороне "Лаборатории Касперского", в случае использования Глобального KSN, так и на сторонних серверах, в случае использования Локального KSN.

  5. Сохраните внесенные изменения.

Как включить или выключить KSN Proxy в Web Console

  1. В главном окне Web Console выберите УстройстваПолитики и профили политик.
  2. Нажмите на название политики Kaspersky Endpoint Security.

    Откроется окно свойств политики.

  3. Выберите закладку Параметры программы.
  4. Перейдите в раздел Продвинутая защитаKaspersky Security Network.
  5. Используйте флажок Использовать KSN Proxy, чтобы включить или выключить KSN Proxy.
  6. Если требуется, установите флажок Использовать серверы KSN при недоступности KSN Proxy.

    Если флажок установлен, Kaspersky Endpoint Security использует серверы KSN, когда служба KSN Proxy недоступна. Серверы KSN могут быть расположены как на стороне "Лаборатории Касперского", в случае использования Глобального KSN, так и на сторонних серверах, в случае использования Локального KSN.

  7. Сохраните внесенные изменения.

Адрес KSN Proxy совпадает с адресом Сервера администрирования. При изменении доменного имени Сервера администрирования необходимо обновить адрес KSN Proxy вручную.

Чтобы настроить адрес KSN Proxy, выполните следующие действия:

  1. В Консоли администрирования перейдите в папку Сервер администрированияДополнительноУдаленная установкаИнсталляционные пакеты.
  2. В контекстном меню папки Инсталляционные пакеты выберите пункт Свойства.
  3. В открывшемся окне укажите новый адрес прокси-сервера KSN на закладке Общие.
  4. Сохраните внесенные изменения.
В начало

[Topic 128451]

Проверка репутации файла в Kaspersky Security Network

Если вы сомневаетесь в безопасности файла, вы можете проверить его репутацию в Kaspersky Security Network.

Проверка репутации файла доступна, если вы приняли условия Положения о Kaspersky Security Network.

Чтобы проверить репутацию файла в Kaspersky Security Network,

откройте контекстное меню файла и выберите пункт Проверить репутацию в KSN (см. рис. ниже).

Контекстное меню файла

Kaspersky Endpoint Security отображает репутацию файла:

Доверенная (Kaspersky Security Network). Большинство пользователей Kaspersky Security Network подтвердили, что файл доверенный.

Легальное приложение, которое может быть использовано злоумышленниками для нанесения вреда компьютеру или данным пользователя. Такие приложения сами по себе не имеют вредоносных функций, но эти приложения могут быть использованы злоумышленниками. Подробную информацию о легальных приложениях, которые могут быть использованы злоумышленниками для нанесения вреда компьютеру или данным пользователя, вы можете получить на сайте Вирусной энциклопедии "Лаборатории Касперского". Вы можете добавить эти приложения в список доверенных.

Недоверенная (Kaspersky Security Network). Вирус или другое приложение, представляющее угрозу.

Неизвестен (Kaspersky Security Network). В Kaspersky Security Network отсутствует информация о файле. Вы можете проверить файл с помощью антивирусных баз (пункт контекстного меню Проверить на вирусы).

Kaspersky Endpoint Security отображает решение KSN, которое было использовано для определения репутации файла: Глобальный KSN или Локальный KSN.

Также Kaspersky Endpoint Security отображает дополнительную информацию о файле (см. рис. ниже).

Репутация файла в Kaspersky Security Network

В начало

[Topic 175451]

Проверка защищенных соединений

После установки Kaspersky Endpoint Security добавляет сертификат "Лаборатории Касперского" в системное хранилище доверенных сертификатов (хранилище сертификатов Windows). Kaspersky Endpoint Security использует этот сертификат для проверки защищенных соединений. Также Kaspersky Endpoint Security включает использование системного хранилища доверенных сертификатов в приложениях Firefox и Thunderbird для проверки трафика этих приложений.

Компоненты Веб-Контроль, Защита от почтовых угроз, Защита от веб-угроз могут расшифровывать и проверять сетевой трафик, передаваемый по защищенным соединениям с использованием следующих протоколов:

  • SSL 3.0;
  • TLS 1.0, TLS 1.1, TLS 1.2, TLS 1.3.

В этом разделе

Включение проверки защищенных соединений

Установка доверенных корневых сертификатов

Проверка защищенных соединений с недоверенным сертификатом

Проверка защищенных соединений в Firefox и Thunderbird

Исключение защищенных соединений из проверки
В начало

[Topic 175124]

Включение проверки защищенных соединений

Чтобы включить проверку защищенных соединений, выполните следующие действия:

  1. В главном окне приложения нажмите на кнопку icon_settings.
  2. В окне параметров приложения выберите раздел Общие настройкиНастройки сети.
  3. В блоке Проверка защищенных соединений выберите режим проверки защищенных соединений:
    • Не проверять защищенные соединения. Kaspersky Endpoint Security не имеет доступ к содержанию сайтов, адрес которых начинается с https://.
    • Проверять защищенные соединения по запросу компонентов защиты. Kaspersky Endpoint Security проверяет зашифрованный трафик только по запросу компонентов Защита от файловых угроз, Защита от почтовых угроз и Веб-Контроль.
    • Всегда проверять защищенные соединения. Kaspersky Endpoint Security проверяет зашифрованный сетевой трафик, даже если компоненты защиты выключены.

    Kaspersky Endpoint Security не проверяет защищенные соединения, установленные доверенными приложениями, для которых выключена проверка трафика. Также Kaspersky Endpoint Security не проверяет защищенные соединения из предустановленного списка доверенных сайтов. Предустановленный список доверенных сайтов составляют специалисты "Лаборатории Касперского". Этот список обновляется с антивирусными базами приложения. Вы можете просмотреть предустановленный список доверенных сайтов только в интерфейсе Kaspersky Endpoint Security. В консоли Kaspersky Security Center просмотреть список невозможно.

  4. Если требуется, добавьте исключения из проверки: доверенные адреса и приложения.
  5. Настройте параметры проверки защищенных соединений (см. таблицу ниже).
  6. Сохраните внесенные изменения.

    Параметры проверки защищенных соединений

    Параметр

    Описание

    Доверенные корневые сертификаты

    Список доверенных корневых сертификатов. Kaspersky Endpoint Security позволяет устанавливать доверенные корневые сертификаты на компьютеры пользователей, если, например, вам нужно развернуть новый центр сертификации. Приложение позволяет добавить сертификат в специальное хранилище сертификатов Kaspersky Endpoint Security. При этом сертификат будет доверенным только для приложения Kaspersky Endpoint Security. То есть пользователь будет иметь доступ к веб-сайту с новым сертификатом в браузере. Если другое приложение попытается получить доступ к веб-сайту, вы можете получить ошибку соединения из-за проблем с сертификатом. Для добавления сертификата в системное хранилище сертификатов, вы можете использовать групповые политики Active Directory.

    При переходе на домен с недоверенным сертификатом
    • Разрешать. При переходе на домен с недоверенным сертификатом Kaspersky Endpoint Security разрешает установку сетевого соединения.

      При переходе на домен с недоверенным сертификатом в браузере, Kaspersky Endpoint Security отображает HTML-страницу с предупреждением и информацией о причине, по которой этот домен не рекомендован для посещения. По ссылке из HTML-страницы с предупреждением пользователь может получить доступ к запрошенному веб-ресурсу.

      Если стороннее приложение или служба устанавливает соединение с доменом с недоверенным сертификатом, Kaspersky Endpoint Security создаст собственный сертификат для проверки трафика. Новый сертификат будет иметь статус Недоверенный. Это нужно, чтобы предупредить стороннее приложение о недоверенном соединении, так как показать HTML-страницу в этом случае невозможно и соединение может быть установлено в фоновом режиме.

    • Блокировать соединение. При переходе на домен с недоверенным сертификатом Kaspersky Endpoint Security блокирует сетевое соединение. При переходе на домен с недоверенным сертификатом в браузере, Kaspersky Endpoint Security отображает HTML-страницу с информацией о причине, по которой переход на этот домен заблокирован.

    В случае возникновения ошибки при проверке защищенного соединения
    • Блокировать соединение. Если выбран этот элемент, то при возникновении ошибки проверки защищенного соединения Kaspersky Endpoint Security блокирует это сетевое соединение.
    • Добавить домен в исключения. Если выбран этот элемент, то при возникновении ошибки проверки защищенного соединения Kaspersky Endpoint Security добавляет домен, при переходе на который возникла ошибка, в список доменов с ошибками проверки и не контролирует зашифрованный сетевой трафик при переходе на этот домен. Вы можете просмотреть список доменов с ошибками проверки защищенных соединений только в локальном интерфейсе приложения. Чтобы сбросить содержание списка, нужно выбрать элемент Блокировать соединение. Также Kaspersky Endpoint Security формирует событие об ошибке проверки защищенного соединения.

    Блокировать соединения по протоколу SSL 2.0 (рекомендуется)

    Если флажок установлен, то приложение блокирует сетевые соединения, устанавливаемые по протоколу SSL 2.0.

    Если флажок снят, то приложение не блокирует сетевые соединения, устанавливаемые по протоколу SSL 2.0, и не контролирует сетевой трафик, передаваемый по этим соединениям.

    Расшифровывать защищенное соединение с сайтом, использующим EV-сертификат

    EV-сертификаты (англ. Extended Validation Certificate) подтверждают подлинность веб-сайтов и повышают безопасность соединения. Браузеры сообщают о наличии на веб-сайте EV-сертификата с помощью значка замка в адресной строке браузера. Также браузеры могут полностью или частично окрашивать адресную строку в зеленый цвет.

    Если флажок установлен, приложение расшифровывает и контролирует защищенные соединения с EV-сертификатом.

    Если флажок снят, приложение не имеет доступа к содержанию HTTPS-трафика. Поэтому приложение контролирует HTTPS-трафик только по адресу веб-сайта, например, https://bing.com.

    Если вы впервые открываете веб-сайт с EV-сертификатом, защищенное соединение будет расшифровано независимо от того, установлен флажок или нет.

В начало

[Topic 230925]

Установка доверенных корневых сертификатов

Kaspersky Endpoint Security позволяет устанавливать доверенные корневые сертификаты на компьютеры пользователей, если, например, вам нужно развернуть новый центр сертификации. Приложение позволяет добавить сертификат в специальное хранилище сертификатов Kaspersky Endpoint Security. При этом сертификат будет доверенным только для приложения Kaspersky Endpoint Security. То есть пользователь будет иметь доступ к веб-сайту с новым сертификатом в браузере. Если другое приложение попытается получить доступ к веб-сайту, вы можете получить ошибку соединения из-за проблем с сертификатом. Для добавления сертификата в системное хранилище сертификатов, вы можете использовать групповые политики Active Directory.

Как установить доверенные корневые сертификаты в Консоли администрирования (MMC)

  1. Откройте Консоль администрирования Kaspersky Security Center.
  2. В папке Управляемые устройства дерева Консоли администрирования откройте папку с названием группы администрирования, в состав которой входят нужные клиентские компьютеры.
  3. В рабочей области выберите закладку Политики.
  4. Выберите нужную политику и откройте свойства политики двойным щелчком мыши.
  5. В окне политики выберите Общие настройкиНастройки сети.
  6. В блоке Доверенные корневые сертификаты нажмите на кнопку Добавить.
  7. В открывшемся окне выберите доверенный корневой сертификат.

    Kaspersky Endpoint Security поддерживает сертификаты с расширением PEM, DER и CRT.

  8. Сохраните внесенные изменения.

Как установить доверенные корневые сертификаты в Web Console и Cloud Console

  1. В главном окне Web Console выберите УстройстваПолитики и профили политик.
  2. Нажмите на название политики Kaspersky Endpoint Security.

    Откроется окно свойств политики.

  3. Выберите закладку Параметры программы.
  4. Перейдите в раздел Общие настройкиНастройки сети.
  5. Перейдите по ссылке Показать сертификаты.
  6. В открывшемся окне нажмите на кнопку Добавить и выберите доверенный корневой сертификат.

    Kaspersky Endpoint Security поддерживает сертификаты с расширением PEM, DER и CRT.

  7. Сохраните внесенные изменения.

Как установить доверенные сертификаты в интерфейсе приложения

  1. В главном окне приложения нажмите на кнопку icon_settings.
  2. В окне параметров приложения выберите раздел Общие настройкиНастройки сети.
  3. В блоке Проверка защищенных соединений нажмите на кнопку Показать сертификаты.
  4. В открывшемся окне нажмите на кнопку Добавить и выберите доверенный корневой сертификат.

    Kaspersky Endpoint Security поддерживает сертификаты с расширением PEM, DER и CRT.

  5. Сохраните внесенные изменения.

В результате Kaspersky Endpoint Security при проверке трафика кроме системного хранилища сертификатов будет использовать собственное хранилище сертификатов.

В начало

[Topic 229683]

Проверка защищенных соединений с недоверенным сертификатом

После установки Kaspersky Endpoint Security добавляет сертификат "Лаборатории Касперского" в системное хранилище доверенных сертификатов (хранилище сертификатов Windows). Kaspersky Endpoint Security использует этот сертификат для проверки защищенных соединений. При переходе на домен с недоверенным сертификатом вы можете разрешить или заблокировать пользователю доступ к этому домену (см. инструкцию ниже).

Если вы разрешили пользователю переходить на домены с недоверенным сертификатом, Kaspersky Endpoint Security выполняет следующие действия:

  • При переходе на домен с недоверенным сертификатом в браузере, Kaspersky Endpoint Security использует сертификат "Лаборатории Касперского" для проверки трафика. Kaspersky Endpoint Security отображает HTML-страницу с предупреждением и информацией о причине, по которой этот домен не рекомендован для посещения (см. рис. ниже). По ссылке из HTML-страницы с предупреждением пользователь может получить доступ к запрошенному веб-ресурсу. После перехода по этой ссылке Kaspersky Endpoint Security в течение часа не будет отображать предупреждения о недоверенном сертификате при переходе на другие веб-ресурсы в том же домене. Также Kaspersky Endpoint Security формирует событие об использовании защищенного соединения с недоверенным сертификатом.
  • Если стороннее приложение или служба устанавливает соединение с доменом с недоверенным сертификатом, Kaspersky Endpoint Security создаст собственный сертификат для проверки трафика. Новый сертификат будет иметь статус Недоверенный. Это нужно, чтобы предупредить стороннее приложение о недоверенном соединении, так как показать HTML-страницу в этом случае невозможно и соединение может быть установлено в фоновом режиме. Поэтому, если стороннее приложение имеет встроенные инструменты проверки сертификатов, соединение может быть разорвано. В этом случае, вам нужно обратиться к владельцу домена и настроить доверенное соединение. Если настроить доверенное соединение невозможно, вы можете добавить это стороннее приложение в список доверенных приложений. Также Kaspersky Endpoint Security формирует событие об использовании защищенного соединения с недоверенным сертификатом.

Как настроить проверку защищенных соединений с недоверенным сертификатом в Консоли администрирования (MMC)

  1. Откройте Консоль администрирования Kaspersky Security Center.
  2. В папке Управляемые устройства дерева Консоли администрирования откройте папку с названием группы администрирования, в состав которой входят нужные клиентские компьютеры.
  3. В рабочей области выберите закладку Политики.
  4. Выберите нужную политику и откройте свойства политики двойным щелчком мыши.
  5. В окне политики выберите Общие настройкиНастройки сети.
  6. В блоке Проверка защищенных соединений нажмите на кнопку Дополнительные настройки.
  7. В открывшемся окне выберите режим работы приложения при переходе на домен с недоверенным сертификатом: Разрешать или Блокировать соединение.
  8. Сохраните внесенные изменения.

Как настроить проверку защищенных соединений с недоверенным сертификатом в Web Console и Cloud Console

  1. В главном окне Web Console выберите УстройстваПолитики и профили политик.
  2. Нажмите на название политики Kaspersky Endpoint Security.

    Откроется окно свойств политики.

  3. Выберите закладку Параметры программы.
  4. Перейдите в раздел Общие настройкиНастройки сети.
  5. В блоке Проверка защищенных соединений выберите режим работы приложения при переходе на домен с недоверенным сертификатом: Разрешать или Блокировать соединение.
  6. Сохраните внесенные изменения.

Как настроить проверку защищенных соединений с недоверенным сертификатом в интерфейсе приложения

  1. В главном окне приложения нажмите на кнопку icon_settings.
  2. В окне параметров приложения выберите раздел Общие настройкиНастройки сети.
  3. В блоке Проверка защищенных соединений выберите режим работы приложения при переходе на домен с недоверенным сертификатом: Разрешать или Блокировать соединение.
  4. Сохраните внесенные изменения.

loc_screen_KES11_WebAV_UntrustCert

Предупреждение о переходе на домен с недоверенным сертификатом

В начало

[Topic 202714]

Проверка защищенных соединений в Firefox и Thunderbird

После установки Kaspersky Endpoint Security добавляет сертификат "Лаборатории Касперского" в системное хранилище доверенных сертификатов (хранилище сертификатов Windows). Firefox и Thunderbird по умолчанию используют собственное хранилище сертификатов Mozilla, а не хранилище сертификатов Windows. Если в вашей организации развернуто решение Kaspersky Security Center и к компьютеру применена политика, Kaspersky Endpoint Security автоматически включает использование хранилища сертификатов Windows в приложениях Firefox и Thunderbird для проверки трафика этих приложений. Если к компьютеру не применена политика, вы можете выбрать хранилище сертификатов, которое будут использовать приложения Mozilla. Если вы выбрали хранилище сертификатов Mozilla, добавьте сертификат "Лаборатории Касперского" в хранилище вручную. Это позволит избежать ошибок при работе с HTTPS-трафиком.

Для проверки трафика в браузере Mozilla Firefox и почтовом клиенте Thunderbird должна быть включена проверка защищенных соединений. Если проверка защищенных соединений выключена, приложение не проверяет трафик в браузере Mozilla Firefox и почтовом клиенте Thunderbird.

Перед добавлением сертификата в хранилище Mozilla экспортируйте сертификат "Лаборатории Касперского" из Панели управления Windows (свойства браузера). Подробнее об экспорте сертификата "Лаборатории Касперского" вы можете узнать в базе знаний Службы технической поддержки. Подробнее о добавлении сертификата в хранилище см. на сайте Службы технической поддержки Mozilla.

Вы можете выбрать хранилище сертификатов только в локальном интерфейсе приложения.

Чтобы выбрать хранилище сертификатов для проверки защищенных соединений в Firefox и Thunderbird, выполните следующие действия:

  1. В главном окне приложения нажмите на кнопку icon_settings.
  2. В окне параметров приложения выберите раздел Общие настройкиНастройки сети.
  3. В блоке Mozilla Firefox и Thunderbird установите флажок Использовать выбранное хранилище сертификатов для проверки защищенных соединений в приложениях Mozilla.
  4. Выберите хранилище сертификатов:
    • Использовать хранилище сертификатов Windows (рекомендуется). Это хранилище, в которое корневой сертификат "Лаборатории Касперского" добавляется при установке приложения Kaspersky Endpoint Security.
    • Использовать хранилище сертификатов Mozilla. Приложения Mozilla Firefox и Thunderbird используют собственное хранилище сертификатов. Если выбрано хранилище сертификатов Mozilla, корневой сертификат "Лаборатории Касперского" нужно добавить в это хранилище вручную через свойства браузера.
  5. Сохраните внесенные изменения.
В начало

[Topic 175151]

Исключение защищенных соединений из проверки

Большинство веб-ресурсов используют защищенное соединение. Специалисты "Лаборатории Касперского" рекомендуют включить проверку защищенных соединений. Если проверка защищенных соединений мешает работе, вы можете добавить веб-сайт в исключения, – доверенные адреса. Если доверенное приложение использует защищенное соединение, вы можете выключить проверку защищенных соединений для этого приложения. Например, вы можете выключить проверку защищенных соединений для приложений облачных хранилищ, так как эти приложения используют двухфакторную аутентификацию с собственным сертификатом.

Чтобы исключить веб-адрес из проверки защищенных соединений, выполните следующие действия:

  1. В главном окне приложения нажмите на кнопку icon_settings.
  2. В окне параметров приложения выберите раздел Общие настройкиНастройки сети.
  3. В блоке Проверка защищенных соединений нажмите на кнопку Доверенные адреса.
  4. Нажмите на кнопку Добавить.
  5. Введите имя домена или IP-адрес, если вы хотите, чтобы приложение Kaspersky Endpoint Security не проверяло защищенные соединения, устанавливаемые при переходе на эту веб-страницу.

    Kaspersky Endpoint Security поддерживает символ * для ввода маски в имени домена.

    Kaspersky Endpoint Security не поддерживает символ * для IP-адресов. Вы можете выбрать диапазон IP-адресов с помощью маски подсети (например, 198.51.100.0/24).

    Примеры:

    • domain.com – запись включает в себя следующие адреса: https://domain.com, https://www.domain.com, https://domain.com/page123. Запись исключает поддомены (например, subdomain.domain.com).
    • subdomain.domain.com – запись включает в себя следующие адреса: https://subdomain.domain.com, https://subdomain.domain.com/page123. Запись исключает домен domain.com.
    • *.domain.com – запись включает в себя следующие адреса: https://movies.domain.com, https://images.domain.com/page123. Запись исключает домен domain.com.
  6. Сохраните внесенные изменения.

По умолчанию Kaspersky Endpoint Security не проверяет защищенные соединения при возникновении ошибок и добавляет веб-сайт в специальный список – домены с ошибками проверки. Kaspersky Endpoint Security составляет список для каждого пользователя отдельно и не передает данные в Kaspersky Security Center. Вы можете включить блокирование соединения при возникновении ошибки. Вы можете просмотреть список доменов с ошибками проверки защищенных соединений только в локальном интерфейсе приложения.

Чтобы просмотреть список доменов с ошибками проверки, выполните следующие действия:

  1. В главном окне приложения нажмите на кнопку icon_settings.
  2. В окне параметров приложения выберите раздел Общие настройкиНастройки сети.
  3. В блоке Проверка защищенных соединений нажмите на кнопку Домены с ошибками проверки.

Откроется список доменов с ошибками проверки. Чтобы сбросить список вам нужно включить блокирование соединения при возникновении ошибки в политике, применить политику, вернуть параметр в исходное состояние и снова применить политику.

Специалисты "Лаборатории Касперского" составляют список доверенных веб-сайтов, которые Kaspersky Endpoint Security не проверяет независимо от параметров приложения, – глобальные исключения.

Чтобы просмотреть глобальные исключения из проверки защищенного трафика, выполните следующие действия:

  1. В главном окне приложения нажмите на кнопку icon_settings.
  2. В окне параметров приложения выберите раздел Общие настройкиНастройки сети.
  3. В блоке Проверка защищенных соединений нажмите на ссылку со списком доверенных веб-сайтов.

Откроется список веб-сайтов, составленный специалистами "Лаборатории Касперского". Kaspersky Endpoint Security не проверяет защищенные соединения для сайтов из списка. Список может быть обновлен при обновлении баз и модулей Kaspersky Endpoint Security.

В начало

[Topic 187503]

Удаление данных

Kaspersky Endpoint Security позволяет дистанционно удалять данные на компьютерах пользователей с помощью задачи.

Kaspersky Endpoint Security удаляет данные следующим образом:

  • в тихом режиме;
  • на жестких и съемных дисках;
  • для всех учетных записей на компьютере.

Kaspersky Endpoint Security выполняет задачу Удаление данных при любом типе лицензирования, даже после истечения срока действия лицензии.

Режимы удаления данных

Задача позволяет удалять данные в следующих режимах:

  • Немедленное удаление данных.

    В этом режиме вы можете, например, удалить устаревшие данные, чтобы освободить дисковое пространство.

  • Отложенное удаление данных.

    Этот режим предназначен, например, для защиты данных на ноутбуке в случае его потери или кражи. Вы можете настроить автоматическое удаление данных, если ноутбук покинул пределы сети организации и давно не синхронизировался с Kaspersky Security Center.

Настроить расписание удаления данных в свойствах задачи невозможно. Вы можете только немедленно удалить данные после запуска задачи вручную или настроить отложенное удаление данных при отсутствии связи с Kaspersky Security Center.

Ограничения

Удаление данных имеет следующие ограничения:

  • Управление задачей Удаление данных доступно только администратору Kaspersky Security Center. Настроить или запустить задачу в локальном интерфейсе Kaspersky Endpoint Security невозможно.
  • Для файловой системы NTFS Kaspersky Endpoint Security удаляет имена только основных потоков данных. Удалить имена альтернативных потоков данных невозможно.
  • При удалении файла символической ссылки Kaspersky Endpoint Security также удаляет файлы, пути к которым указаны в символической ссылке.

Создание задачи удаления данных

Чтобы удалить данные на компьютерах пользователей, выполните следующие действия:

  1. В главном окне Web Console выберите УстройстваЗадачи.

    Откроется список задач.

  2. Нажмите на кнопку Добавить.

    Запустится мастер создания задачи.

  3. Настройте параметры задачи:
    1. В раскрывающемся списке Программа выберите Kaspersky Endpoint Security для Windows (11.10.0).
    2. В раскрывающемся списке Тип задачи выберите Удаление данных.
    3. В поле Название задачи введите короткое описание, например, Удаление данных (Анти-Вор).
    4. В блоке Выбор устройств, которым будет назначена задача выберите область действия задачи.
  4. Выберите устройства в соответствии с выбранным вариантом области действия задачи. Перейдите к следующему шагу.

    Если в группу администрирования области действия задачи добавлены новые компьютеры, то задача немедленного удаления данных запускается на новых компьютерах только при условии, что между завершением выполнения задачи и добавлением новых компьютеров прошло менее 5 минут.

  5. Завершите работу мастера.

    В списке задач отобразится новая задача.

  6. Нажмите на задачу Kaspersky Endpoint Security Удаление данных.

    Откроется окно свойств задачи.

  7. Выберите закладку Параметры программы.
  8. Выберите метод удаления данных:
    • Удалять средствами операционной системы. Kaspersky Endpoint Security удаляет файлы средствами операционной системы без помещения файлов в корзину.
    • Удалять без возможности восстановления. Kaspersky Endpoint Security перезаписывает файлы случайными данными. Восстановить данные после удаления практически невозможно.
  9. Если вы хотите использовать отложенное удаление данных, установите флажок Автоматически удалять данные при отсутствии связи с Kaspersky Security Center более N дней. Задайте количество дней.

    Задача в режиме отложенного удаления данных будет выполняться при каждом превышении срока отсутствия связи с Kaspersky Security Center.

    При настройке отложенного удаления данных учитывайте, что сотрудники могут, например, выключить компьютер перед уходом в отпуск. В этом случае срок отсутствия связи может быть превышен и данные будут удалены. Также учитывайте график работы автономных пользователей. Подробнее о работе с автономными компьютерами и автономными пользователями см. в справке Kaspersky Security Center.

    Если флажок снят, задача будет выполнена сразу после синхронизации с Kaspersky Security Center.

  10. Создайте список объектов для удаления:
    • Папки. Kaspersky Endpoint Security удалит все файлы в папке, а также вложенные папки. Kaspersky Endpoint Security не поддерживает маски и переменные окружения при вводе пути к папке.
    • Файлы по расширению. Kaspersky Endpoint Security выполнит поиск файлов с указанными расширениями на всех дисках компьютера, в том числе съемных дисках. Для указания нескольких расширений используйте символы ";" или ",".
    • Стандартные области. Kaspersky Endpoint Security удалит файлы из следующих областей:
      • Документы. Файлы в стандартной папке операционной системы Документы, а также вложенные папки.
      • Файлы Cookies. Файлы, в которых браузер сохраняет данные с посещенных пользователем веб-сайтов (например, данные для авторизации пользователя).
      • Рабочий стол. Файлы в стандартной папке операционной системы Рабочий стол, а также вложенные папки.
      • Временные файлы Internet Explorer. Временные файлы, связанные с работой браузера Internet Explorer: копии веб-страниц, изображений и медиафайлов.
      • Временные файлы. Временные файлы, связанные с работой установленных на компьютере приложений. Например, приложения Microsoft Office создают временные файлы с резервными копиями документов.
      • Файлы Outlook. Файлы, связанные с работой почтового клиента Outlook: файлы данных (PST), автономные файлы данных (OST), файлы автономной адресной книги (OAB) и файлы персональной адресной книги (PAB).
      • Профиль пользователя. Набор файлов и папок, в которых хранятся параметры операционной системы для учетной записи локального пользователя.

    Вы можете создать список объектов для удаления на каждой из закладок. Kaspersky Endpoint Security создаст общий консолидированный список и удалит файлы из этого списка при выполнении задачи.

    Удалить файлы, необходимые для работы Kaspersky Endpoint Security, невозможно.

  11. Сохраните внесенные изменения.
  12. Установите флажок напротив задачи.
  13. Нажмите на кнопку Запустить.

В результате на компьютерах пользователей будут удалены данные в соответствии с выбранным режимом: немедленно или при отсутствии связи. Если Kaspersky Endpoint Security не может удалить файл, например, пользователь использует файл в настоящий момент, приложение не пытается удалить его снова. Для завершения удаления данных повторите запуск задачи.

В начало

[Topic 128048]

Веб-Контроль

Веб-Контроль управляет доступом пользователей к веб-ресурсам. Это позволяет уменьшить расход трафика и сократить нецелевое использование рабочего времени. При попытке пользователя открыть веб-сайт, доступ к которому ограничен Веб-Контролем, Kaspersky Endpoint Security заблокирует доступ или покажет предупреждение (см. рис. ниже).

Kaspersky Endpoint Security контролирует только HTTP- и HTTPS-трафик.

Для контроля HTTPS-трафика нужно включить проверку защищенных соединений.

Способы управления доступом к веб-сайтам

Веб-Контроль позволяет настраивать доступ к веб-сайтам следующими способами:

  • Категория веб-сайта. Категоризацию веб-сайтов обеспечивает облачная служба Kaspersky Security Network, эвристический анализ, а также база известных веб-сайтов (входит в состав баз приложения). Вы можете ограничить доступ пользователей, например, к категории "Социальные сети" или другим категориям.
  • Тип данных. Вы можете ограничить доступ пользователей к данным на веб-сайте и, например, скрыть графические изображения. Kaspersky Endpoint Security определяет тип данных по формату файла, а не по расширению.

    Kaspersky Endpoint Security не проверяет файлы внутри архивов. Например, если файлы изображений помещены в архив, Kaspersky Endpoint Security определит тип данных "Архивы", а не "Графические файлы".

  • Отдельный адрес. Вы можете ввести веб-адрес или использовать маски.

Вы можете использовать одновременно несколько способов регулирования доступа к веб-сайтам. Например, вы можете ограничить доступ к типу данных "Файлы офисных приложений" только для категории веб-сайтов "Веб-почта".

Правила доступа к веб-сайтам

Веб-Контроль управляет доступом пользователей к веб-сайтам с помощью правил доступа. Вы можете настроить следующие дополнительные параметры правила доступа к веб-сайтам:

  • Пользователи, на которых распространяется правило.

    Например, вы можете ограничить доступ в интернет через браузер для всех пользователей организации, кроме IT-отдела.

  • Расписание работы правила.

    Например, вы можете ограничить доступ в интернет через браузер только в рабочее время.

Приоритеты правил доступа

Каждое правило имеет приоритет. Чем выше правило в списке, тем выше его приоритет. Если веб-сайт добавлен в несколько правил, Веб-Контроль регулирует доступ к веб-сайтам по правилу с высшим приоритетом. Например, Kaspersky Endpoint Security может определить корпоративный портал как социальную сеть. Чтобы ограничить доступ к социальным сетям и предоставить доступ к корпоративному веб-порталу, создайте два правила: запрещающее правило для категории веб-сайтов "Социальные сети" и разрешающее правило для корпоративного веб-портала. Правило доступа к корпоративному веб-порталу должно иметь приоритет выше, чем правило доступа к социальным сетям.

Сообщения Веб-Контроля

В этом разделе

Включение и выключение Веб-Контроля

Действия с правилами доступа к веб-ресурсам

Экспорт и импорт списка адресов веб-ресурсов

Мониторинг активности пользователей в интернете

Изменение шаблонов сообщений Веб-Контроля

Правила формирования масок адресов веб-ресурсов

Миграция правил доступа к веб-ресурсам из предыдущих версий приложения
В начало

[Topic 128051]

Включение и выключение Веб-Контроля

По умолчанию Веб-Контроль включен.

Чтобы включить или выключить Веб-Контроль, выполните следующие действия:

  1. В главном окне приложения нажмите на кнопку icon_settings.
  2. В окне параметров приложения выберите раздел Контроль безопасностиВеб-Контроль.
  3. Используйте переключатель Веб-Контроль, чтобы включить или выключить компонент.
  4. Сохраните внесенные изменения.
В начало

[Topic 124709]

Действия с правилами доступа к веб-ресурсам

Не рекомендуется создавать более 1000 правил доступа к веб-ресурсам, поскольку это может привести к нестабильности системы.

Правило доступа к веб-ресурсам представляет собой набор фильтров и действие, которое Kaspersky Endpoint Security выполняет при посещении пользователями описанных в правиле веб-ресурсов в указанное в расписании работы правила время. Фильтры позволяют точно задать круг веб-ресурсов, доступ к которым контролирует компонент Веб-Контроль.

Доступны следующие фильтры:

  • Фильтр по содержанию. Веб-Контроль разделяет веб-ресурсы по категориям содержания и категориям типа данных. Вы можете контролировать доступ пользователей к размещенным на веб-ресурсах данным, относящихся к определенными этими категориями типам данных. При посещении пользователями веб-ресурсов, которые относятся к выбранной категории содержания и / или категории типа данных, Kaspersky Endpoint Security выполняет действие, указанное в правиле.
  • Фильтр по адресам веб-ресурсов. Вы можете контролировать доступ пользователей ко всем адресам веб-ресурсов или к отдельным адресам веб-ресурсов и / или группам адресов веб-ресурсов.

    Если задан и фильтр по содержанию, и фильтр по адресам веб-ресурсов, и заданные адреса веб-ресурсов и / или группы адресов веб-ресурсов принадлежат к выбранным категориям содержания или категориям типа данных, Kaspersky Endpoint Security контролирует доступ не ко всем веб-ресурсам выбранных категорий содержания и / или категорий типа данных, а только к заданным адресам веб-ресурсов и / или группам адресов веб-ресурсов.

  • Фильтр по именам пользователей и групп пользователей. Вы можете задавать пользователей и / или группы пользователей, для которых контролируется доступ к веб-ресурсам в соответствии с правилом.
  • Расписание работы правила. Вы можете задавать расписание работы правила. Расписание работы правила определяет время, когда Kaspersky Endpoint Security контролирует доступ к веб-ресурсам, указанным в правиле.

После установки приложения Kaspersky Endpoint Security список правил компонента Веб-Контроль не пуст. Предустановлены два правила:

  • Правило "Сценарии и таблицы стилей", которое разрешает всем пользователям в любое время доступ к веб-ресурсам, адреса которых содержат названия файлов с расширением css, js, vbs. Например: http://www.example.com/style.css, http://www.example.com/style.css?mode=normal.
  • "Правило по умолчанию". Это правило в зависимости от выбранного действия разрешает или запрещает всем пользователям доступ ко всем веб-ресурсам, которые не попадают под действие других правил.

В этом разделе

Добавление правила доступа к веб-ресурсам

Назначение приоритета правилам доступа к веб-ресурсам

Включение и выключение правила доступа к веб-ресурсам

Экспорт и импорт списка доверенных веб-адресов

Проверка работы правил доступа к веб-ресурсам
В начало

[Topic 123289]

Добавление правила доступа к веб-ресурсам

Чтобы добавить или изменить правило доступа к веб-ресурсам, выполните следующие действия:

  1. В главном окне приложения нажмите на кнопку icon_settings.
  2. В окне параметров приложения выберите раздел Контроль безопасностиВеб-Контроль.
  3. В блоке Настройки нажмите на кнопку Правила доступа к веб-ресурсам.
  4. В открывшемся окне нажмите на кнопку Добавить.

    Откроется окно Правило доступа к веб-ресурсам.

  5. В поле Название правила введите название правила.
  6. Установите статус правила доступа к веб-ресурсам Активно.

    Вы можете в любое время выключить правило доступа к веб-ресурсам с помощью переключателя.

  7. В блоке Действие выберите нужный вариант:
    • Разрешать. Если выбрано это значение, то Kaspersky Endpoint Security разрешает доступ к веб-ресурсам, удовлетворяющим параметрам правила.
    • Запрещать. Если выбрано это значение, то Kaspersky Endpoint Security запрещает доступ к веб-ресурсам, удовлетворяющим параметрам правила.
    • Предупреждать. Если выбрано это значение, то при попытке доступа к веб-ресурсам, удовлетворяющим правилу, Kaspersky Endpoint Security выводит предупреждение о том, что веб-ресурс не рекомендован для посещения. По ссылкам из сообщения-предупреждения пользователь может получить доступ к запрошенному веб-ресурсу.
  8. В блоке Содержимое фильтра выберите нужный фильтр по содержанию:
    • По категориям содержания. Вы можете контролировать доступ пользователей к веб-ресурсам по категориям (например, категория Социальные сети).
    • По типам данных. Вы можете контролировать доступ пользователей к веб-ресурсам по размещенным данным, относящихся к определенным типам данных (например, Графические изображения).

    Для настройки фильтра по содержанию выполните следующие действия:

    1. Нажмите на ссылку Настроить.
    2. Установите флажки напротив названий желаемых категорий содержания и / или типов данных.

      Установка флажка напротив названия категории содержания и / или типа данных означает, что Kaspersky Endpoint Security, в соответствии с правилом, контролирует доступ к веб-ресурсам, принадлежащим к выбранным категориям содержания и / или типам данных.

    3. Вернитесь в окно настройки правила доступа к веб-ресурсам.
  9. В блоке Адреса выберите нужный фильтр по адресам веб-ресурсов:
    • Ко всем адресам. Веб-Контроль не фильтрует веб-ресурсы по адресам.
    • К отдельным адресам. Веб-Контроль фильтрует только адреса веб-ресурсов из списка. Для создания список адресов веб-ресурсов выполните следующие действия:
      1. Нажмите на кнопку Добавить адрес или Добавить группу адресов.
      2. В открывшемся окне сформируйте список адресов веб-ресурсов. Вы можете ввести веб-адрес или использовать маски. Также вы можете экспортировать список адресов веб-ресурсов из TXT-файла.
      3. Вернитесь в окно настройки правила доступа к веб-ресурсам.

      Если Проверка защищенных соединений отключена, для протокола HTTPS доступна фильтрация только по имени сервера.

  10. В блоке Пользователи выберите нужный фильтр для пользователей:
    • Ко всем пользователям. Веб-Контроль не фильтрует веб-ресурсы для отдельных пользователей.
    • К отдельным пользователям и / или группам. Веб-Контроль фильтрует веб-ресурсы только для отдельных пользователей. Для создания списка пользователей, к которым вы хотите применить правило, выполните следующие действия:
      1. Нажмите на кнопку Добавить.
      2. В открывшемся окне выберите пользователей или группы пользователей, к которым вы хотите применить правило доступа к веб-ресурсам.
      3. Вернитесь в окно настройки правила доступа к веб-ресурсам.
  11. Выберите из раскрывающегося списка Расписание работы правила название нужного расписания или сформируйте новое расписание на основе выбранного расписания работы правила. Для этого выполните следующие действия:
    1. Нажмите на кнопку Изменить или добавить новое.
    2. В открывшемся окне нажмите на кнопку Добавить.
    3. В открывшемся окне введите название расписания работы правила.
    4. Настройте расписание доступа к веб-ресурсам для пользователей.
    5. Вернитесь в окно настройки правила доступа к веб-ресурсам.
  12. Сохраните внесенные изменения.
В начало

[Topic 128052]

Назначение приоритета правилам доступа к веб-ресурсам

Каждое правило имеет приоритет. Чем выше правило в списке, тем выше его приоритет. Если веб-сайт добавлен в несколько правил, Веб-Контроль регулирует доступ к веб-сайтам по правилу с высшим приоритетом. Например, Kaspersky Endpoint Security может определить корпоративный портал как социальную сеть. Чтобы ограничить доступ к социальным сетям и предоставить доступ к корпоративному веб-порталу, создайте два правила: запрещающее правило для категории веб-сайтов "Социальные сети" и разрешающее правило для корпоративного веб-портала. Правило доступа к корпоративному веб-порталу должно иметь приоритет выше, чем правило доступа к социальным сетям.

Вы можете назначить приоритет каждому правилу из списка правил, расположив их в определенном порядке.

Чтобы назначить правилам доступа к веб-ресурсам приоритет, выполните следующие действия:

  1. В главном окне приложения нажмите на кнопку icon_settings.
  2. В окне параметров приложения выберите раздел Контроль безопасностиВеб-Контроль.
  3. В блоке Настройки нажмите на кнопку Правила доступа к веб-ресурсам.
  4. В открывшемся окне выберите правило, приоритет которого вы хотите изменить.
  5. С помощью кнопок Вверх и Вниз переместите правило на нужную позицию в списке правил доступа к веб-ресурсам.
  6. Сохраните внесенные изменения.
В начало

[Topic 128053]

Включение и выключение правила доступа к веб-ресурсам

Чтобы включить или выключить правило доступа к веб-ресурсам, выполните следующие действия:

  1. В главном окне приложения нажмите на кнопку icon_settings.
  2. В окне параметров приложения выберите раздел Контроль безопасностиВеб-Контроль.
  3. В блоке Настройки нажмите на кнопку Правила доступа к веб-ресурсам.
  4. В открывшемся окне выберите правило, которое вы хотите включить или выключить.
  5. В графе Состояние выполните следующие действия:
    • Если вы хотите включить использование правила, выберите значение Активно.
    • Если вы хотите выключить использование правила, выберите значение Не активно.
  6. Сохраните внесенные изменения.
В начало

[Topic 202285]

Экспорт и импорт списка доверенных веб-адресов

Вы можете экспортировать список правил Веб-Контроля в файл в формате XML. Далее вы можете вносить изменения в файл, чтобы, например, добавить большое количество однотипных адресов. Вы можете использовать функцию экспорта / импорта для резервного копирования списка правил Веб-Контроля или для миграции списка на другой сервер.

Как экспортировать / импортировать список правил Веб-Контроля в Консоли администрирования (MMC)

  1. Откройте Консоль администрирования Kaspersky Security Center.
  2. В папке Управляемые устройства дерева Консоли администрирования откройте папку с названием группы администрирования, в состав которой входят нужные клиентские компьютеры.
  3. В рабочей области выберите закладку Политики.
  4. Выберите нужную политику и откройте свойства политики двойным щелчком мыши.
  5. В окне политики выберите Контроль безопасностиВеб-Контроль.
  6. Для экспорта списка правил Веб-Контроля выполните следующие действия:
    1. Выберите правила, которые вы хотите экспортировать. Чтобы выбрать несколько записей, используйте клавиши CTRL или SHIFT.

      Если вы не выбрали ни одного правила, Kaspersky Endpoint Security экспортирует все правила.

    2. Нажмите на ссылку Экспортировать.
    3. В открывшемся окне введите имя файла формата XML, в который вы хотите экспортировать список правил, а также выберите папку, в которой вы хотите сохранить этот файл.
    4. Сохраните файл.

      Kaspersky Endpoint Security экспортирует список правил в XML-файл.

  7. Для импорта списка правил Веб-Контроля выполните следующие действия:
    1. Нажмите на ссылку Импортировать.

      В открывшемся окне выберите XML-файл, из которого вы хотите импортировать список правил.

    2. Откройте файл.

      Если на компьютере уже есть список правил, Kaspersky Endpoint Security предложит удалить действующий список или добавить в него новые записи из XML-файла.

  8. Сохраните внесенные изменения.

Как экспортировать / импортировать список правил Веб-Контроля в Web Console и Cloud Console

  1. В главном окне Web Console выберите УстройстваПолитики и профили политик.
  2. Нажмите на название политики Kaspersky Endpoint Security.

    Откроется окно свойств политики.

  3. Выберите закладку Параметры программы.
  4. Перейдите в раздел Контроль безопасностиВеб-Контроль.
  5. Для экспорта списка правил в блоке Список правил выполните следующие действия:
    1. Выберите правила, которые вы хотите экспортировать.
    2. Нажмите на кнопку Экспорт.
    3. Подтвердите, что вы хотите экспортировать только выбранные правила, или экспортируйте весь список.
    4. Сохраните файл.

      Kaspersky Endpoint Security экспортирует список правил в XML-файл в папку для загрузки по умолчанию.

  6. Для импорта списка правил в блоке Список правил выполните следующие действия:
    1. Нажмите на ссылку Импортировать.

      В открывшемся окне выберите XML-файл, из которого вы хотите импортировать список правил.

    2. Откройте файл.

      Если на компьютере уже есть список правил, Kaspersky Endpoint Security предложит удалить действующий список или добавить в него новые записи из XML-файла.

  7. Сохраните внесенные изменения.
В начало

[Topic 123290]

Проверка работы правил доступа к веб-ресурсам

Чтобы оценить, насколько согласованы правила Веб-Контроля, вы можете проверить их работу. Для этого в рамках компонента Веб-Контроль предусмотрена функция "Диагностика правил".

Чтобы проверить работу правил доступа к веб-ресурсам, выполните следующие действия:

  1. В главном окне приложения нажмите на кнопку icon_settings.
  2. В окне параметров приложения выберите раздел Контроль безопасностиВеб-Контроль.
  3. В блоке Настройки нажмите на ссылку Диагностика правил.

    Откроется окно Диагностика правил.

  4. Установите флажок Укажите адрес, если вы хотите проверить работу правил, в соответствии с которыми Kaspersky Endpoint Security контролирует доступ к определенному веб-ресурсу. В поле ниже введите адрес веб-ресурса.
  5. Задайте список пользователей и / или групп пользователей, если вы хотите проверить работу правил, в соответствии с которыми Kaspersky Endpoint Security контролирует доступ к веб-ресурсам для определенных пользователей и / или групп пользователей.
  6. Установите флажок Фильтровать содержание и в раскрывающемся списке выберите нужный элемент (По категориям содержания, По типам данных или По категориям содержания и типам данных), если вы хотите проверить работу правил, в соответствии с которыми Kaspersky Endpoint Security контролирует доступ к веб-ресурсам определенных категорий содержания и / или категорий типа данных.
  7. Установите флажок Учитывать время попытки доступа, если вы хотите проверить работу правил с учетом дня недели и времени совершения попытки доступа к веб-ресурсам, указанным в условиях диагностики правил. Далее укажите день недели и время.
  8. Нажмите на кнопку Проверить.

В результате проверки выводится сообщение о действии Kaspersky Endpoint Security в соответствии с первым сработавшим правилом при попытке доступа к заданному веб-ресурсу (разрешение, запрет, предупреждение). Первым срабатывает правило, которое находится в списке правил Веб-Контроля выше других правил, удовлетворяющих условиям диагностики. Сообщение выводится справа от кнопки Проверить. В таблице ниже выводится список остальных сработавших правил с указанием действия, которое выполняет Kaspersky Endpoint Security. Правила выводятся в порядке убывания приоритета.

В начало

[Topic 128055]

Экспорт и импорт списка адресов веб-ресурсов

Если в правиле доступа к веб-ресурсам вы сформировали список адресов веб-ресурсов, вы можете экспортировать его в файл формата TXT. В дальнейшем вы можете импортировать список из этого файла, чтобы при настройке правила не создавать список адресов веб-ресурсов вручную. Возможность экспорта и импорта списка адресов веб-ресурсов может понадобиться, например, если вы создаете правила со сходными параметрами.

Чтобы импортировать или экспортировать список адресов веб-ресурсов в файл, выполните следующие действия:

  1. В главном окне приложения нажмите на кнопку icon_settings.
  2. В окне параметров приложения выберите раздел Контроль безопасностиВеб-Контроль.
  3. В блоке Настройки нажмите на кнопку Правила доступа к веб-ресурсам.
  4. Выберите правило, список адресов веб-ресурсов которого вы хотите экспортировать или импортировать.
  5. Для экспорта списка доверенных веб-ресурсов в блоке Адреса выполните следующие действия:
    1. Выберите адреса, которые вы хотите экспортировать.

      Если вы не выбрали ни одного адреса, Kaspersky Endpoint Security экспортирует все адреса.

    2. Нажмите на кнопку Экспорт.
    3. В открывшемся окне введите имя файла формата TXT, в который вы хотите экспортировать список адресов веб-ресурсов, а также выберите папку, в которой вы хотите сохранить этот файл.
    4. Сохраните файл.

      Kaspersky Endpoint Security экспортирует список адресов веб-ресурсов в TXT-файл.

  6. Для импорта списка веб-ресурсов в блоке Адреса выполните следующие действия:
    1. Нажмите на кнопку Импорт.

      В открывшемся окне выберите TXT-файл, из которого вы хотите импортировать список веб-ресурсов.

    2. Откройте файл.

      Если на компьютере уже есть список адресов, Kaspersky Endpoint Security предложит удалить действующий список или добавить в него новые записи из TXT-файла.

  7. Сохраните внесенные изменения.
В начало

[Topic 187604]

Мониторинг активности пользователей в интернете

Kaspersky Endpoint Security позволяет записывать данные о посещении пользователями всех веб-сайтов, в том числе и разрешенных. Таким образом, вы можете получить полную историю просмотров в браузере. Kaspersky Endpoint Security отправляет события активности пользователя в Kaspersky Security Center, локальный журнал Kaspersky Endpoint Security, журнал событий Windows. Для получения событий в Kaspersky Security Center нужно настроить параметры событий в политике в Консоли администрирования или Web Console. Также вы можете настроить отправку событий Веб-Контроля по электронной почте и отображение уведомлений на экране компьютера пользователя.

Браузеры, которые поддерживают функцию мониторинга: Microsoft Edge, Microsoft Internet Explorer, Google Chrome, Яндекс.Браузер, Mozilla Firefox. Мониторинг активности пользователей не работает в других браузерах.

Kaspersky Endpoint Security создает следующие события активности пользователя в интернете:

  • блокировка веб-сайта (статус Критические события );
  • посещение нерекомендованного веб-сайта (статус Предупреждения );
  • посещение разрешенного веб-сайта (статус Информационные сообщения ).

Перед включением мониторинга активности пользователей в интернете необходимо выполнить следующие действия:

  • Внедрите в трафик скрипт взаимодействия с веб-страницами (см. инструкцию ниже). Скрипт позволяет регистрировать события работы Веб-Контроля.
  • Для контроля HTTPS-трафика нужно включить проверку защищенных соединений.

Чтобы внедрить в трафик скрипт взаимодействия с веб-страницами, выполните следующие действия:

  1. В главном окне приложения нажмите на кнопку icon_settings.
  2. В окне параметров приложения выберите раздел Общие настройкиНастройки сети.
  3. В блоке Обработка трафика установите флажок Внедрять в трафик скрипт взаимодействия с веб-страницами.
  4. Сохраните внесенные изменения.

В результате Kaspersky Endpoint Security внедрит в трафик скрипт взаимодействия с веб-страницами. Скрипт позволяет регистрировать события работы Веб-Контроля для журнала событий приложения, журнала событий ОС, отчетов.

Чтобы настроить запись событий Веб-Контроля на компьютере пользователя, выполните следующие действия:

  1. В главном окне приложения нажмите на кнопку icon_settings.
  2. В окне параметров приложения выберите раздел Общие настройкиИнтерфейс.
  3. В блоке Уведомления нажмите на кнопку Настройка уведомлений.
  4. В открывшемся окне выберите раздел Веб-Контроль.

    Откроется таблица событий Веб-Контроля и способов уведомлений.

  5. Настройте для каждого события способ уведомления: Сохранять в локальном отчете и Сохранять в журнале событий Windows.

    Для записи событий посещения разрешенных веб-сайтов нужно дополнительно настроить Веб-Контроль (см. инструкцию ниже).

    Также в таблице событий вы можете включить уведомление на экране и уведомление по электронной почте. Для отправки уведомлений по почте нужно настроить параметры SMTP-сервера. Подробнее об отправке уведомлений по почте см. в справке Kaspersky Security Center.

  6. Сохраните внесенные изменения.

В результате Kaspersky Endpoint Security начинает записывать события активности пользователя в интернете.

Веб-Контроль отправляет события активности пользователя в Kaspersky Security Center следующим образом:

  • Если вы используете Kaspersky Security Center, Веб-Контроль отправляет события по всем объектам, из которых состоит веб-страница. Поэтому при блокировании одной веб-страницы может быть создано несколько событий. Например, при блокировании веб-страницы http://www.example.com Kaspersky Endpoint Security может отправить события по следующим объектам: http://www.example.com, http://www.example.com/icon.ico, http://www.example.com/file.js и так далее.
  • Если вы используете Kaspersky Security Center Cloud Console, Веб-Контроль группирует события и отправляет только протокол и домен веб-сайта. Например, если пользователь посетил нерекомендованные веб-страницы http://www.example.com/main, http://www.example.com/contact, http://www.example.com/gallery, то Kaspersky Endpoint Security отправит только одно событие с объектом http://www.example.com.

Чтобы включить запись событий посещения разрешенных веб-сайтов, выполните следующие действия:

  1. В главном окне приложения нажмите на кнопку icon_settings.
  2. В окне параметров приложения выберите раздел Контроль безопасностиВеб-Контроль.
  3. В блоке Дополнительно нажмите на кнопку Дополнительные настройки.
  4. В открывшемся окне установите флажок Записывать данные о посещении разрешенных страниц в журнал.
  5. Сохраните внесенные изменения.

В результате вам будет доступна полная история просмотров в браузере.

В начало

[Topic 128057]

Изменение шаблонов сообщений Веб-Контроля

В зависимости от действия, заданного в свойствах правил Веб-Контроля, при попытке пользователей получить доступ к веб-ресурсам Kaspersky Endpoint Security выводит сообщение (подменяет ответ HTTP-сервера HTML-страницей с сообщением) одного из следующих типов:

  • Сообщение-предупреждение. Такое сообщение предупреждает пользователя о том, что посещение веб-ресурса не рекомендуется и / или не соответствует корпоративной политике безопасности. Kaspersky Endpoint Security выводит сообщение-предупреждение, если в параметрах правила, описывающего этот веб-ресурс, выбрано действие Предупреждать.

    Если, по мнению пользователя, предупреждение ошибочно, по ссылке из предупреждения пользователь может отправить уже сформированное сообщение администратору локальной сети организации.

  • Сообщение о блокировке веб-ресурса. Kaspersky Endpoint Security выводит сообщение о блокировке веб-ресурса, если в параметрах правила, которое описывает этот веб-ресурс, выбрано действие Запрещать.

    Если блокировка доступа к веб-ресурсу, по мнению пользователя, была ошибочна, по ссылке из сообщения о блокировке веб-ресурса пользователь может отправить уже сформированное сообщение администратору локальной сети организации.

Для сообщения-предупреждения, сообщения о блокировке доступа к веб-ресурсу и сообщения для отправки администратору локальной сети организации предусмотрены шаблоны. Вы можете изменять их содержание.

Чтобы изменить шаблон сообщений Веб-Контроля, выполните следующие действия:

  1. В главном окне приложения нажмите на кнопку icon_settings.
  2. В окне параметров приложения выберите раздел Контроль безопасностиВеб-Контроль.
  3. В блоке Шаблоны настройте шаблоны сообщений Веб-Контроля:
    • Предупреждение. Поле ввода содержит шаблон сообщения, которое появляется при срабатывании правила, предупреждающего о попытке доступа к нерекомендованному веб-ресурсу.
    • Сообщение о блокировке. Поле ввода содержит шаблон сообщения, которое появляется при срабатывании правила, блокирующего доступ к веб-ресурсу.
    • Сообщение администратору. Шаблон сообщения для отправки администратору локальной сети организации в случае, если блокировка доступа к веб-ресурсу, по мнению пользователя, произошла ошибочно. После запроса пользователя предоставить доступ Kaspersky Endpoint Security отправляет в Kaspersky Security Center событие Сообщение администратору о запрете доступа к веб-странице. Описание события содержит сообщение администратору с подставленными переменными. Вы можете посмотреть эти события в консоли Kaspersky Security Center с помощью предустановленной выборки Запросы пользователей. Если в вашей организации не развернуто решение Kaspersky Security Center или связь с Сервером администрирования отсутствует, приложение отправит сообщение администратору на указанный адрес электронной почты.
  4. Сохраните внесенные изменения.

См. также:

Изменение шаблонов сообщений Контроля устройств

Изменение шаблонов сообщений Контроля приложений

Изменение шаблонов сообщений Адаптивного контроля аномалий

Изменение шаблонов сообщений для получения доступа к зашифрованным файлам
В начало

[Topic 128056]

Правила формирования масок адресов веб-ресурсов

Использование маски адреса веб-ресурса (далее также "маски адреса") может быть удобно в случаях, когда в процессе создания правила доступа к веб-ресурсам требуется ввести множество схожих адресов веб-ресурсов. Одна грамотно сформированная маска адреса может заменить множество адресов веб-ресурсов.

При формировании маски адреса следует использовать следующие правила:

  1. Символ * заменяет любую последовательность из нуля или более символов.

    Например, при вводе маски адреса *abc* правило доступа к веб-ресурсам применяется ко всем адресам, содержащим последовательность abc. Пример: http://www.example.com/page_0-9abcdef.html.

  2. Последовательность символов *. позволяет выбрать все домены адреса – маска домена. Маска домена *. трактуется как любое имя домена, имя поддомена или пустая строка.

    Пример: под действие маски *.example.com попадают следующие адреса:

    • http://pictures.example.com – маска домена *. применена для pictures..
    • http://user.pictures.example.com – маска домена *. применена для pictures. и user..
    • http://example.com – маска домена *. трактуется как пустая строка.
  3. Последовательность символов www. в начале маски адреса трактуется как последовательность *..

    Пример: маска адреса www.example.com трактуется как *.example.com. Под действие маски попадают адреса www2.example.com и www.pictures.example.com.

  4. Если маска адреса начинается не с символа *, то содержание маски адреса эквивалентно тому же содержанию с префиксом *..
  5. Если маска адреса заканчивается символом, отличным от / или *, то содержание маски адреса эквивалентно тому же содержанию с постфиксом /*.

    Пример: под действие маски адреса http://www.example.com попадают адреса вида http://www.example.com/abc, где a, b, c – любые символы.

  6. Если маска адреса заканчивается символом /, то содержание маски адреса эквивалентно тому же содержанию с постфиксом /*.
  7. Последовательность символов /* в конце маски адреса трактуется как /* или пустая строка.
  8. Проверка адресов веб-ресурсов по маске адреса осуществляется с учетом схемы (http или https):
    • Если сетевой протокол в маске адреса отсутствует, то под действие маски адреса попадает адрес с любым сетевым протоколом.

      Пример: под действие маски адреса example.com попадают адреса http://example.com и https://example.com.

    • Если сетевой протокол в маске адреса присутствует, то под действие маски адреса попадают только адреса с таким же сетевым протоколом, как у маски адреса.

      Пример: под действие маски адреса http://*.example.com попадает адрес http://www.example.com и не попадает адрес https://www.example.com.

  9. Маска адреса, заключенная в двойные кавычки, трактуется без учета каких-либо дополнительных подстановок, за исключением символа *, если он изначально включен в состав маски адреса. Для масок адреса, заключенных в двойные кавычки, не выполняются правила 5 и 7 (см. примеры 14 – 18 в таблице ниже).
  10. При сравнении с маской адреса веб-ресурса не учитываются имя пользователя и пароль, порт соединения и регистр символов.

     

    Примеры применения правил формирования масок адресов

     

    Маска адреса

    Проверяемый адрес веб-ресурса

    Удовлетворяет ли проверяемый адрес маске адреса

    Комментарий

    1

    *.example.com

    http://www.123example.com

    Нет

    См. правило 1.

    2

    *.example.com

    http://www.123.example.com

    Да

    См. правило 2.

    3

    *example.com

    http://www.123example.com

    Да

    См. правило 1.

    4

    *example.com

    http://www.123.example.com

    Да

    См. правило 1.

    5

    http://www.*.example.com

    http://www.123example.com

    Нет

    См. правило 1.

    6

    www.example.com

    http://www.example.com

    Да

    См. правила 3, 2, 1.

    7

    www.example.com

    https://www.example.com

    Да

    См. правила 3, 2, 1.

    8

    http://www.*.example.com

    http://123.example.com

    Да

    См. правила 3, 4, 1.

    9

    www.example.com

    http://www.example.com/abc

    Да

    См. правила 3, 5, 1.

    10

    example.com

    http://www.example.com

    Да

    См. правила 3, 1.

    11

    http://example.com/

    http://example.com/abc

    Да

    См. правила 6.

    12

    http://example.com/*

    http://example.com

    Да

    См. правило 7.

    13

    http://example.com

    https://example.com

    Нет

    См. правило 8.

    14

    "example.com"

    http://www.example.com

    Нет

    См. правило 9.

    15

    "http://www.example.com"

    http://www.example.com/abc

    Нет

    См. правило 9.

    16

    "*.example.com"

    http://www.example.com

    Да

    См. правила 1, 9.

    17

    "http://www.example.com/*"

    http://www.example.com/abc

    Да

    См. правила 1, 9.

    18

    "www.example.com"

    http://www.example.com; https://www.example.com

    Да

    См. правила 9, 8.

    19

    www.example.com/abc/123

    http://www.example.com/abc

    Нет

    Маска адреса содержит больше информации, чем адрес веб-ресурса.

     

В начало

[Topic 134448]

Миграция правил доступа к веб-ресурсам из предыдущих версий приложения

При обновлении приложения с версии Kaspersky Endpoint Security 10 Service Pack 2 для Windows и с более ранних версий до Kaspersky Endpoint Security для Windows 11.10.0 правила доступа к веб-ресурсам, основанные на категориях содержания веб-ресурсов, мигрируют по следующим правилам:

  • Правила доступа к веб-ресурсам, основанные на одной или нескольких категориях содержания веб-ресурсов из списка "Чаты и форумы", "Веб-почта", "Социальные сети", становятся основанными на категории содержания веб-ресурсов "Общение в сети".
  • Правила доступа к веб-ресурсам, основанные на одной или нескольких категориях содержания веб-ресурсов из списка "Интернет-магазины" и "Платежные системы", становятся основанными на категории содержания веб-ресурсов "Интернет-магазины, банки, платежные системы".
  • Правила доступа к веб-ресурсам, основанные на категории содержания веб-ресурсов "Азартные игры", становятся основанными на категории содержания веб-ресурсов "Азартные игры, лотереи, тотализаторы".
  • Правила доступа к веб-ресурсам, основанные на категории содержания веб-ресурсов "Браузерные игры", становятся основанными на категории содержания веб-ресурсов "Компьютерные игры".
  • Правила доступа к веб-ресурсам, основанные на категориях содержания веб-ресурсов, не перечисленных в предыдущих пунктах списка, мигрируют без изменений.
В начало

[Topic 34890]

Контроль устройств

Контроль устройств управляет доступом пользователей к установленным или подключенным к компьютеру устройствам (например, жестким дискам, камере или модулю Wi-Fi). Это позволяет защитить компьютер от заражения при подключении этих устройств и предотвратить потерю или утечку данных.

Уровни доступа к устройствам

Контроль устройств управляет доступом на следующих уровнях:

  • Тип устройства. Например, принтеры, съемные диски, CD/DVD-приводы.

    Вы можете настроить доступ устройств следующим образом:

    • Разрешать – .
    • Запрещать – .
    • Зависит от шины подключения (кроме Wi-Fi) – .
    • Запрещать с исключениями (только Wi-Fi) – .
  • Шина подключения. Шина подключения – интерфейс, с помощью которого устройства подключаются к компьютеру (например, USB, FireWire). Таким образом, вы можете ограничить подключение всех устройств, например, через USB.

    Вы можете настроить доступ устройств следующим образом:

    • Разрешать – .
    • Запрещать – .
  • Доверенные устройства. Доверенные устройства – это устройства, полный доступ к которым разрешен в любое время для пользователей, указанных в параметрах доверенного устройства.

    Вы можете добавить доверенные устройства по следующим данным:

    • Устройства по идентификатору. Каждое устройство имеет уникальный идентификатор (англ. Hardware ID – HWID). Вы можете просмотреть идентификатор в свойствах устройства средствами операционной системы. Пример идентификатора устройства: SCSI\CDROM&VEN_NECVMWAR&PROD_VMWARE_SATA_CD00\5&354AE4D7&0&000000. Добавлять устройства по идентификатору удобно, если вы хотите добавить несколько определенных устройств.
    • Устройства по модели. Каждое устройство имеет идентификатор производителя (англ. Vendor ID – VID) и идентификатор продукта (англ. Product ID – PID). Вы можете просмотреть идентификаторы в свойствах устройства средствами операционной системы. Шаблон для ввода VID и PID: VID_1234&PID_5678. Добавлять устройства по модели удобно, если вы используете в вашей организации устройства определенной модели. Таким образом, вы можете добавить все устройства этой модели.
    • Устройства по маске идентификатора. Если вы используете несколько устройств с похожими идентификаторами, вы можете добавить устройства в список доверенных с помощью масок. Символ * заменяет любой набор символов. Kaspersky Endpoint Security не поддерживает символ ? при вводе маски. Например, WDC_C*.
    • Устройства по маске модели. Если вы используете несколько устройств с похожими VID или PID (например, устройства одного производителя), вы можете добавить устройства в список доверенных с помощью масок. Символ * заменяет любой набор символов. Kaspersky Endpoint Security не поддерживает символ ? при вводе маски. Например, VID_05AC&PID_*.

Контроль устройств регулирует доступ пользователей к устройствам с помощью правил доступа. Также Контроль устройств позволяет сохранять события подключения / отключения устройств. Для сохранения событий вам нужно настроить отправку событий в политике.

Если доступ к устройству зависит от шины подключения (статус ), Kaspersky Endpoint Security не сохраняет события подключения / отключения устройства. Чтобы приложение Kaspersky Endpoint Security сохраняла события подключения / отключения устройства, разрешите доступ к соответствующему типу устройств (статус ) или добавьте устройство в список доверенных.

При подключении к компьютеру устройства, доступ к которому запрещен Контролем устройств, Kaspersky Endpoint Security заблокирует доступ и покажет уведомление (см. рис. ниже).

Уведомление Контроля устройств

Алгоритм работы Контроля устройств

Kaspersky Endpoint Security принимает решение о доступе к устройству после того, как пользователь подключил это устройство к компьютеру (см. рис. ниже).

Алгоритм работы Контроля устройств

Если устройство подключено и доступ разрешен, вы можете изменить правило доступа и запретить доступ. В этом случае при очередном обращении к устройству (просмотр дерева папок, чтение, запись) Kaspersky Endpoint Security блокирует доступ. Блокирование устройства без файловой системы произойдет только при последующем подключении устройства.

Если пользователю компьютера с установленным приложением Kaspersky Endpoint Security требуется запросить доступ к устройству, которое, по его мнению, было заблокировано ошибочно, передайте ему инструкцию по запросу доступа.

В этом разделе

Включение и выключение Контроля устройств

О правилах доступа

Изменение правила доступа к устройствам

Изменение правила доступа к шине подключения

Добавление сети Wi-Fi в список доверенных

Мониторинг использования съемных дисков

Изменение периода кеширования

Действия с доверенными устройствами

Получение доступа к заблокированному устройству

Изменение шаблонов сообщений Контроля устройств

Анти-Бриджинг
В начало

[Topic 128043]

Включение и выключение Контроля устройств

По умолчанию Контроль устройств включен.

Чтобы включить или выключить Контроль устройств, выполните следующие действия:

  1. В главном окне приложения нажмите на кнопку icon_settings.
  2. В окне параметров приложения выберите раздел Контроль безопасностиКонтроль устройств.
  3. Используйте переключатель Контроль устройств, чтобы включить или выключить компонент.
  4. Сохраните внесенные изменения.

В результате, если Контроль устройств включен, приложение передает в Kaspersky Security Center информацию о подключенных устройствах. Вы можете просмотреть список подключенных устройств в Kaspersky Security Center в папке ДополнительноХранилищеОборудование.

В начало

[Topic 38436]

О правилах доступа

Правила доступа – набор параметров, которые определяют доступ пользователей к установленным или подключенным к компьютеру устройствам. Невозможно добавить устройство, которое выходит за рамки классификации Контроля устройств. Доступ к этим устройствам разрешен для всех пользователей.

Правила доступа к устройствам

Набор параметров правила доступа отличается в зависимости от типа устройств (см. таблицу ниже).

Параметры правила доступа

Устройства

Управление доступом

Расписание доступа к устройству

Назначение пользователей / группы пользователей

Приоритет

Разрешение на чтение / запись

Жесткие диски

Съемные диски

Принтеры

Дискеты

CD/DVD-приводы

Модемы

Стримеры

Мультифункциональные устройства

Устройства чтения смарт-карт

Windows CE USB ActiveSync устройства

Внешние сетевые адаптеры

Портативные устройства (MTP)

Bluetooth

Камеры и сканеры

Правила доступа к мобильным устройствам

Мобильные устройства под управлением Android и iOS относятся к портативным устройствам (MTP). При подключении мобильного устройства к компьютеру операционная система определяет тип устройства. Если на компьютере установлены приложения Android Debug Bridge (ADB), iTunes или их аналоги, операционная система определяет мобильные устройства как ADB- или iTunes-устройства. В остальных случаях операционная система может определить тип мобильного устройства как портативное устройство (MTP) для передачи файлов, PTP-устройство (камера) для передачи изображений или другое устройство. Тип устройства зависит от модели мобильного устройства.

Доступ к ADB- или iTunes-устройствам имеет следующие особенности:

  • Настроить расписание доступа к устройству невозможно. То есть, если доступ к устройствам ограничен правилами (статус ), ADB- и iTunes-устройства доступны всегда.
  • Настроить доступ к устройству для отдельных пользователей, а также настроить права доступа (чтение / запись) невозможно. То есть, если доступ к устройствам ограничен правилами (статус ), ADB- и iTunes-устройства доступны всем пользователям со всеми правами.
  • Настроить доступ к доверенным ADB- или iTunes-устройствам для отдельных пользователей невозможно. Если устройство доверенное, ADB- и iTunes-устройства доступны всем пользователям.
  • Если вы установили приложения ADB или iTunes после подключения устройства к компьютеру, уникальный идентификатор устройства может быть сброшен. То есть, Kaspersky Endpoint Security определит это устройство как новое. Если устройство доверенное, добавьте устройство в список доверенных повторно.

По умолчанию правила доступа к устройствам разрешают полный доступ к устройствам всем пользователям в любое время, если разрешен доступ к шинам подключения для соответствующих типов устройств (статус ).

Правило доступа к сетям Wi-Fi

Правило доступа к сетям Wi-Fi определяет разрешение (статус ) или запрет (статус ) на использование сетей Wi-Fi. Вы можете добавить в правило доверенную сеть Wi-Fi (статус ). Использование доверенной сети Wi-Fi разрешено без ограничений. По умолчанию правило доступа к сетям Wi-Fi разрешает доступ к любым сетям Wi-Fi.

Правила доступа к шинам подключения

Правила доступа к шинам определяют только разрешение (статус ) или запрет (статус ) на подключение устройств. Для всех шин подключения из классификации компонента Контроль устройств по умолчанию созданы правила, разрешающие доступ к шинам.

В начало

[Topic 123282]

Изменение правила доступа к устройствам

Правило доступа к устройствам – набор параметров, которые определяют доступ пользователей к установленным или подключенным к компьютеру устройствам: доступ к устройству, расписание доступа, разрешение на чтение или запись.

Чтобы изменить правило доступа к устройствам, выполните следующие действия:

  1. В главном окне приложения нажмите на кнопку icon_settings.
  2. В окне параметров приложения выберите раздел Контроль безопасностиКонтроль устройств.
  3. В блоке Настройка доступа нажмите на кнопку Устройства и сети Wi-Fi.

    В открывшемся окне находятся правила доступа для всех устройств, которые есть в классификации компонента Контроль устройств.

  4. В блоке Доступ к запоминающим устройствам выберите правило доступа, которое хотите изменить. В блоке находятся устройства с файловой системой, для которых вы можете настроить дополнительные параметры доступа. По умолчанию правило доступа к устройствам разрешает полный доступ к типу устройств всем пользователям в любое время.
    1. В графе Доступ выберите доступ к устройству:
      • Разрешать.
      • Запрещать.
      • Зависит от шины подключения.

        Чтобы запретить или разрешить доступ к устройству, настройте доступ к шине подключения.

      • Ограничивать правилами.

        Этот вариант позволяет настроить права пользователей, разрешения, расписание для доступа к устройствам.

    2. В блоке Права пользователей нажмите на кнопку Добавить.

      Откроется окно добавления нового правила доступа к устройствам.

    3. Назначьте приоритет записи правила. Запись правила включает в себя следующие атрибуты: учетная запись, расписание, разрешения (чтения / запись) и приоритет.

      Запись правила имеют приоритет. Если пользователь добавлен в несколько групп, Kaspersky Endpoint Security регулирует доступ к устройству по записи правила с высшим приоритетом. Kaspersky Endpoint Security позволяет назначить приоритет от 0 до 10 000. Чем больше значение, тем выше приоритет. То есть, запись со значением 0 имеет наименьший приоритет.

      Например, вы можете предоставить разрешение только на чтение для группы "Все" и разрешение на чтение и запись для группы администраторов. Для этого назначьте записи для группы администраторов приоритет 1, а группе "Все" приоритет 0.

      Приоритет запрещающей записи правила выше приоритета разрешающей записи. То есть, если пользователь добавлен в несколько групп и приоритет записей правила одинаковый, Kaspersky Endpoint Security регулирует доступ по записи запрещающей доступ к устройству.

    4. Установите статус правила доступа к устройствам Включено.
    5. Настройте разрешения пользователей для доступа к устройствам: чтение, запись.
    6. Выберите пользователей или группы пользователей, к которым вы хотите применить правило доступа к устройству.
    7. Настройте расписание доступа к устройствам для пользователей.
    8. Нажмите на кнопку Добавить.
  5. В блоке Доступ к внешним устройствам выберите правило и настройте доступ: Разрешать, Запрещать, Зависит от шины подключения. Если требуется, настройте доступ к шине подключения.
  6. В блоке Доступ к сетям Wi-Fi перейдите по ссылке Wi-Fi и настройте доступ: Разрешать, Запрещать, Запрещать с исключениями. Если требуется, добавьте сети Wi-Fi в список доверенных.
  7. Сохраните внесенные изменения.
В начало

[Topic 38502]

Изменение правила доступа к шине подключения

Чтобы изменить правило доступа к шине подключения, выполните следующие действия:

  1. В главном окне приложения нажмите на кнопку icon_settings.
  2. В окне параметров приложения выберите раздел Контроль безопасностиКонтроль устройств.
  3. В блоке Настройка доступа нажмите на кнопку Шины подключения.

    В открывшемся окне находятся правила доступа для всех шин подключения, которые есть в классификации компонента Контроль устройств.

  4. Выберите правило доступа, которое хотите изменить.
  5. В графе Доступ выберите доступ к шине подключения: Разрешать или Запрещать.
  6. Сохраните внесенные изменения.
В начало

[Topic 131690]

Добавление сети Wi-Fi в список доверенных

Вы можете разрешить пользователям подключаться к сетям Wi-Fi, которые вы считаете безопасными, например, к корпоративной сети Wi-Fi. Для этого нужно добавить эту сеть в список доверенных сетей Wi-Fi. Контроль устройств будет блокировать доступ ко всем сетям Wi-Fi, кроме тех, которые указаны в списке доверенных.

Чтобы добавить сеть Wi-Fi в список доверенных, выполните следующие действия:

  1. В главном окне приложения нажмите на кнопку icon_settings.
  2. В окне параметров приложения выберите раздел Контроль безопасностиКонтроль устройств.
  3. В блоке Настройка доступа нажмите на кнопку Устройства и сети Wi-Fi.

    В открывшемся окне находятся правила доступа для всех устройств, которые есть в классификации компонента Контроль устройств.

  4. В блоке Доступ к сетям Wi-Fi перейдите по ссылке Wi-Fi.

    В открывшемся окне находятся правила доступа к сетям Wi-Fi.

  5. В блоке Доступ выберите Запрещать с исключениями.
  6. В блоке Доверенные сети Wi-Fi нажмите на кнопку Добавить.
  7. В открывшемся окне выполните следующие действия:
    1. В поле Имя сети укажите имя сети Wi-Fi, которую вы хотите добавить в список доверенных.
    2. В раскрывающемся списке Тип аутентификации выберите тип аутентификации, используемый при подключении к доверенной сети Wi-Fi.
    3. В раскрывающемся списке Тип шифрования выберите тип шифрования, используемый для защиты трафика доверенной сети Wi-Fi.
    4. В поле Комментарий вы можете указать любую информацию о добавленной сети Wi-Fi.

    Сеть Wi-Fi считается доверенной, если ее параметры соответствуют всем параметрам, указанным в правиле.

  8. Сохраните внесенные изменения.
В начало

[Topic 134053]

Мониторинг использования съемных дисков

Мониторинг использования съемных дисков включает в себя следующие инструменты:

  • Контроль операций с файлами на съемных дисках.
  • Контроль подключения и отключения доверенных съемных дисков.

    Kaspersky Endpoint Security позволяет контролировать подключение и отключение всех доверенных устройств, не только съемных дисков. Вы можете включить запись событий в параметрах уведомлений для компонента Контроль устройств. События имеют уровень важности Информационное сообщение.

Чтобы включить мониторинг использования съемных дисков, выполните следующие действия:

  1. В главном окне приложения нажмите на кнопку icon_settings.
  2. В окне параметров приложения выберите раздел Контроль безопасностиКонтроль устройств.
  3. В блоке Настройка доступа нажмите на кнопку Устройства и сети Wi-Fi.

    В открывшемся окне находятся правила доступа для всех устройств, которые есть в классификации компонента Контроль устройств.

  4. В блоке Доступ к запоминающим устройствам выберите элемент Съемные диски.
  5. В открывшемся окне перейдите на закладку Запись событий в журнал.
  6. Включите переключатель Запись событий в журнал.
  7. В блоке Операции c файлами выберите операции, которые вы хотите контролировать: Запись, Удаление.
  8. В блоке Фильтр по форматам файлов выберите форматы файлов, информацию об операциях с которыми Контроль устройств должен записывать в журнал.
  9. Выберите пользователей или группы пользователей, использование съемных дисков которых вы хотите контролировать.
  10. Сохраните внесенные изменения.

В результате когда пользователи будут производить запись в файлы, расположенные на съемных дисках, или удалять файлы со съемных дисков, Kaspersky Endpoint Security будет сохранять информацию о совершенной операции в журнал событий и отправлять события в Kaspersky Security Center. Вы можете просмотреть события, связанные с файлами на съемных дисках, в Консоли администрирования Kaspersky Security Center в рабочей области для узла Сервер администрирования на закладке События. Чтобы события отображались в локальном журнале событий Kaspersky Endpoint Security, требуется установить флажок Выполнена операция с файлом в параметрах уведомлений для компонента Контроль устройств.

В начало

[Topic 203232]

Изменение периода кеширования

Компонент Контроль устройств регистрирует события, связанные с контролируемыми устройствами, такие как подключение и отключение устройства, чтение файла с устройства, запись файла на устройство и другие события. Далее Контроль устройств разрешает или запрещает выполнение действия в соответствии с параметрами Kaspersky Endpoint Security.

Контроль устройств хранит информацию о событиях в течение определенного времени, которое называется периодом кеширования. Кеширование информации о событии позволяет при повторении этого события не уведомлять Kaspersky Endpoint Security о нем и не запрашивать повторно доступ на выполнение соответствующего действия, например, подключение устройства. Это позволяет ускорить работу с устройством.

Событие считается повторяющимся, если все следующие параметры события совпадают с записью в кеше:

  • идентификатор устройства;
  • SID пользователя, от имени которого происходит обращение;
  • класс устройства;
  • действие с устройством;
  • разрешение приложения для этого действия: разрешено или запрещено;
  • путь к процессу, от имени которого совершается действие;
  • файл, к которому происходит обращение.

Перед изменением периода кеширования выключите самозащиту Kaspersky Endpoint Security. После изменения периода кеширования включите самозащиту.

Чтобы изменить период кеширования, выполните следующие действия:

  1. Откройте редактор реестра на компьютере.
  2. В редакторе реестра перейдите в раздел:
    • для 64-битных операционных систем: [HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\KasperskyLab\protected\KES\environment];
    • для 32-битных операционных систем: [HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\protected\KES\environment].
  3. Откройте параметр DeviceControlEventsCachePeriod на редактирование.
  4. Укажите количество минут, по истечении которых информация о событии в Контроле устройств должна удаляться.
В начало

[Topic 38595]

Действия с доверенными устройствами

Доверенные устройства – это устройства, полный доступ к которым разрешен в любое время для пользователей, указанных в параметрах доверенного устройства.

Для работы с доверенными устройствами вы можете предоставить доступ отдельному пользователю, группе пользователей или всем пользователям организации.

Например, если в вашей организации запрещено использование съемных дисков, но администраторы используют съемные диски в своей работе, вы можете разрешить использование съемных дисков только для группы администраторов. Для этого необходимо добавить съемные диски в список доверенных и настроить права доступа пользователей.

Не рекомендуется добавлять более 1000 доверенных устройств, поскольку это может привести к нестабильности системы.

Kaspersky Endpoint Security позволяет добавить устройство в список доверенных следующими способами:

Kaspersky Endpoint Security позволяет контролировать использование доверенных устройств (подключение и отключение). Вы можете включить запись событий в параметрах уведомлений для компонента Контроль устройств. События имеют уровень важности Информационное.

Kaspersky Endpoint Security имеет следующие ограничения при работе с доверенными устройствами:

  • Плагин управления Kaspersky Endpoint Security версий 11.0.0–11.2.0 не поддерживает работу со списком доверенных устройств приложения Kaspersky Endpoint Security версии 11.3.0 и 11.4.0. Для работы со списком доверенных устройств обновить плагин управления до версии 11.3.0 и 11.4.0.
  • Плагин управления Kaspersky Endpoint Security версий 11.3.0 и 11.4.0 не поддерживает работу со списком доверенных устройств приложения Kaspersky Endpoint Security версии 11.2.0 и ниже. Для работы со списком доверенных устройств обновите приложение до версии 11.3.0 или 11.4.0. Также вы можете отправить запрос с описанием ситуации в Службу технической поддержки через Kaspersky CompanyAccount.
  • Для переноса списка доверенных устройств из Kaspersky Endpoint Security версии 11.2.0 в 11.3.0 отправьте запрос с описанием ситуации в Службу технической поддержки через Kaspersky CompanyAccount.

В этом разделе

Добавление устройства в список доверенных из интерфейса приложения

Добавление устройства в список доверенных из Kaspersky Security Center

Экспорт и импорт списка доверенных устройств
В начало

[Topic 123283]

Добавление устройства в список доверенных из интерфейса приложения

По умолчанию при добавлении устройства в список доверенных устройств доступ к устройству разрешается всем пользователям (группе пользователей "Все").

Чтобы добавить устройство в список доверенных из интерфейса приложения, выполните следующие действия:

  1. В главном окне приложения нажмите на кнопку icon_settings.
  2. В окне параметров приложения выберите раздел Контроль безопасностиКонтроль устройств.
  3. В блоке Настройка доступа нажмите на кнопку Доверенные устройства.

    Откроется список доверенных устройств.

  4. Нажмите на кнопку Выбрать.

    Откроется список подключенных устройств. Список устройств зависит от того, какое значение выбрано в раскрывающемся списке Отображать подключенные устройства.

  5. В списке устройств выберите устройство, которое вы хотите добавить в список доверенных.
  6. В поле Комментарий вы можете указать любую информацию о доверенном устройстве.
  7. Выберите пользователей или группы пользователей, для которых вы хотите разрешить доступ к доверенным устройствам.
  8. Сохраните внесенные изменения.
В начало

[Topic 123284]

Добавление устройства в список доверенных из Kaspersky Security Center

Kaspersky Security Center получает информацию об устройствах, если на компьютерах установлено приложение Kaspersky Endpoint Security и включен Контроль устройств. Добавить устройство в список доверенных, информации о котором в Kaspersky Security Center нет, невозможно.

Вы можете добавить устройство в список доверенных по следующим данным:

  • Устройства по идентификатору. Каждое устройство имеет уникальный идентификатор (англ. Hardware ID – HWID). Вы можете просмотреть идентификатор в свойствах устройства средствами операционной системы. Пример идентификатора устройства: SCSI\CDROM&VEN_NECVMWAR&PROD_VMWARE_SATA_CD00\5&354AE4D7&0&000000. Добавлять устройства по идентификатору удобно, если вы хотите добавить несколько определенных устройств.
  • Устройства по модели. Каждое устройство имеет идентификатор производителя (англ. Vendor ID – VID) и идентификатор продукта (англ. Product ID – PID). Вы можете просмотреть идентификаторы в свойствах устройства средствами операционной системы. Шаблон для ввода VID и PID: VID_1234&PID_5678. Добавлять устройства по модели удобно, если вы используете в вашей организации устройства определенной модели. Таким образом, вы можете добавить все устройства этой модели.
  • Устройства по маске идентификатора. Если вы используете несколько устройств с похожими идентификаторами, вы можете добавить устройства в список доверенных с помощью масок. Символ * заменяет любой набор символов. Kaspersky Endpoint Security не поддерживает символ ? при вводе маски. Например, WDC_C*.
  • Устройства по маске модели. Если вы используете несколько устройств с похожими VID или PID (например, устройства одного производителя), вы можете добавить устройства в список доверенных с помощью масок. Символ * заменяет любой набор символов. Kaspersky Endpoint Security не поддерживает символ ? при вводе маски. Например, VID_05AC&PID_*.

Чтобы добавить устройства в список доверенных, выполните следующие действия:

  1. Откройте Консоль администрирования Kaspersky Security Center.
  2. В папке Управляемые устройства дерева Консоли администрирования откройте папку с названием группы администрирования, в состав которой входят нужные клиентские компьютеры.
  3. В рабочей области выберите закладку Политики.
  4. Выберите нужную политику и откройте свойства политики двойным щелчком мыши.
  5. В окне политики выберите Контроль безопасностиКонтроль устройств.
  6. В правой части окна выберите закладку Доверенные устройства.
  7. Установите флажок Объединять значения при наследовании, если вы хотите создать общий список доверенных устройств для всех компьютеров организации.

    Списки доверенных устройств родительских и дочерних политик будут объединены. Для объединения списков должно быть включено наследование параметров родительской политики. Доверенные устройства родительской политики отображаются в дочерних политиках и доступны только для просмотра. Изменение или удаление доверенных устройств родительской политики невозможно.

  8. Нажмите на кнопку Добавить и выберите способ добавления устройства в список доверенных.
  9. Для фильтрации устройств в раскрывающемся списке Тип устройств выберите тип устройств (например, Съемные диски).
  10. В поле Название / Модель введите идентификатор устройства, модель (VID и PID) или маску в зависимости от выбранного способа добавления.

    Способ добавления устройств по маске модели (VID и PID) имеет особенность. Если вы ввели маску модели, которая не соответствует ни одной модели, Kaspersky Endpoint Security проверяет идентификатор устройства (HWID) на соответствие маске. Kaspersky Endpoint Security проверяет на соответствие только часть идентификатора устройства, определяющую поставщика и тип устройства (SCSI\CDROM&VEN_NECVMWAR&PROD_VMWARE_SATA_CD00\5&354AE4D7&0&000000). Если маска модели соответствует этой части идентификатора устройства, на компьютере в список доверенных устройств будут добавлены устройства удовлетворяющие маске. При этом в Kaspersky Security Center по кнопке Обновить отобразится пустой список устройств. Для корректного отображения списка устройств вы можете использовать способ добавления по маске идентификатора устройства.

  11. Для фильтрации устройств в поле Компьютер введите имя компьютера или маску имени компьютера, к которому подключено устройство.

    Символ * заменяет любой набор символов. Символ ? заменяет любой один символ.

  12. Нажмите на кнопку Обновить.

    В таблице отобразится список устройств, которые удовлетворяют заданным параметрам фильтрации.

  13. Установите флажки напротив названий устройств, которые вы хотите добавить в список доверенных.
  14. В поле Комментарий введите описание причины добавления устройств в список доверенных.
  15. Справа от поля Разрешать пользователям и / или группам пользователей нажмите на кнопку Выбрать.
  16. Выберите пользователя или группу в Active Directory и подтвердите свой выбор.

    По умолчанию доступ к доверенным устройствам разрешен для группы "Все".

  17. Сохраните внесенные изменения.

При подключении устройства Kaspersky Endpoint Security проверяет список доверенных устройств для авторизованного пользователя. Если устройство доверенное, Kaspersky Endpoint Security разрешает доступ к устройству со всеми правами, даже если доступ к типу устройств или шине подключения запрещен. Если устройство недоверенное и доступ запрещен, вы можете запросить доступ к заблокированному устройству.

В начало

[Topic 158502]

Экспорт и импорт списка доверенных устройств

Для распространения список доверенных устройств на всех компьютеры организации вы можете использовать процедуру экспорта / импорта.

Например, если вам нужно распространить список доверенных съемных дисков, нужно выполнить следующие действия:

  1. Последовательно подключите съемные диски к компьютеру.
  2. В параметрах Kaspersky Endpoint Security добавьте съемные диски в список доверенных. Если требуется, настройте права доступа пользователей. Например, разрешите доступ к съемным дискам только администраторам.
  3. Экспортируйте список доверенных устройств в параметрах Kaspersky Endpoint Security (см. инструкцию ниже).
  4. Распространите файл с списком доверенных устройств на остальные компьютеры организации. Например, разместите файл в общей папке.
  5. Импортируйте список доверенных устройств в параметрах Kaspersky Endpoint Security на остальных компьютерах организации (см. инструкцию ниже).

Чтобы импортировать или экспортировать список доверенных устройств, выполните следующие действия:

  1. В главном окне приложения нажмите на кнопку icon_settings.
  2. В окне параметров приложения выберите раздел Контроль безопасностиКонтроль устройств.
  3. В блоке Настройка доступа нажмите на кнопку Доверенные устройства.

    Откроется список доверенных устройств.

  4. Для экспорта списка доверенных устройств выполните следующие действия:
    1. Выберите доверенные устройства, которые вы хотите экспортировать.
    2. Нажмите на кнопку Экспорт.
    3. В открывшемся окне введите имя файла формата XML, в который вы хотите экспортировать список доверенных устройств, а также выберите папку, в которой вы хотите сохранить этот файл.
    4. Сохраните файл.

      Kaspersky Endpoint Security экспортирует весь список доверенных устройств в XML-файл.

  5. Для импорта списка доверенных устройств, выполните следующие действия:
    1. В раскрывающемся списке Импорт выберите нужное действие: Импортировать и добавить к существующему или Импортировать и заменить существующий.
    2. В открывшемся окне выберите XML-файл, из которого вы хотите импортировать список доверенных устройств.
    3. Откройте файл.

      Если на компьютере уже есть список доверенных устройств, Kaspersky Endpoint Security предложит удалить действующий список или добавить в него новые записи из XML-файла.

  6. Сохраните внесенные изменения.

При подключении устройства Kaspersky Endpoint Security проверяет список доверенных устройств для авторизованного пользователя. Если устройство доверенное, Kaspersky Endpoint Security разрешает доступ к устройству со всеми правами, даже если доступ к типу устройств или шине подключения запрещен.

В начало

[Topic 130920]

Получение доступа к заблокированному устройству

При настройке Контроля устройств вы можете случайно запретить доступ к необходимому для работы устройству.

Если в вашей организации не развернуто решение Kaspersky Security Center, то вы можете предоставить доступ к устройству в параметрах Kaspersky Endpoint Security. Например, вы можете добавить устройство в список доверенных или временно выключить Контроль устройств.

Если в вашей организации развернуто решение Kaspersky Security Center и к компьютерам применена политика, вы можете предоставить доступ к устройству в Консоли администрирования.

Онлайн-режим предоставления доступа

Предоставление доступа к заблокированному устройству в онлайн-режиме доступно только в том случае, если в организации развернуто решение Kaspersky Security Center и к компьютеру применена политика. Компьютер должен иметь возможность установить связь с Сервером администрирования.

Предоставление доступа в онлайн-режиме состоит из следующих этапов:

  1. Пользователь отправляет администратору сообщение с запросом на предоставление доступа.
  2. Администратор добавляет устройство в список доверенных.

    Вы можете добавить доверенное устройство в политике для группы администрирования или в локальных параметрах приложения для отдельного компьютера.

  3. Администратор обновляет параметры Kaspersky Endpoint Security на компьютере пользователя.

    Схема предоставления доступа к устройству в онлайн-режиме

Офлайн-режим предоставления доступа

Предоставление доступа к заблокированному устройству в офлайн-режиме доступно только в том случае, если в организации развернуто решение Kaspersky Security Center и к компьютеру применена политика. В параметрах политики в разделе Контроль устройств должен быть установлен флажок Разрешить запрашивать временный доступ.

Если вам необходимо предоставить временный доступ к заблокированному устройству, а добавить устройство в список доверенных невозможно, вы можете предоставить доступ к устройству в офлайн-режиме. Таким образом, вы можете предоставить доступ к заблокированному устройству, если у компьютера отсутствует доступ к сети или компьютер находится за пределами сети организации.

Предоставление доступа в офлайн-режиме состоит из следующих этапов:

  1. Пользователь создает файл запроса и передает его администратору.
  2. Администратор создает из файла запроса ключ доступа и передает его пользователю.
  3. Пользователь активирует ключ доступа.

    Схема предоставления доступа к устройству в офлайн-режиме

В начало

[Topic 128047]

Онлайн-режим предоставления доступа

Предоставление доступа к заблокированному устройству в онлайн-режиме доступно только в том случае, если в организации развернуто решение Kaspersky Security Center и к компьютеру применена политика. Компьютер должен иметь возможность установить связь с Сервером администрирования.

Чтобы пользователю запросить доступ к заблокированному устройству, выполните следующие действия:

  1. Подключите устройство к компьютеру.

    Kaspersky Endpoint Security покажет уведомление блокировки доступа к устройству (см. рис. ниже).

  2. Нажмите на ссылку Запросить доступ.

    Откроется окно с сообщением для администратора. В сообщении содержится информация о заблокированном устройстве.

  3. Нажмите на кнопку Отправить.

Администратор получит сообщение c запросом на предоставление доступа, например, по электронной почте. Подробнее об обработке запросов пользователей см. в справке Kaspersky Security Center. После добавления устройства в список доверенных и обновления параметров Kaspersky Endpoint Security на компьютере пользователь получит доступ к устройству.

Уведомление Контроля устройств

В начало

[Topic 186150]

Офлайн-режим предоставления доступа

Предоставление доступа к заблокированному устройству в офлайн-режиме доступно только в том случае, если в организации развернуто решение Kaspersky Security Center и к компьютеру применена политика. В параметрах политики в разделе Контроль устройств должен быть установлен флажок Разрешать запрашивать временный доступ.

Чтобы пользователю запросить доступ к заблокированному устройству, выполните следующие действия:

  1. Подключите устройство к компьютеру.

    Kaspersky Endpoint Security покажет уведомление блокировки доступа к устройству (см. рис. ниже).

  2. Нажмите на ссылку Запросить временный доступ.

    Откроется окно со списком подключенных устройств.

  3. В списке подключенных устройств выберите устройство, к которому вы хотите получить доступ.
  4. Нажмите на кнопку Сформировать файл запроса.
  5. В поле Длительность доступа к устройству укажите, на какое время вы хотите получить доступ к устройству.
  6. Сохраните файл в память компьютера.

В результате в память компьютера будет загружен файл запроса с расширением *.akey. Передайте файл запроса доступа к устройству администратору локальной сети организации любым доступным способом.

Уведомление о запрете доступа к устройству. Пользователь может создать запросы на временный или постоянный доступ к устройству.

Уведомление Контроля устройств

Как администратору создать ключ доступа к заблокированному устройству в Консоли администрирования (MMC)

  1. Откройте Консоль администрирования Kaspersky Security Center.
  2. В папке Управляемые устройства дерева Консоли администрирования откройте папку с названием группы администрирования, в состав которой входит нужный вам клиентский компьютер.
  3. В рабочей области выберите закладку Устройства.
  4. В списке клиентских компьютеров выберите компьютер, пользователю которого вы хотите дать временный доступ к заблокированному устройству.
  5. В контекстном меню компьютера выберите пункт Предоставление доступа в офлайн-режиме.
  6. В открывшемся окне выберите закладку Контроль устройств.
  7. Нажмите на кнопку Обзор и загрузите полученный от пользователя файл запроса.

    Отобразится информация о заблокированном устройстве, к которому пользователь запросил доступ.

  8. Если требуется, измените значение параметра Длительность доступа к устройству.

    По умолчанию для параметра Длительность доступа к устройству выбрано значение, указанное пользователем при формировании файла запроса.

  9. Укажите значение параметра Срок активации.

    Параметр содержит период времени, в течение которого пользователь может активировать доступ к заблокированному устройству с помощью предоставленного ключа доступа.

  10. Сохраните файл ключа доступа в память компьютера.

Как администратору создать ключ доступа к заблокированному устройству в Web Console и Cloud Console

  1. В главном окне Web Console выберите УстройстваУправляемые устройства.
  2. В списке клиентских компьютеров выберите компьютер, пользователю которого вы хотите дать временный доступ к заблокированному устройству.
  3. Над списком компьютеров нажмите на кнопку с многоточием () и нажмите на кнопку Предоставить доступ к устройству в автономном режиме.
  4. В открывшемся окне выберите раздел Контроль устройств.
  5. Нажмите на кнопку Обзор и загрузите полученный от пользователя файл запроса.

    Отобразится информация о заблокированном устройстве, к которому пользователь запросил доступ.

  6. Если требуется, измените значение параметра Длительность доступа (в часах).

    По умолчанию для параметра Длительность доступа (в часах) выбрано значение, указанное пользователем при формировании файла запроса.

  7. Укажите срок, в течение которого можно активировать ключ доступа на устройстве.

    Параметр содержит период времени, в течение которого пользователь может активировать доступ к заблокированному устройству с помощью предоставленного ключа доступа.

  8. Сохраните файл ключа доступа в память компьютера.

В результате в память компьютера будет загружен ключ доступа к заблокированному устройству. Файл ключа доступа имеет расширение *.acode. Передайте ключ доступа к заблокированному устройству пользователю любым доступным способом.

Чтобы пользователю активировать ключ доступа, выполните следующие действия:

  1. В главном окне приложения нажмите на кнопку Значок настройки приложения в виде шестеренки..
  2. В окне параметров приложения в блоке Контроль безопасности и нажмите на плитку Контроль устройств.
  3. В блоке Запрос доступа нажмите на кнопку Запросить доступ к устройству.
  4. В открывшемся окне нажмите на кнопку Активировать ключ доступа.
  5. В открывшемся окне выберите файл с ключом доступа к устройству, полученный от администратора локальной сети организации.

    Откроется окно с информацией о предоставленном доступе.

  6. Нажмите на кнопку OK.

В результате пользователь получит доступ к устройству на срок, установленный администратором. Пользователь получит полный набор прав доступа к устройству (запись и чтение). По истечении срока действия ключа доступ к устройству будет заблокирован. Если пользователю требуется постоянный доступ к устройству, добавьте устройство в список доверенных.

В начало

[Topic 128046]

Изменение шаблонов сообщений Контроля устройств

Когда пользователь пытается обратиться к заблокированному устройству, Kaspersky Endpoint Security выводит сообщение о блокировке доступа к устройству или о запрете операции над содержимым устройства. Если блокировка доступа к устройству или запрет операции с содержимым устройства, по мнению пользователя, произошло ошибочно, пользователь может отправить сообщение администратору локальной сети организации по ссылке из текста сообщения о блокировке.

Для сообщения о блокировке доступа к устройству или запрете операции над содержимым устройства, а также для сообщения администратору предусмотрены шаблоны. Вы можете изменять шаблоны сообщений.

Чтобы изменить шаблоны сообщений Контроля устройств, выполните следующие действия:

  1. В главном окне приложения нажмите на кнопку icon_settings.
  2. В окне параметров приложения выберите раздел Контроль безопасностиКонтроль устройств.
  3. В блоке Шаблоны сообщений настройте шаблоны сообщений Контроля устройств:
    • Сообщение о блокировке. Шаблон сообщения, которое появляется при обращении пользователя к заблокированному устройству. Также сообщение появляется при попытке пользователя совершить операцию над содержимым устройства, которая запрещена для этого пользователя.
    • Сообщение администратору. Шаблон сообщения для отправки администратору локальной сети организации в случае, если блокировка доступа к устройству или запрет операции над содержимым устройства, по мнению пользователя, произошли ошибочно. После запроса пользователя предоставить доступ Kaspersky Endpoint Security отправляет в Kaspersky Security Center событие Сообщение администратору о запрете доступа к устройству. Описание события содержит сообщение администратору с подставленными переменными. Вы можете посмотреть эти события в консоли Kaspersky Security Center с помощью предустановленной выборки Запросы пользователей. Если в вашей организации не развернуто решение Kaspersky Security Center или связь с Сервером администрирования отсутствует, приложение отправит сообщение администратору на указанный адрес электронной почты.
  4. Сохраните внесенные изменения.

См. также:

Изменение шаблонов сообщений Веб-Контроля

Изменение шаблонов сообщений Контроля приложений

Изменение шаблонов сообщений Адаптивного контроля аномалий

Изменение шаблонов сообщений для получения доступа к зашифрованным файлам
В начало

[Topic 156084]

Анти-Бриджинг

Анти-Бриджинг предотвращает создание сетевых мостов, исключая возможность одновременной установки нескольких сетевых соединений для компьютера. Это позволяет защитить корпоративную сеть от атак через незащищенные, несанкционированные сети.

Анти-Бриджинг регулирует установку сетевых соединений с помощью правил установки соединений.

Правила установки соединений созданы для следующих предустановленных типов устройств:

  • сетевые адаптеры;
  • адаптеры Wi-Fi;
  • модемы.

Если правило установки соединений включено, то Kaspersky Endpoint Security выполняет следующие действия:

  • блокирует активное соединение при установке нового соединения, если для обоих соединений используется указанный в правиле тип устройств;
  • блокирует соединения, установленные или устанавливаемые с помощью тех типов устройств, для которых используются правила с более низким приоритетом.

В этом разделе

Включение Анти-Бриджинга

Изменение статуса правила установки соединений

Изменение приоритета правила установки соединений
В начало

[Topic 156085]

Включение Анти-Бриджинга

По умолчанию функция Анти-Бриджинг выключена.

Чтобы включить функцию Анти-Бриджинг, выполните следующие действия:

  1. В главном окне приложения нажмите на кнопку icon_settings.
  2. В окне параметров приложения выберите раздел Контроль безопасностиКонтроль устройств.
  3. В блоке Настройка доступа нажмите на кнопку Анти-Бриджинг.
  4. Используйте переключатель Включить Анти-Бриджинг, чтобы включить или выключить функцию.
  5. Сохраните внесенные изменения.

После включения функции Анти-Бриджинг Kaspersky Endpoint Security блокирует уже установленные соединения в соответствии с правилами установки соединений.

В начало

[Topic 156114]

Изменение статуса правила установки соединений

Чтобы изменить статус правила установки соединений, выполните следующие действия:

  1. В главном окне приложения нажмите на кнопку icon_settings.
  2. В окне параметров приложения выберите раздел Контроль безопасностиКонтроль устройств.
  3. В блоке Настройка доступа нажмите на кнопку Анти-Бриджинг.
  4. В блоке Правила устройств выберите правило, статус которого вы хотите изменить.
  5. Используйте переключатели в графе Контроль, чтобы включить или выключить правило.
  6. Сохраните внесенные изменения.
В начало

[Topic 156108]

Изменение приоритета правила установки соединений

Чтобы изменить приоритет правила установки соединений, выполните следующие действия:

  1. В главном окне приложения нажмите на кнопку icon_settings.
  2. В окне параметров приложения выберите раздел Контроль безопасностиКонтроль устройств.
  3. В блоке Настройка доступа нажмите на кнопку Анти-Бриджинг.
  4. В блоке Правила устройств выберите правило, приоритет которого вы хотите изменить.
  5. Кнопками Вверх / Вниз установите приоритет правила установки соединений.

    Чем выше правило в таблице правил, тем выше у него приоритет. Функция Анти-Бриджинг блокирует все соединения, кроме одного соединения, установленного с помощью того типа устройств, для которого используется правило с наиболее высоким приоритетом.

  6. Сохраните внесенные изменения.
В начало

[Topic 173855]

Адаптивный контроль аномалий

Этот компонент доступен, если приложение Kaspersky Endpoint Security установлено на компьютере под управлением операционной системы Windows для рабочих станций. Этот компонент недоступен, если приложение Kaspersky Endpoint Security установлено на компьютере под управлением операционной системы Windows для серверов.

Компонент Адаптивный контроль аномалий отслеживает и блокирует действия, нехарактерные для компьютеров сети организации. Для отслеживания нехарактерных действий Адаптивный контроль аномалий использует набор правил (например, правило Запуск Windows PowerShell из офисного приложения). Правила созданы специалистами "Лаборатории Касперского" на основе типичных сценариев вредоносной активности. Вы можете выбрать поведение Адаптивного контроля аномалий для каждого из правил и, например, разрешить запуск PowerShell-скриптов для автоматизации решения корпоративных задач. Kaspersky Endpoint Security обновляет набор правил с базами приложения. Обновление набора правил нужно подтверждать вручную.

Настройка Адаптивного контроля аномалий

Настройка Адаптивного контроля аномалий состоит из следующих этапов:

  1. Обучение Адаптивного контроля аномалий.

    После включения Адаптивного контроля аномалий правила работают в обучающем режиме. В ходе обучения Адаптивный контроль аномалий отслеживает срабатывание правил и отправляет события срабатывания в Kaspersky Security Center. Каждое правило имеет свой срок действия обучающего режима. Срок действия обучающего режима устанавливают специалисты "Лаборатории Касперского". Обычно срок действия обучающего режима составляет 2 недели.

    Если в ходе обучения правило ни разу не сработало, Адаптивный контроль аномалий будет считать действия, связанные с этим правилом, нехарактерным. Kaspersky Endpoint Security будет блокировать все действия, связанные с этим правилом.

    Если в ходе обучения правило сработало, Kaspersky Endpoint Security регистрирует события в отчете о срабатываниях правил и в хранилище Срабатывание правил в состоянии Интеллектуальное обучение.

  2. Анализ отчета о срабатывании правил.

    Администратор анализирует отчет о срабатываниях правил или содержание хранилища Срабатывание правил в состоянии Интеллектуальное обучение. Далее администратор может выбрать поведение Адаптивного контроля аномалий при срабатывании правила: блокировать или разрешить. Также администратор может продолжить отслеживать срабатывание правила и продлить работу приложения в обучающем режиме. Если администратор не предпринимает никаких мер, приложение также продолжит работать в обучающем режиме. Отсчет срока действия обучающего режима начинается заново.

Настройка Адаптивного контроля аномалий происходит в режиме реального времени. Настройка Адаптивного контроля аномалий осуществляется по следующим каналам:

  • Адаптивный контроль аномалий автоматически начинает блокировать действия, связанные с правилами, которые не сработали в течение обучающего режима.
  • Kaspersky Endpoint Security добавляет новые правила или удаляет неактуальные.
  • Администратор настраивает работу Адаптивного контроля аномалий после анализа отчета о срабатывании правил и содержимого хранилища Срабатывание правил в состоянии Интеллектуальное обучение. Рекомендуется проверять отчет о срабатывании правил и содержимое хранилища Срабатывание правил в состоянии Интеллектуальное обучение.

При попытке вредоносного приложения выполнить действие, Kaspersky Endpoint Security заблокирует действие и покажет уведомление (см. рис. ниже).

Уведомление Адаптивного контроля аномалий

Алгоритм работы Адаптивного контроля аномалий

Kaspersky Endpoint Security принимает решение о выполнении действия, связанного с правилом, по следующему алгоритму (см. рис. ниже).

Алгоритм работы Адаптивного контроля аномалий

В этом разделе

Включение и выключение Адаптивного контроля аномалий

Включение и выключение правила Адаптивного контроля аномалий

Изменение действия при срабатывании правила Адаптивного контроля аномалий

Создание исключения для правила Адаптивного контроля аномалий

Экспорт и импорт исключений для правил Адаптивного контроля аномалий

Применение обновлений для правил Адаптивного контроля аномалий

Изменение шаблонов сообщений Адаптивного контроля аномалий

Просмотр отчетов Адаптивного контроля аномалий
В начало

[Topic 175467]

Включение и выключение Адаптивного контроля аномалий

По умолчанию Адаптивный контроль аномалий включен.

Чтобы включить или выключить Адаптивный контроль аномалий, выполните следующие действия:

  1. В главном окне приложения нажмите на кнопку Значок настройки приложения в виде шестеренки..
  2. В окне параметров приложения в блоке Контроль безопасности и нажмите на плитку Адаптивный контроль аномалий.
  3. Используйте переключатель Адаптивный контроль аномалий, чтобы включить или выключить компонент.
  4. Сохраните внесенные изменения.

В результате Адаптивный контроль аномалий перейдет в обучающий режим. В ходе обучения Адаптивный контроль аномалий отслеживает срабатывание правил. После завершения обучения Адаптивный контроль аномалий блокирует действия, нехарактерные для компьютеров сети организации.

Если в вашей организации начали использовать новые инструменты для работы, и Адаптивный контроль аномалий блокирует действия этих инструментов, вы можете сбросить результаты работы обучающего режима и повторить обучение. Для этого вам нужно изменить действие при срабатывании правила (например, установите значение Информировать). Затем вам нужно заново включить обучающий режим (установите значение Интеллектуальное).

В начало

[Topic 175244]

Включение и выключение правила Адаптивного контроля аномалий

Чтобы включить или выключить правило Адаптивного контроля аномалий, выполните следующие действия:

  1. В главном окне приложения нажмите на кнопку icon_settings.
  2. В окне параметров приложения выберите раздел Контроль безопасностиАдаптивный контроль аномалий.
  3. В блоке Правила нажмите на кнопку Изменить правила.

    Откроется список правил Адаптивного контроля аномалий.

  4. В таблице выберите набор правил (например, Активность офисных приложений) и разверните набор.
  5. Выберите правило (например, Запуск Windows PowerShell из офисных приложений).
  6. Используйте переключатель в графе Состояние, чтобы включить или выключить правило Адаптивного контроля аномалий.
  7. Сохраните внесенные изменения.
В начало

[Topic 175243]

Изменение действия при срабатывании правила Адаптивного контроля аномалий

Чтобы изменить действие при срабатывании правила Адаптивного контроля аномалий, выполните следующие действия:

  1. В главном окне приложения нажмите на кнопку icon_settings.
  2. В окне параметров приложения выберите раздел Контроль безопасностиАдаптивный контроль аномалий.
  3. В блоке Правила нажмите на кнопку Изменить правила.

    Откроется список правил Адаптивного контроля аномалий.

  4. В таблице выберите правило.
  5. Нажмите на кнопку Изменить.

    Откроется окно свойств правила Адаптивного контроля аномалий.

  6. В блоке Действие выберите один из следующих пунктов:
    • Интеллектуальное. Если выбран этот вариант, то правило Адаптивного контроля аномалий работает в обучающем режиме в течение периода, определенного специалистами "Лаборатории Касперского". В этом режиме при срабатывании правила Адаптивного контроля аномалий Kaspersky Endpoint Security разрешает активность, подпадающую под это правило, и создает запись в хранилище Срабатывание правил в состоянии Интеллектуальное обучение Сервера администрирования Kaspersky Security Center. По истечении периода работы обучающего режима Kaspersky Endpoint Security блокирует активность, подпадающую под правило Адаптивного контроля аномалий, и создает в журнале запись, содержащую информацию об этой активности.
    • Блокировать. Если выбрано это действие, то при срабатывании правила Адаптивного контроля аномалий Kaspersky Endpoint Security блокирует активность, подпадающую под это правило, и создает в журнале запись, содержащую информацию об этой активности.
    • Информировать. Если выбрано это действие, то при срабатывании правила Адаптивного контроля аномалий Kaspersky Endpoint Security разрешает активность, подпадающую под это правило, и создает в журнале запись, содержащую информацию об этой активности.
  7. Сохраните внесенные изменения.
В начало

[Topic 175245]

Создание исключения для правила Адаптивного контроля аномалий

Для правил Адаптивного контроля аномалий невозможно создать более 1000 исключений. Не рекомендуется создавать более 200 исключений. Чтобы уменьшить количество используемых исключений, рекомендуется использовать маски в параметрах исключений.

Исключение для правила Адаптивного контроля аномалий включает в себя описание исходных и целевых объектов. Исходный объект – объект, который выполняет действия. Целевой объект – объект, над которым выполняются действия. Например, вы открыли файл file.xlsx. В результате в память компьютера была добавлена библиотека с расширением dll, которую использует браузер (исполняемый файл browser.exe). В данном примере file.xlsx – исходный объект, Excel – исходный процесс, browser.exe – целевой объект, Browser – целевой процесс.

Чтобы создать исключение для правила Адаптивного контроля аномалий, выполните следующие действия:

  1. В главном окне приложения нажмите на кнопку icon_settings.
  2. В окне параметров приложения выберите раздел Контроль безопасностиАдаптивный контроль аномалий.
  3. В блоке Правила нажмите на кнопку Изменить правила.

    Откроется список правил Адаптивного контроля аномалий.

  4. В таблице выберите правило.
  5. Нажмите на кнопку Изменить.

    Откроется окно свойств правила Адаптивного контроля аномалий.

  6. В блоке Исключения нажмите на кнопку Добавить.

    Откроется окно свойств исключения.

  7. Выберите пользователя, для которого вы хотите настроить исключение.

    Адаптивный контроль аномалий не поддерживает исключения для групп пользователей. Если вы выберите группу пользователей, Kaspersky Endpoint Security не применит исключение.

  8. В поле Описание введите описание исключения.
  9. Задайте параметры исходного объекта или исходного процесса, запущенных объектом:
    • Исходный процесс. Путь или маска пути к файлу или папке с файлами (например, C:\Dir\File.exe или Dir\*.exe).
    • Хеш исходного процесса. Хеш файла.
    • Исходный объект. Путь или маска пути к файлу или папке с файлами (например, C:\Dir\File.exe или Dir\*.exe). Например, путь к файлу document.docm, который запускает целевые процессы с помощью скрипта или макроса.

      Вы также можете указать другие объекты для исключения, например, веб-адрес, макрос, команду в командной строке, путь реестра и другие. Укажите объект по следующему шаблону: object://<объект>, где <объект> – название объекта, например, object://web.site.example.com, object://VBA, object://ipconfig, object://HKEY_USERS. Вы также можете использовать маски, например, object://*C:\Windows\temp\*.

    • Хеш исходного объекта. Хеш файла.

    Правило Адаптивного контроля аномалий не распространяется на действия, выполняемые объектом, или на процессы, запущенные объектом.

  10. Задайте параметры целевого объекта или целевых процессов, запущенных над объектом.
    • Целевой процесс. Путь или маска пути к файлу или папке с файлами (например, C:\Dir\File.exe или Dir\*.exe).
    • Хеш целевого процесса. Хеш файла.
    • Целевой объект. Команда запуска целевого процесса. Укажите команду по следующему шаблону object://<команда>, например, object://cmdline:powershell -Command "$result = 'C:\Windows\temp\result_local_users_pwdage.txt'". Также вы можете использовать маски, например, object://*C:\Windows\temp\*.
    • Хеш целевого объекта. Хеш файла.

    Правило Адаптивного контроля аномалий не распространяется на действия над объектом или на процессы, запущенные над объектом.

  11. Сохраните внесенные изменения.
В начало

[Topic 175494]

Экспорт и импорт исключений для правил Адаптивного контроля аномалий

Чтобы экспортировать или импортировать список исключений для выбранных правил, выполните следующие действия:

  1. В главном окне приложения нажмите на кнопку icon_settings.
  2. В окне параметров приложения выберите раздел Контроль безопасностиАдаптивный контроль аномалий.
  3. В блоке Правила нажмите на кнопку Изменить правила.

    Откроется список правил Адаптивного контроля аномалий.

  4. Для экспорта списка исключений выполните следующие действия:
    1. Выберите правила, исключения для которых вы хотите экспортировать.
    2. Нажмите на кнопку Экспорт.
    3. В открывшемся окне введите имя файла формата XML, в который вы хотите экспортировать список исключений, а также выберите папку, в которой вы хотите сохранить этот файл.
    4. Подтвердите, что вы хотите экспортировать только выбранные исключения, или экспортируйте весь список.
    5. Сохраните файл.
  5. Для импорта списка исключений, выполните следующие действия:
    1. Нажмите на кнопку Импорт.
    2. В открывшемся окне выберите XML-файл, из которого вы хотите импортировать список исключений.
    3. Откройте файл.

      Если на компьютере уже есть список исключений, Kaspersky Endpoint Security предложит удалить действующий список или добавить в него новые записи из XML-файла.

  6. Сохраните внесенные изменения.
В начало

[Topic 175466]

Применение обновлений для правил Адаптивного контроля аномалий

Новые правила Адаптивного контроля аномалий могут быть добавлены в таблицу правил и существующие правила Адаптивного контроля аномалий могут быть удалены из таблицы правил по результату обновления антивирусных баз. Kaspersky Endpoint Security выделяет удаляемые и добавляемые правила Адаптивного контроля аномалий в таблице, если для этих правил обновление не было применено.

До тех пор, пока обновление не применено, Kaspersky Endpoint Security отображает удаленные в результате обновления правила Адаптивного контроля аномалий в таблице правил и присваивает этим правилам статус Выключено. Изменение параметров этих правил невозможно.

Чтобы применить обновления для правил Адаптивного контроля аномалий, выполните следующие действия:

  1. В главном окне приложения нажмите на кнопку icon_settings.
  2. В окне параметров приложения выберите раздел Контроль безопасностиАдаптивный контроль аномалий.
  3. В блоке Правила нажмите на кнопку Изменить правила.

    Откроется список правил Адаптивного контроля аномалий.

  4. В открывшемся окне нажмите на кнопку Подтвердить обновления.

    Кнопка Подтвердить обновления доступна, если доступно обновление для правил Адаптивного контроля аномалий.

  5. Сохраните внесенные изменения.
В начало

[Topic 177163]

Изменение шаблонов сообщений Адаптивного контроля аномалий

Когда пользователь пытается выполнить действие, запрещенное правилами Адаптивного контроля аномалий, Kaspersky Endpoint Security выводит сообщение о блокировке потенциально опасных действий. Если блокировка, по мнению пользователя, произошла ошибочно, по ссылке из текста сообщения о блокировке пользователь может отправить сообщение администратору локальной сети организации.

Для сообщения о блокировке потенциально опасных действий и сообщения администратору предусмотрены шаблоны. Вы можете изменять шаблоны сообщений.

Чтобы изменить шаблон сообщения, выполните следующие действия:

  1. В главном окне приложения нажмите на кнопку icon_settings.
  2. В окне параметров приложения выберите раздел Контроль безопасностиАдаптивный контроль аномалий.
  3. В блоке Шаблоны настройте шаблоны сообщений Адаптивного контроля аномалий:
    • Сообщение о блокировке. Шаблон сообщения для пользователя, которое появляется при срабатывании правила Адаптивного контроля аномалий, блокирующего нехарактерное действие.
    • Сообщение администратору. Шаблон сообщения для отправки администратору локальной сети организации в случае, если блокировка действия, по мнению пользователя, произошла ошибочно. После запроса пользователя предоставить доступ Kaspersky Endpoint Security отправляет в Kaspersky Security Center событие Сообщение администратору о запрете действия приложения. Описание события содержит сообщение администратору с подставленными переменными. Вы можете посмотреть эти события в консоли Kaspersky Security Center с помощью предустановленной выборки Запросы пользователей. Если в вашей организации не развернуто решение Kaspersky Security Center или связь с Сервером администрирования отсутствует, приложение отправит сообщение администратору на указанный адрес электронной почты.
  4. Сохраните внесенные изменения.

См. также:

Изменение шаблонов сообщений Веб-Контроля

Изменение шаблонов сообщений Контроля устройств

Изменение шаблонов сообщений Контроля приложений

Изменение шаблонов сообщений для получения доступа к зашифрованным файлам
В начало

[Topic 177558]

Просмотр отчетов Адаптивного контроля аномалий

Чтобы просмотреть отчеты Адаптивного контроля аномалий, выполните следующие действия:

  1. Откройте Консоль администрирования Kaspersky Security Center.
  2. В папке Управляемые устройства дерева Консоли администрирования откройте папку с названием группы администрирования, в состав которой входят нужные клиентские компьютеры.
  3. В рабочей области выберите закладку Политики.
  4. Выберите нужную политику и откройте свойства политики двойным щелчком мыши.
  5. В окне политики выберите Контроль безопасностиАдаптивный контроль аномалий.

    В правой части окна отобразятся параметры компонента Адаптивный контроль аномалий.

  6. Выполните одно из следующих действий:
    • Если вы хотите просмотреть отчет о параметрах правил Адаптивного контроля аномалий, нажмите на кнопку Отчет о состоянии правил Адаптивного контроля аномалий.
    • Если вы хотите просмотреть отчет о срабатываниях правил Адаптивного контроля аномалий, нажмите на кнопку Отчет о срабатываниях правил Адаптивного контроля аномалий.
  7. Запустится процесс формирования отчета.

Отчет отобразится в новом окне.

В начало

[Topic 129102]

Контроль приложений

Контроль приложений управляет запуском приложений на компьютерах пользователей. Это позволяет выполнить политику безопасности организации при использовании приложений. Также Контроль приложений снижает риск заражения компьютера, ограничивая доступ к приложениям.

Настройка Контроля приложений состоит из следующих этапов:

  1. Создание категорий приложений.

    Администратор создает категории приложений, которыми администратор хочет управлять. Категории приложений предназначены для всех компьютеров сети организации независимо от групп администрирования. Для создания категории вы можете использовать следующие критерии: KL-категория (например, Браузеры), хеш файла, производитель приложения и другие.

  2. Создание правил Контроля приложений.

    Администратор создает правила Контроля приложений в политике для группы администрирования. Правило включает в себя категории приложений и статус запуска приложений из этих категорий: запрещен или разрешен.

  3. Выбор режима работы Контроля приложений.

    Администратор выбирает режим работы с приложениями, которые не входят ни в одно из правил (списки запрещенных и разрешенных приложений).

При попытке пользователя запустить запрещенное приложение, Kaspersky Endpoint Security заблокирует запуск приложения и покажет уведомление (см. рис. ниже).

Для проверки настройки Контроля приложений предусмотрен тестовый режим. В этом режиме Kaspersky Endpoint Security выполняет следующие действия:

  • разрешает запуск приложений, в том числе запрещенных;
  • показывает уведомление о запуске запрещенного приложения и добавляет информацию в отчет на компьютере пользователя;
  • отправляет данные о запуске запрещенных приложений в Kaspersky Security Center.

    Уведомление Контроля приложений

Режимы работы Контроля приложений

Компонент Контроль приложений может работать в двух режимах:

  • Список запрещенных. Режим, при котором Контроль приложений разрешает пользователям запуск любых приложений, кроме тех, которые запрещены в правилах Контроля приложений.

    Этот режим работы Контроля приложений установлен по умолчанию.

  • Список разрешенных. Режим, при котором Контроль приложений запрещает пользователям запуск любых приложений, кроме тех, которые разрешены и не запрещены в правилах Контроля приложений.

    Если разрешающие правила Контроля приложений сформированы максимально полно, компонент запрещает запуск всех новых приложений, не проверенных администратором локальной сети организации, но обеспечивает работоспособность операционной системы и проверенных приложений, которые нужны пользователям для выполнения должностных обязанностей.

    Вы можете ознакомиться с рекомендациями по настройке правил Контроля приложений в режиме списка разрешенных приложений.

Настройка Контроля приложений для работы в этих режимах возможна как в локальном интерфейсе Kaspersky Endpoint Security, так и с помощью Kaspersky Security Center.

Однако Kaspersky Security Center предоставляет инструменты, недоступные в локальном интерфейсе Kaspersky Endpoint Security и необходимые для следующих задач:

Поэтому настройку работы компонента Контроль приложений рекомендуется выполнять с помощью Kaspersky Security Center.

Алгоритм работы Контроля приложений

Kaspersky Endpoint Security использует алгоритм для принятия решения о запуске приложения (см. рис. ниже).

Алгоритм работы Контроля приложений

В этом разделе

Ограничения функциональности Контроля приложений

Получение информации о приложениях, которые установлены на компьютерах пользователей

Включение и выключение Контроля приложений

Выбор режима Контроля приложений

Управление правилами Контроля приложений

Тестирование правил Контроля приложений

Мониторинг активности приложений

Правила формирования масок имен файлов или папок

Изменение шаблонов сообщений Контроля приложений

Лучшие практики по внедрению режима списка разрешенных приложений
В начало

[Topic 133573]

Ограничения функциональности Контроля приложений

Работа компонента Контроль приложений ограничена в следующих случаях:

  • При обновлении версии приложения импорт параметров компонента Контроль приложений не поддерживается.
  • При обновлении версии приложения импорт параметров компонента Контроль приложений поддерживается только при обновлении версии Kaspersky Endpoint Security 10 Service Pack 2 для Windows и выше до Kaspersky Endpoint Security 11.10.0 для Windows.

    При обновлении версий приложения, отличных от Kaspersky Endpoint Security 10 Service Pack 2 для Windows, для восстановления работоспособности Контроля приложений необходимо заново настроить параметры работы компонента.

  • При отсутствии соединения с серверами KSN Kaspersky Endpoint Security получает информацию о репутации приложения и их модулей только из локальных баз.

    Список приложений, для которых Kaspersky Endpoint Security определяет KL-категорию Другие программы / Программы, доверенные согласно репутации в KSN, при наличии соединения с серверами KSN может отличаться от списка приложений, для которых Kaspersky Endpoint Security определяет KL-категорию Другие программы / Программы доверенные согласно репутации в KSN, при отсутствии соединения с KSN.

  • В базе данных Kaspersky Security Center может храниться информация о 150 000 обработанных файлов. При достижении этого количества записей новые файлы не будут обработаны. Для возобновления работы инвентаризации требуется удалить с компьютера, на котором установлено приложение Kaspersky Endpoint Security, файлы, учтенные в базе данных Kaspersky Security Center ранее в результате инвентаризации.
  • Компонент не контролирует запуск скриптов, если скрипт передается интерпретатору не через командную строку.

    Если запуск интерпретатора разрешен правилами Контроля приложений, то компонент не блокирует скрипт, запущенный из этого интерпретатора.

    Если запуск хотя бы одного из скриптов, указанных в командной строке интерпретатора, запрещен правилами Контроля приложений, то компонент блокирует все скрипты, указанные в командной строке интерпретатора.

  • Компонент не контролирует запуск скриптов из интерпретаторов, не поддерживаемых приложением Kaspersky Endpoint Security.

    Kaspersky Endpoint Security поддерживает следующие интерпретаторы:

    • Java;
    • PowerShell.

    Поддерживаются следующие типы интерпретаторов:

    • %ComSpec%;
    • %SystemRoot%\\system32\\regedit.exe;
    • %SystemRoot%\\regedit.exe;
    • %SystemRoot%\\system32\\regedt32.exe;
    • %SystemRoot%\\system32\\cscript.exe;
    • %SystemRoot%\\system32\\wscript.exe;
    • %SystemRoot%\\system32\\msiexec.exe;
    • %SystemRoot%\\system32\\mshta.exe;
    • %SystemRoot%\\system32\\rundll32.exe;
    • %SystemRoot%\\system32\\wwahost.exe;
    • %SystemRoot%\\syswow64\\cmd.exe;
    • %SystemRoot%\\syswow64\\regedit.exe;
    • %SystemRoot%\\syswow64\\regedt32.exe;
    • %SystemRoot%\\syswow64\\cscript.exe;
    • %SystemRoot%\\syswow64\\wscript.exe;
    • %SystemRoot%\\syswow64\\msiexec.exe;
    • %SystemRoot%\\syswow64\\mshta.exe;
    • %SystemRoot%\\syswow64\\rundll32.exe;
    • %SystemRoot%\\syswow64\\wwahost.exe.
В начало

[Topic 130536]

Получение информации о приложениях, которые установлены на компьютерах пользователей

Для создания оптимальных правил Контроля приложений рекомендуется получить представление о приложениях, используемых на компьютерах локальной сети организации. Для этого вы можете получить следующую информацию:

  • производители, версии и локализации приложений, которые используются в локальной сети организации;
  • регулярность обновлений приложений;
  • политики использования приложений, принятые в организации (это могут быть политики безопасности или административные политики);
  • расположение хранилища дистрибутивов приложений.

Чтобы получить информацию о приложениях, которые используются на компьютерах локальной сети организации, вы можете использовать данные, представленные в папках Реестр программ и Исполняемые файлы. Папки Реестр программ и Исполняемые файлы входят в состав папки Управление программами дерева Консоли администрирования Kaspersky Security Center.

Папка Реестр программ содержит список приложений, которые обнаружил на клиентских компьютерах установленный на них

Агент администрирования
.

Папка Исполняемые файлы содержит список исполняемых файлов, которые когда-либо запускались на клиентских компьютерах или были обнаружены в процессе работы задачи инвентаризации для Kaspersky Endpoint Security.

Открыв окно свойств выбранного приложения в папке Реестр программ или Исполняемые файлы, вы можете получить общую информацию о приложении и о его исполняемых файлах, а также просмотреть список компьютеров, на которых установлено это приложение.

Чтобы открыть окно свойств приложения в папке Реестр программ, выполните следующие действия:

  1. Откройте Консоль администрирования Kaspersky Security Center.
  2. В дереве Консоли администрирования выберите Дополнительно → Управление программами → Реестр программ.
  3. Выберите приложение.
  4. В контекстном меню приложения выберите пункт Свойства.

Чтобы открыть окно свойств исполняемого файла в папке Исполняемые файлы, выполните следующие действия:

  1. Откройте Консоль администрирования Kaspersky Security Center.
  2. В дереве Консоли администрирования выберите папку Дополнительно → Управление программами → Исполняемые файлы.
  3. Выберите исполняемый файл.
  4. В контекстном меню исполняемого файла выберите пункт Свойства.
В начало

[Topic 128212]

Включение и выключение Контроля приложений

По умолчанию Контроль приложений выключен.

Чтобы включить или выключить Контроль приложений выполните следующие действия:

  1. В главном окне приложения нажмите на кнопку icon_settings.
  2. В окне параметров приложения выберите раздел Контроль безопасностиКонтроль приложений.
  3. Используйте переключатель Контроль приложений, чтобы включить или выключить компонент.
  4. Сохраните внесенные изменения.

В результате, если Контроль приложений включен, приложение передает в Kaspersky Security Center информацию о запущенных исполняемых файлах. Вы можете просмотреть список запущенных исполняемых файлов в Kaspersky Security Center в папке Исполняемые файлы. Для получения информации обо всех исполняемых файлах, а не только о запущенных файлах, запустите задачу Инвентаризация.

В начало

[Topic 128036]

Выбор режима Контроля приложений

Чтобы выбрать режим Контроля приложений, выполните следующие действия:

  1. В главном окне приложения нажмите на кнопку icon_settings.
  2. В окне параметров приложения выберите раздел Контроль безопасностиКонтроль приложений.
  3. В блоке Режим контроля запуска приложений выберите один из следующих вариантов:
    • Список запрещенных. Если выбран этот вариант, Контроль приложений разрешает всем пользователям запуск любых приложений, кроме случаев, удовлетворяющих условиям запрещающих правил Контроля приложений.
    • Список разрешенных. Если выбран этот вариант, Контроль приложений запрещает всем пользователям запуск любых приложений, кроме случаев, удовлетворяющих условиям разрешающих правил Контроля приложений.

      Для режима Список разрешенных приложений изначально заданы правила Приложения ОС и Доверенные приложения обновления. Эти правила Контроля приложений соответствуют KL-категориям. В KL-категорию "Приложения ОС" входят приложения, обеспечивающие нормальную работу операционной системы. В KL-категорию "Доверенные приложения обновления" входят приложения обновления наиболее известных производителей программного обеспечения. Вы не можете удалить эти правила. Параметры этих правил недоступны для изменения. По умолчанию правило Приложения ОС включено, а правило Доверенные приложения обновления выключено. Запуск приложений, соответствующих условиям срабатывания этих правил, разрешен всем пользователям.

    Все правила, сформированные при выбранном режиме, сохраняются после смены режима для возможности их повторного использования. Чтобы вернуться к использованию этих правил, достаточно выбрать нужный режим.

  4. В блоке Действие при запуске запрещенных приложений выберите, какое действие компонент должен выполнять при попытке пользователя запустить приложение, запрещенную правилами Контроля приложений.
  5. Установите флажок Контролировать загрузку DLL-модулей, если вы хотите, чтобы приложение Kaspersky Endpoint Security контролировало загрузку DLL-модулей при запуске пользователями приложений.

    Информация о модуле и приложении, загрузившей этот модуль, будет сохранена в отчет.

    Kaspersky Endpoint Security контролирует только DLL-модули и драйверы, загруженные с момента установки флажка. Перезагрузите компьютер после установки флажка, если вы хотите, чтобы приложение Kaspersky Endpoint Security контролировало все DLL-модули и драйверы, включая те, которые загружаются до запуска Kaspersky Endpoint Security.

    При включении функции контроля загрузки DLL-модулей и драйверов убедитесь, что в параметрах Контроля приложений включено правило по умолчанию Приложения ОС или другое правило, которое содержит KL-категорию "Доверенные сертификаты" и обеспечивает загрузку доверенных DLL-модулей и драйверов до запуска Kaspersky Endpoint Security. Включение контроля загрузки DLL-модулей и драйверов при выключенном правиле Приложения ОС может привести к нестабильности операционной системы.

    Рекомендуется включить защиту паролем для настройки параметров приложения, чтобы иметь возможность выключить запрещающие правила, блокирующие запуск критически важных DLL-модулей и драйверов, не изменяя при этом параметры политики Kaspersky Security Center.

  6. Сохраните внесенные изменения.
В начало

[Topic 130535]

Управление правилами Контроля приложений

Kaspersky Endpoint Security контролирует запуск приложений пользователями с помощью правил. В правиле Контроля приложений содержатся условия срабатывания и действия компонента Контроль приложений при срабатывании правила (разрешение или запрещение пользователям запускать приложение).

Условия срабатывания правила

Условие срабатывания правила представляет собой соответствие "тип условия - критерий условия - значение условия". На основании условий срабатывания правила Kaspersky Endpoint Security применяет (или не применяет) правило к приложению.

В правилах используются следующие типы условий:

  • Включающие условия. Kaspersky Endpoint Security применяет правило к приложению, если приложение соответствует хотя бы одному включающему условию.
  • Исключающие условия. Kaspersky Endpoint Security не применяет правило к приложению, если приложение соответствует хотя бы одному исключающему условию или не соответствует ни одному включающему условию.

Условия срабатывания правила формируются с помощью критериев. Для формирования условий в Kaspersky Endpoint Security используются следующие критерии:

  • путь к папке с исполняемым файлом приложения или путь к исполняемому файлу приложения;
  • метаданные: название исполняемого файла приложения, версия исполняемого файла приложения, название приложения, версия приложения, производитель приложения;
  • хеш исполняемого файла приложения;
  • сертификат: издатель, субъект, отпечаток;
  • принадлежность приложения к KL-категории;
  • расположение исполняемого файла приложения на съемном диске.

Для каждого критерия, используемого в условии, нужно указать его значение. Если параметры запускаемого приложения соответствуют значениям критериев, указанных во включающем условии, правило срабатывает. В этом случае Контроль приложений выполняет действие, прописанное в правиле. Если параметры приложения соответствуют значениям критериев, указанных в исключающем условии, Контроль приложений не контролирует запуск приложения.

Если в качестве условия срабатывания правила вы выбрали сертификат, вам нужно убедиться, что этот сертификат добавлен в доверенное системное хранилище на компьютере, и проверить параметры использования доверенного системного хранилища в приложении.

Решения компонента Контроль приложений при срабатывании правила

При срабатывании правила Контроль приложений в соответствии с правилом разрешает или запрещает пользователям (группам пользователей) запускать приложения. Вы можете выбирать отдельных пользователей или группы пользователей, которым разрешен или запрещен запуск приложений, для которых срабатывает правило.

Если в правиле не указан ни один пользователь, которому разрешен запуск приложений, удовлетворяющих правилу, правило называется запрещающим.

Если в правиле не указан ни один пользователь, которому запрещен запуск приложений, удовлетворяющих правилу, правило называется разрешающим.

Приоритет запрещающего правила выше приоритета разрешающего правила. Например, если для группы пользователей назначено разрешающее правило Контроля приложений и для одного из пользователей этой группы назначено запрещающее правило Контроля приложений, то этому пользователю будет запрещен запуск приложения.

Статус работы правила

Правила Контроля приложений могут иметь один из следующих статусов работы:

  • Включено. Статус означает, что правило используется во время работы компонента Контроль приложений.
  • Выключено. Статус означает, что правило не используется во время работы компонента Контроль приложений.
  • Тестирование. Статус означает, что Kaspersky Endpoint Security разрешает запуск приложений, на которые распространяется действие правила, но заносит информацию о запуске этих приложений в отчет.

В этом разделе

Добавление условия срабатывания правила Контроля приложений

Добавление в категорию приложений исполняемых файлов из папки Исполняемые файлы

Добавление в категорию приложений исполняемых файлов, связанных с событиями

Добавление правила Контроля приложений

Изменение статуса правила Контроля приложений с помощью Kaspersky Security Center

Экспорт и импорт правил Контроля приложений

Просмотр событий по результатам работы компонента Контроль приложений

Просмотр отчета о запрещенных приложениях
В начало

[Topic 130537]

Добавление условия срабатывания правила Контроля приложений

Для удобства формирования правил Контроля приложений вы можете создать категории приложений.

Рекомендуется создать категорию "приложения для работы", которая включает в себя стандартный набор приложений, используемых в организации. Если различные группы пользователей используют различные наборы приложений для работы, вы можете создать отдельную категорию приложений для работы каждой группы пользователей.

Чтобы создать категорию приложений в Консоли администрирования, выполните следующие действия:

  1. Откройте Консоль администрирования Kaspersky Security Center.
  2. В дереве Консоли администрирования выберите папку Дополнительно → Управление программами Категории программ.
  3. В рабочей области нажмите на кнопку Новая категория.

    Запустится мастер создания пользовательской категории.

  4. Следуйте указаниям мастера создания пользовательской категории.

Шаг 1. Выбор типа категории

На этом шаге выберите один из следующих типов категорий приложений:

  • Пополняемая вручную категория. Если вы выбрали этот тип категории, то на шаге "Настройка условий для включения приложений в категорию" и шаге "Настройка условий для исключения приложений из категории" вы сможете задать критерии, по которым исполняемые файлы будут попадать в категорию.
  • Категория, в которую входят исполняемые файлы с выбранных устройств. Если вы выбрали этот тип категории, то на шаге "Параметры" вы сможете указать компьютер, исполняемые файлы c которого будут автоматически попадать в категорию.
  • Категория, в которую входят исполняемые файлы из указанной папки. Если вы выбрали этот тип категории, то на шаге "Папка хранилища" вы сможете указать папку, исполняемые файлы из которой будут автоматически попадать в категорию.

При создании автоматически пополняемой категории Kaspersky Security Center выполняет инвентаризацию файлов следующих форматов: EXE, COM, DLL, SYS, BAT, PS1, CMD, JS, VBS, REG, MSI, MSC, CPL, HTML, HTM, DRV, OCX, SCR.

Шаг 2. Ввод названия пользовательской категории

На этом шаге укажите название категории приложений.

Шаг 3. Настройка условий для включения приложений в категорию

Этот шаг доступен, если вы выбрали тип категории Пополняемая вручную категория.

На этом шаге в раскрывающемся списке Добавить выберите условия для включения приложений в категорию:

  • Из списка исполняемых файлов. Добавьте приложения из списка исполняемых файлов на клиентском устройстве в пользовательскую категорию.
  • Из свойств файла. Укажите детальные данные исполняемых файлов в качестве условия добавления приложений в пользовательскую категорию.
  • Метаданные файлов папки. Выберите папку на клиентском устройстве, которая содержит исполняемые файлы. Kaspersky Security Center укажет метаданные этих исполняемых файлов в качестве условия добавления приложений в пользовательскую категорию.
  • Хеши файлов папки. Выберите папку на клиентском устройстве, которая содержит исполняемые файлы. Kaspersky Security Center укажет хеши этих исполняемых файлов в качестве условия добавления приложений в пользовательскую категорию.
  • Сертификаты файлов из папки. Выберите папку на клиентском устройстве, которая содержит исполняемые файлы, подписанные сертификатами. Kaspersky Security Center укажет сертификаты этих исполняемых файлов в качестве условия добавления приложений в пользовательскую категорию.

    Не рекомендуется использовать условия, в свойствах которых не указывается параметр Отпечаток сертификата.

  • Метаданные файлов установщика MSI. Выберите MSI-пакет. Kaspersky Security Center укажет метаданные исполняемых файлов, упакованных в этот MSI-пакет, в качестве условия добавления приложений в пользовательскую категорию.
  • Контрольные суммы файлов msi-инсталлятора программы. Выберите MSI-пакет. Kaspersky Security Center укажет хеши исполняемых файлов, упакованных в этот MSI-пакет, в качестве условия добавления приложений в пользовательскую категорию.
  • Из KL-категории. Укажите KL-категорию в качестве условия добавления приложений в пользовательскую категорию. KL-категория – сформированный специалистами "Лаборатории Касперского" список приложений, обладающих общими тематическими признаками. Например, KL-категория "Офисные приложения" включает в себя приложения из пакетов Microsoft Office, Adobe Acrobat и другие.

    Вы можете выбрать все KL-категории, чтобы сформировать расширенный список доверенных приложений.

  • Задайте путь к программе. Выберите папку на клиентском устройстве. Kaspersky Security Center добавит исполняемые файлы из этой папки в пользовательскую категорию.
  • Выберите сертификат из хранилища сертификатов. Выберите сертификаты, которыми подписаны исполняемые файлы, в качестве условия добавления приложений в пользовательскую категорию.

    Не рекомендуется использовать условия, в свойствах которых не указывается параметр Отпечаток сертификата.

  • Тип носителя. Укажите тип запоминающего устройства (все жесткие и съемные диски или только съемные диски) в качестве условия добавления приложений в пользовательскую категорию.

Шаг 4. Настройка условий для исключения приложений из категории

Этот шаг доступен, если вы выбрали тип категории Пополняемая вручную категория.

Приложения, указанные на этом шаге, исключаются из категории, даже если эти приложения были указаны на шаге "Настройка условий для включения приложений в категорию".

На этом шаге в раскрывающемся списке Добавить выберите условия для исключения приложений из категории:

  • Из списка исполняемых файлов. Добавьте приложения из списка исполняемых файлов на клиентском устройстве в пользовательскую категорию.
  • Из свойств файла. Укажите детальные данные исполняемых файлов в качестве условия добавления приложений в пользовательскую категорию.
  • Метаданные файлов папки. Выберите папку на клиентском устройстве, которая содержит исполняемые файлы. Kaspersky Security Center укажет метаданные этих исполняемых файлов в качестве условия добавления приложений в пользовательскую категорию.
  • Хеши файлов папки. Выберите папку на клиентском устройстве, которая содержит исполняемые файлы. Kaspersky Security Center укажет хеши этих исполняемых файлов в качестве условия добавления приложений в пользовательскую категорию.
  • Сертификаты файлов из папки. Выберите папку на клиентском устройстве, которая содержит исполняемые файлы, подписанные сертификатами. Kaspersky Security Center укажет сертификаты этих исполняемых файлов в качестве условия добавления приложений в пользовательскую категорию.
  • Метаданные файлов установщика MSI. Выберите MSI-пакет. Kaspersky Security Center укажет метаданные исполняемых файлов, упакованных в этот MSI-пакет, в качестве условия добавления приложений в пользовательскую категорию.
  • Контрольные суммы файлов msi-инсталлятора программы. Выберите MSI-пакет. Kaspersky Security Center укажет хеши исполняемых файлов, упакованных в этот MSI-пакет, в качестве условия добавления приложений в пользовательскую категорию.
  • Из KL-категории. Укажите KL-категорию в качестве условия добавления приложений в пользовательскую категорию. KL-категория – сформированный специалистами "Лаборатории Касперского" список приложений, обладающих общими тематическими признаками. Например, KL-категория "Офисные приложения" включает в себя приложения из пакетов Microsoft Office, Adobe Acrobat и другие.

    Вы можете выбрать все KL-категории, чтобы сформировать расширенный список доверенных приложений.

  • Задайте путь к программе. Выберите папку на клиентском устройстве. Kaspersky Security Center добавит исполняемые файлы из этой папки в пользовательскую категорию.
  • Выберите сертификат из хранилища сертификатов. Выберите сертификаты, которыми подписаны исполняемые файлы, в качестве условия добавления приложений в пользовательскую категорию.
  • Тип носителя. Укажите тип запоминающего устройства (все жесткие и съемные диски или только съемные диски) в качестве условия добавления приложений в пользовательскую категорию.

Шаг 5. Параметры

Этот шаг доступен, если вы выбрали тип категории Категория, в которую входят исполняемые файлы с выбранных устройств.

На этом шаге нажмите на кнопку Добавить и укажите компьютеры, исполняемые файлы с которых Kaspersky Security Center добавит в категорию приложений. Kaspersky Security Center добавит в категорию приложений все исполняемые файлы с указанных компьютеров, представленные в папке Исполняемые файлы.

Также на этом шаге вы можете настроить следующие параметры:

  • Алгоритм вычисления хеш-функции. Для выбора алгоритма необходимо установить хотя бы один из следующих флажков:
    • Вычислять SHA-256 для файлов в категории (поддерживается для версии Kaspersky Endpoint Security 10 Service Pack 2 для Windows и выше).
    • Вычислять MD5 для файлов в категории (поддерживается для версий ниже Kaspersky Endpoint Security 10 Service Pack 2 для Windows).
  • Флажок Синхронизировать данные с хранилищем Сервера администрирования. Установите этот флажок, если вы хотите, чтобы Kaspersky Security Center периодически очищал категорию приложений и добавлял в нее все исполняемые файлы с указанных компьютеров, представленные в папке Исполняемые файлы.

    Если флажок Синхронизировать данные с хранилищем Сервера администрирования снят, то после создания категории приложений Kaspersky Security Center не будет вносить в нее изменения.

  • Поле Период проверки (ч). В поле вы можете указать период времени в часах, по истечении которого Kaspersky Security Center очищает категорию приложений и добавляет в нее все исполняемые файлы с указанных компьютеров, представленные в папке Исполняемые файлы.

    Поле доступно, если установлен флажок Синхронизировать данные с хранилищем Сервера администрирования.

Шаг 6. Папка хранилища

Этот шаг доступен, если вы выбрали тип категории Категория, в которую входят исполняемые файлы из указанной папки.

На этом шаге укажите папку, в которой Kaspersky Security Center будет выполнять поиск исполняемых файлов для автоматического добавления в категорию приложений.

Также на этом шаге вы можете настроить следующие параметры:

  • Флажок Включать в категорию динамически подключаемые библиотеки (DLL). Установите этот флажок, если вы хотите, чтобы в категорию приложений включались динамически подключаемые библиотеки (файлы формата DLL).

    При включении файлов формата DLL в категорию приложений возможно снижение производительности работы Kaspersky Security Center.

  • Флажок Включать в категорию данные о скриптах. Установите этот флажок, если вы хотите, чтобы в категорию приложений включались скрипты.

    При включении скриптов в категорию приложений возможно снижение производительности работы Kaspersky Security Center.

  • Алгоритм вычисления хеш-функции. Для выбора алгоритма необходимо установить хотя бы один из следующих флажков:
    • Вычислять SHA-256 для файлов в категории (поддерживается для версии Kaspersky Endpoint Security 10 Service Pack 2 для Windows и выше).
    • Вычислять MD5 для файлов в категории (поддерживается для версий ниже Kaspersky Endpoint Security 10 Service Pack 2 для Windows).
  • Флажок Принудительно проверять папку на наличие изменений. Установите этот флажок, если вы хотите, чтобы Kaspersky Security Center периодически выполнял поиск исполняемых файлов в папке автоматического пополнения категории приложений.

    Если флажок Принудительно проверять папку на наличие изменений снят, Kaspersky Security Center выполняет поиск исполняемых файлов в папке автоматического пополнения категории приложений, только если в этой папке были изменены, добавлены или удалены файлы.

  • Поле Период проверки (ч). В поле вы можете указать период времени в часах, по истечении которого Kaspersky Security Center выполняет поиск исполняемых файлов в папке автоматического пополнения категории приложений.

    Поле доступно, если установлен флажок Принудительно проверять папку на наличие изменений.

Шаг 7. Создание пользовательской категории

Завершите работу мастера.

Чтобы добавить новое условие срабатывания в правило Контроля приложений в интерфейсе приложения, выполните следующие действия:

  1. В главном окне приложения нажмите на кнопку icon_settings.
  2. В окне параметров приложения выберите раздел Контроль безопасностиКонтроль приложений.
  3. Нажмите на кнопку Запрещенные приложения или Разрешенные приложения.

    Откроется список правил Контроля приложений.

  4. Выберите правило, для которого вы хотите добавить условие срабатывания.

    Откроются свойства правила Контроля приложений.

  5. Перейдите на закладку Условия или Исключения и нажмите на кнопку Добавить.
  6. Выберите условия срабатывания правила Контроля приложений:
    • Условия из свойств запускавшихся приложений. Вы можете выбрать приложения, к которым будет применено правило Контроля приложений, из списка запущенных приложений. Kaspersky Endpoint Security также добавляет в этот список приложения, которые когда-либо были запущены на компьютере. Вам нужно выбрать критерий, на основе которого вы хотите создать одно или несколько условий срабатывания правила: Хеш файла, Сертификат, KL-категория, Метаданные или Путь к файлу или папке.
    • Условия "KL-категория". KL-категория – сформированный специалистами "Лаборатории Касперского" список приложений, обладающих общими тематическими признаками. Например, KL-категория "Офисные приложения" включает в себя приложения из пакетов Microsoft Office, Adobe Acrobat и другие.
    • Условие вручную. Вы можете выбрать файл приложения и выбрать одно из условий срабатывания правила: Хеш файла, Сертификат, Метаданные или Путь к файлу или папке.
    • Условие по носителю файла (съемный диск). Правило Контроля приложений применяется только к файлам, которые запускаются на съемном диске.
    • Условия из свойств файлов указанной папки. Правило Контроля приложений применяется только к файлам, которые расположены в указанной папке. Вы также можете включить или исключить файлы из вложенных папок. Вам нужно выбрать критерий, на основе которого вы хотите создать одно или несколько условий срабатывания правила: Хеш файла, Сертификат, KL-категория, Метаданные или Путь к файлу или папке.
  7. Сохраните внесенные изменения.

При добавлении условий учитывайте следующие особенности работы Контроля приложений:

  • Kaspersky Endpoint Security не поддерживает MD5-хеш файла и не контролирует запуск приложений на основе MD5-хеша. В качестве условия срабатывания правила используется SHA256-хеш.
  • Не рекомендуется использовать в качестве условий срабатывания правил только критерии Издатель и Субъект. Использование этих критериев является ненадежным.
  • Если вы используете символьную ссылку в поле Путь к файлу или папке, рекомендуется развернуть символьную ссылку для корректной работы правила Контроля приложений. Для этого нажмите на кнопку Развернуть символьную ссылку.
В начало

[Topic 166751]

Добавление в категорию приложений исполняемых файлов из папки Исполняемые файлы

В папке Исполняемые файлы отображается список исполняемых файлов, обнаруженных на компьютерах. Kaspersky Endpoint Security формирует список исполняемых файлов после выполнения задачи инвентаризации.

Чтобы добавить в категорию приложений исполняемые файлы из папки Исполняемые файлы, выполните следующие действия:

  1. Откройте Консоль администрирования Kaspersky Security Center.
  2. В дереве Консоли администрирования выберите ДополнительноУправление программамиИсполняемые файлы.
  3. В рабочей области выберите исполняемые файлы, которые вы хотите добавить в категорию приложений.
  4. По правой клавише мыши откройте контекстное меню для выбранных исполняемых файлов и выберите пункт Добавить в категорию.
  5. В открывшемся окне выполните следующие действия:
    • В верхней части окна выберите один из следующих вариантов:
      • Добавить в новую категорию программ. Выберите этот вариант, если вы хотите создать новую категорию приложений и добавить в нее исполняемые файлы.
      • Добавить в существующую категорию. Выберите этот вариант, если вы хотите выбрать существующую категорию приложений и добавить в нее исполняемые файлы.
    • В блоке Тип правила выберите один из следующих вариантов:
      • Правила для добавления в область действия. Выберите этот вариант, если вы хотите создать условия, добавляющие исполняемые файлы в категорию приложений.
      • Правила для добавления в исключения. Выберите этот вариант, если вы хотите создать условия, исключающие исполняемые файлы из категории приложений.
    • В блоке Параметр, используемый в качестве условия выберите один из следующих вариантов:
      • Данные сертификата (или SHA-256 для файлов без сертификата).
      • Данные сертификата (файлы без сертификата пропускаются).
      • Только SHA-256 (файлы без SHA-256 пропускаются).
      • Только MD5 (для совместимости с Kaspersky Endpoint Security 10 Service Pack 1).
  6. Сохраните внесенные изменения.
В начало

[Topic 166737]

Добавление в категорию приложений исполняемых файлов, связанных с событиями

Чтобы добавить в категорию приложений исполняемые файлы, связанные с событиями Контроля приложений, выполните следующие действия:

  1. Откройте Консоль администрирования Kaspersky Security Center.
  2. В узле Сервер администрирования дерева Консоли администрирования выберите закладку События.
  3. Выберите выборку событий о работе компонента Контроль приложений (Просмотр событий по результатам работы компонента Контроль приложений, Просмотр событий по результатам тестовой работы компонента Контроля приложений) в раскрывающемся списке Выборки событий.
  4. Нажмите на кнопку Запустить выборку.
  5. Выберите события, в связи с которыми вы хотите добавить в категорию приложений исполняемые файлы.
  6. По правой клавише мыши откройте контекстное меню для выбранных событий и выберите пункт Добавить в категорию.
  7. В открывшемся окне настройте параметры категории приложений:
    • В верхней части окна выберите один из следующих вариантов:
      • Добавить в новую категорию программ. Выберите этот вариант, если вы хотите создать новую категорию приложений и добавить в нее исполняемые файлы.
      • Добавить в существующую категорию. Выберите этот вариант, если вы хотите выбрать существующую категорию приложений и добавить в нее исполняемые файлы.
    • В блоке Тип правила выберите один из следующих вариантов:
      • Правила для добавления в область действия. Выберите этот вариант, если вы хотите создать условия, добавляющие исполняемые файлы в категорию приложений.
      • Правила для добавления в исключения. Выберите этот вариант, если вы хотите создать условия, исключающие исполняемые файлы из категории приложений.
    • В блоке Параметр, используемый в качестве условия выберите один из следующих вариантов:
      • Данные сертификата (или SHA-256 для файлов без сертификата).
      • Данные сертификата (файлы без сертификата пропускаются).
      • Только SHA-256 (файлы без SHA-256 пропускаются).
      • Только MD5 (для совместимости с Kaspersky Endpoint Security 10 Service Pack 1).
  8. Сохраните внесенные изменения.
В начало

[Topic 130538]

Добавление правила Контроля приложений

Чтобы добавить правило Контроля приложений с помощью Kaspersky Security Center, выполните следующие действия:

  1. Откройте Консоль администрирования Kaspersky Security Center.
  2. В папке Управляемые устройства дерева Консоли администрирования откройте папку с названием группы администрирования, в состав которой входят нужные клиентские компьютеры.
  3. В рабочей области выберите закладку Политики.
  4. Выберите нужную политику и откройте свойства политики двойным щелчком мыши.
  5. В окне политики выберите Контроль безопасностиКонтроль приложений.

    В правой части окна отобразятся параметры компонента Контроль приложений.

  6. Нажмите на кнопку Добавить.

    Откроется окно Правило Контроля приложений.

  7. Выполните одно из следующих действий:
    • Если вы хотите создать новую категорию, выполните следующие действия:
      1. Нажмите на кнопку Создать категорию.

        Запустится мастер создания пользовательской категории.

      2. Следуйте указаниям мастера создания пользовательской категории.
      3. Из раскрывающегося списка Категория выберите созданную категорию приложений.
    • Если вы хотите изменить существующую категорию, выполните следующие действия:
      1. Из раскрывающегося списка Категория выберите созданную категорию приложений, которую вы хотите изменить.
      2. Нажмите на кнопку Свойства.
      3. Измените параметры выбранной категории приложений.
      4. Сохраните внесенные изменения.
      5. Из раскрывающегося списка Категория выберите созданную категорию приложений, на основе которой вы хотите создать правило.
  8. В таблице Субъекты и их права нажмите на кнопку Добавить.
  9. В открывшемся окне задайте список пользователей и / или групп пользователей, для которых вы хотите настроить возможность запускать приложения, принадлежащие к выбранной категории.
  10. В таблице Субъекты и их права выполните следующие действия:
    • Если вы хотите разрешить пользователям и / или группам пользователей запуск приложений, принадлежащих к выбранной категории, установите флажок Разрешить в нужных строках.
    • Если вы хотите запретить пользователям и / или группам пользователей запуск приложений, принадлежащих к выбранной категории, установите флажок Запретить в нужных строках.
  11. Установите флажок Запретить остальным пользователям, если вы хотите, чтобы приложение запрещало запуск приложений, принадлежащих к выбранной категории, всем пользователям, которые не указаны в графе Субъект и не входят в группы пользователей, указанные в графе Субъект.
  12. Установите флажок Доверенные приложения обновления, если вы хотите, чтобы приложения, входящие в выбранную категорию приложений, Kaspersky Endpoint Security считал доверенными приложения обновления с правом создавать другие исполняемые файлы, запуск которых в дальнейшем будет разрешен.

    При миграции параметров Kaspersky Endpoint Security осуществляется также миграция списка исполняемых файлов, созданных доверенными приложениями обновления.

  13. Сохраните внесенные изменения.

Чтобы добавить правило Контроля приложений, выполните следующие действия:

  1. В главном окне приложения нажмите на кнопку icon_settings.
  2. В окне параметров приложения выберите раздел Контроль безопасностиКонтроль приложений.
  3. Нажмите на кнопку Запрещенные приложения или Разрешенные приложения.

    Откроется список правил Контроля приложений.

  4. Нажмите на кнопку Добавить.

    Откроется окно с параметрами правила Контроля приложений.

  5. На закладке Общие настройки задайте основные параметры правила:
    1. В поле Название правила введите название правила.
    2. В поле Описание введите описание правила.
    3. Задайте или измените список пользователей и / или групп пользователей, которым разрешено или запрещено запускать приложения, удовлетворяющие условиям срабатывания правила. Для этого нажмите на кнопку Добавить в таблице Субъекты и их права.

      По умолчанию в список пользователей добавлено значение Все. Действие правила распространяется на всех пользователей.

      Если в таблице не указан ни один пользователь, правило не может быть сохранено.

    4. В таблице Субъекты и их права определите право пользователей на запуск приложений с помощью переключателя.
    5. Установите флажок Запретить остальным пользователям, если вы хотите, чтобы приложение запрещало запуск приложений, удовлетворяющих условиям срабатывания правила, всем пользователям, которые не указаны в таблице Субъекты и их права и не входят в группы пользователей, указанные в таблице Субъекты и их права.

      Если флажок Запретить остальным пользователям снят, Kaspersky Endpoint Security не контролирует запуск приложений пользователями, которые не указаны в таблице Субъекты и их права и не входят в группы пользователей, указанные в таблице Субъекты и их права.

    6. Установите флажок Доверенные приложения обновления, если вы хотите, чтобы приложения, удовлетворяющие условиям срабатывания правила, Kaspersky Endpoint Security считал доверенными приложения обновления. Доверенные приложения обновления – приложения с правом создавать другие исполняемые файлы, запуск которых в дальнейшем будет разрешен.

      Если приложение соответствует условиям срабатывания нескольких правил, Kaspersky Endpoint Security устанавливает признак "Доверенные приложения обновления" при выполнении следующих требований:

      • запуск приложения разрешен во всех правилах;
      • хотя бы в одном правиле установлен флажок Доверенные приложения обновления.
  6. На закладке Условия сформируйте или измените список включающих условий срабатывания правила.
  7. На закладке Исключения сформируйте или измените список исключающих условий срабатывания правила.

    При миграции параметров Kaspersky Endpoint Security осуществляется также миграция списка исполняемых файлов, созданных доверенными приложениями обновления.

  8. Сохраните внесенные изменения.
В начало

[Topic 123489]

Изменение статуса правила Контроля приложений с помощью Kaspersky Security Center

Чтобы изменить статус правила Контроля приложений в Консоли администрирования, выполните следующие действия:

  1. Откройте Консоль администрирования Kaspersky Security Center.
  2. В папке Управляемые устройства дерева Консоли администрирования откройте папку с названием группы администрирования, в состав которой входят нужные клиентские компьютеры.
  3. В рабочей области выберите закладку Политики.
  4. Выберите нужную политику и откройте свойства политики двойным щелчком мыши.
  5. В окне политики выберите Контроль безопасностиКонтроль приложений.

    В правой части окна отобразятся параметры компонента Контроль приложений.

  6. В графе Статус по левой клавише мыши откройте контекстное меню и выберите один из следующих пунктов:
    • Вкл. Статус означает, что правило используется во время работы компонента Контроль приложений.
    • Выкл. Статус означает, что правило не используется во время работы компонента Контроль приложений.
    • Тест. Статус означает, что Kaspersky Endpoint Security всегда разрешает запуск приложений, на которые распространяется действие правила, но заносит информацию о запуске этих приложений в отчет.
  7. Сохраните внесенные изменения.

Чтобы изменить статус правила Контроля приложений в интерфейсе приложения, выполните следующие действия:

  1. В главном окне приложения нажмите на кнопку icon_settings.
  2. В окне параметров приложения выберите раздел Контроль безопасностиКонтроль приложений.
  3. Нажмите на кнопку Запрещенные приложения или Разрешенные приложения.

    Откроется список правил Контроля приложений.

  4. В графе Статус откройте контекстное меню и выберите один из следующих пунктов:
    • Включено. Статус означает, что правило используется во время работы компонента Контроль приложений.
    • Выключено. Статус означает, что правило не используется во время работы компонента Контроль приложений.
    • Тестирование. Статус означает, что Kaspersky Endpoint Security всегда разрешает запуск приложений, на которые распространяется действие этого правила, но заносит информацию о запуске этих приложений в отчет.
  5. Сохраните внесенные изменения.
В начало

[Topic 202095]

Экспорт и импорт правил Контроля приложений

Вы можете экспортировать список правил Контроля приложений в файл в формате XML. Вы можете использовать функцию экспорта / импорта для резервного копирования списка правил Контроля приложений или для миграции списка на другой сервер.

Экспорт и импорт правил Контроля приложений имеет следующие особенности:

  • Kaspersky Endpoint Security экспортирует список правил только для активного режима Контроля приложений. То есть, если Контроль приложений работает в режиме запрещенного списка, Kaspersky Endpoint Security экспортирует правила только для этого режима. Для экспорта списка правил для режима разрешенного списка вам нужно переключить режим и выполнить экспорт повторно.
  • Kaspersky Endpoint Security использует категории приложений для работы правил Контроля приложений. При миграции списка правил Контроля приложений на другой сервер вам также нужно выполнить миграцию списка категорий приложений. Подробнее об экспорте / импорте категорий приложений см. в справке Kaspersky Security Center.

Как экспортировать / импортировать список правил Контроля приложений в Консоли администрирования (MMC)

  1. Откройте Консоль администрирования Kaspersky Security Center.
  2. В папке Управляемые устройства дерева Консоли администрирования откройте папку с названием группы администрирования, в состав которой входят нужные клиентские компьютеры.
  3. В рабочей области выберите закладку Политики.
  4. Выберите нужную политику и откройте свойства политики двойным щелчком мыши.
  5. В окне политики выберите Контроль безопасностиКонтроль приложений.
  6. Для экспорта списка правил Контроля приложений выполните следующие действия:
    1. Выберите правила, которые вы хотите экспортировать. Чтобы выбрать несколько записей, используйте клавиши CTRL или SHIFT.

      Если вы не выбрали ни одного правила, Kaspersky Endpoint Security экспортирует все правила.

    2. Нажмите на ссылку Экспортировать.
    3. В открывшемся окне введите имя файла формата XML, в который вы хотите экспортировать список правил, а также выберите папку, в которой вы хотите сохранить этот файл.
    4. Сохраните файл.

      Kaspersky Endpoint Security экспортирует список правил в XML-файл.

  7. Для импорта списка правил Контроля приложений выполните следующие действия:
    1. Нажмите на ссылку Импортировать.

      В открывшемся окне выберите XML-файл, из которого вы хотите импортировать список правил.

    2. Откройте файл.

      Если на компьютере уже есть список правил, Kaspersky Endpoint Security предложит удалить действующий список или добавить в него новые записи из XML-файла.

  8. Сохраните внесенные изменения.

Как экспортировать / импортировать список правил Контроля приложений в Web Console и Cloud Console

  1. В главном окне Web Console выберите УстройстваПолитики и профили политик.
  2. Нажмите на название политики Kaspersky Endpoint Security.

    Откроется окно свойств политики.

  3. Выберите закладку Параметры программы.
  4. Перейдите в раздел Контроль безопасностиКонтроль приложений.
  5. Перейдите по ссылке Настройки списков правил.
  6. Выберите список правил: списки запрещенных или разрешенных приложений.
  7. Для экспорта списка правил Контроля приложений выполните следующие действия:
    1. Выберите правила, которые вы хотите экспортировать.
    2. Нажмите на кнопку Экспорт.
    3. Подтвердите, что вы хотите экспортировать только выбранные правила, или экспортируйте весь список.
    4. Сохраните файл.

      Kaspersky Endpoint Security экспортирует список правил в XML-файл в папку для загрузки по умолчанию.

  8. Для импорта списка правил Контроля приложений выполните следующие действия:
    1. Нажмите на ссылку Импортировать.

      В открывшемся окне выберите XML-файл, из которого вы хотите импортировать список правил.

    2. Откройте файл.

      Если на компьютере уже есть список правил, Kaspersky Endpoint Security предложит удалить действующий список или добавить в него новые записи из XML-файла.

  9. Сохраните внесенные изменения.
В начало

[Topic 165715]

Просмотр событий по результатам работы компонента Контроль приложений

Чтобы просмотреть приходящие в Kaspersky Security Center события по результатам работы компонента Контроль приложений, выполните следующие действия:

  1. Откройте Консоль администрирования Kaspersky Security Center.
  2. В узле Сервер администрирования дерева Консоли администрирования выберите закладку События.
  3. Нажмите на кнопку Создать выборку.
  4. В открывшемся окне перейдите в раздел События.
  5. Нажмите на кнопку Очистить все.
  6. В таблице События установите флажок Запуск приложения запрещен.
  7. Сохраните внесенные изменения.
  8. В раскрывающемся списке Выборки событий выберите созданную выборку.
  9. Нажмите на кнопку Запустить выборку.
В начало

[Topic 165714]

Просмотр отчета о запрещенных приложениях

Чтобы просмотреть отчет о запрещенных приложениях, выполните следующие действия:

  1. Откройте Консоль администрирования Kaspersky Security Center.
  2. В узле Сервер администрирования дерева Консоли администрирования выберите закладку Отчеты.
  3. Нажмите на кнопку Новый шаблон отчета.

    Запустится мастер создания шаблона отчета.

  4. Следуйте указаниям мастера создания шаблона отчета. На шаге Выбор типа шаблона отчета выберите ДругоеОтчет о запрещенных программах.

    После завершения работы мастера создания шаблона отчета в таблице на закладке Отчеты появится новый шаблон отчета.

  5. Откройте отчет двойным щелчком мыши.

Запустится процесс формирования отчета. Отчет отобразится в новом окне.

В начало

[Topic 133827]

Тестирование правил Контроля приложений

Чтобы убедиться, что правила Контроля приложений не блокируют приложения, необходимые для работы, рекомендуется после создания правил включить тестирование правил Контроля приложений и проанализировать их работу. При включении тестирования правил Контроля приложений Kaspersky Endpoint Security не будет блокировать приложения, запуск которых запрещен Контролем приложений, но будет отправлять уведомления об их запуске на Сервер администрирования.

Для анализа работы правил Контроля приложений требуется изучить события по результатам работы компонента Контроль приложений, приходящие в Kaspersky Security Center. Если для всех приложений, которые необходимы для работы пользователю компьютера, отсутствуют события о запрете запуска в тестовом режиме, то созданы верные правила. В противном случае рекомендуется уточнить параметры созданных вами правил, создать дополнительные или удалить существующие правила.

По умолчанию Kaspersky Endpoint Security разрешает запуск всех приложений, кроме приложений, запрещенных правилами.

В начало

[Topic 165700]

Включение и выключение тестирования правил Контроля приложений

Чтобы включить или выключить тестирование правил Контроля приложений в Kaspersky Security Center, выполните следующие действия:

  1. Откройте Консоль администрирования Kaspersky Security Center.
  2. В папке Управляемые устройства дерева Консоли администрирования откройте папку с названием группы администрирования, в состав которой входят нужные клиентские компьютеры.
  3. В рабочей области выберите закладку Политики.
  4. Выберите нужную политику и откройте свойства политики двойным щелчком мыши.
  5. В окне политики выберите Контроль безопасностиКонтроль приложений.

    В правой части окна отобразятся параметры компонента Контроль приложений.

  6. В раскрывающемся списке Режим контроля выберите один из следующих элементов:
    • Список запрещенных. Если выбран этот вариант, Контроль приложений разрешает всем пользователям запуск любых приложений, кроме случаев, удовлетворяющих условиям запрещающих правил Контроля приложений.
    • Список разрешенных. Если выбран этот вариант, Контроль приложений запрещает всем пользователям запуск любых приложений, кроме случаев, удовлетворяющих условиям разрешающих правил Контроля приложений.
  7. Выполните одно из следующих действий:
    • Если вы хотите включить тестирование правил Контроля приложений, в раскрывающемся списке Действие выберите элемент Тестировать правила.
    • Если вы хотите включить Контроль приложений для управления запуском приложений на компьютерах пользователей, в раскрывающемся списке выберите элемент Применять правила.
  8. Сохраните внесенные изменения.

Чтобы включить тестирование правил Контроля приложений или выбрать блокирующее действие Контроля приложений, выполните следующие действия:

  1. В главном окне приложения нажмите на кнопку icon_settings.
  2. В окне параметров приложения выберите раздел Контроль безопасностиКонтроль приложений.
  3. Нажмите на кнопку Запрещенные приложения или Разрешенные приложения.

    Откроется список правил Контроля приложений.

  4. В графе Статус выберите пункт Тестирование.

    Статус означает, что Kaspersky Endpoint Security всегда разрешает запуск приложений, на которые распространяется действие этого правила, но заносит информацию о запуске этих приложений в отчет.

  5. Сохраните внесенные изменения.

Kaspersky Endpoint Security не будет блокировать приложения, запуск которых запрещен компонентом Контроль приложений, но будет отправлять уведомления об их запуске на Сервер администрирования. Также вы можете настроить отображение уведомлений о тестировании правил на компьютере пользователя (см. рис. ниже).

loc_screen_KES11_App_Control_Test_Allowedloc_screen_KES11_App_Control_Test_Denied

Уведомления Контроля приложений в тестовом режиме

В начало

[Topic 165775]

Просмотр отчета о запрещенных приложениях в тестовом режиме

Чтобы просмотреть отчет о запрещенных приложениях в тестовом режиме, выполните следующие действия:

  1. Откройте Консоль администрирования Kaspersky Security Center.
  2. В узле Сервер администрирования дерева Консоли администрирования выберите закладку Отчеты.
  3. Нажмите на кнопку Новый шаблон отчета.

    Запустится мастер создания шаблона отчета.

  4. Следуйте указаниям мастера создания шаблона отчета. На шаге Выбор типа шаблона отчета выберите ДругоеОтчет о запрещенных программах в тестовом режиме.

    После завершения работы мастера создания шаблона отчета в таблице на закладке Отчеты появится новый шаблон отчета.

  5. Откройте отчет двойным щелчком мыши.

Запустится процесс формирования отчета. Отчет отобразится в новом окне.

В начало

[Topic 165757]

Просмотр событий по результатам тестовой работы компонента Контроля приложений

Чтобы просмотреть приходящие на Kaspersky Security Center события по результатам тестовой работы компонента Контроль приложений, выполните следующие действия:

  1. Откройте Консоль администрирования Kaspersky Security Center.
  2. В узле Сервер администрирования дерева Консоли администрирования выберите закладку События.
  3. Нажмите на кнопку Создать выборку.
  4. В открывшемся окне перейдите в раздел События.
  5. Нажмите на кнопку Очистить все.
  6. В таблице События установите флажки Запуск приложения запрещен в тестовом режиме и Запуск приложения разрешен в тестовом режиме.
  7. Сохраните внесенные изменения.
  8. В раскрывающемся списке Выборки событий выберите созданную выборку.
  9. Нажмите на кнопку Запустить выборку.
В начало

[Topic 204231]

Мониторинг активности приложений

Этот компонент доступен, если приложение Kaspersky Endpoint Security установлено на компьютере под управлением операционной системы Windows для рабочих станций. Этот компонент недоступен, если приложение Kaspersky Endpoint Security установлено на компьютере под управлением операционной системы Windows для серверов.

Мониторинг активности приложений – это инструмент, предназначенный для просмотра информации об активности приложений на компьютере пользователя в режиме реального времени.

Для работы Мониторинга активности приложений вам нужно установить компоненты Контроль приложений и Предотвращение вторжений. Если эти компоненты не установлены, в главном окне приложения раздел Мониторинг активности приложений скрыт.

Чтобы запустить Мониторинг активности приложений,

в главном окне приложения в разделе Мониторинг нажмите на плитку Мониторинг активности приложений.

В открывшемся окне информация об активности приложений на компьютере пользователя представлена на трех закладках:

  • На закладке Все приложения отображается информация о всех приложениях, установленных на компьютере.
  • На закладке Работающие отображается информация о потреблении ресурсов компьютера каждого из приложений в режиме реального времени. На этой закладке вы можете, а также перейти к настройке разрешений для отдельного приложения.
  • На закладке Запускаемые при старте отображается список приложений, которые запускаются при старте операционной системы.

Если вы хотите скрыть данные об активности приложений на компьютере пользователя, вы можете ограничить доступ пользователя к инструменту Мониторинг активности приложений.

Как скрыть Мониторинг активности приложений в интерфейсе приложения через Консоль администрирования (MMC)

  1. Откройте Консоль администрирования Kaspersky Security Center.
  2. В папке Управляемые устройства дерева Консоли администрирования откройте папку с названием группы администрирования, в состав которой входят нужные клиентские компьютеры.
  3. В рабочей области выберите закладку Политики.
  4. Выберите нужную политику и откройте свойства политики двойным щелчком мыши.
  5. В окне политики выберите Общие настройкиИнтерфейс.
  6. Используйте флажок Скрыть раздел Мониторинг активности приложений, чтобы включить или выключить доступ к инструменту.
  7. Сохраните внесенные изменения.

Как скрыть Мониторинг активности приложений в интерфейсе приложения через Web Console и Cloud Console

  1. В главном окне Web Console выберите УстройстваПолитики и профили политик.
  2. Нажмите на название политики Kaspersky Endpoint Security.

    Откроется окно свойств политики.

  3. Выберите закладку Параметры программы.
  4. Перейдите в раздел Общие настройкиИнтерфейс.
  5. Используйте флажок Скрыть раздел Мониторинг активности программ, чтобы включить или выключить доступ к инструменту.
  6. Сохраните внесенные изменения.
В начало

[Topic 187478]

Правила формирования масок имен файлов или папок

Маска имени файла или папки – это представление имени папки или имени и расширения файла с использованием общих символов.

Для формирования маски имени файла или папки вы можете использовать следующие общие символы:

  • Символ *, который заменяет любой набор символов, в том числе пустой. Например, маска C:\*.txt будет включать все пути к файлам с расширением txt, расположенным в папках и подпапках на диске (C:).
  • Символ ?, который заменяет любой один символ, кроме символов \ и / (разделители имен файлов и папок в путях к файлам и папкам). Например, маска C:\Folder\???.txt будет включать пути ко всем расположенным в папке Folder файлам с расширением txt и именем, состоящим из трех символов.
В начало

[Topic 128034]

Изменение шаблонов сообщений Контроля приложений

Когда пользователь пытается запустить приложение, запрещенную правилом Контроля приложений, Kaspersky Endpoint Security выводит сообщение о блокировке запуска приложения. Если блокировка запуска приложения, по мнению пользователя, произошла ошибочно, по ссылке из текста сообщения о блокировке пользователь может отправить сообщение администратору локальной сети организации.

Для сообщения о блокировке запуска приложения и сообщения администратору предусмотрены шаблоны. Вы можете изменять шаблоны сообщений.

Чтобы изменить шаблон сообщения, выполните следующие действия:

  1. В главном окне приложения нажмите на кнопку icon_settings.
  2. В окне параметров приложения выберите раздел Контроль безопасностиКонтроль приложений.
  3. В блоке Шаблоны сообщений о блокировке приложений настройте шаблоны сообщений Контроля приложений:
    • Сообщение о блокировке. Шаблон сообщения, которое появляется при срабатывании правила Контроля приложений, блокирующего запуск приложения. Уведомление о блокировке приложения см. рис. ниже.

      Настроить шаблоны сообщения для Контроля приложений в тестовом режиме невозможно. Контроль приложений в тестовом режиме показывает предустановленные уведомления.

    • Сообщение администратору. Шаблон сообщения для отправки администратору локальной сети организации в случае, если блокировка приложения, по мнению пользователя, произошла ошибочно. После запроса пользователя предоставить доступ Kaspersky Endpoint Security отправляет в Kaspersky Security Center событие Сообщение администратору о запрете запуска приложения. Описание события содержит сообщение администратору с подставленными переменными. Вы можете посмотреть эти события в консоли Kaspersky Security Center с помощью предустановленной выборки Запросы пользователей. Если в вашей организации не развернуто решение Kaspersky Security Center или связь с Сервером администрирования отсутствует, приложение отправит сообщение администратору на указанный адрес электронной почты.
  4. Сохраните внесенные изменения.

    Уведомление Контроля приложений

См. также:

Изменение шаблонов сообщений Веб-Контроля

Изменение шаблонов сообщений Контроля устройств

Изменение шаблонов сообщений Адаптивного контроля аномалий

Изменение шаблонов сообщений для получения доступа к зашифрованным файлам
В начало

[Topic 159634]

Лучшие практики по внедрению режима списка разрешенных приложений

При планировании внедрения режима списка разрешенных приложений рекомендуется выполнить следующие действия:

  1. Произвести следующие виды группировок:
    • Группы пользователей. Группы пользователей, для которых необходимо разрешить использование различных наборов приложений.
    • Группы администрирования. Одна или несколько групп компьютеров, к которым Kaspersky Security Center будет применять режим списка разрешенных приложений. Создание нескольких групп компьютеров необходимо, если для этих групп используются различные параметры режима списка разрешенных.
  2. Составить список приложений, запуск которых необходимо разрешить.

    Перед составлением списка рекомендуется выполнить следующие действия:

    1. Запустить задачу инвентаризации.

      Информация о создании, изменении параметров и запуске задачи инвентаризации доступна в разделе Управление задачами.

    2. Просмотреть список исполняемых файлов.

В этом разделе

Настройка режима списка разрешенных приложений

Тестирование режима списка разрешенных приложений

Поддержка режима списка разрешенных приложений
В начало

[Topic 165718]

Настройка режима списка разрешенных приложений

При настройке режима списка разрешенных приложений рекомендуется выполнить следующие действия:

  1. Создать категории приложений, содержащие те приложения, запуск которых необходимо разрешить.

    Вы можете выбрать один из следующих способов формирования категорий приложений:

    • Пополняемая вручную категория. Вы можете вручную пополнять эту категорию, используя следующие условия:
      • Метаданные файла. Kaspersky Security Center добавляет в категорию приложений все исполняемые файлы, сопровождающиеся указанными метаданными.
      • Хеш файла. Kaspersky Security Center добавляет в категорию приложений все исполняемые файлы, имеющие указанный хеш.

        Использование этого условия исключает возможность автоматической установки обновлений, поскольку файлы различных версий будут иметь различный хеш.

      • Сертификат файла. Kaspersky Security Center добавляет в категорию приложений все исполняемые файлы, подписанные указанным сертификатом.
      • KL-категория. Kaspersky Security Center добавляет в категорию приложений все приложения, входящие в указанную KL-категорию.
      • Папка приложения. Kaspersky Security Center добавляет в категорию приложений все исполняемые файлы из этой папки.

        Использование условия "Папка приложения" небезопасно, поскольку запуск любого приложения из указанной папки будет разрешен. Правила, использующие категории приложений с условием "Папка приложения", рекомендуется применять только к тем пользователям, для которых необходимо разрешить автоматическую установку обновлений.

    • Категория, в которую входят исполняемые файлы из указанной папки. Вы можете указать папку, исполняемые файлы из которой будут автоматически попадать в создаваемую категорию приложений.
    • Категория, в которую входят исполняемые файлы с выбранных устройств. Вы можете указать компьютер, все исполняемые файлы которого будут автоматически попадать в создаваемую категорию приложений.

      При использовании этого способа формирования категорий приложений Kaspersky Security Center получает информацию о приложениях на компьютере из папки Исполняемые файлы.

  2. Выбрать режим списка разрешенных приложений для компонента Контроль приложений.
  3. Создать правила Контроля приложений с использованием созданных категорий приложений.

    Для режима Список разрешенных приложений изначально заданы правила Приложения ОС и Доверенные приложения обновления. Эти правила Контроля приложений соответствуют KL-категориям. В KL-категорию "Приложения ОС" входят приложения, обеспечивающие нормальную работу операционной системы. В KL-категорию "Доверенные приложения обновления" входят приложения обновления наиболее известных производителей программного обеспечения. Вы не можете удалить эти правила. Параметры этих правил недоступны для изменения. По умолчанию правило Приложения ОС включено, а правило Доверенные приложения обновления выключено. Запуск приложений, соответствующих условиям срабатывания этих правил, разрешен всем пользователям.

  4. Определить те приложения, для которых необходимо разрешить автоматическую установку обновлений.

    Вы можете разрешить автоматическую установку обновлений одним из следующих способов:

    • Указать расширенный список разрешенных приложений, разрешив запуск всех приложений, входящих в любую из KL-категорий.
    • Указать расширенный список разрешенных приложений, разрешив запуск всех приложений, подписанных сертификатами.

      Чтобы разрешить запуск всех приложений, подписанных сертификатами, вы можете создать категорию с условием на основе сертификата, в котором используется только параметр Субъект со значением *.

    • Для правила Контроля приложений установить параметр Доверенные приложения обновления. Если этот флажок установлен, то Kaspersky Endpoint Security будет считать приложения, входящие в правило, доверенными приложениями обновления. Kaspersky Endpoint Security разрешает запуск приложений, которые были установлены или обновлены приложениями, входящими в правило. При этом приложения не должны попадать под действие запрещающих правил.

      При миграции параметров Kaspersky Endpoint Security осуществляется также миграция списка исполняемых файлов, созданных доверенными приложениями обновления.

    • Создать папку и поместить в нее исполняемые файлы приложений, для которых вы хотите разрешить автоматическую установку обновлений. Далее создать категорию приложений с условием "Папка приложения" и указать путь к этой папке. Далее создать разрешающее правило и выбрать эту категорию.

      Использование условия "Папка приложения" небезопасно, поскольку запуск любого приложения из указанной папки будет разрешен. Правила, использующие категории приложений с условием "Папка приложения", рекомендуется применять только к тем пользователям, для которых необходимо разрешить автоматическую установку обновлений.

В начало

[Topic 165699]

Тестирование режима списка разрешенных приложений

Чтобы убедиться, что правила Контроля приложений не блокируют приложения, необходимые для работы, рекомендуется после создания правил включить тестирование правил Контроля приложений и проанализировать их работу. При включении тестирования Kaspersky Endpoint Security не будет блокировать приложения, запуск которых запрещен правилами Контроля приложений, но будет отправлять уведомления об их запуске на Сервер администрирования.

При тестировании режима списка разрешенных приложений рекомендуется выполнить следующие действия:

  1. Определить период тестирования (от нескольких дней до двух месяцев).
  2. Включить тестирование правил Контроля приложений.
  3. Проанализировать результаты тестирования, используя события по результатам тестовой работы компонента Контроль приложений и отчеты о запрещенных приложениях в тестовом режиме.
  4. По результатам анализа внести изменения в параметры режима списка разрешенных приложений.

    В частности, по результатам тестирования вы можете добавить в категорию приложений исполняемые файлы, связанные с событиями.

В начало

[Topic 165710]

Поддержка режима списка разрешенных приложений

После выбора блокирующего действия Контроля приложений рекомендуется продолжать поддержку режима списка разрешенных приложений, выполняя следующие действия:

  • Анализировать работу правил Контроля приложений, используя события по результатам работы Контроля приложений и отчеты о запрещенных запусках.
  • Анализировать запросы доступа к приложениям, получаемые от пользователей.
  • Анализировать незнакомые исполняемые файлы, проверяя их репутацию в Kaspersky Security Network.
  • Перед установкой обновлений для операционной системы или для программного обеспечения устанавливать эти обновления на тестовой группе компьютеров, чтобы проверить, как они будут обрабатываться правилами Контроля приложений.
  • Добавлять необходимые приложения в категории, используемые в правилах Контроля приложений.
В начало

[Topic 45659]

Контроль сетевых портов

Во время работы Kaspersky Endpoint Security компоненты Веб-Контроль, Защита от почтовых угроз, Защита от веб-угроз контролируют потоки данных, передаваемые по определенным протоколам и проходящие через определенные открытые TCP- и UDP-порты компьютера пользователя. Например, компонент Защита от почтовых угроз анализирует информацию, передаваемую по SMTP-протоколу, а компонент Защита от веб-угроз анализирует информацию, передаваемую по протоколам HTTP и FTP.

Kaspersky Endpoint Security подразделяет TCP- и UDP-порты компьютера пользователя на несколько групп в соответствии с вероятностью их взлома. Сетевые порты, отведенные для уязвимых служб, рекомендуется контролировать более тщательно, так как эти сетевые порты с большей вероятностью могут являться целью сетевой атаки. Если вы используете нестандартные службы, которым отведены нестандартные сетевые порты, эти сетевые порты также могут являться целью для атакующего компьютера. Вы можете задать список сетевых портов и список приложений, запрашивающих сетевой доступ, на которые компоненты Защита от почтовых угроз и Защита от веб-угроз должны обращать особое внимание во время слежения за сетевым трафиком.

 

В этом разделе

Включение контроля всех сетевых портов

Формирование списка контролируемых сетевых портов

Формирование списка приложений, для которых контролируются все сетевые порты

Экспорт и импорт списков контролируемых портов
В начало

[Topic 133786]

Включение контроля всех сетевых портов

Чтобы включить контроль всех сетевых портов, выполните следующие действия:

  1. В главном окне приложения нажмите на кнопку icon_settings.
  2. В окне параметров приложения выберите раздел Общие настройкиНастройки сети.
  3. В блоке Контролируемые порты выберите вариант Контролировать все сетевые порты.
  4. Сохраните внесенные изменения.
В начало

[Topic 123512]

Формирование списка контролируемых сетевых портов

Чтобы сформировать список контролируемых сетевых портов, выполните следующие действия:

  1. В главном окне приложения нажмите на кнопку icon_settings.
  2. В окне параметров приложения выберите раздел Общие настройкиНастройки сети.
  3. В блоке Контролируемые порты выберите вариант Контролировать только выбранные сетевые порты.
  4. Нажмите на кнопку Выбрать.

    Откроется список сетевых портов, которые обычно используются для передачи электронной почты и сетевого трафика. Этот список сетевых портов включен в поставку Kaspersky Endpoint Security.

  5. Используйте переключатель в графе Статус, чтобы включить или выключить контроль сетевых портов.
  6. Если сетевой порт отсутствует в списке сетевых портов, добавьте его следующим образом:
    1. Нажмите на кнопку Добавить.
    2. В открывшемся окне введите номер сетевого порта и короткое описание.
    3. Установите статус контроля сетевого порта Активно или Неактивно.
  7. Сохраните внесенные изменения.

При работе протокола FTP в пассивном режиме соединение может устанавливаться через случайный сетевой порт, который не добавлен в список контролируемых сетевых портов. Чтобы защищать такие соединения, включите контроль всех сетевых портов или настройте контроль сетевых портов для приложений, с помощью которых устанавливается FTP-соединение.

В начало

[Topic 123454]

Формирование списка приложений, для которых контролируются все сетевые порты

Вы можете сформировать список приложений, для которых Kaspersky Endpoint Security контролирует все сетевые порты.

В список приложений, для которых Kaspersky Endpoint Security контролирует все сетевые порты, рекомендуется включить приложения, которые принимают или передают данные по протоколу FTP.

Чтобы сформировать список приложений, для которых контролируются все сетевые порты, выполните следующие действия:

  1. В главном окне приложения нажмите на кнопку icon_settings.
  2. В окне параметров приложения выберите раздел Общие настройкиНастройки сети.
  3. В блоке Контролируемые порты выберите вариант Контролировать только выбранные сетевые порты.
  4. Установите флажок Контролировать все порты для приложений из списка, рекомендованного "Лабораторией Касперского".

    Если установлен этот флажок, приложение Kaspersky Endpoint Security контролирует все порты для следующих приложений:

    • Adobe Acrobat Reader.
    • Apple Application Support.
    • Google Chrome.
    • Microsoft Edge.
    • Mozilla Firefox.
    • Internet Explorer.
    • Java.
    • mIRC.
    • Opera.
    • Pidgin.
    • Safari.
    • Агент Mail.ru.
    • Яндекс.Браузер.
  5. Установите флажок Контролировать все порты для указанных приложений.
  6. Нажмите на кнопку Выбрать.

    Откроется список приложений, сетевые порты которых контролирует Kaspersky Endpoint Security.

  7. Используйте переключатель в графе Статус, чтобы включить или выключить контроль сетевых портов.
  8. Если приложение отсутствует в списке приложений, добавьте ее следующим образом:
    1. Нажмите на кнопку Добавить.
    2. В открывшемся окне укажите путь к исполняемому файлу приложения и короткое описание.
    3. Установите статус контроля сетевых портов Активно или Неактивно.
  9. Сохраните внесенные изменения.
В начало

[Topic 202192]

Экспорт и импорт списков контролируемых портов

Для контроля сетевых портов Kaspersky Endpoint Security использует следующие списки: список сетевых портов и список приложений, порты которых контролирует Kaspersky Endpoint Security. Вы можете экспортировать списки контролируемых портов в файл в формате XML. Далее вы можете вносить изменения в файл, чтобы, например, добавить большое количество портов с одинаковым описанием. Также вы можете использовать функцию экспорта / импорта для резервного копирования списков контролируемых портов или для миграции списков на другой сервер.

Как экспортировать / импортировать списки контролируемых портов в Консоли администрирования (MMC)

  1. Откройте Консоль администрирования Kaspersky Security Center.
  2. В папке Управляемые устройства дерева Консоли администрирования откройте папку с названием группы администрирования, в состав которой входят нужные клиентские компьютеры.
  3. В рабочей области выберите закладку Политики.
  4. Выберите нужную политику и откройте свойства политики двойным щелчком мыши.
  5. В окне политики выберите Общие настройкиНастройки сети.
  6. В блоке Контролируемые порты выберите вариант Контролировать только выбранные сетевые порты.
  7. Нажмите на кнопку Настройка.

    Откроется окно Сетевые порты. В окне Сетевые порты находится список сетевых портов, которые обычно используются для передачи электронной почты и сетевого трафика. Этот список сетевых портов включен в поставку Kaspersky Endpoint Security.

  8. Для экспорта списка сетевых портов выполните следующие действия:
    1. В списке сетевых портов выберите порты, которые вы хотите экспортировать. Чтобы выбрать несколько записей, используйте клавиши CTRL или SHIFT.

      Если вы не выбрали ни одного порта, Kaspersky Endpoint Security экспортирует все порты.

    2. Нажмите на кнопку Экспортировать.
    3. В открывшемся окне введите имя файла формата XML, в который вы хотите экспортировать список сетевых портов, а также выберите папку, в которой вы хотите сохранить этот файл.
    4. Сохраните файл.

      Kaspersky Endpoint Security экспортирует список сетевых портов в XML-файл.

  9. Для экспорта списка приложений, порты которых контролирует Kaspersky Endpoint Security, выполните следующие действия:
    1. Установите флажок Контролировать все порты для указанных приложений.
    2. В списке приложений выберите приложения, которые вы хотите экспортировать. Чтобы выбрать несколько записей, используйте клавиши CTRL или SHIFT.

      Если вы не выбрали ни одного приложения, Kaspersky Endpoint Security экспортирует все приложения.

    3. Нажмите на кнопку Экспортировать.
    4. В открывшемся окне введите имя файла формата XML, в который вы хотите экспортировать список приложений, а также выберите папку, в которой вы хотите сохранить этот файл.
    5. Сохраните файл.

      Kaspersky Endpoint Security экспортирует список приложений в XML-файл.

  10. Для импорта списка сетевых портов выполните следующие действия:
    1. В списке сетевых портов нажмите на кнопку Импортировать.

      В открывшемся окне выберите XML-файл, из которого вы хотите импортировать список сетевых портов.

    2. Откройте файл.

      Если на компьютере уже есть список сетевых портов, Kaspersky Endpoint Security предложит удалить действующий список или добавить в него новые записи из XML-файла.

  11. Для импорта списка приложений, порты которых контролирует Kaspersky Endpoint Security, выполните следующие действия:
    1. В списке приложений нажмите на кнопку Импортировать.

      В открывшемся окне выберите XML-файл, из которого вы хотите импортировать список приложений.

    2. Откройте файл.

      Если на компьютере уже есть список приложений, Kaspersky Endpoint Security предложит удалить действующий список или добавить в него новые записи из XML-файла.

  12. Сохраните внесенные изменения.

Как экспортировать / импортировать списки контролируемых портов в Web Console и Cloud Console

  1. В главном окне Web Console выберите УстройстваПолитики и профили политик.
  2. Нажмите на название политики Kaspersky Endpoint Security.

    Откроется окно свойств политики.

  3. Выберите закладку Параметры программы.
  4. Перейдите в раздел Общие настройкиНастройки сети.
  5. Для экспорта списка сетевых портов выполните следующие действия:
    1. В блоке Контролируемые порты выберите вариант Контролировать только выбранные сетевые порты.
    2. Перейдите по ссылке Выбрано N портов.

      Откроется окно Сетевые порты. В окне Сетевые порты находится список сетевых портов, которые обычно используются для передачи электронной почты и сетевого трафика. Этот список сетевых портов включен в поставку Kaspersky Endpoint Security.

    3. В списке сетевых портов выберите порты, которые вы хотите экспортировать.
    4. Нажмите на кнопку Экспорт.
    5. В открывшемся окне введите имя файла формата XML, в который вы хотите экспортировать список сетевых портов, а также выберите папку, в которой вы хотите сохранить этот файл.
    6. Сохраните файл.

      Kaspersky Endpoint Security экспортирует список сетевых портов в XML-файл.

  6. Для экспорта списка приложений, порты которых контролирует Kaspersky Endpoint Security, выполните следующие действия:
    1. В блоке Контролируемые порты установите флажок Контролировать все порты для указанных программ.
    2. Перейдите по ссылке Выбрано N программ.
    3. В списке приложений выберите приложения, которые вы хотите экспортировать.
    4. Нажмите на кнопку Экспорт.
    5. В открывшемся окне введите имя файла формата XML, в который вы хотите экспортировать список приложений, а также выберите папку, в которой вы хотите сохранить этот файл.
    6. Сохраните файл.

      Kaspersky Endpoint Security экспортирует список приложений в XML-файл.

  7. Для импорта списка сетевых портов выполните следующие действия:
    1. В списке сетевых портов нажмите на кнопку Импорт.

      В открывшемся окне выберите XML-файл, из которого вы хотите импортировать список сетевых портов.

    2. Откройте файл.

      Если на компьютере уже есть список сетевых портов, Kaspersky Endpoint Security предложит удалить действующий список или добавить в него новые записи из XML-файла.

  8. Для импорта списка приложений, порты которых контролирует Kaspersky Endpoint Security, выполните следующие действия:
    1. В списке приложений нажмите на кнопку Импорт.

      В открывшемся окне выберите XML-файл, из которого вы хотите импортировать список приложений.

    2. Откройте файл.

      Если на компьютере уже есть список приложений, Kaspersky Endpoint Security предложит удалить действующий список или добавить в него новые записи из XML-файла.

  9. Сохраните внесенные изменения.
В начало

[Topic 41045]

Защита паролем

Компьютер могут использовать несколько пользователей с разным уровнем компьютерной грамотности. Неограниченный доступ пользователей к Kaspersky Endpoint Security и его параметрам может привести к снижению уровня безопасности компьютера в целом. Защита паролем позволяет ограничить доступ пользователей к Kaspersky Endpoint Security в соответствии с предоставленными разрешениями (например, разрешение на завершение работы приложения).

Если пользователь, который запустил сессию Windows, (сессионный пользователь) имеет разрешение на выполнение действия, Kaspersky Endpoint Security не запрашивает имя пользователя и пароль или временный пароль. Пользователь получает доступ к Kaspersky Endpoint Security в соответствии с предоставленными разрешениями.

Если у сессионного пользователя отсутствует разрешение на выполнение действия, пользователь может получить доступ к приложению следующими способами:

  • Ввод имени пользователя и пароля.

    Этот способ удобен для повседневной работы. Для выполнения действия, защищенного паролем, требуется ввести данные доменной учетной записи пользователя с необходимым разрешением. При этом компьютер должен быть в домене. Если компьютер не в домене, вы можете использовать учетную запись KLAdmin.

  • Ввод временного пароля.

    Этот способ удобен, если пользователь находится вне корпоративной сети и необходимо предоставить ему временное разрешение на выполнение запрещенного действия (например, завершить работу приложения). По истечении срока действия временного пароля или истечении сессии приложение возвращает параметры Kaspersky Endpoint Security в прежнее состояние.

При попытке пользователя выполнить действие, защищенное паролем, Kaspersky Endpoint Security предложит пользователю ввести имя пользователя и пароль или временный пароль (см. рис. ниже).

В окне ввода пароля язык ввода можно поменять только с помощью одновременного нажатия клавиш ALT+SHIFT. При использовании других комбинаций клавиш, даже если они установлены в операционной системе, смена языка ввода не происходит.

Запрос пароля для доступа к Kaspersky Endpoint Security

Имя пользователя и пароль

Для доступа к Kaspersky Endpoint Security необходимо ввести данные доменной учетной записи. Защита паролем поддерживает работу со следующими учетными записями:

  • KLAdmin. Учетная запись администратора без ограничений доступа к Kaspersky Endpoint Security. Учетная запись KLAdmin имеет право на выполнение любого действия, защищенного паролем. Отменить разрешение для учетной записи KLAdmin невозможно. Kaspersky Endpoint Security требует задать пароль для учетной записи KLAdmin во время включения Защиты паролем.
  • Группа "Все". Стандартная группа Windows, которая включает в себя всех пользователей внутри корпоративной сети. Пользователи из группы "Все" могут получить доступ к приложению в соответствии с предоставленными разрешениями.
  • Отдельные пользователи или группы. Учетные записи пользователей, для которых вы можете настроить отдельные разрешения. Например, если для группы "Все" выполнение действия запрещено, то вы можете разрешить выполнение действия для отдельного пользователя или группы.
  • Сессионный пользователь. Учетная запись пользователя, который запустил сессию Windows. Вы можете сменить сессионного пользователя во время ввода пароля (флажок Запомнить пароль на текущую сессию). В этом случае Kaspersky Endpoint Security назначает сессионным пользователем, учетные данные которого вы ввели, вместо пользователя, который запустил сессию Windows.

Временный пароль

Временный пароль позволяет предоставить временный доступ к Kaspersky Endpoint Security для отдельного компьютера вне корпоративной сети. Администратор создает временный пароль для отдельного компьютера в Kaspersky Security Center в свойствах компьютера пользователя. Администратор выбирает действия, на которые будет распространяться временный пароль, и срок действия временного пароля.

Алгоритм работы Защиты паролем

Kaspersky Endpoint Security принимает решение о выполнении действия, защищенного паролем, по следующему алгоритму (см. рис. ниже).

Алгоритм работы Защиты паролем

В этом разделе

Включение Защиты паролем

Предоставление разрешений для отдельных пользователей или групп

Использование временного пароля для предоставления разрешений

Особенности разрешений Защиты паролем

Сброс пароля KLAdmin
В начало

[Topic 123303]

Включение Защиты паролем

Защита паролем позволяет ограничить доступ пользователей к Kaspersky Endpoint Security в соответствии с предоставленными разрешениями (например, разрешение на завершение работы приложения).

Чтобы включить Защиту паролем, выполните следующие действия:

  1. В главном окне приложения нажмите на кнопку icon_settings.
  2. В окне параметров приложения выберите раздел Общие настройкиИнтерфейс.
  3. Используйте переключатель Защита паролем, чтобы включить или выключить компонент.
  4. Задайте пароль для учетной записи KLAdmin и подтвердите его.

    Учетная запись KLAdmin имеет право на выполнение любого действия, защищенного паролем.

    Если компьютер работает под управлением политики, администратор может сбросить пароль для учетной записи KLAdmin в свойствах политики. Если компьютер не подключен к Kaspersky Security Center и вы забыли пароль для учетной записи KLAdmin, восстановить пароль невозможно.

  5. Настройте разрешения для всех пользователей внутри корпоративной сети:
    1. В таблице учетных записей откройте список разрешений для группы "Все" по кнопке Изменить.

      Группа "Все" – стандартная группа Windows, которая включает в себя всех пользователей внутри корпоративной сети.

    2. Установите флажки напротив тех действий, которые будут доступны пользователям без ввода пароля.

      Если флажок снят, пользователям запрещено выполнять это действие. Например, если флажок напротив разрешения Завершение работы приложения снят, вы можете завершить работу приложения только с помощью учетной записи KLAdmin, отдельной учетной записи с нужным разрешением или с помощью временного пароля.

      Разрешения Защиты паролем имеют ряд особенностей. Убедитесь, что для доступа к Kaspersky Endpoint Security выполнены все условия.

  6. Сохраните внесенные изменения.

После включения Защиты паролем приложение ограничит доступ пользователей к Kaspersky Endpoint Security в соответствии в разрешениями для группы "Все". Вы можете выполнить запрещенные для группы "Все" действия только с помощью учетной записи KLAdmin, отдельной учетной записи с нужными разрешениями или с помощью временного пароля.

Вы можете выключить Защиту паролем только с помощью учетной записи KLAdmin. Выключить защиту паролем с помощью другой учетной записи или с помощью временного пароля невозможно.

Во время проверки пароля вы можете установить флажок Запомнить пароль на текущую сессию. В этом случае Kaspersky Endpoint Security не будет требовать ввода пароля при попытке пользователя выполнить другое разрешенное действие, защищенное паролем, в течение сессии.

В начало

[Topic 177503]

Предоставление разрешений для отдельных пользователей или групп

Вы можете предоставить доступ к Kaspersky Endpoint Security для отдельных пользователей или групп. Например, если группе "Все" запрещено завершать работу приложения, вы можете предоставить отдельному пользователю разрешение Завершение работы приложения. В результате вы можете завершить работу приложения только с помощью учетной записи этого пользователя или учетной записи KLAdmin.

Вы можете использовать данные учетной записи для доступа к приложению, только если компьютер в домене. Если компьютер не в домене, вы можете использовать учетную запись KLAdmin или временный пароль.

Чтобы предоставить разрешение для отдельных пользователей или групп, выполните следующие действия:

  1. В главном окне приложения нажмите на кнопку icon_settings.
  2. В окне параметров приложения выберите раздел Общие настройкиИнтерфейс.
  3. В таблице учетных записей нажмите на кнопку Добавить.
  4. В открывшемся окне нажмите на кнопку Выбрать пользователя или группу.

    Откроется стандартное окно Windows для выбора пользователей или групп.

  5. Выберите пользователя или группу в Active Directory и подтвердите свой выбор.
  6. В списке Разрешения установите флажки напротив тех действий, которые будут доступны добавленному пользователю или группе без ввода пароля.

    Если флажок снят, пользователям запрещено выполнять это действие. Например, если флажок напротив разрешения Завершение работы приложения снят, вы можете завершить работу приложения только с помощью учетной записи KLAdmin, отдельной учетной записи с нужным разрешением или с помощью временного пароля.

    Разрешения Защиты паролем имеют ряд особенностей. Убедитесь, что для доступа к Kaspersky Endpoint Security выполнены все условия.

  7. Сохраните внесенные изменения.

В результате, если для группы "Все" доступ к приложению ограничен, пользователи получат доступ к Kaspersky Endpoint Security в соответствии с разрешениями для этих пользователей.

В начало

[Topic 131217]

Использование временного пароля для предоставления разрешений

Временный пароль позволяет предоставить временный доступ к Kaspersky Endpoint Security для отдельного компьютера вне корпоративной сети. Это нужно, чтобы разрешить выполнение запрещенного действия без передачи пользователю учетных данных KLAdmin. Для использования временного пароля компьютер должен быть добавлен в Kaspersky Security Center.

Как предоставить пользователю разрешение на выполнение запрещенного действия с помощью временного пароля через Консоль администрирования (MMC)

  1. Откройте Консоль администрирования Kaspersky Security Center.
  2. В папке Управляемые устройства дерева Консоли администрирования откройте папку с названием группы администрирования, в состав которой входят нужные клиентские компьютеры.
  3. В рабочей области выберите закладку Устройства.
  4. Откройте свойства компьютера двойным щелчком мыши.
  5. В окне свойств компьютера выберите раздел Программы.
  6. В списке установленных на компьютере приложений "Лаборатории Касперского" выберите Kaspersky Endpoint Security для Windows и откройте свойства приложения двойным щелчком мыши.

    В окне параметров приложения выберите раздел Общие настройкиИнтерфейс.

  7. В блоке Защита паролем нажмите на кнопку Настройка.
  8. В открывшемся окне в блоке Временный пароль нажмите на кнопку Настройка.
  9. Откроется окно Создание временного пароля.
  10. В поле Дата истечения установите срок действия временного пароля.
  11. В таблице Область действия временного пароля установите флажки напротив тех действий, которые будут доступны пользователю после ввода временного пароля.
  12. Нажмите на кнопку Создать.

    Откроется окно с временным паролем (см. рис. ниже).

  13. Скопируйте и передайте пользователю пароль.

Как предоставить пользователю разрешение на выполнение запрещенного действия с помощью временного пароля через Web Console и Cloud Console

  1. В главном окне Web Console выберите УстройстваУправляемые устройства.
  2. Нажмите на имя компьютера, на котором вы хотите предоставить пользователю разрешение на выполнение запрещенного действия.
  3. Выберите закладку Программы.
  4. Нажмите на Kaspersky Endpoint Security для Windows.

    Откроются локальные параметры приложения.

  5. Выберите закладку Параметры программы.
  6. В окне параметров приложения выберите раздел Общие настройкиИнтерфейс.
  7. В блоке Защита паролем нажмите на кнопку Временный пароль.
  8. В поле Дата истечения установите срок действия временного пароля.
  9. В таблице Область действия временного пароля установите флажки напротив тех действий, которые будут доступны пользователю после ввода временного пароля.
  10. Нажмите на кнопку Создать.

    Откроется окно с временным паролем.

  11. Скопируйте и передайте пользователю пароль.

Временный пароль

В начало

[Topic 177506]

Особенности разрешений Защиты паролем

Разрешения Защиты паролем имеют ряд особенностей и ограничений.

Параметры приложения

Если компьютер пользователя работает под управлением политики, убедитесь, что нужные параметры в политике доступны для изменения (атрибуты открыты).

Завершение работы приложения

Особенностей и ограничений нет.

Выключение компонентов защиты

  • Предоставить разрешение на выключение компонентов защиты для группы "Все" невозможно. Чтобы разрешить выключение компонентов защиты не только пользователю KLAdmin, но и другим пользователям, добавьте пользователя или группу с разрешением Выключение компонентов защиты в параметрах Защиты паролем.
  • Если компьютер пользователя работает под управлением политики, убедитесь, что нужные параметры в политике доступны для изменения (атрибуты открыты).
  • Для выключения компонентов защиты в параметрах приложения пользователь должен иметь разрешение Настройка приложения.
  • Для выключения компонентов защиты из контекстного меню (пункт Приостановить защиту) пользователь, кроме разрешения Выключение компонентов защиты, должен иметь разрешение Выключение компонентов контроля.

Выключение компонентов контроля

  • Предоставить разрешение на выключение компонентов контроля для группы "Все" невозможно. Чтобы разрешить выключение компонентов защиты не только пользователю KLAdmin, но и другим пользователям, добавьте пользователя или группу с разрешением Выключение компонентов контроля в параметрах Защиты паролем.
  • Если компьютер пользователя работает под управлением политики, убедитесь, что нужные параметры в политике доступны для изменения (атрибуты открыты).
  • Для выключения компонентов контроля в параметрах приложения пользователь должен иметь разрешение Настройка приложения.
  • Для выключения компонентов контроля из контекстного меню (пункт Приостановить защиту) пользователь, кроме разрешения Выключение компонентов контроля, должен обладать разрешением Выключение компонентов защиты.

Выключение политики Kaspersky Security Center

Предоставить разрешение на выключение политики Kaspersky Security Center для группы "Все" невозможно. Чтобы разрешить выключение политики не только пользователю KLAdmin, но и другим пользователям, добавьте пользователя или группу с разрешением Выключение политики Kaspersky Security Center в параметрах Защиты паролем.

Удаление ключа

Особенностей и ограничений нет.

Удаление / изменение / восстановление приложения

Если вы предоставили разрешение на удаление, изменение и восстановление приложения для группы "Все", Kaspersky Endpoint Security не будет требовать ввода пароля при попытке пользователя выполнить эти операции. Таким образом, любой пользователь, включая пользователей вне домена, может установить, изменить или восстановить приложение.

Восстановление доступа к данным на зашифрованных устройствах

Вы можете восстановить доступ к данным на зашифрованных устройствах только с помощью учетной записи KLAdmin. Разрешить это действие другому пользователю невозможно.

Просмотр отчетов

Особенностей и ограничений нет.

Восстановление из резервного хранилища

Особенностей и ограничений нет.

В начало

[Topic 230152]

Сброс пароля KLAdmin

Если вы забыли пароль для учетной записи KLAdmin, вы можете сбросить пароль в свойствах политики. Сбросить пароль в интерфейсе приложения невозможно.

Вы можете выполнять действия, защищенные паролем, с помощью временного пароля. В этом случае вводить данные учетной записи KLAdmin не нужно.

Если компьютер не подключен к Kaspersky Security Center и вы забыли пароль для учетной записи KLAdmin, восстановить пароль невозможно.

Как сбросить пароль для учетной записи KLAdmin в Консоли администрирования (MMC)

  1. Откройте Консоль администрирования Kaspersky Security Center.
  2. В папке Управляемые устройства дерева Консоли администрирования откройте папку с названием группы администрирования, в состав которой входят нужные клиентские компьютеры.
  3. В рабочей области выберите закладку Политики.
  4. Выберите нужную политику и откройте свойства политики двойным щелчком мыши.
  5. В окне политики выберите Общие настройкиИнтерфейс.
  6. В блоке Защита паролем нажмите на кнопку Настройка.
  7. В открывшемся окне снимите флажок Защита паролем.
  8. Сохраните внесенные изменения.
  9. Повторно установите флажок Защита паролем.
  10. Нажмите на кнопку ОК.

    Откроется окно для ввода пароля администратора.

  11. Задайте новый пароль для учетной записи KLAdmin и подтвердите его.
  12. Сохраните внесенные изменения.

Как сбросить пароль для учетной записи KLAdmin в Web Console и Cloud Console

  1. В главном окне Web Console выберите УстройстваУправляемые устройства.
  2. Нажмите на имя компьютера, на котором вы хотите настроить локальные параметры приложения.

    Откроются свойства компьютера.

  3. Выберите закладку Программы.
  4. Нажмите на Kaspersky Endpoint Security для Windows.

    Откроются локальные параметры приложения.

  5. Выберите закладку Параметры программы.
  6. Перейдите в раздел Общие настройкиИнтерфейс.
  7. В блоке Защита паролем выключите переключатель Защита паролем.
  8. Сохраните внесенные изменения.
  9. Повторно включите переключатель Защита паролем.
  10. Задайте новый пароль для учетной записи KLAdmin и подтвердите его.
  11. Сохраните внесенные изменения.

В результате пароль для учетной записи KLAdmin будет обновлен после применения политики.

В начало

[Topic 128135]

Доверенная зона

Доверенная зона – это сформированный администратором системы список объектов и приложений, которые Kaspersky Endpoint Security не контролирует в процессе работы.

Доверенную зону администратор системы формирует самостоятельно в зависимости от особенностей объектов, с которыми требуется работать, а также от приложений, установленных на компьютере. Включение объектов и приложений в доверенную зону может потребоваться, например, если Kaspersky Endpoint Security блокирует доступ к какому-либо объекту или приложению, в то время как вы уверены, что этот объект или приложение безвредны. Также администратор может разрешить пользователю формировать собственную локальную доверенную зону для отдельного компьютера. Таким образом, кроме общей доверенной зоны, сформированной в политике, пользователь может создавать собственные локальные списки исключений и доверенных приложений.

В этом разделе

Создание исключения из проверки

Запуск и остановка работы исключения из проверки

Выбор типов обнаруживаемых объектов

Формирование списка доверенных приложений

Включение и выключение действия правил доверенной зоны на приложение из списка доверенных приложений

Использование доверенного системного хранилища сертификатов
В начало

[Topic 128138]

Создание исключения из проверки

Исключение из проверки – это совокупность условий, при выполнении которых Kaspersky Endpoint Security не проверяет объект на вирусы и другие приложения, представляющие угрозу.

Исключения из проверки позволяют работать с легальными приложениями, которые могут быть использованы злоумышленниками для нанесения вреда компьютеру или данным пользователя. Такие приложения сами по себе не имеют вредоносных функций, но эти приложения могут быть использованы злоумышленниками. Подробную информацию о легальных приложениях, которые могут быть использованы злоумышленниками для нанесения вреда компьютеру или данным пользователя, вы можете получить на сайте Вирусной энциклопедии "Лаборатории Касперского".

В результате работы Kaspersky Endpoint Security такие приложения могут быть заблокированы. Чтобы избежать блокирования, для используемых приложений вы можете настроить исключения из проверки. Для этого нужно добавить в доверенную зону название или маску названия по классификации Вирусной энциклопедии "Лаборатории Касперского". Например, вы часто используете в своей работе приложение Radmin, предназначенное для удаленного управления компьютерами. Такая активность приложения рассматривается Kaspersky Endpoint Security как подозрительная и может быть заблокирована. Чтобы исключить блокировку приложения, нужно сформировать исключение из проверки, где указать название или маску названия по классификации Вирусной энциклопедии "Лаборатории Касперского".

Если у вас на компьютере установлено приложение, выполняющее сбор и отправку информации на обработку, приложение Kaspersky Endpoint Security может классифицировать такое приложение как вредоносное. Чтобы избежать этого, вы можете исключить приложение из проверки, настроив приложение Kaspersky Endpoint Security способом, описанным в этом документе.

Исключения из проверки могут использоваться в ходе работы следующих компонентов и задач приложения, заданных администратором системы:

Kaspersky Endpoint Security не проверяет объект, если при запуске одной из задач проверки в область проверки включен диск, на котором находится объект, или папка, в которой находится объект. Однако при запуске задачи выборочной проверки именно для этого объекта исключение из проверки не применяется.

Как создать исключение из проверки в Консоли администрирования (MMC)

  1. Откройте Консоль администрирования Kaspersky Security Center.
  2. В папке Управляемые устройства дерева Консоли администрирования откройте папку с названием группы администрирования, в состав которой входят нужные клиентские компьютеры.
  3. В рабочей области выберите закладку Политики.
  4. Выберите нужную политику и откройте свойства политики двойным щелчком мыши.
  5. В окне политики выберите Общие настройкиИсключения.
  6. В блоке Исключения из проверки и доверенные приложения нажмите на кнопку Настройка.
  7. В открывшемся окне выберите закладку Исключения из проверки.

    Откроется окно со списком исключений.

  8. Установите флажок Объединять значения при наследовании, если вы хотите создать общий список исключений для всех компьютеров организации. Списки исключений родительских и дочерних политик будут объединены. Для объединения списков должно быть включено наследование параметров родительской политики. Исключения родительской политики отображаются в дочерних политиках и доступны только для просмотра. Изменение или удаление исключений родительской политики невозможно.
  9. Установите флажок Разрешить использование локальных доверенных программ, если вы хотите чтобы у пользователя была возможность создать локальный список исключений. Таким образом, кроме общего списка исключений, сформированного в политике, пользователь может создавать собственный локальный список исключений. Администратор с помощью Kaspersky Security Center может просматривать, добавлять, изменять или удалять элементы списка в свойствах компьютера.

    Если флажок снят, пользователю доступен только общий список исключений, сформированный в политике.

  10. Нажмите на кнопку Добавить.
  11. Если вы хотите исключить из проверки файл или папку, выполните следующие действия:
    1. В блоке Свойства установите флажок Файл или папка.
    2. По ссылке выберите файл или папку, расположенной в блоке Описание исключения из проверки (нажмите на подчеркнутые элементы для их изменения), откройте окно Имя файла или папки.
    3. Введите имя файла или папки, маску имени файла или папки или выберите файл или папку в дереве папок, нажав на кнопку Обзор.

      Используйте маски:

      • Символ *, который заменяет любой набор символов, в том числе пустой, кроме символов \ и / (разделители имен файлов и папок в путях к файлам и папкам). Например, маска C:\*\*.txt будет включать все пути к файлам с расширением txt, расположенным в папках на диске (C:), но не в подпапках.
      • Два введенных подряд символа * заменяют любой набор символов, в том числе пустой, в имени файла или папки, включая символы \ и / (разделители имен файлов и папок в путях к файлам и папкам). Например, маска C:\Folder\**\*.txt будет включать все пути к файлам с расширением txt в папках, вложенных в папку Folder, кроме самой папки Folder. Маска должна включать хотя бы один уровень вложенности. Маска C:\**\*.txt не работает.
      • Символ ?, который заменяет любой один символ, кроме символов \ и / (разделители имен файлов и папок в путях к файлам и папкам). Например, маска C:\Folder\???.txt будет включать пути ко всем расположенным в папке Folder файлам с расширением txt и именем, состоящим из трех символов.
    4. Сохраните внесенные изменения.
  12. Если вы хотите исключить из проверки объекты с определенным названием, выполните следующие действия:
    1. В блоке Свойства установите флажок Название объекта.
    2. По ссылке введите название объекта, расположенной в блоке Описание исключения из проверки (нажмите на подчеркнутые элементы для их изменения), откройте окно Название объекта.
    3. Введите название типа объекта по классификации Энциклопедии "Касперского" (например, Email-Worm, Rootkit или RemoteAdmin).

      Вы можете использовать маски с символами ? (заменяет любой символ) и * (заменяет любые несколько символов). Например, если указана маска Client*, Kaspersky Endpoint Security исключает из проверки объекты типов Client-IRC, Client-P2P и Client-SMTP.

    4. Сохраните внесенные изменения.
  13. Если вы хотите исключить из проверки отдельный файл, выполните следующие действия:
    1. В блоке Свойства установите флажок Хеш объекта.
    2. По ссылке введите хеш объекта откройте окно Хеш объекта.
    3. Введите хеш файла или выберите файл, нажав на кнопку Обзор.

      Если файл изменится, хеш файла тоже будет изменен. В результате измененный файл не будет добавлен в исключения.

    4. Сохраните внесенные изменения.
  14. Если необходимо, в поле Комментарий введите краткий комментарий к создаваемому исключению из проверки.
  15. Определите компоненты Kaspersky Endpoint Security, в работе которых должно быть использовано исключение из проверки:
    1. По ссылке любые, расположенной в блоке Описание исключения из проверки (нажмите на подчеркнутые элементы для их изменения), активируйте ссылку выберите компоненты.
    2. По ссылке выберите компоненты откройте окно Компоненты защиты.
    3. Установите флажки напротив тех компонентов, на работу которых должно распространяться исключение из проверки.
    4. Сохраните внесенные изменения.

    Если компоненты указаны в параметрах исключения из проверки, то исключение применяется при проверке только этими компонентами Kaspersky Endpoint Security.

    Если компоненты не указаны в параметрах исключения из проверки, то исключение применяется при проверке всеми компонентами Kaspersky Endpoint Security.

  16. Вы можете в любое время остановить работу исключения с помощью флажка.
  17. Сохраните внесенные изменения.

Как создать исключение из проверки в Web Console и Cloud Console

  1. В главном окне Web Console выберите УстройстваПолитики и профили политик.
  2. Нажмите на название политики Kaspersky Endpoint Security.

    Откроется окно свойств политики.

  3. Выберите закладку Параметры программы.
  4. Перейдите в раздел Общие настройкиИсключения.
  5. В блоке Исключения из проверки и доверенные программы перейдите по ссылке Исключения из проверки.
  6. Установите флажок Объединять значения при наследовании, если вы хотите создать общий список исключений для всех компьютеров организации. Списки исключений родительских и дочерних политик будут объединены. Для объединения списков должно быть включено наследование параметров родительской политики. Исключения родительской политики отображаются в дочерних политиках и доступны только для просмотра. Изменение или удаление исключений родительской политики невозможно.
  7. Установите флажок Разрешить использование локальных доверенных программ, если вы хотите чтобы у пользователя была возможность создать локальный список исключений. Таким образом, кроме общего списка исключений, сформированного в политике, пользователь может создавать собственный локальный список исключений. Администратор с помощью Kaspersky Security Center может просматривать, добавлять, изменять или удалять элементы списка в свойствах компьютера.

    Если флажок снят, пользователю доступен только общий список исключений, сформированный в политике.

  8. Нажмите на кнопку Добавить.
  9. Выберите способ добавления исключения: Файл или папка, Название объекта или Хеш объекта.
  10. Если вы хотите исключить из проверки файл или папку, выберите файл или папку, нажав на кнопку Обзор.

    Также вы можете ввести путь вручную. Kaspersky Endpoint Security поддерживает символы * и ? для ввода маски:

    • Символ *, который заменяет любой набор символов, в том числе пустой, кроме символов \ и / (разделители имен файлов и папок в путях к файлам и папкам). Например, маска C:\*\*.txt будет включать все пути к файлам с расширением txt, расположенным в папках на диске (C:), но не в подпапках.
    • Два введенных подряд символа * заменяют любой набор символов, в том числе пустой, в имени файла или папки, включая символы \ и / (разделители имен файлов и папок в путях к файлам и папкам). Например, маска C:\Folder\**\*.txt будет включать все пути к файлам с расширением txt в папках, вложенных в папку Folder, кроме самой папки Folder. Маска должна включать хотя бы один уровень вложенности. Маска C:\**\*.txt не работает.
    • Символ ?, который заменяет любой один символ, кроме символов \ и / (разделители имен файлов и папок в путях к файлам и папкам). Например, маска C:\Folder\???.txt будет включать пути ко всем расположенным в папке Folder файлам с расширением txt и именем, состоящим из трех символов.
  11. Если вы хотите исключить из проверки тип объектов, в поле Объект введите название типа объекта по классификации Энциклопедии "Касперского" (например, Email-Worm, Rootkit или RemoteAdmin).

    Вы можете использовать маски с символами ? (заменяет любой символ) и * (заменяет любые несколько символов). Например, если указана маска Client*, Kaspersky Endpoint Security исключает из проверки объекты типов Client-IRC, Client-P2P и Client-SMTP.

  12. Если вы хотите исключить из проверки отдельный файл, в поле Хеш файла введите хеш файла.

    Если файл изменится, хеш файла тоже будет изменен. В результате измененный файл не будет добавлен в исключения.

  13. В блоке Компоненты защиты выберите компоненты, на работу которых должно распространяться исключение из проверки.
  14. Если необходимо, в поле Комментарий введите краткий комментарий к создаваемому исключению из проверки.
  15. Вы можете в любое время остановить работу исключения с помощью переключателя.
  16. Сохраните внесенные изменения.

Как создать исключение из проверки в интерфейсе приложения

  1. В главном окне приложения нажмите на кнопку icon_settings.
  2. В окне параметров приложения выберите раздел Общие настройкиУгрозы и исключения.
  3. В блоке Исключения перейдите по ссылке Настроить исключения.
  4. Нажмите на кнопку Добавить.
  5. Если вы хотите исключить из проверки файл или папку, выберите файл или папку, нажав на кнопку Обзор.

    Также вы можете ввести путь вручную. Kaspersky Endpoint Security поддерживает символы * и ? для ввода маски:

    • Символ *, который заменяет любой набор символов, в том числе пустой, кроме символов \ и / (разделители имен файлов и папок в путях к файлам и папкам). Например, маска C:\*\*.txt будет включать все пути к файлам с расширением txt, расположенным в папках на диске (C:), но не в подпапках.
    • Два введенных подряд символа * заменяют любой набор символов, в том числе пустой, в имени файла или папки, включая символы \ и / (разделители имен файлов и папок в путях к файлам и папкам). Например, маска C:\Folder\**\*.txt будет включать все пути к файлам с расширением txt в папках, вложенных в папку Folder, кроме самой папки Folder. Маска должна включать хотя бы один уровень вложенности. Маска C:\**\*.txt не работает.
    • Символ ?, который заменяет любой один символ, кроме символов \ и / (разделители имен файлов и папок в путях к файлам и папкам). Например, маска C:\Folder\???.txt будет включать пути ко всем расположенным в папке Folder файлам с расширением txt и именем, состоящим из трех символов.
  6. Если вы хотите исключить из проверки тип объектов, в поле Объект введите название типа объекта по классификации Энциклопедии "Касперского" (например, Email-Worm, Rootkit или RemoteAdmin).

    Вы можете использовать маски с символами ? (заменяет любой символ) и * (заменяет любые несколько символов). Например, если указана маска Client*, Kaspersky Endpoint Security исключает из проверки объекты типов Client-IRC, Client-P2P и Client-SMTP.

  7. Если вы хотите исключить из проверки отдельный файл, в поле Хеш файла введите хеш файла.

    Если файл изменится, хеш файла тоже будет изменен. В результате измененный файл не будет добавлен в исключения.

  8. В блоке Компоненты защиты выберите компоненты, на работу которых должно распространяться исключение из проверки.
  9. Если необходимо, в поле Комментарий введите краткий комментарий к создаваемому исключению из проверки.
  10. Установите статус для исключения Активно.

    Вы можете в любое время остановить работу исключения с помощью переключателя.

  11. Сохраните внесенные изменения.

Примеры масок пути:

Пути к файлам, расположенным в любой из папок:

  • Маска *.exe будет включать все пути к файлам с расширением exe.
  • Маска example* будет включать все пути к файлам с именем EXAMPLE.

Пути к файлам, расположенным в указанной папке:

  • маска C:\dir\*.* будет включать все пути к файлам в папке C:\dir\, но не в подпапках папки C:\dir\;
  • маска C:\dir\* будет включать все пути к файлам в папке C:\dir\, включая подпапки;
  • маска C:\dir\ будет включать все пути к файлам в папке C:\dir\, включая подпапки;
  • маска C:\dir\*.exe будет включать все пути к файлам с расширением exe в папке C:\dir\, но не в подпапках папки C:\dir\;
  • маска C:\dir\test будет включать все пути к файлам с именем test в папке C:\dir\, но не в подпапках папки C:\dir\;
  • маска C:\dir\*\test будет включать все пути к файлам с именем test в папке C:\dir\ и в подпапках папки C:\dir\.

Пути к файлам, расположенным во всех папках с указанным именем:

  • маска dir\*.* будет включать все пути к файлам в папках с именем dir, но не в подпапках этих папок;
  • маска dir\* будет включать все пути к файлам в папках с именем dir, но не в подпапках этих папок;
  • маска dir\ будет включать все пути к файлам в папках с именем dir, но не в подпапках этих папок;
  • маска dir\*.exe будет включать все пути к файлам с расширением exe в папках с именем dir, но не в подпапках этих папок;
  • маска dir\test будет включать все пути к файлам с именем test в папках с именем dir, но не в подпапках этих папок.

В начало

[Topic 128141]

Запуск и остановка работы исключения из проверки

Чтобы запустить или остановить работу исключения из проверки, выполните следующие действия:

  1. В главном окне приложения нажмите на кнопку icon_settings.
  2. В окне параметров приложения выберите раздел Общие настройкиУгрозы и исключения.
  3. В блоке Исключения перейдите по ссылке Настроить исключения.
  4. В списке исключений из проверки выберите нужное исключение.
  5. Используйте переключатель рядом с объектом, чтобы включить или исключить объект из проверки.
  6. Сохраните внесенные изменения.
В начало

[Topic 128145]

Выбор типов обнаруживаемых объектов

Чтобы выбрать типы обнаруживаемых объектов, выполните следующие действия:

  1. В главном окне приложения нажмите на кнопку icon_settings.
  2. В окне параметров приложения выберите раздел Общие настройкиУгрозы и исключения.
  3. В блоке Типы обнаруживаемых объектов установите флажки для типов объектов, которые должен обнаруживать Kaspersky Endpoint Security:
    • Вирусы и черви;

      Подкатегория: вирусы и черви (Viruses_and_Worms)

      Степень угрозы: высокая

      Классические вирусы и черви выполняют на компьютере действия, не разрешенные пользователем. Они могут создавать свои копии, которые обладают способностью дальнейшего самовоспроизведения.

      Классический вирус

      Попав в систему, классический вирус заражает какой-либо файл, активизируется в нем, выполняет свое вредоносное действие, а затем добавляет свои копии в другие файлы.

      Классический вирус размножается только на локальных ресурсах компьютера и не может самостоятельно проникать на другие компьютеры. Он может попасть на другой компьютер только в том случае, если добавит свою копию в файл, который хранится в папке общего доступа или на установленном компакт-диске, или если пользователь сам перешлет сообщение электронной почты с вложенным в него зараженным файлом.

      Код классического вируса может внедряться в различные области компьютера, операционной системы или приложения. В зависимости от среды обитания вирусы подразделяют на файловые, загрузочные, скриптовые и макро-вирусы.

      Вирусы могут заражать файлы различными способами. Перезаписывающие (Overwriting) вирусы записывают свой код вместо кода заражаемого файла, уничтожая его содержимое. Зараженный файл перестает работать, и его нельзя восстановить. Паразитические (Parasitic) вирусы изменяют файлы, оставляя их полностью или частично работоспособными. Вирусы-компаньоны (Companion) не изменяют файлы, но создают их двойники. При открытии зараженного файла запускается его двойник, то есть вирус. Среди вирусов встречаются также вирусы-ссылки (Link), вирусы, заражающие объектные модули (OBJ), вирусы, заражающие библиотеки компиляторов (LIB), вирусы, заражающие исходные тексты программ, и другие.

      Червь

      Код червя, как и код классического вируса, попав в систему, активизируется и выполняет свое вредоносное действие. Свое название червь получил благодаря способности "переползать" с компьютера на компьютер – без разрешения пользователя распространять свои копии через различные информационные каналы.

      Основной признак, по которому черви различаются между собой, – способ их распространения. Описание типов червей по способу распространения приводится в следующей таблице.

      Способы распространения червей

       

      Тип

      Название

      Описание

      Email-Worm

      Почтовые черви

      Распространяются через электронную почту.

      Зараженное сообщение электронной почты содержит прикрепленный файл с копией червя или ссылку на такой файл на веб-сайте, например, взломанном или специально созданном. Когда вы запускаете прикрепленный файл, червь активизируется; когда вы щелкаете на ссылке, загружаете, а затем открываете файл, червь также начинает выполнять свое вредоносное действие. После этого он продолжает распространять свои копии, разыскивая другие адреса электронной почты и отправляя по ним зараженные сообщения.

      IM-Worm

      Черви IM-клиентов

      Распространяются через IM-клиенты.

      Обычно такой червь рассылает по контакт-листам сообщения, содержащие ссылку на файл с его копией на веб-сайте. Когда пользователь загружает файл и открывает его, червь активизируется.

      IRC-Worm

      Черви интернет-чатов

      Распространяются через ретранслируемые интернет-чаты (Internet Relay Chats) – сервисные системы, с помощью которых можно общаться через интернет с другими людьми в реальном времени.

      Такой червь публикует в интернет-чате файл со своей копией или ссылку на файл. Когда пользователь загружает файл и открывает его, червь активизируется.

      Net-Worm

      Сетевые черви (черви компьютерных сетей)

      Распространяются через компьютерные сети.

      В отличие от червей других типов, сетевой червь распространяется без участия пользователя. Он ищет в локальной сети компьютеры, на которых используются программы, содержащие уязвимости. Для этого он посылает специально сформированный сетевой пакет (эксплойт), который содержит код червя или его часть. Если в сети находится "уязвимый" компьютер, он принимает такой сетевой пакет. Полностью проникнув на компьютер, червь активизируется.

      P2P-Worm

      Черви файлообменных сетей

      Распространяются через файлообменные пиринговые сети.

      Чтобы внедриться в файлообменную сеть, червь копирует себя в каталог обмена файлами, обычно расположенный на компьютере пользователя. Файлообменная сеть отображает информацию об этом файле, и пользователь может "найти" зараженный файл в сети так же, как и любой другой, загрузить его и открыть.

      Более сложные черви имитируют сетевой протокол конкретной файлообменной сети: они положительно отвечают на поисковые запросы и предлагают для загрузки свои копии.

      Worm

      Прочие черви

      К прочим сетевым червям относятся:

      • Черви, которые распространяют свои копии через сетевые ресурсы. Используя функции операционной системы, они перебирают доступные сетевые папки, подключаются к компьютерам в глобальной сети и пытаются открыть их диски на полный доступ. В отличие от описанных выше разновидностей червей, прочие черви активизируются не самостоятельно, а как только пользователь открывает файл с копией червя.
      • Черви, которые не относятся ни к одному из описанных в этой таблице способов распространения (например, те, которые распространяются через мобильные телефоны).

    • Троянские приложения (в том числе приложения-вымогатели);

      Подкатегория: троянские программы (Trojan_programs)

      Степень угрозы: высокая

      В отличие от червей и вирусов, троянские программы не создают свои копии. Они проникают на компьютер, например, через электронную почту или через браузер, когда пользователь посещает зараженную веб-страницу. Троянские программы запускаются при участии пользователя. Они начинают выполнять свое вредоносное действие сразу после запуска.

      Разные троянские программы ведут себя на зараженном компьютере по-разному. Основные функции троянских программ – блокирование, изменение или уничтожение информации, нарушение работы компьютеров или компьютерных сетей. Кроме этого, троянские программы могут принимать или отправлять файлы, выполнять их, выводить на экран сообщения, обращаться к веб-страницам, загружать и устанавливать программы, перезагружать компьютер.

      Злоумышленники часто используют "наборы" из разных троянских программ.

      Типы поведения троянских программ описаны в следующей таблице.

      Типы поведения троянских программ на зараженном компьютере

      Тип

      Название

      Описание

      Trojan-ArcBomb

      Троянские программы – "архивные бомбы"

      Архивы; при распаковке увеличиваются до таких размеров, что нарушают работу компьютера.

      Когда пользователь пытается распаковать такой архив, компьютер может начать работать медленно или "зависнуть", диск может заполниться "пустыми" данными. "Архивные бомбы" особенно опасны для файловых и почтовых серверов. Если на сервере используется система автоматической обработки входящей информации, такая "архивная бомба" может остановить сервер.

      Backdoor

      Троянские программы удаленного администрирования

      Считаются наиболее опасными среди троянских программ. По своим функциям напоминают устанавливаемые на компьютеры программы удаленного администрирования.

      Эти программы устанавливают себя в компьютере незаметно для пользователя и позволяют злоумышленнику удаленно управлять компьютером.

      Trojan

      Троянские программы

      Включают следующие вредоносные программы:

      • Классические троянские программы. Эти программы выполняют только основные функции троянских программ: блокирование, изменение или уничтожение информации, нарушение работы компьютеров или компьютерных сетей. Они не имеют дополнительных функций, свойственных другим типам троянских программ, описанным в этой таблице.
      • "Многоцелевые" троянские программы. Эти программы имеют дополнительные функции, присущие сразу нескольким типам троянских программ.

      Trojan-Ransom

      Троянские программы, требующие выкупа

      "Берут в заложники" информацию на компьютере пользователя, изменяя или блокируя ее, или нарушают работу компьютера таким образом, чтобы пользователь не мог воспользоваться информацией. Злоумышленник требует от пользователя выкуп за обещание выслать программу, которая восстановит работоспособность компьютера и данные на нем.

      Trojan-Clicker

      Троянские программы-кликеры

      С компьютера пользователя обращаются к веб-страницам: они или сами посылают команды браузеру, или заменяют хранящиеся в системных файлах веб-адреса.

      C помощью этих программ злоумышленники организовывают сетевые атаки, повышают посещаемость сайтов, чтобы увеличить количество показов рекламных баннеров.

      Trojan-Downloader

      Троянские программы-загрузчики

      Обращаются к веб-странице злоумышленника, загружают с нее другие вредоносные программы и устанавливают их на компьютере пользователя; могут хранить имя файла загружаемой вредоносной программы в себе или получать его с веб-страницы, к которой обращаются.

      Trojan-Dropper

      Троянские программы-установщики

      Сохраняют на диске компьютера, а затем устанавливают другие троянские программы, которые хранятся в теле этих программ.

      Злоумышленники могут использовать троянские программы-установщики, чтобы достичь следующих целей:

      • установить вредоносную программу незаметно для пользователя: троянские программы-установщики не отображают никаких сообщений или выводят на экран ложные сообщения, например, об ошибке в архиве или неверной версии операционной системы;
      • защитить от обнаружения другую известную вредоносную программу: не все антивирусы могут распознать вредоносную программу внутри троянской программы-установщика.

      Trojan-Notifier

      Троянские программы-уведомители

      Сообщают злоумышленнику о том, что зараженный компьютер находится "на связи"; передают ему информацию о компьютере: IP-адрес, номер открытого порта или адрес электронной почты. Они связываются со злоумышленником по электронной почте, через FTP, обращаясь к его веб-странице или другим способом.

      Троянские программы-уведомители часто используются в наборах из разных троянских программ. Они извещают злоумышленника о том, что другие троянские программы успешно установлены на компьютере пользователя.

      Trojan-Proxy

      Троянские программы-прокси

      Позволяют злоумышленнику анонимно обращаться через компьютер пользователя к веб-страницам; часто используются для рассылки спама.

      Trojan-PSW

      Троянские программы, крадущие пароли

      Троянские программы, крадущие пароли (Password Stealing Ware); крадут учетные записи пользователей, например, регистрационную информацию к программному обеспечению. Они отыскивают конфиденциальные данные в системных файлах и реестре и пересылают ее "хозяину" по электронной почте, через FTP, обращаясь к веб-странице злоумышленника или другим способом.

      Некоторые из этих троянских программ выделены в отдельные типы, описанные в этой таблице. Это троянские программы, крадущие банковские счета (Trojan‑Banker), троянские программы, крадущие данные пользователей IM-клиентов (Trojan‑IM) и троянские программы, крадущие данные пользователей сетевых игр (Trojan‑GameThief).

      Trojan-Spy

      Троянские программы-шпионы

      Ведут электронный шпионаж за пользователем: собирают информацию о его действиях на компьютере, например, перехватывают данные, которые пользователь вводит с клавиатуры, делают снимки экрана или собирают списки активных приложений. Получив эту информацию, они передают ее злоумышленнику по электронной почте, через FTP, обращаясь к его веб-странице или другим способом.

      Trojan-DDoS

      Троянские программы – сетевые атаки

      Отправляют с компьютера пользователя многочисленные запросы на удаленный сервер. У сервера не хватает ресурсов для обработки запросов, и он перестает работать (Denial-of-Service (DoS) – отказ в обслуживании). Такими программами часто заражают многие компьютеры, чтобы с них одновременно атаковать один сервер.

      DoS-программы реализуют атаку с одного компьютера с ведома пользователя. DDoS-программы (Distributed DoS) реализуют распределенные атаки с разных компьютеров, причем без ведома пользователя зараженного компьютера.

      Trojan-IM

      Троянские программы, крадущие данные пользователей IM-клиентов

      Крадут номера и пароли пользователей IM-клиентов. Передают данные злоумышленнику по электронной почте, через FTP, обращаясь к его веб-странице или другим способом.

      Rootkit

      Руткиты

      Скрывают другие вредоносные программы и их активность и таким образом продлевают пребывание этих программ в системе; могут скрывать файлы, процессы в памяти зараженного компьютера или ключи реестра, которые запускают вредоносные программы; могут скрывать обмен данными между приложениями на компьютере пользователя и других компьютерах в сети.

      Trojan-SMS

      Троянские программы – SMS-сообщения

      Заражают мобильные телефоны и с них отправляют SMS-сообщения на платные номера.

      Trojan-GameThief

      Троянские программы, крадущие данные пользователей сетевых игр

      Крадут учетные данные пользователей сетевых компьютерных игр; передают их злоумышленнику по электронной почте, через FTP, обращаясь к его веб-странице или другим способом.

      Trojan-Banker

      Троянские программы, крадущие банковские счета

      Крадут данные банковских счетов или счетов в системах электронных денег; передают данные злоумышленнику по электронной почте, через FTP, обращаясь к его веб-странице или другим способом.

      Trojan-Mailfinder

      Троянские программы – сборщики адресов электронной почты

      Собирают адреса электронной почты на компьютере и передают их злоумышленнику по электронной почте, через FTP, обращаясь к его веб-странице или другим способом. По собранным адресам злоумышленники могут рассылать спам.

    • Вредоносные утилиты;

      Подкатегория: вредоносные утилиты (Malicious_tools)

      Уровень опасности: средний

      Вредоносные утилиты, в отличие от других вредоносных программ, не выполняют своих действий сразу при запуске и могут безопасно храниться и запускаться на компьютере пользователя. Злоумышленники используют функции этих программ для создания вирусов, червей и троянских программ, организации сетевых атак на удаленные серверы, "взлома" компьютеров или других вредоносных действий.

      Разнообразные функции вредоносных утилит делятся на типы, которые описаны в следующей таблице.

      Функции вредоносных утилит

       

      Тип

      Название

      Описание

      Constructor

      Конструкторы

      Позволяют создавать новые вирусы, черви и троянские программы. Некоторые конструкторы имеют стандартный оконный интерфейс, в котором с помощью меню можно выбирать тип создаваемой вредоносной программы, способ ее противодействия отладчику и другие свойства.

      Dos

      Сетевые атаки

      Отправляют с компьютера пользователя многочисленные запросы на удаленный сервер. У сервера не хватает ресурсов для обработки запросов, и он перестает работать (Denial-of-Service (DoS) – отказ в обслуживании).

      Exploit

      Эксплойты

      Эксплойт – это набор данных или программный код, использующий уязвимости приложения, в котором он обрабатывается, чтобы выполнить на компьютере вредоносное действие. Например, эксплойт может записывать или считывать файлы либо обращаться к "зараженным" веб-страницам.

      Разные эксплойты используют уязвимости разных приложений или сетевых служб. Эксплойт в виде сетевого пакета передается по сети на многие компьютеры, выискивая компьютеры с уязвимыми сетевыми службами. Эксплойт в файле DOC использует уязвимости текстового редактора. Он может начать выполнять заложенные в него злоумышленником функции, когда пользователь откроет зараженный файл. Эксплойт, внедренный в сообщение электронной почты, ищет уязвимости в каком-либо почтовом клиенте. Он может начать выполнять вредоносное действие, как только пользователь откроет зараженное сообщение в этом почтовом клиенте.

      С помощью эксплойтов распространяются сетевые черви (Net-Worm). Эксплойты-ньюкеры (Nuker) представляют собой сетевые пакеты, которые выводят компьютеры из строя.

      FileCryptor

      Шифровальщики

      Шифруют другие вредоносные программы, чтобы скрыть их от антивирусного приложения.

      Flooder

      Программы для "замусоривания" сетей

      Рассылают многочисленные сообщения по сетевым каналам. К этому типу относятся, например, программы для замусоривания ретранслируемых интернет-чатов (Internet Relay Chats).

      К типу Flooder не относятся программы, "забивающие мусором" каналы электронной почты, IM-клиентов и мобильных систем. Эти программы выделяют в отдельные типы, описанные в этой таблице (Email-Flooder, IM-Flooder и SMS-Flooder).

      HackTool

      Инструменты хакера

      Позволяют взламывать компьютер, на котором они установлены, или атаковать другой компьютер (например, без разрешения пользователя добавлять других пользователей системы; очищать системные журналы, чтобы скрыть следы присутствия в системе). К этому типу относят некоторые снифферы, которые обладают вредоносными функциями, например перехватывают пароли. Снифферы (Sniffers) – это программы, которые позволяют просматривать сетевой трафик.

      Hoax

      Злые шутки

      Пугают пользователя вирусоподобными сообщениями: могут "обнаружить" вирус в незараженном файле или объявить о форматировании диска, которого на самом деле не происходит.

      Spoofer

      Утилиты-имитаторы

      Отправляют сообщения и сетевые запросы с поддельным адресом отправителя. Злоумышленники используют утилиты-имитаторы, чтобы, например, выдать себя за отправителя.

      VirTool

      Инструменты для модификации вредоносных программ

      Позволяют модифицировать другие вредоносные программы так, чтобы скрыть их от антивирусных приложений.

      Email-Flooder

      Программы для "замусоривания" адресов электронной почты

      Отправляют многочисленные сообщения по адресам электронной почты ("забивают их мусором"). Большой поток сообщений не дает пользователям просматривать полезную входящую почту.

      IM-Flooder

      Программы для "замусоривания" IM-клиентов

      Отправляют многочисленные сообщения пользователям IM-клиентов. Большой поток сообщений не дает пользователям просматривать полезные входящие сообщения.

      SMS-Flooder

      Программы для "замусоривания" SMS-сообщениями

      Отправляют многочисленные SMS-сообщения на мобильные телефоны.

    • Рекламные приложения;

      Подкатегория: рекламные программы (Adware)

      Степень угрозы: средняя

      Рекламные программы связаны с показом пользователю рекламной информации. Они отображают в интерфейсе других программ рекламные баннеры, перенаправляют поисковые запросы на рекламные веб-страницы. Некоторые из них собирают и переправляют своему разработчику маркетинговую информацию о пользователе: например, сведения о том, какие тематические веб-сайты он посещает, какие поисковые запросы делает. В отличие от троянских программ-шпионов, рекламные программы передают эту информацию разработчику с разрешения пользователя.

    • Приложения автодозвона;

      Подкатегория: легальные программы, которые могут быть использованы злоумышленником для нанесения вреда компьютеру или данным пользователя.

      Уровень опасности: средний

      Большинство этих программ являются полезными, и многие пользователи применяют их. Среди таких программ – IRC-клиенты, программы автодозвона, программы для загрузки файлов, мониторы активности компьютерных систем, утилиты для работы с паролями, интернет-серверы служб FTP, HTTP или Telnet.

      Однако если злоумышленники получат доступ к таким программам или внедрят их на компьютер пользователя, они могут использовать некоторые их функции для нарушения безопасности.

      Подобные программы различают по функциям, типы которых описаны в таблице ниже.

       

      Тип

      Название

      Описание

      Client-IRC

      Клиенты интернет-чатов

      Пользователи устанавливают эти программы, чтобы общаться в ретранслируемых интернет-чатах (Internet Relay Chats). Злоумышленники используют их для распространения вредоносных программ.

      Dialer

      Программы автодозвона

      Могут устанавливать телефонные соединения через модем в скрытом режиме.

      Downloader

      Программы-загрузчики

      Могут загружать файлы с веб-страниц в скрытом режиме.

      Monitor

      Программы-мониторы

      Позволяют наблюдать за активностью на компьютере, на котором установлены (видеть, какие приложения работают, и как они обмениваются данными с приложениями на других компьютерах).

      PSWTool

      Восстановители паролей

      Позволяют просматривать и восстанавливать забытые пароли. С этой же целью их скрыто внедряют на компьютеры пользователей злоумышленники.

      RemoteAdmin

      Программы удаленного администрирования

      Широко используются системными администраторами; позволяют получать доступ к интерфейсу удаленного компьютера, чтобы наблюдать за ним и управлять им. С этой же целью злоумышленники скрыто внедряют их на компьютеры пользователей для наблюдения за удаленными компьютерами и управления ими.

      Легальные программы удаленного администрирования отличаются от троянских программ удаленного администрирования Backdoor. Троянские программы обладают функциями, которые позволяют им самостоятельно проникать в систему и устанавливать себя; легальные программы этих функций не имеют.

      Server-FTP

      FTP-серверы

      Выполняют функции FTP-сервера. Злоумышленники внедряют их на компьютер пользователя, чтобы открыть к нему удаленный доступ по протоколу FTP.

      Server-Proxy

      Прокси-серверы

      Выполняют функции прокси-сервера. Злоумышленники внедряют их на компьютер пользователя, чтобы от его имени рассылать спам.

      Server-Telnet

      Telnet-серверы

      Выполняют функции Telnet-сервера. Злоумышленники внедряют их на компьютер пользователя, чтобы открыть к нему удаленный доступ по протоколу Telnet.

      Server-Web

      Веб-серверы

      Выполняют функции веб-сервера. Злоумышленники внедряют их на компьютер пользователя, чтобы открыть к нему удаленный доступ по протоколу HTTP.

      RiskTool

      Инструменты для работы на локальном компьютере

      Дают пользователю дополнительные возможности при работе на своем компьютере (позволяют скрывать на своем компьютере файлы или окна активных приложений, закрывать активные процессы).

      NetTool

      Сетевые инструменты

      Дают пользователю компьютера, на котором установлены, дополнительные возможности при работе с другими компьютерами в сети (позволяют перезагружать их, находить открытые порты, запускать установленные на них программы).

      Client-P2P

      Клиенты пиринговых сетей

      Позволяют работать в пиринговых (Peer-to-Peer) сетях. Могут использоваться злоумышленниками для распространения вредоносных программ.

      Client-SMTP

      SMTP-клиенты

      Отправляют сообщения электронной почты в скрытом режиме. Злоумышленники внедряют их на компьютер пользователя, чтобы от его имени рассылать спам.

      WebToolbar

      Веб-панели инструментов

      Добавляют в интерфейс других приложений панели инструментов для использования поисковых систем.

      FraudTool

      Псевдопрограммы

      Выдают себя за другие программы. Например, существуют псевдоантивирусы, которые выводят на экран сообщения об обнаружении вредоносных программ, но на самом деле ничего не находят и не лечат.

    • Обнаруживать другие приложения, которые могут быть использованы злоумышленниками для нанесения вреда компьютеру или данным пользователя;

      Подкатегория: легальные программы, которые могут быть использованы злоумышленником для нанесения вреда компьютеру или данным пользователя.

      Уровень опасности: средний

      Большинство этих программ являются полезными, и многие пользователи применяют их. Среди таких программ – IRC-клиенты, программы автодозвона, программы для загрузки файлов, мониторы активности компьютерных систем, утилиты для работы с паролями, интернет-серверы служб FTP, HTTP или Telnet.

      Однако если злоумышленники получат доступ к таким программам или внедрят их на компьютер пользователя, они могут использовать некоторые их функции для нарушения безопасности.

      Подобные программы различают по функциям, типы которых описаны в таблице ниже.

       

      Тип

      Название

      Описание

      Client-IRC

      Клиенты интернет-чатов

      Пользователи устанавливают эти программы, чтобы общаться в ретранслируемых интернет-чатах (Internet Relay Chats). Злоумышленники используют их для распространения вредоносных программ.

      Dialer

      Программы автодозвона

      Могут устанавливать телефонные соединения через модем в скрытом режиме.

      Downloader

      Программы-загрузчики

      Могут загружать файлы с веб-страниц в скрытом режиме.

      Monitor

      Программы-мониторы

      Позволяют наблюдать за активностью на компьютере, на котором установлены (видеть, какие приложения работают, и как они обмениваются данными с приложениями на других компьютерах).

      PSWTool

      Восстановители паролей

      Позволяют просматривать и восстанавливать забытые пароли. С этой же целью их скрыто внедряют на компьютеры пользователей злоумышленники.

      RemoteAdmin

      Программы удаленного администрирования

      Широко используются системными администраторами; позволяют получать доступ к интерфейсу удаленного компьютера, чтобы наблюдать за ним и управлять им. С этой же целью злоумышленники скрыто внедряют их на компьютеры пользователей для наблюдения за удаленными компьютерами и управления ими.

      Легальные программы удаленного администрирования отличаются от троянских программ удаленного администрирования Backdoor. Троянские программы обладают функциями, которые позволяют им самостоятельно проникать в систему и устанавливать себя; легальные программы этих функций не имеют.

      Server-FTP

      FTP-серверы

      Выполняют функции FTP-сервера. Злоумышленники внедряют их на компьютер пользователя, чтобы открыть к нему удаленный доступ по протоколу FTP.

      Server-Proxy

      Прокси-серверы

      Выполняют функции прокси-сервера. Злоумышленники внедряют их на компьютер пользователя, чтобы от его имени рассылать спам.

      Server-Telnet

      Telnet-серверы

      Выполняют функции Telnet-сервера. Злоумышленники внедряют их на компьютер пользователя, чтобы открыть к нему удаленный доступ по протоколу Telnet.

      Server-Web

      Веб-серверы

      Выполняют функции веб-сервера. Злоумышленники внедряют их на компьютер пользователя, чтобы открыть к нему удаленный доступ по протоколу HTTP.

      RiskTool

      Инструменты для работы на локальном компьютере

      Дают пользователю дополнительные возможности при работе на своем компьютере (позволяют скрывать на своем компьютере файлы или окна активных приложений, закрывать активные процессы).

      NetTool

      Сетевые инструменты

      Дают пользователю компьютера, на котором установлены, дополнительные возможности при работе с другими компьютерами в сети (позволяют перезагружать их, находить открытые порты, запускать установленные на них программы).

      Client-P2P

      Клиенты пиринговых сетей

      Позволяют работать в пиринговых (Peer-to-Peer) сетях. Могут использоваться злоумышленниками для распространения вредоносных программ.

      Client-SMTP

      SMTP-клиенты

      Отправляют сообщения электронной почты в скрытом режиме. Злоумышленники внедряют их на компьютер пользователя, чтобы от его имени рассылать спам.

      WebToolbar

      Веб-панели инструментов

      Добавляют в интерфейс других приложений панели инструментов для использования поисковых систем.

      FraudTool

      Псевдопрограммы

      Выдают себя за другие программы. Например, существуют псевдоантивирусы, которые выводят на экран сообщения об обнаружении вредоносных программ, но на самом деле ничего не находят и не лечат.

    • Упакованные объекты, способ упаковки которых может использоваться для защиты вредоносного кода;

      Kaspersky Endpoint Security проверяет упакованные объекты и модуль-распаковщик в составе самораспаковывающихся архивов SFX (self-extracting archive).

      Чтобы скрыть опасные программы от обнаружения антивирусом, злоумышленники упаковывают их с помощью специальных упаковщиков или многократно упаковывают один объект.

      Вирусные аналитики "Лаборатории Касперского" отобрали упаковщики, которые злоумышленники используют чаще всего.

      Если Kaspersky Endpoint Security обнаружил в объекте такой упаковщик, то скорее всего он содержит вредоносную программу или программу, которая может быть использована злоумышленником для нанесения вреда компьютеру или данным пользователя.

      Kaspersky Endpoint Security выделяет следующие программы:

      • Упакованные файлы, которые могут нанести вред – используются для упаковки вредоносных программ: вирусов, червей, троянских программ.
      • Многократно упакованные файлы (степень угрозы средняя) – объект упакован трижды одним или несколькими упаковщиками.
    • Множественно упакованные объекты.

      Kaspersky Endpoint Security проверяет упакованные объекты и модуль-распаковщик в составе самораспаковывающихся архивов SFX (self-extracting archive).

      Чтобы скрыть опасные программы от обнаружения антивирусом, злоумышленники упаковывают их с помощью специальных упаковщиков или многократно упаковывают один объект.

      Вирусные аналитики "Лаборатории Касперского" отобрали упаковщики, которые злоумышленники используют чаще всего.

      Если Kaspersky Endpoint Security обнаружил в объекте такой упаковщик, то скорее всего он содержит вредоносную программу или программу, которая может быть использована злоумышленником для нанесения вреда компьютеру или данным пользователя.

      Kaspersky Endpoint Security выделяет следующие программы:

      • Упакованные файлы, которые могут нанести вред – используются для упаковки вредоносных программ: вирусов, червей, троянских программ.
      • Многократно упакованные файлы (степень угрозы средняя) – объект упакован трижды одним или несколькими упаковщиками.
  4. Сохраните внесенные изменения.
В начало

[Topic 123510]

Формирование списка доверенных приложений

Список доверенных приложений – это список приложений, у которых Kaspersky Endpoint Security не контролирует файловую и сетевую активность (в том числе и вредоносную), а также обращения этих приложений к системному реестру. По умолчанию Kaspersky Endpoint Security проверяет объекты, открываемые, запускаемые или сохраняемые любым программным процессом, а также контролирует активность всех приложений и создаваемый ими сетевой трафик. Kaspersky Endpoint Security исключает из проверки приложение, добавленное в список доверенных приложений.

Например, если вы считаете объекты, используемые приложением Microsoft Windows Блокнот, безопасными и не требующими проверки, то есть доверяете этому приложению, вам следует добавить приложение Microsoft Windows Блокнот в список доверенных приложений, чтобы не проверять объекты, используемые этим приложением.

Кроме того, некоторые действия, которые Kaspersky Endpoint Security классифицирует как подозрительные, могут быть безопасны в рамках функциональности ряда приложений. Например, перехват текста, который вы вводите с клавиатуры, является штатным действием приложения автоматического переключения раскладок клавиатуры (например, Punto Switcher). Чтобы учесть специфику таких приложений и отключить контроль их активности, рекомендуется добавить их в список доверенных приложений.

Исключение доверенных приложений из проверки позволяет избежать проблемы совместимости Kaspersky Endpoint Security с другими приложениями (например, проблемы двойной проверки сетевого трафика стороннего компьютера Kaspersky Endpoint Security и другого антивирусного приложения), а также увеличить производительность компьютера, что особенно важно при использовании серверных приложений.

В то же время исполняемый файл и процесс доверенного приложения по-прежнему проверяются на наличие в них вирусов и других приложений, представляющих угрозу. Для полного исключения приложения из проверки Kaspersky Endpoint Security следует пользоваться исключениями из проверки.

Как добавить приложение в список доверенных в Консоли администрирования (MMC)

  1. Откройте Консоль администрирования Kaspersky Security Center.
  2. В папке Управляемые устройства дерева Консоли администрирования откройте папку с названием группы администрирования, в состав которой входят нужные клиентские компьютеры.
  3. В рабочей области выберите закладку Политики.
  4. Выберите нужную политику и откройте свойства политики двойным щелчком мыши.
  5. В окне политики выберите Общие настройкиИсключения.
  6. В блоке Исключения из проверки и доверенные приложения нажмите на кнопку Настройка.
  7. В открывшемся окне выберите закладку Доверенные приложения.

    Откроется окно со списком доверенного приложения.

  8. Установите флажок Объединять значения при наследовании, если вы хотите создать общий список доверенных приложений для всех компьютеров организации. Списки доверенных приложений родительских и дочерних политик будут объединены. Для объединения списков должно быть включено наследование параметров родительской политики. Доверенные приложения родительской политики отображаются в дочерних политиках и доступны только для просмотра. Изменение или удаление доверенных приложений родительской политики невозможно.
  9. Установите флажок Разрешить использование локальных доверенных приложений, если вы хотите чтобы у пользователя была возможность создать локальный список доверенных приложений. Таким образом, кроме общего списка доверенных приложений, сформированного в политике, пользователь может создавать собственный локальный список доверенных приложений. Администратор с помощью Kaspersky Security Center может просматривать, добавлять, изменять или удалять элементы списка в свойствах компьютера.

    Если флажок снят, пользователю доступен только общий список доверенных приложений, сформированный в политике.

  10. Нажмите на кнопку Добавить.
  11. В открывшемся окне введите путь к исполняемому файлу доверенного приложения.

    Kaspersky Endpoint Security поддерживает переменные среды и символы * и ? для ввода маски.

    Kaspersky Endpoint Security не поддерживает переменную среды %userprofile% при формировании списка доверенных приложений через консоль Kaspersky Security Center. Чтобы применить запись ко всем учетным записям, вы можете использовать символ * (например, C:\Users\*\Documents\File.exe).

    При добавлении новой переменной среды нужно перезапустить приложение.

  12. Настройте дополнительные параметры доверенного приложения (см. таблицу ниже).
  13. Вы можете в любое время исключить приложение из доверенной зоны с помощью флажка.
  14. Сохраните внесенные изменения.

Как добавить приложение в список доверенных в Web Console и Cloud Console

  1. В главном окне Web Console выберите УстройстваПолитики и профили политик.
  2. Нажмите на название политики Kaspersky Endpoint Security.

    Откроется окно свойств политики.

  3. Выберите закладку Параметры программы.
  4. Перейдите в раздел Общие настройкиИсключения.
  5. В блоке Исключения из проверки и доверенные программы перейдите по ссылке Доверенные программы.

    Откроется окно со списком доверенного приложения.

  6. Установите флажок Объединять значения при наследовании, если вы хотите создать общий список доверенных приложений для всех компьютеров организации. Списки доверенных приложений родительских и дочерних политик будут объединены. Для объединения списков должно быть включено наследование параметров родительской политики. Доверенные приложения родительской политики отображаются в дочерних политиках и доступны только для просмотра. Изменение или удаление доверенных приложений родительской политики невозможно.
  7. Установите флажок Разрешить использование локальных доверенных приложений, если вы хотите чтобы у пользователя была возможность создать локальный список доверенных приложений. Таким образом, кроме общего списка доверенных приложений, сформированного в политике, пользователь может создавать собственный локальный список доверенных приложений. Администратор с помощью Kaspersky Security Center может просматривать, добавлять, изменять или удалять элементы списка в свойствах компьютера.

    Если флажок снят, пользователю доступен только общий список доверенных приложений, сформированный в политике.

  8. Нажмите на кнопку Добавить.
  9. В открывшемся окне введите путь к исполняемому файлу доверенного приложения.

    Kaspersky Endpoint Security поддерживает переменные среды и символы * и ? для ввода маски.

    Kaspersky Endpoint Security не поддерживает переменную среды %userprofile% при формировании списка доверенных приложений через консоль Kaspersky Security Center. Чтобы применить запись ко всем учетным записям, вы можете использовать символ * (например, C:\Users\*\Documents\File.exe).

    При добавлении новой переменной среды нужно перезапустить приложение.

  10. Настройте дополнительные параметры доверенного приложения (см. таблицу ниже).
  11. Вы можете в любое время исключить приложение из доверенной зоны с помощью флажка.
  12. Сохраните внесенные изменения.

Как добавить приложение в список доверенных в интерфейсе приложения

  1. В главном окне приложения нажмите на кнопку icon_settings.
  2. В окне параметров приложения выберите раздел Общие настройкиУгрозы и исключения.
  3. В блоке Исключения перейдите по ссылке Указать доверенные приложения.
  4. В открывшемся окне нажмите на кнопку Добавить.
  5. Выберите исполняемый файл доверенного приложения.

    Также вы можете ввести путь вручную. Kaspersky Endpoint Security поддерживает переменные среды и символы * и ? для ввода маски.

    Kaspersky Endpoint Security поддерживает переменные среды. При этом Kaspersky Endpoint Security конвертирует путь в локальном интерфейсе приложения. То есть, если вы ввели путь к файлу %userprofile%\Documents\File.exe, в локальном интерфейсе приложения для пользователя Fred123 будет добавлена запись C:\Users\Fred123\Documents\File.exe. Соответственно, Kaspersky Endpoint Security игнорирует доверенное приложение File.exe для других пользователей. Чтобы применить запись ко всем учетным записям, вы можете использовать символ * (например, C:\Users\*\Documents\File.exe).

    При добавлении новой переменной среды нужно перезапустить приложение.

  6. В окне свойств доверенного приложения настройте дополнительные параметры (см. таблицу ниже).
  7. Вы можете в любое время исключить приложение из доверенной зоны с помощью переключателя.
  8. Сохраните внесенные изменения.

Параметры доверенного приложения

Параметр

Описание

Не проверять открываемые файлы

Kaspersky Endpoint Security исключает из проверки все файлы, открываемые с помощью приложения. Например, если вы используете приложения резервного копирования файлов, функция позволит снизить потребление ресурсов компьютера Kaspersky Endpoint Security.

Не контролировать активность приложения

Kaspersky Endpoint Security не контролирует файловую и сетевую активности приложения в операционной системе. Контроль за активностью приложения выполняют следующие компоненты: Анализ поведения, Защита от эксплойтов, Предотвращение вторжений, Откат вредоносных действий и Сетевой экран.

Не наследовать ограничения родительского процесса (приложения)

Kaspersky Endpoint Security не применяет ограничения к процессу, которые настроены для родительского процесса. Родительский процесс запускает приложение, для которой настроены права приложения (Предотвращение вторжений) и сетевые правила приложения (Сетевой экран).

Не контролировать активность дочерних приложений

Kaspersky Endpoint Security не контролирует файловую и сетевую активности приложений, которые запускает приложение.

Разрешить взаимодействие с интерфейсом приложения

Самозащита Kaspersky Endpoint Security блокирует все попытки управления службами приложения с удаленного компьютера. Если флажок установлен, то приложению удаленного доступа к компьютеру разрешено управлять параметрами Kaspersky Endpoint Security через интерфейс Kaspersky Endpoint Security.

Не блокировать взаимодействие с компонентом AMSI-защита

Kaspersky Endpoint Security не контролирует запросы доверенного приложения на проверку объектов компонентом AMSI-защита.

Не проверять сетевой трафик

Kaspersky Endpoint Security исключает из проверки сетевой трафик, инициируемый приложением. Вы можете исключить из проверки весь трафик или только зашифрованный трафик. Также вы можете исключить из проверки отдельные IP-адреса или номера портов.

Комментарий

Если необходимо, вы можете ввести краткий комментарий к доверенному приложению. Комментарий позволяет упростить поиск и сортировку доверенных приложений.

Статус

Статус доверенного приложения:

  • Активно – приложение в доверенной зоне.
  • Неактивно – приложение исключено из доверенной зоны.

В начало

[Topic 128356]

Включение и выключение действия правил доверенной зоны на приложение из списка доверенных приложений

Чтобы включить или выключить действие правил доверенной зоны на приложение из списка доверенных приложений, выполните следующие действия:

  1. В главном окне приложения нажмите на кнопку icon_settings.
  2. В окне параметров приложения выберите раздел Общие настройкиУгрозы и исключения.
  3. В блоке Исключения перейдите по ссылке Указать доверенные приложения.
  4. В списке доверенных приложений выберите нужную доверенное приложение.
  5. Используйте переключатель в графе Статус, чтобы включить или исключить доверенное приложение из проверки.
  6. Сохраните внесенные изменения.
В начало

[Topic 131348]

Использование доверенного системного хранилища сертификатов

Использование системного хранилища сертификатов позволяет исключать из антивирусной проверки приложения, подписанные доверенной цифровой подписью. Kaspersky Endpoint Security автоматически помещает такие приложения в группу Доверенные.

Чтобы начать использовать доверенное системное хранилище сертификатов, выполните следующие действия:

  1. В главном окне приложения нажмите на кнопку icon_settings.
  2. В окне параметров приложения выберите раздел Общие настройкиУгрозы и исключения.
  3. В раскрывающемся списке Доверенное системное хранилище сертификатов выберите, какое системное хранилище Kaspersky Endpoint Security должен считать доверенным.
  4. Сохраните внесенные изменения.
В начало

[Topic 34558]

Работа с резервным хранилищем

Резервное хранилище – это хранилище резервных копий файлов, которые были изменены в процессе лечения или удалены. Резервная копия – копия файла, которая создается до лечения или удаления этого файла. Резервные копии файлов хранятся в специальном формате и не представляют опасности.

Резервные копии файлов хранятся в папке C:\ProgramData\Kaspersky Lab\KES.21.7\QB.

Полные права доступа к этой папке предоставлены пользователям группы "Администраторы". Ограниченные права доступа к этой папке предоставлены пользователю, под учетной записью которого выполнялась установка Kaspersky Endpoint Security.

В Kaspersky Endpoint Security отсутствует возможность настройки прав доступа пользователей к резервным копиям файлов.

Иногда при лечении файлов не удается сохранить их целостность. Если вылеченный файл содержал важную информацию, которая в результате лечения стала полностью или частично недоступна, вы можете попытаться восстановить файл из его резервной копии в папку исходного размещения файла.

Если Kaspersky Endpoint Security работает под управлением Kaspersky Security Center, то резервные копии файлов могут быть передана на Сервер администрирования Kaspersky Security Center. Подробнее о работе резервными копиями файлов в Kaspersky Security Center можно прочитать в Справочной системе Kaspersky Security Center.

В этом разделе

Настройка максимального срока хранения файлов в резервном хранилище

Настройка максимального размера резервного хранилища

Восстановление файлов из резервного хранилища

Удаление резервных копий файлов из резервного хранилища
В начало

[Topic 128123]

Настройка максимального срока хранения файлов в резервном хранилище

По умолчанию максимальный срок хранения копий файлов в резервном хранилище составляет 30 дней. По истечении максимального срока хранения Kaspersky Endpoint Security удаляет наиболее старые файлы из резервного хранилища.

Чтобы настроить максимальный срок хранения файлов в резервном хранилище, выполните следующие действия:

  1. В главном окне приложения нажмите на кнопку icon_settings.
  2. В окне параметров приложения выберите раздел Общие настройкиОтчеты и хранилище.
  3. В блоке Резервное хранилище установите флажок Хранить объекты не более N дней, если хотите ограничить срок хранения копий файлов в резервном хранилище. Укажите максимальный срок хранения копий файлов в резервном хранилище.
  4. Сохраните внесенные изменения.
В начало

[Topic 128124]

Настройка максимального размера резервного хранилища

Вы можете указать максимальный размер резервного хранилища. По умолчанию размер резервного хранилища не ограничен. После достижения максимального размера Kaspersky Endpoint Security автоматически удаляет наиболее старые файлы из резервного хранилища.

Чтобы настроить максимальный размер резервного хранилища, выполните следующие действия:

  1. В главном окне приложения нажмите на кнопку icon_settings.
  2. В окне параметров приложения выберите раздел Общие настройкиОтчеты и хранилище.
  3. В блоке Резервное хранилище установите флажок Ограничить размер хранилища до N МБ, если вы хотите ограничить размер резервного хранилища. Укажите максимальный размер резервного хранилища.
  4. Сохраните внесенные изменения.
В начало

[Topic 128133]

Восстановление файлов из резервного хранилища

Если в файле обнаружен вредоносный код, Kaspersky Endpoint Security блокирует файл, присваивает ему статус Заражен, помещает его копию в резервное хранилище и пытается провести лечение. Если файл удается вылечить, то статус резервной копии файла изменяется на Вылечен. Файл становится доступен в папке исходного размещения. Если файл не удается вылечить, то Kaspersky Endpoint Security удаляет его из папки исходного размещения. Вы можете восстановить файл из его резервной копии в папку исходного размещения.

Файлы со статусом Будет вылечен при перезагрузке компьютера восстановить невозможно. Перезагрузите компьютер и статус файла изменится на Вылечен или Удален. При этом вы можете восстановить файл из его резервной копии в папку исходного размещения.

В случае обнаружения вредоносного кода в файле, который является частью приложения Windows Store, Kaspersky Endpoint Security не помещает копию файла в резервное хранилище, а сразу удаляет его. При этом восстановить целостность приложения Windows Store вы можете средствами операционной системы Microsoft Windows 8 (подробную информацию о восстановлении приложения Windows Store читайте в Справочной системе к Microsoft Windows 8).

Набор резервных копий файлов представлен в виде таблицы. Для резервной копии файла отображается путь к папке исходного размещения этого файла. Путь к папке исходного размещения файла может содержать персональные данные.

Если в резервное хранилище помещено несколько расположенных в одной и той же папке файлов с одинаковыми именами и различным содержимым, то для восстановления доступен только тот файл, который был помещен в резервное хранилище последним.

Чтобы восстановить файлы из резервного хранилища, выполните следующие действия:

  1. В главном окне приложения в разделе Мониторинг нажмите на плитку Резервное хранилище.
  2. В открывшемся списке файлов резервного хранилища выберите файлы, которые вы хотите восстановить, и нажмите на кнопку Восстановить.

Kaspersky Endpoint Security восстановит файлы из выбранных резервных копий в папки их исходного размещения.

В начало

[Topic 128134]

Удаление резервных копий файлов из резервного хранилища

Kaspersky Endpoint Security удаляет резервные копии файлов с любым статусом из резервного хранилища автоматически по истечении времени, заданного в параметрах приложения. Также вы можете самостоятельно удалить любую копию файла из резервного хранилища.

Чтобы удалить резервные копии файлов из резервного хранилища, выполните следующие действия:

  1. В главном окне приложения в разделе Мониторинг нажмите на плитку Резервное хранилище.
  2. В открывшемся списке файлов резервного хранилища выберите файлы, которые вы хотите удалить из резервного хранилища, и нажмите на кнопку Удалить.

Kaspersky Endpoint Security удалит выбранные резервные копии файлов из резервного хранилища.

В начало

[Topic 126005]

Служба уведомлений

В процессе работы Kaspersky Endpoint Security возникают различного рода события. Уведомления об этих событиях могут иметь информационный характер или нести важную информацию. Например, уведомление может информировать об успешно выполненном обновлении баз и модулей программы, а может фиксировать ошибку в работе некоторого компонента, которую вам требуется устранить.

Kaspersky Endpoint Security позволяет вносить информацию о событиях, возникающих в работе программы, в журнал событий Microsoft Windows и / или в журнал Kaspersky Endpoint Security.

Kaspersky Endpoint Security может доставлять уведомления следующими способами:

  • с помощью всплывающих уведомлений в области уведомлений панели задач Microsoft Windows;
  • по электронной почте.

Вы можете настроить способы доставки уведомлений. Способ доставки уведомлений устанавливается для каждого типа событий.

Работая с таблицей событий для настройки службы уведомлений, вы можете выполнять следующие действия:

  • фильтровать события службы уведомлений по значениям граф или по условиям сложного фильтра;
  • использовать функцию поиска событий службы уведомлений;
  • сортировать события службы уведомлений;
  • изменять порядок и набор граф, отображаемых в списке событий службы уведомлений.

В этом разделе

Настройка параметров журналов событий

Настройка отображения и доставки уведомлений

Настройка отображения предупреждений о состоянии приложения в области уведомлений

Обмен сообщениями между пользователем и администратором
В начало

[Topic 128354]

Настройка параметров журналов событий

Чтобы настроить параметры журналов событий, выполните следующие действия:

  1. В главном окне приложения нажмите на кнопку icon_settings.
  2. В окне параметров приложения выберите раздел Общие настройкиИнтерфейс.
  3. В блоке Уведомления нажмите на кнопку Настройка уведомлений.

    В левой части окна представлены компоненты и задачи Kaspersky Endpoint Security. В правой части окна отображается список событий, сформированный для выбранного компонента или выбранной задачи.

    События могут содержать следующие данные пользователя:

    • пути к файлам, проверяемым с помощью Kaspersky Endpoint Security;
    • пути к ключам реестра, изменяемым в ходе работы Kaspersky Endpoint Security;
    • имя пользователя Microsoft Windows;
    • адреса веб-страниц, открываемых пользователем.
  4. В левой части окна выберите компонент или задачу, для которой вы хотите настроить параметры журналов событий.
  5. В графах Сохранять в локальном отчете и Сохранять в журнале событий Windows установите флажки напротив нужных событий.

    События, напротив которых установлен флажок в графе Сохранять в локальном отчете, отображаются в отчетах приложения. События, напротив которых установлен флажок в графе Сохранять в журнале событий Windows, отображаются в журналах Windows в канале Application.

  6. Сохраните внесенные изменения.
В начало

[Topic 130890]

Настройка отображения и доставки уведомлений

Чтобы настроить отображение и доставку уведомлений, выполните следующие действия:

  1. В главном окне приложения нажмите на кнопку icon_settings.
  2. В окне параметров приложения выберите раздел Общие настройкиИнтерфейс.
  3. В блоке Уведомления нажмите на кнопку Настройка уведомлений.

    В левой части окна представлены компоненты и задачи Kaspersky Endpoint Security. В правой части окна отображается список событий, сформированный для выбранного компонента или выбранной задачи.

    События могут содержать следующие данные пользователя:

    • пути к файлам, проверяемым с помощью Kaspersky Endpoint Security;
    • пути к ключам реестра, изменяемым в ходе работы Kaspersky Endpoint Security;
    • имя пользователя Microsoft Windows;
    • адреса веб-страниц, открываемых пользователем.
  4. В левой части окна выберите компонент или задачу, для которой вы хотите настроить доставку уведомлений.
  5. В графе Уведомлять на экране установите флажки напротив нужных событий.

    Информация о выбранных событиях отображается на экране в виде всплывающих уведомлений в области уведомлений панели задач Microsoft Windows.

  6. В графе Уведомлять по почте установите флажки напротив нужных событий.

    Информация о выбранных событиях доставляется по электронной почте, если заданы параметры доставки почтовых уведомлений.

  7. Нажмите на кнопку OK.
  8. Если вы включили уведомления по почте, настройте параметры доставки электронных сообщений:
    1. Нажмите на кнопку Настройка почтовых уведомлений.
    2. Установите флажок Уведомлять о событиях, чтобы включить доставку информации о событиях в работе Kaspersky Endpoint Security, отмеченных в графе Уведомлять по почте.
    3. Укажите параметры доставки почтовых уведомлений.
    4. Нажмите на кнопку OK.
  9. Сохраните внесенные изменения.
В начало

[Topic 131802]

Настройка отображения предупреждений о состоянии приложения в области уведомлений

Чтобы настроить отображение предупреждений о состоянии приложения в области уведомлений, выполните следующие действия:

  1. В главном окне приложения нажмите на кнопку icon_settings.
  2. В окне параметров приложения выберите раздел Общие настройкиИнтерфейс.
  3. В блоке Отображать состояние приложения в области уведомлений установите флажки напротив тех категорий событий, уведомления о которых вы хотите видеть в области уведомлений Microsoft Windows.
  4. Сохраните внесенные изменения.

При возникновении событий, относящихся к выбранным категориям, значок приложения в области уведомлений будет меняться на icon_tray_critical или в зависимости от важности предупреждения.

В начало

[Topic 132089]

Обмен сообщениями между пользователем и администратором

Компоненты Контроль приложений, Контроль устройств, Веб-Контроль и Адаптивный контроль аномалий предоставляют пользователям локальной сети организации, на компьютерах которых установлено приложение Kaspersky Endpoint Security, возможность отправлять сообщения администратору.

У пользователя может возникнуть необходимость отправить сообщение администратору локальной сети организации в следующих случаях:

  • Контроль устройств заблокировал доступ к устройству.

    Шаблон сообщения с запросом доступа к заблокированному устройству доступен в интерфейсе Kaspersky Endpoint Security в разделе Контроль устройств.

  • Контроль приложений запретил запуск приложения.

    Шаблон сообщения с запросом разрешения на запуск заблокированного приложения доступен в интерфейсе Kaspersky Endpoint Security в разделе Контроль приложений.

  • Веб-Контроль заблокировал доступ к веб-ресурсу.

    Шаблон сообщения с запросом доступа к заблокированному веб-ресурсу доступен в интерфейсе Kaspersky Endpoint Security в разделе Веб-Контроль.

Способ отправки сообщений, а также выбор используемого шаблона зависит от наличия или отсутствия на компьютере с установленного приложения Kaspersky Endpoint Security действующей политики Kaspersky Security Center и связи с Сервером администрирования Kaspersky Security Center. Возможны следующие сценарии:

  • Если на компьютере с установленным приложением Kaspersky Endpoint Security не действует политика Kaspersky Security Center, то сообщение пользователя отправляется администратору локальной сети организации по электронной почте.

    Для заполнения полей сообщения используются значения полей из шаблона, заданного в локальном интерфейсе Kaspersky Endpoint Security.

  • Если на компьютере с установленным приложением Kaspersky Endpoint Security действует политика Kaspersky Security Center, то Kaspersky Endpoint Security отправляет стандартное сообщение на Сервер администрирования Kaspersky Security Center.

    В этом случае сообщения пользователей доступны для просмотра в хранилище событий Kaspersky Security Center (см. инструкцию ниже). Для заполнения полей сообщения используются значения полей из шаблона, заданного в политике Kaspersky Security Center.

  • Если на компьютере с установленным приложением Kaspersky Endpoint Security действует политика для автономных пользователей Kaspersky Security Center, то способ отправки сообщения зависит от наличия связи с Kaspersky Security Center:
    • Если связь с Kaspersky Security Center установлена, то Kaspersky Endpoint Security отправляет стандартное сообщение на Сервер администрирования Kaspersky Security Center.
    • Если связь с Kaspersky Security Center отсутствует, то сообщение пользователя отправляется администратору локальной сети организации по электронной почте.

    Для заполнения полей сообщения в обоих случаях используются значения полей из шаблона, заданного в политике Kaspersky Security Center.

Чтобы просмотреть сообщение пользователя в хранилище событий Kaspersky Security Center, выполните следующие действия:

  1. Откройте Консоль администрирования Kaspersky Security Center.
  2. В узле Сервер администрирования дерева Консоли администрирования выберите закладку События.

    В рабочей области Kaspersky Security Center отображаются все события, произошедшие во время работы приложения Kaspersky Endpoint Security, в том числе и сообщения администратору, приходящие от пользователей локальной сети организации.

  3. Чтобы настроить фильтр событий, в раскрывающемся списке Выборки событий выберите элемент Запросы пользователей.
  4. Выберите сообщение администратору.
  5. Нажмите на кнопку Открыть окно свойств события в правой части рабочей области Консоли администрирования.
В начало

[Topic 34585]

Работа с отчетами

Информация о работе каждого компонента Kaspersky Endpoint Security, о событиях шифрования данных, о выполнении каждой задачи проверки, задачи обновления и задачи проверки целостности, а также о работе приложения в целом сохраняется в отчетах.

Отчеты хранятся в папке C:\ProgramData\Kaspersky Lab\KES.21.7\Report.

Отчеты могут содержать следующие данные пользователя:

  • пути к файлам, проверяемым с помощью Kaspersky Endpoint Security;
  • пути к ключам реестра, изменяемым в ходе работы Kaspersky Endpoint Security;
  • имя пользователя Microsoft Windows;
  • адреса веб-страниц, открываемых пользователем.

Данные в отчете представлены в виде таблицы. Каждая строка таблицы содержит информацию об отдельном событии, атрибуты события находятся в графах таблицы. Некоторые графы являются составными и содержат вложенные графы с дополнительными атрибутами. Чтобы просмотреть дополнительные атрибуты, нажмите на кнопку рядом с названием графы. События, зарегистрированные в работе разных компонентов или при выполнении разных задач, имеют разный набор атрибутов.

Доступны следующие отчеты:

  • Отчет Аудит системы. Содержит информацию о событиях, возникающих в процессе взаимодействия пользователя с приложением, а также в ходе работы приложения в целом и не относящихся к каким-либо отдельным компонентам или задачам Kaspersky Endpoint Security.
  • Отчеты о работе компонентов Kaspersky Endpoint Security.
  • Отчеты о выполнении задач Kaspersky Endpoint Security.
  • Отчет Шифрование данных. Содержит информацию о событиях, возникающих при шифровании и расшифровке данных.

В отчетах применяются следующие уровни важности событий:

Информационные сообщения. События справочного характера, как правило, не несущие важной информации.

Предупреждения. События, на которые нужно обратить внимание, поскольку они отражают важные ситуации в работе приложения Kaspersky Endpoint Security.

Критические события. События критической важности, указывающие на проблемы в работе приложения Kaspersky Endpoint Security или на уязвимости в защите компьютера пользователя.

Для удобства работы с отчетами вы можете изменять представление данных на экране следующими способами:

  • фильтровать список событий по различным критериям;
  • использовать функцию поиска определенного события;
  • просматривать выбранное событие в отдельном блоке;
  • сортировать список событий по каждой графе отчета;
  • отображать и скрывать сгруппированные с помощью фильтра события по кнопке ;
  • изменять порядок и набор граф, отображаемых в отчете.

При необходимости вы можете сохранить сформированный отчет в текстовый файл. Также вы можете удалять информацию из отчетов по компонентам и задачам Kaspersky Endpoint Security, объединенным в группы.

Если Kaspersky Endpoint Security работает под управлением Kaspersky Security Center, то информация о событиях может быть передана на Сервер администрирования Kaspersky Security Center (подробнее см. в справке Kaspersky Security Center).

В этом разделе

Просмотр отчетов

Настройка максимального срока хранения отчетов

Настройка максимального размера файла отчета

Сохранение отчета в файл

Удаление информации из отчетов
В начало

[Topic 128116]

Просмотр отчетов

Если для пользователя доступен просмотр отчетов, то для этого пользователя доступен просмотр всех событий, отраженных в отчетах.

Чтобы просмотреть отчеты, выполните следующие действия:

  1. В главном окне приложения в разделе Мониторинг нажмите на плитку Отчеты.
  2. В списке компонентов и задач выберите компонент или задачу.

    В правой части окна отобразится отчет, содержащий список событий по результатам работы выбранного компонента или выбранной задачи Kaspersky Endpoint Security. Вы можете отсортировать события в отчете по значениям в ячейках одной из граф.

  3. Если требуется просмотреть подробную информацию о событии, выберите в отчете нужное событие.

В нижней части окна отобразится блок со сводной информацией о событии.

В начало

[Topic 133795]

Настройка максимального срока хранения отчетов

По умолчанию максимальный срок хранения отчетов о событиях, фиксируемых Kaspersky Endpoint Security, составляет 30 дней. По истечении этого времени Kaspersky Endpoint Security автоматически удаляет наиболее старые записи из файла отчета.

Чтобы настроить максимальный срок хранения отчетов, выполните следующие действия:

  1. В главном окне приложения нажмите на кнопку icon_settings.
  2. В окне параметров приложения выберите раздел Общие настройкиОтчеты и хранилище.
  3. В блоке Отчеты установите флажок Хранить отчеты не более N дней, если хотите ограничить срок хранения отчетов. Укажите максимальный срок хранения отчетов.
  4. Сохраните внесенные изменения.
В начало

[Topic 133796]

Настройка максимального размера файла отчета

Вы можете указать максимальный размер файла, содержащего отчет. По умолчанию максимальный размер файла отчета составляет 1024 МБ. После достижения максимального размера файла отчета Kaspersky Endpoint Security автоматически удаляет наиболее старые записи из файла отчета таким образом, чтобы размер файла отчетов не превышал максимального значения.

Чтобы настроить максимальный размер файла отчета, выполните следующие действия:

  1. В главном окне приложения нажмите на кнопку icon_settings.
  2. В окне параметров приложения выберите раздел Общие настройкиОтчеты и хранилище.
  3. В блоке Отчеты установите флажок Ограничить размер файла отчетов до N МБ, если хотите ограничить размер файла отчета. Укажите максимальный размер файла отчета.
  4. Сохраните внесенные изменения.
В начало

[Topic 128118]

Сохранение отчета в файл

Пользователь сам несет ответственность за обеспечение безопасности информации из сохраненного в файл отчета и, в частности, за контроль и ограничение доступа к этой информации.

Сформированный отчет вы можете сохранить в файл текстового формата TXT или CSV.

Kaspersky Endpoint Security сохраняет событие в отчет в том виде, в каком событие отображается на экране, то есть с тем же составом и с той же последовательностью атрибутов события.

Чтобы сохранить отчет в файл, выполните следующие действия:

  1. В главном окне приложения в разделе Мониторинг нажмите на плитку Отчеты.
  2. В открывшемся окне выберите компонент или задачу.

    В правой части окна отобразится отчет, содержащий список событий о работе выбранного компонента или задачи Kaspersky Endpoint Security.

  3. Если требуется, измените представление данных в отчете с помощью следующих способов:
    • фильтрация событий;
    • поиск событий;
    • изменение расположения граф;
    • сортировка событий.
  4. Нажмите на кнопку Сохранить отчет, расположенную в верхней правой части окна.
  5. В открывшемся окне укажите папку, в которую вы хотите сохранить файл отчета.
  6. Введите название файла отчета.
  7. Выберите нужный формат файла отчета: TXT или CSV.
  8. Сохраните внесенные изменения.
В начало

[Topic 128119]

Удаление информации из отчетов

Чтобы удалить информацию из отчетов, выполните следующие действия:

  1. В главном окне приложения нажмите на кнопку icon_settings.
  2. В окне параметров приложения выберите раздел Общие настройкиОтчеты и хранилище.
  3. В блоке Отчеты нажмите на кнопку Очистить.
  4. Если включена Защита паролем, Kaspersky Endpoint Security может запросить учетные данные пользователя. Приложение запрашивает учетные данные, если у пользователя нет необходимого разрешения.

Kaspersky Endpoint Security удалит все отчеты для всех компонентов и задач приложения.

 

В начало

[Topic 34598]

Самозащита Kaspersky Endpoint Security

Самозащита предотвращает выполнение другими приложениями действий, которые могут нарушить работу Kaspersky Endpoint Security и, например, удалить Kaspersky Endpoint Security с компьютера. Набор доступных технологий самозащиты Kaspersky Endpoint Security зависит от разрядности операционной системы (см. таблицу ниже).

Технологии самозащиты Kaspersky Endpoint Security

Технология

Описание

Компьютер на базе x86

Компьютер на базе x64

Механизм самозащиты

Технология блокирует доступ к следующим компонентам приложения:

  • файлы в папке установки Kaspersky Endpoint Security и другие файлы приложения;
  • раздел реестра с ключами приложения;
  • процессы, которые запускает приложение.

AM-PPL (Antimalware Protected Process Light)

Технология защищает процессы Kaspersky Endpoint Security от вредоносных действий. Подробнее о технологии AM-PPL см. на сайте Microsoft.

Технология AM-PPL доступна для операционных систем Windows 10 версии 1703 (RS2) и выше, Windows Server 2019.

Механизм защиты от внешнего управления

Технология блокирует приложениям удаленного администрирования доступ к Kaspersky Endpoint Security (например, приложения TeamViewer или RemotelyAnywhere).

(кроме Windows 7)

В этом разделе

Включение и выключение механизма самозащиты

Включение и выключение поддержки AM-PPL

Включение и выключение защиты от внешнего управления

Обеспечение работы приложений удаленного администрирования
В начало

[Topic 133797]

Включение и выключение механизма самозащиты

По умолчанию механизм самозащиты Kaspersky Endpoint Security включен.

Чтобы включить или выключить механизм самозащиты, выполните следующие действия:

  1. В главном окне приложения нажмите на кнопку icon_settings.
  2. В окне параметров приложения выберите раздел Общие настройкиНастройки приложения.
  3. Используйте флажок Включить самозащиту, чтобы включить или выключить механизм самозащиты.
  4. Сохраните внесенные изменения.
В начало

[Topic 189943]

Включение и выключение поддержки AM-PPL

Kaspersky Endpoint Security поддерживает технологию Antimalware Protected Process Light (далее "AM-PPL") от Microsoft. AM-PPL защищает процессы Kaspersky Endpoint Security от вредоносных действий (например, завершение работы приложения). AM-PPL разрешает запуск только доверенных процессов. Процессы Kaspersky Endpoint Security подписаны в соответствии с требованиями безопасности Windows, поэтому являются доверенными. Подробнее о технологии AM-PPL см. на сайте Microsoft. По умолчанию технология AM-PPL включена.

Kaspersky Endpoint Security также имеет встроенные механизмы защиты процессов приложения. Поддержка AM-PPL позволяет делегировать функции защиты процессов операционной системе. Таким образом, вы увеличиваете быстродействие приложения и уменьшаете потребление ресурсов компьютера.

Технология AM-PPL доступна для операционных систем Windows 10 версии 1703 (RS2) и выше, Windows Server 2019.

Технология AM-PPL доступна только для компьютеров под управлением 32-разрядных операционных систем. Для компьютеров под управлением 64-разрядных операционных систем технология недоступна.

Чтобы включить или выключить поддержку технологии AM-PPL, выполните следующие действия:

  1. Выключите механизм самозащиты приложения.

    Механизм самозащиты предотвращает изменение и удаление процессов приложения в памяти компьютера, в том числе изменение статуса AM-PPL.

  2. Запустите интерпретатор командной строки cmd от имени администратора.
  3. Перейдите в папку, в которой расположен исполняемый файл Kaspersky Endpoint Security.
  4. В командной строке введите:
    • klpsm.exe enable – включение поддержки технологии AM-PPL (см. рис. ниже).
    • klpsm.exe disable – выключение поддержки технологии AM-PPL.
  5. Перезапустите Kaspersky Endpoint Security.
  6. Возобновите работу механизма самозащиты приложения.

    Включение поддержки технологии AM-PPL

В начало

[Topic 133798]

Включение и выключение защиты от внешнего управления

Защита от внешнего управления блокирует приложениям удаленного администрирования доступ к Kaspersky Endpoint Security (например, приложения TeamViewer или RemotelyAnywhere). Технология включает в себя следующие функции защиты от внешнего управления:

  • Защита от изменения настроек Kaspersky Endpoint Security.
  • Защита служб Kaspersky Endpoint Security (например, службы avp).
  • Защита процессов приложения.

Защита от внешнего управления доступна только для компьютеров под управлением 32-разрядных операционных систем, кроме Windows 7. Для Windows 7 технология доступна для 32- и 64-разрядных операционных систем.

Чтобы включить или выключить защиту от внешнего управления, выполните следующие действия:

  1. В главном окне приложения нажмите на кнопку icon_settings.
  2. В окне параметров приложения выберите раздел Общие настройкиНастройки приложения.
  3. Используйте флажок Разрешить управление настройками Kaspersky Endpoint Security через приложения удаленного управления, чтобы включить или выключить защиту от внешнего управления.

    Если флажок включен, вы можете с помощью приложений удаленного администрирования настраивать параметры Kaspersky Endpoint Security, управлять службами и процессами приложения.

    Если флажок снят, технология защиты от внешнего управления блокирует приложениям удаленного администрирования доступ к Kaspersky Endpoint Security. Вы можете разрешить управление настройками Kaspersky Endpoint Security для отдельных приложений удаленного администрирования. Для этого вам нужно добавить приложение удаленного администрирования в список доверенных. При этом технология защиты от внешнего управления будет блокировать приложению удаленного администрирования доступ к службам и процессам Kaspersky Endpoint Security.

  4. Используйте флажок Включить возможность внешнего управления системными службами, чтобы включить или выключить защиту служб Kaspersky Endpoint Security от внешнего управления.

    Для завершения работы приложения из командной строки необходимо, чтобы защита от внешнего управления службами Kaspersky Endpoint Security была выключена.

  5. Сохраните внесенные изменения.

В результате, если защита от внешнего управления включена, Kaspersky Endpoint Security блокирует наведение курсора на окно приложения. При попытке удаленного пользователя остановить работу службы приложения отображается системное окно с ошибкой.

В начало

[Topic 128342]

Обеспечение работы приложений удаленного администрирования

Нередко возникают ситуации, когда при использовании механизма защиты от внешнего управления возникает необходимость применить приложения удаленного администрирования.

Чтобы обеспечить работу приложений удаленного администрирования, выполните следующие действия:

  1. В главном окне приложения нажмите на кнопку icon_settings.
  2. В окне параметров приложения выберите раздел Общие настройкиУгрозы и исключения.
  3. В блоке Исключения перейдите по ссылке Указать доверенные приложения.
  4. В открывшемся окне нажмите на кнопку Добавить.
  5. Выберите исполняемый файл приложения удаленного администрирования.

    Также вы можете ввести путь вручную. Kaspersky Endpoint Security поддерживает переменные среды и символы * и ? для ввода маски.

  6. Установите флажок Не контролировать активность приложения.
  7. Сохраните внесенные изменения.
В начало

[Topic 128143]

Производительность Kaspersky Endpoint Security и совместимость с другими приложениями

Под производительностью Kaspersky Endpoint Security подразумевается количество обнаруживаемых типов объектов, которые могут нанести вред компьютеру, а также потребление энергии и ресурсов компьютера.

Выбор типов обнаруживаемых объектов

Kaspersky Endpoint Security позволяет гибко настраивать защиту компьютера и выбирать типы объектов, которые приложение обнаруживает в ходе работы. Kaspersky Endpoint Security всегда проверяет операционную систему на наличие вирусов, червей и троянских приложений. Вы не можете выключить проверку этих типов объектов. Такие приложения могут нанести значительный вред компьютеру пользователя. Чтобы обеспечить большую безопасность компьютера, вы можете расширить список обнаруживаемых типов объектов, включив контроль действий легальных приложений, которые могут быть использованы злоумышленником для нанесения вреда компьютеру или данным пользователя.

Использование режима энергосбережения

Во время работы на портативных компьютерах потребление приложениями энергоресурсов имеет особое значение. Зачастую задачи, которые Kaspersky Endpoint Security выполняет по расписанию, требуют значительного количества ресурсов. При питании компьютера от аккумулятора для экономии его заряда вы можете использовать режим энергосбережения.

Режим энергосбережения позволяет автоматически откладывать выполнение задач, для которых установлен запуск по расписанию:

  • задача обновления;
  • задача полной проверки;
  • задача проверки важных областей;
  • задача выборочной проверки;
  • задача проверки целостности.

Независимо от того, включен режим энергосбережения или нет, Kaspersky Endpoint Security приостанавливает выполнение задач шифрования при переходе портативного компьютера в режим работы от аккумулятора. При выходе портативного компьютера из режима работы от аккумулятора в режим работы от сети приложение возобновляет выполнение задач шифрования.

Передача ресурсов компьютера другим приложениям

Потребление ресурсов компьютера Kaspersky Endpoint Security при проверке компьютера может увеличить нагрузку на центральный процессор и дисковые подсистемы. повлиять на производительности других приложений. Чтобы решить проблему совместной работы при увеличении нагрузки на процессор и дисковые подсистемы, Kaspersky Endpoint Security может уступать ресурсы другим приложениям.

Применение технологии лечения активного заражения

Современные вредоносные приложения могут внедряться на самые нижние уровни операционной системы, что делает их удаление практически невозможным. Обнаружив вредоносную активность в операционной системе, Kaspersky Endpoint Security выполняет расширенную процедуру лечения, применяя специальную технологию лечения активного заражения. Технология лечения активного заражения направлена на лечение операционной системы от вредоносных приложений, которые уже запустили свои процессы в оперативной памяти и мешают Kaspersky Endpoint Security удалить их с помощью других методов. В результате угроза нейтрализуется. В процессе процедуры лечения активного заражения не рекомендуется запускать новые процессы или редактировать реестр операционной системы. Технология лечения активного заражения требует значительных ресурсов операционной системы, что может замедлить работу других приложений.

После окончания процедуры лечения активного заражения на компьютере под управлением операционной системы Microsoft Windows для рабочих станций Kaspersky Endpoint Security запрашивает у пользователя разрешение на перезагрузку компьютера. После перезагрузки компьютера Kaspersky Endpoint Security удаляет файлы вредоносного программного обеспечения и запускает облегченную полную проверку компьютера.

Запрос перезагрузки на компьютере под управлением операционной системы Microsoft Windows для серверов невозможен из-за особенностей приложения Kaspersky Endpoint Security. Незапланированная перезагрузка файлового сервера может повлечь за собой проблемы, связанные с временным отказом доступа к данным файлового сервера или потерей несохраненных данных. Перезагрузку файлового сервера рекомендуется выполнять строго по расписанию. Поэтому по умолчанию технология лечения активного заражения для файловых серверов выключена.

В случае обнаружения активного заражения на файловом сервере, на Kaspersky Security Center передается событие о необходимости лечения активного заражения. Для лечения активного заражения на сервере требуется включить технологию лечения активного заражения для серверов и запустить групповую задачу Антивирусная проверка в удобное для пользователей сервера время.

В этом разделе

Включение и выключение режима энергосбережения

Включение и выключение режима передачи ресурсов другим приложениям

Лучшие практики по оптимизации производительности Kaspersky Endpoint Security
В начало

[Topic 128351]

Включение и выключение режима энергосбережения

Чтобы включить или выключить режим энергосбережения, выполните следующие действия:

  1. В главном окне приложения нажмите на кнопку icon_settings.
  2. В окне параметров приложения выберите раздел Общие настройкиНастройки приложения.
  3. В блоке Производительность используйте флажок Откладывать задачи по расписанию при работе от аккумулятора, чтобы включить или выключить режим энергосбережения.

    Если включен режим энергосбережения, при работе от аккумулятора не запускаются следующие задачи, даже если для них задан запуск по расписанию:

    • задача обновления;
    • задача полной проверки;
    • задача проверки важных областей;
    • задача выборочной проверки;
    • задача проверки целостности.
  4. Сохраните внесенные изменения.
В начало

[Topic 123511]

Включение и выключение режима передачи ресурсов другим приложениям

Потребление ресурсов компьютера Kaspersky Endpoint Security при проверке компьютера может увеличить нагрузку на центральный процессор и дисковые подсистемы. Это может замедлить работу других приложений. Для оптимизации производительности в Kaspersky Endpoint Security предусмотрен режим передачи ресурсов другим приложениям. В этом режиме операционная система может понизить приоритет потоков задач проверки Kaspersky Endpoint Security при высокой нагрузке на центральный процессор. Это позволит перераспределить ресурсы операционной системы для других приложений. То есть задачи проверки получат меньше процессорного времени. В результате Kaspersky Endpoint Security будет проверять компьютер дольше. По умолчанию режим передачи ресурсов другим приложениям включен.

Чтобы включить или выключить режим передачи ресурсов другим приложениям, выполните следующие действия:

  1. В главном окне приложения нажмите на кнопку icon_settings.
  2. В окне параметров приложения выберите раздел Общие настройкиНастройки приложения.
  3. В блоке Производительность используйте флажок Уступать ресурсы другим приложениям, чтобы включить или выключить режим передачи ресурсов другим приложениям.
  4. Сохраните внесенные изменения.
В начало

[Topic 222981]

Лучшие практики по оптимизации производительности Kaspersky Endpoint Security

При развертывании Kaspersky Endpoint Security для Windows вы можете использовать следующие рекомендации для настройки защиты компьютеров и оптимизации производительности.

Общее

Настройте общие параметры приложения в соответствии со следующими рекомендациями:

  1. Обновите Kaspersky Endpoint Security до последней версии.

    В новых версиях приложения исправлены ошибки, повышена стабильность работы, а также оптимизирована производительность.

  2. Включите компоненты защиты с параметрами по умолчанию.

    Параметры приложения по умолчанию считаются оптимальными. Эти параметры рекомендованы специалистами "Лаборатории Касперского". Параметры по умолчанию обеспечивают рекомендуемый уровень защиты и оптимальное потребление ресурсов компьютера. Если требуется, вы можете восстановить параметры приложения по умолчанию.

  3. Включите функции оптимизации производительности приложения.

    Приложение имеет функции оптимизации производительности: режим энергосбережения и режим передачи ресурсов другим приложениям. Убедитесь, что эти режимы включены.

Антивирусная проверка на рабочих станциях

Для антивирусной проверки рабочих станций рекомендуется использовать фоновую проверку. Фоновая проверка – это режим проверки Kaspersky Endpoint Security без отображения уведомлений для пользователя. Фоновая проверка требует меньше ресурсов компьютера, чем другие виды проверок (например, полная проверка). В этом режиме Kaspersky Endpoint Security проверяет объекты автозапуска, загрузочного сектора, системной памяти и системного раздела. Параметры фоновой проверки считаются оптимальными. Эти параметры рекомендованы специалистами "Лаборатории Касперского". Таким образом, для антивирусной проверки компьютера вы можете использовать только режим фоновой проверки и не использовать другие задачи проверки.

Если фоновая проверка вам не подходит, настройте параметры задачи Антивирусная проверка в соответствии со следующими рекомендациями:

  1. Настройте оптимальное расписание проверки компьютера.

    Вы можете настроить запуск задачи во время, когда компьютер наименее нагружен. Например, вы можете настроить запуск задачи ночью или в выходные дни.

    Если пользователи выключают компьютер в нерабочее время, вы можете настроить параметры задачи проверки следующим образом:

    • Включите функцию Wake-on-LAN. Функция Wake-on-LAN позволяет удаленно включать компьютер с помощью отправки специального сигнала через локальную сеть. Для использования этой функции необходимо включить Wake-on-LAN в параметрах BIOS компьютера. Также вы можете включить автоматическое выключение компьютера после выполнения проверки.
    • Выключите функцию запуска пропущенных задач. Kaspersky Endpoint Security будет пропускать запуск пропущенных задач после включения пользователем компьютера. Так как проверка требует больше ресурсов компьютера, запуск задачи после включения компьютера может помешать пользователю.

    Если настроить оптимальное расписание проверки не удалось, включите выполнение задачи во время простоя компьютера. Kaspersky Endpoint Security запускает задачу проверки, если компьютер заблокирован или включена экранная заставка. Если вы прервали выполнение задачи и, например, разблокировали компьютер, Kaspersky Endpoint Security запустит задачу автоматически с того же места, где проверка была прервана.

  2. Сформируйте область проверки.

    Выберите следующие объекты для проверки:

    • память ядра;
    • запущенные процессы и объекты автозапуска;
    • загрузочные секторы;
    • системный диск (%systemdrive%).
  3. Включите использование технологий iSwift и iChecker.
    • Технология iSwift.

      Технология, позволяющая увеличить скорость проверки за счет исключения из нее некоторых файлов. Файлы исключаются из проверки по специальному алгоритму, учитывающему дату выпуска баз Kaspersky Endpoint Security, дату предыдущей проверки файла, а также изменение параметров проверки. Технология iSwift является развитием технологии iChecker для файловой системы NTFS.

    • Технология iChecker.

      Технология, позволяющая увеличить скорость проверки за счет исключения из нее некоторых файлов. Файлы исключаются из проверки по специальному алгоритму, учитывающему дату выпуска баз приложения Kaspersky Endpoint Security, дату предыдущей проверки файла, а также изменение настроек проверки. Технология iChecker имеет ограничение: она не работает с файлами больших размеров, а кроме того, применима только к файлам с известной приложению структурой (например, к файлам формата EXE, DLL, LNK, TTF, INF, SYS, COM, CHM, ZIP, RAR).

    Вы можете включить использование технологий iSwift и iChecker только в Консоли администрирования (MMC) и интерфейсе Kaspersky Endpoint Security. Включить использование технологий в Kaspersky Security Center Web Console невозможно.

  4. Выключите проверку архивов, защищенных паролем.

    Если проверка архивов, защищенных паролем, включена, перед проверкой архива на экран выводится запрос пароля. Так как есть рекомендация по настройке расписания запуска задачи в нерабочее время, пользователь не может ввести пароль. Вы можете проверять архивы, защищенные паролем, вручную.

Антивирусная проверка на серверах

Настройте параметры задачи Антивирусная проверка в соответствии со следующими рекомендациями:

  1. Настройте оптимальное расписание проверки компьютера.

    Вы можете настроить запуск задачи во время, когда компьютер наименее нагружен. Например, вы можете настроить запуск задачи ночью или в выходные дни.

  2. Включите использование технологий iSwift и iChecker.
    • Технология iSwift.

      Технология, позволяющая увеличить скорость проверки за счет исключения из нее некоторых файлов. Файлы исключаются из проверки по специальному алгоритму, учитывающему дату выпуска баз Kaspersky Endpoint Security, дату предыдущей проверки файла, а также изменение параметров проверки. Технология iSwift является развитием технологии iChecker для файловой системы NTFS.

    • Технология iChecker.

      Технология, позволяющая увеличить скорость проверки за счет исключения из нее некоторых файлов. Файлы исключаются из проверки по специальному алгоритму, учитывающему дату выпуска баз приложения Kaspersky Endpoint Security, дату предыдущей проверки файла, а также изменение настроек проверки. Технология iChecker имеет ограничение: она не работает с файлами больших размеров, а кроме того, применима только к файлам с известной приложению структурой (например, к файлам формата EXE, DLL, LNK, TTF, INF, SYS, COM, CHM, ZIP, RAR).

    Вы можете включить использование технологий iSwift и iChecker только в Консоли администрирования (MMC) и интерфейсе Kaspersky Endpoint Security. Включить использование технологий в Kaspersky Security Center Web Console невозможно.

  3. Выключите проверку архивов, защищенных паролем.

    Если проверка архивов, защищенных паролем, включена, перед проверкой архива на экран выводится запрос пароля. Так как есть рекомендация по настройке расписания запуска задачи в нерабочее время, пользователь не может ввести пароль. Вы можете проверять архивы, защищенные паролем, вручную.

Kaspersky Security Network

Чтобы повысить эффективность защиты компьютера пользователя, Kaspersky Endpoint Security использует данные, полученные от пользователей во всем мире. Для получения этих данных предназначена сеть Kaspersky Security Network.

Kaspersky Security Network (KSN) – это инфраструктура облачных служб, предоставляющая доступ к оперативной базе знаний "Лаборатории Касперского" о репутации файлов, интернет-ресурсов и программного обеспечения. Использование данных Kaspersky Security Network обеспечивает более высокую скорость реакции Kaspersky Endpoint Security на неизвестные угрозы, повышает эффективность работы некоторых компонентов защиты, а также снижает вероятность ложных срабатываний. Если вы участвуете в Kaspersky Security Network, приложение Kaspersky Endpoint Security получает от служб KSN сведения о категории и репутации проверяемых файлов, а также сведения о репутации проверяемых веб-адресов.

Настройте параметры Kaspersky Security Network в соответствии со следующими рекомендациями:

  1. Выключите расширенный режим KSN.

    Расширенный режим KSN – режим работы приложения, при котором Kaspersky Endpoint Security передает в "Лабораторию Касперского" дополнительные данные.

  2. Настройте использование Локального KSN.

    Локальный KSN – это решение, позволяющее пользователям компьютеров, на которые установлено приложение Kaspersky Endpoint Security или другие приложение "Лаборатории Касперского", получать доступ к репутационным базам Kaspersky Security Network, а также другим статистическим данным, не отправляя данные в KSN со своих компьютеров.

  3. Включите облачный режим.

    Облачный режим – режим работы приложения, при котором Kaspersky Endpoint Security использует облегченную версию антивирусных баз. Работу приложения с облегченными антивирусными базами обеспечивает Kaspersky Security Network. Облегченная версия антивирусных баз позволяет снизить нагрузку на оперативную память компьютера примерно в два раза. Если вы не участвуете в Kaspersky Security Network или облачный режим выключен, Kaspersky Endpoint Security загружает полную версию антивирусных баз с серверов "Лаборатории Касперского".

В начало

[Topic 128080]

Шифрование данных

Kaspersky Endpoint Security позволяет шифровать файлы и папки, хранящиеся на локальных дисках компьютера и съемных дисках, съемные и жесткие диски целиком. Шифрование данных снижает риски утечки информации в случае кражи / утери портативного компьютера, съемного диска или жесткого диска, а также при доступе посторонних пользователей и приложений к данным. Kaspersky Endpoint Security использует алгоритм шифрования Advanced Encryption Standard (AES).

Если срок действия лицензии истек, то приложение не шифрует новые данные, а старые зашифрованные данные остаются зашифрованными и доступными для работы. В этом случае для шифрования новых данных требуется активировать приложение по новой лицензии, которая допускает использование шифрования.

В случае истечения срока действия лицензии, нарушения Лицензионного соглашения, удаления лицензионного ключа, удаления приложения Kaspersky Endpoint Security или компонентов шифрования с компьютера пользователя не гарантируется, что файлы, зашифрованные ранее, останутся зашифрованными. Это связано с тем, что некоторые приложения, например Microsoft Office Word, при редактировании файлов создают их временную копию, которой подменяют исходный файл при его сохранении. В результате при отсутствии или недоступности на компьютере функциональности шифрования файл остается незашифрованным.

Kaspersky Endpoint Security обеспечивает следующие направления защиты данных:

  • Шифрование файлов на локальных дисках компьютера. Вы можете сформировать списки из файлов по расширению или группам расширений и из папок, расположенных на локальных дисках компьютера, а также создать правила шифрования файлов, создаваемых отдельными приложениями. После применения политики приложение Kaspersky Endpoint Security шифрует и расшифровывает следующие файлы:
    • файлы, отдельно добавленные в списки для шифрования и расшифровки;
    • файлы, хранящиеся в папках, добавленных в списки для шифрования и расшифровки;
    • файлы, создаваемые отдельными приложениями.
  • Шифрование съемных дисков. Вы можете указать правило шифрования по умолчанию, в соответствии с которым приложение выполняет одинаковое действие по отношению ко всем съемным дискам, и указать правила шифрования отдельных съемных дисков.

    Правило шифрования по умолчанию имеет меньший приоритет, чем правила шифрования, созданные для отдельных съемных дисков. Правила шифрования, созданные для съемных дисков с указанной моделью устройства, имеют меньший приоритет, чем правила шифрования, созданные для съемных дисков с указанным идентификатором устройства.

    Чтобы выбрать правило шифрования файлов на съемном диске, Kaspersky Endpoint Security проверяет, известны ли модель устройства и его идентификатор. Далее приложение выполняет одно из следующих действий:

    • Если известна только модель устройства, приложение применяет правило шифрования, созданное для съемных дисков с данной моделью устройства, если такое правило есть.
    • Если известен только идентификатор устройства, приложение применяет правило шифрования, созданное для съемных дисков с данным идентификатором устройства, если такое правило есть.
    • Если известны и модель устройства, и идентификатор устройства, приложение применяет правило шифрования, созданное для съемных дисков с данным идентификатором устройства, если такое правило есть. Если такого правила нет, но есть правило шифрования, созданное для съемных дисков с данной моделью устройства, приложение применяет его. Если не заданы правила шифрования ни для данного идентификатора устройства, ни для данной модели устройства, приложение применяет правило шифрования по умолчанию.
    • Если неизвестны ни модель устройства, ни идентификатор устройства, приложение применяет правило шифрования по умолчанию.

    Приложение позволяет подготовить съемный диск для работы с зашифрованными на нем файлами в портативном режиме. После включения портативного режима становится доступной работа с зашифрованными файлами на съемных дисках, подключенных к компьютеру с недоступной функциональностью шифрования.

  • Управление правами доступа программ к зашифрованным файлам. Для любого приложения вы можете создать правило доступа к зашифрованным файлам, запрещающее доступ к зашифрованным файлам или разрешающее доступ к зашифрованным файлам только в виде шифротекста – последовательности символов, полученной в результате применения шифрования.
  • Создание зашифрованных архивов. Вы можете создавать зашифрованные архивы и защищать доступ к этим архивам паролем. Доступ к содержимому зашифрованных архивов можно получить только после ввода паролей, которыми вы защитили доступ к этим архивам. Такие архивы можно безопасно передавать по сети или на съемных дисках.
  • Полнодисковое шифрование. Вы можете выбрать технологию шифрования: Шифрование диска Kaspersky или Шифрование диска BitLocker (далее также "BitLocker").

    BitLocker – технология, являющаяся частью операционной системы Windows. Если компьютер оснащен доверенным платформенным модулем (англ. Trusted Platform Module – TPM), BitLocker использует его для хранения ключей восстановления, позволяющих получить доступ к зашифрованному жесткому диску. При загрузке компьютера BitLocker запрашивает у доверенного платформенного модуля ключи восстановления жесткого диска и разблокирует его. Вы можете настроить использование пароля и / или PIN-кода для доступа к ключам восстановления.

    Вы можете указать правило полнодискового шифрования по умолчанию и сформировать список жестких дисков для исключения из шифрования. Kaspersky Endpoint Security выполняет полнодисковое шифрование по секторам после применения политики Kaspersky Security Center. Приложение шифрует сразу все логические разделы жестких дисков.

    После шифрования системных жестких дисков при последующем включении компьютера доступ к ним, а также загрузка операционной системы возможны только после прохождения процедуры аутентификации с помощью

    Агента аутентификации
    . Для этого требуется ввести пароль токена или смарт-карты, подключенных к компьютеру, или имя и пароль учетной записи Агента аутентификации, созданной системным администратором локальной сети организации с помощью задачи Управления учетными записями Агента аутентификации. Эти учетные записи основаны на учетных записях пользователей Microsoft Windows, под которыми пользователи выполняют вход в операционную систему. Также вы можете использовать технологию единого входа (англ. Single Sign-On – SSO), позволяющую осуществлять автоматический вход в операционную систему с помощью имени и пароля учетной записи Агента аутентификации.

    Если для компьютера была создана резервная копия, затем данные компьютера были зашифрованы, после чего была восстановлена резервная копия компьютера и данные компьютера снова были зашифрованы, Kaspersky Endpoint Security формирует дубликаты учетных записей Агента аутентификации. Для удаления дубликатов требуется использовать утилиту klmover с ключом dupfix. Утилита klmover поставляется со сборкой Kaspersky Security Center. Подробнее о ее работе вы можете прочитать в справке для Kaspersky Security Center.

    Доступ к зашифрованным жестким дискам возможен только с компьютеров, на которых установлено приложение Kaspersky Endpoint Security с доступной функциональностью полнодискового шифрования. Это условие сводит к минимуму вероятность утечки информации, хранящейся на зашифрованном жестком диске, при использовании зашифрованного жесткого диска вне локальной сети организации.

Для шифрования жестких и съемных дисков вы можете использовать функцию шифрования только занятого пространства. Рекомендуется применять эту функцию только для новых, ранее не использовавшихся устройств. Если вы применяете шифрование на уже используемом устройстве, рекомендуется зашифровать все устройство. Это гарантирует защиту всех данных – даже удаленных, но еще содержащих извлекаемые сведения.

Перед началом шифрования Kaspersky Endpoint Security получает карту секторов файловой системы. В первом потоке шифруются секторы, занятые файлами на момент запуска шифрования. Во втором потоке шифруются секторы, в которые выполнялась запись после начала шифрования. После завершения шифрования все секторы, содержащие данные, оказываются зашифрованными.

Если после завершения шифрования пользователь удаляет файл, то секторы, в которых хранился этот файл, становятся свободными для дальнейшей записи информации на уровне файловой системы, но остаются зашифрованными. Таким образом, по мере записи файлов на новом устройстве при регулярном запуске шифрования с включенной функцией Шифровать только занятое пространство на компьютере через некоторое время будут зашифрованы все секторы.

Данные, необходимые для расшифровки объектов, предоставляет Сервер администрирования Kaspersky Security Center, под управлением которого находился компьютер в момент шифрования. Если по каким-либо причинам компьютер с зашифрованными объектами попал под управление другого Сервера администрирования, то получить доступ к зашифрованным данным возможно одним из следующих способов:

  • Серверы администрирования в одной иерархии:
    • Вам не нужно предпринимать никаких дополнительных действий. У пользователя останется доступ к зашифрованным объектам. Ключи шифрования распространяются на все Серверы администрирования.
  • Серверы администрирования разрознены:
    • Запросить доступ к зашифрованным объектам у администратора локальной сети организации.
    • Восстановить данные на зашифрованных устройствах с помощью утилиты восстановления.
    • Восстановить конфигурацию Сервера администрирования Kaspersky Security Center, под управлением которого находился компьютер в момент шифрования, из резервной копии и использовать эту конфигурацию на Сервере администрирования, под управлением которого оказался компьютер с зашифрованными объектами.

При отсутствии доступа к зашифрованным данным следуйте специальным инструкциям по работе с зашифрованными данными (Восстановление доступа к зашифрованным файлам, Работа с зашифрованными устройствами при отсутствии доступа к ним).

В этом разделе

Ограничения функциональности шифрования

Смена длины ключа шифрования (AES56 / AES256)

Шифрование диска Kaspersky

Управление BitLocker

Шифрование файлов на локальных дисках компьютера

Шифрование съемных дисков

Просмотр информации о шифровании данных

Работа с зашифрованными устройствами при отсутствии доступа к ним
В начало

[Topic 130984]

Ограничения функциональности шифрования

Шифрование данных имеет следующие ограничения:

  • В процессе шифрования приложение создает служебные файлы. Для их хранения требуется около 0,5% нефрагментированного свободного пространства на жестком диске компьютера. Если нефрагментированного свободного пространства на жестком диске недостаточно, то шифрование не запускается до тех пор, пока не обеспечено это условие.
  • Управление всеми компонентами шифрования данных доступно в Консоли администрирования Kaspersky Security Center и Kaspersky Security Center Web Console. В Kaspersky Security Center Cloud Console доступно только управление BitLocker.
  • Шифрование данных доступно только при использовании Kaspersky Endpoint Security с системой администрирования Kaspersky Security Center или Kaspersky Security Center Cloud Console (только BitLocker). Шифрование данных при использовании Kaspersky Endpoint Security в автономном режиме невозможно, так как Kaspersky Endpoint Security хранит в Kaspersky Security Center ключи шифрования.
  • Если приложение Kaspersky Endpoint Security установлено на компьютере под управлением операционной системы Microsoft Windows для серверов, то доступно только полнодисковое шифрование с помощью технологии Шифрование диска BitLocker. Если приложение Kaspersky Endpoint Security установлено на компьютере под управлением операционной системы Windows для рабочих станций, то функциональность шифрования данных доступна в полном объеме.

Функциональность полнодискового шифрования с помощью технологии Шифрование диска Kaspersky недоступна для жестких дисков, которые не отвечают аппаратным и программным требованиям.

Не поддерживается совместимость между функциональностью полнодискового шифрования Kaspersky Endpoint Security и Антивирусом Касперского для UEFI. Антивирус Касперского для UEFI запускается до загрузки операционной системы. При полнодисковом шифровании приложение обнаружит отсутствие установленной операционной системы на компьютере. В результате работа Антивируса Касперского для UEFI завершится с ошибкой. Шифрование файлов (FLE) не влияет на работу Антивируса Касперского для UEFI.

Kaspersky Endpoint Security поддерживает следующие конфигурации:

  • HDD, SSD, USB-диски.

    Технология Шифрование диска Kaspersky (FDE) поддерживает работу с SSD-дисками с сохранением производительности и срока службы SSD-дисков.

  • Диски, подключенные по шине: SCSI, ATA, IEEE1934, USB, RAID, SAS, SATA, NVME.
  • Несъемные диски, подключенные по шинам SD или MMC.
  • Диски с размером сектора 512 байт.
  • Диски с размером сектора 4096 байт, которые эмулируют 512 байт.
  • Диски с типом партиций: GPT, MBR, VBR (съемные диски).
  • Встроенное программное обеспечение стандарта UEFI 64 и Legacy BIOS.
  • Встроенное программное обеспечение стандарта UEFI с поддержкой Secure Boot.

    Secure Boot – технология проверки цифровых подписей для UEFI приложений-загрузчиков и драйверов. Secure Boot запрещает запуск неподписанных или подписанных неизвестными издателями UEFI приложений и драйверов. Шифрование диска Kaspersky (FDE) полностью поддерживает Secure Boot. Агент аутентификации подписан сертификатом Microsoft Windows UEFI Driver Publisher.

    На некоторых устройствах (например, Microsoft Surface Pro и Microsoft Surface Pro 2) по умолчанию может быть установлен устаревший список сертификатов для проверки цифровых подписей. Перед шифрованием диска вам нужно обновить список сертификатов.

  • Встроенное программное обеспечение стандарта UEFI с поддержкой Fast Boot.

    Fast Boot – технология, позволяющая ускорить загрузку компьютера. При включенной технологии Fast Boot обычно загружается только минимальный набор UEFI-драйверов, необходимый для запуска операционной системы. При включенной технологии Fast Boot при работе с Агентом аутентификации могут не работать USB-клавиатуры, мыши, USB-токены, тачпады или тачскрины.

    Для использования технологии Шифрование диска Kaspersky (FDE) рекомендуется выключить технологию Fast Boot. Вы можете проверить работу технологии Шифрование диска Kaspersky (FDE) с помощью FDE Test Utility.

Kaspersky Endpoint Security не поддерживает следующие конфигурации:

  • Схема, при которой загрузчик расположен на одном диске, а операционная система – на другом.
  • Встроенное программное обеспечение стандарта UEFI 32.
  • Система с технологией Intel Rapid Start Technology и диски с разделом гибернации (hibernation partition), даже при отключенном использовании Intel Rapid Start Technology.
  • Диски в формате MBR, имеющие более 10 расширенных разделов (extended partitions).
  • Система, в которой есть файл подкачки, расположенный не на системном диске.
  • Мультизагрузочная система с несколькими одновременно установленными операционными системами.
  • Динамические разделы (поддерживаются только разделы основного типа).
  • Диски, на которых менее 0,5% свободного нефрагментированного пространства.
  • Диски с размером сектора, отличным от 512 байт или 4096 байт, которые эмулируют 512 байт.
  • Гибридные диски.
  • Система со сторонними загрузчиками.
  • Диски со сжатыми NTFS-директориями.
  • Технология Шифрование диска Kaspersky (FDE) несовместима с другими технологиями полнодискового шифрования (например, BitLocker, McAfee Drive Encryption, WinMagic SecureDoc).
  • Технология Шифрование диска Kaspersky (FDE) несовместима с технологией ExpressCache.
  • Создание, удаление и изменение разделов на зашифрованном диске не поддерживается. Вы можете потерять данные.
  • Не поддерживается форматирование файловых систем. Вы можете потерять данные.

    Если необходимо отформатировать диск, зашифрованный технологией Шифрование диска Kaspersky (FDE), выполняйте форматирование диска на компьютере без Kaspersky Endpoint Security для Windows и используйте только полное форматирование.

    Зашифрованный диск, отформатированный с помощью быстрого форматирования, при следующем подключении к компьютеру с Kaspersky Endpoint Security для Windows может быть ошибочно распознан как зашифрованный. Пользовательские данные будут недоступны.

  • Агент аутентификации поддерживает не более 100 учетных записей.
  • Технология единого входа (Single Sign-On) несовместима с другими технологиями сторонних производителей.
  • Технология Шифрование диска Kaspersky (FDE) не поддерживается на следующих моделях устройств:
    • Dell Latitude E6410 (UEFI mode);
    • HP Compaq nc8430 (Legacy BIOS mode);
    • Lenovo Think Center 8811 (Legacy BIOS mode).
  • Агент аутентификации не поддерживает работу с USB-токенами при включенной функции Legacy USB Support. На компьютере будет возможна аутентификация только по паролю.
  • При шифровании диска в режиме Legacy BIOS рекомендуется включить функцию Legacy USB Support на следующих моделях устройств:
    • Acer Aspire 5560G;
    • Acer Aspire 6930;
    • Acer TravelMate 8572T;
    • Dell Inspiron 1420;
    • Dell Inspiron 1545;
    • Dell Inspiron 1750;
    • Dell Inspiron N4110;
    • Dell Latitude E4300;
    • Dell Studio 1537;
    • Dell Studio 1569;
    • Dell Vostro 1310;
    • Dell Vostro 1320;
    • Dell Vostro 1510;
    • Dell Vostro 1720;
    • Dell Vostro V13;
    • Dell XPS L502x;
    • Fujitsu Celsius W370;
    • Fujitsu LifeBook A555;
    • HP Compaq dx2450 Microtower PC;
    • Lenovo G550;
    • Lenovo ThinkPad L530;
    • Lenovo ThinkPad T510;
    • Lenovo ThinkPad W540;
    • Lenovo ThinkPad X121e;
    • Lenovo ThinkPad X200s (74665YG);
    • Samsung R530;
    • Toshiba Satellite A350;
    • Toshiba Satellite U400 10O;
    • MSI 760GM-E51 (материнская плата).
В начало

[Topic 130874]

Смена длины ключа шифрования (AES56 / AES256)

Kaspersky Endpoint Security использует алгоритм шифрования AES (Advanced Encryption Standard). Kaspersky Endpoint Security поддерживает алгоритм шифрования AES с эффективной длиной ключа 256 и 56 бит. Алгоритм шифрования данных зависит от библиотеки шифрования AES, входящей в состав дистрибутива: Strong encryption (AES256) или Lite encryption (AES56). Библиотека шифрования AES устанавливается вместе с приложением.

Смена длины ключа шифрования доступна только для Kaspersky Endpoint Security 11.2.0 и выше.

Смена длины ключа шифрования состоит из следующих этапов:

  1. Расшифруйте объекты, которые приложение Kaspersky Endpoint Security зашифровало до начала смены длины ключа шифрования:
    1. Расшифруйте жесткие диски.
    2. Расшифруйте файлы на локальных дисках.
    3. Расшифруйте съемные диски.

    После смены длины ключа шифрования объекты, зашифрованные ранее, становятся недоступны.

  2. Удалите Kaspersky Endpoint Security.
  3. Установите Kaspersky Endpoint Security из дистрибутива Kaspersky Endpoint Security с другой библиотекой шифрования.

Вы также можете сменить длину ключа шифрования через обновление приложения. Смена длины ключа через обновление приложения доступна при выполнении следующих условий:

  • На компьютере установлено приложение Kaspersky Endpoint Security версии 10 Service Pack 2 и выше.
  • На компьютере не установлены компоненты шифрования данных: Шифрование файлов, Полнодисковое шифрование.

    По умолчанию компоненты шифрования данных не включены в состав Kaspersky Endpoint Security. Компонент Управление BitLocker не влияет на смену длины ключа шифрования.

Для смены длины ключа шифрования запустите файл kes_win.msi или setup_kes.exe из дистрибутива с нужной библиотекой шифрования. Также вы можете обновить приложение дистанционно с помощью инсталляционного пакета.

Невозможно сменить длину ключа шифрования с помощью дистрибутива той же версии приложения, которое установлено на вашем компьютере, без предварительного удаления приложения.

В начало

[Topic 137268]

Шифрование диска Kaspersky

Технология Шифрование диска Kaspersky доступна только для компьютеров под управлением операционной системы Windows для рабочих станций. Для компьютеров под управлением операционной системы Windows для серверов используйте технологию Шифрование диска BitLocker.

Kaspersky Endpoint Security поддерживает полнодисковое шифрование в файловых системах FAT32, NTFS и exFat.

Перед запуском полнодискового шифрования приложение выполняет ряд проверок на возможность шифрования устройства, в том числе и проверку совместимости системного жесткого диска с Агентом аутентификации или с компонентами шифрования BitLocker. Для проверки совместимости требуется выполнить перезагрузку компьютера. После перезагрузки компьютера приложение в автоматическом режиме выполняет все необходимые проверки. Если проверка на совместимость проходит успешно, то после загрузки операционной системы и запуска приложения запускается полнодисковое шифрование. Если в процессе проверки обнаруживается несовместимость системного жесткого диска с Агентом аутентификации или с компонентами шифрования BitLocker, требуется перезагрузить компьютер с помощью аппаратной кнопки (Reset). Kaspersky Endpoint Security фиксирует информацию о несовместимости, на основе которой не запускает полнодисковое шифрование после старта операционной системы. В отчетах Kaspersky Security Center выводится информация об этом событии.

Если аппаратная конфигурация компьютера изменилась, то для проверки системного жесткого диска на совместимость с Агентом аутентификации и компонентами шифрования BitLocker требуется удалить информацию о несовместимости, полученную приложением при предыдущей проверке. Для этого перед полнодисковым шифрованием в командной строке требуется ввести команду avp pbatestreset. Если после проверки системного жесткого диска на совместимость с Агентом аутентификации операционная система не может запуститься, требуется удалить объекты и данные, оставшиеся после тестовой работы Агента аутентификации, с помощью утилиты восстановления, далее запустить Kaspersky Endpoint Security и выполнить команду avp pbatestreset повторно.

После запуска полнодисковое шифрование Kaspersky Endpoint Security шифрует все, что записывается на жесткие диски.

Если во время полнодискового шифрования пользователь выключает или перезагружает компьютер, то перед последующей загрузкой операционной системы загружается Агент аутентификации. После прохождения процедуры аутентификации в агенте и загрузки операционной системы Kaspersky Endpoint Security возобновляет полнодисковое шифрование.

Если во время полнодискового шифрования операционная система переходит в режим гибернации (hibernation mode), то при выводе операционной системы из режима гибернации загружается Агент аутентификации. После прохождения процедуры аутентификации в агенте и загрузки операционной системы Kaspersky Endpoint Security возобновляет полнодисковое шифрование.

Если во время полнодискового шифрования операционная система переходит в спящий режим (sleep mode), то при выводе операционной системы из спящего режима Kaspersky Endpoint Security возобновляет полнодисковое шифрование без загрузки Агента аутентификации.

Аутентификация пользователя в Агенте аутентификации может выполняться двумя способами:

  • путем ввода имени и пароля учетной записи Агента аутентификации, созданной администратором локальной сети организации средствами Kaspersky Security Center;
  • путем ввода пароля подключенного к компьютеру токена или смарт-карты.

    Использование токена или смарт-карты доступно, только если жесткие диски компьютера зашифрованы с помощью алгоритма шифрования AES256. Если жесткие диски компьютера зашифрованы с помощью алгоритма шифрования AES56, то в добавлении файла электронного сертификата в команду будет отказано.

Агент аутентификации поддерживает раскладки клавиатуры для следующих языков:

  • Английский (Великобритания);
  • Английский (США);
  • Арабский (Алжир, Марокко, Тунис, раскладка AZERTY);
  • Испанский (Латинская Америка);
  • Итальянский;
  • Немецкий (Германия и Австрия);
  • Немецкий (Швейцария);
  • Португальский (Бразилия, раскладка ABNT2);
  • Русский (для 105-клавишных клавиатур IBM / Windows с раскладкой ЙЦУКЕН);
  • Турецкий (раскладка QWERTY);
  • Французский (Франция);
  • Французский (Швейцария);
  • Французский (Бельгия, раскладка AZERTY);
  • Японский (для 106-клавишных клавиатур с раскладкой QWERTY).

Раскладка клавиатуры становится доступной в Агенте аутентификации, если она добавлена в настройках языка и региональных стандартов операционной системы и доступна на экране приветствия Microsoft Windows.

Если имя учетной записи Агента аутентификации содержит символы, которые невозможно ввести с помощью доступных в Агенте аутентификации раскладок клавиатуры, то доступ к зашифрованным жестким дискам возможен только после их восстановления с помощью утилиты восстановления или после восстановления имени и пароля учетной записи Агента аутентификации.

В этом разделе

Особенности шифрования SSD-дисков

Запуск шифрования диска Kaspersky

Формирование списка жестких дисков для исключения из шифрования

Экспорт и импорт списка жестких дисков для исключения из шифрования

Включение использования технологии единого входа (SSO)

Управление учетными записями Агента аутентификации

Использование токена и смарт-карты при работе с Агентом аутентификации

Расшифровка жестких дисков

Восстановление доступа к диску, защищенному технологией Шифрование диска Kaspersky

Вход под служебной учетной записью Агента аутентификации

Обновление операционной системы

Устранение ошибок при обновлении функциональности шифрования

Выбор уровня трассировки Агента аутентификации

Изменение справочных текстов Агента аутентификации

Удаление объектов и данных, оставшихся после тестовой работы Агента аутентификации
В начало

[Topic 202601]

Особенности шифрования SSD-дисков

Приложение поддерживает шифрование SSD-дисков, гибридных SSHD-дисков и дисков с функцией Intel Smart Response. Приложение не поддерживает шифрование дисков с функцией Intel Rapid Start. Перед шифрованием диска выключите функцию Intel Rapid Start.

Шифрование SSD-дисков имеет следующие особенности:

Для запуска шифрования SSD-диска требуется 5-10 ГБ свободного пространства. Требования к свободному пространству для хранения служебных данных шифрования представлены в таблице ниже.

Требования к свободному пространству для хранения служебных данных шифрования

Объем SSD-диска (ГБ)

Объем свободного пространства на первичном разделе SSD-диска (МБ)

Объем свободного пространства на вторичном разделе SSD-диска (МБ)

128

250

64

256

250

640

512

300

128

В начало

[Topic 123502]

Запуск шифрования диска Kaspersky

Перед запуском полнодискового шифрования рекомендуется убедиться в том, что компьютер не заражен. Для этого запустите полную проверку или проверку важных областей компьютера. Выполнение полнодискового шифрования на компьютере, зараженном руткитом, может привести к неработоспособности компьютера.

Перед запуском шифрования диска вам нужно проверить параметры учетных записей Агента аутентификации. Агент аутентификации нужен для работы с дисками, которые защищены с помощью технологии Шифрование диска Kaspersky (FDE). Перед загрузкой операционной системы пользователю нужно пройти аутентификацию с помощью агента. Kaspersky Endpoint Security позволяет автоматически создавать учетные записи Агента аутентификации перед шифрованием диска. Вы можете включить автоматическое создание учетных записей Агента аутентификации в параметрах политики полнодискового шифрования (см. инструкцию ниже). Также вы можете использовать технологию единого входа (SSO).

Kaspersky Endpoint Security позволяет автоматически создавать учетные записи Агента аутентификации для следующих групп пользователей:

  • Все учетные записи компьютера. Все учетные записи компьютера, которые когда-либо были активными.
  • Все доменные учетные записи компьютера. Все учетные записи компьютера, которые принадлежат какому-либо домену и которые когда-либо были активными.
  • Все локальные учетные записи компьютера. Все локальные учетные записи компьютера, которые когда-либо были активными.
  • Служебная учетная запись с одноразовым паролем. Служебная учетная запись нужна для доступа к компьютеру в случаях, когда пользователь, например, забыл пароль. Также вы можете использовать служебную учетную запись в качестве резервной учетной записи. Вам нужно указать имя учетной записи (по умолчанию ServiceAccount). Kaspersky Endpoint Security создаст пароль автоматически. Пароль вы можете посмотреть в консоли Kaspersky Security Center.
  • Локальный администратор. Kaspersky Endpoint Security создает учетную запись Агента аутентификации для локального администратора компьютера.
  • Менеджер компьютера. Kaspersky Endpoint Security создает учетную запись Агента аутентификации для учетной записи менеджера компьютера. Вы можете посмотреть какая учетная запись имеет роль менеджера компьютера в свойствах компьютера в Active Directory. По умолчанию роль менеджера компьютера не определена, то есть не соответствует ни одной учетной записи.
  • Активная учетная запись. Kaspersky Endpoint Security автоматически создает учетную запись Агента аутентификации для учетной записи активной в момент выполнения шифрования диска.

Для настройки параметров аутентификации пользователей предназначена задача Управление учетными записями Агента аутентификации. С помощью задачи вы можете добавлять новые учетные записи, изменять параметры текущих учетных записей или удалять учетные записи, если требуется. Вы можете использовать как локальные задачи для отдельных компьютеров, так и групповые задачи для компьютеров из отдельных групп администрирования или выборки компьютеров.

Как запустить шифрование диска Kaspersky через Консоль администрирования (MMC)

  1. Откройте Консоль администрирования Kaspersky Security Center.
  2. В папке Управляемые устройства дерева Консоли администрирования откройте папку с названием группы администрирования, в состав которой входят нужные клиентские компьютеры.
  3. В рабочей области выберите закладку Политики.
  4. Выберите нужную политику и откройте свойства политики двойным щелчком мыши.
  5. В окне политики выберите Шифрование данныхПолнодисковое шифрование.
  6. В раскрывающемся списке Технология шифрования выберите элемент Шифрование диска Kaspersky.

    Применение технологии шифрования Шифрование диска Kaspersky невозможно, если на компьютере есть жесткие диски, зашифрованные с помощью BitLocker.

  7. В раскрывающемся списке Режим шифрования выберите элемент Шифровать все жесткие диски.

    Если на компьютере установлено несколько операционных систем, то после шифрования всех жестких дисков вы сможете выполнить загрузку только той операционной системы, в которой установлено приложение.

    Если некоторые жесткие диски нужно исключить из шифрования, сформируйте их список.

  8. Настройте дополнительные параметры шифрования диска Kaspersky (см. таблицу ниже).
  9. Сохраните внесенные изменения.

Как запустить шифрование диска Kaspersky через Web Console и Cloud Console

  1. В главном окне Web Console выберите УстройстваПолитики и профили политик.
  2. Нажмите на название политики Kaspersky Endpoint Security.

    Откроется окно свойств политики.

  3. Выберите закладку Параметры программы.
  4. Перейдите в раздел Шифрование данныхПолнодисковое шифрование.
  5. В блоке Управление шифрованием выберите элемент Шифрование диска Kaspersky.
  6. Перейдите по ссылке Шифрование диска Kaspersky.

    Откроется окно с параметрами шифрования диска Kaspersky.

    Применение технологии шифрования Шифрование диска Kaspersky невозможно, если на компьютере есть жесткие диски, зашифрованные с помощью BitLocker.

  7. В раскрывающемся списке Режим шифрования выберите элемент Шифровать все жесткие диски.

    Если на компьютере установлено несколько операционных систем, то после шифрования вы сможете выполнить загрузку только той операционной системы, в которой выполнялось шифрование.

    Если некоторые жесткие диски нужно исключить из шифрования, сформируйте их список.

  8. Настройте дополнительные параметры шифрования диска Kaspersky (см. таблицу ниже).
  9. Сохраните внесенные изменения.

Вы можете контролировать процесс шифрования или расшифровки диска на компьютере пользователя с помощью инструмента Мониторинг шифрования. Вы можете запустить инструмент Мониторинг шифрования из главного окна приложения.

Если системные жесткие диски зашифрованы, перед загрузкой операционной системы загружается Агент аутентификации. С помощью Агента аутентификации требуется пройти процедуру аутентификации для получения доступа к зашифрованным системным жестким дискам и загрузки операционной системы. После успешного прохождения процедуры аутентификации загружается операционная система. При последующих перезагрузках операционной системы требуется повторно проходить процедуру аутентификации.

Параметры компонента Шифрование диска Kaspersky

Параметр

Описание

Автоматически создавать учетные записи Агента аутентификации для пользователей при применении шифрования на компьютере

Если флажок установлен, приложение создает учетные записи Агента аутентификации на основе списков учетных записей Windows на компьютере. По умолчанию Kaspersky Endpoint Security использует все локальные и доменные учетные записи, с помощью которых пользователь выполнял вход в операционную систему за последние 30 дней.

Автоматически создавать учетные записи Агента аутентификации для всех пользователей на компьютере при входе

Если флажок установлен, приложение проверяет информацию об учетных записях Windows на компьютере перед запуском Агента аутентификации. Если Kaspersky Endpoint Security обнаружит учетную запись Windows, для которой нет учетной записи Агента аутентификации, приложение создаст новую учетную запись для доступа к зашифрованным дискам. Новая учетная запись Агента аутентификации будет иметь параметры по умолчанию: вход только по паролю, смена пароля при первой аутентификации. Таким образом, вам не нужно вручную добавлять учетные записи Агента аутентификации с помощью задачи Управление учетными записями Агента аутентификации для компьютеров с уже зашифрованными дискам.

Сохранять введенное в Агенте аутентификации имя пользователя

Если флажок установлен, то приложение сохраняет имя учетной записи Агента аутентификации. При последующей аутентификации в Агенте аутентификации под той же учетной записью имя учетной записи вводить не требуется.

Шифровать только занятое пространство (сокращает время шифрования)

Флажок включает / выключает функцию, ограничивающую область шифрования только занятыми секторами жесткого диска. Это ограничение позволяет сократить время шифрования.

Включение / выключение функции Шифровать только занятое пространство (ОС Windows 8 и выше) после запуска шифрования не изменяет этого параметра до тех пор, пока жесткие диски не будут расшифрованы. Требуется установить или снять флажок до начала шифрования.

Если флажок установлен, то шифруется только та часть жесткого диска, которая занята файлами. Kaspersky Endpoint Security зашифровывает новые данные автоматически по мере их добавления.

Если флажок снят, то шифруется весь жесткий диск, в том числе остатки удаленных и отредактированных ранее файлов.

Данную функцию рекомендуется применять для новых жестких дисков, данные которых не редактировались и не удалялись. Если вы применяете шифрование на уже используемом жестком диске, рекомендуется зашифровать весь жесткий диск. Это гарантирует защиту всех данных – даже удаленных, но потенциально восстанавливаемых.

По умолчанию флажок снят.

Использовать Legacy USB Support (не рекомендуется)

Флажок включает / выключает функцию Legacy USB Support. Legacy USB Supportфункция BIOS / UEFI, которая позволяет использовать USB-устройства (например, токен) на этапе загрузки компьютера до запуска операционной системы (BIOS-режим). Функция Legacy USB Support не влияет на поддержку USB-устройств после запуска операционной системы.

Если флажок установлен, то будет включена поддержка USB-устройств на этапе начальной загрузки компьютера.

При включенной функции Legacy USB Support Агент аутентификации в BIOS-режиме не поддерживает работу с токенами по USB. Функцию рекомендуется использовать только при возникновении проблемы несовместимости с аппаратным обеспечением и только для тех компьютеров, на которых возникла проблема.

В начало

[Topic 123501]

Формирование списка жестких дисков для исключения из шифрования

Вы можете сформировать список исключений из шифрования только для технологии Шифрование диска Kaspersky.

Чтобы сформировать список жестких дисков для исключения из шифрования, выполните следующие действия:

  1. Откройте Консоль администрирования Kaspersky Security Center.
  2. В папке Управляемые устройства дерева Консоли администрирования откройте папку с названием группы администрирования, в состав которой входят нужные клиентские компьютеры.
  3. В рабочей области выберите закладку Политики.
  4. Выберите нужную политику и откройте свойства политики двойным щелчком мыши.
  5. В окне политики выберите Шифрование данныхПолнодисковое шифрование.
  6. В раскрывающемся списке Технология шифрования выберите вариант Шифрование диска Kaspersky.

    В таблице Не шифровать следующие жесткие диски отобразятся записи о жестких дисках, которые приложение не будет шифровать. Если вы ранее не сформировали список жестких дисков для исключения из шифрования, эта таблица пуста.

  7. Если вы хотите добавить жесткие диски в список жестких дисков, которые приложение не будет шифровать, выполните следующие действия:
    1. Нажмите на кнопку Добавить.
    2. В открывшемся окне укажите значения параметров Название, Компьютер, Тип диска, Шифрование диска Kaspersky.
    3. Нажмите на кнопку Обновить.
    4. В графе Название установите флажки в строках таблицы, соответствующих тем жестким дискам, которые вы хотите добавить в список жестких дисков для исключения из шифрования.
    5. Нажмите на кнопку .

    Выбранные жесткие диски отобразятся в таблице Не шифровать следующие жесткие диски.

  8. Сохраните внесенные изменения.
В начало

[Topic 202258]

Экспорт и импорт списка жестких дисков для исключения из шифрования

Вы можете экспортировать список исключений жестких дисков из шифрования в файл в формате XML. Далее вы можете вносить изменения в файл, чтобы, например, добавить большое количество однотипных исключений. Также вы можете использовать функцию экспорта / импорта для резервного копирования списка исключений или для миграции исключений на другой сервер.

Как экспортировать / импортировать список исключений жестких дисков из шифрования в Консоли администрирования (MMC)

  1. Откройте Консоль администрирования Kaspersky Security Center.
  2. В папке Управляемые устройства дерева Консоли администрирования откройте папку с названием группы администрирования, в состав которой входят нужные клиентские компьютеры.
  3. В рабочей области выберите закладку Политики.
  4. Выберите нужную политику и откройте свойства политики двойным щелчком мыши.
  5. В окне политики выберите Шифрование данныхПолнодисковое шифрование.
  6. В раскрывающемся списке Технология шифрования выберите вариант Шифрование диска Kaspersky.

    В таблице Не шифровать следующие жесткие диски отобразятся записи о жестких дисках, которые приложение не будет шифровать.

  7. Для экспорта списка исключений, выполните следующие действия:
    1. Выберите исключения, которые вы хотите экспортировать. Чтобы выбрать несколько записей, используйте клавиши CTRL или SHIFT.

      Если вы не выбрали ни одного исключения, Kaspersky Endpoint Security экспортирует все исключения.

    2. Нажмите на ссылку Экспортировать.
    3. В открывшемся окне введите имя файла формата XML, в который вы хотите экспортировать список исключений, а также выберите папку, в которой вы хотите сохранить этот файл.
    4. Сохраните файл.

      Kaspersky Endpoint Security экспортирует список исключений в XML-файл.

  8. Для импорта списка исключений, выполните следующие действия:
    1. Нажмите на кнопку Импорт.
    2. В открывшемся окне выберите XML-файл, из которого вы хотите импортировать список исключений.
    3. Откройте файл.

      Если на компьютере уже есть список исключений, Kaspersky Endpoint Security предложит удалить действующий список или добавить в него новые записи из XML-файла.

  9. Сохраните внесенные изменения.

Как экспортировать / импортировать список исключений жестких дисков из шифрования в Web Console

  1. В главном окне Web Console выберите УстройстваПолитики и профили политик.
  2. Нажмите на название политики Kaspersky Endpoint Security.

    Откроется окно свойств политики.

  3. Выберите закладку Параметры программы.
  4. Перейдите в раздел Шифрование данныхПолнодисковое шифрование.
  5. Выберите технологию Шифрование диска Kaspersky и перейдите по ссылке для настройки параметров.

    Откроются параметры шифрования.

  6. Перейдите по ссылке Исключения.
  7. Для экспорта списка исключений выполните следующие действия:
    1. Выберите исключения, которые вы хотите экспортировать.
    2. Нажмите на кнопку Экспорт.
    3. Подтвердите, что вы хотите экспортировать только выбранные исключения, или экспортируйте весь список.
    4. В открывшемся окне введите имя файла формата XML, в который вы хотите экспортировать список исключений, а также выберите папку, в которой вы хотите сохранить этот файл.
    5. Сохраните файл.

      Kaspersky Endpoint Security экспортирует список исключений в XML-файл.

  8. Для импорта списка исключений, выполните следующие действия:
    1. Нажмите на кнопку Импорт.
    2. В открывшемся окне выберите XML-файл, из которого вы хотите импортировать список исключений.
    3. Откройте файл.

      Если на компьютере уже есть список исключений, Kaspersky Endpoint Security предложит удалить действующий список или добавить в него новые записи из XML-файла.

  9. Сохраните внесенные изменения.
В начало

[Topic 128315]

Включение использования технологии единого входа (SSO)

Технология единого входа (англ. Single Sign-On – SSO) позволяет выполнить автоматический вход в операционную систему с помощью учетных данных Агента аутентификации. Таким образом, при входе в Windows пользователю нужно ввести пароль только один раз (пароль учетной записи Агента аутентификации). Также технология единого входа позволяет автоматически обновлять пароль учетной записи Агента аутентификации при смене пароля учетной записи Windows.

При использовании технологии единого входа Агент аутентификации игнорирует требования к надежности пароля, заданные в Kaspersky Security Center. Вы можете задать требования к надежности пароля в параметрах операционной системы.

Включение использования технологии единого входа

Как включить использование технологии единого входа в Консоли администрирования (MMC)

  1. Откройте Консоль администрирования Kaspersky Security Center.
  2. В папке Управляемые устройства дерева Консоли администрирования откройте папку с названием группы администрирования, в состав которой входят нужные клиентские компьютеры.
  3. В рабочей области выберите закладку Политики.
  4. Выберите нужную политику и откройте свойства политики двойным щелчком мыши.
  5. В окне политики выберите Шифрование данныхОбщие настройки шифрования.
  6. В блоке Настройки паролей нажмите на кнопку Настройка.
  7. В открывшемся окне на закладке Агент аутентификации установите флажок Использовать технологию единого входа (SSO).
  8. Если вы используете стороннего поставщика учетных данных, установите флажок Включить поддержку сторонних поставщиков учетных данных.
  9. Сохраните внесенные изменения.

В результате пользователю нужно пройти процедуру аутентификации только один раз с помощью агента. Проходить процедуру аутентификации для загрузки операционной системы не требуется. Операционная система загружается автоматически.

Как включить использование технологии единого входа в Web Console

  1. В главном окне Web Console выберите УстройстваПолитики и профили политик.
  2. Нажмите на название политики Kaspersky Endpoint Security.

    Откроется окно свойств политики.

  3. Выберите закладку Параметры программы.
  4. Перейдите в раздел Шифрование данныхПолнодисковое шифрование.
  5. Выберите технологию Шифрование диска Kaspersky и перейдите по ссылке для настройки параметров.

    Откроются параметры шифрования.

  6. В блоке Настройки паролей установите флажок Использовать технологию единого входа (SSO).
  7. Если вы используете стороннего поставщика учетных данных, установите флажок Включить поддержку сторонних поставщиков учетных данных.
  8. Сохраните внесенные изменения.

В результате пользователю нужно пройти процедуру аутентификации только один раз с помощью агента. Проходить процедуру аутентификации для загрузки операционной системы не требуется. Операционная система загружается автоматически.

Для работы технологии единого входа пароль учетной записи Windows и пароль учетной записи Агента аутентификации должны совпадать. Если пароли не совпадают, то пользователю нужно выполнить процедуру аутентификации дважды: в интерфейсе Агента аутентификации и перед загрузкой операционной системы. Эти действия нужно выполнить только один раз, чтобы синхронизировать пароли. После этого Kaspersky Endpoint Security заменит пароль учетной записи Агента аутентификации на пароль учетной записи Windows. При смене пароля учетной записи Windows приложение будет автоматически обновлять пароль для учетной записи Агента аутентификации.

Сторонние поставщики учетных данных

В Kaspersky Endpoint Security версии 11.10.0 добавлена поддержка сторонних поставщиков учетных данных.

Kaspersky Endpoint Security поддерживает стороннего поставщика учетных данных ADSelfService Plus.

При работе со сторонними поставщиками учетных данных Агент аутентификации перехватывает пароль перед загрузкой операционной системы. Таким образом, при входе в Windows пользователю нужно ввести пароль только один раз. После входа в Windows пользователь может использовать возможности стороннего поставщика учетных данных, например, для аутентификации в сервисах организации. Также сторонние поставщики учетных данных позволяют пользователям самостоятельно сбрасывать пароль. В этом случае Kaspersky Endpoint Security обновит пароль для Агента аутентификации автоматически.

Если вы используете стороннего поставщика учетных данных, который не поддерживается приложением, вы можете столкнуться с ограничениями в работе технологии единого входа. При входе в Windows пользователю будут доступны два профиля: системный поставщик учетных данных и сторонний поставщик учетных данных. При этом иконки профилей будут одинаковые (см. рис. ниже). В результате возможны следующие варианты продолжения работы:

  • Если пользователь выбирает стороннего поставщика учетных данных, Агент аутентификации не может синхронизировать пароль с учетной записью Windows. Таким образом, если пользователь сменил пароль учетной записи Windows, Kaspersky Endpoint Security не может обновить пароль для учетной записи Агента аутентификации. В результате пользователю нужно выполнять процедуру аутентификации дважды: в интерфейсе Агента аутентификации и перед загрузкой операционной системы. При этом пользователь может использовать возможности стороннего поставщика учетных данных, например, для аутентификации в сервисах организации.
  • Если пользователь выбирает системного поставщика учетных данных, Агент аутентификации синхронизирует пароли с учетной записью Windows. При этом пользователь не может использовать возможности стороннего поставщика, например, для аутентификации в сервисах организации.

    unlock_kes11_FDE_Sign_in

    Системный и сторонний профили аутентификации при входе в Windows

В начало

[Topic 194443]

Управление учетными записями Агента аутентификации

Агент аутентификации нужен для работы с дисками, которые защищены с помощью технологии Шифрование диска Kaspersky (FDE). Перед загрузкой операционной системы пользователю нужно пройти аутентификацию с помощью агента. Для настройки параметров аутентификации пользователей предназначена задача Управление учетными записями Агента аутентификации. Вы можете использовать как локальные задачи для отдельных компьютеров, так и групповые задачи для компьютеров из отдельных групп администрирования или выборки компьютеров.

Настроить расписание запуска задачи Управление учетными записями Агента аутентификации невозможно. Также невозможно принудительно остановить выполнение задачи.

Как создать задачу Управление учетными записями Агента аутентификации в Консоли администрирования (MMC)

  1. В Консоли администрирования перейдите в папку Сервер администрированияЗадачи.

    Откроется список задач.

  2. Нажмите на кнопку Новая задача.

Запустится мастер создания задачи. Следуйте его указаниям.

Шаг 1. Выбор типа задачи

Выберите Kaspersky Endpoint Security для Windows (11.10.0)Управление учетными записями Агента аутентификации.

Шаг 2. Выбор команды управления учетными записями Агента аутентификации

Сформируйте список команд управления учетными записями Агента аутентификации. Команды управления позволяют добавлять, изменять и удалять учетные записи Агента аутентификации (см. инструкции ниже). Только пользователи, которые имеют учетную запись Агента аутентификации, могут пройти процедуру аутентификации, загрузить операционную систему и получить доступ к зашифрованному диску.

Шаг 3. Выбор устройств, которым будет назначена задача

Выберите компьютеры, на которых будет выполнена задача. Доступны следующие способы:

  • Назначить задачу группе администрирования. В этом случае задача назначается компьютерам, входящим в ранее созданную группу администрирования.
  • Выбрать компьютеры, обнаруженные в сети Сервером администрирования, – нераспределенные устройства. В набор устройств вы можете включать как устройства в группах администрирования, так и нераспределенные устройства.
  • Задать адреса устройств вручную или импортировать из списка. Вы можете задавать NetBIOS-имена, IP-адреса, а также диапазоны IP-адресов устройств, которым нужно назначить задачу.

Шаг 4. Определение названия задачи

Введите название задачи, например, Учетные записи администраторов.

Шаг 5. Завершение создания задачи

Завершите работу мастера. Если требуется, установите флажок Запустить задачу после завершения работы мастера. Вы можете следить за ходом выполнения задачи в свойствах задачи.

В результате после выполнения задачи при следующей загрузке компьютера новый пользователь может пройти процедуру аутентификации, загрузить операционную систему и получить доступ к зашифрованному диску.

Как создать задачу Управление учетными записями Агента аутентификации в Web Console

  1. В главном окне Web Console выберите УстройстваЗадачи.

    Откроется список задач.

  2. Нажмите на кнопку Добавить.

Запустится мастер создания задачи. Следуйте его указаниям.

Шаг 1. Настройка основных параметров задачи

Настройте основные параметры задачи:

  1. В раскрывающемся списке Программа выберите Kaspersky Endpoint Security для Windows (11.10.0).
  2. В раскрывающемся списке Тип задачи выберите Управление учетными записями Агента аутентификации.
  3. В поле Название задачи введите короткое описание, например, Учетные записи администраторов.
  4. В блоке Выбор устройств, которым будет назначена задача выберите область действия задачи.

Шаг 2. Управление учетными записями Агента аутентификации

Сформируйте список команд управления учетными записями Агента аутентификации. Команды управления позволяют добавлять, изменять и удалять учетные записи Агента аутентификации (см. инструкции ниже). Только пользователи, которые имеют учетную запись Агента аутентификации, могут пройти процедуру аутентификации, загрузить операционную систему и получить доступ к зашифрованному диску.

Шаг 3. Завершение создание задачи

Завершите работу мастера. В списке задач отобразится новая задача.

Для выполнения задачи установите флажок напротив задачи и нажмите на кнопку Запустить.

В результате после выполнения задачи при следующей загрузке компьютера новый пользователь может пройти процедуру аутентификации, загрузить операционную систему и получить доступ к зашифрованному диску.

Для добавления учетной записи Агента аутентификации нужно добавить специальную команду в задачу Управление учетными записями Агента аутентификации. Групповую задачу удобно использовать, например, для добавления учетной записи администратора на все компьютеры.

Kaspersky Endpoint Security позволяет автоматически создавать учетные записи Агента аутентификации перед шифрованием диска. Вы можете включить автоматическое создание учетных записей Агента аутентификации в параметрах политики полнодискового шифрования. Также вы можете использовать технологию единого входа (SSO).

Как добавить учетную запись Агента аутентификации через Консоль администрирования (MMC)

  1. Откройте свойства задачи Управление учетными записями Агента аутентификации.
  2. В свойствах задачи выберите раздел Настройки.
  3. Нажмите на кнопку ДобавитьКоманду для добавления учетной записи.
  4. В открывшемся окне в поле Учетная запись Windows укажите имя учетной записи Microsoft Windows, на основе которой будет создана учетная запись Агента аутентификации.
  5. Если вы ввели имя учетной записи Windows вручную, нажмите на кнопку Разрешить, чтобы определить идентификатор безопасности учетной записи (англ. SID – Security Identifier).

    Если вы не определяете идентификатор безопасности по кнопке Разрешить, то он будет определен в момент выполнения задачи на компьютере.

    Определение идентификатора безопасности учетной записи Windows нужно для проверки корректности ввода имени учетной записи Windows. Если учетная запись Windows не существует на компьютере или в доверенном домене, задача Управление учетными записями Агента аутентификации будет завершена с ошибкой.

  6. Установите флажок Заменить существующую учетную запись, если вы хотите, чтобы уже заведенная для Агента аутентификации учетная запись с таким же именем была заменена на добавляемую.

    Этот шаг доступен, если вы добавляете команду для создания учетной записи Агента аутентификации в свойствах групповой задачи управления учетными записями Агента аутентификации. Этот шаг недоступен, если вы добавляете команду для создания учетной записи Агента аутентификации в свойствах локальной задачи Управление учетными записями Агента аутентификации.

  7. В поле Имя пользователя введите имя учетной записи Агента аутентификации, которое требуется вводить при аутентификации для доступа к зашифрованным жестким дискам.
  8. Установите флажок Разрешать вход по паролю, если вы хотите, чтобы при аутентификации для получения доступа к зашифрованным жестким дискам приложение требовало пароль учетной записи Агента аутентификации. Задайте пароль учетной записи Агента аутентификации. Если нужно, вы можете запросить у пользователя новый пароль после первой аутентификации.
  9. Установите флажок Разрешать вход по сертификату, если вы хотите, чтобы при аутентификации для доступа к зашифрованным жестким дискам приложение требовало подключения токена или смарт-карты к компьютеру. Выберите файл сертификата для аутентификации с помощью смарт-карты или токена.
  10. Если требуется, в поле Описание команды введите информацию об учетной записи Агента аутентификации, необходимую вам для работы с командой.
  11. В блоке Доступ к аутентификации в Агенте аутентификации настройте доступ к аутентификации в Агенте аутентификации пользователю, работающему под учетной записью, указанной в команде.
  12. Сохраните внесенные изменения.

Как добавить учетную запись Агента аутентификации через Web Console

  1. В главном окне Web Console выберите УстройстваЗадачи.

    Откроется список задач.

  2. Нажмите на задачу Kaspersky Endpoint Security Управление учетными записями Агента аутентификации.

    Откроется окно свойств задачи.

  3. Выберите закладку Параметры программы.
  4. В списке учетных записей Агента аутентификации нажмите на кнопку Добавить.

    Запустится мастер управления учетными записями Агента аутентификации.

  5. Выберите тип команды Добавление.
  6. Выберите учетную запись пользователя. Вы можете выбрать учетную запись из списка доменных учетных записей или ввести имя учетной записи вручную. Перейдите к следующему шагу.

    Kaspersky Endpoint Security определяет идентификатор безопасности учетной записи (англ. SID – Security Identifier). Это нужно для проверки учетной записи. Если вы ввели имя пользователя неверно, Kaspersky Endpoint Security завершит выполнение задачи с ошибкой.

  7. Настройте параметры учетной записи Агента аутентификации:
    • Создать новую учетную запись Агента аутентификации взамен существующей. Kaspersky Endpoint Security проверяет существующие учетные записи на компьютере. Если идентификатор безопасности пользователя на компьютере и в задаче совпадают, то Kaspersky Endpoint Security изменит параметры учетной записи в соответствии с задачей.
    • Имя пользователя. По умолчанию имя пользователя учетной записи Агента аутентификации соответствует доменному имени пользователя.
    • Разрешать вход по паролю. Задайте пароль учетной записи Агента аутентификации. Если нужно, вы можете запросить у пользователя новый пароль после первой аутентификации. Таким образом, у каждого пользователя будет свой уникальный пароль. Также вы можете задать требования к надежности пароля для учетной записи Агента аутентификации в политике.
    • Разрешать вход по сертификату. Выберите файл сертификата для аутентификации с помощью смарт-карты или токена. Таким образом, пользователю нужно будет ввести пароль от смарт-карты или токена.
    • Доступ учетной записи к зашифрованным данным. Настройте доступ пользователя к зашифрованному диску. Вы можете, например, временно запретить аутентификацию пользователя и не удалять учетную запись Агента аутентификации.
    • Комментарий. Введите описание учетной записи, если требуется.
  8. Сохраните внесенные изменения.
  9. Установите флажок напротив задачи и нажмите на кнопку Запустить.

В результате после выполнения задачи при следующей загрузке компьютера новый пользователь может пройти процедуру аутентификации, загрузить операционную систему и получить доступ к зашифрованному диску.

Для изменения пароля и других параметров учетной записи Агента аутентификации нужно добавить специальную команду в задачу Управление учетными записями Агента аутентификации. Групповую задачу удобно использовать, например, для замены сертификата токена администратора на всех компьютерах.

Как изменить учетную запись Агента аутентификации через Консоль администрирования (MMC)

  1. Откройте свойства задачи Управление учетными записями Агента аутентификации.
  2. В свойствах задачи выберите раздел Настройки.
  3. Нажмите на кнопку ДобавитьКоманду для изменения учетной записи.
  4. В открывшемся окне в поле Учетная запись Windows укажите имя учетной записи пользователя Microsoft Windows, которую вы хотите изменить.
  5. Если вы ввели имя учетной записи Windows вручную, нажмите на кнопку Разрешить, чтобы определить идентификатор безопасности учетной записи (англ. SID – Security Identifier).

    Если вы не определяете идентификатор безопасности по кнопке Разрешить, то он будет определен в момент выполнения задачи на компьютере.

    Определение идентификатора безопасности учетной записи Windows нужно для проверки корректности ввода имени учетной записи Windows. Если учетная запись Windows не существует на компьютере или в доверенном домене, задача Управление учетными записями Агента аутентификации будет завершена с ошибкой.

  6. Установите флажок Изменить имя пользователя и введите новое имя учетной записи Агента аутентификации, если вы хотите, чтобы для всех учетных записей Агента аутентификации, созданных на основе учетной записи пользователя Microsoft Windows с именем, указанным в поле Учетная запись Windows, приложение Kaspersky Endpoint Security изменило имя пользователя на указанное в поле ниже.
  7. Установите флажок Изменить настройки входа по паролю, если вы хотите сделать доступными для изменения параметры входа по паролю.
  8. Установите флажок Разрешать вход по паролю, если вы хотите, чтобы при аутентификации для получения доступа к зашифрованным жестким дискам приложение требовало пароль учетной записи Агента аутентификации. Задайте пароль учетной записи Агента аутентификации.
  9. Установите флажок Изменить правило смены пароля при аутентификации в Агенте аутентификации, если вы хотите, чтобы для всех учетных записей Агента аутентификации, созданных на основе учетной записи пользователя Microsoft Windows с именем, указанным в поле Учетная запись Windows, приложение Kaspersky Endpoint Security изменило значение параметра смены пароля на установленное ниже.
  10. Установите значение параметра смены пароля при аутентификации в Агенте аутентификации.
  11. Установите флажок Изменить настройки входа по сертификату, если вы хотите сделать доступными для изменения параметры входа по электронному сертификату токена или смарт-карте.
  12. Установите флажок Разрешать вход по сертификату, если вы хотите, чтобы при аутентификации для доступа к зашифрованным жестким дискам приложение требовало ввод пароля к подключенному к компьютеру токену или смарт-карте. Выберите файл сертификата для аутентификации с помощью смарт-карты или токена.
  13. Установите флажок Изменить описание команды и измените описание команды, если вы хотите, чтобы для всех учетных записей Агента аутентификации, созданных на основе учетной записи пользователя Microsoft Windows с именем, указанным в поле Учетная запись Windows, приложение Kaspersky Endpoint Security изменило описание команды.
  14. Установите флажок Изменить правило доступа к аутентификации в Агенте аутентификации, если вы хотите, чтобы для всех учетных записей Агента аутентификации, созданных на основе учетной записи пользователя Microsoft Windows с именем, указанным в поле Учетная запись Windows, программа Kaspersky Endpoint Security изменила правило доступа пользователя к аутентификации в Агенте аутентификации на установленное ниже.
  15. Установите правило доступа к аутентификации в Агенте аутентификации.
  16. Сохраните внесенные изменения.

Как изменить учетную запись Агента аутентификации через Web Console

  1. В главном окне Web Console выберите УстройстваЗадачи.

    Откроется список задач.

  2. Нажмите на задачу Kaspersky Endpoint Security Управление учетными записями Агента аутентификации.

    Откроется окно свойств задачи.

  3. Выберите закладку Параметры программы.
  4. В списке учетных записей Агента аутентификации нажмите на кнопку Добавить.

    Запустится мастер управления учетными записями Агента аутентификации.

  5. Выберите тип команды Изменение.
  6. Выберите учетную запись пользователя. Вы можете выбрать учетную запись из списка доменных учетных записей или ввести имя учетной записи вручную. Перейдите к следующему шагу.

    Kaspersky Endpoint Security определяет идентификатор безопасности учетной записи (англ. SID – Security Identifier). Это нужно для проверки учетной записи. Если вы ввели имя пользователя неверно, Kaspersky Endpoint Security завершит выполнение задачи с ошибкой.

  7. Установите флажки напротив тех параметров, которые вы хотите изменить.
  8. Настройте параметры учетной записи Агента аутентификации:
    • Создать новую учетную запись Агента аутентификации взамен существующей. Kaspersky Endpoint Security проверяет существующие учетные записи на компьютере. Если идентификатор безопасности пользователя на компьютере и в задаче совпадают, то Kaspersky Endpoint Security изменит параметры учетной записи в соответствии с задачей.
    • Имя пользователя. По умолчанию имя пользователя учетной записи Агента аутентификации соответствует доменному имени пользователя.
    • Разрешать вход по паролю. Задайте пароль учетной записи Агента аутентификации. Если нужно, вы можете запросить у пользователя новый пароль после первой аутентификации. Таким образом, у каждого пользователя будет свой уникальный пароль. Также вы можете задать требования к надежности пароля для учетной записи Агента аутентификации в политике.
    • Разрешать вход по сертификату. Выберите файл сертификата для аутентификации с помощью смарт-карты или токена. Таким образом, пользователю нужно будет ввести пароль от смарт-карты или токена.
    • Доступ учетной записи к зашифрованным данным. Настройте доступ пользователя к зашифрованному диску. Вы можете, например, временно запретить аутентификацию пользователя и не удалять учетную запись Агента аутентификации.
    • Комментарий. Введите описание учетной записи, если требуется.
  9. Сохраните внесенные изменения.
  10. Установите флажок напротив задачи и нажмите на кнопку Запустить.

Для удаления учетной записи Агента аутентификации нужно добавить специальную команду в задачу Управление учетными записями Агента аутентификации. Групповую задачу удобно использовать, например, для удаления учетной записи уволенного сотрудника.

Как удалить учетную запись Агента аутентификации через Консоль администрирования (MMC)

  1. Откройте свойства задачи Управление учетными записями Агента аутентификации.
  2. В свойствах задачи выберите раздел Настройки.
  3. Нажмите на кнопку ДобавитьКоманду для удаления учетной записи.
  4. В открывшемся окне в поле Учетная запись Windows укажите имя учетной записи пользователя Windows, на основе которой создана учетная запись для Агента аутентификации, которую вы хотите удалить.
  5. Если вы ввели имя учетной записи Windows вручную, нажмите на кнопку Разрешить, чтобы определить идентификатор безопасности учетной записи (англ. SID – Security Identifier).

    Если вы не определяете идентификатор безопасности по кнопке Разрешить, то он будет определен в момент выполнения задачи на компьютере.

    Определение идентификатора безопасности учетной записи Windows нужно для проверки корректности ввода имени учетной записи Windows. Если учетная запись Windows не существует на компьютере или в доверенном домене, задача Управление учетными записями Агента аутентификации будет завершена с ошибкой.

  6. Сохраните внесенные изменения.

Как удалить учетную запись Агента аутентификации через Web Console

  1. В главном окне Web Console выберите УстройстваЗадачи.

    Откроется список задач.

  2. Нажмите на задачу Kaspersky Endpoint Security Управление учетными записями Агента аутентификации.

    Откроется окно свойств задачи.

  3. Выберите закладку Параметры программы.
  4. В списке учетных записей Агента аутентификации нажмите на кнопку Добавить.

    Запустится мастер управления учетными записями Агента аутентификации.

  5. Выберите тип команды Удаление.
  6. Выберите учетную запись пользователя. Вы можете выбрать учетную запись из списка доменных учетных записей или ввести имя учетной записи вручную.
  7. Сохраните внесенные изменения.
  8. Установите флажок напротив задачи и нажмите на кнопку Запустить.

В результате после выполнения задачи при следующей загрузке компьютера пользователь не сможет пройти процедуру аутентификацию и загрузить операционную систему. Kaspersky Endpoint Security запретит доступ к зашифрованным данным.

Для просмотра списка пользователей, которые могут пройти аутентификацию с помощью агента и загрузить операционную систему, нужно перейти в свойства управляемого компьютера.

Как просмотреть список учетных записей Агента аутентификации через Консоль администрирования (MMC)

  1. Откройте Консоль администрирования Kaspersky Security Center.
  2. В папке Управляемые устройства дерева Консоли администрирования откройте папку с названием группы администрирования, в состав которой входят нужные клиентские компьютеры.
  3. В рабочей области выберите закладку Устройства.
  4. Откройте свойства компьютера двойным щелчком мыши.
  5. В окне свойств компьютера выберите раздел Задачи.
  6. В списке задач выберите Управление учетными записями Агента аутентификации и откройте свойства задачи двойным щелчком мыши.
  7. В свойствах задачи выберите раздел Настройки.

В результате вам будет доступен список учетных записей Агента аутентификации на этом компьютере. Только пользователи из списка могут пройти аутентификацию с помощью агента и загрузить операционную систему.

Как просмотреть список учетных записей Агента аутентификации через Web Console

  1. В главном окне Web Console выберите УстройстваУправляемые устройства.
  2. Нажмите на имя компьютера, на котором вы хотите просмотреть список учетных записей Агента аутентификации.
  3. В свойствах компьютера выберите закладку Задачи.
  4. В списке задач выберите Управление учетными записями Агента аутентификации.
  5. В свойствах задачи выберите закладку Параметры программы.

В результате вам будет доступен список учетных записей Агента аутентификации на этом компьютере. Только пользователи из списка могут пройти аутентификацию с помощью агента и загрузить операционную систему.

В начало

[Topic 133615]

Использование токена и смарт-карты при работе с Агентом аутентификации

При аутентификации для доступа к зашифрованным жестким дискам можно использовать токен или смарт-карту. Для этого необходимо добавить файл электронного сертификата токена или смарт-карты в задачу Управление учетными записями Агента аутентификации.

Использование токена или смарт-карты доступно, только если жесткие диски компьютера зашифрованы с помощью алгоритма шифрования AES256. Если жесткие диски компьютера зашифрованы с помощью алгоритма шифрования AES56, то в добавлении файла электронного сертификата в команду будет отказано.

Kaspersky Endpoint Security работает со следующими токенами, считывателями смарт-карт и смарт-картами:

  • SafeNet eToken PRO 64K (4.2b);
  • SafeNet eToken PRO 72K Java;
  • SafeNet eToken 4100-72K Java;
  • SafeNet eToken 5100;
  • SafeNet eToken 5105;
  • SafeNet eToken 7300;
  • EMC RSA SID 800;
  • Gemalto IDPrime.NET 510;
  • Gemalto IDPrime.NET 511;
  • ruToken Рутокен ЭЦП;
  • ruToken Рутокен ЭЦП Flash;
  • Athena IDProtect Laser;
  • SafeNet eToken PRO 72K Java;
  • Aladdin-RD JaCarta PKI.

Чтобы добавить файл электронного сертификата токена или смарт-карты в команду для создания учетной записи Агента аутентификации, его требуется предварительно сохранить с помощью стороннего программного обеспечения, предназначенного для управления сертификатами.

Сертификат токена или смарт-карты должен обладать следующими свойствами:

  • Сертификат удовлетворяет стандарту X.509, а файл сертификата имеет кодировку DER.
  • Сертификат содержит RSA-ключ длиной не менее 1024 бит.

Если электронный сертификат токена или смарт-карты не удовлетворяет этим требованиям, загрузить файл сертификата в команду для создания учетной записи Агента аутентификации невозможно.

Также параметр KeyUsage сертификата должен иметь значение keyEncipherment или dataEncipherment. Параметр KeyUsage определяет назначение сертификата. Если параметр имеет другое значение, Kaspersky Security Center загрузит файл сертификата, но покажет предупреждение.

Если пользователь потерял токен или смарт-карту, администратору требуется добавить файл электронного сертификата нового токена или новой смарт-карты в команду для создания учетной записи Агента аутентификации. После этого пользователю требуется пройти процедуру получения доступа к зашифрованным устройствам или восстановления данных на зашифрованных устройствах.

В начало

[Topic 123498]

Расшифровка жестких дисков

Вы можете расшифровать жесткие диски даже при отсутствии действующей лицензии, допускающей шифрование данных.

Чтобы расшифровать жесткие диски, выполните следующие действия:

  1. Откройте Консоль администрирования Kaspersky Security Center.
  2. В папке Управляемые устройства дерева Консоли администрирования откройте папку с названием группы администрирования, в состав которой входят нужные клиентские компьютеры.
  3. В рабочей области выберите закладку Политики.
  4. Выберите нужную политику и откройте свойства политики двойным щелчком мыши.
  5. В окне политики выберите Шифрование данныхПолнодисковое шифрование.
  6. В раскрывающемся списке Технология шифрования выберите ту технологию, с помощью которой были зашифрованы жесткие диски.
  7. Выполните одно из следующих действий:
    • В раскрывающемся списке Режим шифрования выберите элемент Расшифровывать все жесткие диски, если вы хотите расшифровать все зашифрованные жесткие диски.
    • В таблицу Не шифровать следующие жесткие диски добавьте те зашифрованные жесткие диски, которые вы хотите расшифровать.

      Этот вариант доступен только для технологии шифрования Шифрование диска Kaspersky.

  8. Сохраните внесенные изменения.

Вы можете контролировать процесс шифрования или расшифровки диска на компьютере пользователя с помощью инструмента Мониторинг шифрования. Вы можете запустить инструмент Мониторинг шифрования из главного окна приложения.

Если во время расшифровки жестких дисков, зашифрованных с помощью технологии Шифрование диска Kaspersky, пользователь выключает или перезагружает компьютер, то перед последующей загрузкой операционной системы загружается Агент аутентификации. После прохождения процедуры аутентификации в агенте и загрузки операционной системы Kaspersky Endpoint Security возобновляет расшифровку жестких дисков.

Если во время расшифровки жестких дисков, зашифрованных с помощью технологии Шифрование диска Kaspersky, операционная система переходит в режим гибернации (hibernation mode), то при выводе операционной системы из режима гибернации загружается Агент аутентификации. После прохождения процедуры аутентификации в агенте и загрузки операционной системы Kaspersky Endpoint Security возобновляет расшифровку жестких дисков. После расшифровки жестких дисков режим гибернации недоступен до первой перезагрузки операционной системы.

Если во время расшифровки жестких дисков операционная система переходит в спящий режим (sleep mode), то при выводе операционной системы из спящего режима Kaspersky Endpoint Security возобновляет расшифровку жестких дисков без загрузки Агента аутентификации.

В начало

[Topic 128090]

Восстановление доступа к диску, защищенному технологией Шифрование диска Kaspersky

Если пользователь забыл пароль доступа к жесткому диску, защищенному технологией Шифрование диска Kaspersky, нужно запустить процедуру восстановления ("Запрос - Ответ"). Также вы можете воспользоваться служебной учетной записью для доступа к жесткому диску, если вы включили эту функцию в параметрах шифрования диска.

Восстановление доступа к системному жесткому диску

Восстановление доступа к системному жесткому диску, защищенному технологией Шифрование диска Kaspersky, состоит из следующих этапов:

  1. Пользователь сообщает администратору блоки запроса (см. рис. ниже).
  2. Администратор вводит блоки запроса в Kaspersky Security Center, получает блоки ответа и сообщает блоки ответа пользователю.
  3. Пользователь вводит блоки ответа в интерфейсе Агента аутентификации и получает доступ к жесткому диску.

    Восстановление доступа к системному жесткому диску, защищенного технологией Шифрование диска Kaspersky

Для запуска процедуры восстановления пользователю нужно в интерфейсе Агента аутентификации нажать на кнопку Forgot your password.

Как получить блоки ответа для системного жесткого диска, защищенного технологией Шифрование диска Kaspersky, в Консоли администрирования (MMC)

  1. Откройте Консоль администрирования Kaspersky Security Center.
  2. В папке Управляемые устройства дерева Консоли администрирования откройте папку с названием группы администрирования, в состав которой входят нужные клиентские компьютеры.
  3. В рабочей области выберите закладку Устройства.
  4. На закладке Устройства выделите компьютер пользователя, запросившего восстановление доступа к зашифрованным данным, и по правой клавише мыши откройте контекстное меню.
  5. В контекстном меню выберите пункт Предоставление доступа в офлайн-режиме.
  6. В открывшемся окне выберите закладку Агент аутентификации.
  7. В блоке Используемый алгоритм шифрования выберите алгоритм шифрования: AES56 или AES256.

    Алгоритм шифрования данных зависит от библиотеки шифрования AES, входящей в состав дистрибутива: Strong encryption (AES256) или Lite encryption (AES56). Библиотека шифрования AES устанавливается вместе с приложением.

  8. В раскрывающемся списке Учетная запись выберите имя учетной записи Агента аутентификации пользователя, запросившего восстановление доступа к диску.
  9. В раскрывающемся списке Жесткий диск выберите зашифрованный жесткий диск, доступ к которому необходимо восстановить.
  10. В блоке Запрос пользователя введите блоки запроса, продиктованные пользователем.

В результате содержимое блоков ответа на запрос пользователя о восстановлении имени и пароля учетной записи Агента аутентификации отобразится в поле Ключ доступа. Передайте содержимое блоков ответа пользователю.

Как получить блоки ответа для системного жесткого диска, защищенного технологией Шифрование диска Kaspersky, в Web Console

  1. В главном окне Web Console выберите УстройстваУправляемые устройства.
  2. Установите флажок рядом с именем компьютера, доступ к диску которого вы хотите восстановить.
  3. Нажмите на кнопку Предоставить доступ к устройству в автономном режиме.
  4. В открывшемся окне выберите раздел Агент аутентификации.
  5. В раскрывающемся списке Учетная запись выберите имя учетной записи Агента аутентификации, созданной для пользователя, запросившего восстановление имени и пароля учетной записи Агента аутентификации.
  6. Введите блоки запроса, продиктованные пользователем.

Содержимое блоков ответа на запрос пользователя о восстановлении имени и пароля учетной записи Агента аутентификации отобразится внизу окна. Передайте содержимое блоков ответа пользователю.

После прохождения процедуры восстановления Агент аутентификации предложит пользователю сменить пароль.

Восстановление доступа к несистемному жесткому диску

Восстановление доступа к несистемному жесткому диску, защищенному технологией Шифрование диска Kaspersky, состоит из следующих этапов:

  1. Пользователь отправляет администратору файл запроса.
  2. Администратор добавляет файл запроса в Kaspersky Security Center, создает файл ключа доступа и отправляет файл пользователю.
  3. Пользователь добавляет файл ключа доступа в Kaspersky Endpoint Security и получает доступ к жесткому диску.

Для запуска процедуры восстановления пользователю нужно обратиться к жесткому диску. В результате Kaspersky Endpoint Security создаст файл запроса (файл с расширением kesdc), который пользователю нужно передать администратору, например, по электронной почте.

Как получить файл ключа доступа к зашифрованному несистемному жесткому диску в Консоли администрирования (MMC)

  1. Откройте Консоль администрирования Kaspersky Security Center.
  2. В папке Управляемые устройства дерева Консоли администрирования откройте папку с названием группы администрирования, в состав которой входят нужные клиентские компьютеры.
  3. В рабочей области выберите закладку Устройства.
  4. На закладке Устройства выделите компьютер пользователя, запросившего восстановление доступа к зашифрованным данным, и по правой клавише мыши откройте контекстное меню.
  5. В контекстном меню выберите пункт Предоставление доступа в офлайн-режиме.
  6. В открывшемся окне выберите закладку Шифрование данных.
  7. На закладке Шифрование данных нажмите на кнопку Обзор.
  8. В окне выбора файла запроса укажите путь к файлу, полученного от пользователя.

Отобразится информация о запросе пользователя. Kaspersky Security Center сформирует файл ключа доступа. Отправьте пользователю созданный файл ключа доступа к зашифрованным данным по электронной почте. Или сохраните файл доступа и передайте файл любым доступным способом.

Как получить файл ключа доступа к зашифрованному несистемному жесткому диску в Web Console

  1. В главном окне Web Console выберите УстройстваУправляемые устройства.
  2. Установите флажок рядом с именем компьютера, доступ к данным которого вы хотите восстановить.
  3. Нажмите на кнопку Предоставить доступ к устройству в автономном режиме.
  4. Выберите раздел Шифрование данных.
  5. Нажмите на кнопку Выбрать файл и выберите файл запроса, полученный от пользователя (файл с расширением kesdc).

    Web Console покажет информацию о запросе. В том числе, имя компьютера, на котором пользователь запрашивает доступ к файлу.

  6. Нажмите на кнопку Сохранить ключ и выберите папку для сохранения файла ключа доступа к зашифрованным данным (файл с расширением kesdr).

В результате вам будет доступен ключ доступа к зашифрованным данным, который нужно будет передать пользователю.

В начало

[Topic 229662]

Вход под служебной учетной записью Агента аутентификации

Kaspersky Endpoint Security позволяет добавить служебную учетную запись Агента аутентификации при шифровании диска. Служебная учетная запись нужна для доступа к компьютеру в случаях, когда пользователь, например, забыл пароль. Также вы можете использовать служебную учетную запись в качестве резервной учетной записи. Для добавления учетной записи вам нужно выбрать служебную учетную запись в параметрах шифрования диска и указать имя учетной записи (по умолчанию ServiceAccount). Для прохождения аутентификации с помощью агента вам нужен одноразовый пароль.

Как узнать одноразовый пароль в Консоли администрирования (MMC)

  1. Откройте Консоль администрирования Kaspersky Security Center.
  2. В папке Управляемые устройства дерева Консоли администрирования откройте папку с названием группы администрирования, в состав которой входят нужные клиентские компьютеры.
  3. В рабочей области выберите закладку Устройства.
  4. Откройте свойства компьютера двойным щелчком мыши.
  5. В окне свойств компьютера выберите раздел Задачи.
  6. В списке задач выберите Управление учетными записями Агента аутентификации и откройте свойства задачи двойным щелчком мыши.
  7. В окне свойств задачи выберите раздел Настройки.
  8. В списке учетных записей выберите служебную учетную запись Агента аутентификации (например, WIN10-USER\ServiceAccount).
  9. В раскрывающемся списке Действие выберите Просмотреть учетную запись.
  10. В свойствах учетной записи установите флажок Показать начальный пароль.
  11. Скопируйте одноразовый пароль для входа под служебной учетной записью.

Как узнать одноразовый пароль в Web Console

  1. В главном окне Web Console выберите УстройстваУправляемые устройства.
  2. Нажмите на имя компьютера, на котором вы хотите просмотреть список учетных записей Агента аутентификации.

    Откроются свойства компьютера.

  3. В свойствах компьютера выберите закладку Задачи.
  4. В списке задач выберите Управление учетными записями Агента аутентификации.
  5. В свойствах задачи выберите закладку Параметры программы.
  6. В списке учетных записей выберите служебную учетную запись Агента аутентификации (например, WIN10-USER\ServiceAccount).
  7. В свойствах учетной записи установите флажок Показать начальный пароль.
  8. Скопируйте одноразовый пароль для входа под служебной учетной записью.

Kaspersky Endpoint Security автоматически обновляет пароль после каждой аутентификации пользователя под служебной учетной записью. После прохождения аутентификации с помощью агента вам нужно ввести пароль учетной записи Windows. При входе под служебной учетной записью использовать технологию SSO невозможно.

В начало

[Topic 188902]

Обновление операционной системы

Обновление операционной системы компьютера, защищенного с помощью полнодискового шифрования (FDE), имеет ряд особенностей. Выполняйте обновление операционной системы последовательно: сначала обновите ОС на одном компьютере, затем на небольшой части компьютеров, затем на всех компьютерах сети.

Если вы используете технологию Шифрование диска Kaspersky, то перед запуском операционной системы загружается Агент аутентификации. С помощью Агента аутентификации пользователь выполняет вход в систему и получает доступ к зашифрованным дискам. Далее начинается загрузка операционной системы.

Если запустить обновление операционной системы на компьютере, защищенном с помощью технологии Шифрование диска Kaspersky, мастер обновления ОС может удалить Агент аутентификации. В результате компьютер может быть заблокирован, так как загрузчик ОС не сможет получить доступ к зашифрованному диску.

Подробнее о безопасном обновлении операционной системы вы можете узнать в базе знаний Службы технической поддержки.

Автоматическое обновление операционной системы доступно при выполнении следующих условий:

  1. Обновление ОС через WSUS (Windows Server Update Services).
  2. На компьютере установлена операционная система Windows 10 версия 1607 (RS1) и выше.
  3. На компьютере установлено приложение Kaspersky Endpoint Security версии 11.2.0 и выше.

При выполнении всех условий вы можете обновлять операционную систему обычным способом.

Если вы используете технологию Шифрование диска Kaspersky (FDE) и на компьютере установлено приложение Kaspersky Endpoint Security для Windows версий 11.1.0 и 11.1.1, для обновления Windows 10 не нужно расшифровывать жесткие диски.

Для обновления операционной системы вам нужно выполнить следующие действия:

  1. Перед обновлением системы скопируйте драйверы cm_km.inf, cm_km.sys, klfde.cat, klfde.inf, klfde.sys, klfdefsf.cat, klfdefsf.inf, klfdefsf.sys в локальную папку. Например, C:\fde_drivers.
  2. Запустите установку обновления системы с ключом /ReflectDrivers, указав папку с сохраненными драйверами:

    setup.exe /ReflectDrivers C:\fde_drivers

Если вы используете технологию Шифрование диска BitLocker, для обновления Windows 10 не нужно расшифровывать жесткие диски. Подробнее о BitLocker см. на сайте Microsoft.

В начало

[Topic 179327]

Устранение ошибок при обновлении функциональности шифрования

При обновлении с предыдущих версий приложения до Kaspersky Endpoint Security для Windows 11.10.0 обновляется функциональность полнодискового шифрования.

При запуске обновления функциональности полнодискового шифрования могут возникнуть следующие ошибки:

  • Не удалось инициализировать обновление.
  • Устройство несовместимо с Агентом аутентификации.

Чтобы устранить ошибки, возникшие при запуске обновления функциональности полнодискового шифрования, в новой версии приложения выполните следующие действия:

  1. Расшифруйте жесткие диски.
  2. Повторно зашифруйте жесткие диски.

В процессе обновления функциональности полнодискового шифрования могут возникнуть следующие ошибки:

  • Не удалось завершить обновление.
  • Откат обновления функциональности шифрования завершен с ошибкой.

Чтобы устранить ошибки, возникшие в процессе обновления функциональности полнодискового шифрования,

восстановите доступ к зашифрованному устройству с помощью утилиты восстановления.

В начало

[Topic 128771]

Выбор уровня трассировки Агента аутентификации

Приложение записывает служебную информацию о работе Агента аутентификации, а также информацию о действиях, которые выполняет пользователь в Агенте аутентификации, в файл трассировки.

Чтобы выбрать уровень трассировки Агента аутентификации, выполните следующие действия:

  1. Сразу после запуска компьютера с зашифрованными жесткими дисками по кнопке F3 вызовите окно для настройки параметров Агента аутентификации.
  2. В окне настройки параметров Агента аутентификации выберите уровень трассировки:
    • Disable debug logging (default). Если выбран этот вариант, то приложение не записывает информацию о событиях работы Агента аутентификации в файл трассировки.
    • Enable debug logging. Если выбран этот вариант, то приложение записывает информацию о работе Агента аутентификации и действиях, которые выполняет пользователь в Агенте аутентификации, в файл трассировки.
    • Enable verbose logging. Если выбран этот вариант, то приложение записывает детальную информацию о работе Агента аутентификации и действиях, которые выполняет пользователь в Агенте аутентификации, в файл трассировки.

      Уровень детализации записей для этого варианта выше, чем при выборе уровня Enable debug logging. Высокий уровень детализации записей может замедлять загрузку Агента аутентификации и операционной системы.

    • Enable debug logging and select serial port. Если выбран этот вариант, то приложение записывает информацию о работе Агента аутентификации и действиях, которые выполняет пользователь в Агенте аутентификации, в файл трассировки, а также передает ее через COM-порт.

      Если компьютер с зашифрованными жесткими дисками соединен с другим компьютером через COM-порт, то события работы Агента аутентификации можно исследовать с помощью этого компьютера.

    • Enable verbose debug logging and select serial port. Если выбран этот вариант, то приложение записывает детальную информацию о работе Агента аутентификации и действиях, которые выполняет пользователь в Агенте аутентификации, в файл трассировки, а также передает ее через COM-порт.

      Уровень детализации записей для этого варианта выше, чем при выборе уровня Enable debug logging and select serial port. Высокий уровень детализации записей может замедлять загрузку Агента аутентификации и операционной системы.

Запись в файл трассировки Агента аутентификации выполняется в случае, если на компьютере есть зашифрованные жесткие диски или выполняется полнодисковое шифрование.

Файл трассировки Агента аутентификации не передается в "Лабораторию Касперского", как другие файлы трассировки приложения. При необходимости вы можете самостоятельно отправить файл трассировки Агента аутентификации в "Лабораторию Касперского" для анализа.

В начало

[Topic 123495]

Изменение справочных текстов Агента аутентификации

Перед изменением справочных текстов Агента аутентификации ознакомьтесь со списком поддерживаемых символов в предзагрузочной среде (см. ниже).

Чтобы изменить справочные тексты Агента аутентификации, выполните следующие действия:

  1. Откройте Консоль администрирования Kaspersky Security Center.
  2. В папке Управляемые устройства дерева Консоли администрирования откройте папку с названием группы администрирования, в состав которой входят нужные клиентские компьютеры.
  3. В рабочей области выберите закладку Политики.
  4. Выберите нужную политику и откройте свойства политики двойным щелчком мыши.
  5. В окне политики выберите Шифрование данныхОбщие настройки шифрования.
  6. В блоке Шаблоны нажмите на кнопку Справка.
  7. В открывшемся окне выполните следующие действия:
    • Выберите закладку Аутентификация, если вы хотите изменить справочный текст, отображающийся в окне Агента аутентификации на этапе ввода учетных данных.
    • Выберите закладку Смена пароля, если вы хотите изменить справочный текст, отображающийся в окне Агента аутентификации на этапе смены пароля для учетной записи Агента аутентификации.
    • Выберите закладку Восстановление пароля, если вы хотите изменить справочный текст, отображающийся в окне Агента аутентификации на этапе восстановления пароля для учетной записи Агента аутентификации.
  8. Измените справочные тексты.

    Если вы хотите восстановить исходный текст, нажмите на кнопку По умолчанию.

    Вы можете ввести справочный текст, содержащий 16 или менее строк. Максимальная длина строки составляет 64 символа.

  9. Сохраните внесенные изменения.

Ограничения поддержки символов в справочных текстах Агента аутентификации

В предзагрузочной среде поддерживаются следующие символы Unicode:

  • основная латиница (0000 - 007F);
  • дополнительные символы Latin-1 (0080 - 00FF);
  • расширенная латиница-A (0100 - 017F);
  • расширенная латиница-B (0180 - 024F);
  • некомбинируемые протяженные символы-идентификаторы (02B0 - 02FF);
  • комбинируемые диакритические знаки (0300 - 036F);
  • греческий и коптский алфавиты (0370 - 03FF);
  • кириллица (0400 - 04FF);
  • иврит (0590 - 05FF);
  • арабское письмо (0600 - 06FF);
  • дополнительная расширенная латиница (1E00 - 1EFF);
  • знаки пунктуации (2000 - 206F);
  • символы валют (20A0 - 20CF);
  • буквоподобные символы (2100 - 214F);
  • геометрические фигуры (25A0 - 25FF);
  • формы представления арабских букв-B (FE70 - FEFF).

Символы, не указанные в этом списке, не поддерживаются в предзагрузочной среде. Не рекомендуется использовать такие символы в справочных текстах Агента аутентификации.

В начало

[Topic 128199]

Удаление объектов и данных, оставшихся после тестовой работы Агента аутентификации

Если в процессе удаления приложения Kaspersky Endpoint Security обнаруживает объекты и данные, оставшиеся на системном жестком диске после тестовой работы Агента аутентификации, то удаление приложения прерывается и становится невозможным до тех пор, пока эти объекты и данные не будут удалены.

Объекты и данные могут остаться на системном жестком диске после тестовой работы Агента аутентификации только в исключительных ситуациях. Например, если после применения политики Kaspersky Security Center c установленными параметрами шифрования компьютер не перезагружался или после тестовой работы Агента аутентификации приложение не запускается.

Вы можете удалить объекты и данные, оставшиеся на системном жестком диске после тестовой работы Агента аутентификации, следующими способами:

Чтобы удалить объекты и данные, оставшиеся после тестовой работы Агента аутентификации, с помощью политики Kaspersky Security Center, выполните следующие действия:

  1. Примените к компьютеру политику Kaspersky Security Center с установленными параметрами для расшифровки всех жестких дисков компьютера.
  2. Запустите Kaspersky Endpoint Security.

     

Чтобы удалить данные о несовместимости приложения с Агентом аутентификации,

в командной строке введите команду avp pbatestreset.

В начало

[Topic 196002]

Управление BitLocker

BitLocker – встроенная в операционную систему Windows технология шифрования. Kaspersky Endpoint Security позволяет контролировать и управлять Bitlocker с помощью Kaspersky Security Center. BitLocker шифрует логический том. Шифрование съемных дисков с помощью BitLocker невозможно. Подробнее о BitLocker см. в документации Microsoft.

BitLocker обеспечивает безопасность хранения ключей доступа с помощью доверенного платформенного модуля. Доверенный платформенный модуль (англ. Trusted Platform Module – TPM) – микрочип, разработанный для предоставления основных функций, связанных с безопасностью (например, для хранения ключей шифрования). Доверенный платформенный модуль обычно устанавливается на материнской плате компьютера и взаимодействует с остальными компонентами системы при помощи аппаратной шины. Использование TPM является самым безопасным способом хранения ключей доступа BitLocker, так как TPM позволяет проверять целостность операционной системы. На компьютерах без TPM вы также можете зашифровать диски. При этом ключ доступа будет зашифрован паролем. Таким образом, BitLocker использует следующие способы аутентификации:

  • TPM.
  • TPM и PIN-код.
  • Пароль.

После шифрования диска BitLocker создает мастер-ключ. Kaspersky Endpoint Security отправляет мастер-ключ в Kaspersky Security Center, чтобы вы имели возможность восстановить доступ к диску, если пользователь, например, забыл пароль.

Если пользователь самостоятельно зашифровал диск с помощью BitLocker, Kaspersky Endpoint Security отправит информацию о шифровании диска в Kaspersky Security Center. При этом Kaspersky Endpoint Security не отправит мастер-ключ в Kaspersky Security Center, и восстановить доступ к диску с помощью Kaspersky Security Center будет невозможно. Для корректной работы BitLocker c Kaspersky Security Center расшифруйте диск и зашифруйте диск повторно с помощью политики. Расшифровать диск вы можете локально или с помощью политики.

После шифрования системного жесткого диска для загрузки операционной системы пользователю нужно пройти процедуру аутентификации BitLocker. После прохождения процедуры аутентификации BitLocker будет доступен вход в систему. BitLocker не поддерживает технологию единого входа (SSO).

Если вы используете групповые политики для Windows, выключите управление BitLocker в параметрах политики. Параметры политики для Windows могут противоречить параметрам политики Kaspersky Endpoint Security. При шифровании диска могут возникнуть ошибки.

В этом разделе

Запуск шифрования диска BitLocker

Расшифровка жесткого диска, защищенного BitLocker

Восстановление доступа к диску, защищенному BitLocker

Приостановка защиты BitLocker для обновления программного обеспечения
В начало

[Topic 130689]

Запуск шифрования диска BitLocker

Перед запуском полнодискового шифрования рекомендуется убедиться в том, что компьютер не заражен. Для этого запустите полную проверку или проверку важных областей компьютера. Выполнение полнодискового шифрования на компьютере, зараженном руткитом, может привести к неработоспособности компьютера.

Для работы BitLocker на компьютерах под управлением операционной системы Windows для серверов может потребоваться установить компонент шифрования диска BitLocker. Установите компонент средствами операционной системы (мастер добавления ролей и компонентов). Подробнее об установке компонента шифрования диска BitLocker см. в документации Microsoft.

Как запустить шифрование диска BitLocker через Консоль администрирования (MMC)

  1. Откройте Консоль администрирования Kaspersky Security Center.
  2. В папке Управляемые устройства дерева Консоли администрирования откройте папку с названием группы администрирования, в состав которой входят нужные клиентские компьютеры.
  3. В рабочей области выберите закладку Политики.
  4. Выберите нужную политику и откройте свойства политики двойным щелчком мыши.
  5. В окне политики выберите Шифрование данныхПолнодисковое шифрование.
  6. В раскрывающемся списке Технология шифрования выберите элемент Шифрование диска BitLocker.
  7. В раскрывающемся списке Режим шифрования выберите элемент Шифровать все жесткие диски.

    Если на компьютере установлено несколько операционных систем, то после шифрования вы сможете выполнить загрузку только той операционной системы, в которой выполнялось шифрование.

  8. Настройте дополнительные параметры шифрования диска BitLocker (см. таблицу ниже).
  9. Сохраните внесенные изменения.

Как запустить шифрование диска BitLocker через Web Console и Cloud Console

  1. В главном окне Web Console выберите УстройстваПолитики и профили политик.
  2. Нажмите на название политики Kaspersky Endpoint Security.

    Откроется окно свойств политики.

  3. Выберите закладку Параметры программы.
  4. Перейдите в раздел Шифрование данныхПолнодисковое шифрование.
  5. В блоке Управление шифрованием выберите элемент Шифрование диска BitLocker.
  6. Перейдите по ссылке Шифрование диска BitLocker.

    Откроется окно с параметрами шифрования диска BitLocker.

  7. В раскрывающемся списке Режим шифрования выберите элемент Шифровать все жесткие диски.

    Если на компьютере установлено несколько операционных систем, то после шифрования вы сможете выполнить загрузку только той операционной системы, в которой выполнялось шифрование.

  8. Настройте дополнительные параметры шифрования диска BitLocker (см. таблицу ниже).
  9. Сохраните внесенные изменения.

Вы можете контролировать процесс шифрования или расшифровки диска на компьютере пользователя с помощью инструмента Мониторинг шифрования. Вы можете запустить инструмент Мониторинг шифрования из главного окна приложения.

После применения политики в зависимости от настроек аутентификации приложение покажет следующие запросы:

  • Только TPM. Участие пользователя не требуется. Диск будет зашифрован после перезагрузки компьютера.
  • TPM + PIN / Пароль. При наличии модуля TPM, появится окно запроса PIN-кода. При отсутствии модуля TPM, появится окно запроса пароля для предзагрузочной аутентификации.
  • Только пароль. Появится окно запроса пароля для предзагрузочной аутентификации.

Если в операционной системе включен режим совместимости с Федеральным стандартом обработки информации (FIPS), то в операционных системах Windows 8, а также в более ранних версиях появится окно запроса на подключение запоминающего устройства для сохранения файла ключа восстановления. Вы можете сохранять несколько файлов ключей восстановления на одном запоминающем устройстве.

После установки пароля или PIN-кода BitLocker запросит перезагрузку компьютера для завершения шифрования диска. Далее пользователю нужно пройти процедуру аутентификации BitLocker. После прохождения процедуры аутентификации BitLocker нужно выполнить вход в систему. После загрузки операционной системы BitLocker завершит шифрование диска.

При отсутствии доступа к ключам шифрования пользователь может запросить у администратора локальной сети организации ключ восстановления (если ключ восстановления не был сохранен ранее на запоминающем устройстве или был утерян).

Параметры компонента Шифрование диска BitLocker

Параметр

Описание

Включить использование проверки подлинности BitLocker, требующей предзагрузочного ввода с клавиатуры на планшетах

Флажок включает / выключает использование аутентификации, требующей ввода данных в предзагрузочной среде, даже если у платформы отсутствует возможность предзагрузочного ввода (например, у сенсорных клавиатур на планшетах).

Сенсорная клавиатура планшетов недоступна в предзагрузочной среде. Для прохождения аутентификации BitLocker на планшетах пользователю необходимо подключить, например, USB-клавиатуру.

Если флажок установлен, то использование аутентификации, требующей предзагрузочного ввода, разрешено. Рекомендуется использовать этот параметр только для устройств, у которых во время предварительной загрузки, помимо сенсорных клавиатур, имеются альтернативные средства ввода данных, например, USB-клавиатура.

Если флажок снят, шифрование диска BitLocker на планшетах невозможно.

Использовать аппаратное шифрование (ОС Windows 8 и выше)

Если флажок установлен, то приложение применяет аппаратное шифрование. Это позволяет увеличить скорость шифрования и сократить использование ресурсов компьютера.

Шифровать только занятое пространство (ОС Windows 8 и выше)

Флажок включает / выключает функцию, ограничивающую область шифрования только занятыми секторами жесткого диска. Это ограничение позволяет сократить время шифрования.

Включение / выключение функции Шифровать только занятое пространство (ОС Windows 8 и выше) после запуска шифрования не изменяет этого параметра до тех пор, пока жесткие диски не будут расшифрованы. Требуется установить или снять флажок до начала шифрования.

Если флажок установлен, то шифруется только та часть жесткого диска, которая занята файлами. Kaspersky Endpoint Security зашифровывает новые данные автоматически по мере их добавления.

Если флажок снят, то шифруется весь жесткий диск, в том числе остатки удаленных и отредактированных ранее файлов.

Данную функцию рекомендуется применять для новых жестких дисков, данные которых не редактировались и не удалялись. Если вы применяете шифрование на уже используемом жестком диске, рекомендуется зашифровать весь жесткий диск. Это гарантирует защиту всех данных – даже удаленных, но потенциально восстанавливаемых.

По умолчанию флажок снят.

Настройки аутентификации

Использовать пароль (ОС Windows 8 и выше)

Если выбран этот вариант, Kaspersky Endpoint Security запрашивает у пользователя пароль при обращении к зашифрованному диску.

Этот вариант действия может быть выбран, если не используется доверенный платформенный модуль (TPM).

Использовать доверенный платформенный модуль (TPM)

Если выбран этот вариант, BitLocker использует доверенный платформенный модуль (TPM).

Доверенный платформенный модуль (англ. Trusted Platform Module – TPM) – микрочип, разработанный для предоставления основных функций, связанных с безопасностью (например, для хранения ключей шифрования). Доверенный платформенный модуль обычно устанавливается на материнской плате компьютера и взаимодействует с остальными компонентами системы при помощи аппаратной шины.

Для компьютеров под управлением операционных систем Windows 7 и Windows Server 2008 R2 доступно только шифрование с использованием модуля TPM. Если модуль TPM не установлен, шифрование BitLocker невозможно. Использование пароля на этих компьютерах не поддерживается.

Устройство, оснащенное доверенным платформенным модулем, может создавать ключи шифрования, которые могут быть расшифрованы только с его помощью. Доверенный платформенный модуль шифрует ключи шифрования собственным корневым ключом хранилища. Корневой ключ хранилища хранится внутри доверенного платформенного модуля. Это обеспечивает дополнительную степень защиты ключей шифрования от попыток взлома.

Этот вариант действия выбран по умолчанию.

Вы можете установить дополнительную защиту для доступа к ключу шифрования и зашифровать ключ паролем или PIN:

  • Использовать PIN для TPM. Если флажок установлен, пользователь может использовать PIN-код для получения доступа к ключу шифрования, который хранится в доверенном платформенном модуле (TPM).

    Если флажок снят, пользователю запрещено использовать PIN-код. Для получения доступа к ключу шифрования пользователь использует пароль.

    Вы можете разрешить пользователю использовать расширенный PIN-код. Расширенный PIN-код кроме цифр позволяет использовать другие символы: заглавные и строчные латинские буквы, специальные символы и пробел.

  • Использовать доверенный платформенный модуль (TPM), если он недоступен, то пароль. Если флажок установлен, то при отсутствии доверенного платформенного модуля (TPM) пользователь может получить доступ к ключам шифрования с помощью пароля.

Если флажок снят и модуль TPM недоступен, то полнодисковое шифрование не запускается.

В начало

[Topic 196150]

Расшифровка жесткого диска, защищенного BitLocker

Пользователь может самостоятельно расшифровать диск средствами операционной системы (функция Выключение BitLocker). После этого Kaspersky Endpoint Security предложит зашифровать диск повторно. Kaspersky Endpoint Security будет предлагать зашифровать диск пока вы не включите расшифровку дисков в политике.

Как расшифровать жесткий диск, защищенный BitLocker, через Консоль администрирования (MMC)

  1. Откройте Консоль администрирования Kaspersky Security Center.
  2. В папке Управляемые устройства дерева Консоли администрирования откройте папку с названием группы администрирования, в состав которой входят нужные клиентские компьютеры.
  3. В рабочей области выберите закладку Политики.
  4. Выберите нужную политику и откройте свойства политики двойным щелчком мыши.
  5. В окне политики выберите Шифрование данныхПолнодисковое шифрование.
  6. В раскрывающемся списке Технология шифрования выберите элемент Шифрование диска BitLocker.
  7. В раскрывающемся списке Режим шифрования выберите элемент Расшифровывать все жесткие диски.
  8. Сохраните внесенные изменения.

Как расшифровать жесткий диск, защищенный BitLocker, через Web Console и Cloud Console

  1. В главном окне Web Console выберите УстройстваПолитики и профили политик.
  2. Нажмите на название политики Kaspersky Endpoint Security.

    Откроется окно свойств политики.

  3. Выберите закладку Параметры программы.
  4. Перейдите в раздел Шифрование данныхПолнодисковое шифрование.
  5. Выберите технологию Шифрование диска BitLocker и перейдите по ссылке для настройки параметров.

    Откроются параметры шифрования.

  6. В раскрывающемся списке Режим шифрования выберите элемент Расшифровывать все жесткие диски.
  7. Нажмите на кнопку ОК.

Вы можете контролировать процесс шифрования или расшифровки диска на компьютере пользователя с помощью инструмента Мониторинг шифрования. Вы можете запустить инструмент Мониторинг шифрования из главного окна приложения.

В начало

[Topic 130939]

Восстановление доступа к диску, защищенному BitLocker

Если пользователь забыл пароль доступа к жесткому диску, зашифрованному BitLocker, нужно запустить процедуру восстановления ("Запрос - Ответ").

Если в операционной системе включен режим совместимости с Федеральным стандартом обработки информации (FIPS), то для операционных систем Windows 8, а также в более ранних версий, файл ключа восстановления был сохранен на съемный диск перед шифрованием. Для восстановления доступа к диску вставьте съемный диск и следуйте инструкциям на экране.

Восстановление доступа к жесткому диску, зашифрованному BitLocker, состоит из следующих этапов:

  1. Пользователь сообщает администратору идентификатор ключа восстановления (см. рис. ниже).
  2. Администратор проверяет идентификатор ключа восстановления в свойствах компьютера в Kaspersky Security Center. Идентификатор, который предоставил пользователь, должен соответствовать идентификатору, который отображается в свойствах компьютера.
  3. Если идентификаторы ключа восстановления совпадают, администратор сообщает пользователю ключ восстановления или передает файл ключа восстановления.

    Файл ключа восстановления используется для компьютеров под управлением следующих операционных систем:

    • Windows 7;
    • Windows 8;
    • Windows Server 2008;
    • Windows Server 2011;
    • Windows Server 2012.

    Для остальных операционных систем используется ключ восстановления.

  4. Пользователь вводит ключ восстановления и получает доступ к жесткому диску.

    Восстановление доступа к жесткому диску, зашифрованному BitLocker

Восстановление доступа к системному диску

Для запуска процедуры восстановления пользователю нужно на этапе предзагрузочной аутентификации нажать клавишу Esc.

Как просмотреть ключ восстановления для системного диска, зашифрованного BitLocker, в Консоли администрирования (MMC)

  1. Откройте Консоль администрирования Kaspersky Security Center.
  2. В папке Управляемые устройства дерева Консоли администрирования откройте папку с названием группы администрирования, в состав которой входят нужные клиентские компьютеры.
  3. В рабочей области выберите закладку Устройства.
  4. На закладке Устройства выделите компьютер пользователя, запросившего восстановление доступа к зашифрованным данным, и по правой клавише мыши откройте контекстное меню.
  5. В контекстном меню выберите пункт Предоставление доступа в офлайн-режиме.
  6. В открывшемся окне выберите закладку Доступ к системному диску с защитой BitLocker.
  7. Запросите у пользователя идентификатор ключа восстановления, указанный в окне ввода пароля BitLocker, и сравните его с идентификатором в поле Идентификатор ключа восстановления.

    Если идентификаторы не совпадают, то этот ключ не подходит для восстановления доступа к указанному системному диску. Убедитесь, что имя выбранного компьютера совпадает с именем компьютера пользователя.

В результате вам будет доступен ключ восстановления или файл ключа восстановления, который нужно будет передать пользователю.

Как просмотреть ключ восстановления для системного диска, зашифрованного BitLocker, в Web Console и Cloud Console

  1. В главном окне Web Console выберите УстройстваУправляемые устройства.
  2. Установите флажок рядом с именем компьютера, доступ к диску которого вы хотите восстановить.
  3. Нажмите на кнопку Предоставить доступ к устройству в автономном режиме.
  4. В открывшемся окне выберите раздел BitLocker.
  5. Проверьте идентификатор ключа восстановления. Идентификатор, который предоставил пользователь, должен соответствовать идентификатору, который отображается в параметрах компьютера.

    Если идентификаторы не совпадают, то этот ключ не подходит для восстановления доступа к указанному системному диску. Убедитесь, что имя выбранного компьютера совпадает с именем компьютера пользователя.

  6. Нажмите на кнопку Получить ключ.

В результате вам будет доступен ключ восстановления или файл ключа восстановления, который нужно будет передать пользователю.

После загрузки операционной системы Kaspersky Endpoint Security предложит пользователю сменить пароль или PIN-код. После установки нового пароля или PIN-кода BitLocker создаст новый мастер-ключ и отправит ключ в Kaspersky Security Center. В результате ключ восстановления и файл ключа восстановления будут обновлены. Если пользователь не сменил пароль, при следующей загрузке операционной системы вы можете использовать старый ключ восстановления.

На компьютерах под управлением Windows 7 сменить пароль или PIN-код невозможно. После ввода ключа восстановления и загрузки операционной системы Kaspersky Endpoint Security не предложит пользователю сменить пароль или PIN-код. Таким образом, установить новый пароль или PIN-код невозможно. Проблема связана с особенностями операционной системы. Для продолжения работы вам нужно перешифровать жесткий диск.

Восстановление доступа к несистемному диску

Для запуска процедуры восстановления пользователю нужно в окне предоставления доступа к диску перейти по ссылке Забыли пароль. После получения доступа к зашифрованному диску пользователь может включить автоматическую разблокировку диска при аутентификации Windows в параметрах BitLocker.

Как просмотреть ключ восстановления для несистемного диска, зашифрованного BitLocker, в Консоли администрирования (MMC)

  1. Откройте Консоль администрирования Kaspersky Security Center.
  2. В дереве Консоли администрирования выберите папку ДополнительноШифрование и защита данных → Зашифрованные жесткие диски.
  3. В рабочей области выберите зашифрованное устройство, для которого вы хотите создать файл ключа доступа, и в контекстном меню устройства выберите пункт Получить доступ к устройству в Kaspersky Endpoint Security для Windows.
  4. Запросите у пользователя идентификатор ключа восстановления, указанный в окне ввода пароля BitLocker, и сравните его с идентификатором в поле Идентификатор ключа восстановления.

    Если идентификаторы не совпадают, то этот ключ не подходит для восстановления доступа к указанному диску. Убедитесь, что имя выбранного компьютера совпадает с именем компьютера пользователя.

  5. Передайте пользователю ключ, указанный в поле Ключ восстановления.

Как просмотреть ключ восстановления для несистемного диска, зашифрованного BitLocker, в Web Console и Cloud Console

  1. В главном окне Web Console выберите ОперацииШифрование и защита данныхЗашифрованные жесткие диски.
  2. Установите флажок рядом с именем компьютера, доступ к диску которого вы хотите восстановить.
  3. Нажмите на кнопку Предоставить доступ к устройству в автономном режиме.

    Запустится мастер предоставления доступа к устройству.

  4. Следуйте указаниям мастера предоставления доступа к устройству:
    1. Выберите плагин Kaspersky Endpoint Security для Windows.
    2. Проверьте идентификатор ключа восстановления. Идентификатор, который предоставил пользователь, должен соответствовать идентификатору, который отображается в параметрах компьютера.

      Если идентификаторы не совпадают, то этот ключ не подходит для восстановления доступа к указанному системному диску. Убедитесь, что имя выбранного компьютера совпадает с именем компьютера пользователя.

    3. Нажмите на кнопку Получить ключ.

В результате вам будет доступен ключ восстановления или файл ключа восстановления, который нужно будет передать пользователю.

В начало

[Topic 215598]

Приостановка защиты BitLocker для обновления программного обеспечения

Обновление операционной системы, установка пакетов обновлений операционной системы или обновление другого программного обеспечения с включенной защитой BitLocker имеет ряд особенностей. При установке обновлений может потребоваться перезагрузить компьютер несколько раз. После каждой перезагрузки пользователю необходимо проходить аутентификацию BitLocker. Для корректной установки обновлений вы можете временно выключить аутентификацию BitLocker. При этом диск остается зашифрованным и пользователь имеет доступ к данным после входа в систему. Для управления аутентификацией BitLocker предназначена задача Управление защитой BitLocker. С помощью задачи вы можете установить количество перезагрузок компьютера, для которых не требуется аутентификация BitLocker. Таким образом, после установки обновлений и завершении работы задачи Управление защитой BitLocker аутентификация BitLocker будет автоматически включена. Вы можете включить аутентификацию BitLocker в любой момент.

Как приостановить защиту BitLocker в Консоли администрирования (MMC)

  1. В Консоли администрирования перейдите в папку Сервер администрированияЗадачи.

    Откроется список задач.

  2. Нажмите на кнопку Новая задача.

Запустится мастер создания задачи. Следуйте его указаниям.

Шаг 1. Выбор типа задачи

Выберите Kaspersky Endpoint Security для Windows (11.10.0)Управление защитой BitLocker.

Шаг 2. Управление защитой BitLocker

Настройте параметры аутентификации BitLocker. Для приостановки защиты BitLocker выберите Временно разрешить пропуск аутентификации BitLocker и установите количество перезагрузок без аутентификации BitLocker (1-15 раз). Если требуется, установите дату и время срока действия задачи. В указанный срок задача автоматически будет выключена и при перезагрузке компьютера пользователю нужно будет проходить аутентификацию BitLocker.

Шаг 3. Выбор устройств, которым будет назначена задача

Выберите компьютеры, на которых будет выполнена задача. Доступны следующие способы:

  • Назначить задачу группе администрирования. В этом случае задача назначается компьютерам, входящим в ранее созданную группу администрирования.
  • Выбрать компьютеры, обнаруженные в сети Сервером администрирования, – нераспределенные устройства. В набор устройств вы можете включать как устройства в группах администрирования, так и нераспределенные устройства.
  • Задать адреса устройств вручную или импортировать из списка. Вы можете задавать NetBIOS-имена, IP-адреса, а также диапазоны IP-адресов устройств, которым нужно назначить задачу.

Шаг 4. Определение названия задачи

Введите название задачи, например, Обновление до Windows 10.

Шаг 5. Завершение создания задачи

Завершите работу мастера. Если требуется, установите флажок Запустить задачу после завершения работы мастера. Вы можете следить за ходом выполнения задачи в свойствах задачи.

Как приостановить защиту BitLocker в Web Console

  1. В главном окне Web Console выберите УстройстваЗадачи.

    Откроется список задач.

  2. Нажмите на кнопку Добавить.

Запустится мастер создания задачи. Следуйте его указаниям.

Шаг 1. Настройка основных параметров задачи

Настройте основные параметры задачи:

  1. В раскрывающемся списке Программа выберите Kaspersky Endpoint Security для Windows (11.10.0).
  2. В раскрывающемся списке Тип задачи выберите Управление защитой BitLocker.
  3. В поле Название задачи введите короткое описание, например, Обновление до Windows 10.
  4. В блоке Выбор устройств, которым будет назначена задача выберите область действия задачи.

Шаг 2. Управление защитой BitLocker

Настройте параметры аутентификации BitLocker. Для приостановки защиты BitLocker выберите Временно разрешить пропуск аутентификации BitLocker и установите количество перезагрузок без аутентификации BitLocker (1-15 раз). Если требуется, установите дату и время срока действия задачи. В указанный срок задача автоматически будет выключена и при перезагрузке компьютера пользователю нужно будет проходить аутентификацию BitLocker.

Шаг 3. Завершение создание задачи

Завершите работу мастера. В списке задач отобразится новая задача.

Для выполнения задачи установите флажок напротив задачи и нажмите на кнопку Запустить.

В результате после выполнения задачи при следующей перезагрузке компьютера BitLocker не будет запрашивать аутентификацию пользователя. После каждой перезагрузки компьютера Kaspersky Endpoint Security формирует событие о перезагрузке компьютера без аутентификации BitLocker и указывает количество оставшихся перезагрузок. Далее Kaspersky Endpoint Security отправляет событие в Kaspersky Security Center для контроля администратором. Также вы можете узнать количество оставшихся перезагрузок в свойствах компьютера в консоли Kaspersky Security Center.

По истечении заданного количества перезагрузок компьютера или срока действия задачи аутентификация BitLocker будет автоматически включена. Для доступа к данным пользователю нужно пройти процедуру аутентификации BitLocker.

На компьютерах под управлением Windows 7 в BitLocker отсутствует возможность подсчета количества перезагрузок компьютера. Подсчет перезагрузок на компьютерах под управлением Windows 7 выполняет Kaspersky Endpoint Security. Таким образом, для автоматического включения аутентификации BitLocker после каждой перезагрузки должен быть выполнен запуск Kaspersky Endpoint Security.

Для досрочного включения аутентификации BitLocker откройте свойства задачи Управление защитой BitLocker и установите значение Запрашивать пароль каждый раз.

В начало

[Topic 57604]

Шифрование файлов на локальных дисках компьютера

Этот компонент доступен, если приложение Kaspersky Endpoint Security установлено на компьютере под управлением операционной системы Windows для рабочих станций. Этот компонент недоступен, если приложение Kaspersky Endpoint Security установлено на компьютере под управлением операционной системы Windows для серверов.

Шифрование файлов имеет следующие особенности:

  • Kaspersky Endpoint Security шифрует / расшифровывает стандартные папки только для локальных профилей пользователей (англ. local user profiles) операционной системы. Kaspersky Endpoint Security не шифрует и не расшифровывает стандартные папки для перемещаемых профилей пользователей (англ. roaming user profiles), обязательных профилей пользователей (англ. mandatory user profiles), временных профилей пользователей (англ. temporary user profiles), а также перенаправленные папки.
  • Kaspersky Endpoint Security не выполняет шифрование файлов, изменение которых может повредить работе операционной системы и установленных приложений. Например, в список исключений из шифрования входят следующие файлы и папки со всеми вложенными в них папками:
    • %WINDIR%;
    • %PROGRAMFILES% и %PROGRAMFILES(X86)%;
    • файлы реестра Windows.

    Список исключений из шифрования недоступен для просмотра и изменения. Файлы и папки из списка исключений из шифрования можно добавить в список для шифрования, но при выполнении шифрования файлов они не будут зашифрованы.

В этом разделе

Запуск шифрования файлов на локальных дисках компьютера

Формирование правил доступа приложений к зашифрованным файлам

Шифрование файлов, создаваемых и изменяемых отдельными приложениями

Формирование правила расшифровки

Расшифровка файлов на локальных дисках компьютера

Создание зашифрованных архивов

Восстановление доступа к зашифрованным файлам

Восстановление доступа к зашифрованным данным в случае выхода из строя операционной системы

Изменение шаблонов сообщений для получения доступа к зашифрованным файлам
В начало

[Topic 123292]

Запуск шифрования файлов на локальных дисках компьютера

Kaspersky Endpoint Security не шифрует файлы, содержимое которых расположено в облачном хранилище OneDrive и других папках с именем OneDrive. Также Kaspersky Endpoint Security блокирует копирование зашифрованных файлов в папки OneDrive, если эти файлы не добавлены в правило расшифровки.

Чтобы зашифровать файлы на локальных дисках компьютера, выполните следующие действия:

  1. Откройте Консоль администрирования Kaspersky Security Center.
  2. В папке Управляемые устройства дерева Консоли администрирования откройте папку с названием группы администрирования, в состав которой входят нужные клиентские компьютеры.
  3. В рабочей области выберите закладку Политики.
  4. Выберите нужную политику и откройте свойства политики двойным щелчком мыши.
  5. В окне политики выберите Шифрование данныхШифрование файлов.
  6. В раскрывающемся списке Режим шифрования выберите элемент Согласно правилам.
  7. На закладке Шифрование нажмите на кнопку Добавить и в раскрывающемся списке выберите один из следующих элементов:
    1. Выберите элемент Стандартные папки, чтобы добавить в правило шифрования файлы из папок локальных профилей пользователей, предложенных специалистами "Лаборатории Касперского".
      • Документы. Файлы в стандартной папке операционной системы Документы, а также вложенные папки.
      • Избранное. Файлы в стандартной папке операционной системы Избранное, а также вложенные папки.
      • Рабочий стол. Файлы в стандартной папке операционной системы Рабочий стол, а также вложенные папки.
      • Временные файлы. Временные файлы, связанные с работой установленных на компьютере приложений. Например, приложения Microsoft Office создают временные файлы с резервными копиями документов.
      • Файлы Outlook. Файлы, связанные с работой почтового клиента Outlook: файлы данных (PST), автономные файлы данных (OST), файлы автономной адресной книги (OAB) и файлы персональной адресной книги (PAB).
    2. Выберите элемент Папку вручную, чтобы добавить в правило шифрования папку, путь к которой введен вручную.

      При добавлении пути к папке следует использовать следующие правила:

      • Используйте переменную окружения (например, %FOLDER%\UserFolder\). Вы можете использовать переменную окружения только один раз и только в начале пути.
      • Не используйте относительные пути.
      • Не используйте символы * и ?.
      • Не используйте UNC-пути.
      • Используйте ; или , в качестве разделительного символа.
    3. Выберите элемент Файлы по расширению, чтобы добавить в правило шифрования отдельные расширения файлов. Kaspersky Endpoint Security шифрует файлы с указанными расширениями на всех локальных дисках компьютера.
    4. Выберите элемент Файлы по группам расширений, чтобы добавить в правило шифрования группы расширений файлов (например, группа Документы Microsoft Office). Kaspersky Endpoint Security шифрует файлы с расширениями, перечисленными в группах расширений, на всех локальных дисках компьютера.
  8. Сохраните внесенные изменения.

Сразу после применения политики Kaspersky Endpoint Security шифрует файлы, включенные в правило шифрования и не включенные в правило расшифровки.

Шифрование файлов имеет следующие особенности:

  • Если один и тот же файл добавлен и в правило шифрования, и в правило расшифровки, то Kaspersky Endpoint Security выполняет следующие действия:
    • Если исходный файл не зашифрован, Kaspersky Endpoint Security не шифрует этот файл.
    • Если исходный файл зашифрован, Kaspersky Endpoint Security расшифровывает этот файл.
  • Kaspersky Endpoint Security продолжает шифровать новые файлы, если файлы удовлетворяют критериям правила шифрования. Например, вы изменили свойства незашифрованного файла (путь или расширение), и в результате файл удовлетворяет критериям правила шифрования. Kaspersky Endpoint Security шифрует этот файл.
  • Когда пользователь создает новый файл, свойства которого удовлетворяют критериям правила шифрования, Kaspersky Endpoint Security шифрует файл сразу же при открытии файла.
  • Kaspersky Endpoint Security откладывает шифрование открытых файлов до тех пор, пока они не будут закрыты.
  • Если вы переносите зашифрованный файл в другую папку на локальном диске, файл остается зашифрованным, независимо от того, включена ли эта папка в правило шифрования.
  • Если вы расшифровали файл и скопировали файл в другую папку на локальном диске, которая не включена в правило расшифровки, копия файла может быть зашифрована. Для исключения шифрования копии файла, создайте для целевой папки правило расшифровки.
В начало

[Topic 123296]

Формирование правил доступа приложений к зашифрованным файлам

Чтобы сформировать правила доступа приложений к зашифрованным файлам, выполните следующие действия:

  1. Откройте Консоль администрирования Kaspersky Security Center.
  2. В папке Управляемые устройства дерева Консоли администрирования откройте папку с названием группы администрирования, в состав которой входят нужные клиентские компьютеры.
  3. В рабочей области выберите закладку Политики.
  4. Выберите нужную политику и откройте свойства политики двойным щелчком мыши.
  5. В окне политики выберите Шифрование данныхШифрование файлов.
  6. В раскрывающемся списке Режим шифрования выберите элемент Согласно правилам.

    Правила доступа действуют только в режиме Согласно правилам. Если после применения правил доступа в режиме Согласно правилам вы перейдете в режим Оставлять без изменений, то Kaspersky Endpoint Security будет игнорировать все правила доступа. Все приложения будут иметь доступ ко всем зашифрованным файлам.

  7. В правой части окна выберите закладку Правила для приложений.
  8. Если вы хотите выбрать приложения исключительно из списка Kaspersky Security Center, нажмите на кнопку Добавить и в раскрывающемся списке выберите элемент Приложения из списка Kaspersky Security Center.
    1. Задайте фильтры для вывода списка приложений в таблице. Для этого укажите значения параметров Приложение, Производитель, Период добавления, а также флажков из блока Группа.
    2. Нажмите на кнопку Обновить.
    3. В таблице отобразится список приложений, удовлетворяющих заданным фильтрам.
    4. В графе Приложение установите флажки напротив тех приложений в таблице, для которых вы хотите сформировать правила доступа к зашифрованным файлам.
    5. В раскрывающемся списке Правило для приложений выберите правило, которое будет определять доступ приложений к зашифрованным файлам.
    6. В раскрывающемся списке Действие для приложений, выбранных ранее выберите действие, которое выполняет Kaspersky Endpoint Security над правилами доступа к зашифрованным файлам, сформированными для указанных выше приложений ранее.

    Информация о правиле доступа приложений к зашифрованным файлам отобразится в таблице на закладке Правила для приложений.

  9. Если вы хотите выбрать приложения вручную, нажмите на кнопку Добавить и в раскрывающемся списке выберите элемент Приложения вручную.
    1. В поле ввода введите имя или список имен исполняемых файлов приложений с их расширениями.

      Вы можете также добавить имена исполняемых файлов приложений из списка Kaspersky Security Center, нажав на кнопку Добавить из списка Kaspersky Security Center.

    2. Если требуется, в поле Описание введите описание списка приложений.
    3. В раскрывающемся списке Правило для приложений выберите правило, которое будет определять доступ приложений к зашифрованным файлам.

    Информация о правиле доступа приложений к зашифрованным файлам отобразится в таблице на закладке Правила для приложений.

  10. Сохраните внесенные изменения.
В начало

[Topic 134863]

Шифрование файлов, создаваемых и изменяемых отдельными приложениями

Вы можете создать правило, согласно которому Kaspersky Endpoint Security будет шифровать все файлы, создаваемые и изменяемые указанными в правиле приложениями.

Файлы, созданные или измененные указанными приложениями до применения правила шифрования, не будут зашифрованы.

Чтобы настроить шифрование файлов, создаваемых и изменяемых отдельными приложениями, выполните следующие действия:

  1. Откройте Консоль администрирования Kaspersky Security Center.
  2. В папке Управляемые устройства дерева Консоли администрирования откройте папку с названием группы администрирования, в состав которой входят нужные клиентские компьютеры.
  3. В рабочей области выберите закладку Политики.
  4. Выберите нужную политику и откройте свойства политики двойным щелчком мыши.
  5. В окне политики выберите Шифрование данныхШифрование файлов.
  6. В раскрывающемся списке Режим шифрования выберите элемент Согласно правилам.

    Правила шифрования действуют только в режиме Согласно правилам. Если после применения правил шифрования в режиме Согласно правилам вы перейдете в режим Оставлять без изменений, то Kaspersky Endpoint Security будет игнорировать все правила шифрования. Файлы, которые были зашифрованы ранее, по-прежнему останутся зашифрованными.

  7. В правой части окна выберите закладку Правила для приложений.
  8. Если вы хотите выбрать приложения исключительно из списка Kaspersky Security Center, нажмите на кнопку Добавить и в раскрывающемся списке выберите элемент Приложения из списка Kaspersky Security Center.
    1. Задайте фильтры для вывода списка приложений в таблице. Для этого укажите значения параметров Приложение, Производитель, Период добавления, а также флажков из блока Группа.
    2. Нажмите на кнопку Обновить.

      В таблице отобразится список приложений, удовлетворяющих заданным фильтрам.

    3. В графе Приложение установите флажки напротив тех приложений в таблице, создаваемые файлы которых вы хотите шифровать.
    4. В раскрывающемся списке Правило для приложений выберите элемент Шифровать все создаваемые файлы.
    5. В раскрывающемся списке Действие для приложений, выбранных ранее выберите действие, которое выполняет Kaspersky Endpoint Security над правилами шифрования файлов, сформированными для указанных выше приложений ранее.

    Информация о правиле шифрования файлов, создаваемых и изменяемых выбранными приложениями, отобразится в таблице на закладке Правила для приложений.

  9. Если вы хотите выбрать приложения вручную, нажмите на кнопку Добавить и в раскрывающемся списке выберите элемент Приложения вручную.
    1. В поле ввода введите имя или список имен исполняемых файлов приложений с их расширениями.

      Вы можете также добавить имена исполняемых файлов приложений из списка Kaspersky Security Center, нажав на кнопку Добавить из списка Kaspersky Security Center.

    2. Если требуется, в поле Описание введите описание списка приложений.
    3. В раскрывающемся списке Правило для приложений выберите элемент Шифровать все создаваемые файлы.

    Информация о правиле шифрования файлов, создаваемых и изменяемых выбранными приложениями, отобразится в таблице на закладке Правила для приложений.

  10. Сохраните внесенные изменения.
В начало

[Topic 123295]

Формирование правила расшифровки

Чтобы сформировать правило расшифровки, выполните следующие действия:

  1. Откройте Консоль администрирования Kaspersky Security Center.
  2. В папке Управляемые устройства дерева Консоли администрирования откройте папку с названием группы администрирования, в состав которой входят нужные клиентские компьютеры.
  3. В рабочей области выберите закладку Политики.
  4. Выберите нужную политику и откройте свойства политики двойным щелчком мыши.
  5. В окне политики выберите Шифрование данныхШифрование файлов.
  6. В раскрывающемся списке Режим шифрования выберите элемент Согласно правилам.
  7. На закладке Расшифровка нажмите на кнопку Добавить и в раскрывающемся списке выберите один из следующих элементов:
    1. Выберите элемент Стандартные папки, чтобы добавить в правило расшифровки файлы из папок локальных профилей пользователей, предложенных специалистами "Лаборатории Касперского".
    2. Выберите элемент Папку вручную, чтобы добавить в правило расшифровки папку, путь к которой введен вручную.
    3. Выберите элемент Файлы по расширению, чтобы добавить в правило расшифровки отдельные расширения файлов. Kaspersky Endpoint Security не шифрует файлы с указанными расширениями на всех локальных дисках компьютера.
    4. Выберите элемент Файлы по группам расширений, чтобы добавить в правило расшифровки группы расширений файлов (например, группа Документы Microsoft Office). Kaspersky Endpoint Security не шифрует файлы с расширениями, перечисленными в группах расширений, на всех локальных дисках компьютера.
  8. Сохраните внесенные изменения.

Если один и тот же файл добавлен и в правило шифрования, и в правило расшифровки, то Kaspersky Endpoint Security не шифрует этот файл, если он не зашифрован, и расшифровывает, если он зашифрован.

В начало

[Topic 123294]

Расшифровка файлов на локальных дисках компьютера

Чтобы расшифровать файлы на локальных дисках компьютера, выполните следующие действия:

  1. Откройте Консоль администрирования Kaspersky Security Center.
  2. В папке Управляемые устройства дерева Консоли администрирования откройте папку с названием группы администрирования, в состав которой входят нужные клиентские компьютеры.
  3. В рабочей области выберите закладку Политики.
  4. Выберите нужную политику и откройте свойства политики двойным щелчком мыши.
  5. В окне политики выберите Шифрование данныхШифрование файлов.
  6. В правой части окна выберите закладку Шифрование.
  7. Исключите из списка для шифрования файлы и папки, которые вы хотите расшифровать. Для этого в списке выберите файлы и в контекстном меню кнопки Удалить выберите пункт Удалить правило и расшифровать файлы.

    Удаленные из списка для шифрования файлы и папки автоматически добавляются в список для расшифровки.

  8. Сформируйте список файлов для расшифровки.
  9. Сохраните внесенные изменения.

Сразу после применения политики Kaspersky Endpoint Security расшифровывает зашифрованные файлы, добавленные в список для расшифровки.

Kaspersky Endpoint Security расшифровывает зашифрованные файлы, если их параметры (путь к файлу / название файла / расширение файла) изменяются и начинают удовлетворять параметрам объектов, добавленных в список для расшифровки.

Kaspersky Endpoint Security откладывает расшифровку открытых файлов до тех пор, пока они не будут закрыты.

В начало

[Topic 57617]

Создание зашифрованных архивов

Для защиты данных при передаче файлов пользователям вне корпоративной сети вы можете использовать зашифрованные архивы. Зашифрованные архивы удобно использовать для передачи файлов большого размера с помощью съемных дисков, так как почтовые клиенты имеют ограничения по размеру файла.

Перед созданием зашифрованных архивов Kaspersky Endpoint Security запросит у пользователя пароль. Для обеспечения надежной защиты данных вы можете включить проверку сложности паролей и выбрать критерии сложности. Таким образом, пользователю будет запрещено использовать короткие и простые пароли, например, 1234.

Как включить проверку сложности пароля при создании зашифрованных архивов в Консоли администрирования (MMC)

  1. Откройте Консоль администрирования Kaspersky Security Center.
  2. В папке Управляемые устройства дерева Консоли администрирования откройте папку с названием группы администрирования, в состав которой входят нужные клиентские компьютеры.
  3. В рабочей области выберите закладку Политики.
  4. Выберите нужную политику и откройте свойства политики двойным щелчком мыши.
  5. В окне политики выберите Шифрование данныхОбщие настройки шифрования.
  6. В блоке Настройки паролей нажмите на кнопку Настройка.
  7. В открывшемся окне выберите закладку Зашифрованные архивы.
  8. Настройте параметры сложности пароля при создании зашифрованных архивов.

Как включить проверку сложности пароля при создании зашифрованных архивов в Web Console

  1. В главном окне Web Console выберите УстройстваПолитики и профили политик.
  2. Нажмите на название политики Kaspersky Endpoint Security.

    Откроется окно свойств политики.

  3. Выберите закладку Параметры программы.
  4. Перейдите в раздел Шифрование данныхШифрование файлов.
  5. В блоке Настройки пароля для зашифрованных архивов настройте параметры сложности пароля при создании зашифрованных архивов.

Вы можете создавать зашифрованные архивы на компьютерах с установленным приложением Kaspersky Endpoint Security с функцией шифрования файлов.

При добавлении в зашифрованный архив файла, содержимое которого расположено в облачном хранилище OneDrive, Kaspersky Endpoint Security загружает содержимое этого файла и осуществляет шифрование.

Чтобы создать зашифрованный архив, выполните следующие действия:

  1. В любом файловом менеджере выделите файлы или папки, которые вы хотите добавить в зашифрованный архив. По правой клавише мыши откройте их контекстное меню.
  2. Выберите пункт Создать зашифрованный архив в контекстном меню (см. рис. ниже).
  3. В открывшемся окне выберите место для сохранения зашифрованного архива на съемном диске, задайте имя и нажмите на кнопку Сохранить.
  4. В открывшемся окне задайте пароль и повторите его.

    Пароль должен соответствовать критериям сложности, заданным в политике.

  5. Нажмите на кнопку Создать.

Запустится процесс создания зашифрованного архива. В процессе создания зашифрованного архива Kaspersky Endpoint Security не выполняет сжатие файлов. По завершении процесса в указанном месте на диске будет создан самораспаковывающийся защищенный паролем зашифрованный архив (исполняемый файл с расширением exe) – .

Создание зашифрованного архива

Для получения доступа к файлам в зашифрованном архиве нужно запустить мастер распаковки архива двойным щелчком мыши и ввести пароль. Если вы забыли пароль, восстановить доступ к файлам в зашифрованном архиве невозможно. Вы можете создать зашифрованный архив повторно.

В начало

[Topic 128083]

Восстановление доступа к зашифрованным файлам

При шифровании файлов Kaspersky Endpoint Security получает ключ шифрования, необходимый для прямого доступа к зашифрованным файлам. С помощью ключа шифрования пользователь, работающий под любой из учетных записей Windows, которая была активной во время шифрования файлов, может получать прямой доступ к зашифрованным файлам. Пользователям, работающим под учетными записями Windows, которые были неактивны во время шифрования файлов, требуется связь с Kaspersky Security Center для доступа к зашифрованным файлам.

Зашифрованные файлы могут быть недоступны в следующих случаях:

  • На компьютере пользователя присутствуют ключи шифрования, но нет связи с Kaspersky Security Center для работы с ними. В этом случае пользователю требуется запросить доступ к зашифрованным файлам у администратора локальной сети организации.

    При отсутствии связи с Kaspersky Security Center требуется:

    • для доступа к зашифрованным файлам на жестких дисках компьютера запросить один ключ доступа;
    • для доступа к зашифрованным файлам на съемных дисках запросить ключ доступа к зашифрованным файлам для каждого съемного диска.
  • С компьютера пользователя удалены компоненты шифрования. В этом случае пользователь может открыть зашифрованные файлы на локальных дисках и съемных дисках, но содержимое файлов отображается как зашифрованное.

    Пользователь может работать с зашифрованными файлами при следующих условиях:

Для получения доступ к зашифрованным файлам пользователю нужно запустить процедуру восстановления ("Запрос - Ответ").

Восстановление доступ к зашифрованным файлам состоит из следующих этапов:

  1. Пользователь отправляет администратору файл запроса (см. рис. ниже).
  2. Администратор добавляет файл запроса в Kaspersky Security Center, создает файл ключа доступа и отправляет файл пользователю.
  3. Пользователь добавляет файл ключа доступа в Kaspersky Endpoint Security и получает доступ к файлам.

    Восстановление доступа к зашифрованным файлам

Для запуска процедуры восстановления пользователю нужно обратиться к файлу. В результате Kaspersky Endpoint Security создаст файл запроса (файл с расширением kesdc), который пользователю нужно передать администратору, например, по электронной почте.

Kaspersky Endpoint Security формирует файл запроса доступа ко всем зашифрованным файлам, хранящимся на диске компьютера (локальном диске или съемном диске).

Как получить файл ключа доступа к зашифрованным данным в Консоли администрирования (MMC)

  1. Откройте Консоль администрирования Kaspersky Security Center.
  2. В папке Управляемые устройства дерева Консоли администрирования откройте папку с названием группы администрирования, в состав которой входят нужные клиентские компьютеры.
  3. В рабочей области выберите закладку Устройства.
  4. На закладке Устройства выделите компьютер пользователя, запросившего восстановление доступа к зашифрованным данным, и по правой клавише мыши откройте контекстное меню.
  5. В контекстном меню выберите пункт Предоставление доступа в офлайн-режиме.
  6. В открывшемся окне выберите закладку Шифрование данных.
  7. На закладке Шифрование данных нажмите на кнопку Обзор.
  8. В окне выбора файла запроса укажите путь к файлу, полученного от пользователя.

Отобразится информация о запросе пользователя. Kaspersky Security Center сформирует файл ключа доступа. Отправьте пользователю созданный файл ключа доступа к зашифрованным данным по электронной почте. Или сохраните файл доступа и передайте файл любым доступным способом.

Как получить файл ключа доступа к зашифрованным данным в Web Console

  1. В главном окне Web Console выберите УстройстваУправляемые устройства.
  2. Установите флажок рядом с именем компьютера, доступ к данным которого вы хотите восстановить.
  3. Нажмите на кнопку Предоставить доступ к устройству в автономном режиме.
  4. Выберите раздел Шифрование данных.
  5. Нажмите на кнопку Выбрать файл и выберите файл запроса, полученный от пользователя (файл с расширением kesdc).

    Web Console покажет информацию о запросе. В том числе, имя компьютера, на котором пользователь запрашивает доступ к файлу.

  6. Нажмите на кнопку Сохранить ключ и выберите папку для сохранения файла ключа доступа к зашифрованным данным (файл с расширением kesdr).

В результате вам будет доступен ключ доступа к зашифрованным данным, который нужно будет передать пользователю.

После получения файла ключа доступа к зашифрованным данным пользователю нужно запустить файл двойным щелчком мыши. В результате Kaspersky Endpoint Security предоставит доступ ко всем зашифрованным файлам, хранящимся диске. Для получения доступа к зашифрованным файлам, хранящимся на других дисках, требуется получить отдельные ключи доступа для этих дисков.

В начало

[Topic 128094]

Восстановление доступа к зашифрованным данным в случае выхода из строя операционной системы

Восстановление доступа к данным в случае выхода из строя операционной системы доступно только при шифровании файлов (FLE). Восстановить доступ к данным при полнодисковом шифровании (FDE) невозможно.

Чтобы восстановить доступ к зашифрованным данным в случае выхода из строя операционной системы, выполните следующие действия:

  1. Переустановите операционную систему, не форматируя жесткий диск.
  2. Установите Kaspersky Endpoint Security.
  3. Установите связь между компьютером и Сервером администрирования Kaspersky Security Center, под управлением которого находился компьютер во время шифрования данных.

Доступ к зашифрованным данным будет предоставлен на тех же условиях, которые действовали до выхода операционной системы из строя.

В начало

[Topic 123497]

Изменение шаблонов сообщений для получения доступа к зашифрованным файлам

Чтобы изменить шаблоны сообщений для получения доступа к зашифрованным файлам, выполните следующие действия:

  1. Откройте Консоль администрирования Kaspersky Security Center.
  2. В папке Управляемые устройства дерева Консоли администрирования откройте папку с названием группы администрирования, в состав которой входят нужные клиентские компьютеры.
  3. В рабочей области выберите закладку Политики.
  4. Выберите нужную политику и откройте свойства политики двойным щелчком мыши.
  5. В окне политики выберите Шифрование данныхОбщие настройки шифрования.
  6. В блоке Шаблоны нажмите на кнопку Шаблоны.
  7. В открывшемся окне выполните следующие действия:
    • Если вы хотите изменить шаблон сообщения пользователя, выберите закладку Сообщение пользователя. Когда пользователь обращается к зашифрованному файлу при отсутствии на компьютере ключа доступа к зашифрованным файлам, открывается окно Доступ к данным запрещен. При нажатии на кнопку Отправить по электронной почте окна Доступ к данным запрещен автоматически формируется сообщение пользователя. Это сообщение отправляется администратору локальной сети организации вместе с файлом запроса доступа к зашифрованным файлам.
    • Если вы хотите изменить шаблон сообщения администратора, выберите закладку Сообщение администратора. Это сообщение автоматически формируется при нажатии на кнопку Отправить по электронной почте окна Запрос доступа к зашифрованным файлам и приходит к пользователю после предоставления ему доступа к зашифрованным файлам.
  8. Измените шаблоны сообщений.
  9. Сохраните внесенные изменения.

См. также:

Изменение шаблонов сообщений Веб-Контроля

Изменение шаблонов сообщений Контроля устройств

Изменение шаблонов сообщений Контроля приложений

Изменение шаблонов сообщений Адаптивного контроля аномалий
В начало

[Topic 128082]

Шифрование съемных дисков

Этот компонент доступен, если приложение Kaspersky Endpoint Security установлено на компьютере под управлением операционной системы Windows для рабочих станций. Этот компонент недоступен, если приложение Kaspersky Endpoint Security установлено на компьютере под управлением операционной системы Windows для серверов.

Kaspersky Endpoint Security поддерживает шифрование файлов в файловых системах FAT32 и NTFS. Если к компьютеру подключен съемный диск с неподдерживаемой файловой системой, то шифрование этого съемного диска завершается с ошибкой и Kaspersky Endpoint Security устанавливает статус доступа "только чтение" для этого съемного диска.

Для защиты данных на съемных дисках вы можете использовать следующие виды шифрования:

  • Полнодисковое шифрование (англ. Full Disk Encryption – FDE).

    Шифрование всего съемного диска, включая файловую систему.

    Получить доступ к зашифрованным данным вне корпоративной сети невозможно. Также невозможно получить доступ к зашифрованным данным внутри корпоративной сети, если компьютер не подключен к Kaspersky Security Center ("гостевой" компьютер).

  • Шифрование файлов (англ. File Level Encryption – FLE).

    Шифрование только файлов на съемном диске. Файловая система при этом остается без изменений.

    Шифрование файлов на съемных дисках предоставляет возможность доступа к данным за пределами корпоративной сети с помощью специального режима – портативный режим.

Во время шифрования Kaspersky Endpoint Security создает мастер-ключ. Kaspersky Endpoint Security сохраняет мастер-ключ в следующих хранилищах:

  • Kaspersky Security Center.
  • Компьютер пользователя.

    Мастер-ключ зашифрован секретным ключом пользователя.

  • Съемный диск.

    Мастер-ключ зашифрован открытым ключом Kaspersky Security Center.

После завершения шифрования данные на съемном диске доступны внутри корпоративной сети как при использовании обычного съемного диска без шифрования.

Получение доступа к зашифрованным данным

При подключении съемного диска с зашифрованными данными Kaspersky Endpoint Security выполняет следующие действия:

  1. Проверяет наличие мастер-ключа в локальном хранилище на компьютере пользователя.

    Если мастер-ключ найден, пользователь получает доступ к данным на съемном диске.

    Если мастер-ключ не найден, Kaspersky Endpoint Security выполняет следующие действия:

    1. Отправляет запрос в Kaspersky Security Center.

      После получения запроса Kaspersky Security Center отправляет ответ, который содержит мастер-ключ.

    2. Kaspersky Endpoint Security сохраняет мастер-ключ в локальном хранилище на компьютере пользователя для дальнейшей работы с зашифрованным съемным диском.
  2. Расшифровывает данные.

Особенности шифрования съемных дисков

Шифрование съемных дисков имеет следующие особенности:

  • Политика с заданными параметрами шифрования съемных дисков формируется для определенной группы управляемых компьютеров. Поэтому результат применения политики Kaspersky Security Center с настроенным шифрованием / расшифровкой съемных дисков зависит от того, к какому компьютеру подключен съемный диск.
  • Kaspersky Endpoint Security не выполняет шифрование / расшифровку файлов со статусом доступа "только чтение", хранящихся на съемных дисках.
  • В качестве съемных дисков поддерживаются следующие типы устройств:
    • носители информации, подключаемые по шине USB;
    • жесткие диски, подключаемые по шинам USB и FireWire;
    • SSD-диски, подключаемые по шинам USB и FireWire.

В этом разделе

Запуск шифрования съемных дисков

Добавление правила шифрования для съемных дисков

Экспорт и импорт списка правил шифрования для съемных дисков

Портативный режим для работы с зашифрованными файлами на съемных дисках

Расшифровка съемных дисков
В начало

[Topic 123503]

Запуск шифрования съемных дисков

Вы можете расшифровать съемный диск с помощью политики. Политика с заданными параметрами шифрования съемных дисков формируется для определенной группы администрирования. Поэтому результат расшифровки данных на съемных дисках зависит от того, к какому компьютеру подключен съемный диск.

Kaspersky Endpoint Security поддерживает шифрование файловых систем FAT32 и NTFS. Если к компьютеру подключен съемный диск с неподдерживаемой файловой системой, шифрование съемного диска завершится с ошибкой и Kaspersky Endpoint Security установит для этого съемного диска право доступа "только чтение".

Перед шифрованием файлов на съемном диске убедитесь, что диск отформатирован и отсутствуют скрытые разделы (например, системный раздел EFI). Если на диске есть неотформатированные или скрытые разделы, шифрование файлов может завершиться с ошибкой.

Чтобы зашифровать съемные диски, выполните следующие действия:

  1. Откройте Консоль администрирования Kaspersky Security Center.
  2. В папке Управляемые устройства дерева Консоли администрирования откройте папку с названием группы администрирования, в состав которой входят нужные клиентские компьютеры.
  3. В рабочей области выберите закладку Политики.
  4. Выберите нужную политику и откройте свойства политики двойным щелчком мыши.
  5. В окне политики выберите Шифрование данныхШифрование съемных дисков.
  6. В раскрывающемся списке Режим шифрования выберите действие, которое по умолчанию выполняет Kaspersky Endpoint Security со съемными дисками:
    • Шифровать весь съемный диск (FDE). Kaspersky Endpoint Security посекторно шифрует содержимое съемного диска. Таким образом, зашифрованными оказываются не только файлы, которые хранятся на съемном диске, но и файловые системы, включая имена файлов и структуры папок на съемном диске.
    • Шифровать все файлы (FLE). Kaspersky Endpoint Security шифрует все файлы, которые хранятся на съемных дисках. Приложение не шифрует файловые системы съемных дисков, включая имена файлов и структуры папок.
    • Шифровать только новые файлы (FLE). Kaspersky Endpoint Security шифрует только те файлы, которые были добавлены на съемные диски или которые хранились на съемных дисках и были изменены после последнего применения политики Kaspersky Security Center.

    Kaspersky Endpoint Security повторно не шифрует уже зашифрованный съемный диск.

  7. Если вы хотите использовать портативный режим для шифрования съемных дисков, установите флажок Портативный режим.

    Портативный режим – режим шифрования файлов (FLE) на съемных дисках, который предоставляет возможность доступа к данным за пределами корпоративной сети. Также портативный режим позволяет работать с зашифрованными данными на компьютерах, на которых не установлено приложение Kaspersky Endpoint Security.

  8. Если вы хотите зашифровать новый съемный диск, рекомендуется установить флажок Шифровать только занятое пространство. Если флажок снят, Kaspersky Endpoint Security зашифрует все файлы, в том числе остатки удаленных или измененных файлов.
  9. Если вы хотите настроить шифрование для отдельных съемных дисков, задайте правила шифрования.
  10. Если вы хотите использовать полнодисковое шифрование съемных дисков в офлайн-режиме, установите флажок Разрешать шифрование съемных дисков в офлайн-режиме.

    Офлайн-режим шифрования – режим шифрования съемных дисков (FDE) при отсутствии связи с Kaspersky Security Center. При шифровании Kaspersky Endpoint Security сохраняет мастер-ключ только на компьютере пользователя. Kaspersky Endpoint Security отправит мастер-ключ в Kaspersky Security Center при следующей синхронизации.

    Если компьютер, на котором сохранен мастер-ключ, поврежден и данные в Kaspersky Security Center не отправлены, получить доступ к съемному диску невозможно.

    Если флажок Разрешать шифрование съемных дисков в офлайн-режиме снят и подключение к Kaspersky Security Center отсутствует, шифрование съемного диска невозможно.

  11. Сохраните внесенные изменения.

В результате применения политики, если пользователь подключает съемный диск или съемный диск уже подключен, Kaspersky Endpoint Security запрашивает подтверждение для выполнения операции шифрования (см. рис. ниже).

Приложение позволяет выполнить следующие действия:

  • Если пользователь подтверждает запрос на шифрование, Kaspersky Endpoint Security шифрует данные.
  • Если пользователь отклоняет запрос на шифрование, Kaspersky Endpoint Security оставляет данные без изменений и устанавливает для этого съемного диска право доступа "только чтение".
  • Если пользователь не отвечает на запрос на шифрование, Kaspersky Endpoint Security оставляет данные без изменений и устанавливает для этого съемного диска право доступа "только чтение". Приложение повторно запрашивает подтверждение при последующем применении политики или при последующем подключении этого съемного диска.

Если во время шифрования данных пользователь инициирует безопасное извлечение съемного диска, Kaspersky Endpoint Security прерывает шифрование данных и позволяет извлечь съемный диск до завершения операции шифрования. Шифрование данных будет продолжено при следующем подключении съемного диска к этому компьютеру.

Если шифрование съемного диска не удалось, просмотрите отчет Шифрование данных в интерфейсе Kaspersky Endpoint Security. Доступ к файлам может быть заблокирован другим приложением. В этом случае попробуйте извлечь и заново подключить съемный диск к компьютеру.

Запрос на шифрование съемного диска

В начало

[Topic 123493]

Добавление правила шифрования для съемных дисков

Чтобы добавить правило шифрования для съемных дисков, выполните следующие действия:

  1. Откройте Консоль администрирования Kaspersky Security Center.
  2. В папке Управляемые устройства дерева Консоли администрирования откройте папку с названием группы администрирования, в состав которой входят нужные клиентские компьютеры.
  3. В рабочей области выберите закладку Политики.
  4. Выберите нужную политику и откройте свойства политики двойным щелчком мыши.
  5. В окне политики выберите Шифрование данныхШифрование съемных дисков.
  6. Нажмите на кнопку Добавить и в раскрывающемся списке выберите один из следующих элементов:
    • Если вы хотите добавить правила шифрования для съемных дисков, которые находятся в списке доверенных устройств компонента Контроль устройств, выберите элемент Из списка доверенных устройств данной политики.
    • Если вы хотите добавить правила шифрования для съемных дисков, которые находятся в списке Kaspersky Security Center, выберите элемент Из списка устройств Kaspersky Security Center.
  7. В раскрывающемся списке Режим шифрования для выбранных устройств выберите действие, которое выполняет Kaspersky Endpoint Security с файлами, хранящимися на выбранных съемных дисках.
  8. Установите флажок Портативный режим, если вы хотите, чтобы перед шифрованием Kaspersky Endpoint Security выполнял подготовку съемных дисков к работе с зашифрованными на них файлами в портативном режиме.

    Портативный режим позволяет работать с зашифрованными файлами съемных дисков на компьютерах с недоступной функциональностью шифрования.

  9. Установите флажок Шифровать только занятое пространство, если вы хотите, чтобы Kaspersky Endpoint Security шифровал только те секторы диска, которые заняты файлами.

    Если вы применяете шифрование на уже используемом диске, рекомендуется зашифровать весь диск. Это гарантирует защиту всех данных - даже удаленных, но еще содержащих извлекаемые сведения. Функцию Шифровать только занятое пространство рекомендуется использовать для новых, ранее не использовавшихся дисков.

    Если устройство было зашифровано ранее с использованием функции Шифровать только занятое пространство, после применения политики в режиме Шифровать весь съемный диск секторы, не занятые файлами, по-прежнему не будут зашифрованы.

  10. В раскрывающемся списке Действие для устройств, выбранных ранее выберите действие, выполняемое Kaspersky Endpoint Security с правилами шифрования, которые были определены для съемных дисков ранее:
    • Если вы хотите, чтобы созданное ранее правило шифрования съемного диска осталось без изменений, выберите элемент Пропустить.
    • Если вы хотите, чтобы созданное ранее правило шифрования съемного диска было заменено новым правилом, выберите элемент Обновить.
  11. Сохраните внесенные изменения.

Добавленные правила шифрования съемных дисков будут применены к съемным дискам, подключенным к любым компьютерам организации.

В начало

[Topic 202233]

Экспорт и импорт списка правил шифрования для съемных дисков

Вы можете экспортировать список правил шифрования для съемных дисков в файл в формате XML. Далее вы можете вносить изменения в файл, чтобы, например, добавить большое количество правил для однотипных съемных дисков. Также вы можете использовать функцию экспорта / импорта для резервного копирования списка правил или для миграции правил на другой сервер.

Как экспортировать / импортировать список правил шифрования для съемных дисков в Консоли администрирования (MMC)

  1. Откройте Консоль администрирования Kaspersky Security Center.
  2. В папке Управляемые устройства дерева Консоли администрирования откройте папку с названием группы администрирования, в состав которой входят нужные клиентские компьютеры.
  3. В рабочей области выберите закладку Политики.
  4. Выберите нужную политику и откройте свойства политики двойным щелчком мыши.
  5. В окне политики выберите Шифрование данныхШифрование съемных дисков.
  6. Для экспорта списка правил шифрования для съемных дисков, выполните следующие действия:
    1. Выберите правила, которые вы хотите экспортировать. Чтобы выбрать несколько записей, используйте клавиши CTRL или SHIFT.

      Если вы не выбрали ни одного правила, Kaspersky Endpoint Security экспортирует все правила.

    2. Нажмите на ссылку Экспортировать.
    3. В открывшемся окне введите имя файла формата XML, в который вы хотите экспортировать список правил, а также выберите папку, в которой вы хотите сохранить этот файл.
    4. Сохраните файл.

      Kaspersky Endpoint Security экспортирует список правил в XML-файл.

  7. Для импорта списка правил шифрования для съемных дисков, выполните следующие действия:
    1. Нажмите на ссылку Импортировать.

      В открывшемся окне выберите XML-файл, из которого вы хотите импортировать список правил.

    2. Откройте файл.

      Если на компьютере уже есть список правил, Kaspersky Endpoint Security предложит удалить действующий список или добавить в него новые записи из XML-файла.

  8. Сохраните внесенные изменения.

Как экспортировать / импортировать список правил шифрования для съемных дисков в Web Console

  1. В главном окне Web Console выберите УстройстваПолитики и профили политик.
  2. Нажмите на название политики Kaspersky Endpoint Security.

    Откроется окно свойств политики.

  3. Выберите закладку Параметры программы.
  4. Перейдите в раздел Шифрование данныхШифрование съемных дисков.
  5. В блоке Правила шифрования выбранных устройств перейдите по ссылке Правила шифрования.

    Откроется список правил шифрования для съемных дисков.

  6. Для экспорта списка правил шифрования для съемных дисков, выполните следующие действия:
    1. Выберите правила, которые вы хотите экспортировать.
    2. Нажмите на кнопку Экспорт.
    3. Подтвердите, что вы хотите экспортировать только выбранные правила, или экспортируйте весь список.
    4. Сохраните файл.

      Kaspersky Endpoint Security экспортирует список правил в XML-файл в папку для загрузки по умолчанию.

  7. Для импорта списка исключений, выполните следующие действия:
    1. Нажмите на ссылку Импортировать.

      В открывшемся окне выберите XML-файл, из которого вы хотите импортировать список правил.

    2. Откройте файл.

      Если на компьютере уже есть список правил, Kaspersky Endpoint Security предложит удалить действующий список или добавить в него новые записи из XML-файла.

  8. Сохраните внесенные изменения.
В начало

[Topic 123492]

Портативный режим для работы с зашифрованными файлами на съемных дисках

Портативный режим – режим шифрования файлов (FLE) на съемных дисках, который предоставляет возможность доступа к данным за пределами корпоративной сети. Также портативный режим позволяет работать с зашифрованными данными на компьютерах, на которых не установлено приложение Kaspersky Endpoint Security.

Портативный режим удобно использовать в следующих случаях:

  • Нет связи между компьютером и Сервером администрирования Kaspersky Security Center.
  • Изменилась инфраструктура со сменой Сервера администрирования Kaspersky Security Center.
  • На компьютере не установлено приложение Kaspersky Endpoint Security.

Портативный файловый менеджер

Для работы в портативном режиме Kaspersky Endpoint Security устанавливает на съемный диск специальный модуль шифрования – портативный файловый менеджер. Портативный файловый менеджер предоставляет интерфейс для работы с зашифрованными данными, если на компьютере не установлено приложение Kaspersky Endpoint Security (см. рис. ниже). Если на компьютере установлено приложение Kaspersky Endpoint Security, вы можете работать с зашифрованными съемными дисками с помощью обычных файлового менеджера (например, Проводника).

Портативный файловый менеджер хранит ключ для шифрования файлов на съемном диске. Ключ зашифрован паролем пользователя. Пользователь задает пароль перед шифрованием файлов на съемном диске.

Портативный файловый менеджер запускается автоматически при подключении съемного диска к компьютеру, на котором не установлено приложение Kaspersky Endpoint Security. Если на компьютере выключен автозапуск приложения, запустите портативный файловый менеджер вручную. Для этого запустите файл pmv.exe, который хранится на съемном диске.

Портативный файловый менеджер

Поддержка портативного режима для работы с зашифрованным файлами

Как включить поддержку портативного режима для работы с зашифрованными файлами на съемных дисках в Консоли администрирования (MMC)

  1. Откройте Консоль администрирования Kaspersky Security Center.
  2. В папке Управляемые устройства дерева Консоли администрирования откройте папку с названием группы администрирования, в состав которой входят нужные клиентские компьютеры.
  3. В рабочей области выберите закладку Политики.
  4. Выберите нужную политику и откройте свойства политики двойным щелчком мыши.
  5. В окне политики выберите Шифрование данныхШифрование съемных дисков.
  6. В раскрывающемся списке Режим шифрования для выбранных устройств выберите элемент Шифровать все файлы или элемент Шифровать только новые файлы.

    Портативный режим доступен только при шифрования файлов (FLE). Включить поддержку портативного режима для полнодискового шифрования (FDE) невозможно.

  7. Установите флажок Портативный режим.
  8. Если нужно, добавьте правила шифрования для отдельных съемных дисков.
  9. Сохраните внесенные изменения.
  10. После применения политики подключите съемный диск к компьютеру.
  11. Подтвердите операцию шифрования съемного диска.

    Откроется окно создания пароля для портативного файлового менеджера.

  12. Задайте пароль, соответствующий требованиям к уровню сложности, и подтвердите его.
  13. Сохраните внесенные изменения.

Kaspersky Endpoint Security зашифрует файлы на съемном диске. Портативный файловый менеджер для работы с зашифрованными файлами будет также добавлен на съемный диск. Если на съемном диске уже есть зашифрованные файлы, то Kaspersky Endpoint Security зашифрует их повторно с помощью собственного ключа. Это позволяет пользователю получить доступ ко всем файлам на съемном диске в портативном режиме.

Как включить поддержку портативного режима для работы с зашифрованными файлами на съемных дисках в Web Console

  1. В главном окне Web Console выберите УстройстваПолитики и профили политик.
  2. Нажмите на название политики Kaspersky Endpoint Security.

    Откроется окно свойств политики.

  3. Выберите закладку Параметры программы.
  4. Перейдите в раздел Шифрование данныхШифрование съемных дисков.
  5. В блоке Управление шифрованием выберите элемент Шифровать все файлы или элемент Шифровать только новые файлы.

    Портативный режим доступен только при шифрования файлов (FLE). Включить поддержку портативного режима для полнодискового шифрования (FDE) невозможно.

  6. Установите флажок Портативный режим.
  7. Если нужно, добавьте правила шифрования для отдельных съемных дисков.
  8. Сохраните внесенные изменения.
  9. После применения политики подключите съемный диск к компьютеру.
  10. Подтвердите операцию шифрования съемного диска.

    Откроется окно создания пароля для портативного файлового менеджера.

  11. Задайте пароль, соответствующий требованиям к уровню сложности, и подтвердите его.
  12. Сохраните внесенные изменения.

Kaspersky Endpoint Security зашифрует файлы на съемном диске. Портативный файловый менеджер для работы с зашифрованными файлами будет также добавлен на съемный диск. Если на съемном диске уже есть зашифрованные файлы, то Kaspersky Endpoint Security зашифрует их повторно с помощью собственного ключа. Это позволяет пользователю получить доступ ко всем файлам на съемном диске в портативном режиме.

Получение доступа к зашифрованным файлам на съемном диске

После шифрования файлов на съемном диске с поддержкой портативного режима доступны следующие способы доступа к файлам:

  • Если на компьютере не установлено приложение Kaspersky Endpoint Security, портативный файловый менеджер предложит ввести пароль. Пароль нужно будет вводить при каждой перезагрузке компьютера или переподключении съемного диска.
  • Если компьютер находится за пределами корпоративной сети и на компьютере установлено приложение Kaspersky Endpoint Security, приложение предложит ввести пароль или отправить запрос на доступ к файлам администратору. После получения доступа к файлам на съемном диске Kaspersky Endpoint Security сохранит секретный ключ в хранилище ключей компьютера. Это позволит в дальнейшем получить доступ к файлам без ввода пароля или запроса администратору.
  • Если компьютер находится внутри корпоративной сети и на компьютере установлено приложение Kaspersky Endpoint Security, вы получите доступ к устройству без ввода пароля. Kaspersky Endpoint Security получит секретный ключ от Сервера администрирования Kaspersky Security Center к которому подключен компьютер.

Восстановление пароля для работы в портативном режиме

Если вы забыли пароль для работы в портативном режиме, вам нужно подключить съемный диск к компьютеру с установленным приложением Kaspersky Endpoint Security внутри корпоративной сети. Вы получите доступ к файлам, так как в хранилище ключей компьютера или на Сервере администрирования сохранен секретный ключ. Расшифруйте и снова зашифруйте файлы с новым паролем.

Особенности работы портативного режима при подключении съемного диска к компьютеру из другой сети

Если компьютер находится за пределами корпоративной сети и на компьютере установлено приложение Kaspersky Endpoint Security, вы можете получить доступ к файлам следующими способами:

  • Доступ по паролю

    После ввода пароля вы сможете просматривать, изменять и сохранять файлы на съемном диске (прозрачный доступ). Kaspersky Endpoint Security может установить для съемного диска право доступа "только чтение", если в параметрах политики для шифрования съемных дисков настроены следующие параметры:

    • Выключена поддержка портативного режима.
    • Выбран режим Шифровать все файлы или Шифровать только новые файлы.

    В остальных случаях вы получите полный доступ к съемному диску (право "чтение и запись"). Вам будет доступно добавление и удаление файлов.

    Вы можете изменить права доступа к съемному диску, даже если съемный диск подключен к компьютеру. Если права доступа к съемному диску изменились, Kaspersky Endpoint Security заблокирует доступ к файлам и запросит пароль повторно.

    После ввода пароля применить параметры политики шифрования для съемного диска невозможно. Таким образом, расшифровать или перешифровать файлы на съемном диске невозможно.

  • Запрос доступа к файлам у администратора

    Если вы забыли пароль для работы в портативном режиме, запросите доступ к файлам у администратора. Для доступа к файлам пользователю нужно отправить файл запроса (файл с расширением kesdc) администратору. Пользователь можете отправить файл запроса, например, по электронной почте. Администратор отправит файл доступа к зашифрованным данным (файл с расширением kesdr).

    После прохождения процедуры восстановления пароля ("Запрос - Ответ") вы получите прозрачный доступ к файлам на съемном диске и полный доступ к съемному диску (право "запись и чтение").

    Вы можете применить политику для шифрования съемных дисков и, например, расшифровать файлы. После восстановления пароля или при обновлении политики приложение Kaspersky Endpoint Security предложит подтвердить изменения.

    Как получить файл доступа к зашифрованным данным в Консоли администрирования (MMC)

    1. Откройте Консоль администрирования Kaspersky Security Center.
    2. В папке Управляемые устройства дерева Консоли администрирования откройте папку с названием группы администрирования, в состав которой входят нужные клиентские компьютеры.
    3. В рабочей области выберите закладку Устройства.
    4. На закладке Устройства выделите компьютер пользователя, запросившего восстановление доступа к зашифрованным данным, и по правой клавише мыши откройте контекстное меню.
    5. В контекстном меню выберите пункт Предоставление доступа в офлайн-режиме.
    6. В открывшемся окне выберите закладку Шифрование данных.
    7. На закладке Шифрование данных нажмите на кнопку Обзор.
    8. В окне выбора файла запроса укажите путь к файлу, полученного от пользователя.

    Отобразится информация о запросе пользователя. Kaspersky Security Center сформирует файл ключа доступа. Отправьте пользователю созданный файл ключа доступа к зашифрованным данным по электронной почте. Или сохраните файл доступа и передайте файл любым доступным способом.

    Как получить файл доступа к зашифрованным данным в Web Console

    1. В главном окне Web Console выберите УстройстваУправляемые устройства.
    2. Установите флажок рядом с именем компьютера, доступ к данным которого вы хотите восстановить.
    3. Нажмите на кнопку Предоставить доступ к устройству в автономном режиме.
    4. Выберите раздел Шифрование данных.
    5. Нажмите на кнопку Выбрать файл и выберите файл запроса, полученный от пользователя (файл с расширением kesdc).

      Web Console покажет информацию о запросе. В том числе, имя компьютера, на котором пользователь запрашивает доступ к файлу.

    6. Нажмите на кнопку Сохранить ключ и выберите папку для сохранения файла ключа доступа к зашифрованным данным (файл с расширением kesdr).

    В результате вам будет доступен ключ доступа к зашифрованным данным, который нужно будет передать пользователю.

В начало

[Topic 123500]

Расшифровка съемных дисков

Вы можете расшифровать съемный диск с помощью политики. Политика с заданными параметрами шифрования съемных дисков формируется для определенной группы администрирования. Поэтому результат расшифровки данных на съемных дисках зависит от того, к какому компьютеру подключен съемный диск.

Чтобы расшифровать съемные диски, выполните следующие действия:

  1. Откройте Консоль администрирования Kaspersky Security Center.
  2. В папке Управляемые устройства дерева Консоли администрирования откройте папку с названием группы администрирования, в состав которой входят нужные клиентские компьютеры.
  3. В рабочей области выберите закладку Политики.
  4. Выберите нужную политику и откройте свойства политики двойным щелчком мыши.
  5. В окне политики выберите Шифрование данныхШифрование съемных дисков.
  6. Если вы хотите расшифровать все зашифрованные файлы, хранящиеся на съемных дисках, в раскрывающемся списке Режим шифрования выберите действие Расшифровывать весь съемный диск.
  7. Если вы хотите расшифровать данные, хранящиеся на отдельных съемных дисках, измените правила шифрования съемных дисков, данные которых вы хотите расшифровать. Для этого выполните следующие действия:
    1. В списке съемных дисков, для которых определены правила шифрования, выберите запись о нужном вам съемном диске.
    2. Нажмите на кнопку Задать правило, чтобы изменить правило шифрования для этого съемного диска.
    3. В контекстном меню кнопки Задать правило выберите пункт Расшифровывать весь съемный диск.
  8. Сохраните внесенные изменения.

В результате, если пользователь подключает съемный диск или он уже подключен, Kaspersky Endpoint Security расшифровывает съемный диск. Приложение предупреждает пользователя, что процедура расшифровки может занять некоторое время. Если во время расшифровки данных пользователь инициирует безопасное извлечение съемного диска, Kaspersky Endpoint Security прерывает расшифровку данных и позволяет извлечь съемный диск до завершения операции расшифровки. Расшифровка данных будет продолжена после следующего подключение съемного диска к компьютеру.

Если расшифровка съемного диска не удалась, просмотрите отчет Шифрование данных в интерфейсе Kaspersky Endpoint Security. Доступ к файлам может быть заблокирован другим приложением. В этом случае попробуйте извлечь и заново подключить съемный диск к компьютеру.

В начало

[Topic 65058]

Просмотр информации о шифровании данных

В процессе шифрования и расшифровки данных Kaspersky Endpoint Security отправляет на Kaspersky Security Center информацию о статусах применения параметров шифрования на клиентских компьютерах.

Возможны следующие статусы шифрования:

  • Не задана политика шифрования. Для компьютера не назначена политика шифрования Kaspersky Security Center.
  • В процессе применения политики. На компьютере выполняется шифрование и / или расшифровка данных.
  • Ошибка. Во время шифрования и / или расшифровки данных на компьютере возникла ошибка.
  • Требуется перезагрузка. Для инициализации или завершения шифрования или расшифровки данных на компьютере требуется перезагрузка операционной системы.
  • Соответствует политике. Шифрование данных на компьютере выполнено в соответствии с параметрами шифрования, указанными в примененной к компьютеру политике Kaspersky Security Center.
  • Отменено пользователем. Пользователь отказался подтвердить выполнение операции шифрования файлов на съемном диске.

В этом разделе

Просмотр статусов шифрования

Просмотр статистики шифрования на информационных панелях Kaspersky Security Center

Просмотр ошибок шифрования файлов на локальных дисках компьютера

Просмотр отчета о шифровании данных
В начало

[Topic 128095]

Просмотр статусов шифрования

Чтобы просмотреть статус шифрования данных компьютера, выполните следующие действия:

  1. Откройте Консоль администрирования Kaspersky Security Center.
  2. В папке Управляемые устройства дерева Консоли администрирования откройте папку с названием группы администрирования, в состав которой входят нужные клиентские компьютеры.
  3. В рабочей области выберите закладку Устройства.
  4. На закладке Устройства в рабочей области сдвиньте полосу прокрутки до упора вправо.
  5. Если графа Статус шифрования не отображается, выполните следующие действия:
    1. По правой клавиши мыши откройте контекстное меню для заголовочной части таблицы.
    2. В контекстном меню в выпадающем списке Вид выберите Добавить или удалить графы.
    3. В открывшемся окне установите флажок Статус шифрования.
    4. Нажмите на кнопку ОК.

В графе Статус шифрования отображаются статусы шифрования данных для компьютеров выбранной группы администрирования. Этот статус формируется на основе информации о шифровании файлов на локальных дисках компьютера и полнодисковом шифровании.

В начало

[Topic 128096]

Просмотр статистики шифрования на информационных панелях Kaspersky Security Center

Чтобы просмотреть статусы шифрования на информационных панелях Kaspersky Security Center, выполните следующие действия:

  1. Откройте Консоль администрирования Kaspersky Security Center.
  2. В дереве консоли выберите узел Сервер администрирования.
  3. В рабочей области, расположенной справа от дерева Консоли администрирования, выберите закладку Статистика.
  4. Создайте новую страницу с информационными панелями со статистикой шифрования данных. Для этого выполните следующие действия:
    1. На закладке Статистика нажмите на кнопку Настроить вид.
    2. В открывшемся окне нажмите на кнопку Добавить.
    3. В открывшемся окне в разделе Общие введите название страницы.
    4. В разделе Информационные панели нажмите на кнопку Добавить.
    5. В открывшемся окне в группе Состояние защиты выберите элемент Шифрование устройств.
    6. Нажмите на кнопку ОК.
    7. В открывшемся окне измените при необходимости параметры информационной панели. Для этого воспользуйтесь разделами Вид и Устройства.
    8. Нажмите на кнопку ОК.
    9. Повторите пункты d – h инструкции, при этом в группе Состояние защиты выберите элемент Шифрование съемных дисков.

      Добавленные информационные панели отобразятся в списке Информационные панели.

    10. Нажмите на кнопку ОК.

      Название созданной на предыдущих шагах страницы с информационными панелями отобразится в списке Страницы.

    11. Нажмите на кнопку Закрыть.
  5. На закладке Статистика откройте страницу, созданную на предыдущих шагах инструкции.

Отобразятся информационные панели, на которых вы можете просмотреть статусы шифрования компьютеров и съемных дисков.

В начало

[Topic 128786]

Просмотр ошибок шифрования файлов на локальных дисках компьютера

Чтобы просмотреть ошибки шифрования файлов на локальных дисках компьютера, выполните следующие действия:

  1. Откройте Консоль администрирования Kaspersky Security Center.
  2. В папке Управляемые устройства дерева Консоли администрирования откройте папку с названием группы администрирования, в состав которой входят нужные клиентские компьютеры.
  3. В рабочей области выберите закладку Устройства.
  4. Выделите в списке компьютер и по правой клавише мыши вызовите контекстное меню.
  5. В контекстном меню компьютера выберите пункт Свойства. В открывшемся окне выберите раздел Защита.
  6. По ссылке Просмотреть ошибки шифрования данных откройте окно Ошибки шифрования данных.

В этом окне отображается информация об ошибках шифрования файлов на локальных дисках компьютера. Если ошибка исправлена, то Kaspersky Security Center удаляет информацию о ней из окна Ошибки шифрования данных.

В начало

[Topic 128372]

Просмотр отчета о шифровании данных

Чтобы просмотреть отчет о шифровании данных, выполните следующие действия:

  1. Откройте Консоль администрирования Kaspersky Security Center.
  2. В узле Сервер администрирования дерева Консоли администрирования выберите закладку Отчеты.
  3. Нажмите на кнопку Новый шаблон отчета.

    Запустится мастер создания шаблона отчета.

  4. Следуйте указаниям мастера создания шаблона отчета. В окне Выбор типа шаблона отчета в разделе Другое выберите один из следующих пунктов:
    • Отчет о статусе шифрования управляемых устройств.
    • Отчет о статусе шифрования запоминающих устройств.
    • Отчет об ошибках шифрования файлов.
    • Отчет о блокировании доступа к зашифрованным файлам.

    После завершения работы мастера создания шаблона отчета в таблице на закладке Отчеты появится новый шаблон отчета.

  5. Выберите шаблон отчета, созданный на предыдущих шагах инструкции.
  6. В контекстном меню шаблона выберите пункт Показать отчет.

Запустится процесс формирования отчета. Отчет отобразится в новом окне.

В начало

[Topic 128089]

Работа с зашифрованными устройствами при отсутствии доступа к ним

Получение доступа к зашифрованным устройствам

Пользователю может потребоваться запросить доступ к зашифрованным устройствам в следующих случаях:

  • Жесткий диск был зашифрован на другом компьютере.
  • На компьютере нет ключа шифрования для устройства (например, в момент первого обращения к зашифрованному съемному диску на этом компьютере), и связь с Kaspersky Security Center отсутствует.

    После того как пользователь применил ключ доступа к зашифрованному устройству, Kaspersky Endpoint Security сохраняет ключ шифрования на компьютере пользователя и предоставляет доступ к этому устройству при последующих обращениях, даже если связь с Kaspersky Security Center отсутствует.

Получение доступа к зашифрованным устройствам осуществляется следующим образом:

  1. Пользователь создает через интерфейс приложения Kaspersky Endpoint Security файл запроса доступа с расширением kesdc и передает его администратору локальной сети организации.
  2. Администратор создает в Консоли администрирования Kaspersky Security Center файл ключа доступа с расширением kesdr и передает его пользователю.
  3. Пользователь применяет ключ доступа.

Восстановление данных на зашифрованных устройствах

Для работы с зашифрованными устройствами пользователь может использовать утилиту восстановления зашифрованных устройств (далее – "утилита восстановления"). Это может потребоваться в следующих случаях:

  • Процедура получения доступа с помощью ключа доступа прошла неуспешно.
  • На компьютере с зашифрованным устройством не установлены компоненты шифрования.

Данные, необходимые для восстановления доступа к зашифрованным устройствам с помощью утилиты восстановления, в течение некоторого времени находятся в памяти компьютера пользователя в открытом виде. Чтобы снизить вероятность несанкционированного доступа к этим данным, рекомендуется выполнять восстановление доступа к зашифрованным устройствам на доверенных компьютерах.

Восстановление данных на зашифрованных устройствах осуществляется следующим способом:

  1. Пользователь создает с помощью утилиты восстановления файл запроса доступа с расширением fdertc и передает его администратору локальной сети организации.
  2. Администратор создает в Консоли администрирования Kaspersky Security Center файл ключа доступа с расширением fdertr и передает его пользователю.
  3. Пользователь применяет ключ доступа.

Для восстановления данных на зашифрованных системных жестких дисках пользователь также может указать в утилите восстановления учетные данные Агента аутентификации. Если метаданные учетной записи Агента аутентификации повреждены, то пользователю потребуется пройти процедуру восстановления с помощью файла запроса доступа.

Перед восстановлением данных на зашифрованных устройствах рекомендуется вывести компьютер, на котором будет выполняться процедура, из-под действия политики Kaspersky Security Center или отключить шифрование в параметрах политики Kaspersky Security Center. Это позволяет предотвратить повторное шифрование устройства.

В этом разделе

Восстановление данных с помощью утилиты восстановления FDERT

Создание диска аварийного восстановления операционной системы
В начало

[Topic 130941]

Восстановление данных с помощью утилиты восстановления FDERT

При неисправности жесткого диска файловая система может быть повреждена. Таким образом, данные, защищенные технологией Шифрование диска Kaspersky, будут недоступны. Вы можете расшифровать данные и скопировать данные на новый диск.

Восстановление данных на диске, защищенные технологией Шифрование диска Kaspersky, состоит из следующих этапов:

  1. Создание автономной утилиты восстановления (см. рис. ниже).
  2. Подключение диска к компьютеру, на котором отсутствуют компоненты шифрования Kaspersky Endpoint Security.
  3. Запуск утилиты восстановления и диагностика жесткого диска.
  4. Доступ к данным на диске. Для этого нужно ввести учетные данные Агента аутентификации или запустить процедуру восстановления ("Запрос - Ответ").

    Утилита восстановления FDERT

Создание автономной утилиты восстановления

Чтобы создать исполняемый файл утилиты восстановления, выполните следующие действия:

  1. В главном окне приложения нажмите на кнопку icon_support.
  2. В открывшемся окне нажмите на кнопку Восстановление зашифрованного устройства.

    Запустится утилита восстановления зашифрованных устройств.

  3. В окне утилиты восстановления нажмите на кнопку Создать автономную утилиту восстановления.
  4. Сохраните автономную утилиту восстановления в память компьютера.

В результате исполняемый файл утилиты восстановления fdert.exe будет сохранен в указанной папке. Скопируйте утилиту восстановления на компьютер, на котором отсутствуют компоненты шифрования Kaspersky Endpoint Security. Это позволяет предотвратить повторное шифрование диска.

Данные, необходимые для восстановления доступа к зашифрованным устройствам с помощью утилиты восстановления, в течение некоторого времени находятся в памяти компьютера пользователя в открытом виде. Чтобы снизить вероятность несанкционированного доступа к этим данным, рекомендуется выполнять восстановление доступа к зашифрованным устройствам на доверенных компьютерах.

Восстановление данных на жестком диске

Чтобы восстановить доступ к зашифрованному устройству с помощью утилиты восстановления, выполните следующие действия:

  1. Запустите исполняемый файл утилиты восстановления fdert.exe, созданный с помощью приложения Kaspersky Endpoint Security.
  2. В окне утилиты восстановления выберите зашифрованное устройство, доступ к которому вы хотите восстановить.
  3. Нажмите на кнопку Диагностировать, чтобы утилита могла определить, какое действие следует выполнить с зашифрованным устройством: разблокировать или расшифровать.

    Если на компьютере доступна функциональность шифрования Kaspersky Endpoint Security, то утилита восстановления предлагает разблокировать устройство. При разблокировке устройство не расшифровывается, но к нему в результате предоставляется прямой доступ. Если на компьютере недоступна функциональность шифрования Kaspersky Endpoint Security, то утилита восстановления предлагает расшифровать устройство.

  4. Если вы хотите импортировать диагностическую информацию, нажмите на кнопку Сохранить диагностику.

    Утилита сохранит архив с файлами с диагностической информацией.

  5. Нажмите на кнопку Исправить MBR, если в результате диагностики зашифрованного системного жесткого диска вы получили сообщение о каких-либо проблемах, связанных с главной загрузочной записью (MBR) устройства.

    Исправление главной загрузочной записи устройства может ускорить получение информации, необходимой для разблокировки или расшифровки устройства.

  6. Нажмите на кнопку Разблокировать или Расшифровать в зависимости от результатов диагностики.
  7. Если вы хотите восстановить данные с помощью учетной записи Агента аутентификации, выберите вариант Использовать настройки учетной записи Агента аутентификации и введите учетные данные Агента аутентификации.

    Этот способ возможен только при восстановлении данных на системном жестком диске. Если системный жесткий диск был поврежден и данные об учетной записи Агента аутентификации потеряны, то для восстановления данных на зашифрованном устройстве необходимо получить ключ доступа у администратора локальной сети организации.

  8. Если вы хотите запустить процедуру восстановления, выполните следующие действия:
    1. Выберите вариант Указать ключ доступа к устройству вручную.
    2. Нажмите на кнопку Получить ключ доступа и сохраните файл запроса в память компьютера (файл с расширением fdertc).
    3. Передайте файл запроса доступа администратору локальной сети организации.

      Не закрывайте окно Получение ключа доступа к устройству, пока вы не получите ключ доступа. При повторном открытии этого окна созданный администратором ранее ключ доступа будет невозможно применить.

    4. Получите и сохраните файл доступа (файл с расширением fdertr), созданный и переданный вам администратором локальной сети организации (см. инструкцию ниже).
    5. Загрузите файл доступа в окне Получение ключа доступа к устройству.
  9. Если вы выполняете расшифровку устройства, требуется настроить дополнительные параметры расшифровки:
    • Укажите область для расшифровки:
      • Если вы хотите расшифровать все устройство, выберите вариант Расшифровать все устройство.
      • Если вы хотите расшифровать часть данных на устройстве, выберите вариант Расшифровать отдельные области устройства и задайте границы области для расшифровки.
    • Выберите место записи расшифрованных данных:
      • Если вы хотите, чтобы данные на исходном устройстве были перезаписаны расшифрованными данными, снимите флажок Расшифровка в файл образа диска.
      • Если вы хотите сохранить расшифрованные данные отдельно от исходных зашифрованных данных, установите флажок Расшифровка в файл образа диска и с помощью кнопки Обзор укажите путь, по которому файл формата VHD должен быть сохранен.
  10. Нажмите на кнопку OK.

Запустится процесс разблокировки / расшифровки устройства.

Как создать файл доступа к зашифрованным данным в Консоли администрирования (MMC)

  1. Откройте Консоль администрирования Kaspersky Security Center.
  2. В дереве Консоли администрирования выберите папку ДополнительноШифрование и защита данных → Зашифрованные жесткие диски.
  3. В рабочей области выберите зашифрованное устройство, для которого вы хотите создать файл ключа доступа, и в контекстном меню устройства выберите пункт Получить доступ к устройству в Kaspersky Endpoint Security для Windows.

    Если вы не уверены, для какого компьютера был сформирован файл запроса доступа, в дереве Консоли администрирования выберите папку ДополнительноШифрование и защита данных и в рабочей области нажмите на ссылку Получить ключ шифрования устройства в Kaspersky Endpoint Security для Windows.

  4. В открывшемся окне выберите используемый алгоритм шифрования: AES256 или AES56.

    Алгоритм шифрования данных зависит от библиотеки шифрования AES, входящей в состав дистрибутива: Strong encryption (AES256) или Lite encryption (AES56). Библиотека шифрования AES устанавливается вместе с приложением.

  5. Нажмите на кнопку Обзор и в открывшемся окне укажите путь к файлу запроса, полученного от пользователя, с расширением fdertc.
  6. Нажмите на кнопку Открыть.

Отобразится информация о запросе пользователя. Kaspersky Security Center сформирует файл ключа доступа. Отправьте пользователю созданный файл ключа доступа к зашифрованным данным по электронной почте. Или сохраните файл доступа и передайте файл любым доступным способом.

Как создать файл доступа к зашифрованным данным в Web Console

  1. В главном окне Web Console выберите ОперацииШифрование и защита данныхЗашифрованные жесткие диски.
  2. Установите флажок рядом с именем компьютера, данные на котором вы хотите восстановить.
  3. Нажмите на кнопку Предоставить доступ к устройству в автономном режиме.

    Запустится мастер предоставления доступа к устройству.

  4. Следуйте указаниям мастера предоставления доступа к устройству:
    1. Выберите плагин Kaspersky Endpoint Security для Windows.
    2. Выберите используемый алгоритм шифрования: AES256 или AES56.

      Алгоритм шифрования данных зависит от библиотеки шифрования AES, входящей в состав дистрибутива: Strong encryption (AES256) или Lite encryption (AES56). Библиотека шифрования AES устанавливается вместе с приложением.

    3. Нажмите на кнопку Выбрать файл и выберите файл запроса, полученного от пользователя (файл с расширением fdertc).
    4. Нажмите на кнопку Сохранить ключ и выберите папку для сохранения файла ключа доступа к зашифрованным данным (файл с расширением fdertr).

В результате вам будет доступен ключ доступа к зашифрованным данным, который нужно будет передать пользователю.

В начало

[Topic 64998]

Создание диска аварийного восстановления операционной системы

Диск аварийного восстановления операционной системы может быть полезен в ситуации, когда по каким-либо причинам доступ к зашифрованному системному жесткому диску невозможен и операционная система не может быть загружена.

Вы можете загрузить образ операционной системы Windows с помощью диска аварийного восстановления и восстановить доступ к зашифрованному системному диску с помощью утилиты восстановления, включенной в состав образа операционной системы.

Чтобы создать диск аварийного восстановления операционной системы, выполните следующие действия:

  1. Создайте исполняемый файл утилиты восстановления зашифрованных устройств.
  2. Создайте пользовательский образ среды предустановки Windows. В процессе создания пользовательского образа среды предустановки Windows добавьте в образ исполняемый файл утилиты восстановления зашифрованных устройств.
  3. Поместите пользовательский образ среды предустановки Windows на загрузочный носитель, например компакт-диск или съемный диск.

    Инструкцию о создании пользовательского образа среды предустановки Windows вы можете прочитать в справочной документации Microsoft (например, на ресурсе Microsoft TechNet).

В начало

[Topic 224511]

Решения Detection and Response

Kaspersky Endpoint Security обеспечивает работу решений Detection and Response с помощью встроенного в приложение агента. Для работы решений Detection and Response вам нужно включить интеграцию с этими решениями при установке приложения. Встроенный агент обеспечивает работу следующих решений:

  • Kaspersky Managed Detection and Response (MDR);
  • Kaspersky Endpoint Detection and Response Optimum 2.0 (EDR Optimum);
  • Kaspersky Endpoint Detection and Response Expert (EDR Expert);
  • Kaspersky Sandbox 2.0.

Вы можете использовать Kaspersky Endpoint Security с решениями Detection and Response в различных конфигурациях, например, [MDR+EDR Optimum 2.0+Kaspersky Sandbox 2.0].

Работу решений Detection and Response, которые встроенный агент Kaspersky Endpoint Security не поддерживает (например, Kaspersky Sandbox 1.0), обеспечивает приложение Kaspersky Endpoint Agent.

В Kaspersky Endpoint Security 11.9.0 дистрибутив приложения Kaspersky Endpoint Agent исключен из комплекта поставки Kaspersky Endpoint Security. Вам нужно загрузить дистрибутив Kaspersky Endpoint Agent отдельно.

В этом разделе справки

Kaspersky Endpoint Agent

Managed Detection and Response

Endpoint Detection and Response

Kaspersky Sandbox

Kaspersky Anti Targeted Attack Platform (KATA EDR)

Работа с карантином
В начало

[Topic 190287]

Kaspersky Endpoint Agent

Kaspersky Endpoint Agent обеспечивает взаимодействие приложения с другими решениями "Лаборатории Касперского" для обнаружения сложных угроз (например, Kaspersky Sandbox). Решения "Лаборатории Касперского", которые поддерживает Kaspersky Endpoint Agent, зависят от версии Kaspersky Endpoint Agent.

Для работы Kaspersky Endpoint Agent в составе решений "Лаборатории Касперского" необходимо активировать эти решения соответствующим лицензионным ключом.

Полную информацию о Kaspersky Endpoint Agent для Windows в составе программного решения, которое вы используете, а также полную информацию о самом решении смотрите в справке соответствующего решения:

  • в Справке Kaspersky Anti Targeted Attack Platform;
  • в Справке Kaspersky Sandbox;
  • в Справке Kaspersky Endpoint Detection and Response Optimum;
  • в Справке Kaspersky Managed Detection and Response.

В Kaspersky Endpoint Security 11.9.0 дистрибутив приложения Kaspersky Endpoint Agent исключен из комплекта поставки Kaspersky Endpoint Security. Вам нужно загрузить дистрибутив Kaspersky Endpoint Agent отдельно.

Соответствие версий KES и KEA

Kaspersky Endpoint Security для Windows

Kaspersky Endpoint Agent

11.8.0

3.11.0.216.mr1

11.7.0

3.11

11.6.0

3.10

11.5.0

3.9

11.4.0

3.9

11.3.0

3.9

11.2.0

3.9

В этом разделе справки

Миграция политик и задач Kaspersky Endpoint Agent

Миграция конфигурации [KES+KEA] на [KES+встроенный агент]
В начало

[Topic 224503]

Миграция политик и задач Kaspersky Endpoint Agent

В Kaspersky Endpoint Security 11.7.0 добавлен мастер миграции с Kaspersky Endpoint Agent на Kaspersky Endpoint Security. Вы можете перенести параметры политик и задач для следующих решений:

  • Kaspersky Sandbox;
  • Kaspersky Endpoint Detection and Response Optimum (EDR Optimum);
  • Kaspersky Managed Detection and Response (MDR).

Рекомендуем сначала выполнить миграцию с Kaspersky Endpoint Agent на Kaspersky Endpoint Security на одном компьютере, затем на группе компьютеров и далее выполнить миграцию на всех компьютерах организации.

Чтобы перенести параметры политик и задач с Kaspersky Endpoint Agent на Kaspersky Endpoint Security,

в главном окне Web Console выберите ОперацииМиграция с Kaspersky Endpoint Agent.

В результате запустится мастер миграции политик и задач. Следуйте его указаниям.

Шаг 1. Миграция политик

Мастер миграции создает новую политику, в которой будут объединены параметры политик Kaspersky Endpoint Security и Kaspersky Endpoint Agent. В списке политик выберите политики Kaspersky Endpoint Agent, параметры которых вы хотите объединить с политикой Kaspersky Endpoint Security. Нажмите на политику Kaspersky Endpoint Agent, чтобы выбрать политику Kaspersky Endpoint Security, с которой вы хотите объединить параметры. Убедитесь, что политики выбраны верно и перейдите к следующем шагу.

Шаг 2. Миграция задач

Мастер миграции создает новые задачи для Kaspersky Endpoint Security. В списке задач выберите задачи Kaspersky Endpoint Agent, которые вы хотите создать для Kaspersky Endpoint Security. Мастер поддерживает задачи для решений Kaspersky Endpoint Detection and Response Optimum и Kaspersky Sandbox. Перейдите к следующему шагу.

Шаг 3. Завершение работы мастера

Завершите работу мастера. В результате работы мастера будут выполнены следующие действия:

  • Создана новая политика Kaspersky Endpoint Security.

    В политике объединены параметры Kaspersky Endpoint Security и Kaspersky Endpoint Agent. Политика называется <Название политики Kaspersky Endpoint Security> & <Название политики Kaspersky Endpoint Agent>. Новая политика имеет статус Неактивна. Для продолжения работы измените статусы политик Kaspersky Endpoint Agent и Kaspersky Endpoint Security на Неактивна и активируйте новую объединенную политику.

    После миграции из Kaspersky Endpoint Agent на Kaspersky Endpoint Security для Windows убедитесь, что в новой политике настроены функции передачи данных на Сервер администрирования: данные о файлах карантина и данные о цепочке развития угрозы. Значения параметров передачи данных не мигрируют из политики Kaspersky Endpoint Agent.

  • Созданы новые задачи Kaspersky Endpoint Security.

    Новые задачи представляют собой копии задач Kaspersky Endpoint Agent для решений Kaspersky Endpoint Detection and Response Optimum и Kaspersky Sandbox. При этом мастер оставляет задачи Kaspersky Endpoint Agent без изменений.

В начало

[Topic 225064]

Миграция конфигурации [KES+KEA] на [KES+встроенный агент]

В Kaspersky Endpoint Security версии 11.7.0 добавлены встроенные агенты для работы решений Kaspersky Endpoint Detection and Response Optimum 2.0 (EDR Optimum) и Kaspersky Sandbox 2.0. Теперь вам не нужно отдельное приложение Kaspersky Endpoint Agent для работы этих решений. При обновлении Kaspersky Endpoint Security до версии 11.7.0 решения EDR Optimum и Kaspersky Sandbox продолжат работу с Kaspersky Endpoint Security. Также приложение Kaspersky Endpoint Agent будет удалено с компьютера.

В Kaspersky Endpoint Security 11.9.0 дистрибутив приложения Kaspersky Endpoint Agent исключен из комплекта поставки Kaspersky Endpoint Security. Вам нужно загрузить дистрибутив Kaspersky Endpoint Agent отдельно.

Миграция конфигурации [KES+KEA] на [KES+встроенный агент] состоит из следующих этапов:

  1. Обновление Kaspersky Security Center

    Обновите все компоненты Kaspersky Security Center до версии 13.2, включая Агент администрирования на компьютерах пользователей и Web Console.

  2. Обновление веб-плагина Kaspersky Endpoint Security

    В Kaspersky Security Center Web Console обновите веб-плагин Kaspersky Endpoint Security до версии 11.7.0. Управление компонентами EDR Optimum и Kaspersky Sandbox доступно только в Web Console.

  3. Миграция политики и задач

    С помощью мастера миграции политик и задач Kaspersky Endpoint Agent перенесите параметры работы Kaspersky Endpoint Agent в приложение Kaspersky Endpoint Security для Windows.

    В результате будет создана новая политика Kaspersky Endpoint Security. Новая политика имеет статус Неактивна. Для применения политики откройте свойства политики, примите условия Положения о Kaspersky Security Network и измените статус на Активна.

  4. Лицензирование функций

    Если для активации Kaspersky Endpoint Security для Windows и Kaspersky Endpoint Agent у вас общая лицензия Kaspersky Endpoint Detection and Response Optimum или Kaspersky Optimum Security, после обновления приложения до версии 11.7.0 активация функции EDR Optimum будет выполнена автоматически. Дополнительных действий не требуется.

    Если для активации функциональности EDR Optimum у вас отдельная лицензия Kaspersky Endpoint Detection and Response Optimum Add-on, вам нужно убедиться, что ключ EDR Optimum добавлен в хранилище Kaspersky Security Center и функция автоматического распространения лицензионного ключа включена. После обновления приложения до версии 11.7.0 активация функции EDR Optimum будет выполнена автоматически.

    Если для активации Kaspersky Endpoint Agent у вас лицензия Kaspersky Endpoint Detection and Response Optimum или Kaspersky Optimum Security, а для активации Kaspersky Endpoint Security для Windows у вас другая лицензия, вам нужно заменить ключ для Kaspersky Endpoint Security для Windows на общий ключ Kaspersky Endpoint Detection and Response Optimum или Kaspersky Optimum Security. Вы можете заменить ключ с помощью задачи Добавление ключа.

    Функциональность Kaspersky Sandbox активировать не требуется. Функциональность Kaspersky Sandbox будет доступна сразу после обновления и активации Kaspersky Endpoint Security для Windows.

  5. Обновление приложения Kaspersky Endpoint Security

    Для обновления приложения с миграцией функций EDR Optimum и Kaspersky Sandbox рекомендуется использовать задачу удаленной установки.

    Для обновления приложения с помощью задачи удаленной установки вам нужно выполнить следующие настройки:

    • Выберите компоненты Endpoint Detection and Response Optimum или Kaspersky Sandbox в параметрах инсталляционного пакета.
    • Исключите компонент Kaspersky Endpoint Agent в параметрах инсталляционного пакета.

    Также вы можете обновить приложение следующими способами:

    • Через службу обновлений "Лаборатории Касперского" (Seamless Update – SMU).
    • Локально с помощью мастера установки.

    В этом случае вам нужно проверить конфигурацию приложения Kaspersky Endpoint Agent, которое установлено на компьютере. Если в составе Kaspersky Endpoint Agent установлен компонент Endpoint Detection and Response Expert (KATA EDR), удалите компонент перед обновлением приложения. Если удалить компонент Endpoint Detection and Response Expert (KATA EDR) невозможно, Kaspersky Endpoint Security исключит компоненты EDR Optimum и Kaspersky Sandbox при обновлении приложения. Вы можете установить компоненты с помощью задачи Изменение состава компонентов приложения после обновления приложения.

    Kaspersky Endpoint Security поддерживает автоматический выбор компонентов при обновлении приложения на компьютере с установленным приложением Kaspersky Endpoint Agent. Автоматический выбор компонентов зависит от прав учетной записи пользователя, который обновляет приложение.

    Если вы обновляете Kaspersky Endpoint Security с помощью EXE-файла или с помощью MSI-файла под системной учетной записью (SYSTEM), Kaspersky Endpoint Security получает доступ к действующим лицензиям решений "Лаборатории Касперского". Таким образом, если на компьютере, например, установлено приложение Kaspersky Endpoint Agent и активировано решение EDR Optimum, установщик Kaspersky Endpoint Security автоматически сконфигурирует набор компонентов и выберет компонент EDR Optimum. При этом Kaspersky Endpoint Security перейдет на работу со встроенным агентом и удалит Kaspersky Endpoint Agent. Запуск установщика MSI под системной учетной записью (SYSTEM) обычно выполняется при обновлении через службу обновлений "Лаборатории Касперского" (SMU) или при развертывании инсталляционного пакета через Kaspersky Security Center.

    Если вы обновляете Kaspersky Endpoint Security с помощью MSI-файла под учетной записью непривилегированного пользователя, у Kaspersky Endpoint Security отсутствует доступ к действующим лицензиям решений "Лаборатории Касперского". При этом Kaspersky Endpoint Security автоматически выбирает компоненты на основании конфигурации Kaspersky Endpoint Agent следующим образом:

    • Если установлен компонент Endpoint Detection and Response Expert (KATA EDR), Kaspersky Endpoint Security выберет компонент Endpoint Agent. Kaspersky Endpoint Security выберет только компонент Endpoint Agent, даже если в приложении Kaspersky Endpoint Agent установлены другие компоненты, например, конфигурация [KATA EDR+KSB].
    • Если установлен компонент Kaspersky Sandbox, EDR Optimum или конфигурация [Kaspersky Sandbox+EDR Optimum], Kaspersky Endpoint Security выберет соответствующие компоненты. При этом Kaspersky Endpoint Security перейдет на работу со встроенным агентом и удалит Kaspersky Endpoint Agent.
  6. Перезагрузка компьютера

    Для завершения обновления приложения со встроенным агентом перезагрузите компьютер. При обновлении приложения установщик удаляет Kaspersky Endpoint Agent до перезагрузки компьютера. После перезагрузки компьютера установщик добавляет встроенный агент. Таким образом, Kaspersky Endpoint Security не выполняет функции EDR и Kaspersky Sandbox до перезагрузки компьютера.

  7. Проверка работы Kaspersky Endpoint Detection and Response Optimum и Kaspersky Sandbox

    Если после обновления приложения компьютер имеет статус Критический в консоли Kaspersky Security Center, выполните следующие действия:

    • Убедитесь, что на компьютере установлен Агент администрирования версии 13.2.
    • Проверьте статус работы компонентов EDR Optimum и Kaspersky Sandbox с помощью отчета Отчет о статусе компонентов программы. Если компонент имеет статус Не установлен, установите компоненты с помощью задачи Изменение состава компонентов приложения.
    • Убедитесь, что вы приняли условия Положения о Kaspersky Security Network в новой политике Kaspersky Endpoint Security для Windows.

    Убедитесь в том, что функция EDR Optimum активирована с помощью отчета Отчет о статусе компонентов приложения. Если компонент имеет статус Не поддерживается лицензией, убедитесь, что функция автоматического распространения лицензионного ключа EDR Optimum включена.

Обновление приложения в составе KATA EDR

Если у вас установлено приложение Kaspersky Endpoint Agent для интеграции с Kaspersky Anti Targeted Attack Platform (компонент Endpoint Detection and Response Expert (KATA EDR)), вы можете обновить Kaspersky Endpoint Security для Windows любым способом:

  • С помощью задачи удаленной установки.

    Для этого вам нужно выполнить следующие настройки:

    • Исключите компоненты Endpoint Detection and Response Optimum и Kaspersky Sandbox в параметрах инсталляционного пакета.
    • Выберите компонент Kaspersky Endpoint Agent в параметрах инсталляционного пакета. Если на компьютере уже установлен Kaspersky Endpoint Agent, приложение будет обновлено до версии 3.11.
  • Через службу обновлений "Лаборатории Касперского" (SMU).

    Для этого вам нужно подтвердить обновление приложения. Kaspersky Endpoint Security исключает компоненты Endpoint Detection and Response Optimum и Kaspersky Sandbox из установки. Обновление версии Kaspersky Endpoint Agent не поддерживается. Вы можете обновить Kaspersky Endpoint Agent вручную.

  • Локально с помощью мастера установки.

    Kaspersky Endpoint Security исключает компоненты Endpoint Detection and Response Optimum и Kaspersky Sandbox из установки. Если на компьютере уже установлен Kaspersky Endpoint Agent, приложение будет обновлено до версии 3.11.

В начало

[Topic 206310]

Managed Detection and Response

В Kaspersky Endpoint Security версии 11.6.0 добавлен встроенный агент для работы решения Managed Detection and Response. Kaspersky Managed Detection and Response (MDR) – решение, которое автоматически обнаруживает и анализирует инциденты безопасности в вашей инфраструктуре. Для этого MDR использует данные телеметрии, полученные от конечных точек, и машинное обучение. Данные об инцидентах MDR передает экспертам "Лаборатории Касперского". Далее эксперты могут самостоятельно обработать инцидент и, например, добавить новую запись в антивирусные базы. Или эксперты могут дать рекомендации по обработке инцидента и, например, предложить изолировать компьютер от сети. Подробную информацию о работе решения см. в справке Kaspersky Managed Detection and Response.

В этом разделе справки

Интеграция с MDR

Миграция из Kaspersky Endpoint Agent
В начало

[Topic 224476]

Интеграция с MDR

Для интеграции с Kaspersky Managed Detection and Response вам нужно включить компонент Managed Detection and Response и настроить параметры Kaspersky Endpoint Security.

Для работы Managed Detection and Response должны быть включены следующие компоненты:

Эти компоненты должны быть включены обязательно. В противном случае Kaspersky Managed Detection and Response не работает, так как не получает необходимые данные телеметрии.

Дополнительно Kaspersky Managed Detection and Response использует данные, полученные от других компонентов приложения. Включение этих компонентов не является обязательным. К компонентам, которые предоставляют дополнительные данные, относятся следующие компоненты:

Также для работы Kaspersky Managed Detection and Response c Сервером администрирования через Kaspersky Security Center Web Console вам нужно установить новое безопасное соединение – фоновое соединение. Kaspersky Managed Detection and Response предлагает установить фоновое соединение при развертывании решения. Убедитесь, что фоновое соединение установлено. Подробнее об интеграции Kaspersky Security Center с другими решениями "Лаборатории Касперского" см. в справке Kaspersky Security Center.

Интеграция с Kaspersky Managed Detection and Response состоит из следующих этапов:

  1. Настройка Локального Kaspersky Security Network

    Если вы используете Kaspersky Security Center Cloud Console, этот шаг нужно пропустить. Kaspersky Security Center Cloud Console автоматически настраивает Локальный Kaspersky Security Network при установке плагина MDR.

    Локальный KSN обеспечивает обмен данными между компьютерами и выделенными серверами Kaspersky Security Network, а не Глобальным KSN.

    Загрузите конфигурационный файл Kaspersky Security Network в свойствах Сервера администрирования. Конфигурационный файл Kaspersky Security Network находится в ZIP-архиве конфигурационного файла MDR. Вы можете получить ZIP-архив в Консоли Kaspersky Managed Detection and Response. Подробнее о настройке Локального Kaspersky Security Network см. в справке Kaspersky Security Center. Также вы можете загрузить конфигурационный файл Kaspersky Security Network на компьютер из командной строки (см. инструкцию ниже).

    Как настроить Локальный Kaspersky Security Network из командной строки

    1. Запустите интерпретатор командной строки cmd от имени администратора.
    2. Перейдите в папку, в которой расположен исполняемый файл Kaspersky Endpoint Security.
    3. Выполните команду:

      avp.com KSN /private <имя файла>

      где <имя файла> – имя конфигурационного файла с параметрами Локального KSN (формат файла PKCS7 или PEM).

      Пример:

      avp.com KSN /private C:\kpsn_config.pkcs7

    В результате Kaspersky Endpoint Security будет использовать Локальный KSN для определения репутации файлов, приложений и веб-сайтов. В параметрах политики в разделе Kaspersky Security Network будет указан статус работы Сеть KSN: Локальный KSN.

    Для работы Managed Detection and Response необходимо включить расширенный режим KSN.

  2. Включение компонента Managed Detection and Response

    Загрузите конфигурационный файл BLOB в политике Kaspersky Endpoint Security (см. инструкцию ниже). BLOB-файл содержит идентификатор клиента и информацию о лицензии Kaspersky Managed Detection and Response. BLOB-файл находится в ZIP-архиве конфигурационного файла MDR. Вы можете получить ZIP-архив в Консоли Kaspersky Managed Detection and Response. Подробную информацию о BLOB-файле см. в справке Kaspersky Managed Detection and Response.

    Как включить компонент Managed Detection and Response в Консоли администрирования (MMC)

    1. Откройте Консоль администрирования Kaspersky Security Center.
    2. В папке Управляемые устройства дерева Консоли администрирования откройте папку с названием группы администрирования, в состав которой входят нужные клиентские компьютеры.
    3. В рабочей области выберите закладку Политики.
    4. Выберите нужную политику и откройте свойства политики двойным щелчком мыши.
    5. В окне политики выберите Detection and ResponseManaged Detection and Response.
    6. Установите флажок Managed Detection and Response.
    7. В блоке Настройка нажмите на кнопку Импорт и выберите BLOB-файл, полученный в Консоли Kaspersky Managed Detection and Response. Файл имеет расширение P7.
    8. Сохраните внесенные изменения.

    Как включить компонент Managed Detection and Response в Web Console и Cloud Console

    1. В главном окне Web Console выберите УстройстваПолитики и профили политик.
    2. Нажмите на название политики Kaspersky Endpoint Security.

      Откроется окно свойств политики.

    3. Выберите закладку Параметры программы.
    4. Перейдите в раздел Detection and ResponseManaged Detection and Response.
    5. Включите переключатель Managed Detection and Response.
    6. Нажмите на кнопку Импорт и выберите BLOB-файл, полученный в Консоли Kaspersky Managed Detection and Response. Файл имеет расширение P7.
    7. Сохраните внесенные изменения.

    Как включить компонент Managed Detection and Response из командной строки

    1. Запустите интерпретатор командной строки cmd от имени администратора.
    2. Перейдите в папку, в которой расположен исполняемый файл Kaspersky Endpoint Security.
    3. Выполните команду:

      avp.com MDRLICENSE /ADD <имя файла> /login=<имя пользователя> /password=<пароль>

      Для выполнения команды должна быть включена Защита паролем. Пользователь должен иметь разрешение Настройка приложения.

    В результате Kaspersky Endpoint Security проверит BLOB-файл. Проверка BLOB-файла включает в себя проверку цифровой подписи и срока действия лицензии. Если BLOB-файл прошел проверку, Kaspersky Endpoint Security загрузит файл и отправит файл на компьютер при следующей синхронизации с Kaspersky Security Center. Проверьте статус работы компонента с помощью отчета Отчет о статусе компонентов приложения. Также вы можете посмотреть статус работы компонента в локальном интерфейсе Kaspersky Endpoint Security в отчетах. В список компонентов Kaspersky Endpoint Security будет добавлен компонент Managed Detection and Response.

В начало

[Topic 224475]

Миграция из Kaspersky Endpoint Agent

Приложение Kaspersky Endpoint Security версии 11 или выше поддерживает работу с решением MDR. Kaspersky Endpoint Security версий 11 – 11.5.0 только отправляет данные телеметрии для обнаружения угроз в Kaspersky Managed Detection and Response. Kaspersky Endpoint Security версии 11.6.0 выполняет все функции встроенного агента (Kaspersky Endpoint Agent).

Если вы используете Kaspersky Endpoint Security 11 – 11.5.0, для работы с решением MDR нужно обновить базы до актуальной версии. Также требуется установить Kaspersky Endpoint Agent.

Если вы используете Kaspersky Endpoint Security 11.6.0 или выше, для работы с решением MDR устанавливать Kaspersky Endpoint Agent не требуется.

Для миграции из Kaspersky Endpoint Agent на Kaspersky Endpoint Security для Windows вам нужно выполнить следующие действия:

  1. Настройте интеграцию с Kaspersky Managed Detection and Response в политике Kaspersky Endpoint Security.
  2. Выключите компонент Managed Detection and Response в политике Kaspersky Endpoint Agent.

Если политика Kaspersky Endpoint Security также применяется к компьютерам, на которых установлено приложение Kaspersky Endpoint Security 11 – 11.5.0, необходимо сначала создать отдельную политику Kaspersky Endpoint Agent для этих компьютеров. В новой политике необходимо настроить интеграцию с Kaspersky Managed Detection and Response.

В начало

[Topic 213425]

Endpoint Detection and Response

В Kaspersky Endpoint Security версии 11.7.0 добавлен встроенный агент для работы решения Kaspersky Endpoint Detection and Response Optimum (далее также "EDR Optimum"). В Kaspersky Endpoint Security версии 11.8.0 добавлен встроенный агент для работы решения Kaspersky Endpoint Detection and Response Expert (далее также "EDR Expert'). Решения Kaspersky Endpoint Detection and Response – решения, предназначенные для защиты IT-инфраструктуры организации от сложных кибернетических угроз. Функционал решений сочетают автоматическое обнаружение угроз с возможностью реагирования на эти угрозы для противодействия сложным атакам, в том числе новым эксплойтам (exploits), программам-вымогателям (ransomware), бесфайловым атакам (fileless attacks), а также методам, использующим законные системные инструменты. EDR Expert предлагает пользователю больше функций для мониторинга и реагирования на угрозы информационной безопасности, чем EDR Optimum. Подробнее о решениях см. в справке Kaspersky Endpoint Detection and Response Optimum и в справке Kaspersky Endpoint Detection and Response Expert.

Kaspersky Endpoint Detection and Response выполняет обзор и анализ развития угрозы и предоставляет Сотруднику службы безопасности или Администратору информацию о потенциальной атаке, необходимую для принятия своевременных действий по реагированию. Kaspersky Endpoint Detection and Response показывает детали обнаружения в отдельном окне. Детали обнаружения – инструмент для просмотра всей собранной информации об обнаруженной угрозе. Детали обнаружения содержат, например, историю появления файлов на компьютере. Подробнее о работе с деталями обнаружения см. в справке Kaspersky Endpoint Detection and Response Optimum и в справке Kaspersky Endpoint Detection and Response Expert.

Kaspersky Endpoint Detection and Response использует следующие средства анализа угроз (Threat Intelligence):

  • Инфраструктура облачных служб Kaspersky Security Network (далее также "KSN"), предоставляющую доступ к оперативной базе знаний "Лаборатории Касперского" о репутации файлов, веб-ресурсов и программного обеспечения. Использование данных Kaspersky Security Network обеспечивает более высокую скорость реакции приложений "Лаборатории Касперского" на угрозы, повышает эффективность работы некоторых компонентов защиты, а также снижает вероятность ложных срабатываний. Для работы EDR Expert используется решение Kaspersky Private Security Network (KPSN), отправляющее данные на региональные серверы, не передавая данные с устройств в KSN.
  • Интеграция с платформой Kaspersky Threat Intelligence Portal, которая содержит и отображает информацию о репутации файлов и веб-адресов.
  • База угроз "Лаборатории Касперского" Kaspersky Threats.
  • Технология Cloud Sandbox, которая позволяет запускать подозрительные файлы в изолированной среде и определять их репутацию.

В этом разделе справки

Интеграция с Kaspersky Endpoint Detection and Response

Миграция из Kaspersky Endpoint Agent

Поиск индикаторов компрометации (стандартная задача)

Помещение файла на карантин

Получение файла

Удаление файла

Запуск процесса

Завершение процесса

Запрет запуска объектов

Сетевая изоляция компьютера

Cloud Sandbox

Приложение 1. Поддерживаемые расширения файлов для Запрета запуска объектов

Приложение 2. Поддерживаемые интерпретаторы скриптов

Приложение 3. Область поиска IOC в реестре (RegistryItem)

Приложение 4. Требования к IOC-файлам
В начало

[Topic 225086]

Интеграция с Kaspersky Endpoint Detection and Response

Для интеграции с Kaspersky Endpoint Detection and Response вам нужно добавить компонент Endpoint Detection and Response Optimum (EDR Optimum) или компонент Endpoint Detection and Response Expert (EDR Expert) и настроить параметры Kaspersky Endpoint Security.

Компоненты EDR Optimum и EDR Expert несовместимы.

Для работы Endpoint Detection and Response должны быть выполнены следующие условия:

Интеграция с Kaspersky Endpoint Detection and Response состоит из следующих этапов:

  1. Установка компонентов Endpoint Detection and Response

    Вы можете выбрать компонент EDR Optimum или EDR Expert во время установки или обновления приложения, а также с помощью задачи Изменение состава компонентов приложения.

    Для завершения обновления приложения с новыми компонентами нужно перезагрузить компьютер.

  2. Активация Kaspersky Endpoint Detection and Response

    Вы можете приобрести лицензию на использование Kaspersky Endpoint Detection and Response следующими способами:

    • Функциональность Endpoint Detection and Response включена в состав лицензии на использование Kaspersky Endpoint Security для Windows.

      Функциональность будет доступна сразу после активации Kaspersky Endpoint Security для Windows.

    • Приобретение отдельной лицензии на использование EDR Optimum или EDR Expert (Kaspersky Endpoint Detection and Response Add-on).

      Функциональность будет доступна после добавления отдельного ключа Kaspersky Endpoint Detection and Response. В результате на компьютере будет установлено два ключа: ключ для Kaspersky Endpoint Security и ключ для Kaspersky Endpoint Detection and Response.

      Лицензирование отдельной функциональности Endpoint Detection and Response не отличается от лицензирования Kaspersky Endpoint Security.

    Убедитесь, что функциональность EDR Optimum или EDR Expert включена в лицензию и работает в локальном интерфейсе приложения.

  3. Включение компонентов Endpoint Detection and Response

    Вы можете включить или выключить компонент в настройках политики Kaspersky Endpoint Security для Windows.

    Как включить или выключить компонент Endpoint Detection and Response в Web Console и Cloud Console

    1. В главном окне Web Console выберите УстройстваПолитики и профили политик.
    2. Нажмите на название политики Kaspersky Endpoint Security.

      Откроется окно свойств политики.

    3. Выберите закладку Параметры программы.
    4. Перейдите в раздел Detection and ResponseEndpoint Detection and Response.
    5. Включите переключатель Endpoint Detection and Response.
    6. Сохраните внесенные изменения.

    В результате компонент Endpoint Detection and Response будет включен. Проверьте статус работы компонента с помощью отчета Отчет о статусе компонентов приложения. Также вы можете посмотреть статус работы компонента в локальном интерфейсе Kaspersky Endpoint Security в отчетах. В список компонентов Kaspersky Endpoint Security будет добавлен компонент Endpoint Detection and Response Optimum или Endpoint Detection and Response Expert.

  4. Включение передачи данных на Сервер администрирования

    Для работы всех функций Endpoint Detection and Response должна быть включена передача следующих данных:

    • Данные о файлах карантина.

      Данные нужны для получения информации о помещенных на компьютере файлах на карантин в Web Console и Cloud Console. В Web Console и Cloud Console вы можете, например, загрузить файл из карантина на компьютер для анализа.

    • Данные о цепочке развития угрозы.

      Данные нужны для получения информации об обнаруженных на компьютере угрозах в Web Console и Cloud Console. В Web Console и Cloud Console вы можете просматривать детали обнаружения и выполнять действия по реагированию.

    Как включить передачу данных на Сервер администрирования в Web Console и Cloud Console

    1. В главном окне Web Console выберите УстройстваПолитики и профили политик.
    2. Нажмите на название политики Kaspersky Endpoint Security.

      Откроется окно свойств политики.

    3. Выберите закладку Параметры программы.
    4. Перейдите в раздел Общие настройкиОтчеты и хранилище.
    5. В блоке Передача данных на Сервер администрирования установите следующие флажки:
      • О файлах карантина.
      • О цепочке развития угрозы.
    6. Сохраните внесенные изменения.
В начало

[Topic 225087]

Миграция из Kaspersky Endpoint Agent

Если вы используете Kaspersky Endpoint Security 11.7.0 и выше с установленным компонентом EDR Optimum (встроенный агент), поддержка взаимодействия с решением Kaspersky Endpoint Detection and Response Optimum доступна сразу после установки. Компонент EDR Optimum несовместим с приложением Kaspersky Endpoint Agent. Если на компьютере установлено приложение Kaspersky Endpoint Agent, при обновлении Kaspersky Endpoint Security до версии 11.7.0 решение Kaspersky Endpoint Detection and Response Optimum продолжит работу с Kaspersky Endpoint Security (миграция конфигурации [KES+KEA] на [KES+встроенный агент]). Также Kaspersky Endpoint Agent будет удален с компьютера. Для завершения миграции из Kaspersky Endpoint Agent на Kaspersky Endpoint Security для Windows вам нужно перенести параметры политик и задач с помощью мастера миграции.

Если вы используете Kaspersky Endpoint Security 11.4.0-11.6.0 для взаимодействия с Kaspersky Endpoint Detection and Response Optimum, в состав приложения включено приложение Kaspersky Endpoint Agent. Вы можете установить Kaspersky Endpoint Agent совместно с Kaspersky Endpoint Security.

В Kaspersky Endpoint Security 11.9.0 дистрибутив приложения Kaspersky Endpoint Agent исключен из комплекта поставки Kaspersky Endpoint Security. Вам нужно загрузить дистрибутив Kaspersky Endpoint Agent отдельно.

Решение Kaspersky Endpoint Detection and Response Expert не поддерживает работу с Kaspersky Endpoint Agent. Решение Kaspersky Endpoint Detection and Response Expert использует для работы Kaspersky Endpoint Security со встроенным агентом (версия 11.8.0 и выше).

Компонент EDR Optimum в составе Kaspersky Endpoint Security поддерживает работу с решением Kaspersky Endpoint Detection and Response Optimum версии 2.0. Работа с решением Kaspersky Endpoint Detection and Response Optimum версии 1.0 не поддерживается.

В начало

[Topic 213408]

Поиск индикаторов компрометации (стандартная задача)

Индикатор компрометации (Indicator of Compromise, IOC) – набор данных об объекте или активности, который указывает на несанкционированный доступ к компьютеру (компрометация данных). Например, индикатором компрометации может быть большое количество неудачных попыток входа в систему. Задача Поиск IOC позволяет обнаруживать индикаторы компрометации на компьютере и выполнять действия по реагированию на угрозы.

Для поиска индикаторов компрометации Kaspersky Endpoint Security использует IOC-файлы. IOC-файлы – файлы, содержащие набор индикаторов, при совпадении с которыми приложение считает событие обнаружением. IOC-файлы должны соответствовать стандарту описания OpenIOC.

Режим запуска задачи Поиск IOC

Kaspersky Endpoint Detection and Response позволяет создавать стандартные задачи поиска IOC для обнаружения компрометации данных. Стандартная задача поиска IOC – групповая или локальная задача, которые создаются и настраиваются вручную в Web Console. Для запуска задач используются IOC-файлы, подготовленные пользователем. Если вы хотите добавить индикатор компрометации вручную, ознакомьтесь с требованиями к IOC-файлам.

В файле, который можно загрузить по ссылке ниже, приведена таблица с полным списком IOC-терминов стандарта OpenIOC.

ЗАГРУЗИТЬ ФАЙЛ IOC_TERMS.XLSX

Kaspersky Endpoint Security также поддерживает автономные задачи поиска IOC при работе приложения в составе решения Kaspersky Sandbox.

Создание задачи Поиск IOC

Вы можете создавать задачи Поиск IOC вручную следующими способами:

  • В деталях обнаружения (только для EDR Optimum).

    Детали обнаружения – инструмент для просмотра всей собранной информации об обнаруженной угрозе. Детали обнаружения содержат, например, историю появления файлов на компьютере. Подробнее о работе с деталями обнаружения см. в справке Kaspersky Endpoint Detection and Response Optimum и в справке Kaspersky Endpoint Detection and Response Expert.

  • С помощью мастера создания задач.

Вы можете настроить параметры задачи для EDR Optimum в Web Console и Cloud Console. Параметры задачи для EDR Expert доступны только в Cloud Console.

Чтобы создать задачу Поиск IOC, выполните следующие действия:

  1. В главном окне Web Console выберите УстройстваЗадачи.

    Откроется список задач.

  2. Нажмите на кнопку Добавить.

    Запустится мастер создания задачи.

  3. Настройте параметры задачи:
    1. В раскрывающемся списке Программа выберите Kaspersky Endpoint Security для Windows (11.10.0).
    2. В раскрывающемся списке Тип задачи выберите Поиск IOC.
    3. В поле Название задачи введите короткое описание задачи.
    4. В блоке Выбор устройств, которым будет назначена задача выберите область действия задачи.
  4. Выберите устройства в соответствии с выбранным вариантом области действия задачи. Перейдите к следующему шагу.
  5. Выберите учетную запись пользователя, права которого требуется использовать для запуска задачи. Перейдите к следующему шагу.

    По умолчанию Kaspersky Endpoint Security запускает задачу под системной учетной записью (SYSTEM).

    У системной учетной записи (SYSTEM) отсутствуют права на выполнение задачи Поиск IOC на сетевых дисках. Если вы хотите выполнить задачу на сетевом диске, выберите учетную запись пользователя, у которого есть доступ к этому диску.

    Для работы автономных задач поиска IOC на сетевых дисках вам нужно вручную выбрать учетную запись пользователя, у которого есть доступ к этом диску, в свойствах задачи.

  6. Завершите работу мастера.

    В списке задач отобразится новая задача.

  7. Нажмите на новую задачу.

    Откроется окно свойств задачи.

  8. Выберите закладку Параметры программы.
  9. Перейдите в раздел Настройки поиска IOC.
  10. Загрузите IOC-файлы для поиска индикаторов компрометации.

    После загрузки IOC-файлов вы можете просмотреть список индикаторов из IOC-файлов.

    Не рекомендуется добавлять или удалять IOC-файлы после запуска задачи. Это может привести к некорректному отображению результатов поиска IOC для предыдущих запусков задачи. Для поиска индикаторов компрометации по новым IOC-файлам рекомендуется добавлять новые задачи.

  11. Настройте действия при обнаружении индикатора компрометации:
    • Изолировать компьютер от сети. Если выбран этот вариант действия, то Kaspersky Endpoint Security изолирует компьютер от сети для предотвращения распространения угрозы. Вы можете настроить время изоляции в параметрах компонента Endpoint Detection and Response.
    • Копию поместить на карантин, объект удалить. Если выбран этот вариант действия, то Kaspersky Endpoint Security удаляет вредоносный объект, обнаруженный на компьютере. Перед удалением объекта Kaspersky Endpoint Security формирует его резервную копию на тот случай, если впоследствии понадобится восстановить объект. Kaspersky Endpoint Security помещает резервную копию на карантин.
    • Запускать проверку важных областей. Если выбран этот вариант действия, то Kaspersky Endpoint Security запускает задачу Проверка важных областей. По умолчанию Kaspersky Endpoint Security проверяет память ядра, запущенные процессы и загрузочные секторы.
  12. Перейдите в раздел Дополнительно.
  13. Выберите типы данных (IOC-документы), которые необходимо анализировать во время выполнения задачи.

    Kaspersky Endpoint Security автоматически выбирает типы данных (IOC-документы) для задачи Поиск IOC в соответствии с содержанием загруженных IOC-файлов. Не рекомендуется самостоятельно отменять выбор типов данных.

    Дополнительно вы можете настроить области поиска для следующих типов данных:

    • Файлы - FileItem. Задайте область поиска IOC на компьютере с помощью предустановленных областей.

      По умолчанию Kaspersky Endpoint Security выполняет поиск IOC только в важных областях компьютера, таких как папки Загрузки, Рабочий стол, папка с временными файлами операционной системы и другие. Также вы можете добавить области поиска вручную.

    • Журналы событий Windows - EventLogItem. Задайте период времени, в течение которого зафиксированы события. Также вы можете выбрать журналы событий Windows для поиска IOC. По умолчанию выбраны следующие журналы событий: журнал событий приложений, журнал системных событий и журнал событий безопасности.

    Для типа данных Реестр Windows - RegistryItem Kaspersky Endpoint Security анализирует определенный набор разделов реестра.

  14. В окне свойств задачи выберите закладку Расписание.
  15. Настройте расписание запуска задачи.

    Для этой задачи функция Wake-on-LAN недоступна. Убедитесь, что компьютер включен для выполнения задачи.

  16. Сохраните внесенные изменения.
  17. Установите флажок напротив задачи.
  18. Нажмите на кнопку Запустить.

В результате Kaspersky Endpoint Security запустит поиск индикаторов компрометации на компьютере. Вы можете просмотреть результаты выполнения задачи в свойствах задачи в разделе Результаты. Информацию об обнаруженных индикаторах компрометации вы можете посмотреть в свойствах задачи Параметры программыРезультаты поиска IOC.

Срок хранения результатов поиска IOC составляет 30 дней. По истечении этого времени Kaspersky Endpoint Security автоматически удаляет старые записи.

В начало

[Topic 218314]

Помещение файла на карантин

При реагировании на угрозы Kaspersky Endpoint Detection and Response может создавать задачи Помещение файла на карантин. Это нужно, чтобы минимизировать последствия угрозы. Карантин – это специальное локальное хранилище на компьютере. Пользователь может поместить на карантин файлы, которые считает опасными для компьютера. Файлы на карантине хранятся в зашифрованном виде и не угрожают безопасности устройства. Kaspersky Endpoint Security использует карантин только при работе с решениями Kaspersky Sandbox и Kaspersky Endpoint Detection and Response. В остальных случаях Kaspersky Endpoint Security помещает файл в резервное хранилище. Подробнее о работе с карантином в составе решений см. в справке Kaspersky Sandbox, Kaspersky Endpoint Detection and Response Optimum, Kaspersky Endpoint Detection and Response Expert.

Вы можете создавать задачи Помещение файла на карантин следующими способами:

  • В деталях обнаружения (только для EDR Optimum).

    Детали обнаружения – инструмент для просмотра всей собранной информации об обнаруженной угрозе. Детали обнаружения содержат, например, историю появления файлов на компьютере. Подробнее о работе с деталями обнаружения см. в справке Kaspersky Endpoint Detection and Response Optimum и в справке Kaspersky Endpoint Detection and Response Expert.

  • С помощью мастера создания задач.

    Вам нужно ввести путь к файлу или хеш файла (SHA256 или MD5), или путь к файлу и хеш файла.

Задача Помещение файла на карантин имеет следующие ограничения:

  1. Размер файла не должен превышать 100 МБ.
  2. Критически важные системные объекты (англ. System Critical Object – SCO) поместить на карантин невозможно. К SCO относятся файлы, необходимые для работы операционной системы и приложения Kaspersky Endpoint Security для Windows.
  3. Вы можете настроить параметры задачи для EDR Optimum в Web Console и Cloud Console. Параметры задачи для EDR Expert доступны только в Cloud Console.

Чтобы создать задачу Помещение файла на карантин, выполните следующие действия:

  1. В главном окне Web Console выберите УстройстваЗадачи.

    Откроется список задач.

  2. Нажмите на кнопку Добавить.

    Запустится мастер создания задачи.

  3. Настройте параметры задачи:
    1. В раскрывающемся списке Программа выберите Kaspersky Endpoint Security для Windows (11.10.0).
    2. В раскрывающемся списке Тип задачи выберите Помещение файла на карантин.
    3. В поле Название задачи введите короткое описание задачи.
    4. В блоке Выбор устройств, которым будет назначена задача выберите область действия задачи.
  4. Выберите устройства в соответствии с выбранным вариантом области действия задачи. Нажмите на кнопку Далее.
  5. Выберите учетную запись пользователя, права которого требуется использовать для запуска задачи. Нажмите на кнопку Далее.

    По умолчанию Kaspersky Endpoint Security запускает задачу под системной учетной записью (SYSTEM).

  6. Завершите работу мастера по кнопке Готово.

    В списке задач отобразится новая задача.

  7. Нажмите на новую задачу.

    Откроется окно свойств задачи.

  8. Выберите закладку Параметры программы.
  9. В списке файлов нажмите на кнопку Добавить.

    Запустится мастер добавления файла.

  10. Для добавления файла вам нужно ввести полный путь к файлу или хеш файла и путь к файлу.

    Если файл расположен на сетевом диске, введите путь к файлу начиная с символов \\, а не с буквы диска. Например, \\server\shared_folder\file.exe. Если путь к файлу содержит букву сетевого диска, вы можете получить ошибку Файл не найден.

  11. В окне свойств задачи выберите закладку Расписание.
  12. Настройте расписание запуска задачи.

    Для этой задачи функция Wake-on-LAN недоступна. Убедитесь, что компьютер включен для выполнения задачи.

  13. Нажмите на кнопку Сохранить.
  14. Установите флажок напротив задачи.
  15. Нажмите на кнопку Запустить.

В результате Kaspersky Endpoint Security переместит файл в карантин. Если файл заблокирован другим процессом, то задача будет отображаться со статусом Выполнено, но сам файл будет помещен на карантин только после перезагрузки компьютера. После перезагрузки компьютера убедитесь, что файл удален.

Задача Помещение файла на карантин может быть завершена с ошибкой Доступ запрещен, если вы пытаетесь поместить на карантин запущенный исполняемый файл. Создайте задачу завершения процесса для этого файла, а затем повторите попытку.

Задача Помещение файла на карантин может быть завершена с ошибкой Недостаточно места в хранилище карантина, если вы пытаетесь поместить на карантин большой файл. Очистите карантин или увеличьте размер карантина. Затем повторите попытку.

Вы можете восстановить файл из карантина или очистить карантин в Web Console. Восстановление объектов доступно на компьютере локально из командной строки.

В начало

[Topic 216825]

Получение файла

Вы можете получать файлы с компьютеров пользователей. Например, вы можете настроить получение файла журнала событий, который создает стороннее приложение. Для получения файла вам нужно создать специальную задачу. В результате выполнения задачи файл будет сохранен в карантине. Вы можете загрузить этот файл на компьютер из карантина в Web Console. При этом на компьютере пользователя файл остается в исходной папке.

Размер файла не должен превышать 100 МБ.

Вы можете настроить параметры задачи для EDR Optimum в Web Console и Cloud Console. Параметры задачи для EDR Expert доступны только в Cloud Console.

Чтобы создать задачу Получение файла, выполните следующие действия:

  1. В главном окне Web Console выберите УстройстваЗадачи.

    Откроется список задач.

  2. Нажмите на кнопку Добавить.

    Запустится мастер создания задачи.

  3. Настройте параметры задачи:
    1. В раскрывающемся списке Программа выберите Kaspersky Endpoint Security для Windows (11.10.0).
    2. В раскрывающемся списке Тип задачи выберите Получение файла.
    3. В поле Название задачи введите короткое описание задачи.
    4. В блоке Выбор устройств, которым будет назначена задача выберите область действия задачи.
  4. Выберите устройства в соответствии с выбранным вариантом области действия задачи. Нажмите на кнопку Далее.
  5. Выберите учетную запись пользователя, права которого требуется использовать для запуска задачи. Нажмите на кнопку Далее.

    По умолчанию Kaspersky Endpoint Security запускает задачу под системной учетной записью (SYSTEM).

  6. Завершите работу мастера по кнопке Готово.

    В списке задач отобразится новая задача.

  7. Нажмите на новую задачу.

    Откроется окно свойств задачи.

  8. Выберите закладку Параметры программы.
  9. В списке файлов нажмите на кнопку Добавить.

    Запустится мастер добавления файла.

  10. Для добавления файла вам нужно ввести полный путь к файлу или хеш файла и путь к файлу.

    Если файл расположен на сетевом диске, введите путь к файлу начиная с символов \\, а не с буквы диска. Например, \\server\shared_folder\file.exe. Если путь к файлу содержит букву сетевого диска, вы можете получить ошибку Файл не найден.

  11. В окне свойств задачи выберите закладку Расписание.
  12. Настройте расписание запуска задачи.

    Для этой задачи функция Wake-on-LAN недоступна. Убедитесь, что компьютер включен для выполнения задачи.

  13. Нажмите на кнопку Сохранить.
  14. Установите флажок напротив задачи.
  15. Нажмите на кнопку Запустить.

В результате Kaspersky Endpoint Security создаст копию файла и поместит копию в карантин. Вы можете загрузить файл из карантина в Web Console.

В начало

[Topic 216945]

Удаление файла

Вы можете удаленно удалять файлы с помощью задачи Удаление файла. Например, вы можете удаленно удалить файл при реагировании на угрозы.

Задача Удаление файла имеет следующие ограничения:

  • Критически важные системные объекты (англ. System Critical Object – SCO) удалить невозможно. К SCO относятся файлы, необходимые для работы операционной системы и приложения Kaspersky Endpoint Security для Windows.
  • Вы можете настроить параметры задачи для EDR Optimum в Web Console и Cloud Console. Параметры задачи для EDR Expert доступны только в Cloud Console.

Чтобы создать задачу Удаление файла, выполните следующие действия:

  1. В главном окне Web Console выберите УстройстваЗадачи.

    Откроется список задач.

  2. Нажмите на кнопку Добавить.

    Запустится мастер создания задачи.

  3. Настройте параметры задачи:
    1. В раскрывающемся списке Программа выберите Kaspersky Endpoint Security для Windows (11.10.0).
    2. В раскрывающемся списке Тип задачи выберите Удаление файла.
    3. В поле Название задачи введите короткое описание задачи.
    4. В блоке Выбор устройств, которым будет назначена задача выберите область действия задачи.
  4. Выберите устройства в соответствии с выбранным вариантом области действия задачи. Нажмите на кнопку Далее.
  5. Выберите учетную запись пользователя, права которого требуется использовать для запуска задачи. Нажмите на кнопку Далее.

    По умолчанию Kaspersky Endpoint Security запускает задачу под системной учетной записью (SYSTEM).

  6. Завершите работу мастера по кнопке Готово.

    В списке задач отобразится новая задача.

  7. Нажмите на новую задачу.

    Откроется окно свойств задачи.

  8. Выберите закладку Параметры программы.
  9. В списке файлов нажмите на кнопку Добавить.

    Запустится мастер добавления файла.

  10. Для добавления файла вам нужно ввести полный путь к файлу или хеш файла и путь к файлу.

    Если файл расположен на сетевом диске, введите путь к файлу начиная с символов \\, а не с буквы диска. Например, \\server\shared_folder\file.exe. Если путь к файлу содержит букву сетевого диска, вы можете получить ошибку Файл не найден.

  11. В окне свойств задачи выберите закладку Расписание.
  12. Настройте расписание запуска задачи.

    Для этой задачи функция Wake-on-LAN недоступна. Убедитесь, что компьютер включен для выполнения задачи.

  13. Нажмите на кнопку Сохранить.
  14. Установите флажок напротив задачи.
  15. Нажмите на кнопку Запустить.

В результате Kaspersky Endpoint Security удалит файл с компьютера. Если файл заблокирован другим процессом, то задача будет отображаться со статусом Выполнено, но сам файл будет удален только после перезагрузки компьютера. После перезагрузки компьютера убедитесь, что файл удален.

Задача Удаление файла может быть завершена с ошибкой Доступ запрещен, если вы пытаетесь удалить запущенный исполняемый файл. Создайте задачу завершения процесса для этого файла, а затем повторите попытку.

В начало

[Topic 216456]

Запуск процесса

Вы можете удаленно запускать файлы с помощью задачи Запуск процесса. Например, вы можете удаленно запускать утилиту, которая создает файл с конфигурацией компьютера. Далее с помощью задачи Получение файла, вы можете получить созданный файл в Kaspersky Security Center Web Console.

Вы можете настроить параметры задачи для EDR Optimum в Web Console и Cloud Console. Параметры задачи для EDR Expert доступны только в Cloud Console.

Чтобы создать задачу Запуск процесса, выполните следующие действия:

  1. В главном окне Web Console выберите УстройстваЗадачи.

    Откроется список задач.

  2. Нажмите на кнопку Добавить.

    Запустится мастер создания задачи.

  3. Настройте параметры задачи:
    1. В раскрывающемся списке Программа выберите Kaspersky Endpoint Security для Windows (12.6).
    2. В раскрывающемся списке Тип задачи выберите Запуск процесса.
    3. В поле Название задачи введите короткое описание задачи.
    4. В блоке Выбор устройств, которым будет назначена задача выберите область действия задачи.
  4. Выберите устройства в соответствии с выбранным вариантом области действия задачи. Нажмите на кнопку Далее.
  5. Выберите учетную запись пользователя, права которого требуется использовать для запуска задачи. Нажмите на кнопку Далее.

    По умолчанию Kaspersky Endpoint Security запускает задачу под системной учетной записью (SYSTEM).

  6. Завершите работу мастера по кнопке Готово.

    В списке задач отобразится новая задача.

  7. Нажмите на новую задачу.
  8. Откроется окно свойств задачи.
  9. Выберите закладку Параметры программы.
  10. Введите команду запуска процесса.

    Например, вы хотите запустить утилиту (utility.exe), которая сохраняет информацию о конфигурации компьютера в файл conf.txt в текущую папку (по умолчанию). Утилита расположена в папке C:\Users\admin\Diagnostic\. Конфигурационный файл необходимо сохранить в папке C:\Users\admin\Documents\Configuration. Введите следующие значения:

    • Исполняемая командаC:\Users\admin\Diagnostic\utility.exe
    • Аргументы командной строки (необязательно)/R conf.txt
    • Путь к рабочей папке (необязательно)C:\Users\admin\Documents\Configuration
  11. В окне свойств задачи выберите закладку Расписание.
  12. Настройте расписание запуска задачи.

    Для этой задачи функция Wake-on-LAN недоступна. Убедитесь, что компьютер включен для выполнения задачи.

  13. Нажмите на кнопку Сохранить.
  14. Установите флажок напротив задачи.
  15. Нажмите на кнопку Запустить.

В результате Kaspersky Endpoint Security выполнит команду в тихом режиме и запустит процесс. Вы можете просмотреть результаты выполнения задачи в свойствах задачи в разделе Результаты выполнения.

В начало

[Topic 218303]

Завершение процесса

Вы можете удаленно завершать процессы с помощью задачи Завершение процесса. Например, вы можете удаленно завершить работу утилиты проверки скорости интернета, которая была запущена с помощью задачи Запуск процесса.

Если вы хотите запретить запуск файла, вы можете настроить компонент Запрет запуска объектов. Вы можете запретить запуск исполняемых файлов, скриптов, файлов офисного формата.

Задача Завершение процесса имеет следующие ограничения:

  • Завершить процессы критически важных системных объектов (англ. System Critical Object – SCO) невозможно. К SCO относятся файлы, необходимые для работы операционной системы и приложения Kaspersky Endpoint Security для Windows.
  • Вы можете настроить параметры задачи для EDR Optimum в Web Console и Cloud Console. Параметры задачи для EDR Expert доступны только в Cloud Console.

Чтобы создать задачу Завершение процесса, выполните следующие действия:

  1. В главном окне Web Console выберите УстройстваЗадачи.

    Откроется список задач.

  2. Нажмите на кнопку Добавить.

    Запустится мастер создания задачи.

  3. Настройте параметры задачи:
    1. В раскрывающемся списке Программа выберите Kaspersky Endpoint Security для Windows (11.10.0).
    2. В раскрывающемся списке Тип задачи выберите Завершение процесса.
    3. В поле Название задачи введите короткое описание задачи.
    4. В блоке Выбор устройств, которым будет назначена задача выберите область действия задачи.
  4. Выберите устройства в соответствии с выбранным вариантом области действия задачи. Нажмите на кнопку Далее.
  5. Выберите учетную запись пользователя, права которого требуется использовать для запуска задачи. Нажмите на кнопку Далее.

    По умолчанию Kaspersky Endpoint Security запускает задачу под системной учетной записью (SYSTEM).

  6. Завершите работу мастера по кнопке Готово.

    В списке задач отобразится новая задача.

  7. Нажмите на новую задачу.

    Откроется окно свойств задачи.

  8. Выберите закладку Параметры программы.
  9. Для завершения процесса вам нужно выбрать файл, работу которого вы хотите завершить. Вы можете выбрать файл следующими способами:
    • Введите полный путь к файлу.
    • Введите хеш файла и путь к файлу.
    • Введите идентификатор процесса PID (только для локальных задач).

    Если файл расположен на сетевом диске, введите путь к файлу начиная с символов \\, а не с буквы диска. Например, \\server\shared_folder\file.exe. Если путь к файлу содержит букву сетевого диска, вы можете получить ошибку Файл не найден.

  10. В окне свойств задачи выберите закладку Расписание.
  11. Настройте расписание запуска задачи.

    Для этой задачи функция Wake-on-LAN недоступна. Убедитесь, что компьютер включен для выполнения задачи.

  12. Нажмите на кнопку Сохранить.
  13. Установите флажок напротив задачи.
  14. Нажмите на кнопку Запустить.

В результате Kaspersky Endpoint Security завершит процесс на компьютере. Например, если на компьютере запущено приложение GAME и вы завершили процесс game.exe, приложение будет закрыто без сохранения данных. Вы можете просмотреть результаты выполнения задачи в свойствах задачи в разделе Результаты.

В начало

[Topic 214778]

Запрет запуска объектов

Запрет запуска объектов позволяет контролировать запуск исполняемых файлов и скриптов, а также открытие файлов офисного формата. Таким образом, вы можете, например, запретить запуск приложений, использование которых считаете небезопасным. В результате распространение угрозы может быть остановлено. Запрет запуска объектов поддерживает определенный набор расширений файлов офисного формата и определенный набор интерпретаторов скриптов.

Правило запрета запуска

Запрет запуска объектов управляет доступом пользователей к файлам с помощью правил запрета запуска. Правило запрета запуска – это набор критериев, которые приложение учитывает при реагировании на запуск объекта, например, при блокировании запуска объекта. Приложение идентифицирует файлы по их пути или контрольной сумме с помощью алгоритмов хеширования MD5 и SHA256.

Вы можете создавать правила запрета запуска следующими способами:

  • В деталях обнаружения (только для EDR Optimum).

    Детали обнаружения – инструмент для просмотра всей собранной информации об обнаруженной угрозе. Детали обнаружения содержат, например, историю появления файлов на компьютере. Подробнее о работе с деталями обнаружения см. в справке Kaspersky Endpoint Detection and Response Optimum и в справке Kaspersky Endpoint Detection and Response Expert.

  • С помощью групповой политики или локальных параметров приложения.

    Вам нужно ввести путь к файлу или хеш файла (SHA256 или MD5), или путь к файлу и хеш файла.

Вы также можете управлять Запретом запуска объектов локально из командной строки.

Запрет запуска объектов имеет следующие ограничения:

  1. Правила запрета не распространяются на файлы, расположенные на компакт-дисках или в ISO-образах. Приложение не будет блокировать исполнение или открытие этих файлов.
  2. Невозможно запретить запуск критически важных системных объектов (англ. System Critical Object – SCO). К SCO относятся файлы, необходимые для работы операционной системы и приложения Kaspersky Endpoint Security для Windows.
  3. Не рекомендуется создавать более 5000 правил запрета запуска, поскольку это может привести к нестабильности системы.

Режимы применения правил запрета запуска

Компонент Запрет запуска объектов может работать в двух режимах:

  • Только статистика.

    В этом режиме Kaspersky Endpoint Security публикует в Журнал событий Windows и Kaspersky Security Center событие о попытках запуска исполняемых объектов или открытия документов, соответствующих критериям правил запрета, но не блокирует их запуск или открытие. Этот режим выбран по умолчанию.

  • Активный.

    В этом режиме приложение блокирует запуск объектов или открытие документов, соответствующих критериям правил запрета. Также приложение публикует в журнал событий Windows и Kaspersky Security Center событие о попытках запуска объектов или открытия документов.

Управление Запретом запуска объектов

Вы можете настроить параметры компонента только в Web Console.

Чтобы запретить запуск объектов, выполните следующие действия:

  1. В главном окне Web Console выберите УстройстваПолитики и профили политик.
  2. Нажмите на название политики Kaspersky Endpoint Security.

    Откроется окно свойств политики.

  3. Выберите закладку Параметры программы.
  4. Перейдите в раздел Detection and ResponseEndpoint Detection and Response.
  5. Используйте переключатель Запрет запуска, чтобы включить или выключить компонент.
  6. В блоке Действие при запуске или открытии объекта выберите режим работы компонента:
    • Блокировать и записывать в отчет. В этом режиме приложение блокирует запуск объектов или открытие документов, соответствующих критериям правил запрета. Также приложение публикует в журнал событий Windows и Kaspersky Security Center событие о попытках запуска объектов или открытия документов.
    • Только записывать в отчет. В этом режиме Kaspersky Endpoint Security публикует в Журнал событий Windows и Kaspersky Security Center событие о попытках запуска исполняемых объектов или открытия документов, соответствующих критериям правил запрета, но не блокирует их запуск или открытие. Этот режим выбран по умолчанию.
  7. Сформируйте список правил запрета запуска:
    1. Нажмите на кнопку Добавить.
    2. В открывшемся окне введите имя правила запрета запуска (например, Приложение A).
    3. В раскрывающемся списке Тип выберите объект, который вы хотите заблокировать: Исполняемый файл, Скрипт, Файл офисного формата.

      Если вы выберите неверный тип объекта, Kaspersky Endpoint Security не заблокирует файл или скрипт.

    4. Для добавления файла вам нужно ввести хеш файла (SHA256 или MD5) или полный путь к файлу, или хеш файла и путь к файлу.

      Если файл расположен на сетевом диске, введите путь к файлу начиная с символов \\, а не с буквы диска. Например, \\server\shared_folder\file.exe. Если путь к файлу содержит букву сетевого диска, Kaspersky Endpoint Security не заблокирует файл или скрипт.

      Запрет запуска объектов поддерживает определенный набор расширений файлов офисного формата и определенный набор интерпретаторов скриптов.

    5. Нажмите на кнопку ОК.
  8. Сохраните внесенные изменения.

В результате Kaspersky Endpoint Security будет блокировать запуск объектов: запуск исполняемых файлов, скриптов и открытие файлов офисного формата. При этом вы можете, например, открыть файл скрипта в текстовом редакторе, даже если запуск скрипта запрещен. При блокировании запуска объекта Kaspersky Endpoint Security покажет пользователю стандартное уведомление приложения (см. рис. ниже), если уведомления включены в настройках приложения.

Уведомление Запрета запуска объектов

В начало

[Topic 214777]

Сетевая изоляция компьютера

Сетевая изоляция позволяет автоматически изолировать компьютеры от сети, в результате реагирования на обнаружение индикатора компрометации (IOC) – автоматический режим. Также вы можете включить Сетевую изоляцию вручную на время исследования обнаруженной угрозы – ручной режим.

После включения Сетевой изоляции приложение разрывает все активные и блокирует все новые сетевые соединения TCP/IP на компьютере, кроме следующих соединений:

  • соединения, указанные в исключениях из Сетевой изоляции;
  • соединения, инициированные службами Kaspersky Endpoint Security;
  • соединения, инициированные Агентом администрирования Kaspersky Security Center.

Вы можете настроить параметры компонента только в Web Console.

Автоматический режим Сетевой изоляции

Вы можете настроить автоматическое включение Сетевой изоляции, в результате реагирования на обнаружение IOC. Для настройки автоматического режима Сетевой изоляции предназначена групповая политика.

Как настроить автоматическое включение Сетевой изоляции компьютера при обнаружении IOC

  1. В главном окне Web Console выберите УстройстваЗадачи.

    Откроется список задач.

  2. Нажмите на задачу Kaspersky Endpoint Security Поиск IOC.

    Откроется окно свойств задачи.

    Если требуется, создайте задачу Поиск IOC.

  3. Выберите закладку Параметры программы.
  4. В блоке Действия при обнаружении IOC установите флажки Применять действия по реагированию при обнаружении IOC и Изолировать компьютер от сети.
  5. Сохраните внесенные изменения.

В результате при обнаружении IOC приложение изолирует компьютер от сети для предотвращения распространения угрозы.

Вы можете настроить автоматическое выключение Сетевой изоляции по истечении заданного периода времени. По умолчанию приложение выключает Сетевую изоляцию через 8 часов с момента включения. Также вы можете выключить Сетевую изоляцию вручную (см. инструкцию ниже). После выключения Сетевой изоляции компьютер может работать в сети без ограничений.

Как задать период выключения Сетевой изоляции компьютера в автоматическом режиме

  1. В главном окне Web Console выберите УстройстваПолитики и профили политик.
  2. Нажмите на название политики Kaspersky Endpoint Security.

    Откроется окно свойств политики.

  3. Выберите закладку Параметры программы.
  4. Перейдите в раздел Detection and ResponseEndpoint Detection and Response.
  5. В блоке Сетевая изоляция нажмите Настроить разблокировку компьютера.
  6. В открывшемся окне установите флажок Разблокировать автоматически изолированный компьютер через N часов и задайте период времени, по истечении которого Сетевая изоляция должна быть выключена.
  7. Сохраните внесенные изменения.

Ручной режим Сетевой изоляции

Вы можете включать или выключать Сетевую изоляцию вручную. Для настройки ручного режим Сетевой изоляции предназначены свойства компьютера в консоли Kaspersky Security Center.

Вы можете включить Сетевую изоляцию следующими способами:

  • В деталях обнаружения (только для EDR Optimum).

    Детали обнаружения – инструмент для просмотра всей собранной информации об обнаруженной угрозе. Детали обнаружения содержат, например, историю появления файлов на компьютере. Подробнее о работе с деталями обнаружения см. в справке Kaspersky Endpoint Detection and Response Optimum и в справке Kaspersky Endpoint Detection and Response Expert.

  • С помощью локальных параметров приложения.

Как вручную включить Сетевую изоляцию компьютера

  1. В главном окне Web Console выберите УстройстваУправляемые устройства.
  2. Нажмите на имя компьютера, на котором вы хотите настроить локальные параметры приложения.

    Откроются свойства компьютера.

  3. Выберите закладку Программы.
  4. Нажмите на Kaspersky Endpoint Security для Windows.

    Откроются локальные параметры приложения.

  5. Выберите закладку Параметры программы.
  6. Перейдите в раздел Detection and ResponseEndpoint Detection and Response.
  7. В блоке параметров Сетевая изоляция нажмите на кнопку Изолировать компьютер от сети.

Вы можете настроить автоматическое выключение Сетевой изоляции по истечении заданного периода времени. По умолчанию приложение выключает Сетевую изоляцию через 8 часов с момента включения. После выключения Сетевой изоляции компьютер может работать в сети без ограничений.

Как задать период выключения Сетевой изоляции компьютера в ручном режиме

  1. В главном окне Web Console выберите УстройстваУправляемые устройства.
  2. Нажмите на имя компьютера, на котором вы хотите настроить локальные параметры приложения.

    Откроются свойства компьютера.

  3. Выберите закладку Задачи.

    Откроется список задач, доступных на компьютере.

  4. Выберите задачу Сетевая изоляция.
  5. Выберите закладку Параметры программы.
  6. В открывшемся окне задайте период времени, по истечении которого Сетевая изоляция должна быть выключена.
  7. Сохраните внесенные изменения.

Как вручную выключить Сетевую изоляцию компьютера

  1. В главном окне Web Console выберите УстройстваУправляемые устройства.
  2. Нажмите на имя компьютера, на котором вы хотите настроить локальные параметры приложения.

    Откроются свойства компьютера.

  3. Выберите закладку Программы.
  4. Нажмите на Kaspersky Endpoint Security для Windows.

    Откроются локальные параметры приложения.

  5. Выберите закладку Параметры программы.
  6. Перейдите в раздел Detection and ResponseEndpoint Detection and Response.
  7. В блоке параметров Сетевая изоляция нажмите на кнопку Разблокировать изолированный от сети компьютер.

Вы также можете выключить Сетевую изоляцию локально из командной строки.

Исключения из Сетевой изоляции

Вы можете задать исключения из Сетевой изоляции. Сетевые соединения, подпадающие под заданные правила, не будут заблокированы на компьютере после включения Сетевой изоляции.

Для настройки исключений из Сетевой изоляции в приложении доступен список стандартных сетевых профилей. По умолчанию в исключения входят сетевые профили, состоящие из правил, обеспечивающих бесперебойную работу устройств с ролями DNS/DHCP-сервер и DNS/DHCP-клиент. Также вы можете изменить параметры стандартных сетевых профилей или задать исключения вручную (см. инструкцию ниже).

Исключения, заданные в свойствах политики, применяются, только если Сетевая изоляция включена приложением автоматически, в результате реагирования на обнаружение угрозы. Исключения, заданные в свойствах компьютера, применяются, только если Сетевая изоляция включена вручную в свойствах компьютера в консоли Kaspersky Security Center или в деталях обнаружения.

Активная политика не блокирует применение исключений из Сетевой изоляции, заданных в свойствах компьютера, так как сценарии применения этих параметров разные.

Как добавить исключение из Сетевой изоляции в автоматическом режиме

  1. В главном окне Web Console выберите УстройстваПолитики и профили политик.
  2. Нажмите на название политики Kaspersky Endpoint Security.

    Откроется окно свойств политики.

  3. Выберите закладку Параметры программы.
  4. Перейдите в раздел Detection and ResponseEndpoint Detection and Response.
  5. В блоке Исключения из сетевой изоляции нажмите Исключения.
  6. В открывшемся окне нажмите на кнопку Добавить из профиля и выберите стандартные сетевые профили для настройки исключений.

    Сетевые соединения из профиля будут добавлены в список исключений из Сетевой изоляции. Вы можете просмотреть свойства сетевых соединений. При необходимости, вы можете изменить параметры сетевого соединения.

  7. Если требуется, добавьте исключение из Сетевой изоляции вручную. Для этого в окне со списком исключений нажмите на кнопку Добавить и задайте параметры сетевого соединения вручную.
  8. Сохраните внесенные изменения.

Как добавить исключение из Сетевой изоляции в ручном режиме

  1. В главном окне Web Console выберите УстройстваУправляемые устройства.
  2. Нажмите на имя компьютера, на котором вы хотите настроить локальные параметры приложения.

    Откроются свойства компьютера.

  3. Выберите закладку Задачи.

    Откроется список задач, доступных на компьютере.

  4. Выберите задачу Сетевая изоляция.
  5. Выберите закладку Параметры программы.
  6. В открывшемся окне нажмите Исключения.
  7. В открывшемся окне нажмите на кнопку Добавить из профиля и выберите стандартные сетевые профили для настройки исключений.

    Сетевые соединения из профиля будут добавлены в список исключений из Сетевой изоляции. Вы можете просмотреть свойства сетевых соединений. При необходимости, вы можете изменить параметры сетевого соединения.

  8. Если требуется, добавьте исключение из Сетевой изоляции вручную. Для этого в окне со списком исключений нажмите на кнопку Добавить и задайте параметры сетевого соединения вручную.
  9. Сохраните внесенные изменения.

Вы также можете просмотреть список исключений из Сетевой изоляции локально из командной строки. При этом компьютер должен быть изолирован.

В начало

[Topic 232693]

Cloud Sandbox

Cloud Sandbox – технология, позволяет обнаруживать сложные угрозы на компьютере. Kaspersky Endpoint Security автоматически отправляет подозрительные файлы в Cloud Sandbox для анализа. Cloud Sandbox запускает эти файлы в изолированной среде для выявления вредоносной активности и принимает решение о репутации этих файлов. Далее данные об этих файлах попадают в Kaspersky Security Network. Таким образом, если Cloud Sandbox обнаружил вредоносный файл, Kaspersky Endpoint Security выполнит действие для устранения угрозы на всех компьютерах, на которых обнаружит этот файл.

Для работы Cloud Sandbox необходимо включить использование Kaspersky Security Network.

Если вы используете Kaspersky Private Security Network, технология Cloud Sandbox недоступна.

Технология Cloud Sandbox включена постоянно и доступна всем пользователям Kaspersky Security Network независимо от типа лицензии, которую вы используете. Если у вас развернуто решение Endpoint Detection and Response Optimum, вы можете включить отдельный счетчик для угроз, обнаруженных с помощью Cloud Sandbox. Вы можете использовать этот счетчик для составления статистики при анализе обнаруженных угроз.

Чтобы включить счетчик Cloud Sandbox, выполните следующие действия:

  1. В главном окне Web Console выберите УстройстваПолитики и профили политик.
  2. Нажмите на название политики Kaspersky Endpoint Security.

    Откроется окно свойств политики.

  3. Выберите закладку Параметры программы.
  4. Перейдите в раздел Detection and ResponseEndpoint Detection and Response.
  5. Включите переключатель Cloud Sandbox.
  6. Сохраните внесенные изменения.

В результате угрозы Kaspersky Endpoint Security включит счетчик угроз, обнаруженных с помощью Cloud Sandbox, в главном окне приложения в разделе Технологии обнаружения угроз. Также Kaspersky Endpoint Security будет указывать технологию обнаружения угроз Cloud Sandbox в Отчете об угрозах в консоли Kaspersky Security Center.

В начало

[Topic 220820]

Приложение 1. Поддерживаемые расширения файлов для Запрета запуска объектов

Kaspersky Endpoint Security поддерживает запрет открытия файлов офисного формата через определенные приложения. Информация о поддерживаемых расширениях имен файлов и приложений приведена в следующей таблице.

Поддерживаемые расширения файлов для Запрета запуска объектов

Имя приложения

Исполняемый файл

Расширение имени файла

Microsoft Word

winword.exe

rtf

doc

dot

docm

docx

dotx

dotm

docb

WordPad

wordpad.exe

docx

rtf

Microsoft Excel

excel.exe

xls

xlt

xlm

xlsx

xlsm

xltx

xltm

xlsb

xla

xlam

xll

xlw

Microsoft PowerPoint

powerpnt.exe

ppt

pot

pps

pptx

pptm

potx

potm

ppam

ppsx

ppsm

sldx

sldm

Adobe Acrobat

Foxit PDF Reader

STDU Viewer

Microsoft Edge

Google Chrome

Mozilla Firefox

Яндекс.Браузер

Tor Browser

acrord32.exe

FoxitReader.exe

STDUViewerApp.exe

MicrosoftEdge.exe

chrome.exe

firefox.exe

browser.exe

tor.exe

pdf

В начало

[Topic 220826]

Приложение 2. Поддерживаемые интерпретаторы скриптов

Запрет запуска объектов поддерживает следующие интерпретаторы скриптов:

  • AutoHotkey.exe
  • AutoHotkeyA32.exe
  • AutoHotkeyA64.exe
  • AutoHotkeyU32.exe
  • AutoHotkeyU64.exe
  • InstallUtil.exe
  • RegAsm.exe
  • RegSvcs.exe
  • autoit.exe
  • cmd.exe
  • control.exe
  • cscript.exe
  • hh.exe
  • mmc.exe
  • msbuild.exe
  • mshta.exe
  • msiexec.exe
  • perl.exe
  • powershell.exe
  • python.exe
  • reg.exe
  • regedit.exe
  • regedt32.exe
  • regsvr32.exe
  • ruby.exe
  • rubyw.exe
  • rundll32.exe
  • runlegacycplelevated.exe
  • wscript.exe
  • wwahost.exe

Запрет запуска объектов поддерживает работу с Java-приложениями в среде выполнения Java (процессы java.exe и javaw.exe).

В начало

[Topic 221708]

Приложение 3. Область поиска IOC в реестре (RegistryItem)

При добавлении типа данных RegistryItem в область поиска IOC, Kaspersky Endpoint Security анализирует следующие разделы реестра:

HKEY_CLASSES_ROOT\htafile

HKEY_CLASSES_ROOT\batfile

HKEY_CLASSES_ROOT\exefile

HKEY_CLASSES_ROOT\comfile

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Print\Monitors

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\NetworkProvider

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Class

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services

HKEY_LOCAL_MACHINE\Software\Classes\piffile

HKEY_LOCAL_MACHINE\Software\Classes\htafile

HKEY_LOCAL_MACHINE\Software\Classes\exefile

HKEY_LOCAL_MACHINE\Software\Classes\comfile

HKEY_LOCAL_MACHINE\Software\Classes\CLSID

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Aedebug

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

В начало

[Topic 220828]

Приложение 4. Требования к IOC-файлам

При создании задач поиска IOC учитывайте следующие требования и ограничения, связанные с

IOC-файлами
:

  • Приложение поддерживает IOC-файлы с расширением ioc и xml открытого стандарта описания индикаторов компрометации OpenIOC версий 1.0 и 1.1.
  • Если при создании задачи Поиск IOC из командной строки вы загрузите IOC-файлы, часть из которых не поддерживается, то при запуске задачи приложение будет использовать только поддерживаемые IOC-файлы. Если при создании задачи Поиск IOC из командной строки все загруженные вами IOC-файлы не поддерживаются, то задача может быть запущена, но в результате выполнения задачи не будут обнаружены индикаторы компрометации. Загрузить IOC-файлы, которые не поддерживаются, в Web Console или Cloud Console невозможно.
  • Семантические ошибки и неподдерживаемые IOC-термины и теги в IOC-файлах не приводят к ошибкам выполнения задачи. На таких участках IOC-файлов приложение фиксирует отсутствие совпадения.
  • Идентификаторы всех IOC-файлов
    , которые используются в одной задаче поиска IOC, должны быть уникальными. Наличие IOC-файлов с одинаковыми идентификаторами может повлиять на корректность результатов выполнения задачи.
  • Размер одного IOC-файла не должен превышать 2 МБ. Использование файлов большего размера приводит к завершению задач поиска IOC с ошибкой. Суммарный размер всех добавляемых файлов в IOC-коллекции не должен превышать 10 МБ. Если размер всех файлов превышает 10 МБ, вам нужно разделить IOC-коллекцию и создать несколько задач Поиск IOC.
  • Рекомендуется создавать на каждую угрозу по одному IOC-файлу. Это облегчает чтение результатов задачи поиска IOC.

В файле, который можно загрузить по ссылке ниже, приведена таблица с полным списком IOC-терминов стандарта OpenIOC.

ЗАГРУЗИТЬ ФАЙЛ IOC_TERMS.XLSX

Особенности и ограничения поддержки стандарта OpenIOC приложением приведены в следующей таблице.

Особенности и ограничения поддержки стандарта OpenIOC версий 1.0 и 1.1.

Поддерживаемые условия

OpenIOC 1.0:

is

isnot (как исключение из множества)

contains

containsnot (как исключение из множества)

OpenIOC 1.1:

is

contains

starts-with

ends-with

matches

greater-than

less-than

Поддерживаемые атрибуты условий

OpenIOC 1.1:

preserve-case

negate

Поддерживаемые операторы

AND

OR

Поддерживаемые типы данных

"date": дата (применимые условия: is, greater-than, less-than)

"int": целое число (применимые условия: is, greater-than, less-than)

"string": строка (применимые условия: is, contains, matches, starts-with, ends-with)

"duration": продолжительность в секундах (применимые условия: is, greater-than, less-than)

Особенности интерпретации типов данных

Типы данных "boolean string", "restricted string", "md5", "IP", "sha256", "base64Binary" интерпретируются как строка (string).

Приложение поддерживает интерпретацию параметра Content для типов данных int и date, заданного в виде промежутков:

OpenIOC 1.0:

С использованием оператора TO в поле Content:

<Content type="int">49600 TO 50700</Content>

<Content type="date">2009-04-28T10:00:00Z TO 2009-04-28T16:00:00Z</Content>

<Content type="int">[154192 TO 154192]</Content>

OpenIOC 1.1:

С помощью условий greater-than и less-than

С использованием оператора TO в поле Content

Приложение поддерживает интерпретацию типов данных date и duration, если индикаторы заданы в формате ISO 8601, Zulu time zone, UTC.

В начало

[Topic 214721]

Kaspersky Sandbox

В Kaspersky Endpoint Security версии 11.7.0 добавлен встроенный агент для интеграции с решением Kaspersky Sandbox. Решение Kaspersky Sandbox обнаруживает и автоматически блокирует сложные угрозы на компьютерах. Kaspersky Sandbox анализирует поведение объектов для выявления вредоносной активности и признаков целевых атак на IT-инфраструктуру организации. Kaspersky Sandbox выполняет анализ и проверку объектов на специальных серверах с развернутыми виртуальными образами операционных систем Microsoft Windows (серверы Kaspersky Sandbox). Подробнее о решении см. в справке Kaspersky Sandbox.

Для решения Kaspersky Sandbox предусмотрены следующие конфигурации:

Kaspersky Sandbox 2.0

Kaspersky Sandbox 2.0 поддерживает конфигурацию [KES+встроенный агент].

Минимальные требования:

  • Kaspersky Endpoint Security для Windows 11.7.0 и выше.
  • Kaspersky Endpoint Agent не требуется.
  • Kaspersky Security Center 13.2.

Kaspersky Sandbox 1.0

Kaspersky Sandbox 1.0 поддерживает конфигурацию [KES+KEA].

Минимальные требования:

  • Kaspersky Endpoint Security для Windows 11.2.0 – 11.6.0.
  • Kaspersky Endpoint Agent 3.8.

    Вы можете установить Kaspersky Endpoint Agent из дистрибутива Kaspersky Endpoint Security для Windows.

  • Kaspersky Security Center 11.

В этом разделе справки

Интеграция с Kaspersky Sandbox

Миграция из Kaspersky Endpoint Agent

Добавление TLS-сертификата

Добавление серверов Kaspersky Sandbox

Поиск индикаторов компрометации (автономная задача)
В начало

[Topic 224248]

Интеграция с Kaspersky Sandbox

Для интеграции с Kaspersky Sandbox вам нужно добавить компонент Kaspersky Sandbox. Вы можете выбрать компонент Kaspersky Sandbox во время установки или обновления приложения, а также с помощью задачи Изменение состава компонентов приложения.

Для работы компонента должны быть выполнены следующие условия:

  • Kaspersky Security Center версии 13.2. В более ранних версиях Kaspersky Security Center недоступно создание автономных задач поиска IOC при реагировании на угрозы.
  • Управление компонентом доступно только в Web Console. Управлять компонентом в Консоли администрирования (MMC) невозможно.
  • Приложение активировано и функциональность входит в лицензию.
  • Передача данных на Сервер администрирования включена.

    Для работы всех функций Kaspersky Sandbox должна быть включена передача данных о файлах карантина. Данные нужны для получения информации о помещенных на компьютере файлах на карантин в Web Console. В Web Console вы можете, например, загрузить файл из карантина на компьютер для анализа.

    Как включить передачу данных на Сервер администрирования в Web Console

    1. В главном окне Web Console выберите УстройстваПолитики и профили политик.
    2. Нажмите на название политики Kaspersky Endpoint Security.

      Откроется окно свойств политики.

    3. Выберите закладку Параметры программы.
    4. Перейдите в раздел Общие настройкиОтчеты и хранилище.
    5. В блоке Передача данных на Сервер администрирования установите флажок О файлах карантина.
    6. Сохраните внесенные изменения.
  • Установлено фоновое соединение между Kaspersky Security Center Web Console и Сервером администрирования

    Для работы Kaspersky Sandbox c Сервером администрирования через Kaspersky Security Center Web Console вам нужно установить новое безопасное соединение – фоновое соединение. Подробнее об интеграции Kaspersky Security Center с другими решениями "Лаборатории Касперского" см. в справке Kaspersky Security Center.

    Как установить фоновое соединение в Web Console

    1. В главном окне Web Console выберите Параметры консолиИнтеграция.
    2. Перейдите в раздел Межсервисная интеграция.
    3. Включите переключатель Установить фоновое соединение для межсервисной интеграции.
    4. Сохраните внесенные изменения.

    Если фоновое соединение между Kaspersky Security Center Web Console и Сервером администрирования отсутствует, создание автономных задач поиска IOC при реагировании на угрозы недоступно.

  • Компонент Kaspersky Sandbox включен.

    Вы можете включать и выключать интеграцию с Kaspersky Sandbox в Web Console или локально из командной строки.

Чтобы включить или выключить интеграцию с Kaspersky Sandbox, выполните следующие действия:

  1. В главном окне Web Console выберите УстройстваПолитики и профили политик.
  2. Нажмите на название политики Kaspersky Endpoint Security.

    Откроется окно свойств политики.

  3. Выберите закладку Параметры программы.
  4. Перейдите в раздел Detection and ResponseKaspersky Sandbox.
  5. Используйте переключатель Интеграция с Kaspersky Sandbox, чтобы включить или выключить компонент.
  6. Сохраните внесенные изменения.

В результате компонент Kaspersky Sandbox будет включен. Проверьте статус работы компонента с помощью отчета Отчет о статусе компонентов программы. Также вы можете посмотреть статус работы компонента в локальном интерфейсе Kaspersky Endpoint Security в отчетах. В список компонентов Kaspersky Endpoint Security будет добавлен компонент Kaspersky Sandbox.

Kaspersky Endpoint Security сохраняет информацию о работе компонента Kaspersky Sandbox в отчет. Отчет также содержит информацию об ошибках. Если вы получили ошибку с описанием в формате Error code: XXX (например, 0xa67b01f4), вам нужно обратиться в Службу технической поддержки.

В начало

[Topic 224252]

Миграция из Kaspersky Endpoint Agent

Если вы используете Kaspersky Endpoint Security 11.7.0 и выше с установленным компонентом Kaspersky Sandbox (встроенный агент), поддержка взаимодействия с решением Kaspersky Sandbox доступна сразу после установки. Компонент Kaspersky Sandbox несовместим с приложением Kaspersky Endpoint Agent. Если на компьютере установлено приложение Kaspersky Endpoint Agent, при обновлении Kaspersky Endpoint Security до версии 11.7.0 решение Kaspersky Sandbox продолжит работу с Kaspersky Endpoint Security (миграция конфигурации [KES+KEA] на [KES+встроенный агент]). Также Kaspersky Endpoint Agent будет удален с компьютера. Для завершения миграции из Kaspersky Endpoint Agent на Kaspersky Endpoint Security для Windows вам нужно перенести параметры политик и задач с помощью мастера миграции.

Если вы используете Kaspersky Endpoint Security 11.4.0-11.6.0, для взаимодействия с Kaspersky Sandbox в состав приложения включено приложение Kaspersky Endpoint Agent. Вы можете установить Kaspersky Endpoint Agent совместно с Kaspersky Endpoint Security.

В Kaspersky Endpoint Security 11.9.0 дистрибутив приложения Kaspersky Endpoint Agent исключен из комплекта поставки Kaspersky Endpoint Security. Вам нужно загрузить дистрибутив Kaspersky Endpoint Agent отдельно.

Компонент Kaspersky Sandbox в составе Kaspersky Endpoint Security поддерживает работу с решением Kaspersky Sandbox версии 2.0. Работа с решением Kaspersky Sandbox версии 1.0 не поддерживается.

В начало

[Topic 224245]

Добавление TLS-сертификата

Для настройки доверенного соединения с серверами Kaspersky Sandbox вам нужно подготовить TLS-сертификат. Далее вам нужно добавить сертификат на серверы Kaspersky Sandbox и в политике Kaspersky Endpoint Security. Подробнее о подготовке сертификата и добавлении сертификата на серверы см. в справке Kaspersky Sandbox.

Вы можете добавить TLS-сертификат в Web Console или локально из командной строки.

Чтобы добавить TLS-сертификат в Web Console, выполните следующие действия:

  1. В главном окне Web Console выберите УстройстваПолитики и профили политик.
  2. Нажмите на название политики Kaspersky Endpoint Security.

    Откроется окно свойств политики.

  3. Выберите закладку Параметры программы.
  4. Перейдите в раздел Detection and ResponseKaspersky Sandbox.
  5. Перейдите по ссылке Настройки подключения к серверам.

    Откроется окно с параметрами подключения к серверам Kaspersky Sandbox.

  6. В блоке TLS-сертификат серверов нажмите на кнопку Добавить и выберите файл TLS-сертификата.

    В Kaspersky Endpoint Security может быть только один TLS-сертификат сервера Kaspersky Sandbox. Если вы ранее уже добавили TLS-сертификат, то этот сертификат прекращает действовать. Только последний добавленный сертификат будет актуальным.

  7. Настройте дополнительные параметры подключения к серверам Kaspersky Sandbox:
    • Время ожидания. Время ожидания соединения с сервером Kaspersky Sandbox. По истечению заданного времени ожидания Kaspersky Endpoint Security отправит запрос на следующий сервер. Вы можете увеличить время ожидания соединения с Kaspersky Sandbox, если у вас низкая скорость соединения или соединение нестабильно. Рекомендованное значение времени ожидания запроса не более 0,5 сек.
    • Очередь запросов Kaspersky Sandbox. Размер папки хранения очереди запросов. При обращении к объекту (запуск исполняемого файла или открытие документа, например, в формате DOCX или PDF) на компьютере Kaspersky Endpoint Security может отправить объект на дополнительную проверку в Kaspersky Sandbox. Если запросов несколько, Kaspersky Endpoint Security создает очередь запросов. По умолчанию размер папки хранения очереди запросов ограничен 100 МБ. После достижения максимального размера Kaspersky Sandbox перестает добавлять новые запросы в очередь и отправляет соответствующее событие в Kaspersky Security Center. Вы можете настроить размер папки хранения очереди запросов в зависимости от конфигурации сервера.
  8. Сохраните внесенные изменения.

В результате Kaspersky Endpoint Security проверит TLS-сертификат. Если сертификат прошел проверку, Kaspersky Endpoint Security отправит файл сертификата на компьютер при следующей синхронизации с Kaspersky Security Center. Если вы добавили два TLS-сертификата, Kaspersky Sandbox использует последний сертификат для установки доверенного соединения.

В начало

[Topic 224246]

Добавление серверов Kaspersky Sandbox

Для подключения компьютеров к серверам Kaspersky Sandbox с виртуальными образами операционных систем вам нужно ввести адрес сервера и порт. Подробнее о развертывании виртуальных образов и конфигурации серверов Kaspersky Sandbox см. в справке Kaspersky Sandbox.

Чтобы добавить серверы Kaspersky Sandbox в Web Console, выполните следующие действия:

  1. В главном окне Web Console выберите УстройстваПолитики и профили политик.
  2. Нажмите на название политики Kaspersky Endpoint Security.

    Откроется окно свойств политики.

  3. Выберите закладку Параметры программы.
  4. Перейдите в раздел Detection and ResponseKaspersky Sandbox.
  5. В блоке Серверы Kaspersky Sandbox нажмите на кнопку Добавить.
  6. В открывшемся окне введите адрес сервера Kaspersky Sandbox (IPv4, IPv6, DNS), а также порт подключения к серверу.
  7. Сохраните внесенные изменения.
В начало

[Topic 224466]

Поиск индикаторов компрометации (автономная задача)

Индикатор компрометации (Indicator of Compromise, IOC) – набор данных об объекте или активности, который указывает на несанкционированный доступ к компьютеру (компрометация данных). Например, индикатором компрометации может быть большое количество неудачных попыток входа в систему. Задача Поиск IOC позволяет обнаруживать индикаторы компрометации на компьютере и выполнять действия по реагированию на угрозы.

Для поиска индикаторов компрометации Kaspersky Endpoint Security использует IOC-файлы. IOC-файлы – файлы, содержащие набор индикаторов, при совпадении с которыми приложение считает событие обнаружением. IOC-файлы должны соответствовать стандарту описания OpenIOC. Kaspersky Endpoint Security автоматические формирует IOC-файлы для работы Kaspersky Sandbox.

Режим запуска задачи Поиск IOC

Для работы Kaspersky Sandbox приложение создает автономные задачи поиска IOC. Автономная задача поиска IOC – групповая задача, которая создается автоматически при реагировании на угрозу, обнаруженную Kaspersky Sandbox. Kaspersky Endpoint Security автоматически формирует IOC-файл. Работа пользователя с IOC-файлами не предусмотрена. Задачи автоматически удаляются через 30 дней с момента создания. Подробнее об автономных задачах поиска IOC см. в справке Kaspersky Sandbox.

Настройка задачи Поиск IOC

При реагировании на угрозы Kaspersky Sandbox автоматически создает и запускает задачи Поиск IOC.

Вы можете настроить параметры задачи только в Web Console.

Для работы с автономными задачами поиска IOC требуется Kaspersky Security Center версии 13.2.

Чтобы изменить параметры задачи Поиск IOC, выполните следующие действия:

  1. В главном окне Web Console выберите УстройстваЗадачи.

    Откроется список задач.

  2. Нажмите на задачу Kaspersky Endpoint Security Поиск IOC.

    Откроется окно свойств задачи.

  3. Выберите закладку Параметры программы.
  4. Перейдите в раздел Настройки поиска IOC.
  5. Настройте действия при обнаружении индикатора компрометации:
    • Копию поместить на карантин, объект удалить. Если выбран этот вариант действия, то Kaspersky Endpoint Security удаляет вредоносный объект, обнаруженный на компьютере. Перед удалением объекта Kaspersky Endpoint Security формирует его резервную копию на тот случай, если впоследствии понадобится восстановить объект. Kaspersky Endpoint Security помещает резервную копию на карантин.
    • Запускать проверку важных областей. Если выбран этот вариант действия, то Kaspersky Endpoint Security запускает задачу Проверка важных областей. По умолчанию Kaspersky Endpoint Security проверяет память ядра, запущенные процессы и загрузочные секторы.
  6. Настройте режим запуска задачи поиска IOC с помощью флажка Выполнять только во время простоя компьютера. Флажок включает / выключает функцию, которая приостанавливает задачу Поиск IOC, если ресурсы компьютера заняты. Kaspersky Endpoint Security приостанавливает задачу Поиск IOC, если не включена экранная заставка и разблокирован компьютер.

    Этот вариант расписания позволяет экономить вычислительную мощность компьютера во время работы.

  7. Сохраните внесенные изменения.

Вы можете просмотреть результаты выполнения задачи в свойствах задачи в разделе Результаты. Информацию об обнаруженных индикаторах компрометации вы можете посмотреть в свойствах задачи Параметры программыРезультаты поиска IOC.

Срок хранения результатов поиска IOC составляет 30 дней. По истечении этого времени Kaspersky Endpoint Security автоматически удаляет старые записи.

В начало

[Topic 228485]

Kaspersky Anti Targeted Attack Platform (KATA EDR)

icon_KATA

Kaspersky Anti Targeted Attack Platform – решение, предназначенное для своевременного обнаружения сложных угроз, таких как целевые атаки, сложные постоянные угрозы (англ. APT – Advanced Persistent Threat), атаки "нулевого дня" и другие. Kaspersky Anti Targeted Attack Platform включает в себя два функциональных блока: Kaspersky Anti Targeted Attack (далее также "KATA") и Kaspersky Endpoint Detection and Response (далее также "KEDR"). Вы можете приобрести KEDR отдельно. Подробнее о решении см. в справке Kaspersky Anti Targeted Attack Platform.

Kaspersky Endpoint Detection and Response использует следующие средства анализа угроз (Threat Intelligence):

  • Инфраструктура облачных служб Kaspersky Security Network (далее также "KSN"), предоставляющую доступ к оперативной базе знаний "Лаборатории Касперского" о репутации файлов, веб-ресурсов и программного обеспечения. Использование данных Kaspersky Security Network обеспечивает более высокую скорость реакции приложений "Лаборатории Касперского" на угрозы, повышает эффективность работы некоторых компонентов защиты, а также снижает вероятность ложных срабатываний.
  • Интеграция с платформой Kaspersky Threat Intelligence Portal, которая содержит и отображает информацию о репутации файлов и веб-адресов.
  • База угроз "Лаборатории Касперского" Kaspersky Threats.

Принцип работы решения

Приложение Kaspersky Endpoint Agent устанавливается на отдельных компьютерах, входящих в IT-инфраструктуру организации, и осуществляет постоянное наблюдение за процессами, открытыми сетевыми соединениями и изменяемыми файлами. Данные о событиях на компьютере отправляются на сервер Kaspersky Anti Targeted Attack Platform.

Приложение Kaspersky Endpoint Agent может интегрироваться с Kaspersky Endpoint Security для Windows. В этом случае приложение Kaspersky Endpoint Agent также передает на сервер Kaspersky Anti Targeted Attack Platform данные об угрозах, обнаруженных приложением Kaspersky Endpoint Security для Windows, и данные о результатах обработки этих угроз.

Интеграция с KATA EDR

Для интеграции с KATA EDR вам нужно добавить компонент Kaspersky Anti Targeted Attack Platform (KATA EDR) и установить Kaspersky Endpoint Agent. Вы можете выбрать компонент KATA EDR во время установки или обновления приложения, а также с помощью задачи Изменение состава компонентов приложения.

Компонент KATA EDR несовместим с компонентами EDR Optimum и EDR Expert.

В Kaspersky Endpoint Security версии 11.9.0 из комплекта поставки приложения исключен дистрибутив Kaspersky Endpoint Agent. Вы можете загрузить дистрибутив Kaspersky Endpoint Agent из комплекта поставки Kaspersky Anti Targeted Attack Platform.

KATA EDR использует данные полученные от компонентов приложения. Работу KATA EDR обеспечивают следующие компоненты:

Убедитесь, что эти компоненты включены и работают.

В начало

[Topic 214779]

Работа с карантином

Карантин – это специальное локальное хранилище на компьютере. Пользователь может поместить на карантин файлы, которые считает опасными для компьютера. Файлы на карантине хранятся в зашифрованном виде и не угрожают безопасности устройства. Kaspersky Endpoint Security использует карантин только при работе с решениями Kaspersky Sandbox и Kaspersky Endpoint Detection and Response. В остальных случаях Kaspersky Endpoint Security помещает файл в резервное хранилище. Подробнее о работе с карантином в составе решений см. в справке Kaspersky Sandbox, Kaspersky Endpoint Detection and Response Optimum, Kaspersky Endpoint Detection and Response Expert.

Kaspersky Endpoint Security помещает файлы на карантин под системной учетной записью (SYSTEM).

Вы можете настроить параметры карантина только в Web Console. Также в Web Console вы можете выполнить действия с объектами на карантине (восстановить, удалить, добавить и другие). Локально на компьютере вы можете только восстановить объект из командной строки.

В этом разделе справки

Настройка максимального размера карантина

Передача данных о файлах на карантине в Kaspersky Security Center
В начало

[Topic 224244]

Настройка максимального размера карантина

По умолчанию размер карантина ограничен 200 МБ. После достижения максимального размера Kaspersky Endpoint Security автоматически удаляет наиболее старые файлы из карантина.

Чтобы настроить максимальный размер карантина, выполните следующие действия:

  1. В главном окне Web Console выберите УстройстваПолитики и профили политик.
  2. Нажмите на название политики Kaspersky Endpoint Security.

    Откроется окно свойств политики.

  3. Выберите закладку Параметры программы.
  4. Перейдите в раздел Общие настройкиОтчеты и хранилище.
  5. В блоке Карантин настройте размер карантина:
    • Ограничить размер карантина до N МБ. Максимальный размер карантина в МБ. Например, вы можете задать максимальный размер карантина 200 МБ. При достижении максимального размера карантина Kaspersky Endpoint Security отправляет соответствующее событие в Kaspersky Security Center и публикует событие в Журнале событий Windows. При этом приложение прекращает помещать новые объекты на карантин. Вам нужно вручную очистить карантин.
    • Уведомлять при заполнении карантина на N процентов. Пороговое значение карантина. Например, вы можете задать пороговое значение карантина 50 %. При достижении порогового значения карантина, Kaspersky Endpoint Security отправляет соответствующее событие в Kaspersky Security Center и публикует событие в Журнале событий Windows. При этом приложение продолжает помещать новые объекты на карантин.
  6. Сохраните внесенные изменения.
В начало

[Topic 225819]

Передача данных о файлах на карантине в Kaspersky Security Center

Для выполнения действий с объектами на карантине в Web Console вам нужно включить передачу данных на Сервер администрирования о файлах на карантине. В Web Console вы можете, например, загрузить файл из карантина на компьютер для анализа. Передача данных о файлах на карантине должна быть включена для работы всех функций решений Kaspersky Sandbox и Kaspersky Endpoint Detection and Response.

Чтобы включить передачу данных о файлах на карантине в Kaspersky Security Center, выполните следующие действия:

  1. В главном окне Web Console выберите УстройстваПолитики и профили политик.
  2. Нажмите на название политики Kaspersky Endpoint Security.

    Откроется окно свойств политики.

  3. Выберите закладку Параметры программы.
  4. Перейдите в раздел Общие настройкиОтчеты и хранилище.
  5. В блоке Передача данных на Сервер администрирования установите флажок О файлах карантина.
  6. Сохраните внесенные изменения.

В результате вы можете в Web Console просматривать список файлов, помещенных на карантин на компьютере (ОперацииХранилищаКарантин). В Web Console вы можете выполнить действия с объектами на карантине (восстановить, удалить, добавить и другие).

В начало

[Topic 224328]

Kaspersky Security для Windows Server

icon_KSWS

В Kaspersky Endpoint Security версии 11.8.0 поддержаны основные функции решения Kaspersky Security для Windows Server (KSWS). Kaspersky Security для Windows Server защищает серверы, работающие под управлением операционных систем Microsoft Windows, и сетевые хранилища от вирусов и других угроз компьютерной безопасности, которым подвергаются серверы и сетевые хранилища в процессе обмена файлами. Подробную информацию о работе решения см. в справке Kaspersky Security для Windows Server. Начиная с Kaspersky Endpoint Security версии 11.8.0 вы можете мигрировать с KSWS на Kaspersky Endpoint Security для Windows и использовать единое решение для защиты рабочих станций и серверов.

В этом разделе справки

Установка KES поверх KSWS

Активация KES ключом KSWS

Управление приложением на сервере Core Mode

Приложение. Соответствие параметров KSWS и KES
В начало

[Topic 224330]

Установка KES поверх KSWS

Установка Kaspersky Endpoint Security для Windows на серверах не отличается от установки приложения на рабочих станциях. Если сервер работает в режиме основных серверных компонентов (англ. Core Mode), вы можете установить приложение из командной строки.

Перед установкой Kaspersky Endpoint Security (KES) проверяет компьютер на наличие приложений "Лаборатории Касперского". Если на компьютере установлено приложение Kaspersky Security для Windows Server (KSWS), KES определит набор компонентов KSWS, которые были установлены, и выбирает те же компоненты при установке. Параметры KSWS и задачи не мигрируют при установке Kaspersky Endpoint Security для Windows.

Перед установкой KES рекомендуется выключить Защиту паролем KSWS. После миграции с KSWS на KES включите Защиту паролем в параметрах приложения.

Минимальные программные требования для миграции компонентов KSWS:

  • Kaspersky Endpoint Security для Windows 11.8.0.
  • Kaspersky Security для Windows Server 11.0.1.

    Вы также можете мигрировать с Kaspersky Security для Windows Server более ранних версий. При этом Kaspersky Endpoint Security удаляет приложение без миграции набора компонентов.

  • Kaspersky Security Center 13.2.

Соответствие компонентов KSWS и KES представлено в таблице ниже. Компоненты KES, которых нет в KSWS, будут установлены следующим образом:

  • AMSI-защита, Предотвращение вторжений, Откат вредоносных действий – устанавливаются с параметрами по умолчанию.
  • Защита от атак BadUSB, Адаптивный контроль аномалий, Шифрование данных, компоненты Detection and Response – игнорируются.

Вы можете проверить список установленных компонентов в интерфейсе приложения в разделе Безопасность, с помощью команды status или в консоли Kaspersky Security Center в свойствах компьютера. Вы можете изменить набор компонентов после установки с помощью задачи Изменение состава компонентов приложения.

Соответствие компонентов Kaspersky Security для Windows Server и Kaspersky Endpoint Security для Windows

Компонент Kaspersky Security для Windows Server

Компонент Kaspersky Endpoint Security для Windows

Основная функциональность

Ядро приложения, включая задачи проверки

Анализ журналов

(не поддерживается)

Анализ журналов выполняют другие компоненты приложения, например, Адаптивный контроль аномалий.

Контроль устройств

Контроль устройств

Управление сетевым экраном

(не поддерживается)

Функции Сетевого экрана KSWS выполняет системный Сетевой экран.

Мониторинг файловых операций

(не поддерживается)

Kaspersky Endpoint Security позволяет отслеживать файловые события в операционной системе с помощью компонента Мониторинг активности приложений.

Защита от эксплойтов

Защита от эксплойтов

Значок в области уведомлений

(не поддерживается)

Вы можете настроить взаимодействие с пользователем в параметрах интерфейса приложения.

Интеграция с Kaspersky Security Center

Коннектор к Агенту администрирования

Endpoint Agent

Endpoint Agent

Защита от сетевых угроз

Защита от сетевых угроз

Защита от шифрования

Анализ поведения

Защита от шифрования для NetApp

(не поддерживается)

Защита трафика

Защита от веб-угроз

Защита от почтовых угроз

Веб-Контроль

Проверка по требованию

Ядро приложения, включая задачи проверки

Защита ICAP-подключаемых сетевых хранилищ

(не поддерживается)

Защиту подключаемых сетевых хранилищ выполняют другие компоненты приложения, например, Защита от сетевых угроз.

Защита RPC-подключаемых сетевых хранилищ

(не поддерживается)

Защиту подключаемых сетевых хранилищ выполняют другие компоненты приложения, например, Защита от сетевых угроз.

Постоянная защита файлов

Защита от файловых угроз

Проверка скриптов

(не поддерживается)

Проверку скриптов выполняют другие компоненты приложения, например, AMSI-защита.

Использование KSN

Kaspersky Security Network

Контроль запуска программ

Контроль приложений

Счетчики производительности

(не поддерживается)

В начало

[Topic 224524]

Активация KES ключом KSWS

После установки приложения вы можете активировать Kaspersky Endpoint Security для Windows (KES) лицензионным ключом Kaspersky Security для Windows Server (KSWS). Активация приложения после миграции отличается в зависимости от способа активации KSWS (см. таблицу ниже).

Активация Kaspersky Endpoint Security для Windows ключом Kaspersky Security для Windows Server

Способ активации Kaspersky Security для Windows Server

Миграция ключа в Kaspersky Endpoint Security для Windows

Автоматическое распространение лицензионного ключа KSWS на компьютеры.

Если в свойствах лицензионного ключа KSWS включено автоматическое распространение ключа, KES будет автоматически активирован ключом KSWS.

Ключ KSWS добавлен с помощью задачи.

Если вы активировали KSWS с помощью задачи, лицензионный ключ KSWS будет удален при миграции с KSWS. Вам нужно будет активировать приложение заново. Например, вы можете добавить лицензионный ключ в инсталляционный пакет Kaspersky Endpoint Security для Windows.

Ключ KSWS добавлен локально в интерфейсе приложения.

Если вы активировали KSWS локально с помощью мастера активации приложения, лицензионный ключ KSWS будет удален при миграции с KSWS. Вам нужно будет активировать приложение заново. Например, вы можете добавить лицензионный ключ в инсталляционный пакет Kaspersky Endpoint Security для Windows.

Ключ KSWS добавлен в инсталляционный пакет.

Если вы активировали KSWS с помощью ключа из инсталляционного пакета, лицензионный ключ KSWS будет удален при миграции с KSWS. Вам нужно будет активировать приложение заново. Например, вы можете добавить лицензионный ключ в инсталляционный пакет Kaspersky Endpoint Security для Windows.

В начало

[Topic 128140]

Управление приложением на сервере Core Mode

На сервере в режиме основных серверных компонентов (англ. Core Mode) отсутствует графический интерфейс. Поэтому вы можете управлять приложением только удаленно из консоли Kaspersky Security Center или локально из командной строки.

Управление приложением из консоли Kaspersky Security Center

Установка приложения из консоли Kaspersky Security Center ничем не отличается от обычной установки. При создании инсталляционного пакета вы можете добавить лицензионный ключ для активации приложения. Вы можете использовать ключ Kaspersky Endpoint Security для Windows или ключ Kaspersky Security для Windows Server.

На сервере Core Mode недоступны следующие компоненты приложения: Защита от веб-угроз, Защита от почтовых угроз, Веб-Контроль, Защита от атак BadUSB, Шифрование файлов (FLE), Шифрование диска Kaspersky (FDE).

При установке Kaspersky Endpoint Security перезагрузка не требуется. Перезагрузка требуется, только если перед установкой необходимо удалить несовместимые приложения. Также перезагрузка может потребоваться при обновлении версии приложения. У приложения нет возможности показать окно запроса для перезагрузки сервера. Вы можете узнать о необходимости перезагрузки сервера из отчетов в консоли Kaspersky Security Center.

Управление приложением на серверах Core Mode ничем не отличается от управления компьютером. Вы можете использовать политики и задачи для настройки приложения.

Управление приложением на серверах Core Mode имеет следующие особенности:

  • Так как на сервере Core Mode отсутствует графический интерфейс, то Kaspersky Endpoint Security не показывает предупреждение о необходимости лечения активного заражения. Для устранения угрозы вам необходимо включить технологию лечения активного заражения в параметрах приложения и включить немедленное лечение активного заражения в свойствах задачи Антивирусная проверка. Далее вам нужно запустить задачу Антивирусная проверка.
  • Шифрование диска BitLocker доступно только с помощью доверенного платформенного модуля (TPM). Использовать PIN / пароль при шифровании невозможно, так как у приложения нет возможности показать окно запроса пароля для предзагрузочной аутентификации. Если в операционной системе включен режим совместимости с Федеральным стандартом обработки информации (FIPS), вам нужно подключить съемный диск для сохранения ключа шифрования до начала шифрования диска.

Управление приложением из командной строки

При отсутствии графического интерфейса вы можете управлять Kaspersky Endpoint Security из командной строки.

Для установки приложения на сервер Core Mode выполните следующую команду:

setup_kes.exe /pEULA=1 /pPRIVACYPOLICY=1 /s

Для активации приложения выполните следующую команду:

avp.com license /add <код активации или файл ключа>

Для проверки статусов профилей приложения выполните следующую команду:

avp.com status

Для просмотра списка команд для управления приложением выполните следующую команду:

avp.com help

В начало

[Topic 224529]

Приложение. Соответствие параметров KSWS и KES

Развернуть всё | Свернуть всё

При миграции политик и задач параметры KES будут настроены в соответствии с параметрами KSWS. Параметры компонентов, которых нет в KSWS, будут установлены с параметрами по умолчанию.

Параметры программы

Масштабируемость, интерфейс и настройки сканирования

Параметры программы не поддерживаются в Kaspersky Endpoint Security для Windows.

Параметры программы

Параметры Kaspersky Security для Windows Server

Параметры Kaspersky Endpoint Security для Windows

Параметры масштабируемости

(не поддерживается)

Kaspersky Endpoint Security контролирует все рабочие процессы.

Показывать Значок области уведомлений

(не поддерживается)

По умолчанию на клиентском компьютере доступно главное окно Kaspersky Endpoint Security и значок в области уведомлений Windows. В контекстном меню значка пользователь может выполнять операции c Kaspersky Endpoint Security. Также Kaspersky Endpoint Security показывает уведомления над значком программы. Вы можете настроить взаимодействие с пользователем в параметрах интерфейса программы.

Восстанавливать атрибуты файлов после сканирования

(не поддерживается)

Kaspersky Endpoint Security восстанавливает атрибуты файлов после проверки файла автоматически.

Ограничивать сканирующий поток в использовании CPU

(не поддерживается)

Kaspersky Endpoint Security не ограничивает использование процессора компьютера при проверке. Вы можете настроить запуск задачи во время, когда компьютер наименее нагружен.

Папка для временных файлов, создаваемых при сканировании

(не поддерживается)

Kaspersky Endpoint Security помещает временные файлы в папку C:\Windows\Temp.

Параметры HSM-системы

(не поддерживается)

Kaspersky Endpoint Security не поддерживает HSM-системы.

Безопасность и надежность

Параметры безопасности KSWS мигрируют в раздел Общие настройки, подразделы Настройки приложения и Интерфейс.

Параметры безопасности программы

Параметры Kaspersky Security для Windows Server

Параметры Kaspersky Endpoint Security для Windows

Защищать процессы программы от внешних угроз

Включить самозащиту (подраздел Настройки приложения)

Использовать защиту паролем

(не поддерживается)

Kaspersky Endpoint Security имеет собственную функцию Защита паролем (подраздел Интерфейс).

Выполнять восстановление задач

(не поддерживается)

Kaspersky Endpoint Security автоматически восстанавливает только задачи Антивирусная проверка. Остальные задачи Kaspersky Endpoint Security запускает по расписанию.

Не запускать задачи проверки по расписанию

Откладывать задачи по расписанию при работе от аккумулятора (подраздел Настройки приложения)

Остановить выполняемые задачи проверки

(не поддерживается)

При переходе компьютера на источник бесперебойного питания Kaspersky Endpoint Security продолжает выполнение запущенных задач проверки.

Параметры соединения

Параметры взаимодействия с Сервером администрирования мигрируют в раздел Общие настройки, подразделы Настройки сети и Настройки приложения.

Параметры взаимодействия с Сервером администрирования

Параметры Kaspersky Security для Windows Server

Параметры Kaspersky Endpoint Security для Windows

Параметры прокси-сервера

Прокси-сервер (подраздел Настройки сети)

Не использовать прокси-сервер для локальных адресов

Не использовать прокси-сервер для локальных адресов (подраздел Настройки сети)

Параметры аутентификации на прокси-сервере

Использовать аутентификацию на прокси-сервере (подраздел Настройки сети)

Kaspersky Endpoint Security не поддерживает NTLM-аутентификацию. Если в параметрах KSWS включено использование NTLM-аутентификации, после миграции вам нужно настроить аутентификацию на прокси-сервере и задать имя пользователя и пароль.

Пароль для аутентификации на прокси-сервере не мигрирует. После миграции политики вам нужно ввести пароль вручную.

Использовать Kaspersky Security Center в качестве прокси-сервера для активации программы

Использовать Kaspersky Security Center в качестве прокси-сервера для активации (подраздел Настройки приложения)

Запуск локальных системных задач

Kaspersky Endpoint Security игнорирует параметры запуска локальных системных задач Kaspersky Security для Windows Server. Вы можете настроить использование локальных задач KES в разделе Локальные задачи, подраздел Управление задачами. Также вы можете настроить расписание запуска задач Антивирусная проверка и Обновление баз в свойствах задач.

Дополнительные возможности

Доверенная зона

Параметры доверенной зоны KSWS мигрируют в раздел Общие настройки, подраздел Исключения.

Параметры доверенной зоны

Параметры Kaspersky Security для Windows Server

Параметры Kaspersky Endpoint Security для Windows

Проверяемый объект (Исключения)

Исключения из проверки (Исключения из проверки)

Способы выбора объектов в KSWS и KES отличаются. При миграции KES поддерживает исключения, заданные в виде отдельных файлов или пути к файлу / папке. Если в KSWS есть исключения, заданные в виде предопределенной области или веб-адреса скрипта, такие исключения не мигрируют. После миграции вам нужно добавить эти исключения вручную.

Применять также к подпапкам (Исключения)

Включая вложенные папки (Исключения из проверки)

Обнаруживаемые объекты (Исключения)

Название объекта (Исключения из проверки)

Область применения исключения (Исключения)

Компоненты защиты (Исключения из проверки)

Если в KSWS выбран хотя бы один компонент, KES применяет исключение для всех компонентов программы.

Комментарий (Исключения)

Комментарий (Исключения из проверки)

Доверенные процессы (Доверенные процессы)

Доверенные приложения

Способы выбора доверенных процессов / программ в KSWS и KES отличаются. При миграции KES поддерживает доверенные программы, заданные в виде пути к исполняемому файлу или маске. Если в KSWS есть доверенные процессы, заданные в виде хеша файла, такие доверенные процессы не мигрируют. После миграции вам нужно добавить эти доверенные процессы вручную.

Не проверять файловые операции резервного копирования (Доверенные процессы)

Не контролировать активность приложения (Доверенные программы)

Проверка съемных дисков

Параметры проверки съемных дисков мигрируют в раздел Локальные задачи, подраздел Проверка съемных дисков.

Параметры проверки съемных дисков

Параметры Kaspersky Security для Windows Server

Параметры Kaspersky Endpoint Security для Windows

Проверять съемные диски при их подключении по USB

Действие при подключении съемного диска

Проверять, если объем содержащихся на диске данных не превышает порог (МБ)

Максимальный размер съемного диска

Запускать проверку с уровнем безопасности:

  • Максимальная защита;
  • Рекомендуемый;
  • Максимальное быстродействие.

Действие при подключении съемного диска:

  • Подробная проверка;
  • Быстрая проверка.

Уровни безопасности KSWS соответствуют режимам проверки KES следующим образом:

  • Максимальная защита – Подробная проверка.
  • Рекомендуемый – Быстрая проверка.
  • Максимальное быстродействие – Быстрая проверка.

Права пользователей на управление программой

Kaspersky Endpoint Security не поддерживает назначение прав пользователей на управление программой и службами программы. Вы можете настроить параметры доступа пользователей и групп пользователей на управление программой в Kaspersky Security Center.

Права пользователей на управление службой Kaspersky Security Service

Kaspersky Endpoint Security не поддерживает назначение прав пользователей на управление программой и службами программы. Вы можете настроить параметры доступа пользователей и групп пользователей на управление программой в Kaspersky Security Center.

Хранилища

Параметры хранилищ KSWS мигрируют в раздел Общие настройки, подраздел Отчеты и хранилище, и в раздел Базовая защита, подраздел Защита от сетевых угроз.

Параметры хранилищ

Параметры Kaspersky Security для Windows Security

Параметры Kaspersky Endpoint Security для Windows

Папка резервного хранилища

(не поддерживается)

Kaspersky Endpoint Security сохраняет резервные копии файлов в папке C:\ProgramData\Kaspersky Lab\KES.21.7\QB.

Максимальный размер резервного хранилища (МБ)

Ограничить размер хранилища до N МБ (раздел Общие настройкиОтчеты и хранилище).

Порог доступного пространства (МБ)

(не поддерживается)

Kaspersky Endpoint Security регистрирует событие В хранилище карантина скоро закончится место при достижении порога 50 %.

Папка, в которую восстанавливаются объекты

(не поддерживается)

Kaspersky Endpoint Security восстанавливает файлы в папку исходного размещения.

Папка карантина

(не поддерживается)

Kaspersky Endpoint Security сохраняет резервные копии файлов в папке C:\ProgramData\Kaspersky Lab\KES.21.7\QB.

Максимальный размер карантина (МБ)

(не поддерживается)

Kaspersky Endpoint Security использует резервное хранилище для размещения возможно зараженных объектов. При миграции Kaspersky Endpoint Security игнорирует параметры карантина.

Порог доступного пространства (МБ)

(не поддерживается)

Kaspersky Endpoint Security использует резервное хранилище для размещения возможно зараженных объектов. При миграции Kaspersky Endpoint Security игнорирует параметры карантина.

Папка, в которую восстанавливаются объекты

(не поддерживается)

Kaspersky Endpoint Security восстанавливает файлы в папку исходного размещения.

Автоматически разблокировать через N

Добавить атакующий компьютер в список блокирования на N мин. (раздел Базовая защитаЗащита от сетевых угроз).

Постоянная защита сервера

Постоянная защита файлов

Параметры Постоянной защиты файлов KSWS мигрируют в раздел Базовая защита, подраздел Защита от файловых угроз.

Параметры Постоянной защиты файлов

Параметры Kaspersky Security для Windows Server

Параметры Kaspersky Endpoint Security для Windows

Режим защиты объектов:

  • Интеллектуальный режим;
  • При выполнении;
  • При открытии;
  • При открытии и изменении.

Режим проверки:

  • Интеллектуальный;
  • При выполнении;
  • При доступе;
  • При доступе и изменении.

Углубленный анализ запускаемых процессов

(не поддерживается)

Kaspersky Endpoint Security поддерживает только один режим анализа – оптимальный.

Эвристический анализатор:

  • Поверхностный;
  • Средний;
  • Глубокий.

Эвристический анализ:

  • Поверхностный;
  • Средний;
  • Глубокий.

Применять доверенную зону

(не поддерживается)

Kaspersky Endpoint Security применяет доверенную зону для всех компонентов. Вы можете настроить исключения в параметрах доверенной зоны.

Использовать KSN для защиты

(не поддерживается)

Kaspersky Endpoint Security использует KSN для всех компонентов приложения.

Блокировать доступ к сетевым файловым ресурсам для узлов, с которых ведется вредоносная активность

(не поддерживается)

Kaspersky Endpoint Security по умолчанию блокирует доступ к сетевым файловым ресурсам для узлов, с которых ведется вредоносная активность.

Запустить сканирование важных областей при обнаружении активного заражения

(не поддерживается)

Kaspersky Endpoint Security не запускает задачу проверки важных областей при обнаружении активного заражения.

Отправлять объекты в Kaspersky Sandbox

(не поддерживается)

Kaspersky Endpoint Security по умолчанию отправляет объекты на проверку в Kaspersky Sandbox.

Область защиты

Область Защиты от файловых угроз

Параметры расписания

(не поддерживается)

Kaspersky Endpoint Security использует собственное расписание приостановки Защиты от файловых угроз.

Использование KSN

Параметры Kaspersky Security Network KSWS мигрируют в раздел Продвинутая защита, подраздел Kaspersky Security Network.

Параметры Kaspersky Security Network

Параметры Kaspersky Security для Windows Server

Параметры Kaspersky Endpoint Security для Windows

Принять условия Положения о Kaspersky Security Network

Положение о Kaspersky Security Network

Kaspersky Endpoint Security предлагает принять условия Положения о Kaspersky Security Network при установке программы, создании новой политики или включении использования Kaspersky Security Network.

Разрешить отправку данных о проверяемых файлах

(не поддерживается)

Kaspersky Endpoint Security отправляет данные о проверяемых файлах автоматически, если использование KSN включено.

Разрешить отправку данных о запрашиваемых веб-адресах

(не поддерживается)

Kaspersky Endpoint Security отправляет данные о запрашиваемых веб-адресах автоматически, если использование KSN включено.

Разрешить отправку статистики Kaspersky Security Network

Включить расширенный режим KSN

Принять условия Положения о Kaspersky Managed Protection

(не поддерживается)

Служба KMP отсутствует в Kaspersky Endpoint Security.

Действия над объектами, недоверенными в KSN

(не поддерживается)

Вы можете настроить действие при обнаружении угрозы в параметрах компонентов защиты и задач проверки.

Не рассчитывать контрольную сумму для отправки в KSN, если размер файла превышает N МБ

(не поддерживается)

Вы можете настроить ограничения проверки файлов большого размера в параметрах компонентов защиты и задач проверки.

Использовать Kaspersky Security Center в качестве прокси-сервера KSN

Использовать KSN Proxy

Параметры расписания

(не поддерживается)

Настроить отдельное расписание работы для компонента невозможно. Компонент включен постоянно пока работает Kaspersky Endpoint Security.

Защита трафика

Параметры Защиты трафика KSWS мигрируют в раздел Базовая защита, подразделы Защита от веб-угроз и Защита от почтовых угроз, раздел Контроль безопасности, подраздел Веб-Контроль, раздел Общие настройки, подраздел Настройки сети.

Параметры Защиты трафика

Параметры Kaspersky Security для Windows Server

Параметры Kaspersky Endpoint Security для Windows

Применять правила контроля веб-страниц

Веб-Контроль (подраздел Веб-Контроль)

Правила контроля веб-страниц мигрируют в Kaspersky Endpoint Security в отдельные правила.

Применять правила контроля сертификатов

(не поддерживается)

Kaspersky Endpoint Security не поддерживает правила контроля сертификатов.

Применять правила категоризации веб-ресурсов

Веб-Контроль (подраздел Веб-Контроль)

Запрещающие правила категоризации веб-ресурсов мигрируют в Kaspersky Endpoint Security в одно запрещающее правило. Kaspersky Endpoint Security игнорирует разрешающие правила категоризации.

Соответствие категорий KSWS и KES представлено ниже.

Разрешать загрузку веб-страницы, если не удалось присвоить категорию

(не поддерживается)

Kaspersky Endpoint Security разрешает загрузку веб-страницы, если не удалось присвоить категорию.

Разрешать загрузку легальных веб-ресурсов, которые могут быть использованы для нанесения вреда защищаемому устройству

(не поддерживается)

Kaspersky Endpoint Security разрешает загрузку легальных веб-ресурсов, которые могут быть использованы для нанесения вреда защищаемому устройству.

Разрешать загрузку легальных рекламных веб-ресурсов

(не поддерживается)

Вы можете управлять загрузкой легальных рекламных веб-ресурсов с помощью категории веб-ресурсов Баннеры в параметрах Веб-Контроля.

Режим работы

(не поддерживается)

Kaspersky Endpoint Security работает только в режиме Драйверный перехват.

Параметры соединения с ICAP-службой

(не поддерживается)

Kaspersky Endpoint Security не поддерживает защиту ICAP-подключаемых сетевых хранилищ.

Проверять безопасные соединения по протоколу HTTPS

Проверять защищенные соединения / режим Проверять защищенные соединения по запросу компонентов защиты (подраздел Настройки сети)

Использовать версию крипто-протокола TLS

(не поддерживается)

Kaspersky Endpoint Security проверяет зашифрованный сетевой трафик, передаваемый по следующим протоколам:

  • SSL 3.0;
  • TLS 1.0, TLS 1.1, TLS 1.2, TLS 1.3.

Дополнительно вы можете заблокировать соединения по протоколу SSL 2.0 в параметрах проверки защищенных соединений.

Не доверять веб-серверу с невалидным сертификатом

При переходе на домен с недоверенным сертификатом (подраздел Настройки сети)

Перехватывать по портам (Область перехвата)

Контролируемые порты (подраздел Настройки сети)

Исключать по портам (Область перехвата)

Контролируемые порты (подраздел Настройки сети)

Исключать IP-адреса (Область перехвата)

Доверенные адреса (подраздел Настройки сети)

Исключать по приложениям (Область перехвата)

Контролируемые порты (подраздел Настройки сети)

Порт безопасности

(не поддерживается)

Проверять ссылки по базе вредоносных веб-адресов

Проверять веб-адрес по базе вредоносных веб-адресов (подраздел Защита от веб-угроз)

Проверять ссылки по базе фишинговых веб-адресов

Проверять веб-адрес по базе фишинговых веб-адресов (подраздел Защита от веб-угроз)

Использовать KSN для защиты

(не поддерживается)

Kaspersky Endpoint Security использует KSN для всех компонентов приложения.

Использовать Доверенную зону

(не поддерживается)

Kaspersky Endpoint Security применяет доверенную зону для всех компонентов. Вы можете настроить исключения в параметрах доверенной зоны.

Использовать эвристический анализатор

Использовать эвристический анализ (подразделы Защита от веб-угроз и Защита от почтовых угроз)

Уровень безопасности

(не поддерживается)

Kaspersky Endpoint Security имеет собственные уровни безопасности для работы компонентов Защита от веб-угроз и Защита от почтовых угроз. По умолчанию Kaspersky Endpoint Security устанавливает рекомендуемый уровень безопасности.

Защищать устройство от почтовых угроз

Защита от почтовых угроз (подраздел Защита от почтовых угроз)

Подключить расширение для Microsoft Outlook

Только входящие сообщения (Область защиты)

Проверять при получении (Защита почты)

Параметры расписания

(не поддерживается)

Настроить отдельное расписание работы для компонента невозможно. Компонент включен постоянно пока работает Kaspersky Endpoint Security.

Защита от эксплойтов

Параметры Защиты от эксплойтов KSWS мигрируют в раздел Продвинутая защита, подраздел Защита от эксплойтов.

Параметры Защиты от эксплойтов

Параметры Kaspersky Security для Windows Server

Параметры Kaspersky Endpoint Security для Windows

Защищать процессы от эксплуатации уязвимостей в режиме:

  • Завершать скомпрометированные процессы;
  • Только сообщать.

При обнаружении эксплойта:

  • Блокировать операцию;
  • Информировать.

Сообщать о скомпрометированных процессах посредством службы терминалов

(не поддерживается)

Kaspersky Endpoint Security не поддерживает службы терминалов.

Защищать процессы от эксплуатации уязвимостей вне зависимости от статуса службы Kaspersky Security Service

(не поддерживается)

Kaspersky Endpoint Security защищает процессы от эксплуатации уязвимостей постоянно.

Защищаемые процессы

Включить защиту памяти системных процессов

Kaspersky Endpoint Security не поддерживает выбор защищаемых процессов. Вы можете включить защиту памяти только системных процессов.

Техники защиты от эксплойтов:

  • Применять все доступные техники защиты от эксплойтов;
  • Применять указанные техники защиты от эксплойтов.

(не поддерживается)

Kaspersky Endpoint Security использует все доступные техники защиты от эксплойтов.

Защита от сетевых угроз

Параметры Защиты от сетевых угроз KSWS мигрируют в раздел Базовая защита, подраздел Защита от сетевых угроз.

Параметры Защиты от сетевых угроз

Параметры Kaspersky Security для Windows Server

Параметры Kaspersky Endpoint Security для Windows

Режим работы:

  • Не осуществлять мониторинг;
  • Только уведомлять об обнаруженных атаках;
  • Блокировать соединения при обнаружении атаки.

Защита от сетевых угроз

Если выбран режим Не осуществлять мониторинг, то Защита от сетевых угроз выключена.

Если выбран режим Только уведомлять об обнаруженных атаках или Блокировать соединения при обнаружении атаки, то Защита от сетевых угроз включена. Kaspersky Endpoint Security работает только в режиме Блокировать соединения при обнаружении атаки.

Не останавливать анализ трафика, если задача не исполняется

(не поддерживается)

Kaspersky Endpoint Security анализирует трафик постоянно, если компонент включен.

Не контролировать IP-адреса, указанные в исключениях

Исключения

Параметры расписания

(не поддерживается)

Настроить отдельное расписание работы для компонента невозможно. Компонент включен постоянно пока работает Kaspersky Endpoint Security.

Проверка скриптов

Kaspersky Endpoint Security не поддерживает работу компонента Проверка скриптов. Проверку скриптов выполняют другие компоненты программы, например, AMSI-защита.

Категории веб-сайтов

Kaspersky Endpoint Security поддерживает не все категории Kaspersky Security для Windows Server. Категории, которых нет в Kaspersky Endpoint Security, не мигрируют. Таким образом, правила категоризации веб-ресурсов с неподдерживаемыми категориями не мигрируют.

Категории веб-сайтов

Категории Kaspersky Security для Windows Server

Категории Kaspersky Endpoint Security для Windows

Wargaming

Видеоигры

Аборт

(не поддерживается)

Азартные игры (расширенная категория)

Азартные игры, лотереи, тотализаторы

Алкоголь

Алкоголь, табак, наркотики и психотропы

Анонимизация

Средства анонимного доступа

Анорексия

(не поддерживается)

Аренда недвижимости

(не поддерживается)

Аудио, видео и дистрибутивы

Программное обеспечение, аудио, видео

Банки

Банки

Блоги

Блоги

Вооруженные силы

Оружие, взрывчатые вещества, пиротехника

Дети

(не поддерживается)

Дискриминация

Насилие

Дом и семья

(не поддерживается)

Доменные и хостинговые сервисы

Общение в сети

Животные

(не поддерживается)

Закон и политика

Запрещено региональным законодательством

Запрещено Роскомнадзором (РФ)

Запрещено законодательством Российской Федерации

Запрещено Федеральным законом 435 (РФ)

Запрещено законодательством Российской Федерации

Запрещено законодательством РФ

Запрещено законодательством Российской Федерации

Запрещено мировым законодательством

Запрещено региональным законодательством

Знакомства для взрослых

Для взрослых

Интернет-сервисы

(не поддерживается)

Интим-магазины

Для взрослых

Информационные технологии

(не поддерживается)

Казино

Азартные игры, лотереи, тотализаторы

Книги

(не поддерживается)

Компьютерные игры

Видеоигры

Красота и здоровье

(не поддерживается)

Культура

(не поддерживается)

ЛГБТ

Для взрослых

Лотереи

Азартные игры, лотереи, тотализаторы

Медицина

(не поддерживается)

Мода

(не поддерживается)

Музыка

(не поддерживается)

Наркотики

Алкоголь, табак, наркотики и психотропы

Насилие

Насилие

Недовольство

(не поддерживается)

Незаконные препараты

Алкоголь, табак, наркотики и психотропы

Ненависть и дискриминация

Насилие

Нецензурная брань

Нецензурная лексика

Нижнее белье

Для взрослых

Новости

Новостные ресурсы

Нудизм

Для взрослых

Образование

(не поддерживается)

Онлайн магазины

Интернет-магазины

Онлайн общение

Общение в сети

Онлайн оплата

Платежные системы

Онлайн шоппинг (собственные системы оплаты)

Интернет-магазины

Онлайн энциклопедии

(не поддерживается)

Онлайн-банкинг

Банки

Оружие

Оружие, взрывчатые вещества, пиротехника

Охота и рыбалка

(не поддерживается)

Платежные системы

Платежные системы

Поиск работы

Поиск работы

Поисковые системы

(не поддерживается)

Политическое решение (JP)

Запрещено полицией Японии

Получено доверенное заключение (KPSN)

(не поддерживается)

Получено недоверенное заключение (KPSN)

(не поддерживается)

Порно

Для взрослых

Потоковое вещание

Новостные ресурсы

Почтовые веб-сервисы

Веб-почта

Путешествия

(не поддерживается)

Радио и телевидение

Новостные ресурсы

Реклама

Баннеры

Религия

Религии, религиозные объединения

Рестораны, кафе, еда

(не поддерживается)

Сайты знакомств

Сайты знакомств

Секс-образование

Для взрослых

Социальные сети

Социальные сети

Спорт

(не поддерживается)

Ставки

Азартные игры, лотереи, тотализаторы

Суицид

Насилие

Табак

Алкоголь, табак, наркотики и психотропы

Торрент

Торренты

Упомянуто в Федеральном списке экстремистских материалов (РФ)

Запрещено законодательством Российской Федерации

Файловые обменники

Файловые обменники

Фармакология

(не поддерживается)

Хобби и развлечения

(не поддерживается)

Чаты и форумы

Чаты, форумы, IM

Школы и университеты

(не поддерживается)

Эзотерика

(не поддерживается)

Экстремизм и расизм

Насилие

Электронная торговля

Интернет-магазины

Эротика

Для взрослых

Юмор

(не поддерживается)

Контроль активности на серверах

Контроль запуска программ

Параметры Контроля программ KSWS мигрируют в раздел Контроль безопасности, подраздел Контроль приложений.

Параметры Контроля программ

Параметры Kaspersky Security для Windows Server

Параметры Kaspersky Endpoint Security для Windows

Режим работы:

  • Только статистика;
  • Активный.

Действие (Контроля приложений):

  • Тестировать правила;
  • Применять правила.

Обрабатывать повторные запуски контролируемых программ по схеме обработки первого запуска

(не поддерживается)

Kaspersky Endpoint Security проверяет программу при каждой попытке ее запуска.

Запрещать запуск командных интерпретаторов без команды к исполнению

(не поддерживается)

Kaspersky Endpoint Security разрешает запуск командных интерпретаторов, если их запуск не запрещен правилами Контроля программ.

Правила

(не поддерживается)

Kaspersky Endpoint Security имеет собственные инструменты добавления приложений в правила Контроля приложений.

По умолчанию Контроль приложений создает два разрешающих правила: Приложения ОС (включено) и Доверенные приложения обновления (выключено).

Использовать правила для исполняемых файлов

(не поддерживается)

Kaspersky Endpoint Security позволяет создавать правила Контроля программ, в которых вы можете выбрать исполняемые файлы.

Контролировать загрузку DLL-модулей

Контролировать загрузку DLL-модулей (значительно увеличивает нагрузку на систему)

Использовать правила для скриптов и пакетов MSI

(не поддерживается)

Kaspersky Endpoint Security позволяет создавать правила Контроля программ, в которых вы можете использовать правила для скриптов, пакетов MSI и других файлов, указанных в правиле.

Запрещать запуск программ, недоверенных в KSN

(не поддерживается)

Kaspersky Endpoint Security не учитывает репутацию программ и разрешает или запрещает запуск программ в соответствии с правилами.

Разрешать запуск программ, доверенных в KSN

Разрешающее правило Контроля приложений, в которое включена KL-категория Другие программыПрограммы, доверенные согласно репутации в KSN

Пользователи и / или группы пользователей, которым разрешен запуск доверенных в KSN программ

Субъекты и их права в разрешающем правиле Контроля приложений, в которое включена KL-категория Другие программыПрограммы, доверенные согласно репутации в KSN

Автоматически разрешать распространение с помощью указанных программ и пакетов установки

(не поддерживается)

Kaspersky Endpoint Security позволяет создавать правила Контроля программ, в которых вы можете выбрать доверенные программы обновления.

Всегда разрешать распространение программ с помощью установщика Windows

(не поддерживается)

Kaspersky Endpoint Security позволяет создавать правила Контроля программ, в которых вы можете выбрать доверенные программы обновления.

Всегда разрешать распространение программ через SCCM с помощью фоновой интеллектуальной службы передачи

(не поддерживается)

Kaspersky Endpoint Security позволяет создавать правила Контроля программ, в которых вы можете выбрать доверенные программы обновления.

Список программ и пакетов установки, разрешенных к запуску

(не поддерживается)

Kaspersky Endpoint Security позволяет создавать правила Контроля программ, в которых вы можете выбрать доверенные программы обновления.

Параметры расписания

Настроить отдельное расписание работы для компонента невозможно. Компонент включен постоянно пока работает Kaspersky Endpoint Security.

Контроль устройств

Параметры Контроля устройств KSWS мигрируют в раздел Контроль безопасности, подраздел Контроль устройств.

Параметры Контроля устройств

Параметры Kaspersky Security для Windows Server

Параметры Kaspersky Endpoint Security для Windows

Режим работы:

  • Активный;
  • Только статистика.

(не поддерживается)

Контроль устройств работает в режиме Активный. Статистику подключения устройств предоставляет Аудит программы постоянно.

Разрешать использование всех запоминающих устройств, если задача Контроль устройств не выполняется

(не поддерживается)

Контроль устройств работает постоянно, если запущена программа Kaspersky Endpoint Security.

Правила контроля устройств

Доверенные устройства

При миграции Kaspersky Endpoint Security игнорирует выключенные правила KSWS.

Параметры расписания

(не поддерживается)

Kaspersky Endpoint Security использует собственное расписание для доступа к некоторым типам устройств.

Защита сетевых хранилищ

Защита RPC-подключаемых сетевых хранилищ

Kaspersky Endpoint Security не поддерживает работу компонентов защиты подключаемых сетевых хранилищ. Защиту подключаемых сетевых хранилищ выполняют другие компоненты программы, например, Защита от сетевых угроз.

Защита ICAP-подключаемых сетевых хранилищ

Kaspersky Endpoint Security не поддерживает работу компонентов защиты подключаемых сетевых хранилищ. Защиту подключаемых сетевых хранилищ выполняют другие компоненты программы, например, Защита от сетевых угроз.

Защита от шифрования для NetApp

Kaspersky Endpoint Security не поддерживает работу компонента Защита от шифрования для NetApp. Защиту от шифрования выполняют другие компоненты программы, например, Анализ поведения.

Контроль активности в сети

Управление сетевым экраном

Kaspersky Endpoint Security не поддерживает управление сетевым экраном KSWS. Функции Сетевого экрана KSWS выполняет системный Сетевой экран. После миграции вы можете настроить Сетевой экран Kaspersky Endpoint Security.

Защита от шифрования

Параметры Защиты от шифрования KSWS мигрируют в раздел Продвинутая защита, подраздел Анализ поведения.

Параметры Защиты от шифрования

Параметры KSWS

Параметры KES

Режим работы:

  • Только статистика;
  • Активный.

При обнаружении внешнего шифрования папок общего доступа:

  • Информировать;
  • Блокировать соединение.

Эвристический анализатор

(не поддерживается)

Kaspersky Endpoint Security не использует технологию эвристического анализа для работы Анализа поведения.

Параметры области защиты:

  • Все общие сетевые папки защищаемого устройства;
  • Только указанные общие папки.

(не поддерживается)

Kaspersky Endpoint Security защищает от шифрования все общие сетевые папки защищаемого компьютера.

Исключения

(не поддерживается)

Kaspersky Endpoint Security имеет собственные исключения для компонента Анализ поведения. Вы можете добавить исключения вручную после миграции.

Параметры расписания

(не поддерживается)

Настроить отдельное расписание работы для компонента невозможно. Компонент включен постоянно пока работает Kaspersky Endpoint Security.

Диагностика системы

Мониторинг файловых операций

Kaspersky Endpoint Security не поддерживает работу компонента Мониторинг файловых операций. Kaspersky Endpoint Security позволяет отслеживать файловые события в операционной системе с помощью компонента Мониторинг активности программ.

Анализ журналов

Kaspersky Endpoint Security не поддерживает работу компонента Анализ журналов. Анализ журналов выполняют другие компоненты программы, например, Адаптивный контроль аномалий.

Журналы и уведомления

Журналы выполнения задач

Параметры журналов KSWS мигрируют в раздел Общие настройки, подразделы Интерфейс и Отчеты и хранилище.

Параметры журналов

Параметры Kaspersky Security для Windows Server

Параметры Kaspersky Endpoint Security для Windows

Запись событий в журнал

Уведомления (подраздел Интерфейс)

Папка с журналами

(не поддерживается)

Kaspersky Endpoint Security сохраняет отчеты в папку C:\ProgramData\Kaspersky Lab\KES.21.7\Report.

Удалять журналы выполнения задач старше, чем N сут

(не поддерживается)

Вы можете настроить срок хранения отчетов KES в разделе Общие настройки, подраздел Отчеты и хранилище.

Удалять события журнала системного аудита старше, чем N сут

(не поддерживается)

Kaspersky Endpoint Security применяет ограничение хранения отчетов ко всем отчетам, включая отчеты системного аудита.

Интеграция с SIEM

(не поддерживается)

Вы можете настроить интеграцию с SIEM в Kaspersky Security Center.

Уведомления о событиях

Параметры уведомлений KSWS мигрируют в раздел Общие настройки, подраздел Интерфейс.

Параметры уведомлений

Параметры Kaspersky Security для Windows Server

Параметры Kaspersky Endpoint Security для Windows

Уведомления

Уведомления

Уведомление пользователей:

  • Средствами службы терминалов;
  • Средствами службы сообщений.

(не поддерживается)

Kaspersky Endpoint Security не поддерживает изменение текста уведомлений. Kaspersky Endpoint Security показывает стандартные уведомления программы.

Уведомление администраторов:

  • Средствами службы сообщений;
  • Путем запуска исполняемого файла;
  • По электронной почте.

В Kaspersky Endpoint Security мигрируют только параметры отправки уведомлений по электронной почте Настройка почтовых уведомлений (блок Уведомления). Остальные способы уведомления администраторов не поддерживаются.

Базы программы устарели

Отправлять уведомление "Базы устарели", если базы не обновлялись

Базы программы сильно устарели

Отправлять уведомление "Базы сильно устарели", если базы не обновлялись

Проверка важных областей защищаемого устройства давно не выполнялась

(не поддерживается)

Kaspersky Endpoint Security формирует событие пропущенной проверки важных областей через три дня.

Взаимодействие с Сервером администрирования

Параметры взаимодействия с Сервером администрирования KSWS мигрируют в раздел Общие настройки, подраздел Отчеты и хранилище.

Параметры взаимодействия с Сервером администрирования

Параметры Kaspersky Security для Windows Server

Параметры Kaspersky Endpoint Security для Windows

Данные об объектах карантина

О файлах карантина

Данные об объектах резервного хранилища

О файлах резервного хранилища

Данные о блокированных хостах

(не поддерживается)

Kaspersky Endpoint Security отправляет данные о блокированных хостах автоматически.

Задачи

Активация программы

Параметры задачи Активация программы (KSWS) мигрируют в задачу Добавление ключа (KES).

Параметры задачи активации программы

Параметры Kaspersky Security для Windows Server

Параметры Kaspersky Endpoint Security для Windows

Активировать программу с помощью кода активации

Код активации

Активировать программу с помощью ключа или файла ключа

Файл ключа или ключ

Использовать в качестве дополнительного ключа

Добавить ключ в качестве резервного

Копирование обновлений

Параметры задачи Копирование обновлений (KSWS) мигрируют в задачу Обновление (KES).

Параметры задачи копирования обновлений

Параметры Kaspersky Security для Windows Server

Параметры Kaspersky Endpoint Security для Windows

Источник обновлений:

  • Сервер администрирования Kaspersky Security Center;
  • Серверы обновлений "Лаборатории Касперского";
  • Другие HTTP-, FTP-серверы или сетевые ресурсы.

Источник обновлений:

  • Kaspersky Security Center;
  • Серверы обновлений "Лаборатории Касперского";
  • Задан пользователем.

Использовать серверы обновлений "Лаборатории Касперского", если серверы, указанные пользователем, недоступны

(не поддерживается)

Kaspersky Endpoint Security позволяет выбрать несколько источников обновлений, включая серверы обновлений "Лаборатории Касперского". Если первый источник обновлений не доступен, Kaspersky Endpoint Security позволяет получить обновления от другого источника из списка.

Использовать параметры прокси-сервера для соединения с серверами обновлений "Лаборатории Касперского"

(не поддерживается)

Kaspersky Endpoint Security использует прокси-сервер для работы всех компонентов. Вы можете настроить подключение к прокси-серверу в параметрах сети программы.

Использовать параметры прокси-сервера для соединения с другими серверами

(не поддерживается)

Kaspersky Endpoint Security использует прокси-сервер для работы всех компонентов. Вы можете настроить подключение к прокси-серверу в параметрах сети программы.

Параметры копирования обновлений:

  • Копировать обновления баз программы
  • Копировать критические обновления модулей программы
  • Копировать обновления баз программы и критические обновления модулей программы

(не поддерживается)

Папка для локального хранения скопированных обновлений

Копировать обновления в папку

Мониторинг целостности файлов на основе эталона

Kaspersky Endpoint Security не поддерживает работу задачи Мониторинг целостности файлов на основе эталона.

Обновление баз программы

Параметры задачи Обновление баз программы (KSWS) мигрируют в задачу Обновление (KES).

Параметры задачи обновления баз программы

Параметры Kaspersky Security для Windows Server

Параметры Kaspersky Endpoint Security для Windows

Источник обновлений:

  • Сервер администрирования Kaspersky Security Center;
  • Серверы обновлений "Лаборатории Касперского";
  • Другие HTTP-, FTP-серверы или сетевые ресурсы.

Источник обновлений:

  • Kaspersky Security Center;
  • Серверы обновлений "Лаборатории Касперского";
  • Задан пользователем.

Использовать серверы обновлений "Лаборатории Касперского", если серверы, указанные пользователем, недоступны

(не поддерживается)

Kaspersky Endpoint Security позволяет выбрать несколько источников обновлений, включая серверы обновлений "Лаборатории Касперского". Если первый источник обновлений не доступен, Kaspersky Endpoint Security позволяет получить обновления от другого источника из списка.

Использовать параметры прокси-сервера для соединения с серверами обновлений "Лаборатории Касперского"

(не поддерживается)

Kaspersky Endpoint Security использует прокси-сервер для работы всех компонентов. Вы можете настроить подключение к прокси-серверу в параметрах сети приложения.

Использовать параметры прокси-сервера для соединения с другими серверами

(не поддерживается)

Kaspersky Endpoint Security использует прокси-сервер для работы всех компонентов. Вы можете настроить подключение к прокси-серверу в параметрах сети приложения.

Снизить нагрузку на дисковую подсистему

(не поддерживается)

Обновление модулей программы

Параметры задачи Обновление модулей программы (KSWS) мигрируют в задачу Обновление (KES).

Параметры задачи обновления модулей программы

Параметры Kaspersky Security для Windows Server

Параметры Kaspersky Endpoint Security для Windows

Источник обновлений:

  • Сервер администрирования Kaspersky Security Center;
  • Серверы обновлений "Лаборатории Касперского";
  • Другие HTTP-, FTP-серверы или сетевые ресурсы.

Источник обновлений:

  • Kaspersky Security Center;
  • Серверы обновлений "Лаборатории Касперского";
  • Задан пользователем.

Использовать серверы обновлений "Лаборатории Касперского", если серверы, указанные пользователем, недоступны

(не поддерживается)

Kaspersky Endpoint Security позволяет выбрать несколько источников обновлений, включая серверы обновлений "Лаборатории Касперского". Если первый источник обновлений не доступен, Kaspersky Endpoint Security позволяет получить обновления от другого источника из списка.

Использовать параметры прокси-сервера для соединения с серверами обновлений "Лаборатории Касперского"

(не поддерживается)

Kaspersky Endpoint Security использует прокси-сервер для работы всех компонентов. Вы можете настроить подключение к прокси-серверу в параметрах сети программы.

Использовать параметры прокси-сервера для соединения с другими серверами

(не поддерживается)

Kaspersky Endpoint Security использует прокси-сервер для работы всех компонентов. Вы можете настроить подключение к прокси-серверу в параметрах сети программы.

Копировать и устанавливать критические обновления модулей программы

Устанавливать критические и одобренные обновления

Только проверять наличие доступных критических обновлений модулей программы

(не поддерживается)

Kaspersky Endpoint Security проверяет наличие доступных критических обновлений модулей приложений постоянно.

Разрешать перезагрузку операционной системы

(не поддерживается)

Kaspersky Endpoint Security запрашивает у пользователя разрешение на перезагрузку компьютера.

Получать информацию о доступных плановых обновлениях модулей программы

(не поддерживается)

Kaspersky Endpoint Security показывает уведомления об обновлениях программных модулей.

Откат обновления баз программы

Параметры задачи Откат обновления баз программы (KSWS) мигрируют в задачу Откат обновления (KES). Новая задача Откат обновления (KES) имеет расписание запуска задачи – вручную.

Проверка по требованию

Параметры задачи Проверка по требованию (KSWS) мигрируют в задачу Антивирусная проверка (KES).

Параметры задачи антивирусной проверки

Параметры Kaspersky Security для Windows Server

Параметры Kaspersky Endpoint Security для Windows

Область проверки

Область проверки

Уровень безопасности:

  • Максимальная защита;
  • Рекомендуемый;
  • Максимальное быстродействие.

Уровень безопасности:

  • Высокий;
  • Рекомендуемый;
  • Низкий.

Параметры уровней безопасности KSWS и KES отличаются.

Объекты проверки:

  • Все объекты;
  • Объекты, проверяемые по формату;
  • Объекты, проверяемые по списку расширений, указанному в антивирусных базах;
  • Объекты, проверяемые по указанному списку расширений.

Типы файлов:

  • Все файлы;
  • Файлы, проверяемые по формату;
  • Файлы, проверяемые по расширению.

Kaspersky Endpoint Security не позволяет создавать пользовательские списки расширений. Вместо значения Объекты, проверяемые по указанному списку расширений Kaspersky Endpoint Security установит значение Файлы, проверяемые по расширению.

Вложенные папки

Включая вложенные папки

Вложенные файлы

(не поддерживается)

Загрузочные секторы дисков и MBR

(не поддерживается)

Альтернативные потоки NTFS

(не поддерживается)

Проверка только новых и измененных файлов

Проверять только новые и измененные файлы

Проверка составных объектов:

  • Все архивы;
  • Все SFX-архивы;
  • Все почтовые базы;
  • Все упакованные объекты;
  • Все файлы почтовых форматов;
  • Все вложенные OLE-объекты.

Проверка составных файлов:

  • Проверять архивы;
  • Проверять архивы, защищенные паролем;
  • Проверять дистрибутивы;
  • Проверять файлы почтовых форматов;
  • Проверять файлы офисных форматов.

Действия над зараженными и другими обнаруженными объектами:

  • Лечить;
  • Лечить. Удалять, если не удалось;
  • Удалять;
  • Выполнять рекомендуемое действие;
  • Только сообщать.

Действие при обнаружении угрозы:

  • Лечить; удалять, если лечение невозможно;
  • Лечить; информировать, если лечение невозможно;
  • Информировать.

Действия над возможно зараженными объектами:

  • Помещать на карантин;
  • Удалять;
  • Выполнять рекомендуемое действие;
  • Только сообщать.

(не поддерживается)

Kaspersky Endpoint Security применяет действие при обнаружении любой угрозы.

Выполнять действия в зависимости от типа обнаруженного объекта

(не поддерживается)

Полностью удалять составной файл при обнаружении вложенного объекта, если составной файл не может быть изменен программой

(не поддерживается)

Исключать файлы

(не поддерживается)

Kaspersky Endpoint Security применяет доверенную зону для всех компонентов. Вы можете настроить исключения в параметрах доверенной зоны.

Не обнаруживать

(не поддерживается)

Останавливать проверку, если она длится более N сек

Проверять архивы, защищенные паролем N с

Не проверять составные объекты размером более N МБ

Не распаковывать составные файлы большого размера

Использовать технологию iSwift

Технология iSwift

Использовать технологию iChecker

Технология iChecker

Действия над автономными файлами:

  • Не проверять;
  • Проверять только резидентную часть файла;
  • Проверять файл полностью;
  • Только если к файлу производилось обращение в указанный период (сут);
  • Не копировать файл на локальный жесткий диск, если возможно.

(не поддерживается)

Kaspersky Endpoint Security проверяет автономные файлы полностью.

 

Проверка целостности программы

Параметры задачи Проверка целостности программы (KSWS) мигрируют в задачу Проверка целостности (KES).

Формирование правил контроля запуска программ

Kaspersky Endpoint Security не поддерживает работу задачи Формирование правил контроля запуска программ. Вы можете сформировать правила в параметрах Контроля программ.

Формирование правил контроля устройств

Kaspersky Endpoint Security не поддерживает работу задачи Формирование правил контроля устройств. Вы можете сформировать правила доступа в параметрах Контроля устройств.

В начало

[Topic 184545]

Управление приложением из командной строки

Вы можете управлять Kaspersky Endpoint Security из командной строки. Вы можете просмотреть список команд для управления приложением с помощью команды HELP. Чтобы получить справку по синтаксису конкретной команды, введите HELP <команда>.

Специальные символы в команде нужно экранировать. Для экранирования символов &, |, (, ), <, >, ^ используйте символ ^ (например, чтобы использовать символ & введите ^&). Для экранирования символа %, введите %%.

В этом разделе справки

Установка приложения

Активация приложения

Удаление приложения

Команды AVP

Команды KESCLI

Команды управления Detection and Response

Коды ошибок

Приложение. Профили приложения
В начало

[Topic 123468]

Установка приложения

Установку Kaspersky Endpoint Security из командной строки можно выполнить в одном из следующих режимов:

  • В интерактивном режиме с помощью мастера установки приложения.
  • В тихом режиме. После запуска установки в тихом режиме ваше участие в процессе установки не требуется. Для установки приложения в тихом режиме используйте ключи /s и /qn.

    Перед установкой приложения в тихом режиме откройте и прочитайте Лицензионное соглашение и текст Политики конфиденциальности. Лицензионное соглашение и текст Политики конфиденциальности входят в комплект поставки Kaspersky Endpoint Security. Приступайте к установке приложения, только если вы полностью прочитали, понимаете и принимаете положения и условия Лицензионного соглашения, если вы понимаете и соглашаетесь, что ваши данные будут обрабатываться и пересылаться (в том числе в третьи страны), согласно Политике конфиденциальности, если вы полностью прочитали и понимаете Политику конфиденциальности. Если вы не принимаете положения и условия Лицензионного соглашения и Политику конфиденциальности, не устанавливайте и не используйте Kaspersky Endpoint Security.

Чтобы установить приложение или обновить предыдущую версию приложения, выполните следующие действия:

  1. Запустите интерпретатор командной строки cmd от имени администратора.
  2. Перейдите в папку, в которой расположен дистрибутив Kaspersky Endpoint Security.
  3. Выполните команду:

    setup_kes.exe /pEULA=1 /pPRIVACYPOLICY=1 [/pKSN=1|0] [/pALLOWREBOOT=1] [/pSKIPPRODUCTCHECK=1] [/pSKIPPRODUCTUNINSTALL=1] [/pKLLOGIN=<имя пользователя> /pKLPASSWD=<пароль> /pKLPASSWDAREA=<область действия пароля>] [/pENABLETRACES=1|0 /pTRACESLEVEL=<уровень трассировки>] [/s]

    или

    msiexec /i <название дистрибутива> EULA=1 PRIVACYPOLICY=1 [KSN=1|0] [ALLOWREBOOT=1] [SKIPPRODUCTCHECK=1] [KLLOGIN=<имя пользователя> KLPASSWD=<пароль> KLPASSWDAREA=<область действия пароля>] [ENABLETRACES=1|0 TRACESLEVEL=<уровень трассировки>] [/qn]

В результате приложение будет установлено на компьютер. Вы можете убедиться, что приложение установлено, и проверить параметры приложения с помощью команды status.

Параметры установки приложения

EULA=1

Согласие с положениями Лицензионного соглашения. Текст Лицензионного соглашения входит в комплект поставки Kaspersky Endpoint Security.

Согласие с положениями Лицензионного соглашения является необходимым условием для установки приложения или обновления версии приложения.

PRIVACYPOLICY=1

Согласие с Политикой конфиденциальности. Текст Политики конфиденциальности входит в комплект поставки Kaspersky Endpoint Security.

Согласие с Политикой конфиденциальности является необходимым условием для установки приложения или обновления версии приложения.

KSN

Согласие или отказ участвовать в Kaspersky Security Network (KSN). Если параметр не указан, Kaspersky Endpoint Security запросит подтверждения участия в KSN при первом запуске приложения. Возможные значения:

  • 1 – согласие участвовать в KSN.
  • 0 – отказ участвовать в KSN (значение по умолчанию).

Дистрибутив Kaspersky Endpoint Security оптимизирован для использования Kaspersky Security Network. Если вы отказались от участия в Kaspersky Security Network, то сразу после завершения установки обновите Kaspersky Endpoint Security.

ALLOWREBOOT=1

Автоматическая перезагрузка компьютера после установки или обновления приложения, если требуется. Если параметр не задан, автоматическая перезагрузка компьютера запрещена.

При установке Kaspersky Endpoint Security перезагрузка не требуется. Перезагрузка требуется, только если перед установкой необходимо удалить несовместимые приложения. Также перезагрузка может потребоваться при обновлении версии приложения.

SKIPPRODUCTCHECK=1

Выключение проверки на наличие несовместимого ПО. Список несовместимого ПО приведен в файле incompatible.txt в комплекте поставки. Если параметр не задан, при обнаружении несовместимого ПО установка Kaspersky Endpoint Security будет прекращена.

SKIPPRODUCTUNINSTALL=1

Запрет на автоматическое удаление найденного несовместимого ПО. Если параметр не задан, Kaspersky Endpoint Security пытается удалить несовместимое ПО.

Включить автоматическое удаление несовместимого ПО при установке Kaspersky Endpoint Security с помощью установщика msiexec невозможно. Для автоматического удаления несовместимого ПО используйте файл setup_kes.exe.

KLLOGIN

Установка имени пользователя для доступа к управлению функциями и параметрами Kaspersky Endpoint Security (компонент Защита паролем). Имя пользователя устанавливается вместе с параметрами KLPASSWD и KLPASSWDAREA. По умолчанию используется имя пользователя KLAdmin.

KLPASSWD

Установка пароля для доступа к управлению функциями и параметрами Kaspersky Endpoint Security (пароль устанавливается вместе с параметрами KLLOGIN и KLPASSWDAREA).

Если вы указали пароль, но не задали имя пользователя с помощью параметра KLLOGIN, то по умолчанию используется имя пользователя KLAdmin.

KLPASSWDAREA

Определение области действия пароля для доступа к Kaspersky Endpoint Security. При попытке пользователя выполнить действие из этой области Kaspersky Endpoint Security запрашивает учетные данные пользователя (параметры KLLOGIN и KLPASSWD). Для указания множественного значения используйте символ ";". Возможные значения:

  • SET – изменение параметров приложения.
  • EXIT – завершение работы приложения.
  • DISPROTECT – выключение компонентов защиты и остановка задач проверки.
  • DISPOLICY – выключение политики Kaspersky Security Center.
  • UNINST – удаление приложения с компьютера.
  • DISCTRL – выключение компонентов контроля.
  • REMOVELIC – удаление ключа.
  • REPORTS – просмотр отчетов.

ENABLETRACES

Включение или выключение трассировки приложения. После запуска Kaspersky Endpoint Security приложение сохраняет файлы трассировки в папке %ProgramData%\Kaspersky Lab\KES\Traces. Возможные значения:

  • 1 – трассировка включена.
  • 0 – трассировка выключена (значение по умолчанию).

TRACESLEVEL

Уровень детализации трассировки. Возможные значения:

  • 100 (критический). Только сообщения о неустранимых ошибках.
  • 200 (высокий). Сообщения обо всех ошибках, включая неустранимые.
  • 300 (диагностический). Сообщения обо всех ошибках, а также предупреждения.
  • 400 (важный). Сообщения обо всех ошибках, предупреждения, а также дополнительная информация.
  • 500 (обычный). Сообщения обо всех ошибках, предупреждениях, а также подробная информация о работе приложения в нормальном режиме (значение по умолчанию).
  • 600 (низкий). Все сообщения.

AMPPL

Включение или выключение защиты процессов Kaspersky Endpoint Security с использованием технологии AM-PPL (Antimalware Protected Process Light). Подробнее о технологии AM-PPL см. на сайте Microsoft.

Технология AM-PPL доступна для операционных систем Windows 10 версии 1703 (RS2) и выше, Windows Server 2019.

Возможные значения:

  • 1 – защита процессов Kaspersky Endpoint Security с использованием технологии AM-PPL включена (значение по умолчанию).
  • 0 – защита процессов Kaspersky Endpoint Security с использованием технологии AM-PPL выключена.

UPGRADEMODE

Режим обновления версии приложения:

  • Seamless – обновление приложения с перезагрузкой компьютера (значение по умолчанию).
  • Force – обновление приложения без перезагрузки.

Вы можете обновлять версию приложения без перезагрузки начиная с версии 11.10.0. Для обновление более ранних версий приложения необходимо выполнять перезагрузку компьютера.

RESTAPI

Управление приложением через REST API. Для управления приложением через REST API обязательно нужно задать имя пользователя (параметр RESTAPI_User).

Возможные значения:

  • 1 – управление через REST API разрешено.
  • 0 – управление через REST API запрещено (значение по умолчанию).

Для управления приложением через REST API должно быть разрешено управление с помощью систем администрирования. Для этого задайте параметр AdminKitConnector=1. Если вы управляете приложением через REST API, управлять приложением с помощью систем администрирования "Лаборатории Касперского" невозможно.

RESTAPI_User

Имя пользователя доменной учетной записи Windows для управления приложением через REST API. Управление приложением через REST API доступно только этому пользователю. Введите имя пользователя в формате <DOMAIN>\<UserName> (например, RESTAPI_User=COMPANY\Administrator). Для работы с REST API вы можете выбрать только одного пользователя.

Добавление имени пользователя является необходимым условием для управления приложением через REST API.

RESTAPI_Port

Порт для управления приложением через REST API. По умолчанию используется порт 6782.

RESTAPI_Certificate

Сертификат для идентификации запросов (например, RESTAPI_Certificate=C:\cert.pem). Для безопасной работы Kaspersky Endpoint Security с REST-клиентом вам нужно настроить идентификацию запросов. Для этого вам нужно установить сертификат и в дальнейшем подписывать полезные данные каждого запроса.

ADMINKITCONNECTOR

Управление приложением с помощью систем администрирования. К системам администрирования относится, например, Kaspersky Security Center. Кроме систем администрирования "Лаборатории Касперского" вы можете использовать сторонние решения. Для этого Kaspersky Endpoint Security предоставляет API.

Возможные значения:

  • 1 – управление приложением c помощью систем администрирования разрешено (значение по умолчанию).
  • 0 – разрешено управление приложением только через локальный интерфейс.

Пример:

setup_kes.exe /pEULA=1 /pPRIVACYPOLICY=1 /pKSN=1 /pALLOWREBOOT=1

msiexec /i kes_win.msi EULA=1 PRIVACYPOLICY=1 KSN=1 KLLOGIN=Admin KLPASSWD=Password KLPASSWDAREA=EXIT;DISPOLICY;UNINST /qn

setup_kes.exe /pEULA=1 /pPRIVACYPOLICY=1 /pKSN=1 /pENABLETRACES=1 /pTRACESLEVEL=600 /s

После установки приложения Kaspersky Endpoint Security происходит активация по пробной лицензии, если вы не указали код активации в файле setup.ini. Пробная лицензия обычно имеет небольшой срок действия. По истечении срока действия пробной лицензии Kaspersky Endpoint Security прекращает выполнять все свои функции. Чтобы продолжить использование приложения, вам нужно активировать приложение по коммерческой лицензии с помощью мастера активации приложения или специальной команды.

Во время установки приложения или обновления версии приложения в тихом режиме поддерживается использование следующих файлов:

  • setup.ini – общие параметры установки приложения;
  • install.cfg – параметры работы Kaspersky Endpoint Security;
  • setup.reg – ключи реестра.

    Запись ключей реестра из файла setup.reg в реестр осуществляется, только если в файле setup.ini указано значение setup.reg для параметра SetupReg. Файл setup.reg формируется специалистами "Лаборатории Касперского". Не рекомендуется изменять содержимое этого файла.

Чтобы применить параметры из файлов setup.ini, install.cfg и setup.reg, разместите эти файлы в папке с дистрибутивом Kaspersky Endpoint Security. Также вы можете разместить файл setup.reg в другой папке. В этом случае вам нужно указать путь к файлу в команде установки приложения: SETUPREG=<путь к файлу setup.reg>.

В начало

[Topic 123476]

Активация приложения

Чтобы активировать приложение с помощью командной строки,

введите в командной строке:

avp.com license /add <код активации или файл ключа> [/login=<имя пользователя> /password=<пароль>]

Учетные данные пользователя (/login=<имя пользователя> /password=<пароль>) нужно ввести, если включена Защита паролем.

В начало

[Topic 123471]

Удаление приложения

Удаление Kaspersky Endpoint Security из командной строки можно выполнить в одном из следующих режимов:

  • В интерактивном режиме с помощью мастера установки приложения.
  • В тихом режиме. После запуска удаления в тихом режиме ваше участие в процессе удаления не требуется. Для удаления приложения в тихом режиме используйте ключи /s и /qn.

Чтобы удалить приложение в тихом режиме, выполните следующие действия:

  1. Запустите интерпретатор командной строки cmd от имени администратора.
  2. Перейдите в папку, в которой расположен дистрибутив Kaspersky Endpoint Security.
  3. Выполните команду:
    • Если операция удаления не защищена паролем:

      setup_kes.exe /s /x

      или

      msiexec.exe /x <GUID> /qn

      где <GUID> – уникальный идентификатор приложения. Вы можете узнать GUID приложения с помощью команды:

      wmic product where "Name like '%Kaspersky Endpoint Security%'" get Name, IdentifyingNumber

    • Если операция удаления защищена паролем:

      setup_kes.exe /pKLLOGIN=<имя пользователя> /pKLPASSWD=<пароль> /s /x

      или

      msiexec.exe /x <GUID> KLLOGIN=<имя пользователя> KLPASSWD=<пароль> /qn

    Пример:

    msiexec.exe /x {9A017278-F7F4-4DF9-A482-0B97B70DD7ED} KLLOGIN=KLAdmin KLPASSWD=!Password1 /qn

В начало

[Topic 141652]

Команды AVP

Чтобы управлять Kaspersky Endpoint Security из командной строки, выполните следующие действия:

  1. Запустите интерпретатор командной строки cmd от имени администратора.
  2. Перейдите в папку, в которой расположен исполняемый файл Kaspersky Endpoint Security.
  3. Используйте следующий шаблон для выполнения команды:

    avp.com <команда> [параметры]

В результате Kaspersky Endpoint Security выполнит команду (см. рис. ниже).

Управление приложения из командной строки

В этом разделе

SCAN. Антивирусная проверка

UPDATE. Обновление баз и модулей приложения

ROLLBACK. Откат последнего обновления

TRACES. Трассировка

START. Запуск профиля

STOP. Остановка профиля

STATUS. Статус профиля

STATISTICS. Статистика выполнения профиля

RESTORE. Восстановление файлов из резервного хранилища

EXPORT. Экспорт параметров приложения

IMPORT. Импорт параметров приложения

ADDKEY. Применение файла ключа

LICENSE. Лицензирование

RENEW. Приобретение лицензии

PBATESTRESET. Сбросить результаты проверки перед шифрованием диска

EXIT. Завершение работы приложения

EXITPOLICY. Выключение политики

STARTPOLICY. Включение политики

DISABLE. Выключение защиты

SPYWARE. Обнаружение шпионского ПО

KSN. Переключение Глобальный / Локальный KSN
В начало

[Topic 181236]

SCAN. Антивирусная проверка

Запустить задачу антивирусной проверки.

Синтаксис команды

SCAN [<область проверки>] [<действие при обнаружении угрозы>] [<типы файлов>] [<исключения из проверки>] [/R[A]:<файл отчета>] [<технологии проверки>] [/C:<файл с параметрами антивирусной проверки>]

Область проверки

 

<файлы для проверки>

Список файлов и папок через пробел. Длинные пути должны быть заключены в кавычки. Короткие пути (формат MS-DOS) заключать в кавычки не требуется. Например:

  • "C:\Program Files (x86)\Example Folder" – длинный путь.
  • C:\PROGRA~2\EXAMPL~1 – короткий путь.

/ALL

Запустить задачу Полная проверка. Kaspersky Endpoint Security проверяет следующие объекты:

  • память ядра;
  • объекты, загрузка которых осуществляется при запуске операционной системы;
  • загрузочные секторы;
  • резервное хранилище операционной системы;
  • все жесткие и съемные диски.

/MEMORY

Проверить память ядра.

/STARTUP

Проверить объекты, загрузка которых осуществляется при запуске операционной системы.

/MAIL

Проверить почтовый ящик Outlook.

/REMDRIVES

Проверить съемные диски.

/FIXDRIVES

Проверить жесткие диски.

/NETDRIVES

Проверить сетевые диски.

/QUARANTINE

Проверить файлы в резервном хранилище Kaspersky Endpoint Security.

/@:<список файлов.lst>

Проверить файлы и папки, перечисленные в списке. Каждый файл из списка нужно вводить с новой строки. Длинные пути должны быть заключены в кавычки. Короткие пути (формат MS-DOS) заключать в кавычки не требуется. Например:

  • "C:\Program Files (x86)\Example Folder" – длинный путь.
  • C:\PROGRA~2\EXAMPL~1 – короткий путь.

Действие при обнаружении угрозы

 

/i0

Информировать. Если выбран этот вариант действия, то при обнаружении зараженных файлов Kaspersky Endpoint Security добавляет информацию об этих файлах в список активных угроз.

/i1

Лечить; блокировать, если лечение невозможно. Если выбран этот вариант действия, то Kaspersky Endpoint Security автоматически пытается вылечить все обнаруженные зараженные файлы. Если лечение невозможно, то Kaspersky Endpoint Security добавляет информацию об обнаруженных зараженных файлах в список активных угроз.

/i2

Лечить; удалять, если лечение невозможно. Если выбран этот вариант действия, то приложение автоматически пытается вылечить все обнаруженные зараженные файлы. Если лечение невозможно, то приложение их удаляет.

Этот вариант действия выбран по умолчанию.

/i3

Лечить обнаруженные зараженные файлы. Если лечение невозможно, удалять зараженные файлы. Также удалять составные файлы (например, архивы), если вылечить или удалить зараженный файл невозможно.

/i4

Удалять зараженные файлы. Также удалять составные файлы (например, архивы), если удалить зараженный файл невозможно.

Типы файлов

 

/fe

Файлы, проверяемые по расширению. Если выбран этот параметр, приложение проверяет только потенциально заражаемые файлы. Формат файла определяется на основании его расширения.

/fi

Файлы, проверяемые по формату. Если выбран этот параметр, приложение проверяет только потенциально заражаемые файлы. Перед началом поиска вредоносного кода в файле выполняется анализ его внутреннего заголовка на предмет формата файла (например, TXT, DOC, EXE). В процессе проверки учитывается также расширение файла.

/fa

Все файлы. Если выбран этот параметр, приложение проверяет все файлы без исключения (любых форматов и расширений).

Параметр выбран по умолчанию.

Исключения из проверки

 

-e:a

Исключение из проверки архивов форматов RAR, ARJ, ZIP, CAB, LHA, JAR, ICE.

-e:b

Исключение из проверки почтовых баз, входящих и исходящих сообщений электронной почты.

-e:<маска файла>

Исключение из проверки файлов по маске. Например:

  • Маска *.exe будет включать все пути к файлам с расширением exe.
  • Маска example* будет включать все пути к файлам с именем EXAMPLE.

-e:<секунды>

Исключение из проверки файлов, длительность проверки которых превышает установленное значение в секундах.

-es:<мегабайты>

Исключение из проверки файлов, размер которых превышает установленное значение в мегабайтах.

Режим сохранения событий в файл отчета (только для профилей Scan, Updater, Rollback)

 

/R:<файл отчета>

Сохранять только критические события в файл отчета.

/RA:<файл отчета>

Сохранять все события в файл отчета.

Технологии проверки

 

/iChecker=on|off

Технология, позволяющая увеличить скорость проверки за счет исключения из нее некоторых файлов. Файлы исключаются из проверки по специальному алгоритму, учитывающему дату выпуска баз приложения Kaspersky Endpoint Security, дату предыдущей проверки файла, а также изменение настроек проверки. Технология iChecker имеет ограничение: она не работает с файлами больших размеров, а кроме того, применима только к файлам с известной приложению структурой (например, к файлам формата EXE, DLL, LNK, TTF, INF, SYS, COM, CHM, ZIP, RAR).

/iSwift=on|off

Технология, позволяющая увеличить скорость проверки за счет исключения из нее некоторых файлов. Файлы исключаются из проверки по специальному алгоритму, учитывающему дату выпуска баз Kaspersky Endpoint Security, дату предыдущей проверки файла, а также изменение параметров проверки. Технология iSwift является развитием технологии iChecker для файловой системы NTFS.

Дополнительные параметры

 

/C:<файл с параметрами антивирусной проверки>

Файл с параметрами задачи антивирусной проверки. Файл должен быть создан вручную и сохранен в формате TXT. Файл может иметь следующее содержание: [<область проверки>] [<действие при обнаружении угрозы>] [<типы файлов>] [<исключения из проверки>] [/R[A]:<файл отчета>] [<технологии проверки>].

Пример:

avp.com SCAN /R:log.txt /MEMORY /STARTUP /MAIL "C:\Documents and Settings\All Users\My Documents" "C:\Program Files"

См. также:

Проверка компьютера

Формирование области проверки

Scan. Антивирусная проверка

Работа с активными угрозами
В начало

[Topic 181286]

UPDATE. Обновление баз и модулей приложения

Запустить задачу Обновление.

Синтаксис команды

UPDATE [local] ["<источник обновлений>"] [/R[A]:<файл отчета>] [/C:<файл с параметрами обновления>]

Параметры задачи обновления

 

local

Запуск задачи Обновление, созданной автоматически после установки приложения. Вы можете изменить параметры задачи Обновление в локальном интерфейсе приложения или в консоли Kaspersky Security Center. Если этот параметр не установлен, Kaspersky Endpoint Security запускает задачу Обновление с параметрами по умолчанию или с параметрами, заданными в команде. Таким образом, вы можете настроить параметры задачи Обновление, следующим образом:

  • UPDATE – запуск задачи Обновление с параметрами по умолчанию: источник обновлений – серверы обновлений "Лаборатории Касперского", учетная запись – System, и другие.
  • UPDATE local – запуск задачи Обновление, созданной автоматически после установки (предустановленная задача).
  • UPDATE <параметры обновления> – запуск задача Обновление с параметрами, заданными вручную (см. ниже).

Источник обновлений

 

"<источник обновлений>"

Адрес HTTP-, FTP-сервера или папки общего доступа с пакетом обновлений. Вы можете указать только один источник обновлений. Если источник обновлений не указан, Kaspersky Endpoint Security использует источник по умолчанию – серверы обновлений "Лаборатории Касперского".

Режим сохранения событий в файл отчета (только для профилей Scan, Updater, Rollback)

 

/R:<файл отчета>

Сохранять только критические события в файл отчета.

/RA:<файл отчета>

Сохранять все события в файл отчета.

Дополнительные параметры

 

/C:<файл с параметрами обновления>

Файл с параметрами задачи Обновление. Файл должен быть создан вручную и сохранен в формате TXT. Файл может иметь следующее содержание: ["<источник обновлений>"] [/R[A]:<файл отчета>].

Пример:

avp.com UPDATE local

avp.com UPDATE "ftp://my_server/kav updates" /RA:avbases_upd.txt

См. также:

Запуск и остановка задачи обновления
В начало

[Topic 181289]

ROLLBACK. Откат последнего обновления

Откатить последние обновления антивирусных баз. Это позволяет вернуться к использованию предыдущей версии баз и модулей приложения при необходимости, например, в том случае, если новая версия баз содержит некорректную сигнатуру, из-за которой Kaspersky Endpoint Security блокирует безопасное приложение.

Синтаксис команды

ROLLBACK [/R[A]:<файл отчета>]

Режим сохранения событий в файл отчета (только для профилей Scan, Updater, Rollback)

 

/R:<файл отчета>

Сохранять только критические события в файл отчета.

/RA:<файл отчета>

Сохранять все события в файл отчета.

Пример:

avp.com ROLLBACK /RA:rollback.txt

В начало

[Topic 181290]

TRACES. Трассировка

Включить / выключить трассировку. Файлы трассировки хранятся на вашем компьютере в течение всего времени использования приложения и безвозвратно удаляются при удалении приложения. Файлы трассировки, кроме файлов трассировки Агента аутентификации, хранятся в папке %ProgramData%\Kaspersky Lab\KES\Traces. По умолчанию трассировка выключена.

Синтаксис команды

TRACES on|off [<уровень трассировки>] [<дополнительные параметры>]

Уровень трассировки

 

<уровень трассировки>

Уровень детализации трассировки. Возможные значения:

  • 100 (критический). Только сообщения о неустранимых ошибках.
  • 200 (высокий). Сообщения обо всех ошибках, включая неустранимые.
  • 300 (диагностический). Сообщения обо всех ошибках, а также предупреждения.
  • 400 (важный). Сообщения обо всех ошибках, предупреждения, а также дополнительная информация.
  • 500 (обычный). Сообщения обо всех ошибках, предупреждениях, а также подробная информация о работе приложения в нормальном режиме (значение по умолчанию).
  • 600 (низкий). Все сообщения.

Дополнительные параметры

 

all

Выполнить команду с параметрами dbg, file и mem.

dbg

Использовать функцию OutputDebugString и сохранять файл трассировки. Функция OutputDebugString отправляет символьную строку отладчику приложения для вывода на экран. Подробнее см. на сайте MSDN.

file

Сохранить один файл трассировки (без ограничений по размеру).

rot

Сохранить результаты трассировки в ограниченное число файлов ограниченного размера и перезаписать старые файлы при достижении максимального размера.

mem

Записывать результаты трассировки в файлы дампов.

Примеры:

  • avp.com TRACES on 500
  • avp.com TRACES on 500 dbg
  • avp.com TRACES off
  • avp.com TRACES on 500 dbg mem
  • avp.com TRACES off file

См. также:

Трассировка работы приложения

Трассировка производительности приложения

О составе и хранении файлов трассировки

Запись дампов

Защита файлов дампов и трассировок
В начало

[Topic 181291]

START. Запуск профиля

Запустить выполнение профиля (например, запустить обновление баз или включить компонент защиты).

Синтаксис команды

START <профиль> [/R[A]:<файл отчета>]

Профиль

 

<профиль>

Название профиля. Профиль – компонент, задача или функция Kaspersky Endpoint Security. Список доступных профилей вы можете узнать по команде HELP START.

Режим сохранения событий в файл отчета (только для профилей Scan, Updater, Rollback)

 

/R:<файл отчета>

Сохранять только критические события в файл отчета.

/RA:<файл отчета>

Сохранять все события в файл отчета.

Пример:

avp.com START Scan_Objects

В начало

[Topic 181292]

STOP. Остановка профиля

Остановить выполняемый профиль (например, остановить проверку съемных дисков или выключить компонент защиты).

Для выполнения команды должна быть включена Защита паролем. Пользователь должен иметь разрешения Выключение компонентов защиты, Выключение компонентов контроля.

Синтаксис команды

STOP <профиль> /login=<имя пользователя> /password=<пароль>

Профиль

 

<профиль>

Название профиля. Профиль – компонент, задача или функция Kaspersky Endpoint Security. Список доступных профилей вы можете узнать по команде HELP STOP.

Авторизация

 

/login=<имя пользователя> /password=<пароль>

Учетные данные пользователя с необходимыми разрешениями Защиты паролем.

В начало

[Topic 181295]

STATUS. Статус профиля

Показать информацию о состоянии профилей приложения (например, running или completed). Список доступных профилей вы можете узнать по команде HELP STATUS.

Также Kaspersky Endpoint Security показывает информацию о состоянии служебных профилей. Информация о состоянии служебных профилей может понадобиться при обращении в Службу технической поддержки "Лаборатории Касперского".

Синтаксис команды

avp.com STATUS [<профиль>]

Если вы введете команду без профиля, Kaspersky Endpoint Security покажет состояние всех профилей приложения.

В начало

[Topic 181297]

STATISTICS. Статистика выполнения профиля

Показать статистическую информацию о профиле приложения (например, время проверки или количество обнаруженных угроз). Список доступных профилей вы можете узнать по команде HELP STATISTICS.

Синтаксис команды

STATISTICS <профиль>

В начало

[Topic 181298]

RESTORE. Восстановление файлов из резервного хранилища

Восстановить файл из резервного хранилища в папку его исходного размещения. Если по указанному пути уже существует файл с таким же именем, приложение запросит подтверждение для замены файла. Восстанавливаемый файл копируется с исходным именем.

Для выполнения команды должна быть включена Защита паролем. Пользователь должен иметь разрешение Восстановление из резервного хранилища.

Резервное хранилище – это хранилище резервных копий файлов, которые были изменены в процессе лечения или удалены. Резервная копия – копия файла, которая создается до лечения или удаления этого файла. Резервные копии файлов хранятся в специальном формате и не представляют опасности.

Резервные копии файлов хранятся в папке C:\ProgramData\Kaspersky Lab\KES.21.7\QB.

Полные права доступа к этой папке предоставлены пользователям группы "Администраторы". Ограниченные права доступа к этой папке предоставлены пользователю, под учетной записью которого выполнялась установка Kaspersky Endpoint Security.

В Kaspersky Endpoint Security отсутствует возможность настройки прав доступа пользователей к резервным копиям файлов.

Синтаксис команды

RESTORE [/REPLACE] <имя файла> /login=<имя пользователя> /password=<пароль>

Дополнительные параметры

 

/REPLACE

Переписать существующий файл.

<имя файла>

Имя восстанавливаемого файла.

Авторизация

 

/login=<имя пользователя> /password=<пароль>

Учетные данные пользователя с необходимыми разрешениями Защиты паролем.

Пример:

avp.com RESTORE /REPLACE true_file.txt /login=KLAdmin /password=!Password1

В начало

[Topic 181299]

EXPORT. Экспорт параметров приложения

Экспортировать параметры Kaspersky Endpoint Security в файл. Файл будет размещен в папке C:\Windows\SysWOW64.

Синтаксис команды

EXPORT <профиль> <имя файла>

Профиль

 

<профиль>

Название профиля. Профиль – компонент, задача или функция Kaspersky Endpoint Security. Список доступных профилей вы можете узнать по команде HELP EXPORT.

Файл для экспорта

 

<имя файла>

Имя файла, в который должны быть экспортированы параметры профиля. Вы можете экспортировать параметры профиля в конфигурационный файл в формате DAT или CFG, в текстовый файл в формате TXT или в документ в формате XML.

Примеры:

  • avp.com EXPORT ids ids_config.dat
  • avp.com EXPORT fm fm_config.txt

См. также:

Создание и использование конфигурационного файла
В начало

[Topic 181300]

IMPORT. Импорт параметров приложения

Импортировать параметры Kaspersky Endpoint Security из файла, который был создан с помощью команды EXPORT.

Для выполнения команды должна быть включена Защита паролем. Пользователь должен иметь разрешение Настройка приложения.

Синтаксис команды

IMPORT <имя файла> /login=<имя пользователя> /password=<пароль>

Файл для импорта

 

<имя файла>

Имя файла, из которого должны быть импортированы параметры приложения. Вы можете импортировать параметры Kaspersky Endpoint Security из конфигурационного файла в формате DAT или CFG, текстового файла в формате TXT или документа в формате XML.

Авторизация

 

/login=<имя пользователя> /password=<пароль>

Учетные данные пользователя с необходимыми разрешениями Защиты паролем.

Пример:

avp.com IMPORT config.dat /login=KLAdmin /password=!Password1

См. также:

Создание и использование конфигурационного файла
В начало

[Topic 181301]

ADDKEY. Применение файла ключа

Применить файл ключа для активации Kaspersky Endpoint Security. Если приложение уже активировано, ключ будет добавлен в качестве резервного.

Синтаксис команды

ADDKEY <имя файла> [/login=<имя пользователя> /password=<пароль>]

Файл ключа

 

<имя файла>

Имя файла ключа.

Авторизация

 

/login=<имя пользователя> /password=<пароль>

Данные учетной записи пользователя. Данные учетные записи нужно вводить, только если включена Защита паролем.

Пример:

avp.com ADDKEY file.key

См. также:

О файле ключа

Активация приложения с помощью мастера активации приложения
В начало

[Topic 181302]

LICENSE. Лицензирование

Выполнить операции с лицензионными ключами приложения Kaspersky Endpoint Security, а также ключами решений EDR Optimum или EDR Expert (Kaspersky Endpoint Detection and Response Add-on).

Для выполнения команды удаления лицензионного ключа должна быть включена Защита паролем. Пользователь должен иметь разрешение Удаление ключа.

Синтаксис команды

avp.com LICENSE <операция> [/login=<имя пользователя> /password=<пароль>]

Операция

 

/ADD <имя файла>

Применить файл ключа для активации Kaspersky Endpoint Security. Если приложение уже активировано, ключ будет добавлен в качестве резервного.

/ADD <код активации>

Активировать Kaspersky Endpoint Security с помощью кода активации. Если приложение уже активировано, ключ будет добавлен в качестве резервного.

/REFRESH

Обновить статус лицензии Kaspersky Endpoint Security. В результате приложение получает актуальную информацию о статусе лицензии с серверов активации "Лаборатории Касперского".

/REFRESH EDR

Обновить статус лицензии Kaspersky Endpoint Detection and Response Add-on. В результате приложение получает актуальную информацию о статусе лицензии с серверов активации "Лаборатории Касперского".

/DEL /login=<имя пользователя> /password=<пароль>

Удалить лицензионный ключ приложения. Также будет удален резервный ключ.

/DEL EDR /login=<имя пользователя> /password=<пароль>

Удалить лицензионный ключ Kaspersky Endpoint Detection and Response Add-on. Также будет удален резервный ключ.

Авторизация

 

/login=<имя пользователя> /password=<пароль>

Учетные данные пользователя с необходимыми разрешениями Защиты паролем.

Пример:

  • avp.com LICENSE /ADD file.key
  • avp.com LICENSE /ADD AAAAA-BBBBB-CCCCC-DDDDD
  • avp.com LICENSE /DEL EDR /login=KLAdmin /password=!Password1

См. также:

О коде активации

О файле ключа

О лицензионном ключе

Активация приложения с помощью мастера активации приложения
В начало

[Topic 184351]

RENEW. Приобретение лицензии

Перейти на веб-сайт "Лаборатории Касперского" для приобретения лицензии или продления ее срока действия.

В начало

[Topic 184342]

PBATESTRESET. Сбросить результаты проверки перед шифрованием диска

Сбросить результаты проверки поддержки полнодискового шифрования (FDE) по технологиям Шифрование диска Kaspersky и BitLocker.

Перед запуском полнодискового шифрования приложение выполняет ряд проверок на возможность шифрования компьютера. Если полнодисковое шифрование невозможно, Kaspersky Endpoint Security сохраняет информацию о несовместимости. При следующей попытке шифрования приложение не выполняет проверки и предупреждает о том, что шифрование невозможно. Если аппаратная конфигурация компьютера изменилась, то для проверки системного жесткого диска на совместимость с технологией Шифрования диска Kaspersky или BitLocker требуется сбросить информацию о несовместимости, полученную приложением при предыдущей проверке.

См. также:

Запуск шифрования диска BitLocker
В начало

[Topic 184347]

EXIT. Завершение работы приложения

Завершить работу Kaspersky Endpoint Security. Приложение будет выгружено из оперативной памяти компьютера.

Для выполнения команды должна быть включена Защита паролем. Пользователь должен иметь разрешение Завершение работы приложения.

Синтаксис команды

EXIT /login=<имя пользователя> /password=<пароль>

В начало

[Topic 184348]

EXITPOLICY. Выключение политики

Выключает политику Kaspersky Security Center на компьютере. Все параметры Kaspersky Endpoint Security доступны для настройки, в том числе параметры, отмеченные в политике закрытым замком ().

Для выполнения команды должна быть включена Защита паролем. Пользователь должен иметь разрешение Выключение политики Kaspersky Security Center.

Синтаксис команды

EXITPOLICY /login=<имя пользователя> /password=<пароль>

В начало

[Topic 184350]

STARTPOLICY. Включение политики

Включить политику Kaspersky Security Center на компьютере. Параметры приложения будут настроены в соответствии с политикой.

В начало

[Topic 184352]

DISABLE. Выключение защиты

Выключить Защиту от файловых угроз на компьютере с истекшей лицензией на Kaspersky Endpoint Security. Выполнить команду на компьютере с неактивированным приложением или с действующей лицензией невозможно.

В начало

[Topic 184354]

SPYWARE. Обнаружение шпионского ПО

Включить / выключить обнаружение шпионского ПО. По умолчанию обнаружение шпионского ПО включено.

Синтаксис команды

SPYWARE on|off

В начало

[Topic 207430]

KSN. Переключение Глобальный / Локальный KSN

Выбор решения Kaspersky Security Network для определения репутации файлов или сайтов. Kaspersky Endpoint Security поддерживает следующие инфраструктурные решения KSN:

  • Глобальный KSN – это решение, которое используют большинство приложений "Лаборатории Касперского". Участники KSN получают информацию от Kaspersky Security Network, а также отправляют в "Лабораторию Касперского" данные об объектах, обнаруженных на компьютере пользователя, для дополнительной проверки аналитиками "Лаборатории Касперского" и пополнения репутационных и статистических баз Kaspersky Security Network.
  • Локальный KSN – это решение, позволяющее пользователям компьютеров, на которые установлено приложение Kaspersky Endpoint Security или другие приложение "Лаборатории Касперского", получать доступ к репутационным базам Kaspersky Security Network, а также другим статистическим данным, не отправляя данные в KSN со своих компьютеров. Локальный KSN разработан для корпоративных клиентов, не имеющих возможности участвовать в Kaspersky Security Network, например, по следующим причинам:
    • отсутствие подключения локальных рабочих мест к сети Интернет;
    • законодательный запрет или ограничение корпоративной безопасности на отправку любых данных за пределы страны или за пределы локальной сети организации.

Синтаксис команды

KSN /global | /private <имя файла>

Конфигурационный файл Локального KSN

 

<имя файла>

Имя конфигурационного файла с параметрами прокси-сервера KSN. Файл имеет разрешение PKCS7 или PEM.

Пример:

avp.com KSN /global

avp.com KSN /private C:\ksn_config.pkcs7

См. также:

Включение и выключение использования Kaspersky Security Network

Ограничения работы с Локальным KSN

Включение и выключение облачного режима для компонентов защиты

Проверка репутации файла в Kaspersky Security Network
В начало

[Topic 213488]

Команды KESCLI

Команды KESCLI позволяют получать информацию о состоянии защиты компьютера с помощью компонента OPSWAT, а также выполнять стандартные задачи (например, антивирусная проверка, обновление баз).

Вы можете просмотреть список команд KESCLI с помощью команды --help или сокращенной команды -h.

Чтобы управлять Kaspersky Endpoint Security из командной строки, выполните следующие действия:

  1. Запустите интерпретатор командной строки cmd от имени администратора.
  2. Перейдите в папку, в которой расположен исполняемый файл Kaspersky Endpoint Security.
  3. Используйте следующий шаблон для выполнения команды:

    kescli <команда> [параметры]

В результате Kaspersky Endpoint Security выполнит команду (см. рис. ниже).

unlock_kes11_cmd_getthreats

Управление приложения из командной строки

В этом разделе

Scan. Антивирусная проверка

GetScanState. Статус выполнения проверки

GetLastScanTime. Определения времени выполнения проверки

GetThreats. Получение данных об обнаруженных угрозах

UpdateDefinitions. Обновление баз и модулей приложения

GetDefinitionState. Определение времени выполнения обновления

EnableRTP. Включение защиты

GetRealTimeProtectionState. Статус Защиты от файловых угроз

Version. Определение версии приложения
В начало

[Topic 213709]

Scan. Антивирусная проверка

Запустить задачу антивирусной проверки.

Для запуска задачи администратору нужно разрешить использование локальных задач в политике.

Синтаксис команды

kescli --opswat Scan "<область проверки>" <действие при обнаружении угрозы>

Вы можете проверить статус выполнения задачи Полная проверка с помощью команды GetScanState и посмотреть дату и время последнего выполнения проверки с помощью команды GetLastScanTime.

Область проверки

 

<файлы для проверки>

Список файлов и папок через символ ;. Например, "C:\Program Files (x86)\Example Folder".

Действие при обнаружении угрозы

 

0

Информировать. Если выбран этот вариант действия, то при обнаружении зараженных файлов Kaspersky Endpoint Security добавляет информацию об этих файлах в список активных угроз.

1

Лечить; удалять, если лечение невозможно. Если выбран этот вариант действия, то приложение автоматически пытается вылечить все обнаруженные зараженные файлы. Если лечение невозможно, то приложение их удаляет.

Этот вариант действия выбран по умолчанию.

Пример:

kescli --opswat Scan "C:\Documents and Settings\All Users\My Documents;C:\Program Files" 1

См. также:

Проверка компьютера

Формирование области проверки

SCAN. Антивирусная проверка

Работа с активными угрозами
В начало

[Topic 213715]

GetScanState. Статус выполнения проверки

Получить информацию о статусе выполнения задачи Полная проверка:

  • 1 – проверка выполняется.
  • 0 – проверка не запущена.

Синтаксис команды

--opswat GetScanState

Пример:

kescli --opswat GetScanState

В начало

[Topic 213723]

GetLastScanTime. Определения времени выполнения проверки

Получить информацию о дате и времени последнего выполнения задачи Полная проверка.

Синтаксис команды

kescli --opswat GetLastScanTime

В начало

[Topic 213725]

GetThreats. Получение данных об обнаруженных угрозах

Получить список обнаруженных угроз (Отчет об угрозах). Отчет содержит информацию об угрозах и вирусной активности за 30 дней до момента создания отчета.

Синтаксис команды

--opswat GetThreats

В результате выполнение команды Kaspersky Endpoint Security отправит ответ в следующем формате:

<имя обнаруженного объекта> <тип объекта> <дата и время обнаружения> <путь к файлу> <действие при обнаружении угрозы> <уровень опасности угрозы>

unlock_kes11_cmd_getthreats

Управление приложением из командной строки

Тип объекта

 

0

Неизвестно (Unknown).

1

Вирусы (Virware).

2

Троянские приложения (Trojware).

3

Вредоносные приложения (Malware).

4

Рекламные приложения (Adware).

5

Приложения автодозвона (Pornware).

6

Приложения, которые могут быть использованы злоумышленником для нанесения вреда компьютеру или данным пользователя (Riskware).

7

Упакованные объекты, способ упаковки которых может использоваться для защиты вредоносного кода (Packed).

20

Неизвестные объекты (Xfiles).

21

Известные приложения (Software).

22

Скрытые файлы (Hidden).

23

Приложения, требующие вашего внимания (Pupware).

24

Аномальное поведение (Anomaly).

30

Не определено (Undetect).

40

Рекламные баннеры (Banner).

50

Сетевая атака (Attack).

51

Доступ к реестру (Registry).

52

Подозрительные действия (Suspicion).

60

Уязвимости (Vulnerability).

70

Фишинг (Phishing).

80

Нежелательные почтовые вложения (Attachment).

90

Вредоносное приложение, обнаруженная с помощью Kaspersky Security Network (Urgent).

100

Неизвестная ссылка (Suspic URL).

110

Другое вредоносное приложение (Behavioral).

Действие при обнаружении угрозы

 

0

Неизвестно (unknown).

1

Угроза устранена (ok).

2

Объект заражен и не вылечен (infected).

5

Объект в архиве и не вылечен (archive).

9

Объект вылечен (disinfected).

10

Объект не вылечен (not disinfected).

11

Объект удален (deleted).

13

Создана резервная копия объекта (backupped).

15

Объект помещен в резервное хранилище (quarantined).

23

Объект удален при перезагрузке компьютера (delete on reboot).

25

Объект вылечен при перезагрузке компьютера (disinfect on reboot).

29

Объект помещен в резервное хранилище пользователем (added by user).

30

Объект добавлен в исключения (added to exclude).

31

Объект помещен в резервное хранилище при перезагрузке компьютера (quarantine on reboot).

36

Ложное срабатывание (false alarm).

38

Процесс завершен (terminated).

40

Объект не обнаружен (not found).

41

Невозможно устранить угрозу (untreatable).

42

Объект восстановлен (rolled back).

43

Объект создан в результате активности угрозы (produced by threat).

44

Объект восстановлен при перезагрузке компьютера (roll back on reboot).

0xffffffff

Объект не обработан (discarded).

Уровень опасности угрозы

 

0

Неизвестно

1

Высокий

2

Средний

4

Низкий

8

Информационный (ниже уровня Низкий)

В начало

[Topic 213710]

UpdateDefinitions. Обновление баз и модулей приложения

Запустить задачу Обновление. Kaspersky Endpoint Security использует источник по умолчанию – серверы обновлений "Лаборатории Касперского".

Для запуска задачи администратору нужно разрешить использование локальных задач в политике.

Синтаксис команды

kescli --opswat UpdateDefinitions

Вы можете просмотреть дату и время выпуска используемых антивирусных баз с помощью команды GetDefinitionsetState.

В начало

[Topic 213724]

GetDefinitionState. Определение времени выполнения обновления

Получить информацию о дате и времени выпуска используемых антивирусных баз.

Синтаксис команды

kescli --opswat GetDefinitionState

В начало

[Topic 213713]

EnableRTP. Включение защиты

Включить компоненты защиты Kaspersky Endpoint Security на компьютере: Защита от файловых угроз, Защита от веб-угроз, Защита от почтовых угроз, Защита от сетевых угроз, Предотвращение вторжений.

Для включения компонентов защиты администратору нужно убедиться, что необходимые параметры в политике доступны для изменения (атрибуты открыты).

Синтаксис команды

kescli --opswat EnableRTP

В результате компоненты защиты будут включены, даже если вы запретили изменение параметров приложения с помощью Защиты паролем.

Вы можете проверить статус работы Защиты от файловых угроз с помощью команды GetRealTimeProtectionState.

В начало

[Topic 213719]

GetRealTimeProtectionState. Статус Защиты от файловых угроз

Получить информацию о статусе работы компонента Защита от файловых угроз:

  • 1 – компонент включен.
  • 0 – компонент выключен.

Синтаксис команды

kescli --opswat GetRealTimeProtectionState

В начало

[Topic 213708]

Version. Определение версии приложения

Определить версию приложения Kaspersky Endpoint Security для Windows.

Синтаксис команды

--Version

Вы также можете использовать сокращенную команду -v.

Пример:

kescli -v

В начало

[Topic 216455]

Команды управления Detection and Response

Вы можете управлять встроенными функциями решений Detection and Response из командной строки (например, Kaspersky Sandbox или Kaspersky Endpoint Detection and Response Optimum). Вы можете управлять решениями Detection and Response, если управление через консоль Kaspersky Security Center невозможно. Вы можете просмотреть список команд для управления приложением с помощью команды HELP. Чтобы получить справку по синтаксису конкретной команды, введите HELP <команда>.

Чтобы управлять встроенными функциями решений Detection and Response из командной строки, выполните следующие действия:

  1. Запустите интерпретатор командной строки cmd от имени администратора.
  2. Перейдите в папку, в которой расположен исполняемый файл Kaspersky Endpoint Security.
  3. Используйте следующий шаблон для выполнения команды:

    avp.com <команда> [параметры]

В результате Kaspersky Endpoint Security выполнит команду (см. рис. ниже).

В этом разделе

SANDBOX. Управление Kaspersky Sandbox

PREVENTION. Управление Запретом запуска объектов

ISOLATION. Управление Сетевой изоляцией

RESTORE. Восстановление файлов из карантина

IOCSCAN. Поиск индикаторов компрометации (IOC)

MDRLICENSE. Активация MDR
В начало

[Topic 218182]

SANDBOX. Управление Kaspersky Sandbox

Команды управления компонентом Kaspersky Sandbox:

  • Включить и выключить компонент Kaspersky Sandbox.

    Компонент Kaspersky Sandbox обеспечивает взаимодействие с решением Kaspersky Sandbox.

  • Настроить параметры работы компонента Kaspersky Sandbox:
    • Подключить компьютер к серверам Kaspersky Sandbox.

      На серверах развернуты виртуальные образы операционных систем Microsoft Windows, в которых запускаются проверяемые объекты. Вы можете ввести IP-адрес (IPv4 или IPv6) или полное доменное имя. Подробнее о развертывании виртуальных образов и конфигурации серверов Kaspersky Sandbox см. в справке Kaspersky Sandbox.

    • Настроить время ожидания соединения с сервером Kaspersky Sandbox.

      Время ожидания ответа на запрос о проверке объекта от сервера Kaspersky Sandbox. По истечению времени ожидания Kaspersky Sandbox перенаправляет запрос на следующий сервер. Значение времени ожидания зависит от скорости и стабильности соединения. Значение по умолчанию 5 сек.

    • Настроить доверенное соединение между компьютером и серверами Kaspersky Sandbox.

      Для настройки доверенного соединения с серверами Kaspersky Sandbox вам нужно подготовить TLS-сертификат. Далее вам нужно добавить сертификат на серверы Kaspersky Sandbox и в политике Kaspersky Endpoint Security. Подробнее о подготовке сертификата и добавлении сертификата на серверы см. в справке Kaspersky Sandbox.

  • Показать текущие параметры работы компонента.

Синтаксис команды

stop sandbox [/login=<имя пользователя> /password=<пароль>]

start sandbox

sandbox /set [--tls=yes|no] [--servers=<адрес сервера>:<порт>] [--timeout=<время ожидания соединения с сервером Kaspersky Sandbox (мс)>] [--pinned-certificate=<путь к TLS-сертификату>][/login=<имя пользователя> /password=<пароль>]

sandbox /show

Операция

 

stop

Выключить компонент Kaspersky Sandbox.

start

Включить компонент Kaspersky Sandbox.

set

Настроить параметры работы компонента Kaspersky Sandbox. Вы можете настроить следующие параметры:

  • использование доверенного соединения (--tls);
  • добавление TLS-сертификата (--pinned-certificate);
  • установка времени ожидания соединения с сервером Kaspersky Sandbox (--timeout);
  • добавление серверов Kaspersky Sandbox (--servers).

show

Показать текущие параметры работы компонента. В результате вы получите следующий ответ:

sandbox.timeout=<время ожидания соединение с сервером Kaspersky Sandbox (мс)>

sandbox.tls=<статус использования доверенного соединения>

sandbox.servers=<список серверов Kaspersky Sandbox>

Авторизация

 

/login=<имя пользователя> /password=<пароль>

Учетные данные пользователя с необходимыми разрешениями Защиты паролем.

Пример:

avp.com start sandbox

avp.com sandbox /set --tls=yes --pinned-certificate="С:\Users\Admin\certificate.pem"

avp.com sandbox /set --servers=10.10.111.0:147

В начало

[Topic 215857]

PREVENTION. Управление Запретом запуска объектов

Выключить компонент Запрет запуска объектов или показать текущие параметры работы компонента, включая список правил запрета запуска объектов.

Синтаксис команды

prevention disable

prevention /show

В результате выполнения команды prevention /show вы получите следующий ответ:

prevention.enable=true|false

prevention.mode=audit|prevent

prevention.rules

id: <идентификатор правила>

target: script|process|document

md5: <MD5-хеш файла>

sha256: <SHA256-хеш файла>

pattern: <путь к объекту>

case-sensitive: true|false

Коды возврата команды:

  • -1 – команда не поддерживается версией приложения, которое установлено на компьютере.
  • 0 – команда выполнена успешно.
  • 1 – команде не передан обязательный аргумент.
  • 2 – общая ошибка.
  • 4 – синтаксическая ошибка.
  • 9 – неверная операция (например, попытка выключить компонент, если компонент уже выключен).
В начало

[Topic 215978]

ISOLATION. Управление Сетевой изоляцией

Выключить Сетевую изоляцию компьютера или показать текущие параметры работы компонента. Параметры работы компонента также включают в себя список сетевых соединений, которые добавлены в исключения.

Синтаксис команд:

isolation /OFF /login=<имя пользователя> /password=<пароль>

isolation /STAT

В результате выполнения команды stat вы получите следующий ответ: Network isolation on|off.

В начало

[Topic 215844]

RESTORE. Восстановление файлов из карантина

Восстановить файл из карантина в папку его исходного размещения. Если папка назначения удалена, приложение помещает файл специальную папку на компьютере. Далее вам нужно вручную переместить файл в папку назначения. Карантин – это специальное локальное хранилище на компьютере. Пользователь может поместить на карантин файлы, которые считает опасными для компьютера. Файлы на карантине хранятся в зашифрованном виде и не угрожают безопасности устройства. Kaspersky Endpoint Security использует карантин только при работе с решениями Kaspersky Sandbox и Kaspersky Endpoint Detection and Response. В остальных случаях Kaspersky Endpoint Security помещает файл в резервное хранилище. Подробнее о работе с карантином в составе решений см. в справке Kaspersky Sandbox, Kaspersky Endpoint Detection and Response Optimum, Kaspersky Endpoint Detection and Response Expert.

Для выполнения команды должна быть включена Защита паролем. Пользователь должен иметь разрешение Восстановление из резервного хранилища.

Объект помещается на карантин под системной учетной записью (SYSTEM).

Синтаксис команды

avp.com RESTORE [/REPLACE] <имя файла> /login=<имя пользователя> /password=<пароль>

Дополнительные параметры

 

/REPLACE

Переписать существующий файл.

<имя файла>

Имя восстанавливаемого файла.

Авторизация

 

/login=<имя пользователя> /password=<пароль>

Учетные данные пользователя с необходимыми разрешениями Защиты паролем.

Пример:

avp.com RESTORE /REPLACE true_file.txt /login=KLAdmin /password=!Password1

Коды возврата команды:

  • -1 – команда не поддерживается версией приложения, которое установлено на компьютере.
  • 0 – команда выполнена успешно.
  • 1 – команде не передан обязательный аргумент.
  • 2 – общая ошибка.
  • 4 – синтаксическая ошибка.
В начало

[Topic 219049]

IOCSCAN. Поиск индикаторов компрометации (IOC)

Запустить задачу поиска индикаторов компрометации (IOC). Индикатор компрометации (Indicator of Compromise, IOC) – набор данных об объекте или активности, который указывает на несанкционированный доступ к компьютеру (компрометация данных). Например, индикатором компрометации может быть большое количество неудачных попыток входа в систему. Задача Поиск IOC позволяет обнаруживать индикаторы компрометации на компьютере и выполнять действия по реагированию на угрозы.

Синтаксис команды

IOCSCAN <полный путь к IOC-файлу>|/path=<путь к папке с IOC-файлами> [/process=on|off] [/hint=<полный путь к исполняемому файлу процесса|полный путь к файлу>] [/registry=on|off] [/dnsentry=on|off] [/arpentry=on|off] [/ports=on|off] [/services=on|off] [/system=on|off] [/users=on|off] [/volumes=on|off] [/eventlog=on|off] [/datetime=<дата публикации события>] [/channels=<список каналов>] [/files=on|off] [/drives=<all|system|critical|custom>] [/excludes=<список исключений>][/scope=<список папок для проверки>]

IOC-файлы

 

<полный путь к IOC-файлу>

Полный путь к IOC-файлу, по которому требуется выполнить поиск. Вы можете указать несколько IOC-файлов через пробел. Полный путь к IOC-файлу следует ввести без аргумента /path.

Например, C:\Users\Admin\Desktop\IOC\file1.ioc

/path=<путь к папке с IOC-файлами>

Путь к папке с IOC-файлами, по которым требуется выполнять поиск. IOC-файлы – файлы, содержащие набор индикаторов, при совпадении с которыми приложение считает событие обнаружением. IOC-файлы должны соответствовать стандарту описания OpenIOC.

Например, C:\Users\Admin\Desktop\IOC

Тип данных для поиска IOC

 

/process=on|off

Анализ данных о процессах при поиске IOC (термин ProcessItem).

Если параметр установлен со значением off, Kaspersky Endpoint Security не проверяет запущенные на компьютере процессы при выполнении проверки. Если в IOC-файле указаны IOC-термины IOC-документа ProcessItem, они игнорируются (определяются как отсутствие совпадения).

Если параметр не установлен, Kaspersky Endpoint Security проверяет данные о процессах, только если IOC-документ ProcessItem описан в переданном на проверку IOC-файле.

/hint=<полный путь к исполняемому файлу процесса|полный путь к файлу>

Анализ данных о файле при поиске IOC (термины ProcessItem и FileItem).

Вы можете выбрать файл следующими способами:

  • <полный путь к исполняемому файлу процесса> – термин ProcessItem;
  • <полный путь к файлу> – термин FileItem.

/registry=on|off

Анализ данных о реестре Windows при поиске IOC (термин RegistryItem).

Если параметр установлен со значением off, Kaspersky Endpoint Security не проверяет реестр Windows. Если в IOC-файле указаны термины IOC-документа RegistryItem, они игнорируются (определяются как отсутствие совпадения).

Если параметр не установлен, Kaspersky Endpoint Security проверяет реестр Windows, только если IOC-документ RegistryItem описан в переданном на проверку IOC-файле.

Для типа данных RegistryItem Kaspersky Endpoint Security анализирует определенный набор разделов реестра.

/dnsentry=on|off

Анализ данных о записях в локальном кеше DNS при поиске IOC (термин DnsEntryItem).

Если параметр установлен со значением off, Kaspersky Endpoint Security не проверяет локальный кеш DNS. Если в IOC-файле указаны термины IOC-документа DnsEntryItem, они игнорируются (определяются как отсутствие совпадения).

Если параметр не установлен, Kaspersky Endpoint Security проверяет локальный кеш DNS, только если IOC-документ DnsEntryItem описан в переданном на проверку IOC-файле.

/arpentry=on|off

Анализ данных о записях в ARP-таблице при поиске IOC (термин ArpEntryItem).

Если параметр установлен со значением off, Kaspersky Endpoint Security не проверяет таблицу ARP. Если в IOC-файле указаны термины IOC-документа ArpEntryItem, они игнорируются (определяются как отсутствие совпадения).

Если параметр не установлен, Kaspersky Endpoint Security проверяет ARP-таблицу, только если IOC-документ ArpEntryItem описан в переданном на проверку IOC-файле.

/ports=on|off

Анализ данных о портах, открытых на прослушивание, при поиске IOC (термин PortItem).

Если параметр установлен со значением off, Kaspersky Endpoint Security не проверяет таблицу активных соединений на устройстве. Если в IOC-файле указаны термины IOC-документа PortItem, они игнорируются (определяются как отсутствие совпадения).

Если параметр не установлен, Kaspersky Endpoint Security проверяет таблицу активных соединений, только если IOC-документ PortItem описан в переданном на проверку IOC-файле.

/services=on|off

Анализ данных о службах, установленных на устройстве, при поиске IOC (термин ServiceItem).

Если параметр установлен со значением off, Kaspersky Endpoint Security не проверяет данные о службах, установленных на устройстве. Если в IOC-файле указаны термины IOC-документа ServiceItem, они игнорируются (определяются как отсутствие совпадения).

Если параметр не установлен, Kaspersky Endpoint Security проверяет данные о службах, только если IOC-документ ServiceItem описан в переданном на проверку IOC-файле.

/system=on|off

Анализ данных об окружении при поиске IOC (термин SystemInfoItem).

Если параметр установлен со значением off, Kaspersky Endpoint Security не анализирует данные об окружении. Если в IOC-файле указаны термины IOC-документа SystemInfoItem, они игнорируются (определяются как отсутствие совпадения).

Если параметр не установлен, Kaspersky Endpoint Security анализирует данные об окружении, только если IOC-документ SystemInfoItem описан в переданном на проверку IOC-файле.

/users=on|off

Анализ данных о пользователях при поиске IOC (термин UserItem).

Если параметр установлен со значением off, Kaspersky Endpoint Security не анализирует данные о пользователях, созданных в системе. Если в IOC-файле указаны термины IOC-документа UserItem, они игнорируются (определяются как отсутствие совпадения).

Если параметр не установлен, Kaspersky Endpoint Security анализирует данные о пользователях, созданных в системе, только если IOC-документ UserItem описан в переданном на проверку IOC-файле.

/volumes=on|off

Анализ данных о томах при поиске IOC (термин VolumeItem).

Если параметр установлен со значением off, Kaspersky Endpoint Security не проверяет данные о томах на устройстве. Если в IOC-файле указаны термины IOC-документа VolumeItem, они игнорируются (определяются как отсутствие совпадения).

Если параметр не установлен, Kaspersky Endpoint Security анализирует данные о томах, только если IOC-документ VolumeItem описан в переданном на проверку IOC-файле.

/eventlog=on|off

Анализ данных о записях в журнале событий Windows при поиске IOC (термин EventLogItem).

Если параметр установлен со значением off, Kaspersky Endpoint Security не проверяет записи в журнале событий Windows. Если в IOC-файле указаны термины IOC-документа EventLogItem, они игнорируются (определяются как отсутствие совпадения).

Если параметр не установлен, Kaspersky Endpoint Security проверяет записи в журнале событий Windows, только если IOC-документ EventLogItem описан в переданном на проверку IOC-файле.

/datetime=<дата публикации события>

Учет даты публикации события в журнале событий Windows при определении области поиска IOC для соответствующего IOC-документа.

При поиске IOC Kaspersky Endpoint Security проверяет записи в журнале событий Windows, опубликованные в период с указанного времени и даты и до момента выполнения задачи.

В качестве значения параметра Kaspersky Endpoint Security позволяет задать дату публикации события. Проверка будет выполняться только для событий, опубликованных в журнале событий Windows после указанной даты и до момента выполнения проверки.

Если параметр не указан, Kaspersky Endpoint Security проверяет события с любой датой публикации. Параметр TaskSettings::BaseSettings::EventLogItem::datetime недоступен для редактирования.

Параметр используется, только если IOC-документ EventLogItem описан в переданном на проверку IOC-файле.

/channel=<список каналов>

Список имен каналов (журналов), для которых требуется выполнить поиск IOC.

Если параметр указан, Kaspersky Endpoint Security проверяет записи, опубликованные в указанных журналах. При этом в IOC-документе должен быть описан термин EventLogItem.

Имя журнала задается в формате строки, в соответствии с именем журнала (канала), указанного в свойствах этого журнала (параметр Full Name) или в свойствах события (параметр <Channel></Channel> в xml-схеме события). Вы можете указать несколько каналов через пробел.

Если параметр не указан, Kaspersky Endpoint Security проверяет записи для каналов Application, System, Security.

/files=on|off

Анализ данных о файлах при поиске IOC (термин FileItem).

Если параметр установлен со значением off, Kaspersky Endpoint Security не анализирует данные о файлах. Если в IOC-файле указаны термины IOC-документа FileItem, они игнорируются (определяются как отсутствие совпадения).

Если параметр не установлен, Kaspersky Endpoint Security анализирует данные о файлах, только если IOC-документ FileItem описан в переданном на проверку IOC-файле.

/drives=<all|system|critical|custom>

Область поиска IOC при анализе данных для IOC-документа FileItem.

Доступны следующие значения области поиска:

  • <all> – все доступные файловые области.
  • <system> – файлы, расположенные в папках, в которых установлена ОС.
  • <critical> – временные файлы в пользовательских и системных папках.
  • <custom> – файлы в указанных пользователем областях (/scope=<список папок для проверки>).

Если параметр не установлен, проверка выполняется в критических областях.

/excludes=<список исключений>

Область исключений при анализе данных для IOC-документа FileItem. Вы можете указать несколько путей через пробел.

/scope=<список папок для проверки>

Пользовательская область поиска IOC при анализе данных для IOC-документа FileItem (/drives=custom). Вы можете указать несколько путей через пробел.

Коды возврата команды:

  • -1 – команда не поддерживается версией приложения, которое установлено на компьютере.
  • 0 – команда выполнена успешно.
  • 1 – команде не передан обязательный аргумент.
  • 2 – общая ошибка.
  • 4 – синтаксическая ошибка.

Если команда была выполнена успешно (код 0) и в процессе выполнения были обнаружены индикаторы компрометации, Kaspersky Endpoint Security выводит в командную строку следующие данные о результатах выполнения задачи:

Uuid

Идентификатор IOC-файла из заголовка структуры IOC-файла (тег <ioc id="">)

Name

Описание IOC-файла из заголовка структуры IOC-файла (тег <description></description>)

Matched Indicator Items

Перечень идентификаторов всех сработавших индикаторов.

Matched objects

Данные по каждому документу IOC, по которому было найдено совпадение.

В начало

[Topic 207836]

MDRLICENSE. Активация MDR

Выполнить операции с конфигурационным файлом BLOB для активации Managed Detection and Response. BLOB-файл содержит идентификатор клиента и информацию о лицензии Kaspersky Managed Detection and Response. BLOB-файл находится в ZIP-архиве конфигурационного файла MDR. Вы можете получить ZIP-архив в Консоли Kaspersky Managed Detection and Response. Подробную информацию о BLOB-файле см. в справке Kaspersky Managed Detection and Response.

Для выполнения операций с BLOB-файлом требуются права администратора. Также параметры Managed Detection and Response в политике должны быть доступны для изменения ().

Синтаксис команды

MDRLICENSE <операция> [/login=<имя пользователя> /password=<пароль>]

Операция

 

/ADD <имя файла>

Применить конфигурационный файл BLOB для интеграции с Kaspersky Managed Detection and Response (формат файла P7). Вы можете применить только один BLOB-файл. Если BLOB-файл уже добавлен на компьютер, файл будет заменен.

/DEL

Удалить конфигурационный файл BLOB.

Авторизация

 

/login=<имя пользователя> /password=<пароль>

Учетные данные пользователя с необходимыми разрешениями Защиты паролем.

Пример:

  • avp.com MDRLICENSE /ADD file.key
  • avp.com MDRLICENSE /DEL /login=KLAdmin /password=!Password1

В начало

[Topic 184247]

Коды ошибок

При работе с приложением через командную строку возможно появление ошибок. При появлении ошибки Kaspersky Endpoint Security показывает сообщение об ошибке, например, Error: Cannot start task 'EntAppControl'. Также Kaspersky Endpoint Security может показать дополнительные сведения в виде кода, например, error=8947906D (см. таблицу ниже).

Коды ошибок

Код ошибки

Описание

09479001

Лицензионный ключ для Kaspersky Endpoint Security уже используется на этом компьютере.

0947901D

Срок действия лицензии истек. Обновление баз недоступно.

89479002

Ключ не найден.

89479003

Цифровая подпись повреждена или не найдена.

89479004

Данные повреждены.

89479005

Файл ключа поврежден.

89479006

Истек срок действия лицензии или срок годности лицензионного ключа.

89479007

Файл ключа не указан.

89479008

Невозможно применить файл ключа.

89479009

Не удалось сохранить данные.

8947900A

Не удалось прочитать данные.

8947900B

Ошибка ввода/вывода.

8947900C

Базы не найдены.

8947900E

Библиотека лицензирования не загружена.

8947900F

Базы повреждены или обновлены вручную.

89479010

Базы повреждены.

89479011

Невозможно применить недействительный файл ключа для добавления резервного ключа.

89479012

Системная ошибка.

89479013

Список запрещенных ключей поврежден.

89479014

Цифровая подпись файла не соответствует цифровой подписи "Лаборатории Касперского".

89479015

Невозможно использовать ключ для некоммерческой лицензии в качестве ключа для коммерческой лицензии.

89479016

Чтобы использовать бета-версию приложения, требуется лицензия на бета-тестирование.

89479017

Файл ключа не подходит для данного приложения.

89479018

Ключ заблокирован "Лабораторией Касперского".

89479019

Приложение уже использовалось по пробной лицензии. Невозможно снова добавить ключ для пробной лицензии.

8947901A

Файл ключа поврежден.

8947901B

Цифровая подпись не найдена, повреждена или не соответствует цифровой подписи "Лаборатории Касперского".

8947901C

Невозможно добавить ключ, если срок действия соответствующей ему некоммерческой лицензии истек.

8947901E

Дата создания файла ключа или его применения некорректна. Проверьте системную дату.

8947901F

Невозможно добавить ключ для пробной лицензии, пока действует другая аналогичная лицензия.

89479020

Список запрещенных ключей поврежден или не найден.

89479021

Описание обновлений повреждено или не найдено.

89479022

Ошибка в служебных данных о лицензионном ключе.

89479023

Невозможно применить недействительный файл ключа для добавления резервного ключа.

89479025

Ошибка при отправке запроса на сервер активации. Возможные причины: ошибка соединения с интернетом или временные проблемы на сервере активации. Попробуйте активировать приложение с помощью кода активации позже. В случае повторения ошибки обратитесь к вашему интернет-провайдеру.

89479026

Ошибка в ответе от сервера активации.

89479027

Невозможно получить статус ответа.

89479028

Ошибка при сохранении временного файла.

89479029

Введен неверный код активации или на компьютере установлена некорректная системная дата. Проверьте системную дату на компьютере.

8947902A

Файл ключа не подходит для данного приложения или истек срок действия лицензии. Невозможно активировать Kaspersky Endpoint Security с помощью файла ключа для другого приложения.

8947902B

Не удалось получить файл ключа. Введен неверный код активации.

8947902C

Сервер активации возвратил ошибку 400.

8947902D

Сервер активации возвратил ошибку 401.

8947902E

Сервер активации возвратил ошибку 403.

8947902F

Сервер активации возвратил ошибку 404.

89479030

Сервер активации возвратил ошибку 405.

89479031

Сервер активации возвратил ошибку 406.

89479032

Требуется аутентификация на прокси-сервере. Проверьте параметры сети.

89479033

Время ожидания запроса истекло.

89479034

Сервер активации возвратил ошибку 409.

89479035

Сервер активации возвратил ошибку 410.

89479036

Сервер активации возвратил ошибку 411.

89479037

Сервер активации возвратил ошибку 412.

89479038

Сервер активации возвратил ошибку 413.

89479039

Сервер активации возвратил ошибку 414.

8947903A

Сервер активации возвратил ошибку 415.

8947903C

Внутренняя ошибка сервера.

8947903D

Функциональность не поддерживается.

8947903E

Некорректный ответ от шлюза. Проверьте параметры сети.

8947903F

Служба недоступна (ошибка HTTP 503).

89479040

Время ожидания ответа от шлюза истекло. Проверьте параметры сети.

89479041

Протокол не поддерживается сервером.

89479043

Неизвестная ошибка HTTP.

89479044

Некорректный идентификатор ресурса.

89479046

Некорректный адрес (URL).

89479047

Некорректная целевая папка.

89479048

Ошибка выделения памяти.

89479049

Ошибка конвертации параметров в ANSI-строку (url, folder, agent).

8947904A

Ошибка создания рабочего потока.

8947904B

Рабочий поток уже запущен.

8947904C

Рабочий поток не запущен.

8947904D

Файл ключа не найден на сервере активации.

8947904E

Ключ заблокирован.

8947904F

Внутренняя ошибка сервера активации.

89479050

Недостаточно данных в запросе на активацию.

89479053

Срок годности лицензионного ключа истек.

89479054

На компьютере установлена некорректная системная дата.

89479055

Срок действия пробной лицензии истек.

89479056

Срок действия лицензии истек.

89479057

Превышено допустимое количество активаций приложения с помощью указанного кода.

89479058

Процедура активации завершилась с системной ошибкой.

89479059

Невозможно использовать ключ для некоммерческой лицензии в качестве ключа для коммерческой лицензии.

8947905C

Требуется код активации.

89479062

Невозможно подключиться к серверу активации.

89479064

Сервер активации недоступен. Проверьте параметры подключения к интернету и попробуйте активировать приложение снова.

89479065

Дата выпуска баз приложения превышает дату окончания срока действия лицензии.

89479066

Невозможно заменить активный ключ на ключ с истекшим сроком годности.

89479067

Невозможно добавить резервный ключ, если его срок годности истекает раньше по сравнению с действующей лицензией.

89479068

Отсутствует обновленный ключ по подписке.

8947906A

Неверный код активации (не совпадает контрольная сумма).

8947906B

Ключ уже активен.

8947906C

Типы лицензий, которые соответствуют активному и резервному ключам, не совпадают.

8947906D

Лицензия не допускает работу компонента.

8947906E

Невозможно добавить ключ по подписке в качестве резервного.

89479213

Общая ошибка транспортного уровня.

89479214

Не удалось связаться с сервером активации.

89479215

Неверный формат веб-адреса.

89479216

Не удалось преобразовать адрес прокси-сервера.

89479217

Не удалось преобразовать адрес сервера. Проверьте параметры подключения к интернету.

89479218

Не удалось связаться с сервером активации или с прокси-сервером.

89479219

Отказ в удалённом доступе.

8947921A

Время ожидания ответа истекло.

8947921B

Ошибка отправки HTTP-запроса.

8947921C

Ошибка SSL-соединения.

8947921D

Операция прервана в результате обратного вызова.

8947921E

Слишком много перенаправлений.

8947921F

Проверка адресата завершилась с ошибкой.

89479220

Пустой ответ от сервера активации.

89479221

Ошибка отправки данных.

89479222

Ошибка приема данных.

89479223

Ошибка локального SSL-сертификата.

89479224

Ошибка SSL-шифрования.

89479225

Ошибка SSL-сертификата сервера.

89479226

Некорректное содержимое сетевого пакета.

89479227

Пользователю отказано в доступе.

89479228

Некорректный файл SSL-сертификата.

89479229

Не удалось установить SSL-соединение.

8947922A

Не удалось отправить или принять сетевой пакет. Повторите попытку позднее.

8947922B

Некорректный файл с отозванными сертификатами.

8947922C

Ошибка запроса SSL-сертификата.

89479401

Неизвестная ошибка сервера.

89479402

Внутренняя ошибка сервера.

89479403

Лицензионный ключ для введенного кода активации отсутствует.

89479404

Активный ключ заблокирован.

89479405

Отсутствуют обязательные параметры запроса для активации приложения.

89479406

Неверные имя пользователя или пароль.

89479407

На сервер передан неверный код активации.

89479408

Код активации не подходит для Kaspersky Endpoint Security. Неизвестно, для какого приложения предназначен код активации.

89479409

В запросе отсутствует код активации.

8947940B

Истек срок действия лицензии (по данным от сервера активации).

8947940C

Превышено число активаций приложения с помощью этого кода активации.

8947940D

Неверный формат идентификатора запроса.

8947940E

Код активации не подходит для Kaspersky Endpoint Security. Код активации предназначен для другого приложения "Лаборатории Касперского".

8947940F

Невозможно обновить лицензионный ключ.

89479410

Код активации не подходит для этого региона.

89479411

Код активации не подходит для языковой версии Kaspersky Endpoint Security.

89479412

Требуется дополнительное обращение к серверу активации.

89479413

Сервер активации вернул ошибку 643.

89479414

Сервер активации вернул ошибку 644.

89479415

Сервер активации вернул ошибку 645.

89479416

Сервер активации вернул ошибку 646.

89479417

Формат кода активации не поддерживается сервером активации.

89479418

Неверный формат кода активации.

89479419

На компьютере установлено некорректное системное время.

8947941A

Код активации не подходит для версии Kaspersky Endpoint Security.

8947941B

Подписка истекла.

8947941C

Превышен предел количества активаций для данного лицензионного ключа.

8947941D

Неверная цифровая подпись лицензионного ключа.

8947941E

Требуются дополнительные данные пользователя.

8947941F

Проверка данных пользователя завершена с ошибкой.

89479420

Подписка неактивна.

89479421

Технические работы на сервере активации.

89479501

Неизвестная ошибка на стороне Kaspersky Endpoint Security.

89479502

Передан недопустимый параметр (например, пустой список адресов серверов активации).

89479503

Неверный код активации.

89479504

Неверное имя пользователя.

89479505

Неверный пароль пользователя.

89479506

Сервер активации вернул неверный ответ.

89479507

Запрос на активацию прерван.

89479509

Сервер активации вернул пустой список переадресации.

В начало

[Topic 181294]

Приложение. Профили приложения

Профиль – компонент, задача или функция Kaspersky Endpoint Security. Профили предназначены для управления приложением из командной строки. Вы можете использовать профили для выполнения команд START, STOP, STATUS, STATISTICS и EXPORT. С помощью профилей вы можете настроить параметры приложения (например, STOP DeviceControl) или запустить задачу (например, START Scan_My_Computer).

Доступны следующие профили:

  • AdaptiveAnomaliesControl – Адаптивный контроль аномалий.
  • AMSI – AMSI-защита.
  • BehaviorDetection – Анализ поведения.
  • DeviceControl – Контроль устройств.
  • EntAppControl – Контроль приложений.
  • File_Monitoring или FM – Защита от файловых угроз.
  • Firewall или FW – Сетевой экран.
  • HIPS – Предотвращение вторжений.
  • IDS – Защита от сетевых угроз.
  • IntegrityCheck – Проверка целостности.
  • Mail_Monitoring или EM – Защита от почтовых угроз.
  • Rollback – Откат обновления.
  • Scan_ContextScan – Проверка из контекстного меню.
  • Scan_IdleScan – Фоновая проверка.
  • Scan_Memory – Проверка памяти ядра.
  • Scan_My_Computer – Полная проверка.
  • Scan_Objects – Выборочная проверка.
  • Scan_Qscan – Проверка объектов, загрузка которых осуществляется при запуске операционной системы.
  • Scan_Removable_Drive – Проверка съемных дисков.
  • Scan_Startup или STARTUP – Проверка важных областей.
  • Updater – Обновление.
  • Web_Monitoring или WM – Защита от веб-угроз.
  • WebControl – Веб-Контроль.

Также Kaspersky Endpoint Security поддерживает работу служебных профилей. Служебные профили могут понадобиться при обращении в Службу технической поддержки "Лаборатории Касперского".

В начало

[Topic 189442]

Управление приложением через REST API

Kaspersky Endpoint Security позволяет настраивать параметры приложения, запускать проверку и обновление антивирусных баз, а также выполнять другие задачи с помощью сторонних решений. Для этого Kaspersky Endpoint Security предоставляет API. Kaspersky Endpoint Security REST API работает по протоколу HTTP и представляет собой набор методов "запрос / ответ". То есть вы можете управлять Kaspersky Endpoint Security через стороннее решение, а не локальный интерфейс приложения или Консоль администрирования Kaspersky Security Center.

Для начала работы с REST API нужно установить Kaspersky Endpoint Security c поддержкой REST API. REST-клиент и Kaspersky Endpoint Security должны быть установлены на одном компьютере.

Для безопасной работы Kaspersky Endpoint Security c REST-клиентом выполните следующие требования:

  • Настройте защиту REST-клиента от несанкционированного доступа в соответствии с рекомендациями производителя REST-клиента. Также настройте защиту папки с REST-клиентом от записи с помощью списка управления избирательным доступом (англ. Discretionary Access Control List – DACL).
  • Для запуска REST-клиента используйте отдельную учетную запись с правами администратора. Запретите интерактивный вход в систему для этой учетной записи.

Управление приложением через REST API осуществляется по адресу http://127.0.0.1 или http://localhost. Удаленно управлять Kaspersky Endpoint Security через REST API невозможно.

ОТКРЫТЬ ДОКУМЕНТАЦИЮ REST API

В этом разделе справки

Установка приложения с REST API

Работа с API
В начало

[Topic 189530]

Установка приложения с REST API

Для управления приложением через REST API нужно установить Kaspersky Endpoint Security c поддержкой REST API. Если вы управляете Kaspersky Endpoint Security через REST API, управлять приложением с помощью Kaspersky Security Center невозможно.

Подготовка к установке приложения с поддержкой REST API

Для безопасной работы Kaspersky Endpoint Security с REST-клиентом вам нужно настроить идентификацию запросов. Для этого вам нужно установить сертификат и в дальнейшем подписывать полезные данные каждого запроса.

Для создания сертификата вы можете использовать, например, OpenSSL.

Пример:

$ openssl req -x509 -newkey rsa:4096 -keyout key.pem -out cert.pem -days 1825 -nodes

Используйте алгоритм шифрования RSA и размер ключа 2048 бит и более.

В результате вы получите сертификат cert.pem и закрытый ключ key.pem.

Установка приложения с поддержкой REST API

Чтобы установить Kaspersky Endpoint Security c поддержкой REST API, выполните следующие действия:

  1. Запустите интерпретатор командной строки cmd от имени администратора.
  2. Перейдите в папку, в которой расположен дистрибутив Kaspersky Endpoint Security версии 11.2.0 или выше.
  3. Установите Kaspersky Endpoint Security со следующими параметрами:
    • RESTAPI=1
    • RESTAPI_User=<Имя пользователя>

      Имя пользователя для управления приложением через REST API. Введите имя пользователя в формате <DOMAIN>\<UserName> (например, RESTAPI_User=COMPANY\Administrator). Вы можете управлять приложением через REST API только под этой учетной записью. Для работы с REST API вы можете выбрать только одного пользователя.

    • RESTAPI_Port=<Порт>

      Порт для обмена данными. Необязательный параметр. По умолчанию выбран порт 6782.

    • RESTAPI_Certificate=<Путь к сертификату>

      Сертификат для идентификации запросов (например, RESTAPI_Certificate=C:\cert.pem).

      Вы можете установить сертификат после установки приложения или обновить сертификат после истечения срока действия.

      Как установить сертификат для идентификации запросов REST API

      1. Выключите самозащиту Kaspersky Endpoint Security.

        Механизм самозащиты предотвращает изменение и удаление файлов приложения на жестком диске, процессов в памяти, записей в системном реестре.

      2. Перейдите в раздел с параметрами REST API в реестре: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\KasperskyLab\protected\KES\settings\RestApi.
      3. Введите путь к сертификату, например, Certificate = C:\Folder\cert.pem.
      4. Включите самозащиту Kaspersky Endpoint Security.
      5. Перезапустите приложение.
    • AdminKitConnector=1

      Управление приложением с помощью систем администрирования. По умолчанию управление разрешено.

    Также вы можете задать параметры работы с REST API с помощью файла setup.ini.

    Пример:

    setup_kes.exe /pEULA=1 /pPRIVACYPOLICY=1 /pKSN=1 /pALLOWREBOOT=1 /pAdminKitConnector=1 /pRESTAPI=1 /pRESTAPI_User=COMPANY\Administrator /pRESTAPI_Certificate=C:\cert.pem /s

В результате вы сможете управлять приложением через REST API. Для проверки работы откройте документацию REST API с помощью GET-запроса.

Пример:

GET http://localhost:6782/kes/v1/api-docs

Если вы установили приложение с поддержкой REST API, Kaspersky Endpoint Security автоматически создает в параметрах Веб-Контроля разрешающее правило доступа к веб-ресурсам Служебное правило для REST API. Это правило нужно для обеспечения постоянного доступа REST-клиента к Kaspersky Endpoint Security. Например, если вы ограничили доступ пользователя к веб-ресурсам, это не повлияет на управление приложением через REST API. Мы рекомендуем не удалять правило и не изменять параметры правила Служебное правило для REST API. Если вы удалили правило, Kaspersky Endpoint Security восстановит правило после перезапуска приложения.

В начало

[Topic 189531]

Работа с API

Ограничить доступ к приложению через REST API с помощью Защиты паролем невозможно. Например, запретить выключать защиту через REST API невозможно. Вы можете настроить Защиту паролем через REST API и ограничить доступ пользователей к приложению через локальный интерфейс.

Для управления приложением через REST API нужно запустить REST-клиент под учетной записью, которую вы задали при установке приложения с поддержкой REST API. Для работы с REST API вы можете выбрать только одного пользователя.

ОТКРЫТЬ ДОКУМЕНТАЦИЮ REST API

Управление приложением через REST API состоит из следующих этапов:

  1. Получите текущие значения параметров приложения. Для этого отправьте GET-запрос.

    Пример:

    GET http://localhost:6782/kes/v1/settings/ExploitPrevention
  2. Приложение отправит ответ со структурой и значениями параметров. Kaspersky Endpoint Security поддерживает XML- и JSON-форматы.

    Пример:

    {

    "action": 0,

    "enableSystemProcessesMemoryProtection": true,

    "enabled": true

    }
  3. Измените параметры приложения. Используйте структуру параметров, полученную в ответ от GET-запроса.

    Пример:

    {

    "action": 0,

    "enableSystemProcessesMemoryProtection": false,

    "enabled": true

    }
  4. Сохраните параметры приложения (полезные данные) в JSON (payload.json).
  5. Подпишите JSON в формате PKCS7.

    Пример:

    $ openssl smime -sign -in payload.json -signer cert.pem -inkey key.pem -nodetach -binary -outform pem -out signed_payload.pem

    В результате вы получите подписанный файл с полезными данными запроса (signed_payload.pem).

  6. Измените параметры приложения. Для этого отправьте POST-запрос c прикрепленным подписанным файлом с полезными данными запроса (signed_payload.pem).

Приложение применит изменения в параметрах и отправит ответ с результатами настройки приложения (ответ может быть пустым). Вы можете убедиться в том, что параметры изменены, с помощью GET-запроса.

В начало

[Topic 80831]

Источники информации о программе

Страница Kaspersky Endpoint Security на веб-сайте "Лаборатории Касперского"

На странице Kaspersky Endpoint Security вы можете получить общую информацию о программе, ее возможностях и особенностях работы.

Страница Kaspersky Endpoint Security содержит ссылку на интернет-магазин. В нем вы можете приобрести программу или продлить право пользования программой.

Страница Kaspersky Endpoint Security в Базе знаний

База знаний – это раздел веб-сайта Службы технической поддержки.

На странице Kaspersky Endpoint Security в Базе знаний вы найдете статьи, которые содержат полезную информацию, рекомендации и ответы на часто задаваемые вопросы о приобретении, установке и использовании программы.

Статьи Базы знаний могут отвечать на вопросы, которые относятся не только к Kaspersky Endpoint Security, но и к другим программам "Лаборатории Касперского". Статьи Базы знаний также могут содержать новости Службы технической поддержки.

Обсуждение программ "Лаборатории Касперского" в сообществе пользователей

Если ваш вопрос не требует срочного ответа, вы можете обсудить его со специалистами "Лаборатории Касперского" и c другими пользователями в нашем сообществе.

В сообществе вы можете просматривать опубликованные темы, добавлять свои комментарии, создавать новые темы для обсуждения.

В начало

[Topic 128165]

Обращение в Службу технической поддержки

Если вы не нашли решения вашей проблемы в документации или других источниках информации о Kaspersky Endpoint Security, рекомендуется обратиться в Службу технической поддержки. Сотрудники Службы технической поддержки ответят на ваши вопросы об установке и использовании Kaspersky Endpoint Security.

Kaspersky предоставляет поддержку Kaspersky Endpoint Security в течение жизненного цикла (см. страницу жизненного цикла программ). Прежде чем обратиться в Службу технической поддержки, ознакомьтесь с правилами предоставления технической поддержки.

Вы можете связаться со специалистами Службы технической поддержки одним из следующих способов:

После того как вы проинформируете специалистов Службы технической поддержки "Лаборатории Касперского" о возникшей проблеме, они могут попросить вас создать файл трассировки. Файл трассировки позволяет отследить процесс пошагового выполнения команд приложения и обнаружить, на каком этапе работы приложения возникает ошибка.

Кроме того, специалистам Службы технической поддержки может понадобиться дополнительная информация об операционной системе, запущенных процессах на компьютере, подробные отчеты работы компонентов приложения.

Во время работ по диагностике специалисты Службы технической поддержки могут попросить вас изменить параметры приложения:

  • Активировать функциональность получения расширенной диагностической информации.
  • Выполнить более тонкую настройку работы отдельных компонентов приложения, недоступную через стандартные средства пользовательского интерфейса.
  • Изменить параметры хранения полученной диагностической информации.
  • Настроить перехват и сохранение в файл сетевого трафика.

Вся необходимая для выполнения перечисленных действий информация (описание последовательности шагов, изменяемые параметры, конфигурационные файлы, скрипты, дополнительные возможности командной строки, отладочные модули, специализированные утилиты и так далее), а также состав полученных в отладочных целях данных будут сообщены вам специалистами Службы технической поддержки. Полученная расширенная диагностическая информация сохраняется на компьютере пользователя. Автоматическая пересылка полученных данных в "Лабораторию Касперского" не выполняется.

Перечисленные выше действия должны выполняться только под руководством специалистов Службы технической поддержки по полученным от них инструкциям. Самостоятельное изменение параметров работы приложения способами, не описанными в справке или в рекомендациях специалистов Службы технической поддержки, может привести к замедлению и сбоям в работе операционной системы, снижению уровня защиты компьютера, а также к нарушению доступности и целостности обрабатываемой информации.

В этом разделе справки

О составе и хранении файлов трассировки

Трассировка работы приложения

Трассировка производительности приложения

Запись дампов

Защита файлов дампов и трассировок
В начало

[Topic 124710]

О составе и хранении файлов трассировки

Вы сами несете ответственность за обеспечение безопасности полученной информации и, в частности, за контроль и ограничение доступа к полученной информации, хранимой на компьютере, до ее передачи в "Лабораторию Касперского".

Файлы трассировки хранятся на вашем компьютере в течение всего времени использования приложения и безвозвратно удаляются при удалении приложения.

Файлы трассировки, кроме файлов трассировки Агента аутентификации, хранятся в папке %ProgramData%\Kaspersky Lab\KES\Traces.

Файлы трассировки называются следующим образом: KES<служебный номер версии_dateXX.XX_timeXX.XX_pidXXX.><тип файла трассировки>.log.

Вы можете просмотреть данные, записанные в файлы трассировки.

Все файлы трассировки содержат следующие общие данные:

  • Время события.
  • Номер потока выполнения.

    Эту информацию не содержит файл трассировки Агента аутентификации.

  • Компонент приложения, в результате работы которого произошло событие.
  • Степень важности события (информационное, предупреждение, критическое, ошибка).
  • Описание события выполнения команды компонента приложения и результата выполнения этой команды.

Kaspersky Endpoint Security сохраняет пароли пользователя в файл трассировки только в зашифрованном виде.

Содержание файлов трассировки SRV.log, GUI.log и ALL.log

В файлы трассировки SRV.log, GUI.log и ALL.log, помимо общих данных, может записываться следующая информация:

  • Персональные данные, в том числе фамилия, имя и отчество, если эти данные являются частью пути к файлам на локальном компьютере.
  • Данные об установленном на компьютере аппаратном обеспечении (например, данные о прошивке BIOS / UEFI). Эти данные записываются в файлы трассировки при выполнении полнодискового шифрования по технологии Шифрование диска Kaspersky.
  • Имя пользователя и пароль, если они передавались в открытом виде. Эти данные могут записываться в файлы трассировки при проверке интернет-трафика.
  • Имя пользователя и пароль, если они содержатся в заголовках протокола HTTP.
  • Имя учетной записи для входа в Microsoft Windows, если имя учетной записи является частью имени файла.
  • Адрес вашей электронной почты или веб-адрес с именем учетной записи и паролем, если они содержатся в имени обнаруженного объекта.
  • Веб-сайты, которые вы посещаете, а также ссылки с этих веб-сайтов. Эти данные записываются в файлы трассировки, когда приложение проверяет веб-сайты.
  • Адрес прокси-сервера, имя компьютера, порт, IP-адрес, имя пользователя, используемое при авторизации на прокси-сервере. Эти данные записываются в файлы трассировки, если приложение использует прокси-сервер.
  • Внешние IP-адреса, с которыми было установлено соединение с вашего компьютера.
  • Тема сообщения, идентификатор, имя отправителя и адрес веб-страницы отправителя сообщения в социальной сети. Эти данные записываются в файлы трассировки, если включен компонент Веб-Контроль.
  • Данные о сетевом трафике. Эти данные записываются в файлы трассировки, если включены компоненты мониторинга трафика (например, Веб-Контроль).
  • Данные, полученные с серверов "Лаборатории Касперского" (например, версия антивирусных баз).
  • Статусы компонентов Kaspersky Endpoint Security и сведения об их работе.
  • Данные о действиях пользователя в приложении.
  • События операционной системы.

Содержание файлов трассировки HST.log, BL.log, Dumpwriter.log, WD.log, AVPCon.dll.log

Файл трассировки HST.log, помимо общих данных, содержит информацию о выполнении задачи обновления баз и модулей приложения.

Файл трассировки BL.log, помимо общих данных, содержит информацию о событиях, возникающих во время работы приложения, а также данные, необходимые для устранения неполадок в работе приложения. Этот файл создается, если приложение запускается с параметром avp.exe –bl.

Файл трассировки Dumpwriter.log, помимо общих данных, содержит служебную информацию, необходимую для устранения неполадок, возникающих при записи файла дампа приложения.

Файл трассировки WD.log, помимо общих данных, содержит информацию о событиях, возникающих в процессе работы службы avpsus, в том числе события обновления модулей приложения.

Файл трассировки AVPCon.dll.log, помимо общих данных, содержит информацию о событиях, возникающих при работе модуля связи с Kaspersky Security Center.

Содержание файлов трассировки производительности

Файлы трассировки производительности называются следующим образом: KES<номер версии_dateXX.XX_timeXX.XX_pidXXX.>PERF.HAND.etl.

Файлы трассировки производительности, помимо общих данных, содержат информацию о нагрузке на процессор, о времени загрузки операционной системы и приложений, о запущенных процессах.

Содержание файла трассировки компонента AMSI-защита

Файл трассировки AMSI.log, помимо общих данных, содержит информацию о результатах проверок, запрошенных сторонними приложениями.

Содержание файла трассировки компонента Защита от почтовых угроз

Файл трассировки mcou.OUTLOOK.EXE.log, помимо общих данных, может содержать части сообщений электронной почты, в том числе адреса электронной почты.

Содержание файла трассировки компонента Проверка из контекстного меню

Файл трассировки shellex.dll.log, помимо общих данных, содержит информацию о выполнении задачи проверки и данные, необходимые для устранения неполадок в работе приложения.

Содержание файлов трассировки веб-плагина приложения

Файлы трассировки веб-плагина приложения хранятся на компьютере, на котором развернута Kaspersky Security Center Web Console, в папке Program Files\Kaspersky Lab\Kaspersky Security Center Web Console\logs.

Файлы трассировки веб-плагина приложения называются следующим образом: logs-kes_windows-<тип файла трассировки>.DESKTOP-<дата обновления файла>.log. Web Console начинает записывать данные после установки и удаляет файлы трассировки после удаления Web Console.

Файлы трассировки веб-плагина приложения, помимо общих данных, содержат следующую информацию:

Содержание файла трассировки Агента аутентификации

Файл трассировки Агента аутентификации хранится в папке System Volume Information и называется следующим образом: KLFDE.{EB2A5993-DFC8-41a1-B050-F0824113A33A}.PBELOG.bin.

Файл трассировки Агента аутентификации, помимо общих данных, содержит информацию о работе Агента аутентификации и действиях, которые выполняет пользователь в Агенте аутентификации.

В начало

[Topic 128166]

Трассировка работы приложения

Трассировка приложения – это подробная запись действий, выполняемых приложением, и сообщений о событиях, происходящих во время работы приложения.

Выполняйте трассировку приложения под руководством Службы технической поддержки "Лаборатории Касперского".

Чтобы создать файл трассировки приложения, выполните следующие действия:

  1. В главном окне приложения нажмите на кнопку icon_support.
  2. В открывшемся окне нажмите на кнопку Мониторинг проблем.
  3. Используйте переключатель Включить трассировку приложения, чтобы включить или выключить трассировку работы приложения.
  4. В раскрывающемся списке Трассировка выберите режим трассировки работы приложения:
    • С ротацией. Сохранить результаты трассировки в ограниченное число файлов ограниченного размера и перезаписать старые файлы при достижении максимального размера. Если выбран этот режим, вы можете указать максимальное количество файлов для ротации и максимальный размер каждого файла.
    • Записывать в один файл. Сохранить один файл трассировки (без ограничений по размеру).
  5. В раскрывающемся списке Уровень выберите уровень трассировки.

    Требуемый уровень трассировки рекомендуется уточнить у специалиста Службы технической поддержки. Если указания Службы технической поддержки отсутствуют, рекомендуется устанавливать уровень трассировки Обычный (500).

  6. Перезапустите Kaspersky Endpoint Security.
  7. Чтобы остановить процесс трассировки, вернитесь в окно Мониторинг проблем и выключите трассировку.

Вы также можете создать файлы трассировки во время установки приложения из командной строки, в том числе с помощью файла setup.ini.

В результате в папке %ProgramData%\Kaspersky Lab\KES\Traces будет создан файл трассировки работы приложения. После создания файла трассировки отправьте файл в Службу технической поддержки "Лаборатории Касперского".

Kaspersky Endpoint Security автоматически удаляет файлы трассировки при удалении приложения. Вы также можете вручную удалить файлы. Для этого трассировка должна быть выключена и приложение остановлено.

В начало

[Topic 177255]

Трассировка производительности приложения

Kaspersky Endpoint Security позволяет получить информацию о проблемах в работе компьютера при использовании приложения. Например, вы можете получить информацию о задержках при загрузке операционной системы после установки приложения. Для этого Kaspersky Endpoint Security создает файлы трассировки производительности. Трассировка производительности – это запись действий, выполняемых приложением, для диагностики проблем производительности Kaspersky Endpoint Security. Для получения информации Kaspersky Endpoint Security использует сервис трассировки событий Windows (англ. ETW – Event Tracing for Windows). Диагностику работы Kaspersky Endpoint Security и установление причин возникновения проблем выполняет Служба технической поддержки "Лаборатории Касперского".

Выполняйте трассировку приложения под руководством Службы технической поддержки "Лаборатории Касперского".

Чтобы создать файл трассировки производительности, выполните следующие действия:

  1. В главном окне приложения нажмите на кнопку icon_support.
  2. В открывшемся окне нажмите на кнопку Мониторинг проблем.
  3. Используйте переключатель Включить трассировку производительности, чтобы включить или выключить трассировку производительности приложения.
  4. В раскрывающемся списке Трассировка выберите режим трассировки работы приложения:
    • С ротацией. Сохранить результаты трассировки в ограниченное число файлов ограниченного размера и перезаписать старые файлы при достижении максимального размера. Если выбран этот режим, вы можете указать максимальный размер каждого файла.
    • Записывать в один файл. Сохранить один файл трассировки (без ограничений по размеру).
  5. В раскрывающемся списке Уровень выберите уровень трассировки:
    • Поверхностный. Kaspersky Endpoint Security анализирует основные процессы операционной системы, связанные с производительностью.
    • Детальный. Kaspersky Endpoint Security анализирует все процессы операционной системы, связанные с производительностью.
  6. В раскрывающемся списке Тип трассировки выберите тип трассировки:
    • Базовая информация. Kaspersky Endpoint Security анализирует процессы во время работы операционной системы. Используйте этот тип трассировки, если проблема воспроизводится после загрузки операционной системы, например, проблема доступа в интернет в браузере.
    • При перезагрузке. Kaspersky Endpoint Security анализирует процессы только на этапе загрузки операционной системы. После загрузки операционной системы Kaspersky Endpoint Security останавливает трассировку. Используйте этот тип трассировки, если проблема связана с задержкой загрузки операционной системы.
  7. Перезагрузите компьютер и воспроизведите проблему.
  8. Чтобы остановить процесс трассировки, вернитесь в окно Мониторинг проблем и выключите трассировку.

В результате в папке %ProgramData%\Kaspersky Lab\KES\Traces будет создан файл трассировки производительности. После создания файла трассировки отправьте файл в Службу технической поддержки "Лаборатории Касперского".

В начало

[Topic 158644]

Запись дампов

Файл дампа содержит всю информацию о рабочей памяти процессов Kaspersky Endpoint Security на момент создания этого файла дампа.

Сохраненные дампы могут содержать конфиденциальные данные. Для контроля доступа к данным вам нужно самостоятельно обеспечить защиту файлов дампов.

Файлы дампов хранятся на вашем компьютере в течение всего времени использования приложения и безвозвратно удаляются при удалении приложения. Файлы дампов хранятся в папке %ProgramData%\Kaspersky Lab\KES\Traces.

Чтобы включить или выключить запись дампов, выполните следующие действия:

  1. В главном окне приложения нажмите на кнопку icon_settings.
  2. В окне параметров приложения выберите раздел Общие настройкиНастройки приложения.
  3. В блоке Отладочная информация используйте флажок Включить запись дампов, чтобы включить или выключить запись дампов приложения.
  4. Сохраните внесенные изменения.
В начало

[Topic 131264]

Защита файлов дампов и трассировок

Файлы дампов и файлы трассировки содержат информацию об операционной системе, а также могут содержать данные пользователя. Чтобы предотвратить несанкционированный доступ к этим данным, вы можете включить защиту файлов дампов и файлов трассировки.

Если защита файлов дампов и файлов трассировки включена, доступ к файлам имеют следующие пользователи:

  • К файлам дампов имеют доступ системный и локальный администраторы, а также пользователь, включивший запись файлов дампов и файлов трассировки.
  • К файлам трассировки имеют доступ только системный и локальный администраторы.

Чтобы включить или выключить защиту файлов дампов и файлов трассировки, выполните следующие действия:

  1. В главном окне приложения нажмите на кнопку icon_settings.
  2. В окне параметров приложения выберите раздел Общие настройкиНастройки приложения.
  3. В блоке Отладочная информация используйте флажок Включить защиту файлов дампов и файлов трассировки, чтобы включить или выключить защиту файлов.
  4. Сохраните внесенные изменения.

Файлы дампов и файлы трассировки, записанные при включенной защите, остаются защищенными после отключения этой функции.

В начало

[Topic 201943]

Ограничения и предупреждения

Развернуть всё | Свернуть всё

Kaspersky Endpoint Security имеет ряд некритичных для работы приложения ограничений.

Установка приложения

  • Особенности поддержки операционной системы Microsoft Windows 10, Microsoft Windows Server 2016 и Microsoft Windows Server 2019 вы можете узнать в базе знаний Службы технической поддержки.
  • Особенности поддержки операционной системы Microsoft Windows 11 и Microsoft Windows Server 2022 вы можете узнать в базе знаний Службы технической поддержки.
  • После установки на зараженный компьютер приложение не предупреждает пользователя о необходимости запустить проверку компьютера. Могут возникнуть проблемы с активацией приложения. Для решения этих проблем запустите проверку важных областей.
  • Если в файле setup.ini и setup.reg используются не ASCII-символы (например, русские буквы), мы рекомендуем редактировать файл с помощью notepad.exe и сохранять файл в кодировке UTF-16LE. Другие кодировки не поддерживаются.
  • Использование не ASCII-символов при указании пути установки приложения в параметрах инсталляционного пакета не поддерживается.
  • При импорте настроек приложения из CFG-файла не применяется значение параметра, который определяет участие в Kaspersky Security Network. После импорта параметров ознакомьтесь с текстом Положения о Kaspersky Security Network и подтвердите согласие на участие в Kaspersky Security Network. Ознакомиться с текстом Положения вы можете в интерфейсе приложения или в текстовом файле ksn_*.txt, который расположен в папке с дистрибутивом приложения.
  • При удалении и повторной установке шифрования (FLE или FDE) или компонента Контроль устройств требуется выполнить перезагрузку системы перед повторной установкой.
  • На операционной системе Microsoft Windows 10 после удаления компонента файлового шифрования (FLE) необходимо выполнить перезагрузку системы.
  • При попытке установить Модуль шифрования AES любой версии на компьютер с Kaspersky Endpoint Security для Windows 11.10.0 установка Модуля шифрования завершится ошибкой с текстом, что установлено приложение более новой версии, если ни один из компонентов шифрования не установлен. Начиная с версии Kaspersky Endpoint Security 10 для Windows Service Pack 2 (версия 10.3.0.6294) отдельного установочного файла для Модуля шифрования нет. Библиотеки шифрования включены в дистрибутив приложения. Kaspersky Endpoint Security 11.10.0 несовместим с модулями шифрования AES. Необходимые для шифрования библиотеки устанавливаются автоматически при выборе компонента для шифрования дисков (FDE) или компонента для шифрования файлов и папок (FLE).
  • Установка приложения может завершиться с ошибкой На вашем компьютере установлена программа, в которой имя программы отсутствует или нечитаемое. Это означает, что на вашем компьютере остались несовместимые приложения или их фрагменты. Для удаления артефактов несовместимых приложений отправьте запрос с подробным описанием ситуации в техническую поддержку "Лаборатории Касперского" через Kaspersky CompanyAccount.
  • Если вы отменили удаление приложения, запустите ее восстановление после перезагрузки компьютера.
  • На компьютерах с Windows 10 версии 1903 и 1909 обновление с версий Kaspersky Endpoint Security 10 для Windows Service Pack 2 Maintenance Release 3 (сборка 10.3.3.275), Service Pack 2 Maintenance Release 4 (сборка 10.3.3.304), 11.0.0 и 11.0.1 с установленным компонентом файлового шифрования (FLE) может завершиться ошибкой. Это вызвано тем, что на Windows 10 версии 1903 и 1909 для этих версий Kaspersky Endpoint Security для Windows не поддерживается файловое шифрование. Перед установкой обновления мы рекомендуем удалить компонент файлового шифрования.
  • Для работы приложения на компьютере должна быть установлена платформа Microsoft .NET Framework 4.0 или выше. Microsoft .NET Framework версии 4.6.1 имеет уязвимости. Если вы используете Microsoft .NET Framework 4.6.1, вам нужно установить обновления безопасности. Подробнее об обновлениях безопасности Microsoft .NET Framework см. на сайте технической поддержки Microsoft.
  • Если установка приложения с выбранным компонентом Kaspersky Endpoint Agent на серверной операционной системе завершилась неудачно и появилось окно Windows Installer Coordinator Error, смотрите инструкцию на сайте поддержки Microsoft.
  • Если приложение было установлено локально в тихом режиме, для смены установленных компонентов используйте подложенный файл setup.ini.
  • После установки приложения Kaspersky Endpoint Security для Windows на некоторых конфигурациях Windows 7 продолжает работать Windows Defender. Мы рекомендуем отключить Windows Defender вручную, чтобы избежать медленной работы системы.
  • При установке приложения Kaspersky Endpoint Security для Windows на сервер с установленными приложениями Kaspersky Security для Windows Server (KSWS) и Windows Defender необходимо выполнить перезагрузку системы. Перезагрузка системы нужна, даже если вы включили установку приложения без перезагрузки системы. Windows Defender для Windows Server включен в список несовместимого ПО для Kaspersky Endpoint Security для Windows. Перед установкой приложения инсталлятор удаляет Windows Defender для Windows Server. После удаления несовместимого ПО перезагрузка системы обязательна.
  • Перед установкой приложения Kaspersky Endpoint Security для Windows (KES) на сервер с установленным приложением Kaspersky Security для Windows Server (KSWS) необходимо выключить Защиту паролем KSWS. После миграции с KSWS на KES включите Защиту паролем в параметрах приложения.
  • На компьютерах под управлением Windows 7 или Windows Server 2008 R2 с развернутым программным обеспечением Veeam Backup & Replication для установки приложения может потребоваться перезагрузить компьютер и повторить попытку установки приложения.

Обновление приложения

  • При обновлении с Kaspersky Endpoint Security 10 для Windows Service Pack 2 (сборка 10.3.0.6294) компонент Предотвращение вторжений переводится во включенное состояние.
  • При обновлении Kaspersky Endpoint Security 10 для Windows Service Pack 2 (сборка 10.3.0.6294) в резервное хранилище новой версии приложения переносятся файлы, которые помещены в резервное хранилище и на карантин в предыдущей версии приложения. Для версий ниже Kaspersky Endpoint Security 10 для Windows Service Pack 2 (сборка 10.3.0.6294) эти файлы не переносятся. Для их сохранения необходимо восстановить файлы из карантина и резервного хранилища до начала обновления приложения. После завершения обновления выполните повторное сканирование восстановленных файлов.
  • Обновление Kaspersky Endpoint Security 10 для Windows Service Pack 2 до версии 11.10 и выше может завершиться с ошибкой. При этом компоненты приложения имеют статус Ошибка (англ. Failed), а компьютер в консоли Kaspersky Security Center имеет статус Программа безопасности не установлена. Для обновления приложения необходимо выполнить следующие действия:
    1. В консоли Kaspersky Security Center создайте новую группу устройств и переместите в группу компьютеры со статусом Программа безопасности не установлена.
    2. Создайте задачу Удаленная установка приложения для новой группы устройств. В свойствах задачи выберите инсталляционный пакет новой версии приложения.
    3. Перезагрузите компьютеры.

    В результате на компьютеры пользователей будет установлена новая версия приложения. Проверьте статус компьютеров в консоли Kaspersky Security Center.

  • Начиная с версии приложения 11.0.0 вы можете установить MMC-плагин Kaspersky Endpoint Security для Windows поверх предыдущей версии плагина. Чтобы вернуть плагин предыдущей версии, удалите плагин текущей версии и установите плагин предыдущей версии.
  • При обновлении версии Kaspersky Endpoint Security 11.0.0 и 11.0.1 для Windows не сохраняются настройки расписания локальных задач Обновление, Проверка важных областей, Выборочная проверка и Проверка целостности.
  • На компьютерах с Windows 10 версии 1903 и 1909 обновление с версий Kaspersky Endpoint Security 10 для Windows Service Pack 2 Maintenance Release 3 (сборка 10.3.3.275), Service Pack 2 Maintenance Release 4 (сборка 10.3.3.304), 11.0.0 и 11.0.1 с установленным компонентом файлового шифрования (FLE) может завершиться ошибкой. Это вызвано тем, что на Windows 10 версии 1903 и 1909 для этих версий Kaspersky Endpoint Security для Windows не поддерживается файловое шифрование. Перед установкой обновления мы рекомендуем удалить компонент файлового шифрования.
  • Для работы приложения на компьютере должна быть установлена платформа Microsoft .NET Framework 4.0 или выше. Microsoft .NET Framework версии 4.6.1 имеет уязвимости. Если вы используете Microsoft .NET Framework 4.6.1, вам нужно установить обновления безопасности. Подробнее об обновлениях безопасности Microsoft .NET Framework см. на сайте технической поддержки Microsoft.
  • Если вы выполняете обновление предыдущей версии приложения до версии 11.10.0, для установки Kaspersky Endpoint Agent перезагрузите компьютер и войдите в систему под учетной записью с правами локального администратора, иначе Kaspersky Endpoint Agent в процессе обновления установлен не будет.
  • Если вы обновляете Kaspersky Endpoint Security 10 для Windows Service Pack 2 Maintenance Release 4 с установленным компонентом файлового шифрования (FLE) на компьютерах с операционной системой Windows 10 версии 1809, 1903 и 1909, FDE-драйверы не будут устанавливаться в образ WinRE.
  • При обновлении Kaspersky Endpoint Security приложение выключает использование KSN пока не будет принято Положение о Kaspersky Security Network. При этом в Kaspersky Security Center статус компьютера может быть изменен на Критический, получено событие Серверы KSN недоступны. Также, если вы используете Kaspersky Managed Detection and Response, вы получите события о нарушениях в работе решения. Использование KSN является обязательным условием для работы Kaspersky Managed Detection and Response. Kaspersky Endpoint Security включит использование KSN после применения политики, в которой администратор принял условия использования KSN. После того, как Положение о Kaspersky Security Network принято, Kaspersky Endpoint Security восстановит свою работу.
  • После обновления Kaspersky Endpoint Security до версии 11.10.0 и выше без перезагрузки на компьютере будет установлено два приложения Kaspersky Endpoint Security. Не удаляйте предыдущую версию приложения вручную. Предыдущая версия приложения будет удалена автоматически после перезагрузки компьютера.
  • После обновления приложения с версий ниже Kaspersky Endpoint Security 11 для Windows обязательно перезагружайте компьютер.

Поддержка серверных платформ

  • Файловая система ReFS поддерживается с ограничениями:
    • Kaspersky Endpoint Security может некорректно обрабатывать события устранения угроз. То есть приложение, например, удалило вредоносный файл, но в отчетах может быть запись о том, что объект не обработан. При этом Kaspersky Endpoint Security устраняет угрозы в соответствии с настроенными параметрами приложения. Также Kaspersky Endpoint Security может создавать копию события Объект будет вылечен при перезагрузке для одного объекта.
    • Защита от файловых угроз может пропускать некоторые угрозы. При этом антивирусная проверка работает корректно.
    • После запуска антивирусной проверки сервера исключения из проверки, добавленные с помощью технологии iChecker, сбрасываются после перезагрузки сервера.
    • Технология iSwift не поддерживается. Kaspersky Endpoint Security не учитывает исключения из проверки, добавленные с помощью технологии iSwift.
    • Kaspersky Endpoint Security не обнаруживает файлы eicar.com и susp-eicar.com, если файл meicar.exe находился на компьютере до установки Kaspersky Endpoint Security.
    • Kaspersky Endpoint Security может некорректно показывать уведомления об устранении угроз. То есть, приложение, например, может показать уведомление об угрозе, которая уже устранена.
  • Шифрование файлов (FLE) и технология Шифрование диска Kaspersky (FDE) на серверных платформах не поддерживаются. При этом Kaspersky Endpoint Security может некорректно обрабатывать события шифрования данных.
  • В серверных операционных системах не выводится предупреждение о необходимости лечения активного заражения.
  • Операционная система Microsoft Windows Server 2008 исключена из поддержки. Установка приложения на компьютер под управлением операционной системы Microsoft Windows Server 2008 не поддерживается.
  • Приложение Kaspersky Endpoint Security, установленное на сервер с развернутым решением Microsoft Data Protection Manager (DPM), может вызывать сбои в работе DPM. Это связано с ограничениями в работе DPM. Для устранения сбоев вам следует добавить локальные диски сервера в исключения для компонента Защита от файловых угроз и задач Антивирусная проверка.
  • Режим основных серверных компонентов (англ. Core Mode) поддерживается с ограничениями:
    • Недоступен локальный графический интерфейс приложения, включая уведомления, всплывающие подсказки и другие элементы интерфейса. У приложения нет возможности показать окна запросов, включая следующие окна:
      • запрос подтверждения обновления версии и модулей приложения;
      • запрос для перезагрузки компьютера;
      • запрос учетных данных для аутентификации на прокси-сервере;
      • запрос для получения доступа к устройству (Контроль устройств).
    • Недоступны следующие компоненты: Защита от веб-угроз, Защита от почтовых угроз, Веб-Контроль, Защита от атак BadUSB.
    • Недоступна функция Анти-Бриджинг.
    • Вы можете принять Положение о Kaspersky Security Network только в политике приложения в консоли Kaspersky Security Center.
    • Шифрование диска BitLocker доступно только с помощью доверенного платформенного модуля (TPM). Использовать PIN / пароль при шифровании невозможно, так как у приложения нет возможности показать окно запроса пароля для предзагрузочной аутентификации. Если в операционной системе включен режим совместимости с Федеральным стандартом обработки информации (FIPS), вам нужно подключить съемный диск для сохранения ключа шифрования до начала шифрования диска.

Поддержка виртуальных платформ

  • Не поддерживается полнодисковое шифрование (FDE) на виртуальных машинах Hyper-V.
  • Не поддерживается полнодисковое шифрование (FDE) на виртуальных платформах Citrix.
  • Операционная система Windows 10 Enterprise multi-session поддерживается с ограничениями:
    • Kaspersky Endpoint Security выполняет лечение активных угроз без уведомления пользователя, как при лечении активного заражения на серверах. Из-за того, что операционная система позволяет работать в многосеансовом режиме, другие активные пользователи могут потерять свои данные, если не устранить угрозу немедленно.
    • Не поддерживается полнодисковое шифрование (FDE).
    • Не поддерживается управление BitLocker.
    • Не поддерживается работа Kaspersky Endpoint Security со съемными дисками. Инфраструктура Microsoft Azure определяет съемные диски как сетевые диски.
  • Не поддерживается установка и использование шифрования файлов и папок (FLE) на виртуальных платформах Citrix.
  • Для поддержки совместимости Kaspersky Endpoint Security для Windows с Citrix PVS выполняйте установку с включенной опцией Обеспечить совместимость с Citrix PVS. Опцию можно включить в мастере установки или через параметр командной строки /pCITRIXCOMPATIBILITY=1. При удаленной установке необходимо отредактировать файл с расширением kud, добавив в него параметр /pCITRIXCOMPATIBILITY=1.
  • Citrix XenDesktop. Перед началом клонирования необходимо отключить самозащиту для клонирования виртуальных машин, которые используют vDisk.
  • При подготовке эталонной машины для мастер-образа Citrix XenDesktop с предустановленным Kaspersky Endpoint Security для Windows и Агентом администрирования Kaspersky Security Center добавьте в конфигурационный файл исключения вида:

    [Rule-Begin]

    Type=File-Catalog-Construction

    Action=Catalog-Location-Guest-Modifiable

    name="%ALLUSERSPROFILE%\Kaspersky Lab\**\*"

    name="%ALLUSERSPROFILE%\KasperskyLab\**\*"

    [Rule-End]

    Подробнее о Citrix XenDesktop смотрите на сайте поддержки Citrix.

  • В некоторых случаях на виртуальной машине, развернутой на гипервизоре VMware ESXi, попытка безопасного извлечения съемного диска может завершиться неудачно. Выполните безопасное извлечение устройства еще раз.

Совместимость с Kaspersky Security Center

  • Вы можете управлять компонентом Адаптивный контроль аномалий только в Kaspersky Security Center версии 11 и выше.
  • В отчете Kaspersky Security Center 11 для угроз, обнаруженных с помощью компонента AMSI-защита, может не отображаться информация о действии, предпринятом в отношении угрозы.
  • Статус работы компонентов AMSI-защита и Адаптивный контроль аномалий доступен только в Kaspersky Security Center версии 11 и выше. Вы можете просмотреть статус работы в консоли Kaspersky Security Center в свойствах компьютера в разделе Задачи. Отчеты для этих компонентов также доступны только в Kaspersky Security Center версии 11 и выше.

Лицензирование

  • При появлении системного сообщения с текстом Ошибка приема данных проверьте доступ к сети компьютера, на котором выполняется активация, или настройте параметры активации через Kaspersky Security Center Activation Proxy.
  • Активация приложения по подписке через Kaspersky Security Center не выполняется, если на компьютере истекла лицензия или активна пробная лицензия. Чтобы заменить пробную лицензию или лицензию, которая скоро истечет, на лицензию по подписке, используйте задачу распространения лицензии.
  • В интерфейсе приложения дата истечения лицензии отображается в локальном времени компьютера.
  • Установка приложения с подложенным файлом ключа на компьютере с нестабильным доступом в интернет может вызвать временное появление событий о том, что приложение не активировано или лицензия не допускает работу компонента. Это вызвано тем, что в процессе установки приложение сначала устанавливает и пытается активировать встроенную пробную лицензию, для активации которой требуется доступ в интернет.
  • Во время пробного периода установка любого обновления приложения или патча на компьютере с нестабильным доступом в интернет может вызвать временное появление событий о том, что приложение не активировано. Это вызвано тем, что в процессе установки обновления приложение повторно устанавливает и активирует встроенную пробную лицензию, для активации которой требуется доступ в интернет.
  • Если при установке приложение было автоматически активировано пробной лицензией, а затем удалено без сохранения информации о лицензии, при повторной установке оно не активируется пробной лицензией автоматически. В этом случае активируйте приложение вручную.
  • Если вы используете Kaspersky Security Center версии 11 и Kaspersky Endpoint Security для Windows 11.10.0, отчеты о работе компонентов могут работать некорректно. Если вы установили компоненты Kaspersky Endpoint Security, которые не входят в вашу лицензию, Агент администрирования может отправлять в журнал событий Windows ошибки статусов компонентов. Чтобы избежать ошибок, удалите компоненты, которые не входят в лицензию.

Откат вредоносных действий

  • Приложение восстанавливает файлы только на устройствах с файловой системой NTFS и FAT32.
  • Приложение восстанавливает файлы следующих расширений: odt, ods, odp, odm, odc, odb, doc, docx, docm, wps, xls, xlsx, xlsm, xlsb, xlk, ppt, pptx, pptm, mdb, accdb, pst, dwg, dxf, dxg, wpd, rtf, wb2, pdf, mdf, dbf, psd, pdd, eps, ai, indd, cdr, jpg, jpe, dng, 3fr, arw, srf, sr2, bay, crw, cr2, dcr, kdc, erf, mef, mrw, nef, nrw, orf, raf, raw, rwl, rw2, r3d, ptx, pef, srw, x3f, der, cer, crt, pem, pfx, p12, p7b, p7c, 1cd.
  • Невозможно восстановить файлы, размещенные на сетевых дисках, а также на перезаписываемых CD/DVD-дисках.
  • Невозможно восстановить файлы, зашифрованные с помощью Encryption File System (EFS). Подробнее о работе EFS см. на сайте Microsoft.
  • Приложение не контролирует изменения файлов, выполненные процессами на уровне ядра операционной системы.
  • Приложение не контролирует изменения файлов, выполненные через сетевой интерфейс (например, файл размещен в папке общего доступа и процесс запущен удаленно с другого компьютера).

Сетевой экран

  • Фильтрация пакетов или соединений по локальным адресам, физическому интерфейсу и времени жизни (TTL) пакета поддерживается в следующих случаях:
    • По локальному адресу для исходящих пакетов или соединений в правилах приложений для TCP и UDP и пакетных правилах.
    • По локальному адресу для входящих пакетов или соединений (кроме UDP) в запрещающих правилах приложений и пакетных правилах.
    • По времени жизни (TTL) пакета в запрещающих пакетных правилах для входящих или исходящих пакетов.
    • По сетевому интерфейсу для входящих и исходящих пакетов или соединений в пакетных правилах.
  • В приложениях версий 11.0.0 и 11.0.1 применение заданных MAC-адресов работает некорректно. Настройки MAC-адресов для версий 11.0.0 / 11.0.1 и 11.1.0 и выше несовместимы. После обновления приложения или плагина с этих версий до версий 11.1.0 и выше необходимо проверить и перенастроить заданные MAC-адреса в правилах Сетевого экрана.
  • При обновлении приложения с версии 11.1.1 и 11.2.0 на 11.10.0 не мигрируют состояния разрешений (Permission) для следующих правил Сетевого экрана:
    • Запросы к серверу DNS по протоколу TCP.
    • Запросы к серверу DNS по протоколу UDP.
    • Любая сетевая активность.
    • Входящие ответы ICMP Destination Unreachable.
    • Входящая активность по протоколу ICMP.
  • Если для разрешающего пакетного правила вы настроили сетевой адаптер или время жизни пакета (TTL), приоритет такого правила ниже запрещающего правила приложений. То есть, если приложению запрещена сетевая активность (например, приложение находится в группе доверия Сильные ограничения), то разрешить сетевую активность с помощью пакетного правила с такими настройками невозможно. В остальных случаях приоритет пакетного правила выше сетевого правила приложений.
  • При импорте списка пакетных правил Сетевого экрана Kaspersky Endpoint Security может изменять названия правил. Приложение определяет правила с одинаковым набором основных параметров: протокол, направление, удаленные и локальные порты, время жизни пакета (TTL). Если этот набор основных параметров совпадает для нескольких правил, приложение присваивает этим правилам одно название или добавляет к названию тег с параметром. Таким образом, Kaspersky Endpoint Security импортирует все пакетные правила, но название правил, которые имеют одинаковые основные параметры, может быть изменено.
  • Если вы включили запись событий в отчет для приложения в сетевом правиле, при перемещении приложения в другую группу доверия не будут применены ограничения этой группы доверия. Таким образом, если приложение находится в группе доверия "Доверенные", такое приложение не имеет сетевых ограничений. Затем вы включили запись событий в отчет для этого приложения и переместили приложение в группу доверия "Недоверенные". Сетевой экран не будет применять сетевые ограничения для этого приложения. Мы рекомендуем сначала переместить приложение в нужную группу доверия, а затем включить запись событий в отчет. Если этот способ не подходит, настройте ограничения для этого приложения вручную в параметрах сетевого правила. Ограничение касается только локального интерфейса приложения. Перемещение приложения между группами доверия в политике работает корректно.
  • Компоненты Сетевое экран и Предотвращение вторжений имеют общие параметры: права приложений и защищаемые ресурсы. Если вы измените эти параметры для Сетевого экрана, Kaspersky Endpoint Security автоматически применит новые параметры для Предотвращения вторжений. Таким образом, если вы, например, разрешили изменение общих параметров в политике для Сетевого экрана ("замок" открыт), параметры Предотвращения вторжений тоже будут доступны для изменения.
  • В Kaspersky Endpoint Security версии 11.6.0 и ниже при срабатывании сетевого пакетного правила в отчете Сетевого экрана в графе Имя приложения всегда отображается значение Kaspersky Endpoint Security. При этом Сетевой экран блокирует соединение на пакетном уровне для всех приложений. В Kaspersky Endpoint Security версии 11.7.0 и выше поведение изменено. В отчет Сетевого экрана добавлена графа Тип правила. При срабатывании сетевого пакетного правила значение в графе Имя приложения остается пустым.

Защита от атак BadUSB

  • Kaspersky Endpoint Security сбрасывает таймаут блокировки USB-устройства при блокировании компьютера (например, истекло время ожидания до блокировки экрана). То есть, если вы несколько раз неверно ввели код авторизации USB-устройства и приложение заблокировало USB-устройство, Kaspersky Endpoint Security позволит повторить попытку авторизации после разблокирования компьютера. Kaspersky Endpoint Security в этом случае не блокирует USB-устройство на время, заданное в параметрах компонента Защита от атак BadUSB.
  • Kaspersky Endpoint Security сбрасывает таймаут блокировки USB-устройства при приостановке защиты компьютера. То есть, если вы несколько раз неверно ввели код авторизации USB-устройства и приложение заблокировало USB-устройство, Kaspersky Endpoint Security позволит повторить попытку авторизации после возобновления защиты компьютера. Kaspersky Endpoint Security в этом случае не блокирует USB-устройство на время, заданное в параметрах компонента Защита от атак BadUSB.

Контроль приложений

  • При работе с правилами Контроля приложений в Kaspersky Security Center Web Console поддерживается архивы только в формате ZIP и размером не более 104 Мб. Архивы других форматов, например, RAR или 7z, не поддерживаются. Если вы работаете с правилами Контроля приложений в Консоли администрирования (MMC), такого ограничения нет.
  • При работе на операционный системе Microsoft Windows 10 в режиме списка запрещенных приложений возможно некорректное применение правил блокировки, в результате которого будет заблокирован запуск приложений, которые не указаны в правилах.
  • При блокировании компонентом Контроль приложений PWA-приложений (Progressive Web App) в отчете в качестве заблокированного приложения указывается appManifest.xml.
  • Для добавления стандартного приложения Блокнот в правило Контроля приложений для Windows 11 не рекомендуется указывать путь к приложению. На компьютерах под управлением Windows 11 операционная система использует метро-приложение Блокнот, расположенное в папке C:\Program Files\WindowsApps\Microsoft.WindowsNotepad*\Notepad\Notepad.exe. В предыдущих версиях операционной системы приложение Блокнот расположено в следующих папках:
    • C:\Windows\notepad.exe;
    • C:\Windows\System32\notepad.exe;
    • C:\Windows\SysWOW64\notepad.exe.

    При добавлении приложения Блокнот в правило Контроля приложений вы можете указать, например, название приложения и хеш файла из свойств запущенного приложения.

Контроль устройств

  • Доступ к устройствам типа Принтер, которые добавлены в список доверенных, запрещается правилами блокировки устройств и шин.
  • Для MTP-устройств поддерживается контроль операций Read, Write, Connect, если используются драйверы Microsoft, встроенные в операционную систему. Если для работы с устройством пользователь устанавливает кастомный драйвер (например, в составе iTunes или Android Debug Bridge), контроль Read и Write операций может не работать.
  • При работе с MTP-устройствами изменение правил доступа выполняется после переподключения устройства.
  • Компонент Контроль устройств регистрирует события, связанные с контролируемыми устройствами, такие как подключение и отключение устройства, чтение файла с устройства, запись файла на устройство и другие события. При этом Kaspersky Endpoint Security регистрирует события отключения только для следующих типов устройств: Портативные устройства (MTP), Съемные диски, Дискеты, CD/DVD-приводы. Для остальных типов устройств приложение не регистрирует события отключения. Операцию подключения устройства к компьютеру приложение регистрирует для всех типов устройств.
  • Если вы добавляете устройство в доверенные по маске модели и используете символы, которые входят в идентификатор, но не входят в название модели, устройства не добавятся. На рабочей станции эти устройства будут добавлены в доверенные по маске идентификатора.

Веб-Контроль

  • Не поддерживаются форматы OGV и WEBM.
  • Не поддерживается протокол RTMP.

Адаптивный контроль аномалий

Шифрование диска (FDE)

  • Для работы шифрования жестких дисков перезагрузите операционную систему после установки приложения.
  • В Агенте аутентификации не поддерживаются иероглифы и специальные символы | и \.
  • Для оптимальной работы компьютера после шифрования необходим процессор с поддержкой набора команд шифрования AES-NI (Intel Advanced Encryption Standard New Instructions). Если процессор не поддерживает AES-NI, производительность компьютера может снизиться.
  • При наличии процессов, обратившихся к зашифрованным устройствам до того, как приложение предоставило к этим устройствам доступ, оно выводит предупреждение о необходимости завершить такие процессы. Если завершить процессы невозможно, подключите зашифрованные устройства повторно.
  • Уникальные идентификаторы жестких дисков в статистике шифрования устройств отображаются в инвертированном виде.
  • Мы не рекомендуем выполнять форматирование устройств во время их шифрования.
  • При одновременном подключении к компьютеру нескольких съемных дисков политика шифрования может применяться только к одному съемному диску. При повторном подключении съемных дисков политика шифрования применяется корректно.
  • Шифрование может не запуститься на сильно фрагментированном жестком диске. Выполните дефрагментацию жесткого диска.
  • При шифровании жестких дисков гибернация блокируется с момента старта задачи шифрования до первой перезагрузки компьютера в операционных системах Microsoft Windows 7 / 8 / 8.1 / 10 и после установки шифрования жестких дисков до первой перезагрузки операционных систем Microsoft Windows 8 / 8.1 / 10. При расшифровке жестких дисков гибернация блокируется с момента полной расшифровки загрузочного жесткого диска до первой перезагрузки операционной системы. В операционных системах Microsoft Windows 8 / 8.1 / 10 при включенной опции Быстрый запуск блокировка гибернации не позволяет выключить операционную систему.
  • При шифровании диска BitLocker невозможно сменить пароль при выполнении процедуры восстановления на компьютерах под управлением Windows 7. После ввода ключа восстановления и загрузки операционной системы Kaspersky Endpoint Security не предложит пользователю сменить пароль или PIN-код. Таким образом, установить новый пароль или PIN-код невозможно. Проблема связана с особенностями операционной системы. Для продолжения работы вам нужно перешифровать жесткий диск.
  • Мы не рекомендуем использовать инструмент xbootmgr.exe с включением дополнительных провайдеров. Например, Dispatcher, Network, Drivers.
  • Не поддерживается форматирование зашифрованного съемного диска на компьютере с установленным приложением Kaspersky Endpoint Security для Windows.
  • Не поддерживается форматирование зашифрованного съемного диска c файловой системой FAT32 (диск отображается как зашифрованный). Для форматирования диска переформатируйте его файловую систему в NTFS.
  • Особенности восстановления операционной системы из резервной копии на зашифрованное GPT-устройство см. в базе знаний Службы технической поддержки.
  • Не поддерживается совместное существование нескольких загрузочных агентов на одном зашифрованном компьютере.
  • Невозможно получить доступ к съемному диску, который был зашифрован ранее на другом компьютере, при одновременном выполнении следующих условий:
    • Отсутствие связи c сервером Kaspersky Security Center.
    • Авторизация пользователя с новым токеном или паролем.

    При возникновении подобной ситуации перезагрузите компьютер. После перезагрузки компьютера доступ к зашифрованному съемному диску будет предоставлен.

  • Может не поддерживаться распознавание USB-устройств Агентом аутентификации, если в параметрах BIOS включен режим xHCI для USB.
  • Для SSHD-устройств не поддерживается технология Шифрование диска Kaspersky (FDE) для SSD-части устройства, предназначенной для кеширования часто используемых данных.
  • Не поддерживается шифрование жестких дисков в 32-битных операционных системах Microsoft Windows 8 / 8.1 / 10, которые работают в режиме UEFI.
  • Перед повторным шифрованием расшифрованного жесткого диска выполните перезагрузку компьютера.
  • Шифрование жестких дисков несовместимо с Антивирусом Касперского для UEFI. Мы не рекомендуем использовать шифрование жестких дисков на компьютерах с установленным Антивирусом Касперского для UEFI.
  • Создание учетных записей Агента аутентификации на основе учетных записей Microsoft поддерживается со следующими ограничениями:
    • Не поддерживается технология единого входа.
    • Не поддерживается автоматическое создание учетных записей Агента аутентификации, если выбрана опция создания учетных записей для пользователей, которые выполняют вход в систему в последние N дней.
  • Если имя учетной записи Агента аутентификации сформировано в виде <домен>/<имя учетной записи Windows>, после изменения имени компьютера измените имена учетных записей, которые созданы для локальных пользователей этого компьютера. Например, на компьютере Ivanov существует локальный пользователь Ivanov, для которого была создана учетная запись Агента аутентификации с именем Ivanov/Ivanov. Если имя компьютера Ivanov было изменено, например, на Ivanov-PC, измените имя учетной записи Агента аутентификации для пользователя Ivanov с Ivanov/Ivanov на Ivanov-PC/Ivanov. Для изменения имени учетной записи вы можете воспользоваться локальной задачей управления учетными записями Агента аутентификации. До изменения имени учетной записи аутентификация в предзагрузочной среде возможна по старому имени (например, Ivanov/Ivanov).
  • Если на компьютере, который зашифрован с помощью технологии Шифрование диска Kaspersky, пользователю разрешен вход только по токену и требуется пройти процедуру восстановления доступа, убедитесь, что после восстановления доступа к зашифрованному компьютеру для этого пользователя разрешен вход по паролю. Пароль, который задал пользователь при восстановлении доступа, может не сохраниться. В этом случае пользователю придется снова проходить процедуру восстановления доступа к зашифрованному компьютеру при следующей перезагрузке.
  • Если при расшифровке жесткого диска с помощью утилиты восстановления FDE Recovery Tool данные на исходном устройстве перезаписываются расшифрованными данными, процесс расшифровки может завершиться ошибкой. Часть данных на жестком диске останется зашифрованной. Мы рекомендуем в параметрах расшифровки устройства с помощью FDE Recovery Tool выбирать вариант сохранения расшифрованных данных в файл.
  • Если при изменении пароля в Агенте аутентификации после появления сообщения с текстом Ваш пароль успешно изменен. Нажмите ОК пользователь перезагружает компьютер, новый пароль не сохраняется. Для последующей аутентификации в предзагрузочной среде необходимо использовать старый пароль.
  • Шифрование дисков несовместимо с технологией Intel Rapid Start.
  • Шифрование дисков несовместимо с технологией ExpressCache.
  • В некоторых случаях при попытке расшифровать зашифрованный диск с помощью утилиты FDE Recovery Tool после прохождения процедуры "Запрос-Ответ" утилита ошибочно детектирует состояние устройства как незашифрованное. В логе работы утилиты появляется событие, что устройство успешно расшифровано. В этом случае для расшифровки устройства необходимо повторно запустить процесс восстановления данных.
  • После обновления плагина Kaspersky Endpoint Security для Windows в Web Console в свойствах клиентского компьютера не показывается ключ восстановления Bitlocker до перезапуска службы Web Console.
  • Остальные ограничения поддержки полнодискового шифрования и список устройств, для которых шифрование жестких дисков поддерживается с ограничениями, см. в базе знаний Службы технической поддержки.

Шифрование файлов (FLE)

  • Не поддерживается шифрование файлов и папок в операционных системах семейства Microsoft Windows Embedded.
  • Для шифрования файлов и папок требуется перезагрузка операционной системы после установки приложения.
  • Если зашифрованный файл хранится на компьютере с доступной функцией шифрования и вы обращаетесь к нему с компьютера, где шифрование недоступно, к этому файлу будет предоставлен прямой доступ. Зашифрованный файл, который хранится в сетевой папке на компьютере с доступной функцией шифрования, копируется на компьютер с недоступной функцией шифрования в незашифрованном виде.
  • Мы рекомендуем расшифровать файлы, которые зашифрованы с помощью Encrypting File System, перед шифрованием файлов с помощью Kaspersky Endpoint Security для Windows.
  • После шифрования файла его размер увеличивается на 4 КБ.
  • После шифрования в свойствах файла устанавливается атрибут Архивный.
  • При распаковке зашифрованного архива файлы, которые хранятся в распакованной папке, перезаписываются файлами, которые входят в состав зашифрованного архива, если их имена совпадают. Пользователь не уведомляется об операции перезаписи.
  • При распаковке зашифрованного архива убедитесь, что на диске достаточно свободного пространства для распакованных файлов. Если на диске недостаточно пространства, распаковка архива может быть завершена, но файлы будут повреждены. При этом Kaspersky Endpoint Security может не показать сообщений об ошибках.
  • В интерфейсе портативного файлового менеджера не отображаются сообщения об ошибках, которые возникают в процессе его работы.
  • На компьютере с установленным компонентом шифрования файлов Kaspersky Endpoint Security для Windows не выполняется запуск портативного файлового менеджера.
  • Получить доступ к съемному диску с помощью портативного файлового менеджера невозможно при одновременном выполнении следующих условий:
    • отсутствует связь с Kaspersky Security Center;
    • на компьютере установлено приложение Kaspersky Endpoint Security для Windows;
    • на компьютере не выполнялось шифрование данных (FDE или FLE).

    Получить доступ невозможно, даже если вы знаете пароль для портативного файлового менеджера.

  • При использовании шифрования файлов приложение несовместимо с почтовым клиентом Sylpheed.
  • Kaspersky Endpoint Security для Windows не поддерживает правила запрета доступа к зашифрованным файлам для некоторых приложений. Это связано с тем, что некоторые операции с файлами выполняет стороннее приложение. Например, копирование файла выполняет файловый менеджер, а не само приложение. Таким образом, если для почтового клиента Outlook запрещен доступ к зашифрованным файлам, Kaspersky Endpoint Security может разрешить доступ почтовому клиенту к зашифрованному файлу, если пользователь скопировал файлы в электронное сообщение через буфер обмена или перетащил файлы. Операцию копирования выполнил файловый менеджер, для которого правила запрета доступ к зашифрованным файлам не заданы, то есть доступ разрешен.
  • При шифровании съемных дисков с поддержкой портативного режима не поддерживается отмена срока действия пароля.
  • Не поддерживается изменение параметров файла подкачки. Вместо заданных значений параметров операционная система использует значения по умолчанию.
  • При работе с зашифрованными съемными дисками используйте безопасное извлечение. При небезопасном извлечении съемного диска мы не гарантируем сохранность данных.
  • После шифрования файлов выполняется безопасное удаление их незашифрованных оригиналов.
  • Не поддерживается синхронизация автономных файлов с помощью Client-Side Caching (CSC). Мы рекомендуем запрещать автономную работу с общими ресурсами на уровне групповых политик. Файлы, которые находятся в автономном режиме, доступны для изменения. В результате синхронизации могут быть утрачены изменения, которые внесены в автономный файл. Подробнее о поддержке Client-Side Caching (CSC) при использовании шифрования см. в базе знаний Службы технической поддержки.
  • Не поддерживается создание зашифрованного архива в корне системного жесткого диска.
  • Возможны проблемы с доступом к зашифрованным файлам по сети. Мы рекомендуем разместить файлы на другом источнике или убедиться, что компьютер, который используется как файловый сервер, находится под управлением того же Сервера администрирования Kaspersky Security Center.
  • При смене раскладки клавиатуры может зависать окно ввода пароля для самораспаковывающегося зашифрованного архива. Для решения проблемы закройте окно ввода пароля, смените в операционной системе язык ввода по умолчанию и повторно введите пароль для зашифрованного архива.
  • При использовании шифрования файлов на системах с несколькими разделами на одном диске мы рекомендуем использовать настройку автоматического определения размера файла pagefile.sys. После перезагрузки компьютера файл pagefile.sys может перемещаться между разделами диска.
  • После применения правил шифрования файлов, включая файлы в папке Мои документы, убедитесь, что пользователи, для которых было применено шифрование, успешно получают доступ к зашифрованным файлам. Для этого каждый из пользователей должен войти в систему при наличии связи с Kaspersky Security Center. Если пользователь попытается получить доступ к зашифрованным файлам без связи с Kaspersky Security Center, система может зависнуть.
  • При попадании системных файлов в область шифрования FLE в отчетах могут появиться события об ошибках шифрования этих файлов. Сами файлы, указанные в этих событиях, не шифруются.
  • Pico-процессы не поддерживаются.
  • Пути, которые зависят от регистра, не поддерживаются. При применении правил шифрования или расшифровки пути в продуктовых событиях отображаются в нижнем регистре.
  • Мы не рекомендуем шифровать файлы, которые используются системой во время загрузки. Если эти файлы зашифрованы, при попытке доступа к зашифрованным файлам без связи с Kaspersky Security Center возможно зависание системы или появление запросов на получение доступа к незашифрованным файлам.
  • При совместной работе по сети под правилами шифрования FLE через приложения, использующие метод отображения файла в память, например WordPad или FAR, и приложения, предназначенные для работы с файлами большого объема, например Notepad++, файл в незашифрованном виде может блокироваться на неопределенный срок без возможности получить к нему доступ с компьютера, на котором он находится.
  • Kaspersky Endpoint Security не шифрует файлы, содержимое которых расположено в облачном хранилище OneDrive и других папках с именем OneDrive. Также Kaspersky Endpoint Security блокирует копирование зашифрованных файлов в папки OneDrive, если эти файлы не добавлены в правило расшифровки.
  • При установленном компоненте файлового шифрования не работает управление пользователями и группами в режиме WSL (Windows Subsystem for Linux).
  • При установленном компоненте файлового шифрования отсутствует поддержка режима POSIX (Portable Operating System Interface) для переименования или удаления файлов.
  • Рекомендуется не шифровать временные файлы, так как это может привести к потере данных. Например, Microsoft Word создает временные файлы при работе с документом. Если временные файлы зашифрованы, а исходный файл нет, то при попытке сохранить документ пользователь может получить ошибку Доступ запрещен. Также Microsoft Word может сохранить файл, но открыть документ в следующий раз будет невозможно, то есть данные будут утеряны. Чтобы не допустить потери данных, вам нужно исключить папку с временными файлами из правил шифрования.
  • После обновления приложения Kaspersky Endpoint Security для Windows версии 11.0.1 и ниже для доступа к зашифрованным файлам после перезагрузки компьютера нужно убедиться, что Агент администрирования запущен. Агент администрирования имеет отложенный запуск, поэтому получить доступ к зашифрованным файлам сразу после загрузки операционной системы невозможно. После следующей перезагрузки компьютера ждать запуска Агента администрирования не нужно.

Detection and Response (EDR, MDR, Kaspersky Sandbox)

  • Невозможно выполнить проверку объекта, помещенного на карантине в результате выполнения задачи Поместить файл на карантин.
  • Невозможно поместить на карантин альтернативный поток данных (англ. Alternate Data Stream, ADS), размер которого превышает 4 МБ. Kaspersky Endpoint Security пропускает такой ADS без уведомления пользователя.
  • Kaspersky Endpoint Security не выполняет задачу Поиск IOC на сетевых дисках, если в свойствах задачи указан путь к папке начиная с буквы диска. Kaspersky Endpoint Security поддерживает только UNC-формат пути для работы задачи Поиск IOC на сетевых дисках. Например, \\server\shared_folder.
  • Импорт конфигурационного файла приложения завершится с ошибкой, если в конфигурационном файле включен параметр интеграции с Kaspersky Sandbox. Перед экспортом параметров приложения выключите Kaspersky Sandbox. Затем выполните процедуру экспорта / импорта. После импорта конфигурационного файла включите Kaspersky Sandbox.
  • При обнаружении индикатора компрометации при выполнении задачи Поиск IOC приложение помещает файл на карантин только для термина FileItem. Помещение файла на карантин для других терминов не поддерживается.
  • Для работы с деталями обнаружения требуется веб-плагин Kaspersky Endpoint Security для Windows версии 11.7.0 или выше. Детали обнаружения нужны при работе с решениями Endpoint Detection and Response (EDR Optimum и EDR Expert). Детали обнаружения доступны только в Kaspersky Security Center Web Console и Kaspersky Security Center Cloud Console.
  • Миграция конфигурации [KES+KEA] на [KES+встроенный агент] может завершиться с ошибкой удаления приложения Kaspersky Endpoint Agent. Ошибка удаления приложения исправлена в последней версии Kaspersky Endpoint Agent. Для удаления Kaspersky Endpoint Agent перезагрузите компьютер и создайте задачу удаления приложения.

Другие ограничения

  • Если во время работы приложения возникают ошибки или зависания, приложение может быть автоматически перезапущено. Если в работе приложения возникают повторяющиеся ошибки, которые приводят к прекращению работы, приложение выполняет следующие действия:
    1. Выключает функции контроля и защиты (функция шифрования продолжает работать).
    2. Уведомляет пользователя о выключении функций.
    3. После обновления антивирусных баз или применения обновлений модулей приложения пытается восстановить работоспособность.
  • Возможна некорректная обработка веб-адресов, которые добавлены в доверенный список.
  • В консоли Kaspersky Security Center невозможно сохранить файл на диск из папки ДополнительноХранилищаАктивные угрозы. Для сохранения файла вам нужно вылечить зараженный файл. При лечении приложение сохраняет копию файла в резервное хранилище. Теперь вы можете сохранить файл на диск из папки ДополнительноХранилищаРезервное хранилище.
  • Наследование параметров передачи данных на Сервер администрирования (Общие настройкиОтчеты и хранилищеПередача данных на Сервер администрирования) отличается от наследования других параметров. Если вы в политике разрешили изменение параметров передачи данных ("замок" открыт), в локальных свойствах компьютера в консоли эти параметры будут сброшены к значениям по умолчанию, если параметры ранее не были заданы. Если параметры ранее уже были заданы, то значения будут восстановлены. Такое же наследование параметров при удалении политики. Другие параметры в локальных свойствах компьютера в этих случаях наследуются из политики.
  • Kaspersky Endpoint Security контролирует HTTP-трафик, соответствующий стандартам RFC 2616, RFC 7540, RFC 7541, RFC 7301. Если Kaspersky Endpoint Security обнаруживает другой формат обмена данными в HTTP-трафике, приложение блокирует это соединение для предотвращения загрузки вредоносных файлов из интернета.
  • Приложение Kaspersky Endpoint Security препятствует обмену данными по протоколу QUIC. Браузеры используют стандартный транспортный протокол (TLS или SSL) независимо от того, включена в браузере поддержка протокола QUIC или нет.
  • Мониторинг системы. Не отображается полная информация о процессах.
  • При первом запуске Kaspersky Endpoint Security для Windows возможно временное попадание в некорректную группу приложения, которое подписано цифровой подписью. В дальнейшем группа для приложения, которое подписано цифровой подписью, будет автоматически изменена на корректную.
  • При проверке почты с помощью расширения Защиты от почтовых угроз для Microsoft Outlook мы рекомендуем использовать режим кеширования сервера Exchange (опция Use Cached Exchange Mode).
  • При обновлении Kaspersky Endpoint Security версии 11.10.0 или 11.11.0 без перезагрузки расширение Защиты от почтовых угроз для Microsoft Outlook временно прекращает свою работу. Приложение обновит и запустит расширение Защиты от почтовых угроз для Microsoft Outlook после перезапуска почтового клиента MS Outlook. Рекомендуем после обновления версии приложения сразу перезапустить клиент MS Outlook.
  • Задача Антивирусная проверка не поддерживает работу с 64-битной версией Microsoft Outlook. То есть, Kaspersky Endpoint Security не проверяет файлы, связанные с работой 64-разрядной версии почтового клиента Outlook (PST- и OST-файлы), даже если почта включена в область проверки.
  • При переключении в Kaspersky Security Center приложения с использования глобального Kaspersky Security Network на использование локального Kaspersky Security Network или, наоборот, с локального Kaspersky Security Network на глобальный Kaspersky Security Network, в продуктовой политике отключается опция участия в Kaspersky Security Network. После выполнения переключения ознакомьтесь с текстом Положения о Kaspersky Security Network и подтвердить согласие на участие. Ознакомиться с текстом Положения вы можете в интерфейсе приложения или при редактировании продуктовой политики.
  • При повторном сканировании вредоносного объекта, который заблокирован сторонним программным обеспечением, пользователь не информируется о повторном обнаружении угрозы. Событие о повторном обнаружении угрозы отображается в отчете приложения и отчете в Kaspersky Security Center.
  • Установка компонента Endpoint Sensor не поддерживается на операционной системе Microsoft Windows Server 2008.
  • В отчет Kaspersky Security Center о шифровании устройств не будет представлена информация об устройствах, которые зашифрованы с помощью Microsoft BitLocker на серверных платформах или на рабочих станциях, на которых не установлен компонент Контроль устройств.
  • Невозможно включить отображение всех записей в отчетах в Kaspersky Security Center Web Console. В Web Console вы можете только изменить количество отображаемых в отчете записей. По умолчанию Kaspersky Security Center Web Console показывает 1000 записей в отчете. Вы можете включить отображение всех записей в отчете в Консоли администрирования (MMC).
  • Невозможно установить отображение более 1000 записей в отчетах в консоли Kaspersky Security Center. Если вы установили максимальное число отображаемых записей больше 1000, консоль Kaspersky Security Center будет показывать только 1000 записей в отчете.
  • При использовании иерархии политик настройки раздела Шифрования съемных дисков в дочерней политике отображаются доступными для редактирования, если в родительской политике их изменение запрещено.
  • Для работы исключений при защите папок общего доступа от внешнего шифрования в параметрах операционной системы необходимо включить аудит входа в систему.
  • Если включена защита папок общего доступа, Kaspersky Endpoint Security для Windows отслеживает попытки шифрования папок общего доступа для каждой сессии удаленного доступа, которая была запущена до момента запуска Kaspersky Endpoint Security для Windows, в том числе если компьютер, с которого была запущена сессия удаленного доступа, добавлен в исключения. Чтобы Kaspersky Endpoint Security для Windows не отслеживал попытки шифрования папок общего доступа для сессий удаленного доступа, которые запущены с добавленного в исключения компьютера и были запущены до момента запуска Kaspersky Endpoint Security для Windows, прервите и повторно установите эту сессию удаленного доступа или перезагрузить компьютер, на котором установлен Kaspersky Endpoint Security для Windows.
  • Если задача обновления запускается с правами конкретной учетной записи при обновлении с источника, который требует авторизацию, продуктовые патчи не будут скачаны.
  • Приложение может не запуститься из-за недостаточной производительности системы. Для решения этой проблемы используйте опцию Ready Boot или увеличьте таймаут операционной системы на запуск служб.
  • Не поддерживается работа приложения в режиме Safe Mode.
  • Для корректной работы Kaspersky Endpoint Security для Windows версии 11.5.0 и 11.6.0 с программным обеспечением Cisco AnyConnect необходимо установить модуль соответствия (англ. Compliance Module) версии 4.3.183.2048 или выше. Подробнее о совместимости Cisco Identity Services Engine см. в документации Cisco.
  • Мы не гарантируем работу контроля аудио до первой перезагрузки после установки приложения.
  • В Консоли администрирования (MMC) в параметрах Предотвращения вторжений в окне настройки прав приложений недоступна кнопка Удалить. Вы можете удалить приложение из группы доверия через контекстное меню приложения.
  • В локальном интерфейсе приложения в параметрах Предотвращения вторжений недоступны для просмотра права приложений и защищаемыми ресурсами, если компьютер находится под управлением политики. Недоступны прокрутка, поиск, фильтр и другие элементы управления в окнах. Вы можете просмотреть права приложений в свойствах политики в консоли Kaspersky Security Center.
  • При включении записи файлов трассировок с ротацией не создаются трассировки для компонента AMSI и Outlook-плагина.
  • Не поддерживается ручной сбор трассировок производительности на операционной системе Window Server 2008.
  • Не поддерживается запись трассировок производительности для типа трассировок При перезагрузке.
  • Не поддерживается запись дампов для pico-процессов.
  • Задача проверки доступности KSN больше не поддерживается.
  • Отключение опции Disable external management of the system services не будет позволять остановить службу приложения, установленной с параметром AMPPL=1 (по умолчанию значение параметра выставлено 1 начиная с версии операционной системы Windows 10RS2). Параметр AMPPL со значением 1 включает использование технологии Protection Processes для продуктовой службы.
  • Для запуска выборочной проверки каталога необходимо, чтобы у пользователя, который выполняет выборочное сканирование, были права на чтение атрибутов этого каталога, иначе сканирование выбранной папки невозможно и будет завершено с ошибкой.
  • При задании в политике правила сканирования с указанием пути без символа \ в конце, например, С:\folder1\folder2, сканирование будет выполнено для С:\folder1\.
  • При обновлении приложения с версии 11.1.0 на 11.10.0 настройки AMSI-защиты будут сброшены на значения по умолчанию.
  • Если вы используете политики ограниченного использования приложений (англ. SRP – Software Restriction Policies), возможен сбой при загрузке компьютера (черный экран). Мы рекомендуем изменить параметры SRP: для параметра Применять политики ограниченного использования программ к следующим объектам установите значение Ко всем файлам программ, кроме библиотек (таких как DLL) и добавьте правила с уровнем безопасности Неограниченный для путей c файлами приложения (C:\Program Files\Common Files\Kaspersky Lab и C:\Program Files\Kaspersky Lab). Подробнее об использовании SRP см. в документации Microsoft.
  • Если компьютер находится в домене под управлением групповой политики Windows (англ. Group Policy Object – GPO), в параметрах которой для параметра DriverLoadPolicy установлено значение 8 (Good only), перезагрузка компьютера с установленным Kaspersky Endpoint Security вызывает сбой (BSOD). Для предотвращения сбоя в групповой политике в параметрах раннего запуска защиты от вредоносного ПО (англ. Early Launch Antimalware – ELAM) должно быть установлено значение 1 (Good and unknown). Параметры ELAM расположены в политике в папке: Computer ConfigurationAdministrative TemplatesSystemEarly Launch Antimalware.
  • Не поддерживается управление настройками Outlook-плагина через Rest API.
  • Не поддерживается перенос настроек запуска задачи под указанным пользователем между устройствами через файл конфигурации. После применения настроек из файла конфигурации вручную задайте имя пользователя и пароль.
  • После установки обновления и до перезагрузки для его применения не поддерживается работа задачи проверки целостности.
  • При изменении уровня трассировки с ротацией через утилиту удаленной диагностики в Kaspersky Endpoint Security для Windows некорректно отображается уровень трассировки: будет отображаться пустое значение. При этом файлы трассировки записываются с корректным уровнем. При изменении уровня трассировки с ротацией через локальный интерфейс приложения уровень трассировок корректно изменяется, но в утилите удаленной диагностики некорректно отображается уровень трассировки: отображается последний заданный утилитой уровень трассировки. Это может привести к тому, что администратор не будет владеть актуальной информацией о текущем уровне трассировки и необходимая информация может быть не записана, если пользователь вручную изменит уровень трассировки в локальном интерфейсе приложения.
  • В локальном интерфейсе приложения в настройках Защиты паролем невозможно изменить имя учетной записи администратора (по умолчанию, KLAdmin). Для изменения имени учетной записи администратора вам нужно выключить Защиту паролем, далее включить Защиту паролем и задать новое имя учетной записи администратора.
  • Приложение Kaspersky Endpoint Security, установленное на сервер под управлением Windows Server 2019, несовместимо с программным обеспечением Docker. Развертывание контейнеров Docker на компьютере с Kaspersky Endpoint Security вызывает сбой (BSOD).
  • Совместимость приложения Kaspersky Endpoint Security и программного обеспечения Secret Net Studio имеет следующие ограничения:
    • Приложение Kaspersky Endpoint Security несовместимо с компонентом Антивирус программного обеспечения Secret Net Studio.

      Невозможно установить приложение на компьютер, на котором развернуто программное обеспечение Secret Net Studio с компонентом Антивирус. Для совместной работы приложений вам нужно удалить компонент Антивирус из состава Secret Net Studio.

    • Программное обеспечение Secret Net Studio несовместимо с компонентом Шифрование файлов (FLE) приложения Kaspersky Endpoint Security.

      При установке Kaspersky Endpoint Security с компонентом Шифрование файлов (FLE) возможны сбои в работе Secret Net Studio. Для совместной работы приложений вам нужно удалить компонент Шифрование файлов (FLE) из состава Kaspersky Endpoint Security.

В начало

[Topic 90]

Глоссарий

IOC

Indicator of Compromise (индикатор компрометации). Набор данных о вредоносном объекте или действии.

IOC-файл

Файл, содержащий набор индикаторов IOC, при совпадении с которыми программа считает событие обнаружением. Вероятность обнаружения может повыситься, если в результате проверки были найдены точные совпадения данных об объекте с несколькими IOC-файлами.

OLE-объект

Файл, присоединенный или встроенный в другой файл. Программы "Лаборатории Касперского" позволяют проверять на присутствие вирусов OLE-объекты. Например, если вы вставите какую-либо таблицу Microsoft Office Excel в документ Microsoft Office Word, данная таблица будет проверяться как OLE-объект.

OpenIOC

Открытый стандарт описания индикаторов компрометации (Indicator of Compromise, IOC), созданный на базе XML и содержащий свыше 500 различных индикаторов компрометации.

Агент администрирования

Компонент программы Kaspersky Security Center, осуществляющий взаимодействие между Сервером администрирования и программами "Лаборатории Касперского", установленными на конкретном сетевом узле (рабочей станции или сервере). Данный компонент является единым для всех программ "Лаборатории Касперского", работающих в операционной системе Windows. Для программ, работающих в других операционных системах, предназначены отдельные версии Агента администрирования.

Агент аутентификации

Интерфейс, позволяющий после шифрования загрузочного жесткого диска пройти процедуру аутентификации для доступа к зашифрованным жестким дискам и для загрузки операционной системы.

Активный ключ

Ключ, используемый в текущий момент для работы программы.

Антивирусные базы

Базы данных, которые содержат информацию об угрозах компьютерной безопасности, известных "Лаборатории Касперского" на момент выпуска антивирусных баз. Записи в антивирусных базах позволяют обнаруживать в проверяемых объектах вредоносный код. Антивирусные базы формируются специалистами "Лаборатории Касперского" и обновляются каждый час.

Архив

Один или несколько файлов, упакованных в один файл в сжатом виде. Для архивирования и разархивирования данных требуется специальная программа – архиватор.

База вредоносных веб-адресов

Список адресов веб-ресурсов, содержимое которых может быть расценено как опасное. Список сформирован специалистами "Лаборатории Касперского", регулярно обновляется и входит в поставку программы "Лаборатории Касперского".

База фишинговых веб-адресов

Список адресов веб-ресурсов, которые определены специалистами "Лаборатории Касперского" как фишинговые. База регулярно обновляется и входит в поставку программы "Лаборатории Касперского".

Группа администрирования

Набор устройств, объединенных в соответствии с выполняемыми функциями и устанавливаемым на них набором программ "Лаборатории Касперского". Устройства группируются для удобства управления ими как единым целым. В состав группы могут входить другие группы. Для каждой из установленных в группе программ могут быть созданы групповые политики и сформированы групповые задачи.

Доверенный платформенный модуль

Микрочип, разработанный для предоставления основных функций, связанных с безопасностью (например, для хранения ключей шифрования). Доверенный платформенный модуль обычно устанавливается на материнской плате компьютера и взаимодействует с остальными компонентами системы при помощи аппаратной шины.

Дополнительный ключ

Ключ, подтверждающий право на использование программы, но не используемый в текущий момент.

Задача

Функции, выполняемые программой "Лаборатории Касперского", реализованы в виде задач, например: Постоянная защита файлов, Полная проверка устройства, Обновление баз.

Зараженный файл

Файл, внутри которого содержится вредоносный код (при проверке файла был обнаружен код известной программы, представляющей угрозу). Специалисты "Лаборатории Касперского" не рекомендуют вам работать с такими файлами, поскольку это может привести к заражению вашего компьютера.

Издатель сертификата

Центр сертификации, выдавший сертификат.

Лечение объектов

Способ обработки зараженных объектов, в результате применения которого происходит полное или частичное восстановление данных. Не все зараженные объекты можно вылечить.

Лицензионный сертификат

Документ, который передает вам вместе с файлом ключа или кодом активации "Лаборатория Касперского". Документ содержит информацию о предоставляемой лицензии.

Ложное срабатывание

Ситуация, когда незараженный файл определяется программой "Лаборатории Касперского" как зараженный ввиду того, что его код напоминает код вируса.

Маска

Представление названия и расширения файла общими символами.

Для формирования маски файла можно использовать любые символы, допустимые в названиях файлов, в том числе специальные:

  • Символ *, который заменяет любой набор символов, в том числе пустой, кроме символов \ и / (разделители имен файлов и папок в путях к файлам и папкам). Например, маска C:\*\*.txt будет включать все пути к файлам с расширением txt, расположенным в папках на диске (C:), но не в подпапках.
  • Два введенных подряд символа * заменяют любой набор символов, в том числе пустой, в имени файла или папки, включая символы \ и / (разделители имен файлов и папок в путях к файлам и папкам). Например, маска C:\Folder\**\*.txt будет включать все пути к файлам с расширением txt в папках, вложенных в папку Folder, кроме самой папки Folder. Маска должна включать хотя бы один уровень вложенности. Маска C:\**\*.txt не работает. Маска ** доступна только для создания исключений из проверки.
  • Символ ?, который заменяет любой один символ, кроме символов \ и / (разделители имен файлов и папок в путях к файлам и папкам). Например, маска C:\Folder\???.txt будет включать пути ко всем расположенным в папке Folder файлам с расширением txt и именем, состоящим из трех символов.
Нормализованная форма адреса веб-ресурса

Нормализованной формой адреса веб-ресурса называется текстовое представление адреса веб-ресурса, полученное в результате применения нормализации. Нормализация – процесс, в результате которого текстовое представление адреса веб-ресурса изменяется в соответствии с определенными правилами (например, исключение из текстового представления адреса веб-ресурса имени пользователя, пароля и порта соединения, понижение верхнего регистра символов адреса веб-ресурса до нижнего регистра).

В контексте работы компонентов защиты цель нормализации адресов веб-ресурсов заключается в том, чтобы проверять синтаксически различные, но физически эквивалентные адреса веб-ресурсов один раз.

Пример:

Ненормализованная форма адреса: www.Example.com\.

Нормализованная форма адреса: www.example.com.

 

Область защиты

Объекты, которые компонент базовой защиты постоянно проверяет во время своей работы. Область защиты разных компонентов имеет разные свойства.

Область проверки

Объекты, которые Kaspersky Endpoint Security проверяет во время выполнения задачи проверки.

Портативный файловый менеджер

Приложение, предоставляющая интерфейс для работы с зашифрованными файлами на съемных дисках при недоступности функциональности шифрования на компьютере.

Потенциально заражаемый файл

Файл, который в силу своей структуры или формата может быть использован злоумышленниками в качестве "контейнера" для размещения и распространения вредоносного кода. Как правило, это исполняемые файлы, например, с расширением com, exe, dll и др. Риск внедрения в такие файлы вредоносного кода достаточно высок.

В начало

[Topic 176382]

Приложение 1. Параметры приложения

Вы можете настроить параметры Kaspersky Endpoint Security с помощью политики, задач или интерфейса приложения. Подробная информация о компонентах приложения приведена в соответствующих подразделах.

В этом разделе

Защита от файловых угроз

Защита от веб-угроз

Защита от почтовых угроз

Защита от сетевых угроз

Сетевой экран

Защита от атак BadUSB

AMSI-защита

Защита от эксплойтов

Анализ поведения

Предотвращение вторжений

Откат вредоносных действий

Kaspersky Security Network

Веб-Контроль

Контроль устройств

Контроль приложений

Адаптивный контроль аномалий

Endpoint Sensor

Kaspersky Sandbox

Endpoint Detection and Response

Полнодисковое шифрование

Шифрование файлов

Шифрование съемных дисков

Шаблоны (шифрование данных)

Исключения

Настройки приложения

Отчеты и хранилище

Настройки сети

Интерфейс

Управление настройками

Обновление баз и модулей приложения
В начало

[Topic 176733]

Защита от файловых угроз

Компонент Защита от файловых угроз позволяет избежать заражения файловой системы компьютера. По умолчанию компонент Защита от файловых угроз постоянно находится в оперативной памяти компьютера. Компонент проверяет файлы на всех дисках компьютера, а также на подключенных дисках. Компонент обеспечивает защиту компьютера с помощью антивирусных баз, облачной службы Kaspersky Security Network и эвристического анализа.

Компонент проверяет файлы, к которым обращается пользователь или приложение. При обнаружении вредоносного файла Kaspersky Endpoint Security блокирует операцию с файлом. Далее приложение лечит или удаляет вредоносный файл, в зависимости от настройки компонента Защита от файловых угроз.

При обращении к файлу, содержимое которого расположено в облачном хранилище OneDrive, Kaspersky Endpoint Security загружает и проверяет содержимое этого файла.

Параметры компонента Защита от файловых угроз

Параметр

Описание

Уровень безопасности

(доступен только в Консоли администрирования (MMC) и интерфейсе Kaspersky Endpoint Security)

Для работы Защиты от файловых угроз приложение Kaspersky Endpoint Security применяет разные наборы настроек. Наборы настроек, сохраненные в приложении, называются уровнями безопасности:

  • Высокий. Уровень безопасности файлов, при котором компонент Защита от файловых угроз максимально контролирует все открываемые, сохраняемые и запускаемые файлы. Компонент Защита от файловых угроз проверяет все типы файлов на всех жестких, сменных и сетевых дисках компьютера, а также архивы, установочные пакеты и вложенные OLE-объекты.
  • Рекомендуемый. Уровень безопасности файлов, который рекомендован для использования специалистами "Лаборатории Касперского". Компонент Защита от файловых угроз проверяет только файлы определенных форматов на всех жестких, сменных и сетевых дисках компьютера, а также вложенные OLE-объекты, компонент Защита от файловых угроз не проверяет архивы и установочные пакеты.
  • Низкий. Уровень безопасности файлов, параметры которого обеспечивают максимальную скорость проверки. Компонент Защита от файловых угроз проверяет только файлы с определенными расширениями на всех жестких, сменных и сетевых дисках компьютера, компонент Защита от файловых угроз не проверяет составные файлы.

Типы файлов

(доступен только в Консоли администрирования (MMC) и интерфейсе Kaspersky Endpoint Security)

Все файлы. Если выбран этот параметр, Kaspersky Endpoint Security проверяет все файлы без исключения (любых форматов и расширений).

Файлы, проверяемые по формату. Если выбран этот параметр, приложение проверяет только потенциально заражаемые файлы. Перед началом поиска вредоносного кода в файле выполняется анализ его внутреннего заголовка на предмет формата файла (например, TXT, DOC, EXE). В процессе проверки учитывается также расширение файла.

Файлы, проверяемые по расширению. Если выбран этот параметр, приложение проверяет только потенциально заражаемые файлы. Формат файла определяется на основании его расширения.

Область защиты

Содержит объекты, которые проверяет компонент Защита от файловых угроз. Объектом проверки может быть жесткий, съемный или сетевой диск, папка, файл или несколько файлов, определенных по маске.

По умолчанию компонент Защита от файловых угроз проверяет файлы, запускаемые со всех жестких, съемных и сетевых дисков. Область защиты этих объектов невозможно изменить или удалить. Вы можете только исключить объект (например, съемные диски) из проверки.

Машинное обучение и сигнатурный анализ

(доступен только в Консоли администрирования (MMC) и интерфейсе Kaspersky Endpoint Security)

При методе проверки Машинное обучение и сигнатурный анализ используются базы Kaspersky Endpoint Security, содержащие описания известных угроз и методы их устранения. Защиту с использованием этого метода проверки обеспечивает минимально допустимый уровень безопасности.

В соответствии с рекомендациями специалистов "Лаборатории Касперского" метод проверки Машинное обучение и сигнатурный анализ всегда включен.

Эвристический анализ

(доступен только в Консоли администрирования (MMC) и интерфейсе Kaspersky Endpoint Security)

Технология обнаружения угроз, которые невозможно определить с помощью текущей версии баз приложений "Лаборатории Касперского". Позволяет находить файлы, которые могут содержать неизвестный вирус или новую модификацию известного вируса.

Во время проверки файлов на наличие вредоносного кода эвристический анализатор выполняет инструкции в исполняемых файлах. Количество инструкций, которые выполняет эвристический анализатор, зависит от заданного уровня эвристического анализа. Уровень эвристического анализа обеспечивает баланс между тщательностью поиска новых угроз, степенью загрузки ресурсов операционной системы и длительностью эвристического анализа.

Действие при обнаружении угрозы

Лечить; удалять, если лечение невозможно. Если выбран этот вариант действия, то приложение автоматически пытается вылечить все обнаруженные зараженные файлы. Если лечение невозможно, то приложение их удаляет.

Лечить; блокировать, если лечение невозможно. Если выбран этот вариант действия, то Kaspersky Endpoint Security автоматически пытается вылечить все обнаруженные зараженные файлы. Если лечение невозможно, то Kaspersky Endpoint Security добавляет информацию об обнаруженных зараженных файлах в список активных угроз.

Блокировать. Если выбран этот вариант действия, то компонент Защита от файловых угроз автоматически блокирует зараженные файлы без попытки их вылечить.

Перед лечением или удалением зараженного файла приложение формирует его резервную копию на тот случай, если впоследствии понадобится восстановить файл или появится возможность его вылечить.

Проверять только новые и измененные файлы

Проверка только новых файлов и тех файлов, которые изменились после предыдущей проверки. Это позволит сократить время выполнения проверки. Такой режим проверки распространяется как на простые, так и на составные файлы.

Проверять архивы

Проверка архивов ZIP, GZIP, BZIP, RAR, TAR, ARJ, CAB, LHA, JAR, ICE и других архивов. Приложение проверяет архивы не только по расширению, но и по формату. При проверке архивов приложение выполняет рекурсивную распаковку. Это позволяет обнаруживать угрозы внутри многоуровневых архивов (архив внутри архива).

Проверять дистрибутивы

Флажок включает / выключает проверку дистрибутивов сторонних приложений.

Проверять файлы офисных форматов

Проверка файлов Microsoft Office (DOC, DOCX, XLS, PPT и других). К файлам офисных форматов также относятся OLE-объекты.

Не распаковывать составные файлы большого размера

Если флажок установлен, то приложение не проверяет составные файлы, размеры которых больше заданного значения.

Если флажок снят, приложение проверяет составные файлы любого размера.

Приложение проверяет файлы больших размеров, извлеченные из архивов, независимо от состояния флажка.

Распаковывать составные файлы в фоновом режиме

Если флажок установлен, приложение предоставляет доступ к составным файлам, размер которых превышает заданное значение, до проверки этих файлов. При этом приложение Kaspersky Endpoint Security в фоновом режиме распаковывает и проверяет составные файлы.

Приложение предоставляет доступ к составным файлам, размер которых меньше данного значения, только после распаковки и проверки этих файлов.

Если флажок снят, приложение предоставляет доступ к составным файлам только после распаковки и проверки файлов любого размера.

Режим проверки

(доступен только в Консоли администрирования (MMC) и интерфейсе Kaspersky Endpoint Security)

Kaspersky Endpoint Security проверяет файлы, с которыми работает пользователь, операционная система или приложение от имени пользователя.

Интеллектуальный. Режим проверки, при котором Защита от файловых угроз проверяет объект на основании анализа операций, выполняемых над объектом. Например, при работе с документом Microsoft Office приложение Kaspersky Endpoint Security проверяет файл при первом открытии и при последнем закрытии. Все промежуточные операции перезаписи файла из проверки исключаются.

При доступе и изменении. Режим проверки, при котором Защита от файловых угроз проверяет объекты при попытке их открыть или изменить.

При доступе. Режим проверки, при котором Защита от файловых угроз проверяет объекты только при попытке их открыть.

При выполнении. Режим проверки, при котором Защита от файловых угроз проверяет объекты только при попытке их запустить.

Технология iSwift

(доступен только в Консоли администрирования (MMC) и интерфейсе Kaspersky Endpoint Security)

Технология, позволяющая увеличить скорость проверки за счет исключения из нее некоторых файлов. Файлы исключаются из проверки по специальному алгоритму, учитывающему дату выпуска баз Kaspersky Endpoint Security, дату предыдущей проверки файла, а также изменение параметров проверки. Технология iSwift является развитием технологии iChecker для файловой системы NTFS.

Технология iChecker

(доступен только в Консоли администрирования (MMC) и интерфейсе Kaspersky Endpoint Security)

Технология, позволяющая увеличить скорость проверки за счет исключения из нее некоторых файлов. Файлы исключаются из проверки по специальному алгоритму, учитывающему дату выпуска баз приложения Kaspersky Endpoint Security, дату предыдущей проверки файла, а также изменение настроек проверки. Технология iChecker имеет ограничение: она не работает с файлами больших размеров, а кроме того, применима только к файлам с известной приложению структурой (например, к файлам формата EXE, DLL, LNK, TTF, INF, SYS, COM, CHM, ZIP, RAR).

Приостановка Защиты от файловых угроз

(доступен только в Консоли администрирования (MMC) и интерфейсе Kaspersky Endpoint Security)

Временная автоматическая приостановка работы Защиты от файловых угроз в указанное время или во время работы с указанными приложениями.

См. также об управлении программой через локальный интерфейс

Включение и выключение Защиты от файловых угроз

Автоматическая приостановка Защиты от файловых угроз

Изменение действия компонента Защита от файловых угроз над зараженными файлами

Формирование области защиты компонента Защита от файловых угроз

Использование методов проверки

Использование технологий проверки в работе компонента Защита от файловых угроз

Оптимизация проверки файлов

Проверка составных файлов

Изменение режима проверки файлов
В начало

[Topic 176735]

Защита от веб-угроз

Компонент Защита от веб-угроз предотвращает загрузку вредоносных файлов из интернета, а также блокирует вредоносные и фишинговые веб-сайты. Компонент обеспечивает защиту компьютера с помощью антивирусных баз, облачной службы Kaspersky Security Network и эвристического анализа.

Kaspersky Endpoint Security проверяет HTTP-, HTTPS- и FTP-трафик. Kaspersky Endpoint Security проверяет URL- и IP-адреса. Вы можете задать порты, которые Kaspersky Endpoint Security будет контролировать, или выбрать все порты.

Для контроля HTTPS-трафика нужно включить проверку защищенных соединений.

При попытке пользователя открыть вредоносный или фишинговый веб-сайт, Kaspersky Endpoint Security заблокирует доступ и покажет предупреждение (см. рис. ниже).

Сообщение о запрете доступа к веб-сайту

Параметры компонента Защита от веб-угроз

Параметр

Описание

Уровень безопасности

(доступен только в Консоли администрирования (MMC) и интерфейсе Kaspersky Endpoint Security)

Для работы Защиты от веб-угроз приложение применяет разные наборы настроек. Наборы настроек, сохраненные в приложении, называются уровнями безопасности:

  • Высокий. Уровень безопасности веб-трафика, при котором компонент Защита от веб-угроз максимально проверяет веб-трафик, поступающий на компьютер по HTTP- и FTP-протоколам. Защита от веб-угроз детально проверяет все объекты веб-трафика, используя полный набор баз приложения, а также выполняет максимально глубокий эвристический анализ.
  • Рекомендуемый. Уровень безопасности веб-трафика, обеспечивающий оптимальный баланс между производительностью приложения Kaspersky Endpoint Security и безопасностью веб-трафика. Компонент Защита от веб-угроз выполняет эвристический анализ на среднем уровне. Этот уровень безопасности веб-трафика рекомендован для использования специалистами "Лаборатории Касперского".
  • Низкий. Уровень безопасности веб-трафика, параметры которого обеспечивают максимальную скорость проверки веб-трафика. Компонент Защита от веб-угроз выполняет эвристический анализ на поверхностном уровне.

Действие при обнаружении угрозы

Запрещать загрузку. Если выбран этот вариант, то в случае обнаружения в веб-трафике зараженного объекта компонент Защита от веб-угроз блокирует доступ к объекту и показывает сообщение в браузере.

Информировать. Если выбран этот вариант, то в случае обнаружения в веб-трафике зараженного объекта Kaspersky Endpoint Security разрешает загрузку этого объекта на компьютер и добавляет информацию о зараженном объекте в список активных угроз.

Проверять веб-адрес по базе вредоносных веб-адресов

(доступен только в Консоли администрирования (MMC) и интерфейсе Kaspersky Endpoint Security)

Проверка ссылок на принадлежность к базе вредоносных веб-адресов позволяет отследить веб-сайты, которые находятся в списке запрещенных веб-адресов. База вредоносных веб-адресов формируется специалистами "Лаборатории Касперского", входит в комплект поставки приложения и пополняется при обновлении баз приложения Kaspersky Endpoint Security.

Использовать эвристический анализ

(доступен только в Консоли администрирования (MMC) и интерфейсе Kaspersky Endpoint Security)

Технология обнаружения угроз, которые невозможно определить с помощью текущей версии баз приложений "Лаборатории Касперского". Позволяет находить файлы, которые могут содержать неизвестный вирус или новую модификацию известного вируса.

Во время проверки веб-трафика на наличие вирусов и других приложений, представляющих угрозу эвристический анализатор выполняет инструкции в исполняемых файлах. Количество инструкций, которые выполняет эвристический анализатор, зависит от заданного уровня эвристического анализа. Уровень эвристического анализа обеспечивает баланс между тщательностью поиска новых угроз, степенью загрузки ресурсов операционной системы и длительностью эвристического анализа.

Проверять веб-адрес по базе фишинговых веб-адресов

(доступен только в Консоли администрирования (MMC) и интерфейсе Kaspersky Endpoint Security)

В состав базы фишинговых веб-адресов включены веб-адреса известных на настоящее время веб-сайтов, которые используются для фишинг-атак. Базу фишинговых веб-адресов специалисты "Лаборатории Касперского" пополняют веб-адресами, предоставленными международной организацией по борьбе с фишингом The Anti-Phishing Working Group. База фишинговых веб-адресов входит в комплект поставки приложения и пополняется при обновлении баз приложения Kaspersky Endpoint Security.

Не проверять веб-трафик с доверенных веб-адресов

Если флажок установлен, компонент Защита от веб-угроз не проверяет содержимое веб-страниц / веб-сайтов, адреса которых включены в список доверенных веб-адресов. Вы можете добавить в список доверенных веб-адресов как конкретный адрес веб-страницы / веб-сайта, так и маску адреса веб-страницы / веб-сайта.

См. также об управлении программой через локальный интерфейс

Включение и выключение Защиты от веб-угроз

Анти-Фишинг

Настройка методов обнаружения вредоносных веб-адресов

Формирование списка доверенных веб-адресов
В начало

[Topic 176736]

Защита от почтовых угроз

Компонент Защита от почтовых угроз проверяет вложения входящих и исходящих сообщений электронной почты на наличие в них вирусов и других приложений, представляющих угрозу. Компонент обеспечивает защиту компьютера с помощью антивирусных баз, облачной службы Kaspersky Security Network и эвристического анализа.

Защита от почтовых угроз может проверять и получаемые, и отправляемые сообщения. Приложение поддерживает протоколы POP3, SMTP, IMAP, NNTP в следующих почтовых клиентах:

  • Microsoft Office Outlook;
  • Mozilla Thunderbird;
  • Microsoft Outlook Express;
  • Windows Mail.

Другие протоколы и почтовые клиенты Защита от почтовых угроз не поддерживает.

Защита от почтовых угроз не всегда может получить доступ к сообщениям на уровне протокола (например, при использовании решения Microsoft Exchange). Поэтому дополнительно в состав Защиты от почтовых угроз включено расширение для Microsoft Office Outllook. Расширение позволяет проверять сообщения на уровне почтового клиента. Расширение компонента Защита от почтовых угроз поддерживает работу с Outlook 2010, 2013, 2016, 2019.

Компонент Защита от почтовых угроз не проверяет сообщения, если почтовый клиент открыт в браузере.

При обнаружении вредоносного файла во вложении Kaspersky Endpoint Security добавляет информацию о выполненном действии в тему сообщения, например, [Сообщение было обработано] <тема сообщения>.

Параметры компонента Защита от почтовых угроз

Параметр

Описание

Уровень безопасности

(доступен только в Консоли администрирования (MMC) и интерфейсе Kaspersky Endpoint Security)

Для работы Защиты от почтовых угроз приложение Kaspersky Endpoint Security применяет разные наборы настроек. Наборы настроек, сохраненные в приложении, называются уровнями безопасности:

  • Высокий. Уровень безопасности почты, при котором компонент Защита от почтовых угроз максимально контролирует сообщения. Компонент Защита от почтовых угроз проверяет входящие и исходящие сообщения электронной почты, а также выполняет глубокий эвристический анализ. Высокий уровень безопасности почты рекомендуется применять для работы в опасной среде. Примером опасной среды может служить подключение к одному из бесплатных почтовых сервисов из домашней сети, не обеспечивающей централизованной защиты почты.
  • Рекомендуемый. Уровень безопасности почты, обеспечивающий оптимальный баланс между производительностью приложения Kaspersky Endpoint Security и безопасностью почты. Компонент Защита от почтовых угроз проверяет входящие и исходящие сообщения электронной почты, а также выполняет эвристический анализ среднего уровня. Этот уровень безопасности почты рекомендован для использования специалистами "Лаборатории Касперского".
  • Низкий. Уровень безопасности почты, при котором компонент Защита от почтовых угроз проверяет только входящие сообщения электронной почты, а также выполняет поверхностный эвристический анализ и не проверяет архивы, вложенные в сообщения. Если используется этот уровень безопасности почты, компонент Защита от почтовых угроз проверяет сообщения электронной почты максимально быстро и затрачивает минимум ресурсов операционной системы. Низкий уровень безопасности почты рекомендуется применять для работы в хорошо защищенной среде. Примером такой среды может служить локальная сеть организации с централизованным обеспечением безопасности почты.

Действие при обнаружении угрозы

Лечить; удалять, если лечение невозможно. При обнаружении зараженного объекта во входящем или исходящем сообщении приложение Kaspersky Endpoint Security пытается вылечить обнаруженный объект. Пользователю будет доступно сообщение с безопасным вложением. Если вылечить объект не удалось, приложение Kaspersky Endpoint Security удаляет зараженный объект. Приложение Kaspersky Endpoint Security добавит информацию о выполненном действии в тему сообщения, например, [Сообщение было обработано] <тема сообщения>.

Лечить; блокировать, если лечение невозможно. При обнаружении зараженного объекта во входящем сообщении приложение Kaspersky Endpoint Security пытается вылечить обнаруженный объект. Пользователю будет доступно сообщение с безопасным вложением. Если вылечить объект не удалось, приложение Kaspersky Endpoint Security добавит предупреждение к теме сообщения. Пользователю будет доступно сообщение с исходным вложением. При обнаружении зараженного объекта в исходящем сообщении приложение Kaspersky Endpoint Security пытается вылечить обнаруженный объект. Если вылечить объект не удалось, приложение Kaspersky Endpoint Security блокирует отправку сообщения, почтовый клиент показывает ошибку.

Блокировать. При обнаружении зараженного объекта во входящем сообщении приложение Kaspersky Endpoint Security добавит предупреждение к теме сообщения. Пользователю будет доступно сообщение с исходным вложением. При обнаружении зараженного объекта в исходящем сообщении приложение Kaspersky Endpoint Security блокирует отправку сообщения, почтовый клиент показывает ошибку.

Область защиты

(доступен только в Консоли администрирования (MMC) и интерфейсе Kaspersky Endpoint Security)

Область защиты – это объекты, которые проверяет компонент во время своей работы: входящие и исходящие сообщения или только входящие сообщения.

Для защиты компьютеров достаточно проверять только входящие сообщения. Вы можете включить проверку исходящих сообщений для предотвращения отправки зараженных файлов в архивах. Вы также можете включить проверку исходящих сообщений, если вы хотите запретить обмен файлами определенных форматов, например, аудио или видео.

Проверять трафик POP3, SMTP, NNTP, IMAP

Флажок включает / выключает проверку компонентом Защита от почтовых угроз почтового трафика, проходящего по протоколам POP3, SMTP, NNTP и IMAP.

Подключить расширение для Microsoft Outlook

Если флажок установлен, включена проверка сообщений электронной почты, передающихся по протоколам POP3, SMTP, NNTP, IMAP на стороне расширения, интегрированного в Microsoft Outlook.

В случае проверки почты с помощью расширения для Microsoft Outlook рекомендуется использовать режим кеширования Exchange (Cached Exchange Mode). Более подробную информацию о режиме кеширования Exchange и рекомендации по его использованию вы можете найти в базе знаний Microsoft.

Эвристический анализ

(доступен только в Консоли администрирования (MMC) и интерфейсе Kaspersky Endpoint Security)

Технология обнаружения угроз, которые невозможно определить с помощью текущей версии баз приложений "Лаборатории Касперского". Позволяет находить файлы, которые могут содержать неизвестный вирус или новую модификацию известного вируса.

Во время проверки файлов на наличие вредоносного кода эвристический анализатор выполняет инструкции в исполняемых файлах. Количество инструкций, которые выполняет эвристический анализатор, зависит от заданного уровня эвристического анализа. Уровень эвристического анализа обеспечивает баланс между тщательностью поиска новых угроз, степенью загрузки ресурсов операционной системы и длительностью эвристического анализа.

Проверять вложенные архивы

Проверка архивов ZIP, GZIP, BZIP, RAR, TAR, ARJ, CAB, LHA, JAR, ICE и других архивов. Приложение проверяет архивы не только по расширению, но и по формату.

Если во время проверки приложение Kaspersky Endpoint Security обнаружило в тексте сообщения пароль к архиву, пароль будет использован для проверки содержания этого архива на наличие вредоносных приложений. Пароль при этом не сохраняется. При проверке архива выполняется его распаковка. Если во время распаковки архива произошел сбой в работе приложения, вы можете вручную удалить файлы, которые при распаковке сохраняются по следующему пути: %systemroot%\temp. Файлы имеют префикс PR.

Проверять вложенные файлы форматов Microsoft Office

Проверка файлов Microsoft Office (DOC, DOCX, XLS, PPT и других). К файлам офисных форматов также относятся OLE-объекты.

Не проверять архивы размером более N MБ

Если флажок установлен, компонент Защита от почтовых угроз исключает из проверки вложенные в сообщения электронной почты архивы, размер которых больше заданного. Если флажок снят, компонент Защита от почтовых угроз проверяет архивы любого размера, вложенные в сообщения электронной почты.

Ограничить время проверки архива до N с

Если флажок установлен, то время проверки архивов, вложенных в сообщения электронной почты, ограничено указанным периодом.

Фильтр вложений

Фильтр вложений не работает для исходящих сообщений электронной почты.

Не применять фильтр. Если выбран этот вариант, компонент Защита от почтовых угроз не фильтрует файлы, вложенные в сообщения электронной почты.

Переименовывать вложения указанных типов. Если выбран этот вариант, компонент Защита от почтовых угроз заменяет последний символ расширения вложенных файлов указанных типов на символ подчеркивания (например, attachment.doc_). Таким образом, чтобы открыть файл, пользователю нужно переименовать файл.

Удалять вложения указанных типов. Если выбран этот вариант, компонент Защита от почтовых угроз удаляет из сообщений электронной почты вложенные файлы указанных типов.

Типы вложенных файлов, которые нужно переименовывать или удалять из сообщений электронной почты, вы можете указать в списке масок файлов.

См. также об управлении программой через локальный интерфейс

Включение и выключение Защиты от почтовых угроз

Изменение действия над зараженными сообщениями электронной почты

Формирование области защиты компонента Защита от почтовых угроз

Проверка составных файлов, вложенных в сообщения электронной почты

Фильтрация вложений в сообщениях электронной почты

Проверка почты в Microsoft Office Outlook
В начало

[Topic 176737]

Защита от сетевых угроз

Компонент Защита от сетевых угроз (англ. IDS – Intrusion Detection System) отслеживает во входящем сетевом трафике активность, характерную для сетевых атак. Обнаружив попытку сетевой атаки на компьютер пользователя, приложение Kaspersky Endpoint Security блокирует сетевое соединение с атакующим компьютером. Описания известных в настоящее время видов сетевых атак и методов борьбы с ними содержатся в базах приложения Kaspersky Endpoint Security. Список сетевых атак, которые обнаруживает компонент Защита от сетевых угроз, пополняется в процессе обновления баз и модулей приложения.

Параметры компонента Защита от сетевых угроз

Параметр

Описание

Считать атаками сканирование портов и интенсивные сетевые запросы

Атака типа Интенсивные сетевые запросы (англ. Network Flooding)атака на сетевые ресурсы организации (например, веб-серверы). Атака заключается в отправке большого количества запросов для превышения пропускной способности сетевых ресурсов. Таким образом пользователи не могут получить доступ к сетевым ресурсам организации.

Атака типа Сканирование портов заключается в сканировании UDP- и TCP-портов, а также сетевых служб на компьютере. Атака позволяет определить степень уязвимости компьютера перед более опасными видами сетевых атак. Сканирование портов также позволяет злоумышленнику определить операционную систему на компьютере и выбрать подходящие для нее сетевые атаки.

Если флажок установлен, Kaspersky Endpoint Security контролирует сетевой трафик на наличие этих атак. При обнаружении атаки приложение уведомляет пользователя и отправляет соответствующее событие в Kaspersky Security Center. Приложение предоставляет информацию об атакующем компьютере, необходимую для принятия своевременных действий по реагированию.

Вы можете выключить обнаружение этих типов атак, так как некоторые разрешенные приложения выполняют действия, характерные для таких атак. Таким образом, вы можете избежать ложных срабатываний.

Добавлять атакующий компьютер в список блокирования на N мин

Если переключатель включен, компонент Защита от сетевых угроз добавляет атакующий компьютер в список блокирования. Это означает, что компонент Защита от сетевых угроз блокирует сетевое соединение с атакующим компьютером после первой попытки сетевой атаки в течение заданного времени, чтобы автоматически защитить компьютер пользователя от возможных будущих сетевых атак с этого адреса. Минимальное время, на которое атакующий компьютер можно добавить в список блокирования, составляет одну минуту. Максимальное – 32768 минут.

Вы можете посмотреть список блокирования в окне инструмента Мониторинг сети.

Kaspersky Endpoint Security очищает список блокирования при перезапуске приложения и при изменении параметров Защиты от сетевых угроз.

Исключения

Список содержит IP-адреса, сетевые атаки с которых компонент Защита от сетевых угроз не блокирует.

Приложение не заносит в отчет информацию о сетевых атаках с IP-адресов, входящих в список исключений.

Защита от MAC-спуфинга

Атака типа MAC-спуфинг заключается в изменении MAC-адреса сетевого устройства (сетевой карты). В результате злоумышленник может перенаправить данные, отправленные на устройство, на другое устройство и получить доступ к этим данным. Kaspersky Endpoint Security позволяет блокировать атаки MAC-спуфинга и получать уведомления об атаках.

См. также об управлении программой через локальный интерфейс

Включение и выключение Защиты от сетевых угроз

Блокирование атакующего компьютера

Настройка адресов исключений из блокирования

Настройка защиты от сетевых атак по типам
В начало

[Topic 176738]

Сетевой экран

Сетевой экран блокирует несанкционированные подключения к компьютеру во время работы в интернете или локальной сети. Также Сетевой экран контролирует сетевую активность приложений на компьютере. Это позволяет защитить локальную сеть организации от кражи персональных данных и других атак. Компонент обеспечивает защиту компьютера с помощью антивирусных баз, облачной службы Kaspersky Security Network и предустановленных сетевых правил.

Для взаимодействия с Kaspersky Security Center приложение использует Агент администрирования. При этом Сетевой экран автоматически создает сетевые правила, необходимые для работы Агента администрирования и приложения. В результате Сетевой экран открывает некоторые порты на компьютере. Набор портов отличается в зависимости от роли компьютера (например, точка распространения). Подробнее о портах, которые будут открыты на компьютере, см. в справке Kaspersky Security Center.

Сетевые правила

Вы можете настроить сетевые правила на следующих уровнях:

  • Сетевые пакетные правила. Используются для ввода ограничений на сетевые пакеты независимо от приложения. Такие правила ограничивают входящую и исходящую сетевую активность по определенным портам выбранного протокола передачи данных. Kaspersky Endpoint Security имеет предустановленные сетевые пакетные правила с разрешениями, рекомендованными специалистами "Лаборатории Касперского".
  • Сетевые правила приложений. Используются для ограничения сетевой активности конкретного приложения. Учитываются не только характеристики сетевого пакета, но и конкретное приложение, которому адресован этот сетевой пакет, либо которое инициировало отправку этого сетевого пакета.

Контроль доступа приложений к ресурсам операционной системы, процессам и персональным данным обеспечивает компонент Предотвращение вторжений с помощью прав приложений.

Во время первого запуска приложения Сетевой экран выполняет следующие действия:

  1. Проверяет безопасность приложения с помощью загруженных антивирусных баз.
  2. Проверяет безопасность приложения в Kaspersky Security Network.

    Для более эффективной работы Сетевого экрана вам рекомендуется принять участие в Kaspersky Security Network.

  3. Помещает приложение в одну из групп доверия: Доверенные, Слабые ограничения, Сильные ограничения, Недоверенные.

    Группа доверия определяет права, которые Kaspersky Endpoint Security использует для контроля активности приложений. Kaspersky Endpoint Security помещает приложение в группу доверия в зависимости от уровня опасности, которую это приложение может представлять для компьютера.

    Kaspersky Endpoint Security помещает приложение в группу доверия для компонентов Сетевой экран и Предотвращение вторжений. Изменить группу доверия только для Сетевого экрана или только для Предотвращения вторжений невозможно.

    Если вы отказались принимать участие в KSN или отсутствует сеть, Kaspersky Endpoint Security помещает приложение в группу доверия в зависимости от параметров компонента Предотвращение вторжений. После получения данных о репутации приложения от KSN группа доверия может быть изменена автоматически.

  4. Блокирует сетевую активность приложения в зависимости от группы доверия. Например, приложениям из группы доверия "Сильные ограничения" запрещены любые сетевые соединения.

При следующем запуске приложения Kaspersky Endpoint Security проверяет целостность приложения. Если приложение не было изменено, компонент применяет к нему текущие сетевые правила. Если приложение было изменено, Kaspersky Endpoint Security исследует приложение как при первом запуске.

Приоритеты сетевых правил

Каждое правило имеет приоритет. Чем выше правило в списке, тем выше его приоритет. Если сетевая активность добавлена в несколько правил, Сетевой экран регулирует сетевую активность по правилу с высшим приоритетом.

Сетевые пакетные правила имеют более высокий приоритет, чем сетевые правила приложений. Если для одного и того же вида сетевой активности заданы и сетевые пакетные правила, и сетевые правила приложений, то эта сетевая активность обрабатывается по сетевым пакетным правилам.

Сетевые правила приложений имеют особенность. Сетевые правило приложений включает в себя правила доступа по статусу сети: публичная, локальная, доверенная. Например, для группы доверия "Сильные ограничения" по умолчанию запрещена любая сетевая активность приложения в сетях всех статусов. Если для отдельного приложения (родительское приложение) задано сетевое правило, то дочерние процессы других приложений будут выполнены в соответствии с сетевым правилом родительского приложения. Если сетевое правило для приложения отсутствует, дочерние процессы будут выполнены в соответствии с правилом доступа к сетям группы доверия.

Например, вы запретили любую сетевую активность всех приложений для сетей всех статусов, кроме браузера X. Если в браузере X (родительское приложение) запустить установку браузера Y (дочерний процесс), то установщик браузера Y получит доступ к сети и загрузит необходимые файлы. После установки браузеру Y будут запрещены любые сетевые соединения в соответствии с параметрами Сетевого экрана. Чтобы запретить установщику браузера Y сетевую активность в качестве дочернего процесса, необходимо добавить сетевое правило для установщика браузера Y.

Статусы сетевых соединений

Сетевой экран позволяет контролировать сетевую активность в зависимости от статуса сетевого соединения. Kaspersky Endpoint Security получает статус сетевого соединения от операционной системы компьютера. Статус сетевого соединения в операционной системе задает пользователь при настройке подключения. Вы можете изменить статус сетевого соединения в параметрах Kaspersky Endpoint Security. Сетевой экран будет контролировать сетевую активность в зависимости от статуса сети в параметрах Kaspersky Endpoint Security, а не операционной системы.

Выделены следующие статусы сетевого соединения:

  • Публичная сеть. Сеть не защищена антивирусными приложениями, сетевыми экранами, фильтрами (например, Wi-Fi в кафе). Пользователю компьютера, подключенного к такой сети, Сетевой экран закрывает доступ к файлам и принтерам этого компьютера. Сторонние пользователи также не могут получить доступ к информации через папки общего доступа и удаленный доступ к рабочему столу этого компьютера. Сетевой экран фильтрует сетевую активность каждого приложения в соответствии с сетевыми правилами этого приложения.

    Сетевой экран по умолчанию присваивает статус Публичная сеть сети Интернет. Вы не можете изменить статус сети Интернет.

  • Локальная сеть. Сеть для пользователей, которым ограничен доступ к файлам и принтерам этого компьютера (например, для локальной сети организации или для домашней сети).
  • Доверенная сеть. Безопасная сеть, во время работы в которой компьютер не подвергается атакам и попыткам несанкционированного доступа к данным. Для сетей с этим статусом Сетевой экран разрешает любую сетевую активность в рамках этой сети.

    Параметры компонента Сетевой экран

    Параметр

    Описание

    Сетевые пакетные правила

    Таблица сетевых пакетных правил. Сетевые пакетные правила используются для ввода ограничений на сетевые пакеты независимо от приложения. Такие правила ограничивают входящую и исходящую сетевую активность по определенным портам выбранного протокола передачи данных.

    В таблице представлены предустановленные сетевые пакетные правила, которые рекомендованы специалистами "Лаборатории Касперского" для оптимальной защиты сетевого трафика компьютеров под управлением операционных систем Microsoft Windows.

    Сетевой экран устанавливает приоритет выполнения для каждого сетевого пакетного правила. Сетевой экран обрабатывает сетевые пакетные правила в порядке их расположения в списке сетевых пакетных правил, сверху вниз. Сетевой экран находит первое по порядку подходящее для сетевого соединения сетевое пакетное правило и выполняет его действие: либо разрешает, либо блокирует сетевую активность. Далее Сетевой экран игнорирует все последующие сетевые пакетные правила для данного сетевого соединения.

    Сетевые пакетные правила имеют приоритет над сетевыми правилами приложений.

    Сетевые соединения

    Таблица, содержащая информацию о сетевых соединениях, которые Сетевой экран обнаружил на компьютере пользователя.

    Сети Интернет по умолчанию присвоен статус Публичная сеть. Вы не можете изменить статус сети Интернет.

    Сетевые правила

    Приложения

    Таблица приложений, работу которых контролирует компонент Сетевой экран. Приложения распределены по группам доверия. Группа доверия определяет права, которые Kaspersky Endpoint Security использует для контроля сетевой активности приложений.

    Вы можете выбрать приложение из единого списка всех приложений, установленных на компьютерах под действием политики, и добавить приложение в группу доверия.

    Сетевые правила

    Таблица сетевых правил приложений, входящих в группу доверия. В соответствии с этими правилами Сетевой экран регулирует сетевую активность для приложений.

    В таблице отображаются предустановленные сетевые правила, которые рекомендованы специалистами "Лаборатории Касперского". Эти сетевые правила добавлены для оптимальной защиты сетевого трафика компьютеров под управлением операционных систем Windows. Удалить предустановленные сетевые правила невозможно.

См. также об управлении программой через локальный интерфейс

Включение и выключение Сетевого экрана

Изменение статуса сетевого соединения

Работа с сетевыми пакетными правилами

Работа с сетевыми правилами приложений

Мониторинг сети
В начало

[Topic 176739]

Защита от атак BadUSB

Некоторые вирусы изменяют встроенное программное обеспечение USB-устройств так, чтобы операционная система определяла USB-устройство как клавиатуру. В результате вирус может выполнять команды под вашей учетной записью, например, загрузить вредоносное приложение.

Компонент Защита от атак BadUSB позволяет предотвратить подключение к компьютеру зараженных USB-устройств, имитирующих клавиатуру.

Когда к компьютеру подключается USB-устройство, определенное операционной системой как клавиатура, приложение предлагает пользователю ввести c этой клавиатуры или с помощью экранной клавиатуры (если она доступна) цифровой код, сформированный приложением (см. рис. ниже). Эта процедура называется авторизацией клавиатуры.

Если код введен правильно, приложение сохраняет идентификационные параметры – VID/PID клавиатуры и номер порта, по которому она подключена, в списке авторизованных клавиатур. Авторизация клавиатуры при ее повторном подключении или перезагрузке операционной системы не требуется.

При подключении авторизованной клавиатуры через другой USB-порт компьютера приложение снова запрашивает ее авторизацию.

Если цифровой код введен неправильно, приложение формирует новый. Вы можете настроить число попыток для ввода цифрового кода. Если цифровой код введен неправильно несколько раз или закрыто окно авторизации клавиатуры (см. рис. ниже), приложение блокирует ввод с этой клавиатуры. По истечении времени блокировки USB-устройства или перезагрузке операционной системы приложение снова предлагает пройти авторизацию клавиатуры.

Приложение разрешает использование авторизованной клавиатуры и блокирует использование клавиатуры, не прошедшей авторизацию.

Компонент Защита от атак BadUSB не устанавливается по умолчанию. Если вам нужен компонент Защита от атак BadUSB, вы можете добавить компонент в свойствах инсталляционного пакета перед установкой приложения или измените состав компонентов приложения после установки приложения.

loc_screen_KES11_BadUSB_authorization

Авторизация клавиатуры

Параметры компонента Защита от атак BadUSB

Параметр

Описание

Запретить использование экранной клавиатуры для авторизации USB-устройств

Если флажок установлен, приложение запрещает использование экранной клавиатуры для авторизации USB-устройства, с которого невозможно ввести код авторизации.

Максимальное количество попыток авторизации USB-устройства

Автоматическое блокирование USB-устройства, если код авторизации введен неверно заданное количество раз. Доступны значения от 1 до 10. Например, если вы разрешили 5 попыток ввода кода авторизации, после пятой неудачной попытки приложение заблокирует USB-устройство. Kaspersky Endpoint Security покажет время блокировки USB-устройства. По истечении указанного времени, вам будет доступно 5 попыток ввода кода авторизации.

Таймаут при достижении максимального количества попыток

Время блокировки USB-устройства после заданного количества неудачных попыток ввода кода авторизации. Доступны значения от 1 до 180 (минут).

См. также об управлении программой через локальный интерфейс

Включение и выключение Защиты от атак BadUSB

Использовании экранной клавиатуры при авторизации USB-устройств
В начало

[Topic 176740]

AMSI-защита

Компонент AMSI-защита предназначен для поддержки интерфейса Antimalware Scan Interface от Microsoft. Интерфейс Antimalware Scan Interface (AMSI) позволяет сторонним приложениям с поддержкой AMSI отправлять объекты (например, скрипты PowerShell) в Kaspersky Endpoint Security для дополнительной проверки и получать результаты проверки этих объектов. Сторонними приложениями могут быть, например, приложения Microsoft Office (см. рис. ниже). Подробнее об интерфейсе AMSI см. в документации Microsoft.

AMSI-защита может только обнаруживать угрозу и уведомлять стороннее приложение об обнаруженной угрозе. Стороннее приложение после получения уведомления об угрозе не дает выполнить вредоносные действия (например, завершает работу).

Пример работы AMSI

Компонент AMSI-защита может отклонить запрос от стороннего приложения, например, если это приложение превысило максимальное количество запросов за промежуток времени. Kaspersky Endpoint Security отправляет информацию об отклонении запроса от стороннего приложения на Сервер администрирования. Компонент AMSI-защита не отклоняет запросы от тех сторонних приложений, для которых включена функция постоянного взаимодействия с компонентом AMSI-защита.

AMSI-защита доступна для следующих операционных систем рабочих станций и серверов:

  • Windows 10 Home / Pro / Pro для рабочих станций / Education / Enterprise;
  • Windows 11 Home / Pro / Pro для рабочих станций / Education / Enterprise;
  • Windows Server 2016 Essentials / Standard / Datacenter;
  • Windows Server 2019 Essentials / Standard / Datacenter;
  • Windows Server 2022.

    Параметры компонента AMSI-защита

    Параметр

    Описание

    Проверять архивы

    Проверка архивов ZIP, GZIP, BZIP, RAR, TAR, ARJ, CAB, LHA, JAR, ICE и других архивов. Приложение проверяет архивы не только по расширению, но и по формату. При проверке архивов приложение выполняет рекурсивную распаковку. Это позволяет обнаруживать угрозы внутри многоуровневых архивов (архив внутри архива).

    Проверять дистрибутивы

    Флажок включает / выключает проверку дистрибутивов сторонних приложений.

    Проверять файлы офисных форматов

    Проверка файлов Microsoft Office (DOC, DOCX, XLS, PPT и других). К файлам офисных форматов также относятся OLE-объекты.

    Не распаковывать составные файлы большого размера

    Если флажок установлен, то приложение не проверяет составные файлы, размеры которых больше заданного значения.

    Если флажок снят, приложение проверяет составные файлы любого размера.

    Приложение проверяет файлы больших размеров, извлеченные из архивов, независимо от состояния флажка.

См. также об управлении программой через локальный интерфейс

Включение и выключение AMSI-защиты

Проверка составных файлов AMSI-защитой
В начало

[Topic 176730]

Защита от эксплойтов

Компонент Защита от эксплойтов отслеживает программный код, который использует уязвимости на компьютере для получения эксплойтом прав администратора или выполнения вредоносных действий. Эксплойты, например, используют атаку на переполнение буфера обмена. Для этого эксплойт отправляет большой объем данных в уязвимое приложение. При обработке этих данных уязвимое приложение выполняет вредоносный код. В результате этой атаки эксплойт может запустить несанкционированную установку вредоносного ПО. Если попытка запустить исполняемый файл из уязвимого приложения не была произведена пользователем, то Kaspersky Endpoint Security блокирует запуск этого файла или информирует пользователя.

Параметры компонента Защита от эксплойтов

Параметр

Описание

При обнаружении эксплойта

Блокировать операцию. Если выбран этот элемент, то, обнаружив эксплойт, Kaspersky Endpoint Security блокирует операции этого эксплойта и создает в журнале запись, содержащую информацию об этом эксплойте.

Информировать. Если выбран этот элемент, то, обнаружив эксплойт, Kaspersky Endpoint Security создает в журнале запись, содержащую информацию об этом эксплойте, и добавляет информацию об этом эксплойте в список активных угроз.

Включить защиту памяти системных процессов

Если переключатель включен, Kaspersky Endpoint Security блокирует сторонние процессы, осуществляющие попытки доступа к памяти системных процессов.

См. также об управлении программой через локальный интерфейс

Включение и выключение Защиты от эксплойтов

Выбор действия при обнаружении эксплойта

Защита памяти системных процессов
В начало

[Topic 176728]

Анализ поведения

Компонент Анализ поведения получает данные о действиях приложений на вашем компьютере и предоставляет эту информацию другим компонентам защиты для повышения эффективности их работы. Компонент Анализ поведения использует шаблоны опасного поведения приложений. Если активность приложения совпадает с одним из шаблонов опасного поведения, Kaspersky Endpoint Security выполняет выбранное ответное действие. Функциональность Kaspersky Endpoint Security, основанная на шаблонах опасного поведения, обеспечивает проактивную защиту компьютера.

Параметры компонента Анализ поведения

Параметр

Описание

При обнаружении вредоносной активности приложения
  • Удалять файл. Если выбран этот вариант, то, обнаружив вредоносную активность приложения, Kaspersky Endpoint Security удаляет исполняемый файл вредоносного приложения и создает резервную копию файла в резервном хранилище.
  • Завершать работу приложения. Если выбран этот вариант, то, обнаружив вредоносную активность приложения, Kaspersky Endpoint Security завершает работу этого приложения.
  • Информировать. Если выбран этот вариант, то в случае обнаружения вредоносной активности приложения Kaspersky Endpoint Security не завершает работу этого приложения и добавляет информацию о вредоносной активности этого приложения в список активных угроз.

Включить защиту папок общего доступа от внешнего шифрования

Если переключатель включен, то Kaspersky Endpoint Security анализирует активность в папках общего доступа. Если активность совпадает с одним из шаблонов поведения, характерного для внешнего шифрования, Kaspersky Endpoint Security выполняет выбранное действие.

Kaspersky Endpoint Security защищает от попыток внешнего шифрования только те файлы, которые расположены на носителях информации с файловой системой NTFS и не зашифрованы системой EFS.

  • Информировать. Если выбран этот вариант, то, обнаружив попытку изменения файлов в папках общего доступа, Kaspersky Endpoint Security добавляет информацию об этой попытке изменения файлов в папках общего доступа в список активных угроз.
  • Блокировать соединение на N мин. Если выбран этот вариант, то, обнаружив попытку изменения файлов в папках общего доступа, Kaspersky Endpoint Security блокирует сетевую активность компьютера, осуществляющего изменение, и создает резервные копии измененных файлов.

Если включен компонент Откат вредоносных действий и выбран вариант Блокировать соединение на N мин, то выполняется восстановление измененных файлов из резервных копий.

Исключения

Список компьютеров, с которых не будут отслеживаться попытки шифрования папок общего доступа.

Для работы списка исключений компьютеров из защиты папок общего доступа от внешнего шифрования требуется включить аудит входа в систему в политике аудита безопасности Windows. По умолчанию аудит входа в систему выключен. Подробнее о политике аудита безопасности Windows см. на сайте Microsoft).

См. также об управлении программой через локальный интерфейс

Включение и выключение Анализа поведения

Выбор действия при обнаружении вредоносной активности приложения

Защита папок общего доступа от внешнего шифрования
В начало

[Topic 176731]

Предотвращение вторжений

Компонент Предотвращение вторжений (англ. HIPS – Host Intrusion Prevention System) предотвращает выполнение приложениями опасных для системы действий, а также обеспечивает контроль доступа к ресурсам операционной системы и персональным данным. Компонент обеспечивает защиту компьютера с помощью антивирусных баз и облачной службы Kaspersky Security Network.

Компонент контролирует работу приложений с помощью прав приложений. Права приложений включают в себя следующие параметры доступа:

  • доступ к ресурсам операционной системы (например, параметры автозапуска, ключи реестра);
  • доступ к персональным данным (например, к файлам, приложениям).

Сетевую активность приложений контролирует Сетевой экран с помощью сетевых правил.

Во время первого запуска приложения компонент Предотвращение вторжений выполняет следующие действия:

  1. Проверяет безопасность приложения с помощью загруженных антивирусных баз.
  2. Проверяет безопасность приложения в Kaspersky Security Network.

    Для более эффективной работы компонента Предотвращение вторжений вам рекомендуется принять участие в Kaspersky Security Network.

  3. Помещает приложение в одну из групп доверия: Доверенные, Слабые ограничения, Сильные ограничения, Недоверенные.

    Группа доверия определяет права, которые Kaspersky Endpoint Security использует для контроля активности приложений. Kaspersky Endpoint Security помещает приложение в группу доверия в зависимости от уровня опасности, которую это приложение может представлять для компьютера.

    Kaspersky Endpoint Security помещает приложение в группу доверия для компонентов Сетевой экран и Предотвращение вторжений. Изменить группу доверия только для Сетевого экрана или только для Предотвращения вторжений невозможно.

    Если вы отказались принимать участие в KSN или отсутствует сеть, Kaspersky Endpoint Security помещает приложение в группу доверия в зависимости от параметров компонента Предотвращение вторжений. После получения данных о репутации приложения от KSN группа доверия может быть изменена автоматически.

  4. Блокирует действия приложения в зависимости от группы доверия. Например, приложениям из группы доверия "Сильные ограничения" запрещен доступ к модулям операционной системы.

При следующем запуске приложения Kaspersky Endpoint Security проверяет целостность приложения. Если приложение не было изменено, компонент применяет к ней текущие права приложения. Если приложение было изменено, Kaspersky Endpoint Security исследует приложение как при первом запуске.

Параметры компонента Предотвращение вторжений

Параметр

Описание

Права программ

Программы

Таблица приложений, работу которых контролирует компонент Предотвращение вторжений. Приложения распределены по группам доверия. Группа доверия определяет права, которые Kaspersky Endpoint Security использует для контроля активности приложений.

Вы можете выбрать приложение из единого списка всех приложений, установленных на компьютерах под действием политики, и добавить приложение в группу доверия.

Права доступа приложения приведены в следующих таблицах:

  • Файлы и системный реестр. Таблица, которая содержит права доступа приложений, входящих в группу доверия, к ресурсам операционной системы и персональным данным.
  • Права. Таблица, которая содержит права доступа приложений, входящих в группу доверия, к процессам и ресурсам операционной системы.
  • Сетевые правила. Таблица сетевых правил приложений, входящих в группу доверия. В соответствии с этими правилами Сетевой экран регулирует сетевую активность для приложений. В таблице отображаются предустановленные сетевые правила, которые рекомендованы специалистами "Лаборатории Касперского". Эти сетевые правила добавлены для оптимальной защиты сетевого трафика компьютеров под управлением операционных систем Windows. Удалить предустановленные сетевые правила невозможно.

Защищаемые ресурсы

Имя

Таблица содержит ресурсы компьютера, распределенные по категориям. Компонент Предотвращение вторжений контролирует доступ других приложений к ресурсам из этой таблицы.

Ресурсом может быть категория реестра, файл или папка, ключ реестра.

Программы

Таблица приложений, работу которых контролирует компонент Предотвращение вторжений, для выбранного ресурса. Приложения распределены по группам доверия. Группа доверия определяет права, которые Kaspersky Endpoint Security использует для контроля активности приложений.

Группа доверия для программ, запущенных до начала работы Kaspersky Endpoint Security для Windows

Группа доверия, в которую Kaspersky Endpoint Security будет помещать приложения, запускаемые до Kaspersky Endpoint Security.

Обновлять права для ранее неизвестных программ из базы KSN

Если флажок установлен, то компонент Предотвращение вторжений обновляет права ранее неизвестных приложений, используя базы Kaspersky Security Network.

Доверять программам, имеющим цифровую подпись

Если флажок установлен, то компонент Предотвращение вторжений помещает приложения с цифровой подписью доверенных производителей в группу доверия "Доверенные".

Доверенные производители – производители, которым доверяет "Лаборатория Касперского". Также вы можете добавить сертификат производителя в доверенное хранилище сертификатов вручную.

Если флажок снят, компонент Предотвращение вторжений не считает такие приложения доверенными и распределяет их по группам доверия на основании других параметров.

Удалять правила для программ, не запускавшихся более (дней, от 1 до 90)

Если флажок установлен, то Kaspersky Endpoint Security автоматически удаляет информацию о приложении (группа доверия, права доступа) при выполнении следующих условий:

  • Вы вручную поместили приложение в группу доверия или настроили права доступа.
  • Приложение не запускалась в течении заданного периода времени.

Если группа доверия и права приложения определены автоматически, Kaspersky Endpoint Security удаляет информацию об этом приложении через 30 дней. Изменить время хранения информации о приложении или выключить автоматическое удаление невозможно.

При следующем запуске этого приложения Kaspersky Endpoint Security исследует приложение как при первом запуске.

Группа доверия для программ, которые не удалось распределить по другим группам

Раскрывающийся список, элементы которого определяют, в какую группу доверия Kaspersky Endpoint Security будет помещать неизвестное приложение.

Вы можете выбрать один из следующих элементов:

  • Слабые ограничения.
  • Сильные ограничения.
  • Недоверенные.

См. также об управлении программой через локальный интерфейс

Защита доступа к аудио и видео

Включение и выключение Предотвращения вторжений

Работа с группами доверия приложений

Работа с правами приложений

Защита ресурсов ОС и персональных данных
В начало

[Topic 176732]

Откат вредоносных действий

Компонент Откат вредоносных действий позволяет Kaspersky Endpoint Security выполнить откат действий, произведенных вредоносными приложениями в операционной системе.

Во время отката действий вредоносного приложения в операционной системе Kaspersky Endpoint Security обрабатывает следующие типы активности вредоносного приложения:

  • Файловая активность

    Kaspersky Endpoint Security выполняет следующие действия:

    • удаляет исполняемые файлы, созданные вредоносным приложением (на всех носителях, кроме сетевых дисков);
    • удаляет исполняемые файлы, созданные приложениями, в которые внедрилось вредоносное приложение;
    • восстанавливает измененные или удаленные вредоносным приложением файлы.

    Функциональность восстановления файлов имеет ряд ограничений.

  • Реестровая активность

    Kaspersky Endpoint Security выполняет следующие действия:

    • удаляет разделы и ключи реестра, созданные вредоносным приложением;
    • не восстанавливает измененные или удаленные вредоносным приложением разделы и ключи реестра.
  • Системная активность

    Kaspersky Endpoint Security выполняет следующие действия:

    • завершает процессы, которые запускало вредоносное приложение;
    • завершает процессы, в которые внедрялось вредоносное приложение;
    • не возобновляет процессы, которые остановило вредоносное приложение.
  • Сетевая активность

    Kaspersky Endpoint Security выполняет следующие действия:

    • запрещает сетевую активность вредоносного приложения;
    • запрещает сетевую активность тех процессов, в которые внедрялось вредоносное приложение.

Откат действий вредоносного приложения может быть запущен компонентом Защита от файловых угроз, Анализ поведения или при антивирусной проверке.

Откат действий вредоносного приложения затрагивает строго ограниченный набор данных. Откат не оказывает негативного влияния на работу операционной системы и целостность информации на вашем компьютере.

В начало

[Topic 176440]

Kaspersky Security Network

Чтобы повысить эффективность защиты компьютера пользователя, Kaspersky Endpoint Security использует данные, полученные от пользователей во всем мире. Для получения этих данных предназначена сеть Kaspersky Security Network.

Kaspersky Security Network (KSN) – это инфраструктура облачных служб, предоставляющая доступ к оперативной базе знаний "Лаборатории Касперского" о репутации файлов, интернет-ресурсов и программного обеспечения. Использование данных Kaspersky Security Network обеспечивает более высокую скорость реакции Kaspersky Endpoint Security на неизвестные угрозы, повышает эффективность работы некоторых компонентов защиты, а также снижает вероятность ложных срабатываний. Если вы участвуете в Kaspersky Security Network, приложение Kaspersky Endpoint Security получает от служб KSN сведения о категории и репутации проверяемых файлов, а также сведения о репутации проверяемых веб-адресов.

Использование Kaspersky Security Network является добровольным. Приложение предлагает использовать KSN во время первоначальной настройки приложения. Начать или прекратить использование KSN можно в любой момент.

Более подробную информацию об отправке в "Лабораторию Касперского", хранении и уничтожении статистической информации, полученной во время использования KSN, вы можете прочитать в Положении о Kaspersky Security Network и на веб-сайте "Лаборатории Касперского". Файл ksn_<ID языка>.txt с текстом Положения о Kaspersky Security Network входит в комплект поставки приложения.

Для снижения нагрузки на серверы KSN специалисты "Лаборатории Касперского" могут выпускать обновления для приложения, которые временно выключают или частично ограничивают обращения в Kaspersky Security Network. В этом случае статус подключения к KSN в локальном интерфейсе приложения – Включено с ограничениями.

Инфраструктура KSN

Kaspersky Endpoint Security поддерживает следующие инфраструктурные решения KSN:

  • Глобальный KSN – это решение, которое используют большинство приложений "Лаборатории Касперского". Участники KSN получают информацию от Kaspersky Security Network, а также отправляют в "Лабораторию Касперского" данные об объектах, обнаруженных на компьютере пользователя, для дополнительной проверки аналитиками "Лаборатории Касперского" и пополнения репутационных и статистических баз Kaspersky Security Network.
  • Локальный KSN – это решение, позволяющее пользователям компьютеров, на которые установлено приложение Kaspersky Endpoint Security или другие приложение "Лаборатории Касперского", получать доступ к репутационным базам Kaspersky Security Network, а также другим статистическим данным, не отправляя данные в KSN со своих компьютеров. Локальный KSN разработан для корпоративных клиентов, не имеющих возможности участвовать в Kaspersky Security Network, например, по следующим причинам:
    • отсутствие подключения локальных рабочих мест к сети Интернет;
    • законодательный запрет или ограничение корпоративной безопасности на отправку любых данных за пределы страны или за пределы локальной сети организации.

По умолчанию Kaspersky Security Center использует Глобальный KSN. Вы можете настроить использование Локального KSN в Консоли администрирования (MMC), Kaspersky Security Center Web Console, а также с помощью командной строки. Настроить использование Локального KSN в Kaspersky Security Center Cloud Console невозможно.

Подробнее о работе Локального KSN см. в документации для Kaspersky Private Security Network.

Параметры Kaspersky Security Network

Параметр

Описание

Включить расширенный режим KSN

Расширенный режим KSN – режим работы приложения, при котором Kaspersky Endpoint Security передает в "Лабораторию Касперского" дополнительные данные. Независимо от положения переключателя, Kaspersky Endpoint Security использует KSN для обнаружения угроз.

Включить облачный режим

Облачный режим – режим работы приложения, при котором Kaspersky Endpoint Security использует облегченную версию антивирусных баз. Работу приложения с облегченными антивирусными базами обеспечивает Kaspersky Security Network. Облегченная версия антивирусных баз позволяет снизить нагрузку на оперативную память компьютера примерно в два раза. Если вы не участвуете в Kaspersky Security Network или облачный режим выключен, Kaspersky Endpoint Security загружает полную версию антивирусных баз с серверов "Лаборатории Касперского".

Если переключатель включен, то Kaspersky Endpoint Security использует облегченную версию антивирусных баз, за счет чего снижается нагрузка на ресурсы операционной системы.

Kaspersky Endpoint Security загружает облегченную версию антивирусных баз в ходе ближайшего обновления после того, как флажок был установлен.

Если переключатель выключен, то Kaspersky Endpoint Security использует полную версию антивирусных баз.

Kaspersky Endpoint Security загружает полную версию антивирусных баз в ходе ближайшего обновления после того, как флажок был снят.

Статус компьютера при недоступности серверов KSN

(доступен только в консоли Kaspersky Security Center)

Раскрывающийся список, элементы которого определяют статус компьютера в Kaspersky Security Center при недоступности серверов KSN.

Использовать KSN Proxy

(доступен только в консоли Kaspersky Security Center)

Если флажок установлен, то Kaspersky Endpoint Security использует службу KSN Proxy. Вы можете настроить параметры службы KSN Proxy в свойствах Сервера администрирования.

Использовать серверы KSN при недоступности KSN Proxy

(доступен только в консоли Kaspersky Security Center)

Если флажок установлен, Kaspersky Endpoint Security использует серверы KSN, когда служба KSN Proxy недоступна. Серверы KSN могут быть расположены как на стороне "Лаборатории Касперского", в случае использования Глобального KSN, так и на сторонних серверах, в случае использования Локального KSN.

См. также об управлении программой через локальный интерфейс

Предоставление данных при использовании Kaspersky Security Network

Включение и выключение использования Kaspersky Security Network

Включение и выключение облачного режима для компонентов защиты

Проверка репутации файла в Kaspersky Security Network
В начало

[Topic 176743]

Веб-Контроль

Веб-Контроль управляет доступом пользователей к веб-ресурсам. Это позволяет уменьшить расход трафика и сократить нецелевое использование рабочего времени. При попытке пользователя открыть веб-сайт, доступ к которому ограничен Веб-Контролем, Kaspersky Endpoint Security заблокирует доступ или покажет предупреждение (см. рис. ниже).

Kaspersky Endpoint Security контролирует только HTTP- и HTTPS-трафик.

Для контроля HTTPS-трафика нужно включить проверку защищенных соединений.

Способы управления доступом к веб-сайтам

Веб-Контроль позволяет настраивать доступ к веб-сайтам следующими способами:

  • Категория веб-сайта. Категоризацию веб-сайтов обеспечивает облачная служба Kaspersky Security Network, эвристический анализ, а также база известных веб-сайтов (входит в состав баз приложения). Вы можете ограничить доступ пользователей, например, к категории "Социальные сети" или другим категориям.
  • Тип данных. Вы можете ограничить доступ пользователей к данным на веб-сайте и, например, скрыть графические изображения. Kaspersky Endpoint Security определяет тип данных по формату файла, а не по расширению.

    Kaspersky Endpoint Security не проверяет файлы внутри архивов. Например, если файлы изображений помещены в архив, Kaspersky Endpoint Security определит тип данных "Архивы", а не "Графические файлы".

  • Отдельный адрес. Вы можете ввести веб-адрес или использовать маски.

Вы можете использовать одновременно несколько способов регулирования доступа к веб-сайтам. Например, вы можете ограничить доступ к типу данных "Файлы офисных приложений" только для категории веб-сайтов "Веб-почта".

Правила доступа к веб-сайтам

Веб-Контроль управляет доступом пользователей к веб-сайтам с помощью правил доступа. Вы можете настроить следующие дополнительные параметры правила доступа к веб-сайтам:

  • Пользователи, на которых распространяется правило.

    Например, вы можете ограничить доступ в интернет через браузер для всех пользователей организации, кроме IT-отдела.

  • Расписание работы правила.

    Например, вы можете ограничить доступ в интернет через браузер только в рабочее время.

Приоритеты правил доступа

Каждое правило имеет приоритет. Чем выше правило в списке, тем выше его приоритет. Если веб-сайт добавлен в несколько правил, Веб-Контроль регулирует доступ к веб-сайтам по правилу с высшим приоритетом. Например, Kaspersky Endpoint Security может определить корпоративный портал как социальную сеть. Чтобы ограничить доступ к социальным сетям и предоставить доступ к корпоративному веб-порталу, создайте два правила: запрещающее правило для категории веб-сайтов "Социальные сети" и разрешающее правило для корпоративного веб-портала. Правило доступа к корпоративному веб-порталу должно иметь приоритет выше, чем правило доступа к социальным сетям.

Сообщения Веб-Контроля

Параметры компонента Веб-Контроль

Параметр

Описание

Правила доступа к веб-ресурсам

Список с правилами доступа к веб-ресурсам. Каждое правило имеет приоритет. Чем выше правило в списке, тем выше его приоритет. Если веб-сайт добавлен в несколько правил, Веб-Контроль регулирует доступ к веб-сайтам по правилу с высшим приоритетом.

Правило по умолчанию

Правило по умолчанию – правило доступа к веб-ресурсам, которые не входят ни в одно из правил. Возможны следующие варианты:

  • Разрешать все, не указанное в списке правил – режим списка запрещенных веб-сайтов.
  • Запрещать все, не указанное в списке правил – режим списка разрешенных веб-сайтов.

Шаблоны сообщений
  • Предупреждение. Поле ввода содержит шаблон сообщения, которое появляется при срабатывании правила, предупреждающего о попытке доступа к нерекомендованному веб-ресурсу.
  • Сообщение о блокировке. Поле ввода содержит шаблон сообщения, которое появляется при срабатывании правила, блокирующего доступ к веб-ресурсу.
  • Сообщение администратору. Шаблон сообщения для отправки администратору локальной сети организации в случае, если блокировка доступа к веб-ресурсу, по мнению пользователя, произошла ошибочно. После запроса пользователя предоставить доступ Kaspersky Endpoint Security отправляет в Kaspersky Security Center событие Сообщение администратору о запрете доступа к веб-странице. Описание события содержит сообщение администратору с подставленными переменными. Вы можете посмотреть эти события в консоли Kaspersky Security Center с помощью предустановленной выборки Запросы пользователей. Если в вашей организации не развернуто решение Kaspersky Security Center или связь с Сервером администрирования отсутствует, приложение отправит сообщение администратору на указанный адрес электронной почты.

Записывать данные о посещении разрешенных страниц в журнал

Kaspersky Endpoint Security записывает данные о посещении всех веб-сайтов, в том числе и разрешенных. Kaspersky Endpoint Security отправляет события в Kaspersky Security Center, локальный журнал Kaspersky Endpoint Security, журнал событий Windows. Для мониторинга активности пользователя в интернете нужно настроить параметры сохранения событий.

Браузеры, которые поддерживают функцию мониторинга: Microsoft Edge, Microsoft Internet Explorer, Google Chrome, Яндекс.Браузер, Mozilla Firefox. Мониторинг активности пользователей не работает в других браузерах.

Мониторинг активности пользователя в интернете может потребовать больше ресурсов компьютера при расшифровке HTTPS-трафика.

См. также об управлении программой через локальный интерфейс

Включение и выключение Веб-Контроля

Действия с правилами доступа к веб-ресурсам

Миграция правил доступа к веб-ресурсам из предыдущих версий приложения

Экспорт и импорт списка адресов веб-ресурсов

Мониторинг активности пользователей в интернете

Правила формирования масок адресов веб-ресурсов

Изменение шаблонов сообщений Веб-Контроля
В начало

[Topic 176741]

Контроль устройств

Контроль устройств управляет доступом пользователей к установленным или подключенным к компьютеру устройствам (например, жестким дискам, камере или модулю Wi-Fi). Это позволяет защитить компьютер от заражения при подключении этих устройств и предотвратить потерю или утечку данных.

Уровни доступа к устройствам

Контроль устройств управляет доступом на следующих уровнях:

  • Тип устройства. Например, принтеры, съемные диски, CD/DVD-приводы.

    Вы можете настроить доступ устройств следующим образом:

    • Разрешать – .
    • Запрещать – .
    • Зависит от шины подключения (кроме Wi-Fi) – .
    • Запрещать с исключениями (только Wi-Fi) – .
  • Шина подключения. Шина подключения – интерфейс, с помощью которого устройства подключаются к компьютеру (например, USB, FireWire). Таким образом, вы можете ограничить подключение всех устройств, например, через USB.

    Вы можете настроить доступ устройств следующим образом:

    • Разрешать – .
    • Запрещать – .
  • Доверенные устройства. Доверенные устройства – это устройства, полный доступ к которым разрешен в любое время для пользователей, указанных в параметрах доверенного устройства.

    Вы можете добавить доверенные устройства по следующим данным:

    • Устройства по идентификатору. Каждое устройство имеет уникальный идентификатор (англ. Hardware ID – HWID). Вы можете просмотреть идентификатор в свойствах устройства средствами операционной системы. Пример идентификатора устройства: SCSI\CDROM&VEN_NECVMWAR&PROD_VMWARE_SATA_CD00\5&354AE4D7&0&000000. Добавлять устройства по идентификатору удобно, если вы хотите добавить несколько определенных устройств.
    • Устройства по модели. Каждое устройство имеет идентификатор производителя (англ. Vendor ID – VID) и идентификатор продукта (англ. Product ID – PID). Вы можете просмотреть идентификаторы в свойствах устройства средствами операционной системы. Шаблон для ввода VID и PID: VID_1234&PID_5678. Добавлять устройства по модели удобно, если вы используете в вашей организации устройства определенной модели. Таким образом, вы можете добавить все устройства этой модели.
    • Устройства по маске идентификатора. Если вы используете несколько устройств с похожими идентификаторами, вы можете добавить устройства в список доверенных с помощью масок. Символ * заменяет любой набор символов. Kaspersky Endpoint Security не поддерживает символ ? при вводе маски. Например, WDC_C*.
    • Устройства по маске модели. Если вы используете несколько устройств с похожими VID или PID (например, устройства одного производителя), вы можете добавить устройства в список доверенных с помощью масок. Символ * заменяет любой набор символов. Kaspersky Endpoint Security не поддерживает символ ? при вводе маски. Например, VID_05AC&PID_*.

Контроль устройств регулирует доступ пользователей к устройствам с помощью правил доступа. Также Контроль устройств позволяет сохранять события подключения / отключения устройств. Для сохранения событий вам нужно настроить отправку событий в политике.

Если доступ к устройству зависит от шины подключения (статус ), Kaspersky Endpoint Security не сохраняет события подключения / отключения устройства. Чтобы приложение Kaspersky Endpoint Security сохраняла события подключения / отключения устройства, разрешите доступ к соответствующему типу устройств (статус ) или добавьте устройство в список доверенных.

При подключении к компьютеру устройства, доступ к которому запрещен Контролем устройств, Kaspersky Endpoint Security заблокирует доступ и покажет уведомление (см. рис. ниже).

Уведомление Контроля устройств

Алгоритм работы Контроля устройств

Kaspersky Endpoint Security принимает решение о доступе к устройству после того, как пользователь подключил это устройство к компьютеру (см. рис. ниже).

Алгоритм работы Контроля устройств

Если устройство подключено и доступ разрешен, вы можете изменить правило доступа и запретить доступ. В этом случае при очередном обращении к устройству (просмотр дерева папок, чтение, запись) Kaspersky Endpoint Security блокирует доступ. Блокирование устройства без файловой системы произойдет только при последующем подключении устройства.

Если пользователю компьютера с установленным приложением Kaspersky Endpoint Security требуется запросить доступ к устройству, которое, по его мнению, было заблокировано ошибочно, передайте ему инструкцию по запросу доступа.

Параметры компонента Контроль устройств

Параметр

Описание

Разрешить запрашивать временный доступ

(доступен только в консоли Kaspersky Security Center)

Если флажок установлен, то кнопка Запросить доступ в локальном интерфейсе Kaspersky Endpoint Security доступна. При нажатии на эту кнопку открывается окно Запрос доступа к устройству. С помощью этого окна пользователь может запросить временный доступ к заблокированному устройству.

Устройства и сети Wi-Fi

 

Таблица со всеми возможными типами устройств по классификации компонента Контроль устройств и статусом доступа к ним.

Шины подключения

Список всех возможных шин подключения по классификации компонента Контроль устройств и статусом доступа к ним.

Доверенные устройства

Список доверенных устройств и пользователей, которым разрешен доступ к этим устройствам.

Анти-Бриджинг

Анти-Бриджинг предотвращает создание сетевых мостов, исключая возможность одновременной установки нескольких сетевых соединений для компьютера. Это позволяет защитить корпоративную сеть от атак через незащищенные, несанкционированные сети.

Анти-Бриджинг блокирует установку нескольких соединений в соответствии с приоритетами устройств. Чем выше находится устройство в списке, тем выше его приоритет.

Если активное и новое соединения относятся к одному типу (например, Wi-Fi), Kaspersky Endpoint Security блокирует активное соединение и разрешает установку нового соединения.

Если активное и новое соединения относятся к разным типам (например, сетевой адаптер и Wi-Fi), Kaspersky Endpoint Security блокирует соединение с более низким приоритетом и разрешает соединение с более высоким приоритетом.

Анти-Бриджинг поддерживает работу со следующими типами устройств: сетевой адаптер, Wi-Fi и модем.

Шаблоны сообщений

Сообщение о блокировке. Шаблон сообщения, которое появляется при обращении пользователя к заблокированному устройству. Также сообщение появляется при попытке пользователя совершить операцию над содержимым устройства, которая запрещена для этого пользователя.

Сообщение администратору. Шаблон сообщения для отправки администратору локальной сети организации в случае, если блокировка доступа к устройству или запрет операции над содержимым устройства, по мнению пользователя, произошли ошибочно. После запроса пользователя предоставить доступ Kaspersky Endpoint Security отправляет в Kaspersky Security Center событие Сообщение администратору о запрете доступа к устройству. Описание события содержит сообщение администратору с подставленными переменными. Вы можете посмотреть эти события в консоли Kaspersky Security Center с помощью предустановленной выборки Запросы пользователей. Если в вашей организации не развернуто решение Kaspersky Security Center или связь с Сервером администрирования отсутствует, приложение отправит сообщение администратору на указанный адрес электронной почты.

См. также об управлении программой через локальный интерфейс

Включение и выключение Контроля устройств

О правилах доступа

Изменение правила доступа к устройствам

Мониторинг использования съемных дисков

Добавление сети Wi-Fi в список доверенных

Изменение правила доступа к шине подключения

Действия с доверенными устройствами

Получение доступа к заблокированному устройству

Изменение шаблонов сообщений Контроля устройств

Анти-Бриджинг
В начало

[Topic 176742]

Контроль приложений

Контроль приложений управляет запуском приложений на компьютерах пользователей. Это позволяет выполнить политику безопасности организации при использовании приложений. Также Контроль приложений снижает риск заражения компьютера, ограничивая доступ к приложениям.

Настройка Контроля приложений состоит из следующих этапов:

  1. Создание категорий приложений.

    Администратор создает категории приложений, которыми администратор хочет управлять. Категории приложений предназначены для всех компьютеров сети организации независимо от групп администрирования. Для создания категории вы можете использовать следующие критерии: KL-категория (например, Браузеры), хеш файла, производитель приложения и другие.

  2. Создание правил Контроля приложений.

    Администратор создает правила Контроля приложений в политике для группы администрирования. Правило включает в себя категории приложений и статус запуска приложений из этих категорий: запрещен или разрешен.

  3. Выбор режима работы Контроля приложений.

    Администратор выбирает режим работы с приложениями, которые не входят ни в одно из правил (списки запрещенных и разрешенных приложений).

При попытке пользователя запустить запрещенное приложение, Kaspersky Endpoint Security заблокирует запуск приложения и покажет уведомление (см. рис. ниже).

Для проверки настройки Контроля приложений предусмотрен тестовый режим. В этом режиме Kaspersky Endpoint Security выполняет следующие действия:

  • разрешает запуск приложений, в том числе запрещенных;
  • показывает уведомление о запуске запрещенного приложения и добавляет информацию в отчет на компьютере пользователя;
  • отправляет данные о запуске запрещенных приложений в Kaspersky Security Center.

    Уведомление Контроля приложений

Режимы работы Контроля приложений

Компонент Контроль приложений может работать в двух режимах:

  • Список запрещенных. Режим, при котором Контроль приложений разрешает пользователям запуск любых приложений, кроме тех, которые запрещены в правилах Контроля приложений.

    Этот режим работы Контроля приложений установлен по умолчанию.

  • Список разрешенных. Режим, при котором Контроль приложений запрещает пользователям запуск любых приложений, кроме тех, которые разрешены и не запрещены в правилах Контроля приложений.

    Если разрешающие правила Контроля приложений сформированы максимально полно, компонент запрещает запуск всех новых приложений, не проверенных администратором локальной сети организации, но обеспечивает работоспособность операционной системы и проверенных приложений, которые нужны пользователям для выполнения должностных обязанностей.

    Вы можете ознакомиться с рекомендациями по настройке правил Контроля приложений в режиме списка разрешенных приложений.

Настройка Контроля приложений для работы в этих режимах возможна как в локальном интерфейсе Kaspersky Endpoint Security, так и с помощью Kaspersky Security Center.

Однако Kaspersky Security Center предоставляет инструменты, недоступные в локальном интерфейсе Kaspersky Endpoint Security и необходимые для следующих задач:

Поэтому настройку работы компонента Контроль приложений рекомендуется выполнять с помощью Kaspersky Security Center.

Алгоритм работы Контроля приложений

Kaspersky Endpoint Security использует алгоритм для принятия решения о запуске приложения (см. рис. ниже).

Алгоритм работы Контроля приложений

Параметры компонента Контроль приложений

Параметр

Описание

Тестовый режим

Если переключатель включен, Kaspersky Endpoint Security разрешает запуск приложения, запрещенной в текущем режиме Контроля приложений, но заносит информацию о ее запуске в отчет.

Режим Контроля программ

Вы можете выбрать один из следующих вариантов:

  • Список запрещенных. Если выбран этот вариант, Контроль приложений разрешает всем пользователям запуск любых приложений, кроме случаев, удовлетворяющих условиям запрещающих правил Контроля приложений.
  • Список разрешенных. Если выбран этот вариант, Контроль приложений запрещает всем пользователям запуск любых приложений, кроме случаев, удовлетворяющих условиям разрешающих правил Контроля приложений.

При выборе режима Список разрешенных автоматически создается два правила Контроля приложений:

  • Приложения ОС.
  • Доверенные приложения обновления.

Изменение параметров и удаление автоматически созданных правил недоступно. Вы можете включить или выключить эти правила.

Контролировать загрузку DLL-модулей (значительно увеличивает нагрузку на систему)

Если флажок установлен, то Kaspersky Endpoint Security контролирует загрузку DLL-модулей при запуске пользователями приложений. Информация о DLL-модуле и приложении, загрузившей этот DLL-модуль, сохраняется в отчет.

При включении функции контроля загрузки DLL-модулей и драйверов убедитесь, что в параметрах Контроля приложений включено правило по умолчанию Приложения ОС или другое правило, которое содержит KL-категорию "Доверенные сертификаты" и обеспечивает загрузку доверенных DLL-модулей и драйверов до запуска Kaspersky Endpoint Security. Включение контроля загрузки DLL-модулей и драйверов при выключенном правиле Приложения ОС может привести к нестабильности операционной системы.

Kaspersky Endpoint Security контролирует только DLL-модули и драйверы, загруженные с момента установки флажка. Рекомендуется перезагрузить компьютер после установки флажка, чтобы приложение контролировало все DLL-модули и драйверы, включая те, которые загружаются до запуска Kaspersky Endpoint Security.

Шаблоны сообщений

Сообщение о блокировке. Шаблон сообщения, которое появляется при срабатывании правила Контроля приложений, блокирующего запуск приложения.

Сообщение администратору. Шаблон сообщения для отправки администратору локальной сети организации в случае, если блокировка приложения, по мнению пользователя, произошла ошибочно. После запроса пользователя предоставить доступ Kaspersky Endpoint Security отправляет в Kaspersky Security Center событие Сообщение администратору о запрете запуска приложения. Описание события содержит сообщение администратору с подставленными переменными. Вы можете посмотреть эти события в консоли Kaspersky Security Center с помощью предустановленной выборки Запросы пользователей. Если в вашей организации не развернуто решение Kaspersky Security Center или связь с Сервером администрирования отсутствует, приложение отправит сообщение администратору на указанный адрес электронной почты.

См. также об управлении программой через локальный интерфейс

Ограничения функциональности Контроля приложений

Включение и выключение Контроля приложений

Управление правилами Контроля приложений

Тестирование правил Контроля приложений

Выбор режима Контроля приложений

Правила формирования масок имен файлов или папок

Изменение шаблонов сообщений Контроля приложений
В начало

[Topic 176744]

Адаптивный контроль аномалий

Этот компонент доступен, если приложение Kaspersky Endpoint Security установлено на компьютере под управлением операционной системы Windows для рабочих станций. Этот компонент недоступен, если приложение Kaspersky Endpoint Security установлено на компьютере под управлением операционной системы Windows для серверов.

Компонент Адаптивный контроль аномалий отслеживает и блокирует действия, нехарактерные для компьютеров сети организации. Для отслеживания нехарактерных действий Адаптивный контроль аномалий использует набор правил (например, правило Запуск Windows PowerShell из офисного приложения). Правила созданы специалистами "Лаборатории Касперского" на основе типичных сценариев вредоносной активности. Вы можете выбрать поведение Адаптивного контроля аномалий для каждого из правил и, например, разрешить запуск PowerShell-скриптов для автоматизации решения корпоративных задач. Kaspersky Endpoint Security обновляет набор правил с базами приложения. Обновление набора правил нужно подтверждать вручную.

Настройка Адаптивного контроля аномалий

Настройка Адаптивного контроля аномалий состоит из следующих этапов:

  1. Обучение Адаптивного контроля аномалий.

    После включения Адаптивного контроля аномалий правила работают в обучающем режиме. В ходе обучения Адаптивный контроль аномалий отслеживает срабатывание правил и отправляет события срабатывания в Kaspersky Security Center. Каждое правило имеет свой срок действия обучающего режима. Срок действия обучающего режима устанавливают специалисты "Лаборатории Касперского". Обычно срок действия обучающего режима составляет 2 недели.

    Если в ходе обучения правило ни разу не сработало, Адаптивный контроль аномалий будет считать действия, связанные с этим правилом, нехарактерным. Kaspersky Endpoint Security будет блокировать все действия, связанные с этим правилом.

    Если в ходе обучения правило сработало, Kaspersky Endpoint Security регистрирует события в отчете о срабатываниях правил и в хранилище Срабатывание правил в состоянии Интеллектуальное обучение.

  2. Анализ отчета о срабатывании правил.

    Администратор анализирует отчет о срабатываниях правил или содержание хранилища Срабатывание правил в состоянии Интеллектуальное обучение. Далее администратор может выбрать поведение Адаптивного контроля аномалий при срабатывании правила: блокировать или разрешить. Также администратор может продолжить отслеживать срабатывание правила и продлить работу приложения в обучающем режиме. Если администратор не предпринимает никаких мер, приложение также продолжит работать в обучающем режиме. Отсчет срока действия обучающего режима начинается заново.

Настройка Адаптивного контроля аномалий происходит в режиме реального времени. Настройка Адаптивного контроля аномалий осуществляется по следующим каналам:

  • Адаптивный контроль аномалий автоматически начинает блокировать действия, связанные с правилами, которые не сработали в течение обучающего режима.
  • Kaspersky Endpoint Security добавляет новые правила или удаляет неактуальные.
  • Администратор настраивает работу Адаптивного контроля аномалий после анализа отчета о срабатывании правил и содержимого хранилища Срабатывание правил в состоянии Интеллектуальное обучение. Рекомендуется проверять отчет о срабатывании правил и содержимое хранилища Срабатывание правил в состоянии Интеллектуальное обучение.

При попытке вредоносного приложения выполнить действие, Kaspersky Endpoint Security заблокирует действие и покажет уведомление (см. рис. ниже).

Уведомление Адаптивного контроля аномалий

Алгоритм работы Адаптивного контроля аномалий

Kaspersky Endpoint Security принимает решение о выполнении действия, связанного с правилом, по следующему алгоритму (см. рис. ниже).

Алгоритм работы Адаптивного контроля аномалий

Параметры компонента Адаптивный контроль аномалий

Параметр

Описание

Отчет о состоянии правил Адаптивного контроля аномалий

(доступен только в консоли Kaspersky Security Center)

В этом отчете содержится информация о статусе правил обнаружения Адаптивного контроля аномалий (например, статусы Выключено или Блокировать). Отчет формируется для всех групп администрирования.

Отчет о срабатываниях правил Адаптивного контроля аномалий

(доступен только в консоли Kaspersky Security Center)

В этом отчете содержится информация о нехарактерных действиях, обнаруженных с помощью Адаптивного контроля аномалий. Отчет формируется для всех групп администрирования.

Правила

Таблица правил Адаптивного контроля аномалий. Правила созданы специалистами "Лаборатории Касперского" на основе типичных сценариев потенциально вредоносной активности.

Шаблоны

Сообщение о блокировке. Шаблон сообщения для пользователя, которое появляется при срабатывании правила Адаптивного контроля аномалий, блокирующего нехарактерное действие.

Сообщение администратору. Шаблон сообщения для отправки администратору локальной сети организации в случае, если блокировка действия, по мнению пользователя, произошла ошибочно. После запроса пользователя предоставить доступ Kaspersky Endpoint Security отправляет в Kaspersky Security Center событие Сообщение администратору о запрете действия приложения. Описание события содержит сообщение администратору с подставленными переменными. Вы можете посмотреть эти события в консоли Kaspersky Security Center с помощью предустановленной выборки Запросы пользователей. Если в вашей организации не развернуто решение Kaspersky Security Center или связь с Сервером администрирования отсутствует, приложение отправит сообщение администратору на указанный адрес электронной почты.

См. также об управлении программой через локальный интерфейс

Включение и выключение Адаптивного контроля аномалий

Включение и выключение правила Адаптивного контроля аномалий

Изменение действия при срабатывании правила Адаптивного контроля аномалий

Создание исключения для правила Адаптивного контроля аномалий

Экспорт и импорт исключений для правил Адаптивного контроля аномалий

Применение обновлений для правил Адаптивного контроля аномалий

Изменение шаблонов сообщений Адаптивного контроля аномалий

Просмотр отчетов Адаптивного контроля аномалий
В начало

[Topic 176745]

Endpoint Sensor

В Kaspersky Endpoint Security 11.4.0 компонент Endpoint Sensor исключен из приложения.

Вы можете управлять Endpoint Sensor в Kaspersky Security Center Web Console и Консоли администрирования Kaspersky Security Center. Управлять Endpoint Sensor в Kaspersky Security Center Cloud Console невозможно.

Endpoint Sensor предназначен для взаимодействия с Kaspersky Anti Targeted Attack Platform. Kaspersky Anti Targeted Attack Platform – решение, предназначенное для своевременного обнаружения сложных угроз, таких как целевые атаки, сложные постоянные угрозы (англ. APT – Advanced Persistent Threat), атаки "нулевого дня" и другие. Kaspersky Anti Targeted Attack Platform включает в себя два функциональных блока: Kaspersky Anti Targeted Attack (далее также "KATA") и Kaspersky Endpoint Detection and Response (далее также "KEDR"). Вы можете приобрести KEDR отдельно. Подробнее о решении см. в справке Kaspersky Anti Targeted Attack Platform.

Управление Endpoint Sensor имеет следующие особенности:

  • Если на компьютере установлено приложение Kaspersky Endpoint Security версий 11.0.0 – 11.3.0, вы можете настроить параметры Endpoint Sensor с помощью политики. Подробнее о настройке параметров Endpoint Sensor с помощью политики см. в справке Kaspersky Endpoint Security предыдущих версий.
  • Если на компьютере установлено приложение Kaspersky Endpoint Security версии 11.4.0 и выше, настроить параметры Endpoint Sensor с помощью политики невозможно.

Endpoint Sensor устанавливается на клиентских компьютерах. На этих компьютерах компонент постоянно наблюдает за процессами, открытыми сетевыми соединениями и изменяемыми файлами. Endpoint Sensor передает информацию на сервер KATA.

Функциональность компонента доступна для следующих операционных систем:

  • Windows 7 Service Pack 1 Home / Professional / Enterprise;
  • Windows 8.1.1 Professional / Enterprise;
  • Windows 10 RS3 Home / Professional / Education / Enterprise;
  • Windows 10 RS4 Home / Professional / Education / Enterprise;
  • Windows 10 RS5 Home / Professional / Education / Enterprise;
  • Windows 10 RS6 Home / Professional / Education / Enterprise;
  • Windows Server 2008 R2 Foundation / Standard / Enterprise (64-разрядная);
  • Windows Server 2012 Foundation / Standard / Enterprise (64-разрядная);
  • Windows Server 2012 R2 Foundation / Standard / Enterprise (64-разрядная);
  • Windows Server 2016 Essentials / Standard (64-разрядная).

Подробную информацию о работе KATA см. в справке Kaspersky Anti Targeted Attack Platform.

В начало

[Topic 213874]

Kaspersky Sandbox

В Kaspersky Endpoint Security версии 11.7.0 добавлен встроенный агент для интеграции с решением Kaspersky Sandbox. Решение Kaspersky Sandbox обнаруживает и автоматически блокирует сложные угрозы на компьютерах. Kaspersky Sandbox анализирует поведение объектов для выявления вредоносной активности и признаков целевых атак на IT-инфраструктуру организации. Kaspersky Sandbox выполняет анализ и проверку объектов на специальных серверах с развернутыми виртуальными образами операционных систем Microsoft Windows (серверы Kaspersky Sandbox). Подробнее о решении см. в справке Kaspersky Sandbox.

Управление компонентом доступно только в Kaspersky Security Center Web Console. Управлять компонентом в Консоли администрирования (MMC) невозможно.

Параметры компонента Kaspersky Sandbox

Параметр

Описание

TLS-сертификат серверов

Для настройки доверенного соединения с серверами Kaspersky Sandbox вам нужно подготовить TLS-сертификат. Далее вам нужно добавить сертификат на серверы Kaspersky Sandbox и в политике Kaspersky Endpoint Security. Подробнее о подготовке сертификата и добавлении сертификата на серверы см. в справке Kaspersky Sandbox.

Время ожидания

Время ожидания соединения с сервером Kaspersky Sandbox. По истечению заданного времени ожидания Kaspersky Endpoint Security отправит запрос на следующий сервер. Вы можете увеличить время ожидания соединения с Kaspersky Sandbox, если у вас низкая скорость соединения или соединение нестабильно. Рекомендованное значение времени ожидания запроса не более 0,5 сек.

Очередь запросов Kaspersky Sandbox

Размер папки хранения очереди запросов. При обращении к объекту (запуск исполняемого файла или открытие документа, например, в формате DOCX или PDF) на компьютере Kaspersky Endpoint Security может отправить объект на дополнительную проверку в Kaspersky Sandbox. Если запросов несколько, Kaspersky Endpoint Security создает очередь запросов. По умолчанию размер папки хранения очереди запросов ограничен 100 МБ. После достижения максимального размера Kaspersky Sandbox перестает добавлять новые запросы в очередь и отправляет соответствующее событие в Kaspersky Security Center. Вы можете настроить размер папки хранения очереди запросов в зависимости от конфигурации сервера.

Серверы Kaspersky Sandbox

Параметры подключения к серверам Kaspersky Sandbox. На серверах развернуты виртуальные образы операционных систем Microsoft Windows, в которых запускаются проверяемые объекты. Вы можете ввести IP-адрес (IPv4 или IPv6) или полное доменное имя.

Действие при обнаружении угрозы

Копию поместить на карантин, объект удалить. Если выбран этот вариант действия, то Kaspersky Endpoint Security удаляет вредоносный объект, обнаруженный на компьютере. Перед удалением объекта Kaspersky Endpoint Security формирует его резервную копию на тот случай, если впоследствии понадобится восстановить объект. Kaspersky Endpoint Security помещает резервную копию на карантин.

Запускать проверку важных областей. Если выбран этот вариант действия, то Kaspersky Endpoint Security запускает задачу Проверка важных областей. По умолчанию Kaspersky Endpoint Security проверяет память ядра, запущенные процессы и загрузочные секторы.

Создать задачу поиска IOC. Если выбран этот вариант действия, то Kaspersky Endpoint Security автоматически создает задачу Поиск IOC (автономная задача поиска IOC). Вы можете настроить режим запуска задачи, область поиска и действие при обнаружении IOC: удалить объект, запустить задачу Проверка важных областей. Для настройки других параметров задачи Поиск IOC перейдите в свойства задачи.

Область поиска IOC

Важные файловые области. Если выбран этот вариант, Kaspersky Endpoint Security выполняет поиск IOC только в важных файловых областях компьютера: память ядра и загрузочные секторы.

Файловые области на системных дисках компьютера. Если выбран этот вариант, Kaspersky Endpoint Security выполняет поиск IOC на системном диске компьютера.

Запуск задачи поиска IOC

Вручную. Режим запуска, при котором вы запускаете задачу Поиск IOC вручную в удобное для вас время.

После обнаружения угрозы. Режим запуска, при котором Kaspersky Endpoint Security запускает задачу Поиск IOC автоматически в случае обнаружения угрозы.

Во время простоя компьютера. Режим запуска, при котором Kaspersky Endpoint Security запускает задачу Поиск IOC, если включена экранная заставка или компьютер заблокирован. Если пользователь разблокировал компьютер, Kaspersky Endpoint Security приостанавливает выполнение задачи. Таким образом, приложение может выполнять задачу несколько дней.

В начало

[Topic 214711]

Endpoint Detection and Response

В Kaspersky Endpoint Security версии 11.7.0 добавлен встроенный агент для работы решения Kaspersky Endpoint Detection and Response Optimum (далее также "EDR Optimum"). В Kaspersky Endpoint Security версии 11.8.0 добавлен встроенный агент для работы решения Kaspersky Endpoint Detection and Response Expert (далее также "EDR Expert'). Решения Kaspersky Endpoint Detection and Response – решения, предназначенные для защиты IT-инфраструктуры организации от сложных кибернетических угроз. Функционал решений сочетают автоматическое обнаружение угроз с возможностью реагирования на эти угрозы для противодействия сложным атакам, в том числе новым эксплойтам (exploits), программам-вымогателям (ransomware), бесфайловым атакам (fileless attacks), а также методам, использующим законные системные инструменты. EDR Expert предлагает пользователю больше функций для мониторинга и реагирования на угрозы информационной безопасности, чем EDR Optimum. Подробнее о решениях см. в справке Kaspersky Endpoint Detection and Response Optimum и в справке Kaspersky Endpoint Detection and Response Expert.

Kaspersky Endpoint Detection and Response выполняет обзор и анализ развития угрозы и предоставляет Сотруднику службы безопасности или Администратору информацию о потенциальной атаке, необходимую для принятия своевременных действий по реагированию. Kaspersky Endpoint Detection and Response показывает детали обнаружения в отдельном окне. Детали обнаружения – инструмент для просмотра всей собранной информации об обнаруженной угрозе. Детали обнаружения содержат, например, историю появления файлов на компьютере. Подробнее о работе с деталями обнаружения см. в справке Kaspersky Endpoint Detection and Response Optimum и в справке Kaspersky Endpoint Detection and Response Expert.

Вы можете настроить параметры компонента EDR Optimum в Web Console и Cloud Console. Параметры компонента EDR Expert доступны только в Cloud Console.

Параметры Endpoint Detection and Response

Параметр

Описание

Сетевая изоляция

Автоматическая изоляция компьютера от сети в результате реагирования на обнаруженные угрозы.

После включения Сетевой изоляции приложение разрывает все активные соединения и блокирует все новые соединения TCP/IP на компьютере. Приложение оставляет активными только следующие соединения:

  • соединения, указанные в исключениях из Сетевой изоляции;
  • соединения, инициированные службами Kaspersky Endpoint Security;
  • соединения, инициированные Агентом администрирования Kaspersky Security Center.

Разблокировать автоматически изолированный компьютер через N часов

Сетевая изоляция может быть выключена автоматически по истечении заданного периода времени или вручную. По умолчанию, Kaspersky Endpoint Security выключает Сетевую изоляцию через 5 часов после начала изоляции.

Исключения из сетевой изоляции

Список правил исключений из Сетевой изоляции. Сетевые соединения, подпадающие под заданные правила, не будут заблокированы на компьютерах после включения Сетевой изоляции.

Для настройки исключений из Сетевой изоляции в приложении доступен список стандартных сетевых профилей. По умолчанию в исключения входят сетевые профили, состоящие из правил, обеспечивающих бесперебойную работу устройств с ролями DNS/DHCP-сервер и DNS/DHCP-клиент. Также вы можете изменить параметры стандартных сетевых профилей или задать исключения вручную.

Исключения, заданные в свойствах политики, применяются, только если Сетевая изоляция включена приложением автоматически, в результате реагирования на обнаружение угрозы. Исключения, заданные в свойствах компьютера, применяются, только если Сетевая изоляция включена вручную в свойствах компьютера в консоли Kaspersky Security Center или в деталях обнаружения.

Запрет запуска объектов

Контроль запуска исполняемых файлов и скриптов, а также открытия файлов офисного формата. Например, вы можете запретить запуск приложений, использование которых считается небезопасным, на выбранном компьютере. Запрет запуска объектов поддерживает определенный набор расширений файлов офисного формата и определенный набор интерпретаторов скриптов.

Действие при запуске или открытии объекта

Блокировать и записывать в отчет. В этом режиме приложение блокирует запуск объектов или открытие документов, соответствующих критериям правил запрета. Также приложение публикует в журнал событий Windows и Kaspersky Security Center событие о попытках запуска объектов или открытия документов.

Только записывать в отчет. В этом режиме Kaspersky Endpoint Security публикует в Журнал событий Windows и Kaspersky Security Center событие о попытках запуска исполняемых объектов или открытия документов, соответствующих критериям правил запрета, но не блокирует их запуск или открытие. Этот режим выбран по умолчанию.

Правила запрета запуска объектов

Список правил запрета запуска объектов. Правило запрета запуска – это набор критериев, которые приложение учитывает при реагировании на запуск объекта, например, при блокировании запуска объекта. Приложение идентифицирует файлы по их пути или контрольной сумме с помощью алгоритмов хеширования MD5 и SHA256.

Cloud Sandbox

Cloud Sandbox – технология, позволяет обнаруживать сложные угрозы на компьютере. Kaspersky Endpoint Security автоматически отправляет подозрительные файлы в Cloud Sandbox для анализа. Cloud Sandbox запускает эти файлы в изолированной среде для выявления вредоносной активности и принимает решение о репутации этих файлов. Далее данные об этих файлах попадают в Kaspersky Security Network. Таким образом, если Cloud Sandbox обнаружил вредоносный файл, Kaspersky Endpoint Security выполнит действие для устранения угрозы на всех компьютерах, на которых обнаружит этот файл.

Технология Cloud Sandbox включена постоянно и доступна всем пользователям Kaspersky Security Network независимо от типа лицензии, которую вы используете.

Если флажок установлен, Kaspersky Endpoint Security включит счетчик угроз, обнаруженных с помощью Cloud Sandbox, в главном окне приложения в разделе Технологии обнаружения угроз. Также Kaspersky Endpoint Security будет указывать технологию обнаружения угроз Cloud Sandbox в событиях приложения и в Отчете об угрозах в консоли Kaspersky Security Center.

В начало

[Topic 193687]

Полнодисковое шифрование

Вы можете выбрать технологию шифрования: Шифрование диска Kaspersky или Шифрование диска BitLocker (далее также "BitLocker").

Шифрование диска Kaspersky

После шифрования системных жестких дисков при последующем включении компьютера доступ к ним, а также загрузка операционной системы возможны только после прохождения процедуры аутентификации с помощью Агента аутентификации. Для этого требуется ввести пароль токена или смарт-карты, подключенных к компьютеру, или имя и пароль учетной записи Агента аутентификации, созданной системным администратором локальной сети организации с помощью задачи Управления учетными записями Агента аутентификации. Эти учетные записи основаны на учетных записях пользователей Microsoft Windows, под которыми пользователи выполняют вход в операционную систему. Также вы можете использовать технологию единого входа (англ. Single Sign-On – SSO), позволяющую осуществлять автоматический вход в операционную систему с помощью имени и пароля учетной записи Агента аутентификации.

Аутентификация пользователя в Агенте аутентификации может выполняться двумя способами:

  • путем ввода имени и пароля учетной записи Агента аутентификации, созданной администратором локальной сети организации средствами Kaspersky Security Center;
  • путем ввода пароля подключенного к компьютеру токена или смарт-карты.

    Использование токена или смарт-карты доступно, только если жесткие диски компьютера зашифрованы с помощью алгоритма шифрования AES256. Если жесткие диски компьютера зашифрованы с помощью алгоритма шифрования AES56, то в добавлении файла электронного сертификата в команду будет отказано.

Шифрование диска BitLocker

BitLocker – встроенная в операционную систему Windows технология шифрования. Kaspersky Endpoint Security позволяет контролировать и управлять Bitlocker с помощью Kaspersky Security Center. BitLocker шифрует логический том. Шифрование съемных дисков с помощью BitLocker невозможно. Подробнее о BitLocker см. в документации Microsoft.

BitLocker обеспечивает безопасность хранения ключей доступа с помощью доверенного платформенного модуля. Доверенный платформенный модуль (англ. Trusted Platform Module – TPM) – микрочип, разработанный для предоставления основных функций, связанных с безопасностью (например, для хранения ключей шифрования). Доверенный платформенный модуль обычно устанавливается на материнской плате компьютера и взаимодействует с остальными компонентами системы при помощи аппаратной шины. Использование TPM является самым безопасным способом хранения ключей доступа BitLocker, так как TPM позволяет проверять целостность операционной системы. На компьютерах без TPM вы также можете зашифровать диски. При этом ключ доступа будет зашифрован паролем. Таким образом, BitLocker использует следующие способы аутентификации:

  • TPM.
  • TPM и PIN-код.
  • Пароль.

После шифрования диска BitLocker создает мастер-ключ. Kaspersky Endpoint Security отправляет мастер-ключ в Kaspersky Security Center, чтобы вы имели возможность восстановить доступ к диску, если пользователь, например, забыл пароль.

Если пользователь самостоятельно зашифровал диск с помощью BitLocker, Kaspersky Endpoint Security отправит информацию о шифровании диска в Kaspersky Security Center. При этом Kaspersky Endpoint Security не отправит мастер-ключ в Kaspersky Security Center, и восстановить доступ к диску с помощью Kaspersky Security Center будет невозможно. Для корректной работы BitLocker c Kaspersky Security Center расшифруйте диск и зашифруйте диск повторно с помощью политики. Расшифровать диск вы можете локально или с помощью политики.

После шифрования системного жесткого диска для загрузки операционной системы пользователю нужно пройти процедуру аутентификации BitLocker. После прохождения процедуры аутентификации BitLocker будет доступен вход в систему. BitLocker не поддерживает технологию единого входа (SSO).

Если вы используете групповые политики для Windows, выключите управление BitLocker в параметрах политики. Параметры политики для Windows могут противоречить параметрам политики Kaspersky Endpoint Security. При шифровании диска могут возникнуть ошибки.

Параметры компонента Шифрование диска Kaspersky

Параметр

Описание

Режим шифрования

Шифровать все жесткие диски. Если выбран этот элемент, то при применении политики приложение шифрует все жесткие диски.

Если на компьютере установлено несколько операционных систем, то после шифрования вы сможете выполнить загрузку только той операционной системы, в которой установлено приложение.

Расшифровывать все жесткие диски. Если выбран этот элемент, то при применении политики приложение расшифровывает все зашифрованные ранее жесткие диски.

Оставлять без изменений. Если выбран этот элемент, то при применении политики приложение оставляет диски в прежнем состоянии. Если диск был зашифрован, то он остается зашифрованным, а если диск был расшифрован, то он остается расшифрованным. Этот элемент выбран по умолчанию.

Автоматически создавать учетные записи Агента аутентификации для пользователей при применении шифрования на компьютере

Если флажок установлен, приложение создает учетные записи Агента аутентификации на основе списков учетных записей Windows на компьютере. По умолчанию Kaspersky Endpoint Security использует все локальные и доменные учетные записи, с помощью которых пользователь выполнял вход в операционную систему за последние 30 дней.

Настройки создания учетных записей Агента аутентификации

Все учетные записи компьютера. Все учетные записи компьютера, которые когда-либо были активными.

Все доменные учетные записи компьютера. Все учетные записи компьютера, которые принадлежат какому-либо домену и которые когда-либо были активными.

Все локальные учетные записи компьютера. Все локальные учетные записи компьютера, которые когда-либо были активными.

Сервисная учетная запись с одноразовым паролем. Служебная учетная запись нужна для доступа к компьютеру в случаях, когда пользователь, например, забыл пароль. Также вы можете использовать служебную учетную запись в качестве резервной учетной записи. Вам нужно указать имя учетной записи (по умолчанию ServiceAccount). Kaspersky Endpoint Security создаст пароль автоматически. Пароль вы можете посмотреть в консоли Kaspersky Security Center.

Локальный администратор. Kaspersky Endpoint Security создает учетную запись Агента аутентификации для локального администратора компьютера.

Менеджер компьютера. Kaspersky Endpoint Security создает учетную запись Агента аутентификации для учетной записи менеджера компьютера. Вы можете посмотреть какая учетная запись имеет роль менеджера компьютера в свойствах компьютера в Active Directory. По умолчанию роль менеджера компьютера не определена, то есть не соответствует ни одной учетной записи.

Активная учетная запись. Kaspersky Endpoint Security автоматически создает учетную запись Агента аутентификации для учетной записи активной в момент выполнения шифрования диска.

Автоматически создавать учетные записи Агента аутентификации для всех пользователей на компьютере при входе

Если флажок установлен, приложение проверяет информацию об учетных записях Windows на компьютере перед запуском Агента аутентификации. Если Kaspersky Endpoint Security обнаружит учетную запись Windows, для которой нет учетной записи Агента аутентификации, приложение создаст новую учетную запись для доступа к зашифрованным дискам. Новая учетная запись Агента аутентификации будет иметь параметры по умолчанию: вход только по паролю, смена пароля при первой аутентификации. Таким образом, вам не нужно вручную добавлять учетные записи Агента аутентификации с помощью задачи Управление учетными записями Агента аутентификации для компьютеров с уже зашифрованными дискам.

Сохранять введенное в Агенте аутентификации имя пользователя

Если флажок установлен, то приложение сохраняет имя учетной записи Агента аутентификации. При последующей аутентификации в Агенте аутентификации под той же учетной записью имя учетной записи вводить не требуется.

Шифровать только занятое пространство (сокращает время шифрования)

Флажок включает / выключает функцию, ограничивающую область шифрования только занятыми секторами жесткого диска. Это ограничение позволяет сократить время шифрования.

Включение / выключение функции Шифровать только занятое пространство (ОС Windows 8 и выше) после запуска шифрования не изменяет этого параметра до тех пор, пока жесткие диски не будут расшифрованы. Требуется установить или снять флажок до начала шифрования.

Если флажок установлен, то шифруется только та часть жесткого диска, которая занята файлами. Kaspersky Endpoint Security зашифровывает новые данные автоматически по мере их добавления.

Если флажок снят, то шифруется весь жесткий диск, в том числе остатки удаленных и отредактированных ранее файлов.

Данную функцию рекомендуется применять для новых жестких дисков, данные которых не редактировались и не удалялись. Если вы применяете шифрование на уже используемом жестком диске, рекомендуется зашифровать весь жесткий диск. Это гарантирует защиту всех данных – даже удаленных, но потенциально восстанавливаемых.

По умолчанию флажок снят.

Использовать Legacy USB Support (не рекомендуется)

Флажок включает / выключает функцию Legacy USB Support. Legacy USB Supportфункция BIOS / UEFI, которая позволяет использовать USB-устройства (например, токен) на этапе загрузки компьютера до запуска операционной системы (BIOS-режим). Функция Legacy USB Support не влияет на поддержку USB-устройств после запуска операционной системы.

Если флажок установлен, то будет включена поддержка USB-устройств на этапе начальной загрузки компьютера.

При включенной функции Legacy USB Support Агент аутентификации в BIOS-режиме не поддерживает работу с токенами по USB. Функцию рекомендуется использовать только при возникновении проблемы несовместимости с аппаратным обеспечением и только для тех компьютеров, на которых возникла проблема.

Настройки паролей

Параметры надежности пароля учетной записи Агента аутентификации. При использовании технологии единого входа Агент аутентификации игнорирует требования к надежности пароля, заданные в Kaspersky Security Center. Вы можете задать требования к надежности пароля в параметрах операционной системы.

Использовать технологию единого входа (SSO)

Технология единого входа позволяет использовать одни и те же учетные данные для доступа к зашифрованным жестким дискам и для входа в операционную систему.

Если флажок установлен, то для доступа к зашифрованным жестким дискам и последующего автоматического входа в операционную систему требуется ввести учетные данные доступа к зашифрованным дискам.

Если флажок снят, то для доступа к зашифрованным жестким дискам и последующего входа в операционную систему требуется отдельно ввести учетные данные для доступа к зашифрованным жестким дискам и учетные данные пользователя в операционной системе.

Включить поддержку сторонних поставщиков учетных данных

Kaspersky Endpoint Security поддерживает стороннего поставщика учетных данных ADSelfService Plus.

При работе со сторонними поставщиками учетных данных Агент аутентификации перехватывает пароль перед загрузкой операционной системы. Таким образом, при входе в Windows пользователю нужно ввести пароль только один раз. После входа в Windows пользователь может использовать возможности стороннего поставщика учетных данных, например, для аутентификации в сервисах организации. Также сторонние поставщики учетных данных позволяют пользователям самостоятельно сбрасывать пароль. В этом случае Kaspersky Endpoint Security обновит пароль для Агента аутентификации автоматически.

Если вы используете стороннего поставщика учетных данных, который не поддерживается приложением, вы можете столкнуться с ограничениями в работе технологии единого входа.

Справочные тексты

Аутентификация. Справочный текст, который отображается в окне Агента аутентификации на этапе ввода учетных данных.

Смена пароля. Справочный текст, который отображается в окне Агента аутентификации на этапе смены пароля для учетной записи Агента аутентификации.

Восстановление пароля. Справочный текст, который отображается в окне Агента аутентификации на этапе восстановления пароля для учетной записи Агента аутентификации.

Параметры компонента Шифрование диска BitLocker

Параметр

Описание

Режим шифрования

Шифровать все жесткие диски. Если выбран этот элемент, то при применении политики приложение шифрует все жесткие диски.

Если на компьютере установлено несколько операционных систем, то после шифрования вы сможете выполнить загрузку только той операционной системы, в которой установлено приложение.

Расшифровывать все жесткие диски. Если выбран этот элемент, то при применении политики приложение расшифровывает все зашифрованные ранее жесткие диски.

Оставлять без изменений. Если выбран этот элемент, то при применении политики приложение оставляет диски в прежнем состоянии. Если диск был зашифрован, то он остается зашифрованным, а если диск был расшифрован, то он остается расшифрованным. Этот элемент выбран по умолчанию.

Включить использование проверки подлинности BitLocker, требующей предзагрузочного ввода с клавиатуры на планшетах

Флажок включает / выключает использование аутентификации, требующей ввода данных в предзагрузочной среде, даже если у платформы отсутствует возможность предзагрузочного ввода (например, у сенсорных клавиатур на планшетах).

Сенсорная клавиатура планшетов недоступна в предзагрузочной среде. Для прохождения аутентификации BitLocker на планшетах пользователю необходимо подключить, например, USB-клавиатуру.

Если флажок установлен, то использование аутентификации, требующей предзагрузочного ввода, разрешено. Рекомендуется использовать этот параметр только для устройств, у которых во время предварительной загрузки, помимо сенсорных клавиатур, имеются альтернативные средства ввода данных, например, USB-клавиатура.

Если флажок снят, шифрование диска BitLocker на планшетах невозможно.

Использовать аппаратное шифрование (ОС Windows 8 и выше)

Если флажок установлен, то приложение применяет аппаратное шифрование. Это позволяет увеличить скорость шифрования и сократить использование ресурсов компьютера.

Шифровать только занятое пространство (ОС Windows 8 и выше)

Флажок включает / выключает функцию, ограничивающую область шифрования только занятыми секторами жесткого диска. Это ограничение позволяет сократить время шифрования.

Включение / выключение функции Шифровать только занятое пространство (ОС Windows 8 и выше) после запуска шифрования не изменяет этого параметра до тех пор, пока жесткие диски не будут расшифрованы. Требуется установить или снять флажок до начала шифрования.

Если флажок установлен, то шифруется только та часть жесткого диска, которая занята файлами. Kaspersky Endpoint Security зашифровывает новые данные автоматически по мере их добавления.

Если флажок снят, то шифруется весь жесткий диск, в том числе остатки удаленных и отредактированных ранее файлов.

Данную функцию рекомендуется применять для новых жестких дисков, данные которых не редактировались и не удалялись. Если вы применяете шифрование на уже используемом жестком диске, рекомендуется зашифровать весь жесткий диск. Это гарантирует защиту всех данных – даже удаленных, но потенциально восстанавливаемых.

По умолчанию флажок снят.

Настройки аутентификации

Использовать пароль (ОС Windows 8 и выше)

Если выбран этот вариант, Kaspersky Endpoint Security запрашивает у пользователя пароль при обращении к зашифрованному диску.

Этот вариант действия может быть выбран, если не используется доверенный платформенный модуль (TPM).

Использовать доверенный платформенный модуль (TPM)

Если выбран этот вариант, BitLocker использует доверенный платформенный модуль (TPM).

Доверенный платформенный модуль (англ. Trusted Platform Module – TPM) – микрочип, разработанный для предоставления основных функций, связанных с безопасностью (например, для хранения ключей шифрования). Доверенный платформенный модуль обычно устанавливается на материнской плате компьютера и взаимодействует с остальными компонентами системы при помощи аппаратной шины.

Для компьютеров под управлением операционных систем Windows 7 и Windows Server 2008 R2 доступно только шифрование с использованием модуля TPM. Если модуль TPM не установлен, шифрование BitLocker невозможно. Использование пароля на этих компьютерах не поддерживается.

Устройство, оснащенное доверенным платформенным модулем, может создавать ключи шифрования, которые могут быть расшифрованы только с его помощью. Доверенный платформенный модуль шифрует ключи шифрования собственным корневым ключом хранилища. Корневой ключ хранилища хранится внутри доверенного платформенного модуля. Это обеспечивает дополнительную степень защиты ключей шифрования от попыток взлома.

Этот вариант действия выбран по умолчанию.

Вы можете установить дополнительную защиту для доступа к ключу шифрования и зашифровать ключ паролем или PIN:

  • Использовать PIN для TPM. Если флажок установлен, пользователь может использовать PIN-код для получения доступа к ключу шифрования, который хранится в доверенном платформенном модуле (TPM).

    Если флажок снят, пользователю запрещено использовать PIN-код. Для получения доступа к ключу шифрования пользователь использует пароль.

    Вы можете разрешить пользователю использовать расширенный PIN-код. Расширенный PIN-код кроме цифр позволяет использовать другие символы: заглавные и строчные латинские буквы, специальные символы и пробел.

  • Использовать доверенный платформенный модуль (TPM), если он недоступен, то пароль. Если флажок установлен, то при отсутствии доверенного платформенного модуля (TPM) пользователь может получить доступ к ключам шифрования с помощью пароля.

Если флажок снят и модуль TPM недоступен, то полнодисковое шифрование не запускается.

См. также об управлении программой через Консоль администрирования Kaspersky Security Center

Запуск шифрования диска Kaspersky

Запуск шифрования диска BitLocker

Формирование списка жестких дисков для исключения из шифрования

Расшифровка жестких дисков

Обновление операционной системы

Устранение ошибок при обновлении функциональности шифрования
В начало

[Topic 193688]

Шифрование файлов

Вы можете сформировать списки из файлов по расширению или группам расширений и из папок, расположенных на локальных дисках компьютера, а также создать правила шифрования файлов, создаваемых отдельными приложениями. После применения политики приложение Kaspersky Endpoint Security шифрует и расшифровывает следующие файлы:

  • файлы, отдельно добавленные в списки для шифрования и расшифровки;
  • файлы, хранящиеся в папках, добавленных в списки для шифрования и расшифровки;
  • файлы, создаваемые отдельными приложениями.

Этот компонент доступен, если приложение Kaspersky Endpoint Security установлено на компьютере под управлением операционной системы Windows для рабочих станций. Этот компонент недоступен, если приложение Kaspersky Endpoint Security установлено на компьютере под управлением операционной системы Windows для серверов.

Шифрование файлов имеет следующие особенности:

  • Kaspersky Endpoint Security шифрует / расшифровывает стандартные папки только для локальных профилей пользователей (англ. local user profiles) операционной системы. Kaspersky Endpoint Security не шифрует и не расшифровывает стандартные папки для перемещаемых профилей пользователей (англ. roaming user profiles), обязательных профилей пользователей (англ. mandatory user profiles), временных профилей пользователей (англ. temporary user profiles), а также перенаправленные папки.
  • Kaspersky Endpoint Security не выполняет шифрование файлов, изменение которых может повредить работе операционной системы и установленных приложений. Например, в список исключений из шифрования входят следующие файлы и папки со всеми вложенными в них папками:
    • %WINDIR%;
    • %PROGRAMFILES% и %PROGRAMFILES(X86)%;
    • файлы реестра Windows.

    Список исключений из шифрования недоступен для просмотра и изменения. Файлы и папки из списка исключений из шифрования можно добавить в список для шифрования, но при выполнении шифрования файлов они не будут зашифрованы.

    Параметры компонента Шифрование файлов

    Параметр

    Описание

    Режим шифрования

    Оставлять без изменений. Если выбран этот элемент, то Kaspersky Endpoint Security оставляет файлы и папки в том же состоянии – не шифрует и не расшифровывает их.

    Согласно правилам. Если выбран этот элемент, то Kaspersky Endpoint Security шифрует файлы и папки согласно правилам шифрования, расшифровывает файлы и папки согласно правилам расшифровки, а также регулирует доступ приложений к зашифрованным файлам согласно правилам для приложений.

    Расшифровывать все. Если выбран этот элемент, то Kaspersky Endpoint Security расшифровывает все зашифрованные файлы и папки.

    Правила шифрования

    На закладке отображаются правила шифрования файлов, хранящихся на локальных дисках. Вы можете добавить файлы следующим образом:

    • Стандартные папки. Kaspersky Endpoint Security позволяет добавить следующие области:

      Документы. Файлы в стандартной папке операционной системы Документы, а также вложенные папки.

      Избранное. Файлы в стандартной папке операционной системы Избранное, а также вложенные папки.

      Рабочий стол. Файлы в стандартной папке операционной системы Рабочий стол, а также вложенные папки.

      Временные файлы. Временные файлы, связанные с работой установленных на компьютере приложений. Например, приложения Microsoft Office создают временные файлы с резервными копиями документов.

      Файлы Outlook. Файлы, связанные с работой почтового клиента Outlook: файлы данных (PST), автономные файлы данных (OST), файлы автономной адресной книги (OAB) и файлы персональной адресной книги (PAB).

    • Папку вручную. Вы можете ввести путь к папке. При добавлении пути к папке следует использовать следующие правила:

      Используйте переменную окружения (например, %FOLDER%\UserFolder\). Вы можете использовать переменную окружения только один раз и только в начале пути.

      Не используйте относительные пути.

      Не используйте символы * и ?.

      Не используйте UNC-пути.

      Используйте ; или , в качестве разделительного символа.

    • Файлы по расширению. Вы можете выбрать группы расширений из списка, например, группу расширений Архивы. Также вы можете добавить расширение файла вручную.

    Правила расшифровки

    На закладке отображаются правила расшифровки файлов, хранящихся на локальных дисках.

    Правила для программ

    На закладке отображается таблица с правилами доступа приложений к зашифрованным файлам и правилами шифрования файлов, создаваемых и изменяемых отдельными приложениями.

    Настройки пароля для зашифрованных архивов

    Параметры сложности пароля при создании зашифрованных архивов.

См. также об управлении программой через Консоль администрирования Kaspersky Security Center

Запуск шифрования файлов на локальных дисках компьютера

Формирование правил доступа приложений к зашифрованным файлам

Шифрование файлов, создаваемых и изменяемых отдельными приложениями

Формирование правила расшифровки

Расшифровка файлов на локальных дисках компьютера

Создание зашифрованных архивов

Восстановление доступа к зашифрованным данным в случае выхода из строя операционной системы
В начало

[Topic 193689]

Шифрование съемных дисков

Этот компонент доступен, если приложение Kaspersky Endpoint Security установлено на компьютере под управлением операционной системы Windows для рабочих станций. Этот компонент недоступен, если приложение Kaspersky Endpoint Security установлено на компьютере под управлением операционной системы Windows для серверов.

Kaspersky Endpoint Security поддерживает шифрование файлов в файловых системах FAT32 и NTFS. Если к компьютеру подключен съемный диск с неподдерживаемой файловой системой, то шифрование этого съемного диска завершается с ошибкой и Kaspersky Endpoint Security устанавливает статус доступа "только чтение" для этого съемного диска.

Для защиты данных на съемных дисках вы можете использовать следующие виды шифрования:

  • Полнодисковое шифрование (англ. Full Disk Encryption – FDE).

    Шифрование всего съемного диска, включая файловую систему.

    Получить доступ к зашифрованным данным вне корпоративной сети невозможно. Также невозможно получить доступ к зашифрованным данным внутри корпоративной сети, если компьютер не подключен к Kaspersky Security Center ("гостевой" компьютер).

  • Шифрование файлов (англ. File Level Encryption – FLE).

    Шифрование только файлов на съемном диске. Файловая система при этом остается без изменений.

    Шифрование файлов на съемных дисках предоставляет возможность доступа к данным за пределами корпоративной сети с помощью специального режима – портативный режим.

Во время шифрования Kaspersky Endpoint Security создает мастер-ключ. Kaspersky Endpoint Security сохраняет мастер-ключ в следующих хранилищах:

  • Kaspersky Security Center.
  • Компьютер пользователя.

    Мастер-ключ зашифрован секретным ключом пользователя.

  • Съемный диск.

    Мастер-ключ зашифрован открытым ключом Kaspersky Security Center.

После завершения шифрования данные на съемном диске доступны внутри корпоративной сети как при использовании обычного съемного диска без шифрования.

Получение доступа к зашифрованным данным

При подключении съемного диска с зашифрованными данными Kaspersky Endpoint Security выполняет следующие действия:

  1. Проверяет наличие мастер-ключа в локальном хранилище на компьютере пользователя.

    Если мастер-ключ найден, пользователь получает доступ к данным на съемном диске.

    Если мастер-ключ не найден, Kaspersky Endpoint Security выполняет следующие действия:

    1. Отправляет запрос в Kaspersky Security Center.

      После получения запроса Kaspersky Security Center отправляет ответ, который содержит мастер-ключ.

    2. Kaspersky Endpoint Security сохраняет мастер-ключ в локальном хранилище на компьютере пользователя для дальнейшей работы с зашифрованным съемным диском.
  2. Расшифровывает данные.

Особенности шифрования съемных дисков

Шифрование съемных дисков имеет следующие особенности:

  • Политика с заданными параметрами шифрования съемных дисков формируется для определенной группы управляемых компьютеров. Поэтому результат применения политики Kaspersky Security Center с настроенным шифрованием / расшифровкой съемных дисков зависит от того, к какому компьютеру подключен съемный диск.
  • Kaspersky Endpoint Security не выполняет шифрование / расшифровку файлов со статусом доступа "только чтение", хранящихся на съемных дисках.
  • В качестве съемных дисков поддерживаются следующие типы устройств:
    • носители информации, подключаемые по шине USB;
    • жесткие диски, подключаемые по шинам USB и FireWire;
    • SSD-диски, подключаемые по шинам USB и FireWire.

    Параметры компонента Шифрование съемных дисков

    Параметр

    Описание

    Управление шифрованием

    Шифровать весь съемный диск. Если выбран этот элемент, то при применении политики с заданными параметрами шифрования съемных дисков Kaspersky Endpoint Security шифрует съемные диски по секторам, включая их файловые системы.

    Шифровать все файлы. Если выбран этот элемент, то при применении политики с заданными параметрами шифрования съемных дисков Kaspersky Endpoint Security шифрует все файлы, которые хранятся на съемных дисках. Уже зашифрованные файлы Kaspersky Endpoint Security повторно не шифрует. Содержимое файловой системы съемных дисков, включая имена зашифрованных файлов и структуру папок, остается доступным и не шифруется.

    Шифровать только новые файлы. Если выбран этот элемент, то при применении политики с заданными параметрами шифрования съемных дисков Kaspersky Endpoint Security шифрует на съемных дисках только те файлы, которые были добавлены или изменены после последнего применения политики Kaspersky Security Center. Этот режим шифрования может быть удобным, если пользователь использует съемный диск и в личных целях, и на работе. Режим шифрования позволяет оставлять без изменений все старые файлы и шифровать только те файлы, которые пользователь создает на рабочем компьютере с установленным приложением Kaspersky Endpoint Security и доступной функциональностью шифрования. Таким образом, доступ к личным файлам всегда открыт вне зависимости от того, установлено на компьютере приложение Kaspersky Endpoint Security с доступной функциональностью шифрования или нет.

    Расшифровывать весь съемный диск. Если выбран этот элемент, то при применении политики с заданными параметрами шифрования съемных дисков Kaspersky Endpoint Security расшифровывает все зашифрованные файлы, которые хранятся на съемных дисках, а также файловые системы съемных дисков, если они были зашифрованы.

    Оставлять без изменений. Если выбран этот элемент, то при применении политики приложение оставляет диски в прежнем состоянии. Если диск был зашифрован, то он остается зашифрованным, а если диск был расшифрован, то он остается расшифрованным. Этот элемент выбран по умолчанию.

    Портативный режим

    Флажок включает / выключает подготовку съемного диска, которая позволяет работать с хранящимися на этом съемном диске файлами на компьютерах вне корпоративной сети.

    Если флажок установлен, то при применении политики перед началом шифрования файлов на съемном диске Kaspersky Endpoint Security запрашивает у пользователя пароль. Пароль требуется для получения доступа к зашифрованным файлам на съемном диске на компьютерах вне корпоративной сети. Вы можете настроить сложность пароля.

    Портативный режим доступен для режимов Шифровать все файлы или Шифровать только новые файлы.

    Шифровать только занятое пространство

    Флажок включает / выключает режим шифрования, при котором шифруются только занятые секторы диска. Этот режим рекомендуется применять для новых дисков, данные которых не редактировались и не удалялись.

    Если флажок установлен, то шифруется только та часть диска, которая занята файлами. Kaspersky Endpoint Security зашифровывает новые данные автоматически по мере их добавления.

    Если флажок снят, то шифруется весь диск, в том числе остатки удаленных и отредактированных ранее файлов.

    Функция шифрования только занятого пространства доступна только для режима Шифровать весь съемный диск.

    Включение / выключение функции Шифровать только занятое пространство после запуска шифрования не изменяет этого параметра. Требуется установить или снять флажок до начала шифрования.

    Правила шифрования выбранных устройств

    Таблица устройств, для которых заданы отдельные правила шифрования. Вы можете создать правила шифрования для отдельных съемных дисков следующими способами:

    • Добавьте съемный диск из списка доверенных устройств Контроля устройств.
    • Добавьте съемный диск вручную:
      • по идентификатору устройства (англ. Hardware ID – HWID);
      • по модели устройства: идентификатор производителя (англ. Vendor ID – VID) и идентификатор продукта (англ. Product ID – PID).

    Разрешать шифрование съемных дисков в офлайн-режиме

    Если флажок установлен, то Kaspersky Endpoint Security шифрует съемные диски даже при отсутствии связи с Kaspersky Security Center. Данные, необходимые для расшифровки съемных дисков, сохраняются при этом на жестком диске компьютера, к которому подключен съемный диск, и не передаются на Kaspersky Security Center.

    Если флажок снят, Kaspersky Endpoint Security не шифрует съемные диски, если связь с Kaspersky Security Center отсутствует.

    Настройки пароля для портативного режима

    Параметры надежности пароля для портативного файлового менеджера.

См. также об управлении программой через Консоль администрирования Kaspersky Security Center

Запуск шифрования съемных дисков

Добавление правила шифрования для съемных дисков

Портативный режим для работы с зашифрованными файлами на съемных дисках

Расшифровка съемных дисков
В начало

[Topic 193690]

Шаблоны (шифрование данных)

После шифрования данных Kaspersky Endpoint Security может запретить доступ к данным, например, из-за изменения инфраструктуры организации и смены Сервера администрирования Kaspersky Security Center. Если у пользователя нет доступа к зашифрованным данным, пользователь может запросить доступ к данным у администратора. Т.е. пользователю нужно передать файл запроса администратору. Далее пользователю нужно загрузить в Kaspersky Endpoint Security файл ответа, полученный от администратора. Kaspersky Endpoint Security позволяет запросить доступ к данным у администратора с помощью электронной почты (см. рис. ниже).

Запрос доступа к зашифрованным данным

Для сообщения об отсутствии доступа к зашифрованным данным предусмотрен шаблон. Для удобства пользователей вы можете заполнить следующие поля:

  • Кому. Введите адрес электронной почты группы администраторов с правами на функции шифрования данных.
  • Тема. Введите тему письма с запросом доступа к зашифрованным файлам. Вы можете, например, добавить теги для фильтрации сообщений.
  • Сообщение. Если требуется измените содержание сообщения. Вы можете использовать переменные, чтобы получить необходимые данные (например, переменная %USER_NAME%).

См. также об управлении программой через Консоль администрирования Kaspersky Security Center

Изменение шаблонов сообщений для получения доступа к зашифрованным файлам
В начало

[Topic 178487]

Исключения

Доверенная зона – это сформированный администратором системы список объектов и приложений, которые Kaspersky Endpoint Security не контролирует в процессе работы.

Доверенную зону администратор системы формирует самостоятельно в зависимости от особенностей объектов, с которыми требуется работать, а также от приложений, установленных на компьютере. Включение объектов и приложений в доверенную зону может потребоваться, например, если Kaspersky Endpoint Security блокирует доступ к какому-либо объекту или приложению, в то время как вы уверены, что этот объект или приложение безвредны. Также администратор может разрешить пользователю формировать собственную локальную доверенную зону для отдельного компьютера. Таким образом, кроме общей доверенной зоны, сформированной в политике, пользователь может создавать собственные локальные списки исключений и доверенных приложений.

Исключения из проверки

Исключение из проверки – это совокупность условий, при выполнении которых Kaspersky Endpoint Security не проверяет объект на вирусы и другие приложения, представляющие угрозу.

Исключения из проверки позволяют работать с легальными приложениями, которые могут быть использованы злоумышленниками для нанесения вреда компьютеру или данным пользователя. Такие приложения сами по себе не имеют вредоносных функций, но эти приложения могут быть использованы злоумышленниками. Подробную информацию о легальных приложениях, которые могут быть использованы злоумышленниками для нанесения вреда компьютеру или данным пользователя, вы можете получить на сайте Вирусной энциклопедии "Лаборатории Касперского".

В результате работы Kaspersky Endpoint Security такие приложения могут быть заблокированы. Чтобы избежать блокирования, для используемых приложений вы можете настроить исключения из проверки. Для этого нужно добавить в доверенную зону название или маску названия по классификации Вирусной энциклопедии "Лаборатории Касперского". Например, вы часто используете в своей работе приложение Radmin, предназначенное для удаленного управления компьютерами. Такая активность приложения рассматривается Kaspersky Endpoint Security как подозрительная и может быть заблокирована. Чтобы исключить блокировку приложения, нужно сформировать исключение из проверки, где указать название или маску названия по классификации Вирусной энциклопедии "Лаборатории Касперского".

Если у вас на компьютере установлено приложение, выполняющее сбор и отправку информации на обработку, приложение Kaspersky Endpoint Security может классифицировать такое приложение как вредоносное. Чтобы избежать этого, вы можете исключить приложение из проверки, настроив приложение Kaspersky Endpoint Security способом, описанным в этом документе.

Исключения из проверки могут использоваться в ходе работы следующих компонентов и задач приложения, заданных администратором системы:

Список доверенных приложений

Список доверенных приложений – это список приложений, у которых Kaspersky Endpoint Security не контролирует файловую и сетевую активность (в том числе и вредоносную), а также обращения этих приложений к системному реестру. По умолчанию Kaspersky Endpoint Security проверяет объекты, открываемые, запускаемые или сохраняемые любым программным процессом, а также контролирует активность всех приложений и создаваемый ими сетевой трафик. Kaspersky Endpoint Security исключает из проверки приложение, добавленное в список доверенных приложений.

Например, если вы считаете объекты, используемые приложением Microsoft Windows Блокнот, безопасными и не требующими проверки, то есть доверяете этому приложению, вам следует добавить приложение Microsoft Windows Блокнот в список доверенных приложений, чтобы не проверять объекты, используемые этим приложением.

Кроме того, некоторые действия, которые Kaspersky Endpoint Security классифицирует как подозрительные, могут быть безопасны в рамках функциональности ряда приложений. Например, перехват текста, который вы вводите с клавиатуры, является штатным действием приложения автоматического переключения раскладок клавиатуры (например, Punto Switcher). Чтобы учесть специфику таких приложений и отключить контроль их активности, рекомендуется добавить их в список доверенных приложений.

Исключение доверенных приложений из проверки позволяет избежать проблемы совместимости Kaspersky Endpoint Security с другими приложениями (например, проблемы двойной проверки сетевого трафика стороннего компьютера Kaspersky Endpoint Security и другого антивирусного приложения), а также увеличить производительность компьютера, что особенно важно при использовании серверных приложений.

В то же время исполняемый файл и процесс доверенного приложения по-прежнему проверяются на наличие в них вирусов и других приложений, представляющих угрозу. Для полного исключения приложения из проверки Kaspersky Endpoint Security следует пользоваться исключениями из проверки.

Параметры исключений

Параметр

Описание

Типы обнаруживаемых объектов

Вне зависимости от настроенных параметров приложения Kaspersky Endpoint Security всегда обнаруживает и блокирует вирусы, черви и троянские приложения. Эти приложения могут нанести значительный вред компьютеру.

  • Вирусы и черви

    Подкатегория: вирусы и черви (Viruses_and_Worms)

    Степень угрозы: высокая

    Классические вирусы и черви выполняют на компьютере действия, не разрешенные пользователем. Они могут создавать свои копии, которые обладают способностью дальнейшего самовоспроизведения.

    Классический вирус

    Попав в систему, классический вирус заражает какой-либо файл, активизируется в нем, выполняет свое вредоносное действие, а затем добавляет свои копии в другие файлы.

    Классический вирус размножается только на локальных ресурсах компьютера и не может самостоятельно проникать на другие компьютеры. Он может попасть на другой компьютер только в том случае, если добавит свою копию в файл, который хранится в папке общего доступа или на установленном компакт-диске, или если пользователь сам перешлет сообщение электронной почты с вложенным в него зараженным файлом.

    Код классического вируса может внедряться в различные области компьютера, операционной системы или приложения. В зависимости от среды обитания вирусы подразделяют на файловые, загрузочные, скриптовые и макро-вирусы.

    Вирусы могут заражать файлы различными способами. Перезаписывающие (Overwriting) вирусы записывают свой код вместо кода заражаемого файла, уничтожая его содержимое. Зараженный файл перестает работать, и его нельзя восстановить. Паразитические (Parasitic) вирусы изменяют файлы, оставляя их полностью или частично работоспособными. Вирусы-компаньоны (Companion) не изменяют файлы, но создают их двойники. При открытии зараженного файла запускается его двойник, то есть вирус. Среди вирусов встречаются также вирусы-ссылки (Link), вирусы, заражающие объектные модули (OBJ), вирусы, заражающие библиотеки компиляторов (LIB), вирусы, заражающие исходные тексты программ, и другие.

    Червь

    Код червя, как и код классического вируса, попав в систему, активизируется и выполняет свое вредоносное действие. Свое название червь получил благодаря способности "переползать" с компьютера на компьютер – без разрешения пользователя распространять свои копии через различные информационные каналы.

    Основной признак, по которому черви различаются между собой, – способ их распространения. Описание типов червей по способу распространения приводится в следующей таблице.

    Способы распространения червей

     

     

    Тип

    Название

    Описание

    Email-Worm

    Почтовые черви

    Распространяются через электронную почту.

    Зараженное сообщение электронной почты содержит прикрепленный файл с копией червя или ссылку на такой файл на веб-сайте, например, взломанном или специально созданном. Когда вы запускаете прикрепленный файл, червь активизируется; когда вы щелкаете на ссылке, загружаете, а затем открываете файл, червь также начинает выполнять свое вредоносное действие. После этого он продолжает распространять свои копии, разыскивая другие адреса электронной почты и отправляя по ним зараженные сообщения.

    IM-Worm

    Черви IM-клиентов

    Распространяются через IM-клиенты.

    Обычно такой червь рассылает по контакт-листам сообщения, содержащие ссылку на файл с его копией на веб-сайте. Когда пользователь загружает файл и открывает его, червь активизируется.

    IRC-Worm

    Черви интернет-чатов

    Распространяются через ретранслируемые интернет-чаты (Internet Relay Chats) – сервисные системы, с помощью которых можно общаться через интернет с другими людьми в реальном времени.

    Такой червь публикует в интернет-чате файл со своей копией или ссылку на файл. Когда пользователь загружает файл и открывает его, червь активизируется.

    Net-Worm

    Сетевые черви (черви компьютерных сетей)

    Распространяются через компьютерные сети.

    В отличие от червей других типов, сетевой червь распространяется без участия пользователя. Он ищет в локальной сети компьютеры, на которых используются программы, содержащие уязвимости. Для этого он посылает специально сформированный сетевой пакет (эксплойт), который содержит код червя или его часть. Если в сети находится "уязвимый" компьютер, он принимает такой сетевой пакет. Полностью проникнув на компьютер, червь активизируется.

    P2P-Worm

    Черви файлообменных сетей

    Распространяются через файлообменные пиринговые сети.

    Чтобы внедриться в файлообменную сеть, червь копирует себя в каталог обмена файлами, обычно расположенный на компьютере пользователя. Файлообменная сеть отображает информацию об этом файле, и пользователь может "найти" зараженный файл в сети так же, как и любой другой, загрузить его и открыть.

    Более сложные черви имитируют сетевой протокол конкретной файлообменной сети: они положительно отвечают на поисковые запросы и предлагают для загрузки свои копии.

    Worm

    Прочие черви

    К прочим сетевым червям относятся:

    • Черви, которые распространяют свои копии через сетевые ресурсы. Используя функции операционной системы, они перебирают доступные сетевые папки, подключаются к компьютерам в глобальной сети и пытаются открыть их диски на полный доступ. В отличие от описанных выше разновидностей червей, прочие черви активизируются не самостоятельно, а как только пользователь открывает файл с копией червя.
    • Черви, которые не относятся ни к одному из описанных в этой таблице способов распространения (например, те, которые распространяются через мобильные телефоны).

     

  • Троянские приложения (в том числе приложения-вымогатели)

    Подкатегория: троянские программы (Trojan_programs)

    Степень угрозы: высокая

    В отличие от червей и вирусов, троянские программы не создают свои копии. Они проникают на компьютер, например, через электронную почту или через браузер, когда пользователь посещает зараженную веб-страницу. Троянские программы запускаются при участии пользователя. Они начинают выполнять свое вредоносное действие сразу после запуска.

    Разные троянские программы ведут себя на зараженном компьютере по-разному. Основные функции троянских программ – блокирование, изменение или уничтожение информации, нарушение работы компьютеров или компьютерных сетей. Кроме этого, троянские программы могут принимать или отправлять файлы, выполнять их, выводить на экран сообщения, обращаться к веб-страницам, загружать и устанавливать программы, перезагружать компьютер.

    Злоумышленники часто используют "наборы" из разных троянских программ.

    Типы поведения троянских программ описаны в следующей таблице.

    Типы поведения троянских программ на зараженном компьютере

     

    Тип

    Название

    Описание

    Trojan-ArcBomb

    Троянские программы – "архивные бомбы"

    Архивы; при распаковке увеличиваются до таких размеров, что нарушают работу компьютера.

    Когда пользователь пытается распаковать такой архив, компьютер может начать работать медленно или "зависнуть", диск может заполниться "пустыми" данными. "Архивные бомбы" особенно опасны для файловых и почтовых серверов. Если на сервере используется система автоматической обработки входящей информации, такая "архивная бомба" может остановить сервер.

    Backdoor

    Троянские программы удаленного администрирования

    Считаются наиболее опасными среди троянских программ. По своим функциям напоминают устанавливаемые на компьютеры программы удаленного администрирования.

    Эти программы устанавливают себя в компьютере незаметно для пользователя и позволяют злоумышленнику удаленно управлять компьютером.

    Trojan

    Троянские программы

    Включают следующие вредоносные программы:

    • Классические троянские программы. Эти программы выполняют только основные функции троянских программ: блокирование, изменение или уничтожение информации, нарушение работы компьютеров или компьютерных сетей. Они не имеют дополнительных функций, свойственных другим типам троянских программ, описанным в этой таблице.
    • "Многоцелевые" троянские программы. Эти программы имеют дополнительные функции, присущие сразу нескольким типам троянских программ.

    Trojan-Ransom

    Троянские программы, требующие выкупа

    "Берут в заложники" информацию на компьютере пользователя, изменяя или блокируя ее, или нарушают работу компьютера таким образом, чтобы пользователь не мог воспользоваться информацией. Злоумышленник требует от пользователя выкуп за обещание выслать программу, которая восстановит работоспособность компьютера и данные на нем.

    Trojan-Clicker

    Троянские программы-кликеры

    С компьютера пользователя обращаются к веб-страницам: они или сами посылают команды браузеру, или заменяют хранящиеся в системных файлах веб-адреса.

    C помощью этих программ злоумышленники организовывают сетевые атаки, повышают посещаемость сайтов, чтобы увеличить количество показов рекламных баннеров.

    Trojan-Downloader

    Троянские программы-загрузчики

    Обращаются к веб-странице злоумышленника, загружают с нее другие вредоносные программы и устанавливают их на компьютере пользователя; могут хранить имя файла загружаемой вредоносной программы в себе или получать его с веб-страницы, к которой обращаются.

    Trojan-Dropper

    Троянские программы-установщики

    Сохраняют на диске компьютера, а затем устанавливают другие троянские программы, которые хранятся в теле этих программ.

    Злоумышленники могут использовать троянские программы-установщики, чтобы достичь следующих целей:

    • установить вредоносную программу незаметно для пользователя: троянские программы-установщики не отображают никаких сообщений или выводят на экран ложные сообщения, например, об ошибке в архиве или неверной версии операционной системы;
    • защитить от обнаружения другую известную вредоносную программу: не все антивирусы могут распознать вредоносную программу внутри троянской программы-установщика.

    Trojan-Notifier

    Троянские программы-уведомители

    Сообщают злоумышленнику о том, что зараженный компьютер находится "на связи"; передают ему информацию о компьютере: IP-адрес, номер открытого порта или адрес электронной почты. Они связываются со злоумышленником по электронной почте, через FTP, обращаясь к его веб-странице или другим способом.

    Троянские программы-уведомители часто используются в наборах из разных троянских программ. Они извещают злоумышленника о том, что другие троянские программы успешно установлены на компьютере пользователя.

    Trojan-Proxy

    Троянские программы-прокси

    Позволяют злоумышленнику анонимно обращаться через компьютер пользователя к веб-страницам; часто используются для рассылки спама.

    Trojan-PSW

    Троянские программы, крадущие пароли

    Троянские программы, крадущие пароли (Password Stealing Ware); крадут учетные записи пользователей, например, регистрационную информацию к программному обеспечению. Они отыскивают конфиденциальные данные в системных файлах и реестре и пересылают ее "хозяину" по электронной почте, через FTP, обращаясь к веб-странице злоумышленника или другим способом.

    Некоторые из этих троянских программ выделены в отдельные типы, описанные в этой таблице. Это троянские программы, крадущие банковские счета (Trojan‑Banker), троянские программы, крадущие данные пользователей IM-клиентов (Trojan‑IM) и троянские программы, крадущие данные пользователей сетевых игр (Trojan‑GameThief).

    Trojan-Spy

    Троянские программы-шпионы

    Ведут электронный шпионаж за пользователем: собирают информацию о его действиях на компьютере, например, перехватывают данные, которые пользователь вводит с клавиатуры, делают снимки экрана или собирают списки активных приложений. Получив эту информацию, они передают ее злоумышленнику по электронной почте, через FTP, обращаясь к его веб-странице или другим способом.

    Trojan-DDoS

    Троянские программы – сетевые атаки

    Отправляют с компьютера пользователя многочисленные запросы на удаленный сервер. У сервера не хватает ресурсов для обработки запросов, и он перестает работать (Denial-of-Service (DoS) – отказ в обслуживании). Такими программами часто заражают многие компьютеры, чтобы с них одновременно атаковать один сервер.

    DoS-программы реализуют атаку с одного компьютера с ведома пользователя. DDoS-программы (Distributed DoS) реализуют распределенные атаки с разных компьютеров, причем без ведома пользователя зараженного компьютера.

    Trojan-IM

    Троянские программы, крадущие данные пользователей IM-клиентов

    Крадут номера и пароли пользователей IM-клиентов. Передают данные злоумышленнику по электронной почте, через FTP, обращаясь к его веб-странице или другим способом.

    Rootkit

    Руткиты

    Скрывают другие вредоносные программы и их активность и таким образом продлевают пребывание этих программ в системе; могут скрывать файлы, процессы в памяти зараженного компьютера или ключи реестра, которые запускают вредоносные программы; могут скрывать обмен данными между приложениями на компьютере пользователя и других компьютерах в сети.

    Trojan-SMS

    Троянские программы – SMS-сообщения

    Заражают мобильные телефоны и с них отправляют SMS-сообщения на платные номера.

    Trojan-GameThief

    Троянские программы, крадущие данные пользователей сетевых игр

    Крадут учетные данные пользователей сетевых компьютерных игр; передают их злоумышленнику по электронной почте, через FTP, обращаясь к его веб-странице или другим способом.

    Trojan-Banker

    Троянские программы, крадущие банковские счета

    Крадут данные банковских счетов или счетов в системах электронных денег; передают данные злоумышленнику по электронной почте, через FTP, обращаясь к его веб-странице или другим способом.

    Trojan-Mailfinder

    Троянские программы – сборщики адресов электронной почты

    Собирают адреса электронной почты на компьютере и передают их злоумышленнику по электронной почте, через FTP, обращаясь к его веб-странице или другим способом. По собранным адресам злоумышленники могут рассылать спам.

     

  • Вредоносные утилиты

    Подкатегория: вредоносные утилиты (Malicious_tools)

    Уровень опасности: средний

    Вредоносные утилиты, в отличие от других вредоносных программ, не выполняют своих действий сразу при запуске и могут безопасно храниться и запускаться на компьютере пользователя. Злоумышленники используют функции этих программ для создания вирусов, червей и троянских программ, организации сетевых атак на удаленные серверы, "взлома" компьютеров или других вредоносных действий.

    Разнообразные функции вредоносных утилит делятся на типы, которые описаны в следующей таблице.

    Функции вредоносных утилит

     

    Тип

    Название

    Описание

    Constructor

    Конструкторы

    Позволяют создавать новые вирусы, черви и троянские программы. Некоторые конструкторы имеют стандартный оконный интерфейс, в котором с помощью меню можно выбирать тип создаваемой вредоносной программы, способ ее противодействия отладчику и другие свойства.

    Dos

    Сетевые атаки

    Отправляют с компьютера пользователя многочисленные запросы на удаленный сервер. У сервера не хватает ресурсов для обработки запросов, и он перестает работать (Denial-of-Service (DoS) – отказ в обслуживании).

    Exploit

    Эксплойты

    Эксплойт – это набор данных или программный код, использующий уязвимости приложения, в котором он обрабатывается, чтобы выполнить на компьютере вредоносное действие. Например, эксплойт может записывать или считывать файлы либо обращаться к "зараженным" веб-страницам.

    Разные эксплойты используют уязвимости разных приложений или сетевых служб. Эксплойт в виде сетевого пакета передается по сети на многие компьютеры, выискивая компьютеры с уязвимыми сетевыми службами. Эксплойт в файле DOC использует уязвимости текстового редактора. Он может начать выполнять заложенные в него злоумышленником функции, когда пользователь откроет зараженный файл. Эксплойт, внедренный в сообщение электронной почты, ищет уязвимости в каком-либо почтовом клиенте. Он может начать выполнять вредоносное действие, как только пользователь откроет зараженное сообщение в этом почтовом клиенте.

    С помощью эксплойтов распространяются сетевые черви (Net-Worm). Эксплойты-ньюкеры (Nuker) представляют собой сетевые пакеты, которые выводят компьютеры из строя.

    FileCryptor

    Шифровальщики

    Шифруют другие вредоносные программы, чтобы скрыть их от антивирусного приложения.

    Flooder

    Программы для "замусоривания" сетей

    Рассылают многочисленные сообщения по сетевым каналам. К этому типу относятся, например, программы для замусоривания ретранслируемых интернет-чатов (Internet Relay Chats).

    К типу Flooder не относятся программы, "забивающие мусором" каналы электронной почты, IM-клиентов и мобильных систем. Эти программы выделяют в отдельные типы, описанные в этой таблице (Email-Flooder, IM-Flooder и SMS-Flooder).

    HackTool

    Инструменты хакера

    Позволяют взламывать компьютер, на котором они установлены, или атаковать другой компьютер (например, без разрешения пользователя добавлять других пользователей системы; очищать системные журналы, чтобы скрыть следы присутствия в системе). К этому типу относят некоторые снифферы, которые обладают вредоносными функциями, например перехватывают пароли. Снифферы (Sniffers) – это программы, которые позволяют просматривать сетевой трафик.

    Hoax

    Злые шутки

    Пугают пользователя вирусоподобными сообщениями: могут "обнаружить" вирус в незараженном файле или объявить о форматировании диска, которого на самом деле не происходит.

    Spoofer

    Утилиты-имитаторы

    Отправляют сообщения и сетевые запросы с поддельным адресом отправителя. Злоумышленники используют утилиты-имитаторы, чтобы, например, выдать себя за отправителя.

    VirTool

    Инструменты для модификации вредоносных программ

    Позволяют модифицировать другие вредоносные программы так, чтобы скрыть их от антивирусных приложений.

    Email-Flooder

    Программы для "замусоривания" адресов электронной почты

    Отправляют многочисленные сообщения по адресам электронной почты ("забивают их мусором"). Большой поток сообщений не дает пользователям просматривать полезную входящую почту.

    IM-Flooder

    Программы для "замусоривания" IM-клиентов

    Отправляют многочисленные сообщения пользователям IM-клиентов. Большой поток сообщений не дает пользователям просматривать полезные входящие сообщения.

    SMS-Flooder

    Программы для "замусоривания" SMS-сообщениями

    Отправляют многочисленные SMS-сообщения на мобильные телефоны.

     

  • Рекламные приложения

    Подкатегория: рекламные программы (Adware)

    Степень угрозы: средняя

    Рекламные программы связаны с показом пользователю рекламной информации. Они отображают в интерфейсе других программ рекламные баннеры, перенаправляют поисковые запросы на рекламные веб-страницы. Некоторые из них собирают и переправляют своему разработчику маркетинговую информацию о пользователе: например, сведения о том, какие тематические веб-сайты он посещает, какие поисковые запросы делает. В отличие от троянских программ-шпионов, рекламные программы передают эту информацию разработчику с разрешения пользователя.

  • Приложения автодозвона

    Подкатегория: легальные программы, которые могут быть использованы злоумышленником для нанесения вреда компьютеру или данным пользователя.

    Уровень опасности: средний

    Большинство этих программ являются полезными, и многие пользователи применяют их. Среди таких программ – IRC-клиенты, программы автодозвона, программы для загрузки файлов, мониторы активности компьютерных систем, утилиты для работы с паролями, интернет-серверы служб FTP, HTTP или Telnet.

    Однако если злоумышленники получат доступ к таким программам или внедрят их на компьютер пользователя, они могут использовать некоторые их функции для нарушения безопасности.

    Подобные программы различают по функциям, типы которых описаны в таблице ниже.

     

    Тип

    Название

    Описание

    Client-IRC

    Клиенты интернет-чатов

    Пользователи устанавливают эти программы, чтобы общаться в ретранслируемых интернет-чатах (Internet Relay Chats). Злоумышленники используют их для распространения вредоносных программ.

    Dialer

    Программы автодозвона

    Могут устанавливать телефонные соединения через модем в скрытом режиме.

    Downloader

    Программы-загрузчики

    Могут загружать файлы с веб-страниц в скрытом режиме.

    Monitor

    Программы-мониторы

    Позволяют наблюдать за активностью на компьютере, на котором установлены (видеть, какие приложения работают, и как они обмениваются данными с приложениями на других компьютерах).

    PSWTool

    Восстановители паролей

    Позволяют просматривать и восстанавливать забытые пароли. С этой же целью их скрыто внедряют на компьютеры пользователей злоумышленники.

    RemoteAdmin

    Программы удаленного администрирования

    Широко используются системными администраторами; позволяют получать доступ к интерфейсу удаленного компьютера, чтобы наблюдать за ним и управлять им. С этой же целью злоумышленники скрыто внедряют их на компьютеры пользователей для наблюдения за удаленными компьютерами и управления ими.

    Легальные программы удаленного администрирования отличаются от троянских программ удаленного администрирования Backdoor. Троянские программы обладают функциями, которые позволяют им самостоятельно проникать в систему и устанавливать себя; легальные программы этих функций не имеют.

    Server-FTP

    FTP-серверы

    Выполняют функции FTP-сервера. Злоумышленники внедряют их на компьютер пользователя, чтобы открыть к нему удаленный доступ по протоколу FTP.

    Server-Proxy

    Прокси-серверы

    Выполняют функции прокси-сервера. Злоумышленники внедряют их на компьютер пользователя, чтобы от его имени рассылать спам.

    Server-Telnet

    Telnet-серверы

    Выполняют функции Telnet-сервера. Злоумышленники внедряют их на компьютер пользователя, чтобы открыть к нему удаленный доступ по протоколу Telnet.

    Server-Web

    Веб-серверы

    Выполняют функции веб-сервера. Злоумышленники внедряют их на компьютер пользователя, чтобы открыть к нему удаленный доступ по протоколу HTTP.

    RiskTool

    Инструменты для работы на локальном компьютере

    Дают пользователю дополнительные возможности при работе на своем компьютере (позволяют скрывать на своем компьютере файлы или окна активных приложений, закрывать активные процессы).

    NetTool

    Сетевые инструменты

    Дают пользователю компьютера, на котором установлены, дополнительные возможности при работе с другими компьютерами в сети (позволяют перезагружать их, находить открытые порты, запускать установленные на них программы).

    Client-P2P

    Клиенты пиринговых сетей

    Позволяют работать в пиринговых (Peer-to-Peer) сетях. Могут использоваться злоумышленниками для распространения вредоносных программ.

    Client-SMTP

    SMTP-клиенты

    Отправляют сообщения электронной почты в скрытом режиме. Злоумышленники внедряют их на компьютер пользователя, чтобы от его имени рассылать спам.

    WebToolbar

    Веб-панели инструментов

    Добавляют в интерфейс других приложений панели инструментов для использования поисковых систем.

    FraudTool

    Псевдопрограммы

    Выдают себя за другие программы. Например, существуют псевдоантивирусы, которые выводят на экран сообщения об обнаружении вредоносных программ, но на самом деле ничего не находят и не лечат.

     

  • Обнаруживать другие приложения, которые могут быть использованы злоумышленниками для нанесения вреда компьютеру или данным пользователя

    Подкатегория: легальные программы, которые могут быть использованы злоумышленником для нанесения вреда компьютеру или данным пользователя.

    Уровень опасности: средний

    Большинство этих программ являются полезными, и многие пользователи применяют их. Среди таких программ – IRC-клиенты, программы автодозвона, программы для загрузки файлов, мониторы активности компьютерных систем, утилиты для работы с паролями, интернет-серверы служб FTP, HTTP или Telnet.

    Однако если злоумышленники получат доступ к таким программам или внедрят их на компьютер пользователя, они могут использовать некоторые их функции для нарушения безопасности.

    Подобные программы различают по функциям, типы которых описаны в таблице ниже.

     

    Тип

    Название

    Описание

    Client-IRC

    Клиенты интернет-чатов

    Пользователи устанавливают эти программы, чтобы общаться в ретранслируемых интернет-чатах (Internet Relay Chats). Злоумышленники используют их для распространения вредоносных программ.

    Dialer

    Программы автодозвона

    Могут устанавливать телефонные соединения через модем в скрытом режиме.

    Downloader

    Программы-загрузчики

    Могут загружать файлы с веб-страниц в скрытом режиме.

    Monitor

    Программы-мониторы

    Позволяют наблюдать за активностью на компьютере, на котором установлены (видеть, какие приложения работают, и как они обмениваются данными с приложениями на других компьютерах).

    PSWTool

    Восстановители паролей

    Позволяют просматривать и восстанавливать забытые пароли. С этой же целью их скрыто внедряют на компьютеры пользователей злоумышленники.

    RemoteAdmin

    Программы удаленного администрирования

    Широко используются системными администраторами; позволяют получать доступ к интерфейсу удаленного компьютера, чтобы наблюдать за ним и управлять им. С этой же целью злоумышленники скрыто внедряют их на компьютеры пользователей для наблюдения за удаленными компьютерами и управления ими.

    Легальные программы удаленного администрирования отличаются от троянских программ удаленного администрирования Backdoor. Троянские программы обладают функциями, которые позволяют им самостоятельно проникать в систему и устанавливать себя; легальные программы этих функций не имеют.

    Server-FTP

    FTP-серверы

    Выполняют функции FTP-сервера. Злоумышленники внедряют их на компьютер пользователя, чтобы открыть к нему удаленный доступ по протоколу FTP.

    Server-Proxy

    Прокси-серверы

    Выполняют функции прокси-сервера. Злоумышленники внедряют их на компьютер пользователя, чтобы от его имени рассылать спам.

    Server-Telnet

    Telnet-серверы

    Выполняют функции Telnet-сервера. Злоумышленники внедряют их на компьютер пользователя, чтобы открыть к нему удаленный доступ по протоколу Telnet.

    Server-Web

    Веб-серверы

    Выполняют функции веб-сервера. Злоумышленники внедряют их на компьютер пользователя, чтобы открыть к нему удаленный доступ по протоколу HTTP.

    RiskTool

    Инструменты для работы на локальном компьютере

    Дают пользователю дополнительные возможности при работе на своем компьютере (позволяют скрывать на своем компьютере файлы или окна активных приложений, закрывать активные процессы).

    NetTool

    Сетевые инструменты

    Дают пользователю компьютера, на котором установлены, дополнительные возможности при работе с другими компьютерами в сети (позволяют перезагружать их, находить открытые порты, запускать установленные на них программы).

    Client-P2P

    Клиенты пиринговых сетей

    Позволяют работать в пиринговых (Peer-to-Peer) сетях. Могут использоваться злоумышленниками для распространения вредоносных программ.

    Client-SMTP

    SMTP-клиенты

    Отправляют сообщения электронной почты в скрытом режиме. Злоумышленники внедряют их на компьютер пользователя, чтобы от его имени рассылать спам.

    WebToolbar

    Веб-панели инструментов

    Добавляют в интерфейс других приложений панели инструментов для использования поисковых систем.

    FraudTool

    Псевдопрограммы

    Выдают себя за другие программы. Например, существуют псевдоантивирусы, которые выводят на экран сообщения об обнаружении вредоносных программ, но на самом деле ничего не находят и не лечат.

     

  • Упакованные объекты, способ упаковки которых может использоваться для защиты вредоносного кода

    Kaspersky Endpoint Security проверяет упакованные объекты и модуль-распаковщик в составе самораспаковывающихся архивов SFX (self-extracting archive).

    Чтобы скрыть опасные программы от обнаружения антивирусом, злоумышленники упаковывают их с помощью специальных упаковщиков или многократно упаковывают один объект.

    Вирусные аналитики "Лаборатории Касперского" отобрали упаковщики, которые злоумышленники используют чаще всего.

    Если Kaspersky Endpoint Security обнаружил в объекте такой упаковщик, то скорее всего он содержит вредоносную программу или программу, которая может быть использована злоумышленником для нанесения вреда компьютеру или данным пользователя.

    Kaspersky Endpoint Security выделяет следующие программы:

    • Упакованные файлы, которые могут нанести вред – используются для упаковки вредоносных программ: вирусов, червей, троянских программ.
    • Многократно упакованные файлы (степень угрозы средняя) – объект упакован трижды одним или несколькими упаковщиками.
  • Множественно упакованные объекты

    Kaspersky Endpoint Security проверяет упакованные объекты и модуль-распаковщик в составе самораспаковывающихся архивов SFX (self-extracting archive).

    Чтобы скрыть опасные программы от обнаружения антивирусом, злоумышленники упаковывают их с помощью специальных упаковщиков или многократно упаковывают один объект.

    Вирусные аналитики "Лаборатории Касперского" отобрали упаковщики, которые злоумышленники используют чаще всего.

    Если Kaspersky Endpoint Security обнаружил в объекте такой упаковщик, то скорее всего он содержит вредоносную программу или программу, которая может быть использована злоумышленником для нанесения вреда компьютеру или данным пользователя.

    Kaspersky Endpoint Security выделяет следующие программы:

    • Упакованные файлы, которые могут нанести вред – используются для упаковки вредоносных программ: вирусов, червей, троянских программ.
    • Многократно упакованные файлы (степень угрозы средняя) – объект упакован трижды одним или несколькими упаковщиками.

Исключения

Таблица содержит информацию об исключениях из проверки.

Вы можете исключать из проверки объекты следующими способами:

  • Укажите путь к файлу или папке.
  • Введите хеш объекта.
  • Используйте маски:
    • Символ *, который заменяет любой набор символов, в том числе пустой, кроме символов \ и / (разделители имен файлов и папок в путях к файлам и папкам). Например, маска C:\*\*.txt будет включать все пути к файлам с расширением txt, расположенным в папках на диске (C:), но не в подпапках.
    • Два введенных подряд символа * заменяют любой набор символов, в том числе пустой, в имени файла или папки, включая символы \ и / (разделители имен файлов и папок в путях к файлам и папкам). Например, маска C:\Folder\**\*.txt будет включать все пути к файлам с расширением txt в папках, вложенных в папку Folder, кроме самой папки Folder. Маска должна включать хотя бы один уровень вложенности. Маска C:\**\*.txt не работает.
    • Символ ?, который заменяет любой один символ, кроме символов \ и / (разделители имен файлов и папок в путях к файлам и папкам). Например, маска C:\Folder\???.txt будет включать пути ко всем расположенным в папке Folder файлам с расширением txt и именем, состоящим из трех символов.
  • Введите название типа объекта по классификации Энциклопедии "Касперского" (например, Email-Worm, Rootkit или RemoteAdmin). Вы можете использовать маски с символами ? (заменяет любой символ) и * (заменяет любые несколько символов). Например, если указана маска Client*, приложение исключает из проверки объекты типов Client-IRC, Client-P2P и Client-SMTP.

Доверенные приложения

Таблица доверенных приложений, активность которых Kaspersky Endpoint Security не проверяет в процессе своей работы.

Компонент Контроль приложений регулирует запуск каждого из приложений независимо от того, указано ли это приложение в таблице доверенных приложений или нет.

Объединять значения при наследовании

(доступен только в консоли Kaspersky Security Center)

Объединение списка исключений из проверки и списка доверенных приложений в родительских и дочерних политиках Kaspersky Security Center. Для объединения списков необходимо в дочерней политике включить наследование параметров родительской политики Kaspersky Security Center.

Если флажок установлен, элементы списка родительской политики Kaspersky Security Center отображаются в дочерних политиках и доступны для просмотра. Таким образом, вы можете, например, создать общий список доверенных приложений для всей организации.

Удалить или изменить унаследованные элементы списка в дочерней политике невозможно. Элементы списка исключений из проверки и списка доверенных приложений, объединенные при наследовании, доступны для удаления и изменения только в родительской политике. Добавление, изменение и удаление элементов списка возможно на нижестоящих уровнях.

Если элементы списков дочерней и родительской политик совпадают, эти элементы отображаются как один элемент родительской политики.

Если флажок снят, то элементы списков не объединяются при наследовании параметров политик Kaspersky Security Center.

Разрешить использование локальных исключений / Разрешить использование локальных доверенных программ

(доступен только в консоли Kaspersky Security Center)

Локальные исключения и локальные доверенные приложения (локальная доверенная зона) – список объектов и приложений, сформированные пользователем в Kaspersky Endpoint Security для отдельного компьютера. Kaspersky Endpoint Security в процессе работы не контролирует объекты и приложения из локальной доверенной зоны. Таким образом, кроме общей доверенной зоны, сформированной в политике, пользователь может создавать собственные локальные списки исключений и доверенных приложений.

Если флажок установлен, пользователь может сформировать локальный список исключений из проверки и локальный список доверенных приложений. Администратор с помощью Kaspersky Security Center может просматривать, добавлять, изменять или удалять элементы списка в свойствах компьютера.

Если флажок снят, пользователю доступны только общие списки исключений из проверки и доверенных приложений, сформированные в политике. Если локальные списки сформированы, после выключения функции Kaspersky Endpoint Security продолжает исключать из проверки объекты из списков.

Доверенное системное хранилище сертификатов

Если выбрано одно из доверенных системных хранилищ сертификатов, приложение Kaspersky Endpoint Security исключает из проверки приложения, подписанные доверенной цифровой подписью. Kaspersky Endpoint Security автоматически помещает такие приложения в группу Доверенные.

Если выбрано Не использовать, то Kaspersky Endpoint Security проверяет приложения независимо от наличия цифровой подписи. Приложение Kaspersky Endpoint Security помещает приложение в группу доверия в зависимости от уровня опасности, которую это приложение может представлять для компьютера.

См. также об управлении программой через локальный интерфейс

Создание исключения из проверки

Управление приложением на сервере Core Mode

Запуск и остановка работы исключения из проверки

Формирование списка доверенных приложений

Включение и выключение действия правил доверенной зоны на приложение из списка доверенных приложений

Использование доверенного системного хранилища сертификатов
В начало

[Topic 178481]

Настройки приложения

Вы можете настроить следующие общие параметры приложения:

  • режим работы;
  • самозащита;
  • производительность;
  • отладочная информация;
  • статус компьютера при применении параметров.

    Параметры приложения

    Параметр

    Описание

    Запускать Kaspersky Endpoint Security для Windows при включении компьютера

    Если флажок установлен, то приложение Kaspersky Endpoint Security запускается после загрузки операционной системы и защищает компьютер пользователя в течение всего сеанса работы.

    Если флажок не установлен, то приложение Kaspersky Endpoint Security не запускается после загрузки операционной системы до того момента, как пользователь запустит приложение вручную. Защита компьютера выключена и данные пользователя могут находиться под угрозой.

    Применять технологию лечения активного заражения (использует значительные ресурсы компьютера)

    Если флажок установлен, при обнаружении вредоносной активности в операционной системе на экране отображается всплывающее уведомление. В уведомлении приложение Kaspersky Endpoint Security предлагает провести процедуру лечения активного заражения компьютера. После подтверждения пользователем этой процедуры приложение Kaspersky Endpoint Security устраняет угрозу. Завершив процедуру лечения активного заражения, приложение Kaspersky Endpoint Security выполняет перезагрузку компьютера. Применение технологии лечения активного заражения требует значительных ресурсов компьютера, что может замедлить работу других приложений.

    Во время обнаружения приложением активного заражения некоторые функции операционной системы могут быть недоступны. Доступность операционной системы восстановится после завершения лечения активного заражения и перезагрузки компьютера.

    Если приложение Kaspersky Endpoint Security установлено на компьютере под управлением операционной системы Windows для серверов, Kaspersky Endpoint Security не показывает уведомление. Таким образом, пользователь не может выбрать действие для лечения активного заражения. Для устранения угрозы вам необходимо включить технологию лечения активного заражения в параметрах приложения и включить немедленное лечение активного заражения в свойствах задачи Антивирусная проверка. Далее вам нужно запустить задачу Антивирусная проверка.

    Использовать Kaspersky Security Center в качестве прокси-сервера для активации

    (доступен только в консоли Kaspersky Security Center)

    Если флажок установлен, то при активации приложения в качестве прокси-сервера используется Сервер администрирования Kaspersky Security Center.

    Включить самозащиту

    Если флажок установлен, то Kaspersky Endpoint Security предотвращает изменение и удаление файлов приложения на жестком диске, процессов в памяти и записей в системном реестре.

    Разрешить управление настройками Kaspersky Endpoint Security через приложения удаленного управления

    Если флажок установлен, доверенные приложения удаленного администрирования (такие как TeamViewer, LogMeIn Pro и Remotely Anywhere) могут изменять настройки Kaspersky Endpoint Security.

    Недоверенным приложениям удаленного администрирования изменение настроек Kaspersky Endpoint Security будет запрещено, даже если флажок установлен.

    Включить возможность внешнего управления системными службами

    Если флажок установлен, то Kaspersky Endpoint Security разрешает управление службами приложения с удаленного компьютера. При попытке управления службами приложениями с удаленного компьютера, над значком приложения в области уведомлений панели задач Microsoft Windows отображается уведомление (если служба уведомлений не выключена пользователем).

    Откладывать задачи по расписанию при работе от аккумулятора

    Если флажок установлен, то режим экономии питания аккумулятора включен. Приложение Kaspersky Endpoint Security откладывает выполнение задач, для которых задан запуск по расписанию. По мере необходимости вы можете самостоятельно запускать задачи проверки и обновления.

    Уступать ресурсы другим приложениям

    Потребление ресурсов компьютера Kaspersky Endpoint Security при проверке компьютера может увеличить нагрузку на центральный процессор и дисковые подсистемы. Это может замедлить работу других приложений. Для оптимизации производительности в Kaspersky Endpoint Security предусмотрен режим передачи ресурсов другим приложениям. В этом режиме операционная система может понизить приоритет потоков задач проверки Kaspersky Endpoint Security при высокой нагрузке на центральный процессор. Это позволит перераспределить ресурсы операционной системы для других приложений. То есть задачи проверки получат меньше процессорного времени. В результате Kaspersky Endpoint Security будет проверять компьютер дольше. По умолчанию режим передачи ресурсов другим приложениям включен.

    Включить запись дампов

    Если флажок установлен, то Kaspersky Endpoint Security записывает дампы в случае сбоев в работе.

    Если флажок снят, то Kaspersky Endpoint Security не записывает дампы. Приложение удаляет уже существующие на жестком диске компьютера файлы дампов.

    Включить защиту файлов дампов и файлов трассировки

    Если флажок установлен, то доступ к файлам дампов предоставляется системному и локальному администраторам, а также пользователю, включившему запись дампов. Доступ к файлам трассировки предоставляется только системному и локальному администраторам.

    Если флажок снят, доступ к файлам дампов и файлам трассировки имеет любой пользователь.

    Статус компьютера при применении настроек

    (доступен только в консоли Kaspersky Security Center)

    Параметры отображения статусов клиентских компьютеров с установленным приложением Kaspersky Endpoint Security в Web Console при появлении ошибок применения политики или выполнения задачи. Доступны статусы ОК, Предупреждение и Критический.

    Устанавливать новые версии приложения без перезагрузки компьютера

    (доступен только в консоли Kaspersky Security Center)

    Обновление версии приложения без перезагрузки компьютера позволяет обеспечить бесперебойную работу серверов при обновлении приложения.

    Вы можете обновлять версию приложения без перезагрузки начиная с версии 11.10.0. Для обновления более ранних версий приложения необходимо выполнять перезагрузку компьютера.

См. также об управлении программой через локальный интерфейс

Включение и выключение технологии лечения активного заражения

Самозащита Kaspersky Endpoint Security

Включение и выключение режима энергосбережения

Включение и выключение режима передачи ресурсов другим приложениям

Запись дампов

Защита файлов дампов и трассировок
В начало

[Topic 178491]

Отчеты и хранилище

Отчеты

Информация о работе каждого компонента Kaspersky Endpoint Security, о событиях шифрования данных, о выполнении каждой задачи проверки, задачи обновления и задачи проверки целостности, а также о работе приложения в целом сохраняется в отчетах.

Отчеты хранятся в папке C:\ProgramData\Kaspersky Lab\KES.21.7\Report.

Резервное хранилище

Резервное хранилище – это хранилище резервных копий файлов, которые были изменены в процессе лечения или удалены. Резервная копия – копия файла, которая создается до лечения или удаления этого файла. Резервные копии файлов хранятся в специальном формате и не представляют опасности.

Резервные копии файлов хранятся в папке C:\ProgramData\Kaspersky Lab\KES.21.7\QB.

Полные права доступа к этой папке предоставлены пользователям группы "Администраторы". Ограниченные права доступа к этой папке предоставлены пользователю, под учетной записью которого выполнялась установка Kaspersky Endpoint Security.

В Kaspersky Endpoint Security отсутствует возможность настройки прав доступа пользователей к резервным копиям файлов.

Карантин

Карантин – это специальное локальное хранилище на компьютере. Пользователь может поместить на карантин файлы, которые считает опасными для компьютера. Файлы на карантине хранятся в зашифрованном виде и не угрожают безопасности устройства. Kaspersky Endpoint Security использует карантин только при работе с решениями Kaspersky Sandbox и Kaspersky Endpoint Detection and Response. В остальных случаях Kaspersky Endpoint Security помещает файл в резервное хранилище. Подробнее о работе с карантином в составе решений см. в справке Kaspersky Sandbox, Kaspersky Endpoint Detection and Response Optimum, Kaspersky Endpoint Detection and Response Expert.

Вы можете настроить параметры карантина только в Web Console. Также в Web Console вы можете выполнить действия с объектами на карантине (восстановить, удалить, добавить и другие). Восстановление объектов доступно на компьютере локально из командной строки.

Kaspersky Endpoint Security помещает файлы на карантин под системной учетной записью (SYSTEM).

Параметры отчетов и хранения

Параметр

Описание

Хранить отчеты не более N дней

Если флажок установлен, то максимальный срок хранения отчетов ограничен заданным интервалом времени. По умолчанию максимальный срок хранения отчетов составляет 30 дней. По истечении этого времени Kaspersky Endpoint Security автоматически удаляет наиболее старые записи из файла отчета.

Ограничить размер файла отчетов до N МБ

Если флажок установлен, то максимальный размер файла отчетов ограничен заданным значением. По умолчанию максимальный размер файла составляет 1024 МБ. После достижения максимального размера файла отчета Kaspersky Endpoint Security автоматически удаляет наиболее старые записи из файла отчетов таким образом, чтобы размер файла отчетов не превышал максимального значения.

Хранить объекты не более N дней

Если флажок установлен, то максимальный срок хранения файлов ограничен заданным интервалом времени. По умолчанию максимальный срок хранения файлов составляет 30 дней. По истечении максимального срока хранения Kaspersky Endpoint Security удаляет наиболее старые файлы из резервного хранилища.

Ограничить размер хранилища до N МБ

Если флажок установлен, то максимальный размер резервного хранилища ограничен заданным значением. По умолчанию максимальный размер составляет 100 МБ. После достижения максимального размера резервного хранилища Kaspersky Endpoint Security автоматически удаляет наиболее старые файлы таким образом, чтобы размер резервного хранилища не превышал максимального значения.

Ограничить размер карантина до N МБ

(доступен только в Web Console)

Максимальный размер карантина в МБ. Например, вы можете задать максимальный размер карантина 200 МБ. При достижении максимального размера карантина Kaspersky Endpoint Security отправляет соответствующее событие в Kaspersky Security Center и публикует событие в Журнале событий Windows. При этом приложение прекращает помещать новые объекты на карантин. Вам нужно вручную очистить карантин.

Уведомлять при заполнении карантина на N процентов

(доступен только в Web Console)

Пороговое значение карантина. Например, вы можете задать пороговое значение карантина 50 %. При достижении порогового значения карантина, Kaspersky Endpoint Security отправляет соответствующее событие в Kaspersky Security Center и публикует событие в Журнале событий Windows. При этом приложение продолжает помещать новые объекты на карантин.

Передача данных на Сервер администрирования

(доступен только в Kaspersky Security Center)

Категории событий на клиентских компьютерах, информация о которых должна передаваться на Сервер администрирования.

См. также об управлении программой через локальный интерфейс

Просмотр отчетов

Сохранение отчета в файл

Удаление информации из отчетов
В начало

[Topic 178483]

Настройки сети

Вы можете настроить параметры прокси-сервера для подключения к интернету и обновления антивирусных баз, выбрать режим контроля сетевых портов и настроить проверку защищенных соединений.

Параметры сети

Параметр

Описание

Ограничивать трафик при лимитном подключении

Если флажок установлен, приложение ограничивает собственный сетевой трафик в том случае, если подключение к интернету является лимитным. Приложение Kaspersky Endpoint Security определяет высокоскоростное мобильное подключение к интернету как лимитное, а подключение по Wi-Fi – как безлимитное.

Учет стоимости подключения работает на компьютерах под управлением Windows 8 и выше.

Внедрять в трафик скрипт взаимодействия с веб-страницами

Если флажок установлен, Kaspersky Endpoint Security внедряет в трафик скрипт взаимодействия с веб-страницами. Этот скрипт обеспечивает работу компонента Веб-Контроль. Скрипт позволяет регистрировать события работы Веб-Контроля. Включить мониторинг активности пользователя в интернете без скрипта невозможно.

Специалисты "Лаборатории Касперского" рекомендуют внедрить в трафик скрипт взаимодействия с веб-страницами для корректной работы Веб-Контроля.

Прокси-сервер

Параметры прокси-сервера для доступа пользователей клиентских компьютеров в интернет. Приложение Kaspersky Endpoint Security использует эти параметры в работе некоторых компонентов защиты, в том числе для обновления баз и модулей приложения.

Для автоматической настройки прокси-сервера приложение Kaspersky Endpoint Security использует протокол WPAD (Web Proxy Auto-Discovery Protocol). В случае если по этому протоколу не удается определить IP-адрес прокси-сервера, приложение использует адрес прокси-сервера, указанный в параметрах браузера Microsoft Internet Explorer.

Не использовать прокси-сервер для локальных адресов

Если флажок установлен, то при обновлении Kaspersky Endpoint Security из папки общего доступа прокси-сервер не используется.

Контролируемые порты

Контролировать все сетевые порты. Режим контроля сетевых портов, при котором компоненты защиты (Защита от файловых угроз, Защита от веб-угроз, Защита от почтовых угроз) контролируют потоки данных, передаваемые через любые открытые сетевые порты компьютера.

Контролировать только выбранные сетевые порты. Режим контроля сетевых портов, при котором компоненты защиты контролируют выбранные сетевые порты компьютера и сетевую активность выбранных приложений. Список сетевых портов, которые обычно используются для передачи электронной почты и сетевого трафика, настроен в соответствии с рекомендациями специалистов "Лаборатории Касперского".

Контролировать все порты для приложений из списка, рекомендованного "Лабораторией Касперского". Предустановленный список приложений, сетевые порты которых контролирует Kaspersky Endpoint Security. В список включены, например, Google Chrome, Adobe Reader, Java и другие приложения.

Контролировать все порты для указанных приложений. Список приложений, сетевые порты которых контролирует Kaspersky Endpoint Security.

Проверка защищенных соединений

Kaspersky Endpoint Security проверяет зашифрованный сетевой трафик, передаваемый по следующим протоколам:

  • SSL 3.0;
  • TLS 1.0, TLS 1.1, TLS 1.2, TLS 1.3.

Kaspersky Endpoint Security поддерживает следующие режим проверки защищенных соединений:

  • Не проверять защищенные соединения. Kaspersky Endpoint Security не имеет доступ к содержанию сайтов, адрес которых начинается с https://.
  • Проверять защищенные соединения по запросу компонентов защиты. Kaspersky Endpoint Security проверяет зашифрованный трафик только по запросу компонентов Защита от файловых угроз, Защита от почтовых угроз и Веб-Контроль.
  • Всегда проверять защищенные соединения. Kaspersky Endpoint Security проверяет зашифрованный сетевой трафик, даже если компоненты защиты выключены.

Kaspersky Endpoint Security не проверяет защищенные соединения, установленные доверенными приложениями, для которых выключена проверка трафика. Также Kaspersky Endpoint Security не проверяет защищенные соединения из предустановленного списка доверенных сайтов. Предустановленный список доверенных сайтов составляют специалисты "Лаборатории Касперского". Этот список обновляется с антивирусными базами приложения. Вы можете просмотреть предустановленный список доверенных сайтов только в интерфейсе Kaspersky Endpoint Security. В консоли Kaspersky Security Center просмотреть список невозможно.

Доверенные корневые сертификаты

Список доверенных корневых сертификатов. Kaspersky Endpoint Security позволяет устанавливать доверенные корневые сертификаты на компьютеры пользователей, если, например, вам нужно развернуть новый центр сертификации. Приложение позволяет добавить сертификат в специальное хранилище сертификатов Kaspersky Endpoint Security. При этом сертификат будет доверенным только для приложения Kaspersky Endpoint Security. То есть пользователь будет иметь доступ к веб-сайту с новым сертификатом в браузере. Если другое приложение попытается получить доступ к веб-сайту, вы можете получить ошибку соединения из-за проблем с сертификатом. Для добавления сертификата в системное хранилище сертификатов, вы можете использовать групповые политики Active Directory.

При переходе на домен с недоверенным сертификатом
  • Разрешать. При переходе на домен с недоверенным сертификатом Kaspersky Endpoint Security разрешает установку сетевого соединения.

    При переходе на домен с недоверенным сертификатом в браузере, Kaspersky Endpoint Security отображает HTML-страницу с предупреждением и информацией о причине, по которой этот домен не рекомендован для посещения. По ссылке из HTML-страницы с предупреждением пользователь может получить доступ к запрошенному веб-ресурсу.

    Если стороннее приложение или служба устанавливает соединение с доменом с недоверенным сертификатом, Kaspersky Endpoint Security создаст собственный сертификат для проверки трафика. Новый сертификат будет иметь статус Недоверенный. Это нужно, чтобы предупредить стороннее приложение о недоверенном соединении, так как показать HTML-страницу в этом случае невозможно и соединение может быть установлено в фоновом режиме.

  • Блокировать соединение. При переходе на домен с недоверенным сертификатом Kaspersky Endpoint Security блокирует сетевое соединение. При переходе на домен с недоверенным сертификатом в браузере, Kaspersky Endpoint Security отображает HTML-страницу с информацией о причине, по которой переход на этот домен заблокирован.

В случае возникновения ошибки при проверке защищенного соединения
  • Блокировать соединение. Если выбран этот элемент, то при возникновении ошибки проверки защищенного соединения Kaspersky Endpoint Security блокирует это сетевое соединение.
  • Добавить домен в исключения. Если выбран этот элемент, то при возникновении ошибки проверки защищенного соединения Kaspersky Endpoint Security добавляет домен, при переходе на который возникла ошибка, в список доменов с ошибками проверки и не контролирует зашифрованный сетевой трафик при переходе на этот домен. Вы можете просмотреть список доменов с ошибками проверки защищенных соединений только в локальном интерфейсе приложения. Чтобы сбросить содержание списка, нужно выбрать элемент Блокировать соединение. Также Kaspersky Endpoint Security формирует событие об ошибке проверки защищенного соединения.

Блокировать соединения по протоколу SSL 2.0 (рекомендуется)

Если флажок установлен, то приложение блокирует сетевые соединения, устанавливаемые по протоколу SSL 2.0.

Если флажок снят, то приложение не блокирует сетевые соединения, устанавливаемые по протоколу SSL 2.0, и не контролирует сетевой трафик, передаваемый по этим соединениям.

Расшифровать защищенное соединение с сайтом, использующим EV-сертификат

EV-сертификаты (англ. Extended Validation Certificate) подтверждают подлинность веб-сайтов и повышают безопасность соединения. Браузеры сообщают о наличии на веб-сайте EV-сертификата с помощью значка замка в адресной строке браузера. Также браузеры могут полностью или частично окрашивать адресную строку в зеленый цвет.

Если флажок установлен, приложение расшифровывает и контролирует защищенные соединения с EV-сертификатом.

Если флажок снят, приложение не имеет доступа к содержанию HTTPS-трафика. Поэтому приложение контролирует HTTPS-трафик только по адресу веб-сайта, например, https://bing.com.

Если вы впервые открываете веб-сайт с EV-сертификатом, защищенное соединение будет расшифровано независимо от того, установлен флажок или нет.

Доверенные адреса

Список веб-адресов, для которых Kaspersky Endpoint Security не проверяет сетевые соединения. Вы можете ввести имя домена или IP-адрес. Kaspersky Endpoint Security поддерживает символ * для ввода маски в имени домена.

Kaspersky Endpoint Security не поддерживает символ * для IP-адресов. Вы можете выбрать диапазон IP-адресов с помощью маски подсети (например, 198.51.100.0/24).

Примеры:

  • domain.com – запись включает в себя следующие адреса: https://domain.com, https://www.domain.com, https://domain.com/page123. Запись исключает поддомены (например, subdomain.domain.com).
  • subdomain.domain.com – запись включает в себя следующие адреса: https://subdomain.domain.com, https://subdomain.domain.com/page123. Запись исключает домен domain.com.
  • *.domain.com – запись включает в себя следующие адреса: https://movies.domain.com, https://images.domain.com/page123. Запись исключает домен domain.com.

Доверенные программы

Список приложений, активность которых приложение Kaspersky Endpoint Security не проверяет в процессе своей работы. Вы можете выбрать виды активности приложения, которые приложение Kaspersky Endpoint Security не будет контролировать (например, не проверять сетевой трафик). Приложение Kaspersky Endpoint Security поддерживает переменные среды и символы * и ? для ввода маски.

Использовать выбранное хранилище сертификатов для проверки защищенных соединений в приложениях Mozilla

(доступен только в интерфейсе Kaspersky Endpoint Security)

Если флажок установлен, приложение проверяет зашифрованный трафик в браузере Mozilla Firefox и почтовом клиенте Thunderbird. Доступ к некоторым сайтам по протоколу HTTPS может быть заблокирован.

Для проверки трафика в браузере Mozilla Firefox и почтовом клиенте Thunderbird должна быть включена проверка защищенных соединений. Если проверка защищенных соединений выключена, приложение не проверяет трафик в браузере Mozilla Firefox и почтовом клиенте Thunderbird.

Приложение расшифровывает и анализирует зашифрованный трафик с помощью корневого сертификата "Лаборатории Касперского". Вы можете выбрать хранилище сертификатов, в котором будет находиться корневой сертификат "Лаборатории Касперского":

  • Использовать хранилище сертификатов Windows (рекомендуется). Это хранилище, в которое корневой сертификат "Лаборатории Касперского" добавляется при установке приложения Kaspersky Endpoint Security.
  • Использовать хранилище сертификатов Mozilla. Приложения Mozilla Firefox и Thunderbird используют собственное хранилище сертификатов. Если выбрано хранилище сертификатов Mozilla, корневой сертификат "Лаборатории Касперского" нужно добавить в это хранилище вручную через свойства браузера.

См. также об управлении программой через локальный интерфейс

Мониторинг активности пользователей в интернете

Использование прокси-сервера при обновлении

Контроль сетевых портов

Формирование списка контролируемых сетевых портов

Проверка защищенных соединений

Включение проверки защищенных соединений

Формирование списка доверенных веб-адресов

Формирование списка доверенных приложений

Проверка защищенных соединений в Firefox и Thunderbird
В начало

[Topic 178492]

Интерфейс

Вы можете настроить параметры интерфейса приложения.

Параметры интерфейса

Параметр

Описание

Взаимодействие с пользователем

(доступен только в консоли Kaspersky Security Center)

С упрощенным интерфейсом. На клиентском компьютере недоступно главное окно приложения, а доступен только значок в области уведомлений Windows. В контекстном меню значка пользователь может выполнять ограниченный список операций с Kaspersky Endpoint Security. Также Kaspersky Endpoint Security показывает уведомления над значком приложения.

С полным интерфейсом. На клиентском компьютере доступно главное окно Kaspersky Endpoint Security и значок в области уведомлений Windows. В контекстном меню значка пользователь может выполнять операции c Kaspersky Endpoint Security. Также Kaspersky Endpoint Security показывает уведомления над значком приложения.

Скрыть раздел Мониторинг активности программ. На клиентском компьютере в главном окне Kaspersky Endpoint Security недоступна кнопка Мониторинг активности приложений. Мониторинг активности приложений – это инструмент, предназначенный для просмотра информации об активности приложений на компьютере пользователя в режиме реального времени.

Без интерфейса. На клиентском компьютере не отображается никаких признаков работы Kaspersky Endpoint Security. Также недоступны значок в области уведомлений Windows и уведомления.

Настройка уведомлений

Таблица с параметрами уведомлений о событиях различного уровня важности, которые могут происходить во время работы компонента или приложения в целом, а также выполнения задачи. Уведомления об этих событиях Kaspersky Endpoint Security выводит на экран, доставляет по электронной почте или сохраняет в журналы.

Настройка почтовых уведомлений

Параметры SMTP-сервера для рассылки оповещений о событиях, регистрируемых при работе приложения.

Отображать состояние приложения в области уведомлений

Категории событий приложения, при возникновении которых меняется значок Kaspersky Endpoint Security в области уведомлений панели задач Microsoft Windows ( или ).

Уведомления о состоянии локальных антивирусных баз

Параметры уведомлений о неактуальности антивирусных баз, которые использует приложение.

Защита паролем

Если переключатель включен, Kaspersky Endpoint Security запрашивает пароль при попытке пользователя совершить операцию, входящую в область действия Защиты паролем. Область действия Защиты паролем включает в себя запрещенные операции (например, выключение компонентов защиты) и учетные записи пользователей, на которые распространяется область действия Защиты паролем.

После включения Защиты паролем Kaspersky Endpoint Security предлагает задать пароль для выполнения операций.

Веб-ресурсы Службы технической поддержки

(доступен только в консоли Kaspersky Security Center)

Список ссылок на веб-сайты с информацией о технической поддержке приложения Kaspersky Endpoint Security. Добавленные ссылки отображаются в окне Поддержка локального интерфейса Kaspersky Endpoint Security вместо стандартных ссылок.

Сообщение пользователю

(доступен только в консоли Kaspersky Security Center)

Сообщение, которое отображается в окне Поддержка локального интерфейса Kaspersky Endpoint Security.

См. также об управлении программой через локальный интерфейс

Упрощенный интерфейс приложения

Защита паролем
В начало

[Topic 201016]

Управление настройками

Вы можете сохранить текущие параметры работы Kaspersky Endpoint Security в файл и использовать их для быстрой настройки приложения на другом компьютере. Также вы можете использовать конфигурационный файл при развертывании приложения через Kaspersky Security Center при помощи инсталляционного пакета. Вы можете в любой момент вернуться к параметрам по умолчанию.

Параметры управления настройками приложения доступны только в интерфейсе Kaspersky Endpoint Security.

Параметры управления настройками приложения

Настройка

Описание

Импортировать

Извлечь настройки работы приложения из файла формата CFG и применить их.

Экспортировать

Сохранить текущие настройки работы приложения в файл формата CFG.

Восстановить

Вы в любое время можете восстановить настройки приложения, рекомендуемые "Лабораторией Касперского". В результате восстановления настроек для всех компонентов защиты будет установлен уровень безопасности Рекомендуемый.

См. также об управлении программой через локальный интерфейс

Создание и использование конфигурационного файла

Восстановление параметров приложения по умолчанию

Создание инсталляционного пакета
В начало

[Topic 199174]

Обновление баз и модулей приложения

Обновление баз и модулей приложения Kaspersky Endpoint Security обеспечивает актуальность защиты компьютера. Каждый день в мире появляются новые вирусы и другие приложения, представляющие угрозу. Информация об угрозах и способах их нейтрализации содержится в базах Kaspersky Endpoint Security. Чтобы своевременно обнаруживать угрозы, вам нужно регулярно обновлять базы и модули приложения.

Для регулярного обновления требуется действующая лицензия на использование приложения. Если лицензия отсутствует, вы сможете выполнить обновление только один раз.

Основным источником обновлений Kaspersky Endpoint Security служат серверы обновлений "Лаборатории Касперского".

Для успешной загрузки пакета обновлений с серверов обновлений "Лаборатории Касперского" компьютер должен быть подключен к интернету. По умолчанию параметры подключения к интернету определяются автоматически. Если вы используете прокси-сервер, требуется настроить параметры прокси-сервера.

Загрузка обновлений осуществляется по протоколу HTTPS. Загрузка по протоколу HTTP может осуществляться в случае, когда загрузка обновлений по протоколу HTTPS невозможна.

В процессе обновления на ваш компьютер загружаются и устанавливаются следующие объекты:

  • Базы Kaspersky Endpoint Security. Защита компьютера обеспечивается на основании баз данных, содержащих сигнатуры вирусов и других приложений, представляющих угрозу, и информацию о способах борьбы с ними. Компоненты защиты используют эту информацию при поиске и обезвреживании зараженных файлов на компьютере. Базы регулярно пополняются записями о появляющихся угрозах и способах борьбы с ними. Поэтому рекомендуется регулярно обновлять базы.

    Наряду с базами Kaspersky Endpoint Security обновляются сетевые драйверы, обеспечивающие функциональность для перехвата сетевого трафика компонентами защиты.

  • Модули приложения. Помимо баз Kaspersky Endpoint Security, можно обновлять и модули приложения. Обновления модулей приложения устраняют уязвимости Kaspersky Endpoint Security, добавляют новые функции или улучшают существующие.

В процессе обновления базы и модули приложения на вашем компьютере сравниваются с их актуальной версией, расположенной в источнике обновлений. Если текущие базы и модули приложения отличаются от актуальной версии, на компьютер устанавливается недостающая часть обновлений.

Вместе с обновлением модулей приложения может быть обновлена и контекстная справка приложения.

Если базы сильно устарели, то пакет обновлений может иметь значительный размер и создать дополнительный интернет-трафик (до нескольких десятков мегабайт).

Информация о текущем состоянии баз Kaspersky Endpoint Security отображается в главном окне приложения или в подсказке при наведении курсора на значок приложения в области уведомлений.

Информация о результатах обновления и обо всех событиях, произошедших при выполнении задачи обновления, записывается в отчет Kaspersky Endpoint Security.

Параметры обновления баз и модулей приложения

Параметр

Описание

Расписание обновления баз

Автоматически. Режим запуска задачи обновления, при котором приложение Kaspersky Endpoint Security проверяет наличие пакета обновлений в источнике обновлений с определенной периодичностью. Частота проверки наличия пакета обновлений увеличивается во время вирусных эпидемий и сокращается при их отсутствии. Обнаружив свежий пакет обновлений, приложение Kaspersky Endpoint Security скачивает его и устанавливает обновления на компьютер.

Вручную. Этот режим запуска задачи обновления позволяет вам запускать задачу обновления вручную.

По расписанию. Режим запуска задачи обновления, при котором приложение Kaspersky Endpoint Security выполняет задачу обновления по сформированному вами расписанию. Если выбран этот режим запуска задачи обновления, вы также можете запускать задачу обновления приложения Kaspersky Endpoint Security вручную.

Запускать пропущенные задачи

Если флажок установлен, Kaspersky Endpoint Security запускает пропущенную задачу обновления, как только это станет возможным. Задача обновления может быть пропущена, например, если в установленное время запуска задачи обновления был выключен компьютер.

Если флажок снят, Kaspersky Endpoint Security не запускает пропущенные задачи обновления, а выполняет следующую задачу обновления по установленному расписанию.

Источник обновлений

Источник обновлений – это ресурс, содержащий обновления баз и модулей приложения Kaspersky Endpoint Security.

Источником обновлений могут быть сервер Kaspersky Security Center, серверы обновлений "Лаборатории Касперского", сетевая или локальная папка.

По умолчанию список источников обновлений содержит сервер Kaspersky Security Center и серверы обновлений "Лаборатории Касперского". Вы можете добавлять в список другие источники обновлений. В качестве источников обновлений можно указывать HTTP- или FTP-серверы, папки общего доступа.

Kaspersky Endpoint Security не поддерживает загрузку обновлений с HTTPS-серверов, если это не серверы обновлений "Лаборатории Касперского".

Если в качестве источников обновлений выбрано несколько ресурсов, в процессе обновления Kaspersky Endpoint Security обращается к ним строго по списку и выполняет задачу обновления, используя пакет обновлений первого доступного источника обновлений.

Запускать обновление баз с правами

По умолчанию задача обновления приложения Kaspersky Endpoint Security запускается от имени пользователя, с правами которого вы зарегистрированы в операционной системе. Однако обновление приложения Kaspersky Endpoint Security может производиться из источника обновления, к которому у пользователя нет прав доступа (например, из папки общего доступа, содержащей пакет обновлений) или для которого не настроено использование аутентификации на прокси-сервере. Вы можете указать пользователя, обладающего этими правами, в параметрах приложения и запускать задачу обновления приложения Kaspersky Endpoint Security от имени этого пользователя.

Загружать обновления модулей приложения

Загрузка обновлений модулей приложения с обновлениями баз приложения.

Если флажок установлен, то Kaspersky Endpoint Security уведомляет пользователя о доступных обновлениях модулей приложения и во время выполнения задачи обновления включает обновления модулей приложения в пакет обновлений. При этом применение обновлений модулей приложения определяется следующими параметрами:

  • Устанавливать критические и одобренные обновления. Если выбран этот вариант, то при наличии обновлений модулей приложения Kaspersky Endpoint Security устанавливает критические обновления автоматически, а остальные обновления модулей приложения – после одобрения их установки, локально через интерфейс приложения или на стороне Kaspersky Security Center.
  • Устанавливать только одобренные обновления. Если выбран этот вариант, то при наличии обновлений модулей приложения Kaspersky Endpoint Security устанавливает их после одобрения их установки, локально через интерфейс приложения или на стороне Kaspersky Security Center. Этот вариант выбран по умолчанию.

Если флажок не установлен, то Kaspersky Endpoint Security не уведомляет пользователя о доступных обновлениях модулей приложения и во время выполнения задачи обновления не включает обновления модулей приложения в пакет обновлений.

Если обновление модулей приложения предполагает ознакомление и согласие с положениями Лицензионного соглашения, то приложение устанавливает обновление после согласия с положениями Лицензионного соглашения.

По умолчанию флажок установлен.

Копировать обновления в папку

Если флажок установлен, то Kaspersky Endpoint Security копирует пакет обновлений в папку общего доступа, указанную под флажком. Тогда остальные компьютеры локальной сети организации смогут получать пакет обновлений из папки общего доступа. Это позволяет уменьшить интернет-трафик, так как пакет обновлений загружается только один раз. По умолчанию задана следующая папка: C:\ProgramData\Kaspersky Lab\KES.21.7\Update distribution\.

Прокси-сервер для обновлений

(доступен только в интерфейсе Kaspersky Endpoint Security)

Параметры прокси-сервера для доступа пользователей клиентских компьютеров в интернет для обновления баз и модулей приложения.

Для автоматической настройки прокси-сервера Kaspersky Endpoint Security использует протокол WPAD (Web Proxy Auto-Discovery Protocol). В случае если по этому протоколу не удается определить IP-адрес прокси-сервера, Kaspersky Endpoint Security использует адрес прокси-сервера, указанный в параметрах браузера Microsoft Internet Explorer.

Не использовать прокси-сервер для локальных адресов

(доступен только в интерфейсе Kaspersky Endpoint Security)

Если флажок установлен, то при обновлении Kaspersky Endpoint Security из папки общего доступа прокси-сервер не используется.

В начало

[Topic 193496]

Приложение 2. Группы доверия приложений

Все приложения, запускаемые на компьютере, Kaspersky Endpoint Security распределяет на группы доверия. Приложения распределяются на группы доверия в зависимости от степени угрозы, которую эти приложения могут представлять для операционной системы.

Существуют следующие группы доверия:

  • Доверенные. В группу входят приложения, для которых выполняется одно или более следующих условий:
    • Приложения обладают цифровой подписью доверенных производителей.
    • О приложениях есть записи в базе доверенных приложений Kaspersky Security Network.
    • Пользователь поместил приложение в группу "Доверенные".

    Запрещенных операций для таких приложений нет.

  • Слабые ограничения. В группу входят приложения, для которых выполняются следующие условия:
    • Приложения не обладают цифровой подписью доверенных производителей.
    • О приложениях нет записей в базе доверенных приложений Kaspersky Security Network.
    • Пользователь поместил приложение в группу "Слабые ограничения".

    Такие приложения имеют минимальные ограничения на работу с ресурсами операционной системы.

  • Сильные ограничения. В группу входят приложения, для которых выполняются следующие условия:
    • Приложения не обладают цифровой подписью доверенных производителей.
    • О приложениях нет записей в базе доверенных приложений Kaspersky Security Network.
    • Пользователь поместил приложение в группу "Сильные ограничения".

    Такие приложения имеют значительные ограничения на работу с ресурсами операционной системы.

  • Недоверенные. В группу входят приложения, для которых выполняются следующие условия:
    • Приложения не обладают цифровой подписью доверенных производителей.
    • О приложениях нет записей в базе доверенных приложений Kaspersky Security Network.
    • Пользователь поместил приложение в группу "Недоверенные".

    Для таких приложений запрещены все операции.

В начало

[Topic 39925]

Приложение 3. Расширения файлов для быстрой проверки съемных дисков

com – исполняемый файл приложения размером не более 64 КБ;

exe – исполняемый файл, самораспаковывающийся архив;

sys – системный файл Microsoft Windows;

prg – текст приложения dBase, Clipper или Microsoft Visual FoxPro, приложение пакета WAVmaker;

bin – бинарный файл;

bat – файл пакетного задания;

cmd – командный файл Microsoft Windows NT (аналогичен bat-файлу для DOS), OS/2;

dpl – упакованная библиотека Borland Delphi;

dll – библиотека динамической загрузки;

scr – файл-заставка экрана Microsoft Windows;

cpl – модуль панели управления (control panel) в Microsoft Windows;

ocx – объект Microsoft OLE (Object Linking and Embedding);

tsp – приложение, работающее в режиме разделения времени;

drv – драйвер некоторого устройства;

vxd – драйвер виртуального устройства Microsoft Windows;

pif – файл с информацией о приложении;

lnk – файл-ссылка в Microsoft Windows;

reg – файл регистрации ключей системного реестра Microsoft Windows;

ini – файл конфигурации, который содержит данные настроек для Microsoft Windows, Windows NT и некоторых приложений;

cla – класс Java;

vbs – скрипт Visual Basic;

vbe – видеорасширение BIOS;

js, jse – исходный текст JavaScript;

htm – гипертекстовый документ;

htt – гипертекстовая заготовка Microsoft Windows;

hta – гипертекстовое приложение для Microsoft Internet Explorer;

asp – скрипт Active Server Pages;

chm – скомпилированный HTML-файл;

pht – HTML-файл со встроенными скриптами PHP;

php – скрипт, встраиваемый в HTML-файлы;

wsh – файл Microsoft Windows Script Host;

wsf – скрипт Microsoft Windows;

the – файл заставки для рабочего стола Microsoft Windows 95;

hlp – файл справки формата Win Help;

eml – сообщение электронной почты Microsoft Outlook Express;

nws – новое сообщение электронной почты Microsoft Outlook Express;

msg – сообщение электронной почты Microsoft Mail;

plg – сообщение электронной почты;

mbx – сохраненное сообщение электронной почты Microsoft Office Outlook;

doc* – документы Microsoft Office Word, такие как: doc – документ Microsoft Office Word, docx – документ Microsoft Office Word 2007 с поддержкой языка XML, docm – документ Microsoft Office Word 2007 с поддержкой макросов;

dot* – шаблоны документа Microsoft Office Word, такие как: dot – шаблон документа Microsoft Office Word, dotx – шаблон документа Microsoft Office Word 2007, dotm – шаблон документа Microsoft Office Word 2007 с поддержкой макросов;

fpm – приложение баз данных, стартовый файл Microsoft Visual FoxPro;

rtf – документ в формате Rich Text Format;

shs – фрагмент Windows Shell Scrap Object Handler;

dwg – база данных чертежей AutoCAD;

msi – пакет Microsoft Windows Installer;

otm – VBA-проект для Microsoft Office Outlook;

pdf – документ Adobe Acrobat;

swf – объект пакета Shockwave Flash;

jpg, jpeg – файл графического формата хранения сжатых изображений;

emf – файл формата Enhanced Metafile;

ico – файл значка объекта;

ov? – исполняемые файлы Microsoft Office Word;

xl* – документы и файлы Microsoft Office Excel, такие как: xla – расширение Microsoft Office Excel, xlc – диаграмма, xlt – шаблон документа, xlsx – рабочая книга Microsoft Office Excel 2007, xltm – рабочая книга Microsoft Office Excel 2007 с поддержкой макросов, xlsb – рабочая книга Microsoft Office Excel 2007 в бинарном (не XML) формате, xltx – шаблон Microsoft Office Excel 2007, xlsm – шаблон Microsoft Office Excel 2007 с поддержкой макросов, xlam – надстройка Microsoft Office Excel 2007 с поддержкой макросов;

pp* – документы и файлы Microsoft Office PowerPoint, такие как: pps – слайд Microsoft Office PowerPoint, ppt – презентация, pptx – презентация Microsoft Office PowerPoint 2007, pptm – презентация Microsoft Office PowerPoint 2007 с поддержкой макросов, potx – шаблон презентации Microsoft Office PowerPoint 2007, potm – шаблон презентации Microsoft Office PowerPoint 2007 с поддержкой макросов, ppsx – слайд-шоу Microsoft Office PowerPoint 2007, ppsm – слайд-шоу Microsoft Office PowerPoint 2007 с поддержкой макросов, ppam – надстройка Microsoft Office PowerPoint 2007 с поддержкой макросов;

md* – документы и файлы Microsoft Office Access, такие как: mda – рабочая группа Microsoft Office Access, mdb – база данных;

sldx – слайд Microsoft Office PowerPoint 2007;

sldm – слайд Microsoft Office PowerPoint 2007 с поддержкой макросов;

thmx – тема Microsoft Office 2007.

 

В начало

[Topic 39921]

Приложение 4. Типы файлов для фильтра вложений Защиты от почтовых угроз

Следует помнить, что фактический формат файла может не совпадать с форматом, указанным в расширении файла.

Если вы включили фильтрацию вложений в сообщениях электронной почты, то в результате фильтрации компонент Защита от почтовых угроз может переименовывать или удалять файлы следующих расширений:

com – исполняемый файл приложения размером не более 64 КБ;

exe – исполняемый файл, самораспаковывающийся архив;

sys – системный файл Microsoft Windows;

prg – текст приложения dBase, Clipper или Microsoft Visual FoxPro, приложение пакета WAVmaker;

bin – бинарный файл;

bat – файл пакетного задания;

cmd – командный файл Microsoft Windows NT (аналогичен bat-файлу для DOS), OS/2;

dpl – упакованная библиотека Borland Delphi;

dll – библиотека динамической загрузки;

scr – файл-заставка экрана Microsoft Windows;

cpl – модуль панели управления (control panel) в Microsoft Windows;

ocx – объект Microsoft OLE (Object Linking and Embedding);

tsp – приложение, работающее в режиме разделения времени;

drv – драйвер некоторого устройства;

vxd – драйвер виртуального устройства Microsoft Windows;

pif – файл с информацией о приложении;

lnk – файл-ссылка в Microsoft Windows;

reg – файл регистрации ключей системного реестра Microsoft Windows;

ini – файл конфигурации, который содержит данные настроек для Microsoft Windows, Windows NT и некоторых приложений;

cla – класс Java;

vbs – скрипт Visual Basic;

vbe – видеорасширение BIOS;

js, jse – исходный текст JavaScript;

htm – гипертекстовый документ;

htt – гипертекстовая заготовка Microsoft Windows;

hta – гипертекстовое приложение для Microsoft Internet Explorer;

asp – скрипт Active Server Pages;

chm – скомпилированный HTML-файл;

pht – HTML-файл со встроенными скриптами PHP;

php – скрипт, встраиваемый в HTML-файлы;

wsh – файл Microsoft Windows Script Host;

wsf – скрипт Microsoft Windows;

the – файл заставки для рабочего стола Microsoft Windows 95;

hlp – файл справки формата Win Help;

eml – сообщение электронной почты Microsoft Outlook Express;

nws – новое сообщение электронной почты Microsoft Outlook Express;

msg – сообщение электронной почты Microsoft Mail;

plg – сообщение электронной почты;

mbx – сохраненное сообщение электронной почты Microsoft Office Outlook;

doc* – документы Microsoft Office Word, такие как: doc – документ Microsoft Office Word, docx – документ Microsoft Office Word 2007 с поддержкой языка XML, docm – документ Microsoft Office Word 2007 с поддержкой макросов;

dot* – шаблоны документа Microsoft Office Word, такие как: dot – шаблон документа Microsoft Office Word, dotx – шаблон документа Microsoft Office Word 2007, dotm – шаблон документа Microsoft Office Word 2007 с поддержкой макросов;

fpm – приложение баз данных, стартовый файл Microsoft Visual FoxPro;

rtf – документ в формате Rich Text Format;

shs – фрагмент Windows Shell Scrap Object Handler;

dwg – база данных чертежей AutoCAD;

msi – пакет Microsoft Windows Installer;

otm – VBA-проект для Microsoft Office Outlook;

pdf – документ Adobe Acrobat;

swf – объект пакета Shockwave Flash;

jpg, jpeg – файл графического формата хранения сжатых изображений;

emf – файл формата Enhanced Metafile;

ico – файл значка объекта;

ov? – исполняемые файлы Microsoft Office Word;

xl* – документы и файлы Microsoft Office Excel, такие как: xla – расширение Microsoft Office Excel, xlc – диаграмма, xlt – шаблон документа, xlsx – рабочая книга Microsoft Office Excel 2007, xltm – рабочая книга Microsoft Office Excel 2007 с поддержкой макросов, xlsb – рабочая книга Microsoft Office Excel 2007 в бинарном (не XML) формате, xltx – шаблон Microsoft Office Excel 2007, xlsm – шаблон Microsoft Office Excel 2007 с поддержкой макросов, xlam – надстройка Microsoft Office Excel 2007 с поддержкой макросов;

pp* – документы и файлы Microsoft Office PowerPoint, такие как: pps – слайд Microsoft Office PowerPoint, ppt – презентация, pptx – презентация Microsoft Office PowerPoint 2007, pptm – презентация Microsoft Office PowerPoint 2007 с поддержкой макросов, potx – шаблон презентации Microsoft Office PowerPoint 2007, potm – шаблон презентации Microsoft Office PowerPoint 2007 с поддержкой макросов, ppsx – слайд-шоу Microsoft Office PowerPoint 2007, ppsm – слайд-шоу Microsoft Office PowerPoint 2007 с поддержкой макросов, ppam – надстройка Microsoft Office PowerPoint 2007 с поддержкой макросов;

md* – документы и файлы Microsoft Office Access, такие как: mda – рабочая группа Microsoft Office Access, mdb – база данных;

sldx – слайд Microsoft Office PowerPoint 2007;

sldm – слайд Microsoft Office PowerPoint 2007 с поддержкой макросов;

thmx – тема Microsoft Office 2007.

 

В начало

[Topic 202507]

Приложение 5. Сетевые параметры для взаимодействия с внешними службами

Приложение Kaspersky Endpoint Security использует следующие сетевые параметры для взаимодействия с внешними службами.

Сетевые параметры

Адрес

Описание

activation-v2.kaspersky.com/activationservice/activationservice.svc

Протокол: HTTPS

Порт: 443

Активация приложения.

s00.upd.kaspersky.com

s01.upd.kaspersky.com

s02.upd.kaspersky.com

s03.upd.kaspersky.com

s04.upd.kaspersky.com

s05.upd.kaspersky.com

s06.upd.kaspersky.com

s07.upd.kaspersky.com

s08.upd.kaspersky.com

s09.upd.kaspersky.com

s10.upd.kaspersky.com

s11.upd.kaspersky.com

s12.upd.kaspersky.com

s13.upd.kaspersky.com

s14.upd.kaspersky.com

s15.upd.kaspersky.com

s16.upd.kaspersky.com

s17.upd.kaspersky.com

s18.upd.kaspersky.com

s19.upd.kaspersky.com

cm.k.kaspersky-labs.com

Протокол: HTTPS

Порт: 443

Обновление баз и модулей приложения.

downloads.upd.kaspersky.com

Протокол: HTTPS

Порт: 443
  • Обновление баз и модулей приложения.
  • Проверка доступа к серверам "Лаборатории Касперского". При сбоях доступа к серверам через системный DNS приложение будет использовать публичный DNS. Это нужно для обновления антивирусных баз и поддержки уровня безопасности компьютера. Приложение Kaspersky Endpoint Security будет использовать следующие публичные DNS в порядке их обхода:
    1. Google Public DNS (8.8.8.8).
    2. Cloudflare DNS (1.1.1.1).
    3. Alibaba Cloud DNS (223.6.6.6).
    4. Quad9 DNS (9.9.9.9).
    5. CleanBrowsing (185.228.168.168).

Запросы приложения могут содержать адреса доменов и внешний IP-адрес пользователя, так как приложение устанавливает с DNS-сервером TCP/UDP-соединение. Эти данные нужны, например, для проверки сертификата веб-ресурса при обращении по HTTPS. Если приложение Kaspersky Endpoint Security использует публичный DNS-сервер, правила обработки данных регламентируются Политикой конфиденциальности этого сервиса. Если требуется запретить приложению Kaspersky Endpoint Security использовать публичный DNS-сервер, обратитесь в Службу технической поддержки за приватным патчем.

touch.kaspersky.com

Протокол: HTTP
  • Получение доверенного времени для проверки срока действия сертификата (TLS-соединение).
  • Предупреждение о запрете доступа к веб-ресурсу в браузере при работе Защиты от веб-угроз.

p00.upd.kaspersky.com

p01.upd.kaspersky.com

p02.upd.kaspersky.com

p03.upd.kaspersky.com

p04.upd.kaspersky.com

p05.upd.kaspersky.com

p06.upd.kaspersky.com

p07.upd.kaspersky.com

p08.upd.kaspersky.com

p09.upd.kaspersky.com

p10.upd.kaspersky.com

p11.upd.kaspersky.com

p12.upd.kaspersky.com

p13.upd.kaspersky.com

p14.upd.kaspersky.com

p15.upd.kaspersky.com

p16.upd.kaspersky.com

p17.upd.kaspersky.com

p18.upd.kaspersky.com

p19.upd.kaspersky.com

downloads.kaspersky-labs.com

cm.k.kaspersky-labs.com

Протокол: HTTP

Порт: 80

Обновление баз и модулей приложения.

ds.kaspersky.com

Протокол: HTTPS

Порт: 443

Использование Kaspersky Security Network.

ksn-a-stat-geo.kaspersky-labs.com

ksn-file-geo.kaspersky-labs.com

ksn-verdict-geo.kaspersky-labs.com

ksn-url-geo.kaspersky-labs.com

ksn-a-p2p-geo.kaspersky-labs.com

ksn-info-geo.kaspersky-labs.com

ksn-cinfo-geo.kaspersky-labs.com

Протокол: Any

Порт: 443, 1443

Использование Kaspersky Security Network.

click.kaspersky.com

redirect.kaspersky.com

Протокол: HTTPS

Переход по ссылкам из интерфейса.

Параметры, использующиеся для шифрования

Адрес

Описание

crl.kaspersky.com

ocsp.kaspersky.com

Протокол: HTTP

Порт: 80

Инфраструктура открытых ключей (англ. Public Key Infrastructure – PKI).

В начало

[Topic 214871]

Приложение 6. События приложения

Информация о работе каждого компонента Kaspersky Endpoint Security, о событиях шифрования данных, о выполнении каждой задачи проверки, задачи обновления и задачи проверки целостности, а также о работе приложения в целом сохраняется в журнале событий Kaspersky Security Center и журнале событий Windows.

Kaspersky Endpoint Security формирует события следующих типов: общие и специфические события. Специфические события создает только приложение Kaspersky Endpoint Security для Windows. Специфические события имеют простой идентификатор, например, 000000cb. Специфические события содержат следующие обязательные параметры:

  • GNRL_EA_DESCRIPTION – содержание события.
  • GNRL_EA_ID – служебный идентификатор события.
  • GNRL_EA_SEVERITY – статус события. 1 – Информационное сообщение , 2 – Предупреждение , 3 – Отказ функционирования , 4 – Критическое .
  • EVENT_TYPE_DISPLAY_NAME – заголовок события.
  • TASK_DISPLAY_NAME – название компонента приложения, который инициировал событие.

Общие события, кроме Kaspersky Endpoint Security для Windows, могут создавать и другие приложения "Лаборатории Касперского" (например, Kaspersky Security для Windows Server). Общие события имеют более сложный идентификатор, например, GNRL_EV_VIRUS_FOUND. Общие события кроме обязательных параметров содержат еще дополнительные параметры.

Развернуть всё | Свернуть всё

Критические события

Нарушено Лицензионное соглашение

Статус

Компонент

Системный аудит

Идентификатор события Windows

201

Идентификатор события Kaspersky Security Center

GNRL_EV_LICENSE_EXPIRATION

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Срок действия лицензии почти истек

Статус

Компонент

Системный аудит

Идентификатор события Windows

203

Идентификатор события Kaspersky Security Center

000000cb

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Базы повреждены или отсутствуют

Статус

Компонент

Системный аудит

Идентификатор события Windows

206

Идентификатор события Kaspersky Security Center

000000ce

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Базы сильно устарели

Статус

Компонент

Системный аудит

Идентификатор события Windows

207

Идентификатор события Kaspersky Security Center

000000cf

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Автозапуск программы выключен

Статус

Компонент

Системный аудит

Идентификатор события Windows

209

Идентификатор события Kaspersky Security Center

000000d1

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Ошибка активации

Статус

Компонент

Системный аудит

Идентификатор события Windows

229

Идентификатор события Kaspersky Security Center

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Обнаружена активная угроза. Требуется запуск процедуры лечения активного заражения

Статус

Компонент

Системный аудит

Идентификатор события Windows

231

Идентификатор события Kaspersky Security Center

000000e7

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Серверы KSN недоступны

Статус

Компонент

Системный аудит

Идентификатор события Windows

2023

Идентификатор события Kaspersky Security Center

000007e7

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Недостаточно места в хранилище карантина

Статус

Компонент

Системный аудит

Идентификатор события Windows

343

Идентификатор события Kaspersky Security Center

00000157

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Объект не восстановлен из карантина

Статус

Компонент

Системный аудит

Идентификатор события Windows

346

Идентификатор события Kaspersky Security Center

0000015a

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Объект не удален из карантина

Статус

Компонент

Системный аудит

Идентификатор события Windows

348

Идентификатор события Kaspersky Security Center

0000015c

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Установлено соединение с доменом с недоверенным сертификатом

Статус

Компонент

Системный аудит

Идентификатор события Windows

57

Идентификатор события Kaspersky Security Center

00000039

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Возникла ошибка проверки зашифрованного соединения. Домен добавлен в список исключений

Статус

Компонент

Системный аудит

Идентификатор события Windows

60

Идентификатор события Kaspersky Security Center

0000003c

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Обнаружен вредоносный объект (локальные базы)

Статус

Компонент

Защита от файловых угроз

Защита от веб-угроз

Защита от почтовых угроз

AMSI-защита

Предотвращение вторжений

Анализ поведения

Защита от эксплойтов

Антивирусная проверка

Идентификатор события Windows

302

Идентификатор события Kaspersky Security Center

GNRL_EV_VIRUS_FOUND

Параметры события
  • GNRL_EA_PARAM_1 – хеш объекта (SHA256).
  • GNRL_EA_PARAM_2 – название объекта.
  • GNRL_EA_PARAM_5 – название угрозы по классификации "Лаборатории Касперского", например, EICAR-Test-File.
  • GNRL_EA_PARAM_7 – имя сессионного пользователя.
  • GNRL_EA_PARAM_8 – тип угрозы, например, Trojware.
  • GNRL_EA_PARAM_9 – дополнительная информация об обнаружении объекта:

    Компонент приложения (

    engine
    ).

    Технология обнаружения угроз (

    method
    ).

    Угроза обнаружена с помощью Локального KSN (blacklist): true или false.

    Версия EDR.

    Идентификатор угрозы в EDR.

    Хеш объекта MD5.

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Обнаружен вредоносный объект (KSN)

Статус

Компонент

Защита от файловых угроз

Защита от веб-угроз

Защита от почтовых угроз

AMSI-защита

Предотвращение вторжений

Анализ поведения

Защита от эксплойтов

Антивирусная проверка

Идентификатор события Windows

302

Идентификатор события Kaspersky Security Center

GNRL_EV_VIRUS_FOUND_BY_KSN

Параметры события
  • GNRL_EA_PARAM_1 – хеш объекта (SHA256).
  • GNRL_EA_PARAM_2 – название объекта.
  • GNRL_EA_PARAM_5 – название угрозы по классификации "Лаборатории Касперского", например, EICAR-Test-File.
  • GNRL_EA_PARAM_7 – имя сессионного пользователя.
  • GNRL_EA_PARAM_8 – тип угрозы, например, Trojware.
  • GNRL_EA_PARAM_9 – дополнительная информация об обнаружении объекта:

    Компонент приложения (engine).

    Технология обнаружения угроз (method).

    Угроза обнаружена с помощью Локального KSN (blacklist): true или false.

    Версия EDR.

    Идентификатор угрозы в EDR.

    Хеш объекта MD5.

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Лечение невозможно

Статус

Компонент

Защита от файловых угроз

Защита от почтовых угроз

Предотвращение вторжений

Антивирусная проверка

Идентификатор события Windows

312

Идентификатор события Kaspersky Security Center

GNRL_EV_OBJECT_NOTCURED

Параметры события
  • GNRL_EA_PARAM_1 – хеш объекта (SHA256).
  • GNRL_EA_PARAM_2 – название объекта.
  • GNRL_EA_PARAM_5 – название угрозы по классификации "Лаборатории Касперского", например, EICAR-Test-File.
  • GNRL_EA_PARAM_7 – имя сессионного пользователя.
  • GNRL_EA_PARAM_8 – тип угрозы, например, Trojware.
  • GNRL_EA_PARAM_9 – дополнительная информация об обнаружении объекта:

    Компонент приложения (engine).

    Технология обнаружения угроз (method).

    Угроза обнаружена с помощью Локального KSN (blacklist): true или false.

    Версия EDR.

    Идентификатор угрозы в EDR.

    Хеш объекта MD5.

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Невозможно удалить

Статус

Компонент

Защита от файловых угроз

Предотвращение вторжений

Анализ поведения

Антивирусная проверка

Идентификатор события Windows

313

Идентификатор события Kaspersky Security Center

00000139

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Ошибка обработки

Статус

Компонент

Защита от файловых угроз

Защита от веб-угроз

Защита от почтовых угроз

Предотвращение вторжений

AMSI-защита

Антивирусная проверка

Идентификатор события Windows

317

Идентификатор события Kaspersky Security Center

0000013d

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Процесс завершен

Статус

Компонент

Защита от файловых угроз

Предотвращение вторжений

Анализ поведения

Антивирусная проверка

Идентификатор события Windows

452

Идентификатор события Kaspersky Security Center

000001c4

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Невозможно завершить процесс

Статус

Компонент

Защита от файловых угроз

Предотвращение вторжений

Анализ поведения

Антивирусная проверка

Идентификатор события Windows

453

Идентификатор события Kaspersky Security Center

000001c5

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Заблокирована опасная ссылка

Статус

Компонент

Защита от веб-угроз

Идентификатор события Windows

362

Идентификатор события Kaspersky Security Center

GNRL_EV_VIRUS_FOUND_AND_BLOCKED

Параметры события
  • GNRL_EA_PARAM_2 – путь к объекту.
  • GNRL_EA_PARAM_5 – название угрозы по классификации "Лаборатории Касперского".
  • GNRL_EA_PARAM_7 – имя сессионного пользователя.
  • GNRL_EA_PARAM_8 – тип угрозы, например, Trojware.
  • GNRL_EA_PARAM_9 – дополнительная информация об обнаружении объекта:

    Компонент приложения (engine).

    Технология обнаружения угроз (method).

    Угроза обнаружена с помощью Локального KSN (blacklist): true или false.

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Открыта опасная ссылка

Статус

Компонент

Защита от веб-угроз

Идентификатор события Windows

363

Идентификатор события Kaspersky Security Center

GNRL_EV_VIRUS_FOUND_AND_REPORTED

Параметры события
  • GNRL_EA_PARAM_2 – путь к объекту.
  • GNRL_EA_PARAM_5 – название угрозы по классификации "Лаборатории Касперского".
  • GNRL_EA_PARAM_7 – имя сессионного пользователя.
  • GNRL_EA_PARAM_8 – тип угрозы, например, Trojware.
  • GNRL_EA_PARAM_9 – дополнительная информация об обнаружении объекта:

    Компонент приложения (engine).

    Технология обнаружения угроз (method).

    Угроза обнаружена с помощью Локального KSN (blacklist): true или false.

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Обнаружена ранее открытая опасная ссылка

Статус

Компонент

Защита от веб-угроз

Идентификатор события Windows

1201

Идентификатор события Kaspersky Security Center

GNRL_EV_VIRUS_FOUND_AND_PASSED

Параметры события
  • GNRL_EA_PARAM_2 – путь к объекту.
  • GNRL_EA_PARAM_5 – название угрозы по классификации "Лаборатории Касперского".
  • GNRL_EA_PARAM_7 – имя сессионного пользователя.
  • GNRL_EA_PARAM_8 – тип угрозы, например, Trojware.
  • GNRL_EA_PARAM_9 – дополнительная информация об обнаружении объекта:

    Компонент приложения (engine).

    Технология обнаружения угроз (method).

    Угроза обнаружена с помощью Локального KSN (blacklist): true или false.

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Действие процесса заблокировано

Статус

Компонент

Адаптивный контроль аномалий

Идентификатор события Windows

2200

Идентификатор события Kaspersky Security Center

GNRL_EV_ADSEC_DETECT

Параметры события
  • GNRL_EA_PARAM_1 – название правила Адаптивного контроля аномалий.
  • GNRL_EA_PARAM_2 – идентификатор эвристического правила.
  • GNRL_EA_PARAM_3 – имя сессионного пользователя.
  • GNRL_EA_PARAM_4 – исходный процесс.
  • GNRL_EA_PARAM_5 – исходный объект.
  • GNRL_EA_PARAM_6 – целевой процесс.
  • GNRL_EA_PARAM_7 – целевой объект.
  • GNRL_EA_PARAM_8 – дополнительная информация об обнаружении объекта:

    Хеш-суммы исходного процесса / объекта и целевого процесса / объекта.

    Блокирование процесса (verdict_type): true или false.

    Идентификатор безопасности пользователя (SID).

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Клавиатура не авторизована

Статус

Компонент

Защита от атак BadUSB

Идентификатор события Windows

2051

Идентификатор события Kaspersky Security Center

00000803

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

AMSI-запрос заблокирован

Статус

Компонент

AMSI-защита

Идентификатор события Windows

2200

Идентификатор события Kaspersky Security Center

00000898

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Сетевая активность запрещена

Статус

Компонент

Сетевой экран

Идентификатор события Windows

602

Идентификатор события Kaspersky Security Center

00000329

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Обнаружена сетевая атака

Статус

Компонент

Защита от сетевых угроз

Идентификатор события Windows

651

Идентификатор события Kaspersky Security Center

GNRL_EV_ATTACK_DETECTED

Параметры события
  • GNRL_EA_PARAM_1 – название атаки.
  • GNRL_EA_PARAM_2 – протокол.
  • GNRL_EA_PARAM_3 – IP-адрес компьютера, с которого осуществляется сетевая атака. IP-адрес указан в порядке байтов хоста. Например, 2886729929 для 172.16.0.201.
  • GNRL_EA_PARAM_4 – номер порта.
  • GNRL_EA_PARAM_5 – IPv6-адрес, например, 12B012B012B012B012B012B012B012B0.
  • GNRL_EA_PARAM_6 – IP-адрес компьютера, на который осуществляется сетевая атака. IP-адрес указан в порядке байтов хоста. Например, 2886729929 для 172.16.0.201.

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Запуск приложения запрещен

Статус

Компонент

Контроль приложений

Идентификатор события Windows

702

Идентификатор события Kaspersky Security Center

GNRL_EV_APPLICATION_LAUNCH_DENIED

Параметры события
  • GNRL_EA_PARAM_2 – имя сессионного пользователя.
  • GNRL_EA_PARAM_3 – идентификатор категории, созданной вручную.
  • GNRL_EA_PARAM_4 – идентификатор категории приложений.
  • GNRL_EA_PARAM_5 – информация о цифровой подписи приложения.
  • GNRL_EA_PARAM_6 – имя исполняемого файла приложения (например, chrome.exe).
  • GNRL_EA_PARAM_7 – путь к исполняемому файлу.
  • GNRL_EA_PARAM_8 – хеш объекта (SHA256).
  • GNRL_EA_PARAM_9 – версия приложения, которую пользователь пытается запустить.

     

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Запрещенный процесс был запущен до старта Kaspersky Endpoint Security для Windows

Статус

Компонент

Контроль приложений

Идентификатор события Windows

710

Идентификатор события Kaspersky Security Center

000002c6

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Доступ запрещен (локальные базы)

Статус

Компонент

Веб-Контроль

Идентификатор события Windows

752

Идентификатор события Kaspersky Security Center

GNRL_EV_WEB_URL_BLOCKED

Параметры события
  • GNRL_EA_PARAM_1 – URL-адрес.
  • GNRL_EA_PARAM_2 – имя сессионного пользователя.
  • GNRL_EA_PARAM_3 – название правила Веб-Контроля.

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Доступ запрещен (KSN)

Статус

Компонент

Веб-Контроль

Идентификатор события Windows

752

Идентификатор события Kaspersky Security Center

GNRL_EV_WEB_URL_BLOCKED_BY_KSN

Параметры события
  • GNRL_EA_PARAM_1 – URL-адрес.
  • GNRL_EA_PARAM_2 – имя сессионного пользователя.
  • GNRL_EA_PARAM_3 – название правила Веб-Контроля.

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Операция с устройством запрещена

Статус

Компонент

Контроль устройств

Идентификатор события Windows

802

Идентификатор события Kaspersky Security Center

GNRL_EV_DEVCTRL_DEV_PLUG_DENIED

Параметры события
  • GNRL_EA_PARAM_1 – идентификатор устройства (англ. Hardware ID – HWID).
  • GNRL_EA_PARAM_2 – имя сессионного пользователя.

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Сетевое соединение заблокировано

Статус

Компонент

Контроль устройств

Идентификатор события Windows

809

Идентификатор события Kaspersky Security Center

00000329

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Ошибка обновления компонента

Статус

Компонент

Обновление баз

Идентификатор события Windows

1011

Идентификатор события Kaspersky Security Center

000003f3

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Ошибка копирования обновлений компонента

Статус

Компонент

Обновление баз

Идентификатор события Windows

1012

Идентификатор события Kaspersky Security Center

000003f4

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Локальная ошибка обновления

Статус

Компонент

Обновление баз

Идентификатор события Windows

1014

Идентификатор события Kaspersky Security Center

000003f6

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Сетевая ошибка обновления

Статус

Компонент

Обновление баз

Идентификатор события Windows

1015

Идентификатор события Kaspersky Security Center

000003f7

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Невозможен запуск двух задач одновременно

Статус

Компонент

Обновление баз

Идентификатор события Windows

1017

Идентификатор события Kaspersky Security Center

000003f9

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Ошибка проверки баз и модулей приложения

Статус

Компонент

Обновление баз

Идентификатор события Windows

1018

Идентификатор события Kaspersky Security Center

000003fa

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Ошибка взаимодействия с Kaspersky Security Center

Статус

Компонент

Обновление баз

Идентификатор события Windows

1019

Идентификатор события Kaspersky Security Center

000003fb

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Обновлены не все компоненты

Статус

Компонент

Обновление баз

Идентификатор события Windows

1021

Идентификатор события Kaspersky Security Center

000003fd

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Обновление завершено успешно, а копирование обновлений завершено с ошибкой

Статус

Компонент

Обновление баз

Идентификатор события Windows

1023

Идентификатор события Kaspersky Security Center

000003ff

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Внутренняя ошибка задачи

Статус

Компонент

Системный аудит

Идентификатор события Windows

101

Идентификатор события Kaspersky Security Center

00000065

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Ошибка установки патча

Статус

Компонент

Обновление баз

Идентификатор события Windows

2153

Идентификатор события Kaspersky Security Center

00000869

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Ошибка отката патча

Статус

Компонент

Обновление баз

Идентификатор события Windows

2156

Идентификатор события Kaspersky Security Center

0000086c

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Ошибка применения правил шифрования / расшифровки файлов

Статус

Компонент

Шифрование данных

Идентификатор события Windows

904

Идентификатор события Kaspersky Security Center

00000388

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Ошибка шифрования / расшифровки файла

Статус

Компонент

Шифрование данных

Идентификатор события Windows

912

Идентификатор события Kaspersky Security Center

GNRL_EV_ENCRYPTION_ERROR

Параметры события
  • GNRL_EA_PARAM_1 – путь к файлу.
  • GNRL_EA_PARAM_2 – причина ошибки.
  • GNRL_EA_PARAM_3 – тип устройства.

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Заблокирован доступ к файлу

Статус

Компонент

Шифрование данных

Идентификатор события Windows

940

Идентификатор события Kaspersky Security Center

GNRL_EV_ENCRYPTION_DATAACCESS_VIOLATION

Параметры события
  • GNRL_EA_PARAM_1 – целевой объект.
  • GNRL_EA_PARAM_2 – имя сессионного пользователя.
  • GNRL_EA_PARAM_3 – имя исполняемого файла приложения (например, chrome.exe), которое пытается получить доступ к файлу.

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Ошибка активации портативного режима

Статус

Компонент

Шифрование данных

Идентификатор события Windows

951

Идентификатор события Kaspersky Security Center

000003b7

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Ошибка деактивации портативного режима

Статус

Компонент

Шифрование данных

Идентификатор события Windows

953

Идентификатор события Kaspersky Security Center

000003b9

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Ошибка создания зашифрованного архива

Статус

Компонент

Шифрование данных

Идентификатор события Windows

931

Идентификатор события Kaspersky Security Center

000003a3

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Ошибка шифрования / расшифровки устройства

Статус

Компонент

Шифрование данных

Идентификатор события Windows

1305

Идентификатор события Kaspersky Security Center

00000519

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Не удалось загрузить модуль шифрования

Статус

Компонент

Шифрование данных

Идентификатор события Windows

1311

Идентификатор события Kaspersky Security Center

0000051f

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Задача управления учетными записями Агента аутентификации завершилась ошибкой

Статус

Компонент

Шифрование данных

Идентификатор события Windows

1340

Идентификатор события Kaspersky Security Center

0000053c

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Политика не может быть применена

Статус

Компонент

Системный аудит

Идентификатор события Windows

1312

Идентификатор события Kaspersky Security Center

00000520

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Обновление функциональности шифрования завершено с ошибкой

Статус

Компонент

Шифрование данных

Идентификатор события Windows

1342

Идентификатор события Kaspersky Security Center

0000053e

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Откат обновления функциональности шифрования завершен с ошибкой (более подробная информация доступна в онлайн-справке для Kaspersky Endpoint Security для Windows)

Статус

Компонент

Шифрование данных

Идентификатор события Windows

1344

Идентификатор события Kaspersky Security Center

00000540

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Сервер Kaspersky Anti Targeted Attack Platform недоступен

Статус

Компонент

Endpoint Sensor

Идентификатор события Windows

2100

Идентификатор события Kaspersky Security Center

00000834

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Ошибка удаления объекта

Статус

Компонент

Kaspersky Sandbox

Идентификатор события Windows

2252

Идентификатор события Kaspersky Security Center

000008cc

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Объект не помещен на карантин (Kaspersky Sandbox)

Статус

Компонент

Kaspersky Sandbox

Идентификатор события Windows

2603

Идентификатор события Kaspersky Security Center

00000a2b

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Возникла внутренняя ошибка

Статус

Компонент

Kaspersky Sandbox

Идентификатор события Windows

2607

Идентификатор события Kaspersky Security Center

00000a2f

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Сертификат сервера Kaspersky Sandbox недействителен

Статус

Компонент

Kaspersky Sandbox

Идентификатор события Windows

2613

Идентификатор события Kaspersky Security Center

00000a35

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Узел Kaspersky Sandbox не доступен

Статус

Компонент

Kaspersky Sandbox

Идентификатор события Windows

2614

Идентификатор события Kaspersky Security Center

00000a36

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Обработка объекта в Kaspersky Sandbox завершилась с ошибкой

Статус

Компонент

Kaspersky Sandbox

Идентификатор события Windows

2617

Идентификатор события Kaspersky Security Center

00000a39

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Превышена допустимая нагрузка на Kaspersky Sandbox

Статус

Компонент

Kaspersky Sandbox

Идентификатор события Windows

2618

Идентификатор события Kaspersky Security Center

00000a3a

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

IOC обнаружен

Статус

Компонент

Endpoint Detection and Response

Идентификатор события Windows

2651

Идентификатор события Kaspersky Security Center

00000a5b

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Возникла ошибка при проверке лицензии Kaspersky Sandbox

Статус

Компонент

Kaspersky Sandbox

Идентификатор события Windows

2620

Идентификатор события Kaspersky Security Center

00000a3c

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Запрещен запуск объекта

Статус

Компонент

Endpoint Detection and Response

Идентификатор события Windows

2553

Идентификатор события Kaspersky Security Center

000009f9

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Запрещен запуск процесса

Статус

Компонент

Endpoint Detection and Response

Идентификатор события Windows

2551

Идентификатор события Kaspersky Security Center

000009f7

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Запрещено выполнение скрипта

Статус

Компонент

Endpoint Detection and Response

Идентификатор события Windows

2559

Идентификатор события Kaspersky Security Center

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Объект не помещен на карантин (Endpoint Detection and Response)

Статус

Компонент

Endpoint Detection and Response

Идентификатор события Windows

2556

Идентификатор события Kaspersky Security Center

000009fc

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Запуск процесса не заблокирован

Статус

Компонент

Endpoint Detection and Response

Идентификатор события Windows

2561

Идентификатор события Kaspersky Security Center

00000a01

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Объект не заблокирован

Статус

Компонент

Endpoint Detection and Response

Идентификатор события Windows

2562

Идентификатор события Kaspersky Security Center

00000a02

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Выполнение скрипта не заблокировано

Статус

Компонент

Endpoint Detection and Response

Идентификатор события Windows

2563

Идентификатор события Kaspersky Security Center

00000a03

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Ошибка изменения состава компонентов приложения

Статус

Компонент

Системный аудит

Идентификатор события Windows

1401

Идентификатор события Kaspersky Security Center

00000579

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Отказ функционирования

Не удалось выполнить задачу

Статус

Компонент

Системный аудит

Идентификатор события Windows

212

Идентификатор события Kaspersky Security Center

000000d4

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Ошибка в настройках задачи. Настройки задачи не применены

Статус

Компонент

Системный аудит

Идентификатор события Windows

707

Идентификатор события Kaspersky Security Center

000002c3

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Предупреждение

Обнаружено некорректное завершение предыдущей сессии работы приложения

Статус

Компонент

Системный аудит

Идентификатор события Windows

237

Идентификатор события Kaspersky Security Center

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Срок действия лицензии скоро истекает

Статус

Компонент

Системный аудит

Идентификатор события Windows

204

Идентификатор события Kaspersky Security Center

000000cc

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Базы устарели

Статус

Компонент

Системный аудит

Идентификатор события Windows

208

Идентификатор события Kaspersky Security Center

000000d0

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Автоматическое обновление выключено

Статус

Компонент

Системный аудит

Идентификатор события Windows

210

Идентификатор события Kaspersky Security Center

000000d2

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Самозащита программы выключена

Статус

Компонент

Системный аудит

Идентификатор события Windows

211

Идентификатор события Kaspersky Security Center

000000d3

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Компоненты защиты выключены

Статус

Компонент

Системный аудит

Идентификатор события Windows

214

Идентификатор события Kaspersky Security Center

000000d6

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Компьютер работает в безопасном режиме

Статус

Компонент

Системный аудит

Идентификатор события Windows

215

Идентификатор события Kaspersky Security Center

000000d7

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Есть необработанные файлы

Статус

Компонент

Системный аудит

Идентификатор события Windows

216

Идентификатор события Kaspersky Security Center

000000d8

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Применена групповая политика

Статус

Компонент

Системный аудит

Идентификатор события Windows

219

Идентификатор события Kaspersky Security Center

000000db

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Задача остановлена

Статус

Компонент

Системный аудит

Идентификатор события Windows

222

Идентификатор события Kaspersky Security Center

000000de

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Для завершения обновления необходимо перезапустить программу

Статус

Компонент

Системный аудит

Идентификатор события Windows

224

Идентификатор события Kaspersky Security Center

0000057b

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Необходима перезагрузка компьютера

Статус

Компонент

Системный аудит

Идентификатор события Windows

225

Идентификатор события Kaspersky Security Center

000000e1

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Установлены не все компоненты программы, которые позволяет использовать лицензия

Статус

Компонент

Системный аудит

Идентификатор события Windows

226

Идентификатор события Kaspersky Security Center

000000e2

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Запущена процедура лечения активного заражения

Статус

Компонент

Системный аудит

Идентификатор события Windows

232

Идентификатор события Kaspersky Security Center

000000e8

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Процедура лечения активного заражения завершена

Статус

Компонент

Системный аудит

Идентификатор события Windows

233

Идентификатор события Kaspersky Security Center

000000e9

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Некорректный резервный ключ

Статус

Компонент

Системный аудит

Идентификатор события Windows

230

Идентификатор события Kaspersky Security Center

000000e6

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Подписка скоро истекает

Статус

Компонент

Системный аудит

Идентификатор события Windows

240

Идентификатор события Kaspersky Security Center

000000f0

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Запрещено

Статус

Компонент

Анализ поведения

Защита от эксплойтов

Защита от веб-угроз

Идентификатор события Windows

331

Идентификатор события Kaspersky Security Center

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Невозможно восстановить объект из резервного хранилища

Статус

Компонент

Системный аудит

Идентификатор события Windows

336

Идентификатор события Kaspersky Security Center

00000150

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Обнаружена подозрительная сетевая активность

Статус

Компонент

Системный аудит

Идентификатор события Windows

2001

Идентификатор события Kaspersky Security Center

000007d1

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Защищенное соединение разорвано

Статус

Компонент

Системный аудит

Идентификатор события Windows

250

Идентификатор события Kaspersky Security Center

000007d3

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Участие в KSN выключено

Статус

Компонент

Системный аудит

Идентификатор события Windows

2021

Идентификатор события Kaspersky Security Center

000007e5

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Обработка программой некоторых функций ОС выключена

Статус

Компонент

Системный аудит

Идентификатор события Windows

245

Идентификатор события Kaspersky Security Center

000000f5

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

В хранилище карантина скоро закончится место

Статус

Компонент

Системный аудит

Идентификатор события Windows

344

Идентификатор события Kaspersky Security Center

00000158

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Сетевое соединение заблокировано

Статус

Компонент

Системный аудит

Идентификатор события Windows

809

Идентификатор события Kaspersky Security Center

00000abe

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Невозможно создать резервную копию объекта

Статус

Компонент

Защита от файловых угроз

Анализ поведения

Предотвращение вторжений

Антивирусная проверка

Идентификатор события Windows

310

Идентификатор события Kaspersky Security Center

00000136

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Объект не обработан

Статус

Компонент

Защита от файловых угроз

Защита от почтовых угроз

Предотвращение вторжений

AMSI-защита

Антивирусная проверка

Идентификатор события Windows

314

Идентификатор события Kaspersky Security Center

GNRL_EV_OBJECT_REPORTED

Параметры события
  • GNRL_EA_PARAM_1 – хеш объекта (SHA256).
  • GNRL_EA_PARAM_2 – название объекта.
  • GNRL_EA_PARAM_5 – название угрозы по классификации "Лаборатории Касперского", например, EICAR-Test-File.
  • GNRL_EA_PARAM_7 – имя сессионного пользователя.
  • GNRL_EA_PARAM_8 – тип угрозы, например, Trojware.
  • GNRL_EA_PARAM_9 – дополнительная информация об обнаружении объекта:

    Компонент приложения (engine).

    Технология обнаружения угроз (method).

    Угроза обнаружена с помощью Локального KSN (blacklist): true или false.

    Версия EDR.

    Идентификатор угрозы в EDR.

    Хеш объекта MD5.

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Объект зашифрован

Статус

Компонент

Предотвращение вторжений

Идентификатор события Windows

320

Идентификатор события Kaspersky Security Center

00000140

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Объект поврежден

Статус

Компонент

Защита от файловых угроз

Защита от веб-угроз

Защита от почтовых угроз

AMSI-защита

Предотвращение вторжений

Антивирусная проверка

Идентификатор события Windows

321

Идентификатор события Kaspersky Security Center

00000141

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Обнаружена легальная программа, которая может быть использована злоумышленником для нанесения вреда компьютеру или данным пользователя (локальные базы)

Статус

Компонент

Защита от файловых угроз

Защита от веб-угроз

Защита от почтовых угроз

Предотвращение вторжений

AMSI-защита

Анализ поведения

Антивирусная проверка

Идентификатор события Windows

303

Идентификатор события Kaspersky Security Center

GNRL_EV_SUSPICIOUS_OBJECT_FOUND

Параметры события
  • GNRL_EA_PARAM_1 – хеш объекта (SHA256).
  • GNRL_EA_PARAM_2 – название объекта.
  • GNRL_EA_PARAM_5 – название угрозы по классификации "Лаборатории Касперского", например, EICAR-Test-File.
  • GNRL_EA_PARAM_7 – имя сессионного пользователя.
  • GNRL_EA_PARAM_8 – тип угрозы, например, Trojware.

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Обнаружена легальная программа, которая может быть использована злоумышленником для нанесения вреда компьютеру или данным пользователя (KSN)

Статус

Компонент

Защита от файловых угроз

Защита от веб-угроз

Защита от почтовых угроз

Предотвращение вторжений

AMSI-защита

Анализ поведения

Антивирусная проверка

Идентификатор события Windows

303

Идентификатор события Kaspersky Security Center

GNRL_EV_SUSPICIOUS_OBJECT_FOUND

Параметры события
  • GNRL_EA_PARAM_1 – хеш объекта (SHA256).
  • GNRL_EA_PARAM_2 – название объекта.
  • GNRL_EA_PARAM_5 – название угрозы по классификации "Лаборатории Касперского", например, EICAR-Test-File.
  • GNRL_EA_PARAM_7 – имя сессионного пользователя.
  • GNRL_EA_PARAM_8 – тип угрозы, например, Trojware.

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Объект удален

Статус

Компонент

Защита от файловых угроз

Защита от почтовых угроз

Предотвращение вторжений

Защита от эксплойтов

Анализ поведения

Антивирусная проверка

Идентификатор события Windows

307

Идентификатор события Kaspersky Security Center

GNRL_EV_OBJECT_DELETED

Параметры события
  • GNRL_EA_PARAM_1 – хеш объекта (SHA256).
  • GNRL_EA_PARAM_2 – название объекта.
  • GNRL_EA_PARAM_5 – название угрозы по классификации "Лаборатории Касперского", например, EICAR-Test-File.
  • GNRL_EA_PARAM_7 – имя сессионного пользователя.
  • GNRL_EA_PARAM_8 – тип угрозы, например, Trojware.
  • GNRL_EA_PARAM_9 – дополнительная информация об обнаружении объекта:

    Компонент приложения (engine).

    Технология обнаружения угроз (method).

    Угроза обнаружена с помощью Локального KSN (blacklist): true или false.

    Версия EDR.

    Идентификатор угрозы в EDR.

    Хеш объекта MD5.

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Объект вылечен

Статус

Компонент

Защита от файловых угроз

Защита от почтовых угроз

Предотвращение вторжений

Антивирусная проверка

Идентификатор события Windows

306

Идентификатор события Kaspersky Security Center

GNRL_EV_OBJECT_CURED

Параметры события
  • GNRL_EA_PARAM_1 – хеш объекта (SHA256).
  • GNRL_EA_PARAM_2 – название объекта.
  • GNRL_EA_PARAM_5 – название угрозы по классификации "Лаборатории Касперского", например, EICAR-Test-File.
  • GNRL_EA_PARAM_7 – имя сессионного пользователя.
  • GNRL_EA_PARAM_8 – тип угрозы, например, Trojware.
  • GNRL_EA_PARAM_9 – дополнительная информация об обнаружении объекта:

    Компонент приложения (engine).

    Технология обнаружения угроз (method).

    Угроза обнаружена с помощью Локального KSN (blacklist): true или false.

    Версия EDR.

    Идентификатор угрозы в EDR.

    Хеш объекта MD5.

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Объект будет вылечен при перезагрузке

Статус

Компонент

Предотвращение вторжений

Защита от файловых угроз

Антивирусная проверка

Идентификатор события Windows

324

Идентификатор события Kaspersky Security Center

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Объект будет удален при перезагрузке

Статус

Компонент

Анализ поведения

Защита от эксплойтов

Предотвращение вторжений

Защита от файловых угроз

Антивирусная проверка

Идентификатор события Windows

323

Идентификатор события Kaspersky Security Center

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Объект удален в соответствии с настройками

Статус

Компонент

Защита от почтовых угроз

Идентификатор события Windows

342

Идентификатор события Kaspersky Security Center

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Откат выполнен

Статус

Компонент

Защита от файловых угроз

Анализ поведения

Защита от эксплойтов

Антивирусная проверка

Идентификатор события Windows

455

Идентификатор события Kaspersky Security Center

000001c7

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Загрузка объекта запрещена

Статус

Компонент

Защита от веб-угроз

Идентификатор события Windows

341

Идентификатор события Kaspersky Security Center

GNRL_EV_OBJECT_BLOCKED

Параметры события
  • GNRL_EA_PARAM_1 – хеш объекта (SHA256).
  • GNRL_EA_PARAM_2 – название объекта.
  • GNRL_EA_PARAM_5 – название угрозы по классификации "Лаборатории Касперского", например, EICAR-Test-File.
  • GNRL_EA_PARAM_7 – имя сессионного пользователя.
  • GNRL_EA_PARAM_8 – тип угрозы, например, Trojware.
  • GNRL_EA_PARAM_9 – дополнительная информация об обнаружении объекта:

    Компонент приложения (engine).

    Технология обнаружения угроз (method).

    Угроза обнаружена с помощью Локального KSN (blacklist): true или false.

    Версия EDR.

    Идентификатор угрозы в EDR.

    Хеш объекта MD5.

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Ошибка авторизации клавиатуры

Статус

Компонент

Защита от атак BadUSB

Идентификатор события Windows

2052

Идентификатор события Kaspersky Security Center

00000804

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Результат проверки объекта передан стороннему приложению

Статус

Компонент

AMSI-защита

Идентификатор события Windows

1512

Идентификатор события Kaspersky Security Center

GNRL_EV_OBJECT_REPORTED

Параметры события
  • GNRL_EA_PARAM_1 – хеш объекта (SHA256).
  • GNRL_EA_PARAM_2 – название объекта.
  • GNRL_EA_PARAM_5 – название угрозы по классификации "Лаборатории Касперского", например, EICAR-Test-File.
  • GNRL_EA_PARAM_7 – имя сессионного пользователя.
  • GNRL_EA_PARAM_8 – тип угрозы, например, Trojware.
  • GNRL_EA_PARAM_9 – дополнительная информация об обнаружении объекта:

    Компонент приложения (engine).

    Технология обнаружения угроз (method).

    Угроза обнаружена с помощью Локального KSN (blacklist): true или false.

    Версия EDR.

    Идентификатор угрозы в EDR.

    Хеш объекта MD5.

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Настройки задачи успешно применены

Статус

Компонент

Контроль приложений

Идентификатор события Windows

708

Идентификатор события Kaspersky Security Center

000002c4

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Предупреждение о нежелательном содержимом (локальные базы)

Статус

Компонент

Веб-Контроль

Идентификатор события Windows

708

Идентификатор события Kaspersky Security Center

GNRL_EV_WEB_URL_WARNING

Параметры события
  • GNRL_EA_PARAM_1 – URL-адрес.
  • GNRL_EA_PARAM_2 – имя сессионного пользователя.
  • GNRL_EA_PARAM_3 – название правила Веб-Контроля.

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Предупреждение о нежелательном содержимом (KSN)

Статус

Компонент

Веб-Контроль

Идентификатор события Windows

708

Идентификатор события Kaspersky Security Center

GNRL_EV_WEB_URL_WARNING

Параметры события
  • GNRL_EA_PARAM_1 – URL-адрес.
  • GNRL_EA_PARAM_2 – имя сессионного пользователя.
  • GNRL_EA_PARAM_3 – название правила Веб-Контроля.

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Осуществлен доступ к нежелательному содержимому после предупреждения

Статус

Компонент

Веб-Контроль

Идентификатор события Windows

754

Идентификатор события Kaspersky Security Center

000002f2

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Активирован временный доступ к устройству

Статус

Компонент

Контроль устройств

Идентификатор события Windows

803

Идентификатор события Kaspersky Security Center

000002f2

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Операция отменена пользователем

Статус

Компонент

Обновление баз

Идентификатор события Windows

1016

Идентификатор события Kaspersky Security Center

000003f8

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Пользователь отказался от политики шифрования

Статус

Компонент

Шифрование данных

Идентификатор события Windows

1306

Идентификатор события Kaspersky Security Center

0000051a

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Прервано применение правил шифрования / расшифровки файлов

Статус

Компонент

Шифрование данных

Идентификатор события Windows

903

Идентификатор события Kaspersky Security Center

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Операция шифрования / расшифровки файла прервана

Статус

Компонент

Шифрование данных

Идентификатор события Windows

914

Идентификатор события Kaspersky Security Center

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Приостановка шифрования / расшифровки устройства

Статус

Компонент

Шифрование данных

Идентификатор события Windows

1303

Идентификатор события Kaspersky Security Center

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Не удалось установить или обновить драйверы Kaspersky Disk Encryption в образе среды восстановления Windows

Статус

Компонент

Шифрование данных

Идентификатор события Windows

1345

Идентификатор события Kaspersky Security Center

00000541

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Неуспешная проверка подписи модуля

Статус

Компонент

Проверка целостности

Идентификатор события Windows

2002

Идентификатор события Kaspersky Security Center

000007d2

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Запуск программы был заблокирован

Статус

Компонент

Endpoint Sensor

Идентификатор события Windows

2105

Идентификатор события Kaspersky Security Center

00000839

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Открытие документа было заблокировано

Статус

Компонент

Endpoint Sensor

Идентификатор события Windows

2106

Идентификатор события Kaspersky Security Center

0000083a

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Процесс завершен администратором сервера Kaspersky Anti Targeted Attack Platform

Статус

Компонент

Endpoint Sensor

Идентификатор события Windows

2112

Идентификатор события Kaspersky Security Center

00000840

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Работа приложения завершена администратором сервера Kaspersky Anti Targeted Attack Platform

Статус

Компонент

Endpoint Sensor

Идентификатор события Windows

2113

Идентификатор события Kaspersky Security Center

00000841

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Файл или стрим удален администратором сервера Kaspersky Anti Targeted Attack Platform

Статус

Компонент

Endpoint Sensor

Идентификатор события Windows

2111

Идентификатор события Kaspersky Security Center

0000083f

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Файл восстановлен из карантина сервера Kaspersky Anti Targeted Attack Platform администратором

Статус

Компонент

Endpoint Sensor

Идентификатор события Windows

2110

Идентификатор события Kaspersky Security Center

0000083e

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Файл помещен на карантин сервера Kaspersky Anti Targeted Attack Platform администратором

Статус

Компонент

Endpoint Sensor

Идентификатор события Windows

2109

Идентификатор события Kaspersky Security Center

0000083d

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Сетевая активность приложений сторонних производителей заблокирована

Статус

Компонент

Endpoint Sensor

Идентификатор события Windows

2107

Идентификатор события Kaspersky Security Center

0000083b

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Сетевая активность приложений сторонних производителей разблокирована

Статус

Компонент

Endpoint Sensor

Идентификатор события Windows

2108

Идентификатор события Kaspersky Security Center

0000083c

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Объект будет удален после перезагрузки (Kaspersky Sandbox)

Статус

Компонент

Kaspersky Sandbox

Идентификатор события Windows

2605

Идентификатор события Kaspersky Security Center

00000a2d

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Суммарный размер задач проверки превысил максимальное значение

Статус

Компонент

Kaspersky Sandbox

Идентификатор события Windows

2612

Идентификатор события Kaspersky Security Center

00000a34

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Запуск объекта разрешен, событие записано в отчет

Статус

Компонент

Endpoint Detection and Response

Идентификатор события Windows

2553

Идентификатор события Kaspersky Security Center

000009fa

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Запуск процесса разрешен, событие записано в отчет

Статус

Компонент

Endpoint Detection and Response

Идентификатор события Windows

2554

Идентификатор события Kaspersky Security Center

000009f8

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Объект будет удален после перезагрузки (Endpoint Detection and Response)

Статус

Компонент

Endpoint Detection and Response

Идентификатор события Windows

2558

Идентификатор события Kaspersky Security Center

000009fe

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Сетевая изоляция

Статус

Компонент

Endpoint Detection and Response

Идентификатор события Windows

2700

Идентификатор события Kaspersky Security Center

00000a8c

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Завершение сетевой изоляции

Статус

Компонент

Endpoint Detection and Response

Идентификатор события Windows

2701

Идентификатор события Kaspersky Security Center

00000a8d

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Для завершения задачи требуется перезагрузка

Статус

Компонент

Системный аудит

Идентификатор события Windows

225

Идентификатор события Kaspersky Security Center

0000057b

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Сообщение администратору о запрете запуска программы

Статус

Компонент

Контроль приложений

Идентификатор события Windows

503

Идентификатор события Kaspersky Security Center

GNRL_EV_AC_USER_REQUEST

Параметры события
  • GNRL_EA_DESCRIPTION – сообщение пользователя.
  • GNRL_EA_PARAM_2 – имя сессионного пользователя.
  • GNRL_EA_PARAM_6 – имя исполняемого файла приложения (например, chrome.exe).
  • GNRL_EA_PARAM_7 – путь к исполняемому файлу.
  • GNRL_EA_PARAM_8 – хеш объекта (SHA256).
  • GNRL_EA_PARAM_9 – версия приложения, которую пользователь пытается запустить.

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Сообщение администратору о запрете доступа к устройству

Статус

Компонент

Контроль устройств

Идентификатор события Windows

804

Идентификатор события Kaspersky Security Center

GNRL_EV_DC_USER_REQUEST

Параметры события
  • c_er_descr – сообщение пользователя.
  • GNRL_EA_PARAM_1 – идентификатор устройства (англ. Hardware ID – HWID).
  • GNRL_EA_PARAM_2 – имя сессионного пользователя.

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Сообщение администратору о запрете доступа к веб-странице

Статус

Компонент

Веб-Контроль

Идентификатор события Windows

755

Идентификатор события Kaspersky Security Center

GNRL_EV_WC_USER_REQUEST

Параметры события
  • GNRL_EA_DESCRIPTION – сообщение пользователя.
  • GNRL_EA_PARAM_1 – URL-адрес.
  • GNRL_EA_PARAM_2 – имя сессионного пользователя.

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Подключение устройства заблокировано

Статус

Компонент

Контроль устройств

Идентификатор события Windows

807

Идентификатор события Kaspersky Security Center

GNRL_EV_DEVCTRL_DEV_PLUG_DENIED

Параметры события
  • GNRL_EA_PARAM_1 – идентификатор устройства (англ. Hardware ID – HWID).
  • GNRL_EA_PARAM_2 – имя сессионного пользователя.

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Сообщение администратору о запрете действия программы

Статус

Компонент

Адаптивный контроль аномалий

Идентификатор события Windows

503

Идентификатор события Kaspersky Security Center

GNRL_EV_ADSEC_USER_REQUEST

Параметры события
  • GNRL_EA_DESCRIPTION – сообщение пользователя.
  • GNRL_EA_PARAM_1 – название правила Адаптивного контроля аномалий.
  • GNRL_EA_PARAM_2 – идентификатор эвристического правила.
  • GNRL_EA_PARAM_3 – имя сессионного пользователя.
  • GNRL_EA_PARAM_4 – исходный процесс.
  • GNRL_EA_PARAM_5 – исходный объект.
  • GNRL_EA_PARAM_6 – целевой процесс.
  • GNRL_EA_PARAM_7 – целевой объект.
  • GNRL_EA_PARAM_8 – дополнительная информация об обнаружении объекта:

    Хеш-суммы исходного процесса / объекта и целевого процесса / объекта.

    Блокирование процесса (verdict_type): true или false.

    Идентификатор безопасности пользователя (SID).

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Информационное сообщение

Приложение запущено

Статус

Компонент

Системный аудит

Идентификатор события Windows

235

Идентификатор события Kaspersky Security Center

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Приложение остановлено

Статус

Компонент

Системный аудит

Идентификатор события Windows

236

Идентификатор события Kaspersky Security Center

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Действие с ресурсами программы заблокировано самозащитой

Статус

Компонент

Системный аудит

Идентификатор события Windows

213

Идентификатор события Kaspersky Security Center

000000d5

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Отчет очищен

Статус

Компонент

Системный аудит

Идентификатор события Windows

217

Идентификатор события Kaspersky Security Center

000000d9

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Групповая политика деактивирована

Статус

Компонент

Системный аудит

Идентификатор события Windows

220

Идентификатор события Kaspersky Security Center

000000dc

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Изменены настройки программы

Статус

Компонент

Системный аудит

Идентификатор события Windows

218

Идентификатор события Kaspersky Security Center

000000da

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Задача запущена

Статус

Компонент

Системный аудит

Идентификатор события Windows

221

Идентификатор события Kaspersky Security Center

000000dd

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Задача завершена

Статус

Компонент

Системный аудит

Идентификатор события Windows

223

Идентификатор события Kaspersky Security Center

000000df

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Все компоненты программы, которые допускает лицензия, установлены и работают в нормальном режиме

Статус

Компонент

Системный аудит

Идентификатор события Windows

227

Идентификатор события Kaspersky Security Center

000000e3

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Параметры подписки были изменены

Статус

Компонент

Системный аудит

Идентификатор события Windows

238

Идентификатор события Kaspersky Security Center

000000ee

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Подписка была продлена

Статус

Компонент

Системный аудит

Идентификатор события Windows

239

Идентификатор события Kaspersky Security Center

000000ef

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Объект восстановлен из резервного хранилища

Статус

Компонент

Системный аудит

Идентификатор события Windows

335

Идентификатор события Kaspersky Security Center

0000014f

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Ввод имени пользователя и пароля

Статус

Компонент

Системный аудит

Идентификатор события Windows

2000

Идентификатор события Kaspersky Security Center

000007d0

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Участие в KSN включено

Статус

Компонент

Системный аудит

Идентификатор события Windows

2020

Идентификатор события Kaspersky Security Center

000007e4

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Серверы KSN доступны

Статус

Компонент

Системный аудит

Идентификатор события Windows

2022

Идентификатор события Kaspersky Security Center

000007e6

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Программа работает и обрабатывает данные в соответствии с местным законодательством и использует локальную инфраструктуру

Статус

Компонент

Системный аудит

Идентификатор события Windows

2024

Идентификатор события Kaspersky Security Center

000007e8

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Объект восстановлен из карантина

Статус

Компонент

Системный аудит

Идентификатор события Windows

345

Идентификатор события Kaspersky Security Center

00000159

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Объект удален из карантина

Статус

Компонент

Системный аудит

Идентификатор события Windows

347

Идентификатор события Kaspersky Security Center

0000015b

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Создана резервная копия объекта

Статус

Компонент

Защита от файловых угроз

Защита от почтовых угроз

Анализ поведения

Предотвращение вторжений

Kaspersky Sandbox

Антивирусная проверка

Идентификатор события Windows

308

Идентификатор события Kaspersky Security Center

00000134

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Объект перезаписан вылеченной ранее копией

Статус

Компонент

Защита от файловых угроз

Предотвращение вторжений

Антивирусная проверка

Идентификатор события Windows

327

Идентификатор события Kaspersky Security Center

00000147

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Обнаружен защищенный паролем архив

Статус

Компонент

Защита от файловых угроз

Защита от веб-угроз

Защита от почтовых угроз

AMSI-защита

Предотвращение вторжений

Антивирусная проверка

Идентификатор события Windows

322

Идентификатор события Kaspersky Security Center

GNRL_EV_PASSWD_ARCHIVE_FOUND

Параметры события
  • GNRL_EA_PARAM_2 – имя объекта.
  • GNRL_EA_PARAM_3 – дата создания объекта (необязательный).
  • GNRL_EA_PARAM_7 – имя сессионного пользователя.
  • GNRL_EA_PARAM_9 – дополнительная информация об обнаружении объекта:

    Компонент приложения (engine).

    Технология обнаружения угроз (method).

    Угроза обнаружена с помощью Локального KSN (blacklist): true или false.

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Информация об обнаруженном объекте

Статус

Компонент

Защита от файловых угроз

Защита от веб-угроз

Защита от почтовых угроз

AMSI-защита

Предотвращение вторжений

Антивирусная проверка

Идентификатор события Windows

332

Идентификатор события Kaspersky Security Center

0000014c

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Объект находится в списке разрешенных в Локальном KSN

Статус

Компонент

Защита от файловых угроз

Защита от веб-угроз

Защита от почтовых угроз

AMSI-защита

Предотвращение вторжений

Антивирусная проверка

Идентификатор события Windows

340

Идентификатор события Kaspersky Security Center

00000154

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Объект переименован

Статус

Компонент

Защита от почтовых угроз

Защита от эксплойтов

Анализ поведения

Антивирусная проверка

Идентификатор события Windows

329

Идентификатор события Kaspersky Security Center

00000149

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Объект обработан

Статус

Компонент

Предотвращение вторжений

Защита от файловых угроз

Защита от веб-угроз

Защита от почтовых угроз

Антивирусная проверка

Идентификатор события Windows

301

Идентификатор события Kaspersky Security Center

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Объект пропущен

Статус

Компонент

Предотвращение вторжений

Защита от файловых угроз

AMSI-защита

Антивирусная проверка

Идентификатор события Windows

315

Идентификатор события Kaspersky Security Center

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Обнаружен архив

Статус

Компонент

Предотвращение вторжений

Защита от файловых угроз

Защита от веб-угроз

Защита от почтовых угроз

AMSI-защита

Антивирусная проверка

Идентификатор события Windows

318

Идентификатор события Kaspersky Security Center

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Обнаружен упакованный объект

Статус

Компонент

Предотвращение вторжений

Защита от файловых угроз

Защита от веб-угроз

Защита от почтовых угроз

AMSI-защита

Антивирусная проверка

Идентификатор события Windows

319

Идентификатор события Kaspersky Security Center

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Ссылка обработана

Статус

Компонент

Защита от веб-угроз

Идентификатор события Windows

361

Идентификатор события Kaspersky Security Center

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Запуск приложения разрешен

Статус

Компонент

Контроль приложений

Идентификатор события Windows

701

Идентификатор события Kaspersky Security Center

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Выбран источник обновлений

Статус

Компонент

Обновление баз

Идентификатор события Windows

1001

Идентификатор события Kaspersky Security Center

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Выбран прокси-сервер

Статус

Компонент

Обновление баз

Идентификатор события Windows

1002

Идентификатор события Kaspersky Security Center

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Ссылка находится в списке разрешенных в Локальном KSN

Статус

Компонент

Защита от веб-угроз

Идентификатор события Windows

370

Идентификатор события Kaspersky Security Center

00000172

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Программа помещена в группу доверенных программ

Статус

Компонент

Предотвращение вторжений

Идентификатор события Windows

401

Идентификатор события Kaspersky Security Center

00000191

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Программа помещена в группу с ограничениями

Статус

Компонент

Предотвращение вторжений

Идентификатор события Windows

402

Идентификатор события Kaspersky Security Center

00000192

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Сработал компонент Предотвращение вторжений

Статус

Компонент

Предотвращение вторжений

Идентификатор события Windows

403

Идентификатор события Kaspersky Security Center

00000193

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Файл восстановлен

Статус

Компонент

Анализ поведения

Защита от эксплойтов

Предотвращение вторжений

Идентификатор события Windows

457

Идентификатор события Kaspersky Security Center

000001c9

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Значение реестра восстановлено

Статус

Компонент

Анализ поведения

Защита от эксплойтов

Идентификатор события Windows

458

Идентификатор события Kaspersky Security Center

000001ca

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Значение реестра удалено

Статус

Компонент

Анализ поведения

Защита от эксплойтов

Идентификатор события Windows

459

Идентификатор события Kaspersky Security Center

000001cb

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Действие процесса пропущено

Статус

Компонент

Адаптивный контроль аномалий

Идентификатор события Windows

2201

Идентификатор события Kaspersky Security Center

GNRL_EV_ADSEC_DETECT

Параметры события
  • GNRL_EA_PARAM_1 – название правила Адаптивного контроля аномалий.
  • GNRL_EA_PARAM_2 – идентификатор эвристического правила.
  • GNRL_EA_PARAM_3 – имя сессионного пользователя.
  • GNRL_EA_PARAM_4 – исходный процесс.
  • GNRL_EA_PARAM_5 – исходный объект.
  • GNRL_EA_PARAM_6 – целевой процесс.
  • GNRL_EA_PARAM_7 – целевой объект.
  • GNRL_EA_PARAM_8 – дополнительная информация об обнаружении объекта:

    Хеш-суммы исходного процесса / объекта и целевого процесса / объекта.

    Блокирование процесса (verdict_type): true или false.

    Идентификатор безопасности пользователя (SID).

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Клавиатура авторизована

Статус

Компонент

Защита от атак BadUSB

Идентификатор события Windows

2050

Идентификатор события Kaspersky Security Center

00000802

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Сетевая активность разрешена

Статус

Компонент

Сетевой экран

Идентификатор события Windows

601

Идентификатор события Kaspersky Security Center

00000259

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Запуск программы запрещен в тестовом режиме

Статус

Компонент

Контроль приложений

Идентификатор события Windows

703

Идентификатор события Kaspersky Security Center

GNRL_EV_APP_LAUNCH_TESTED_DENIED

Параметры события
  • GNRL_EA_PARAM_2 – имя сессионного пользователя.
  • GNRL_EA_PARAM_3 – идентификатор категории, созданной вручную.
  • GNRL_EA_PARAM_4 – идентификатор безопасности учетной записи (англ. SID – Security Identifier).
  • GNRL_EA_PARAM_5 – информация о цифровой подписи приложения.
  • GNRL_EA_PARAM_6 – имя исполняемого файла приложения (например, chrome.exe).
  • GNRL_EA_PARAM_7 – путь к исполняемому файлу.
  • GNRL_EA_PARAM_8 – хеш объекта (SHA256).
  • GNRL_EA_PARAM_9 – версия приложения, которую пользователь пытается запустить.

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Запуск программы разрешен в тестовом режиме

Статус

Компонент

Контроль приложений

Идентификатор события Windows

704

Идентификатор события Kaspersky Security Center

GNRL_EV_APP_LAUNCH_TESTED_ALLOW

Параметры события
  • GNRL_EA_PARAM_2 – имя сессионного пользователя.
  • GNRL_EA_PARAM_3 – идентификатор категории, созданной вручную.
  • GNRL_EA_PARAM_4 – идентификатор безопасности учетной записи (англ. SID – Security Identifier).
  • GNRL_EA_PARAM_5 – информация о цифровой подписи приложения.

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Открыта разрешенная страница

Статус

Компонент

Веб-Контроль

Идентификатор события Windows

751

Идентификатор события Kaspersky Security Center

000002f4

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Операция с устройством разрешена

Статус

Компонент

Контроль устройств

Идентификатор события Windows

801

Идентификатор события Kaspersky Security Center

00000321

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Выполнена операция с файлом

Статус

Компонент

Контроль устройств

Идентификатор события Windows

808

Идентификатор события Kaspersky Security Center

GNRL_EV_USB_FILE_OPERATION

Параметры события
  • GNRL_EA_PARAM_1 – операция с файлом (запись или удаление).
  • GNRL_EA_PARAM_2 – путь к файлу.
  • GNRL_EA_PARAM_3 – название устройства.
  • GNRL_EA_PARAM_4 – имя сессионного пользователя.
  • GNRL_EA_PARAM_5 – идентификатор устройства (англ. Hardware ID – HWID).

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Нет доступных обновлений

Статус

Компонент

Обновление баз

Идентификатор события Windows

1020

Идентификатор события Kaspersky Security Center

000003fc

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Копирование обновлений успешно завершено

Статус

Компонент

Обновление баз

Идентификатор события Windows

1022

Идентификатор события Kaspersky Security Center

000003fe

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Загрузка файла

Статус

Компонент

Обновление баз

Идентификатор события Windows

1003

Идентификатор события Kaspersky Security Center

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Файл загружен

Статус

Компонент

Обновление баз

Идентификатор события Windows

1004

Идентификатор события Kaspersky Security Center

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Файл установлен

Статус

Компонент

Обновление баз

Идентификатор события Windows

1005

Идентификатор события Kaspersky Security Center

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Файл обновлен

Статус

Компонент

Обновление баз

Идентификатор события Windows

1006

Идентификатор события Kaspersky Security Center

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Выполнен откат файла из-за ошибки обновления

Статус

Компонент

Обновление баз

Идентификатор события Windows

1007

Идентификатор события Kaspersky Security Center

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Обновление файлов

Статус

Компонент

Обновление баз

Идентификатор события Windows

1008

Идентификатор события Kaspersky Security Center

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Копирование обновлений

Статус

Компонент

Обновление баз

Идентификатор события Windows

1009

Идентификатор события Kaspersky Security Center

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Откат файлов

Статус

Компонент

Обновление баз

Идентификатор события Windows

1010

Идентификатор события Kaspersky Security Center

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Формирование списка файлов для загрузки

Статус

Компонент

Обновление баз

Идентификатор события Windows

1013

Идентификатор события Kaspersky Security Center

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Загрузка патчей

Статус

Компонент

Обновление баз

Идентификатор события Windows

2150

Идентификатор события Kaspersky Security Center

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Установка патча

Статус

Компонент

Обновление баз

Идентификатор события Windows

2151

Идентификатор события Kaspersky Security Center

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Патч установлен

Статус

Компонент

Обновление баз

Идентификатор события Windows

2152

Идентификатор события Kaspersky Security Center

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Откат патча

Статус

Компонент

Обновление баз

Идентификатор события Windows

2154

Идентификатор события Kaspersky Security Center

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Откат патча выполнен

Статус

Компонент

Обновление баз

Идентификатор события Windows

2155

Идентификатор события Kaspersky Security Center

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Началось применение правил шифрования/расшифровки файлов

Статус

Компонент

Шифрование данных

Идентификатор события Windows

901

Идентификатор события Kaspersky Security Center

00000385

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Завершено применение правил шифрования/расшифровки файлов

Статус

Компонент

Шифрование данных

Идентификатор события Windows

902

Идентификатор события Kaspersky Security Center

00000386

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Продолжено применение правил шифрования / расшифровки файлов

Статус

Компонент

Шифрование данных

Идентификатор события Windows

905

Идентификатор события Kaspersky Security Center

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Запущена операция шифрования / расшифровки файла

Статус

Компонент

Шифрование данных

Идентификатор события Windows

910

Идентификатор события Kaspersky Security Center

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Завершена операция шифрования / расшифровки файла

Статус

Компонент

Шифрование данных

Идентификатор события Windows

911

Идентификатор события Kaspersky Security Center

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Шифрование файла не выполнено, так как файл является исключением

Статус

Компонент

Шифрование данных

Идентификатор события Windows

913

Идентификатор события Kaspersky Security Center

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Активирован портативный режим

Статус

Компонент

Шифрование данных

Идентификатор события Windows

950

Идентификатор события Kaspersky Security Center

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Деактивирован портативный режим

Статус

Компонент

Шифрование данных

Идентификатор события Windows

952

Идентификатор события Kaspersky Security Center

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Запущена операция шифрования / расшифровки устройства

Статус

Компонент

Шифрование данных

Идентификатор события Windows

1301

Идентификатор события Kaspersky Security Center

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Завершена операция шифрования / расшифровки устройства

Статус

Компонент

Шифрование данных

Идентификатор события Windows

1302

Идентификатор события Kaspersky Security Center

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Возобновление шифрования / расшифровки устройства

Статус

Компонент

Шифрование данных

Идентификатор события Windows

1304

Идентификатор события Kaspersky Security Center

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Устройство не зашифровано

Статус

Компонент

Шифрование данных

Идентификатор события Windows

1307

Идентификатор события Kaspersky Security Center

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Процесс шифрования / расшифровки устройства переведен в активный режим

Статус

Компонент

Шифрование данных

Идентификатор события Windows

1308

Идентификатор события Kaspersky Security Center

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Процесс шифрования / расшифровки устройства переведен в пассивный режим

Статус

Компонент

Шифрование данных

Идентификатор события Windows

1309

Идентификатор события Kaspersky Security Center

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Загружен модуль шифрования

Статус

Компонент

Шифрование данных

Идентификатор события Windows

1310

Идентификатор события Kaspersky Security Center

0000051e

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Создана новая учетная запись Агента аутентификации

Статус

Компонент

Шифрование данных

Идентификатор события Windows

1330

Идентификатор события Kaspersky Security Center

00000532

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Удалена учетная запись Агента аутентификации

Статус

Компонент

Шифрование данных

Идентификатор события Windows

1331

Идентификатор события Kaspersky Security Center

00000533

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Изменен пароль для учетной записи Агента аутентификации

Статус

Компонент

Шифрование данных

Идентификатор события Windows

1332

Идентификатор события Kaspersky Security Center

00000534

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Успешная аутентификация в Агенте аутентификации

Статус

Компонент

Шифрование данных

Идентификатор события Windows

1333

Идентификатор события Kaspersky Security Center

00000535

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Аутентификация в Агенте аутентификации завершилась с ошибкой

Статус

Компонент

Шифрование данных

Идентификатор события Windows

1334

Идентификатор события Kaspersky Security Center

00000536

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Получен доступ к жесткому диску с помощью процедуры запроса доступа к зашифрованным устройствам

Статус

Компонент

Шифрование данных

Идентификатор события Windows

1335

Идентификатор события Kaspersky Security Center

00000537

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Попытка получения доступа к жесткому диску с помощью процедуры запроса доступа к зашифрованным устройствам завершилась с ошибкой

Статус

Компонент

Шифрование данных

Идентификатор события Windows

1336

Идентификатор события Kaspersky Security Center

00000538

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Учетная запись не добавлена. Такая учетная запись уже существует

Статус

Компонент

Шифрование данных

Идентификатор события Windows

1337

Идентификатор события Kaspersky Security Center

00000539

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Учетная запись не изменена. Такая учетная запись не существует

Статус

Компонент

Шифрование данных

Идентификатор события Windows

1338

Идентификатор события Kaspersky Security Center

0000053a

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Учетная запись не удалена. Такая учетная запись не существует

Статус

Компонент

Шифрование данных

Идентификатор события Windows

1339

Идентификатор события Kaspersky Security Center

0000053b

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Обновление функциональности шифрования завершено успешно

Статус

Компонент

Шифрование данных

Идентификатор события Windows

1341

Идентификатор события Kaspersky Security Center

0000053d

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Откат обновления функциональности шифрования завершен успешно

Статус

Компонент

Шифрование данных

Идентификатор события Windows

1343

Идентификатор события Kaspersky Security Center

0000053f

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Не удалось удалить драйверы Kaspersky Disk Encryption из образа среды восстановления Windows

Статус

Компонент

Шифрование данных

Идентификатор события Windows

1346

Идентификатор события Kaspersky Security Center

00000542

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Ключ восстановления для BitLocker изменен

Статус

Компонент

Шифрование данных

Идентификатор события Windows

1370

Идентификатор события Kaspersky Security Center

0000055a

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Пароль/PIN-код для BitLocker изменен

Статус

Компонент

Шифрование данных

Идентификатор события Windows

1371

Идентификатор события Kaspersky Security Center

0000055b

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Ключ восстановления BitLocker был сохранен на съемный диск

Статус

Компонент

Шифрование данных

Идентификатор события Windows

1372

Идентификатор события Kaspersky Security Center

0000055c

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Задачи с сервера Kaspersky Anti Targeted Attack Platform не обрабатываются

Статус

Компонент

Endpoint Sensor

Идентификатор события Windows

2103

Идентификатор события Kaspersky Security Center

00000837

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Компонент Endpoint Sensor подключен к серверу

Статус

Компонент

Endpoint Sensor

Идентификатор события Windows

2101

Идентификатор события Kaspersky Security Center

00000835

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Связь с сервером Kaspersky Anti Targeted Attack Platform восстановлена

Статус

Компонент

Endpoint Sensor

Идентификатор события Windows

2102

Идентификатор события Kaspersky Security Center

00000836

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Задачи с сервера Kaspersky Anti Targeted Attack Platform обрабатываются

Статус

Компонент

Endpoint Sensor

Идентификатор события Windows

2104

Идентификатор события Kaspersky Security Center

00000838

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Объект удален

Статус

Компонент

Удаление данных

Идентификатор события Windows

2251

Идентификатор события Kaspersky Security Center

000008cb

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Статистика задачи удаления

Статус

Компонент

Удаление данных

Идентификатор события Windows

2253

Идентификатор события Kaspersky Security Center

000008cd

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Объект помещен на карантин (Kaspersky Sandbox)

Статус

Компонент

Kaspersky Sandbox

Идентификатор события Windows

2602

Идентификатор события Kaspersky Security Center

00000a2a

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Объект удален (Kaspersky Sandbox)

Статус

Компонент

Kaspersky Sandbox

Идентификатор события Windows

2604

Идентификатор события Kaspersky Security Center

00000a2c

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Запущен поиск IOC

Статус

Компонент

Endpoint Detection and Response

Идентификатор события Windows

2652

Идентификатор события Kaspersky Security Center

00000a5c

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Завершен поиск IOC

Статус

Компонент

Endpoint Detection and Response

Идентификатор события Windows

2653

Идентификатор события Kaspersky Security Center

00000a5d

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Объект помещен на карантин (Endpoint Detection and Response)

Статус

Компонент

Endpoint Detection and Response

Идентификатор события Windows

2555

Идентификатор события Kaspersky Security Center

000009fb

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Объект удален (Endpoint Detection and Response)

Статус

Компонент

Endpoint Detection and Response

Идентификатор события Windows

2557

Идентификатор события Kaspersky Security Center

000009fd

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Состав компонентов программы успешно изменен

Статус

Компонент

Системный аудит

Идентификатор события Windows

1402

Идентификатор события Kaspersky Security Center

0000057a

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Статус

Компонент

Kaspersky Sandbox

Идентификатор события Windows

2606

Идентификатор события Kaspersky Security Center

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Статус

Компонент

Kaspersky Sandbox

Идентификатор события Windows

2609

Идентификатор события Kaspersky Security Center

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Статус

Компонент

Kaspersky Sandbox

Идентификатор события Windows

2610

Идентификатор события Kaspersky Security Center

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Статус

Компонент

Kaspersky Sandbox

Идентификатор события Windows

2616

Идентификатор события Kaspersky Security Center

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Асинхронное обнаружение Kaspersky Sandbox

Статус

Компонент

Kaspersky Sandbox

Идентификатор события Windows

2619

Идентификатор события Kaspersky Security Center

GNRL_EV_APP_INCIDENT_OCCURED

Параметры события
  • GNRL_EA_PARAM_1 – параметры компонента Kaspersky Sandbox.
  • GNRL_EA_PARAM_2 – путь к объекту.
  • GNRL_EA_PARAM_3 – идентификатор инцидента.
  • GNRL_EA_PARAM_4 – хеш объекта (SHA256).

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Устройство подключено

Статус

Компонент

Контроль устройств

Идентификатор события Windows

805

Идентификатор события Kaspersky Security Center

GNRL_EV_DEVCTRL_DEV_PLUGGED

Параметры события
  • GNRL_EA_PARAM_1 – идентификатор устройства (англ. Hardware ID – HWID).
  • GNRL_EA_PARAM_2 – имя сессионного пользователя.

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Устройство отключено

Статус

Компонент

Контроль устройств

Идентификатор события Windows

806

Идентификатор события Kaspersky Security Center

GNRL_EV_DEVCTRL_DEV_UNPLUGGED

Параметры события
  • GNRL_EA_PARAM_1 – идентификатор устройства (англ. Hardware ID – HWID).
  • GNRL_EA_PARAM_2 – имя сессионного пользователя.

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

Ошибка при удалении предыдущей версии приложения

Статус

Компонент

Системный аудит

Идентификатор события Windows

246

Идентификатор события Kaspersky Security Center

000000f6

Журнал событий Windows (по умолчанию)

Журнал событий Kaspersky Security Center (по умолчанию)

В начало

[Topic 37531]

Информация о стороннем коде

Информация о стороннем коде содержится в файле legal_notices.txt, расположенном в папке установки приложения.

В начало

[Topic 128171]

Уведомления о товарных знаках

Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей.

Adobe, Acrobat, Flash, Reader и Shockwave являются либо зарегистрированными товарными знаками, либо товарными знаками компании Adobe в США и/или других странах.

Apple, FireWire, iTunes и Safari – товарные знаки Apple Inc., зарегистрированные в США и других странах.

AutoCAD – товарный знак или зарегистрированный в США и/или других странах товарный знак, принадлежащий Autodesk, Inc. и / или дочерним / аффилированным компаниям.

Словесный товарный знак Bluetooth и лого принадлежат Bluetooth SIG, Inc.

Borland – товарный знак или зарегистрированный товарный знак Borland Software Corporation.

Android, Google Public DNS, Google Chrome – товарные знаки Google, Inc.

Citrix, Citrix Provisioning Services и XenDesktop – товарные знаки Citrix Systems, Inc. и/или дочерних компаний, зарегистрированные в патентном офисе США и других стран.

Cloudflare, логотип Cloudflare и Cloudflare Workers являются товарными знаками и/или зарегистрированными товарными знаками компании Cloudflare, Inc. в США и других юрисдикциях.

Dell является товарным знаком компании Dell Inc.

dBase – товарный знак dataBased Intelligence, Inc.

EMC – зарегистрированный товарный знак или товарный знак EMC Corporation в США и/или других странах.

Foxit – зарегистрированный товарный знак Foxit Corporation.

Radmin – зарегистрированный товарный знак Famatech.

IBM – товарный знак International Business Machines Corporation, зарегистрированный во многих юрисдикциях по всему миру.

Intel – товарный знак Intel Corporation, зарегистрированный в Соединенных Штатах Америки и в других странах.

IOS, AnyConnect – зарегистрированные в Соединенных Штатах Америки и в других странах товарные знаки Cisco Systems, Inc. и / или ее аффилированных компаний.

Lenovo и ThinkPad – товарные знаки Lenovo в США и/или других странах.

Linux – товарный знак Linus Torvalds, зарегистрированный в США и в других странах.

Logitech является зарегистрированным товарным знаком или товарным знаком компании Logitech в США и (или) других странах.

LogMeIn Pro и Remotely Anywhere – товарные знаки компании LogMeIn, Inc.

Mail.ru – зарегистрированный товарный знак, правообладателем которого является ООО "Мэйл.Ру".

McAfee – товарный знак или зарегистрированный в США и других странах товарный знак McAfee, Inc.

Microsoft, Access, Active Directory, ActiveSync, BitLocker, Excel, Internet Explorer, LifeCam Cinema, MSDN, MultiPoint, Outlook, PowerPoint, PowerShell, Visual Basic, Visual FoxPro, Windows, Windows PowerShell, Windows Server, Windows Store, MS-DOS, Surface, Forefront и Hyper-V являются товарными знаками группы компаний Microsoft.

Mozilla, Firefox и Thunderbird – товарные знаки Mozilla Foundation.

Java и JavaScript – зарегистрированные товарные знаки компании Oracle и/или аффилированных компаний.

VERISIGN – зарегистрированный в США и других странах или незарегистрированный товарный знак VeriSign, Inc. и дочерних компаний.

VMware, VMware ESX, VMware ESXi, VMware Workstation – товарные знаки VMware, Inc. или зарегистрированные в США или других юрисдикциях товарные знаки VMware, Inc.

Tor – товарный знак The Tor Project, регистрация в США № 3 465 432.

Thawte – товарный знак или зарегистрированный в США и других странах товарный знак Symantec Corporation или аффилированных компаний.

SAMSUNG – товарный знак компании SAMSUNG в США или других странах.

В начало