Контроль компьютера

Веб-Контроль

Веб-Контроль управляет доступом пользователей к веб-ресурсам. Это позволяет уменьшить расход трафика и сократить нецелевое использование рабочего времени. При попытке пользователя открыть веб-сайт, доступ к которому ограничен Веб-Контролем, Kaspersky Endpoint Security заблокирует доступ или покажет предупреждение (см. рис. ниже).

Kaspersky Endpoint Security контролирует только HTTP- и HTTPS-трафик.

Для контроля HTTPS-трафика нужно включить проверку защищенных соединений.

Способы управления доступом к веб-сайтам

Веб-Контроль позволяет настраивать доступ к веб-сайтам следующими способами:

• Категория веб-сайта. Категоризацию веб-сайтов обеспечивает облачная служба Kaspersky Security Network, эвристический анализ, а также база известных веб-сайтов (входит в состав баз приложения). Вы можете ограничить доступ пользователей, например, к категории "Социальные сети" или другим категориям.
• Тип данных. Вы можете ограничить доступ пользователей к данным на веб-сайте и, например, скрыть графические изображения. Kaspersky Endpoint Security определяет тип данных по формату файла, а не по расширению.

  Kaspersky Endpoint Security не проверяет файлы внутри архивов. Например, если файлы изображений помещены в архив, Kaspersky Endpoint Security определит тип данных "Архивы", а не "Графические файлы".

• Отдельный адрес. Вы можете ввести веб-адрес или использовать маски.

Вы можете использовать одновременно несколько способов регулирования доступа к веб-сайтам. Например, вы можете ограничить доступ к типу данных "Файлы офисных приложений" только для категории веб-сайтов "Веб-почта".

Правила доступа к веб-сайтам

Веб-Контроль управляет доступом пользователей к веб-сайтам с помощью правил доступа. Вы можете настроить следующие дополнительные параметры правила доступа к веб-сайтам:

• Пользователи, на которых распространяется правило.

  Например, вы можете ограничить доступ в интернет через браузер для всех пользователей организации, кроме IT-отдела.

• Расписание работы правила.

  Например, вы можете ограничить доступ в интернет через браузер только в рабочее время.

Приоритеты правил доступа

Каждое правило имеет приоритет. Чем выше правило в списке, тем выше его приоритет. Если веб-сайт добавлен в несколько правил, Веб-Контроль регулирует доступ к веб-сайтам по правилу с высшим приоритетом. Например, Kaspersky Endpoint Security может определить корпоративный портал как социальную сеть. Чтобы ограничить доступ к социальным сетям и предоставить доступ к корпоративному веб-порталу, создайте два правила: запрещающее правило для категории веб-сайтов "Социальные сети" и разрешающее правило для корпоративного веб-портала. Правило доступа к корпоративному веб-порталу должно иметь приоритет выше, чем правило доступа к социальным сетям.

Сообщения Веб-Контроля

Включение и выключение Веб-Контроля

По умолчанию Веб-Контроль включен.

Чтобы включить или выключить Веб-Контроль, выполните следующие действия:

1. В главном окне приложения нажмите на кнопку .
2. В окне параметров приложения выберите раздел Контроль безопасности → Веб-Контроль.
3. Используйте переключатель Веб-Контроль, чтобы включить или выключить компонент.
4. Сохраните внесенные изменения.

Действия с правилами доступа к веб-ресурсам

Не рекомендуется создавать более 1000 правил доступа к веб-ресурсам, поскольку это может привести к нестабильности системы.

Правило доступа к веб-ресурсам представляет собой набор фильтров и действие, которое Kaspersky Endpoint Security выполняет при посещении пользователями описанных в правиле веб-ресурсов в указанное в расписании работы правила время. Фильтры позволяют точно задать круг веб-ресурсов, доступ к которым контролирует компонент Веб-Контроль.

Доступны следующие фильтры:

• Фильтр по содержанию. Веб-Контроль разделяет веб-ресурсы по категориям содержания и категориям типа данных. Вы можете контролировать доступ пользователей к размещенным на веб-ресурсах данным, относящихся к определенными этими категориями типам данных. При посещении пользователями веб-ресурсов, которые относятся к выбранной категории содержания и / или категории типа данных, Kaspersky Endpoint Security выполняет действие, указанное в правиле.
• Фильтр по адресам веб-ресурсов. Вы можете контролировать доступ пользователей ко всем адресам веб-ресурсов или к отдельным адресам веб-ресурсов и / или группам адресов веб-ресурсов.

  Если задан и фильтр по содержанию, и фильтр по адресам веб-ресурсов, и заданные адреса веб-ресурсов и / или группы адресов веб-ресурсов принадлежат к выбранным категориям содержания или категориям типа данных, Kaspersky Endpoint Security контролирует доступ не ко всем веб-ресурсам выбранных категорий содержания и / или категорий типа данных, а только к заданным адресам веб-ресурсов и / или группам адресов веб-ресурсов.

• Фильтр по именам пользователей и групп пользователей. Вы можете задавать пользователей и / или группы пользователей, для которых контролируется доступ к веб-ресурсам в соответствии с правилом.
• Расписание работы правила. Вы можете задавать расписание работы правила. Расписание работы правила определяет время, когда Kaspersky Endpoint Security контролирует доступ к веб-ресурсам, указанным в правиле.

После установки приложения Kaspersky Endpoint Security список правил компонента Веб-Контроль не пуст. Предустановлены два правила:

• Правило "Сценарии и таблицы стилей", которое разрешает всем пользователям в любое время доступ к веб-ресурсам, адреса которых содержат названия файлов с расширением css, js, vbs. Например: http://www.example.com/style.css, http://www.example.com/style.css?mode=normal.
• "Правило по умолчанию". Это правило в зависимости от выбранного действия разрешает или запрещает всем пользователям доступ ко всем веб-ресурсам, которые не попадают под действие других правил.

Добавление правила доступа к веб-ресурсам

Чтобы добавить или изменить правило доступа к веб-ресурсам, выполните следующие действия:

1. В главном окне приложения нажмите на кнопку .
2. В окне параметров приложения выберите раздел Контроль безопасности → Веб-Контроль.
3. В блоке Настройки нажмите на кнопку Правила доступа к веб-ресурсам.
4. В открывшемся окне нажмите на кнопку Добавить.

   Откроется окно Правило доступа к веб-ресурсам.

5. В поле Название правила введите название правила.
6. Установите статус правила доступа к веб-ресурсам Активно.

   Вы можете в любое время выключить правило доступа к веб-ресурсам с помощью переключателя.

7. В блоке Действие выберите нужный вариант:
   • Разрешать. Если выбрано это значение, то Kaspersky Endpoint Security разрешает доступ к веб-ресурсам, удовлетворяющим параметрам правила.
   • Запрещать. Если выбрано это значение, то Kaspersky Endpoint Security запрещает доступ к веб-ресурсам, удовлетворяющим параметрам правила.
   • Предупреждать. Если выбрано это значение, то при попытке доступа к веб-ресурсам, удовлетворяющим правилу, Kaspersky Endpoint Security выводит предупреждение о том, что веб-ресурс не рекомендован для посещения. По ссылкам из сообщения-предупреждения пользователь может получить доступ к запрошенному веб-ресурсу.
8. В блоке Содержимое фильтра выберите нужный фильтр по содержанию:
   • По категориям содержания. Вы можете контролировать доступ пользователей к веб-ресурсам по категориям (например, категория Социальные сети).
   • По типам данных. Вы можете контролировать доступ пользователей к веб-ресурсам по размещенным данным, относящихся к определенным типам данных (например, Графические изображения).

   Для настройки фильтра по содержанию выполните следующие действия:

   1. Нажмите на ссылку Настроить.
   2. Установите флажки напротив названий желаемых категорий содержания и / или типов данных.

      Установка флажка напротив названия категории содержания и / или типа данных означает, что Kaspersky Endpoint Security, в соответствии с правилом, контролирует доступ к веб-ресурсам, принадлежащим к выбранным категориям содержания и / или типам данных.

   3. Вернитесь в окно настройки правила доступа к веб-ресурсам.
9. В блоке Адреса выберите нужный фильтр по адресам веб-ресурсов:
   • Ко всем адресам. Веб-Контроль не фильтрует веб-ресурсы по адресам.
   • К отдельным адресам. Веб-Контроль фильтрует только адреса веб-ресурсов из списка. Для создания список адресов веб-ресурсов выполните следующие действия:
     1. Нажмите на кнопку Добавить адрес или Добавить группу адресов.
     2. В открывшемся окне сформируйте список адресов веб-ресурсов. Вы можете ввести веб-адрес или использовать маски. Также вы можете экспортировать список адресов веб-ресурсов из TXT-файла.
     3. Вернитесь в окно настройки правила доступа к веб-ресурсам.

     Если Проверка защищенных соединений отключена, для протокола HTTPS доступна фильтрация только по имени сервера.

10. В блоке Пользователи выберите нужный фильтр для пользователей:
    • Ко всем пользователям. Веб-Контроль не фильтрует веб-ресурсы для отдельных пользователей.
    • К отдельным пользователям и / или группам. Веб-Контроль фильтрует веб-ресурсы только для отдельных пользователей. Для создания списка пользователей, к которым вы хотите применить правило, выполните следующие действия:
      1. Нажмите на кнопку Добавить.
      2. В открывшемся окне выберите пользователей или группы пользователей, к которым вы хотите применить правило доступа к веб-ресурсам.
      3. Вернитесь в окно настройки правила доступа к веб-ресурсам.
11. Выберите из раскрывающегося списка Расписание работы правила название нужного расписания или сформируйте новое расписание на основе выбранного расписания работы правила. Для этого выполните следующие действия:
    1. Нажмите на кнопку Изменить или добавить новое.
    2. В открывшемся окне нажмите на кнопку Добавить.
    3. В открывшемся окне введите название расписания работы правила.
    4. Настройте расписание доступа к веб-ресурсам для пользователей.
    5. Вернитесь в окно настройки правила доступа к веб-ресурсам.
12. Сохраните внесенные изменения.

Назначение приоритета правилам доступа к веб-ресурсам

Каждое правило имеет приоритет. Чем выше правило в списке, тем выше его приоритет. Если веб-сайт добавлен в несколько правил, Веб-Контроль регулирует доступ к веб-сайтам по правилу с высшим приоритетом. Например, Kaspersky Endpoint Security может определить корпоративный портал как социальную сеть. Чтобы ограничить доступ к социальным сетям и предоставить доступ к корпоративному веб-порталу, создайте два правила: запрещающее правило для категории веб-сайтов "Социальные сети" и разрешающее правило для корпоративного веб-портала. Правило доступа к корпоративному веб-порталу должно иметь приоритет выше, чем правило доступа к социальным сетям.

Вы можете назначить приоритет каждому правилу из списка правил, расположив их в определенном порядке.

Чтобы назначить правилам доступа к веб-ресурсам приоритет, выполните следующие действия:

1. В главном окне приложения нажмите на кнопку .
2. В окне параметров приложения выберите раздел Контроль безопасности → Веб-Контроль.
3. В блоке Настройки нажмите на кнопку Правила доступа к веб-ресурсам.
4. В открывшемся окне выберите правило, приоритет которого вы хотите изменить.
5. С помощью кнопок Вверх и Вниз переместите правило на нужную позицию в списке правил доступа к веб-ресурсам.
6. Сохраните внесенные изменения.

Включение и выключение правила доступа к веб-ресурсам

Чтобы включить или выключить правило доступа к веб-ресурсам, выполните следующие действия:

1. В главном окне приложения нажмите на кнопку .
2. В окне параметров приложения выберите раздел Контроль безопасности → Веб-Контроль.
3. В блоке Настройки нажмите на кнопку Правила доступа к веб-ресурсам.
4. В открывшемся окне выберите правило, которое вы хотите включить или выключить.
5. В графе Состояние выполните следующие действия:
   • Если вы хотите включить использование правила, выберите значение Активно.
   • Если вы хотите выключить использование правила, выберите значение Не активно.
6. Сохраните внесенные изменения.

Экспорт и импорт списка доверенных веб-адресов

Вы можете экспортировать список правил Веб-Контроля в файл в формате XML. Далее вы можете вносить изменения в файл, чтобы, например, добавить большое количество однотипных адресов. Вы можете использовать функцию экспорта / импорта для резервного копирования списка правил Веб-Контроля или для миграции списка на другой сервер.

Как экспортировать / импортировать список правил Веб-Контроля в Консоли администрирования (MMC)

Как экспортировать / импортировать список правил Веб-Контроля в Web Console и Cloud Console

Проверка работы правил доступа к веб-ресурсам

Чтобы оценить, насколько согласованы правила Веб-Контроля, вы можете проверить их работу. Для этого в рамках компонента Веб-Контроль предусмотрена функция "Диагностика правил".

Чтобы проверить работу правил доступа к веб-ресурсам, выполните следующие действия:

1. В главном окне приложения нажмите на кнопку .
2. В окне параметров приложения выберите раздел Контроль безопасности → Веб-Контроль.
3. В блоке Настройки нажмите на ссылку Диагностика правил.

   Откроется окно Диагностика правил.

4. Установите флажок Укажите адрес, если вы хотите проверить работу правил, в соответствии с которыми Kaspersky Endpoint Security контролирует доступ к определенному веб-ресурсу. В поле ниже введите адрес веб-ресурса.
5. Задайте список пользователей и / или групп пользователей, если вы хотите проверить работу правил, в соответствии с которыми Kaspersky Endpoint Security контролирует доступ к веб-ресурсам для определенных пользователей и / или групп пользователей.
6. Установите флажок Фильтровать содержание и в раскрывающемся списке выберите нужный элемент (По категориям содержания, По типам данных или По категориям содержания и типам данных), если вы хотите проверить работу правил, в соответствии с которыми Kaspersky Endpoint Security контролирует доступ к веб-ресурсам определенных категорий содержания и / или категорий типа данных.
7. Установите флажок Учитывать время попытки доступа, если вы хотите проверить работу правил с учетом дня недели и времени совершения попытки доступа к веб-ресурсам, указанным в условиях диагностики правил. Далее укажите день недели и время.
8. Нажмите на кнопку Проверить.

В результате проверки выводится сообщение о действии Kaspersky Endpoint Security в соответствии с первым сработавшим правилом при попытке доступа к заданному веб-ресурсу (разрешение, запрет, предупреждение). Первым срабатывает правило, которое находится в списке правил Веб-Контроля выше других правил, удовлетворяющих условиям диагностики. Сообщение выводится справа от кнопки Проверить. В таблице ниже выводится список остальных сработавших правил с указанием действия, которое выполняет Kaspersky Endpoint Security. Правила выводятся в порядке убывания приоритета.

Экспорт и импорт списка адресов веб-ресурсов

Если в правиле доступа к веб-ресурсам вы сформировали список адресов веб-ресурсов, вы можете экспортировать его в файл формата TXT. В дальнейшем вы можете импортировать список из этого файла, чтобы при настройке правила не создавать список адресов веб-ресурсов вручную. Возможность экспорта и импорта списка адресов веб-ресурсов может понадобиться, например, если вы создаете правила со сходными параметрами.

Чтобы импортировать или экспортировать список адресов веб-ресурсов в файл, выполните следующие действия:

1. В главном окне приложения нажмите на кнопку .
2. В окне параметров приложения выберите раздел Контроль безопасности → Веб-Контроль.
3. В блоке Настройки нажмите на кнопку Правила доступа к веб-ресурсам.
4. Выберите правило, список адресов веб-ресурсов которого вы хотите экспортировать или импортировать.
5. Для экспорта списка доверенных веб-ресурсов в блоке Адреса выполните следующие действия:
   1. Выберите адреса, которые вы хотите экспортировать.

      Если вы не выбрали ни одного адреса, Kaspersky Endpoint Security экспортирует все адреса.

   2. Нажмите на кнопку Экспорт.
   3. В открывшемся окне введите имя файла формата TXT, в который вы хотите экспортировать список адресов веб-ресурсов, а также выберите папку, в которой вы хотите сохранить этот файл.
   4. Сохраните файл.

      Kaspersky Endpoint Security экспортирует список адресов веб-ресурсов в TXT-файл.

6. Для импорта списка веб-ресурсов в блоке Адреса выполните следующие действия:
   1. Нажмите на кнопку Импорт.

      В открывшемся окне выберите TXT-файл, из которого вы хотите импортировать список веб-ресурсов.

   2. Откройте файл.

      Если на компьютере уже есть список адресов, Kaspersky Endpoint Security предложит удалить действующий список или добавить в него новые записи из TXT-файла.

7. Сохраните внесенные изменения.

Мониторинг активности пользователей в интернете

Kaspersky Endpoint Security позволяет записывать данные о посещении пользователями всех веб-сайтов, в том числе и разрешенных. Таким образом, вы можете получить полную историю просмотров в браузере. Kaspersky Endpoint Security отправляет события активности пользователя в Kaspersky Security Center, локальный журнал Kaspersky Endpoint Security, журнал событий Windows. Для получения событий в Kaspersky Security Center нужно настроить параметры событий в политике в Консоли администрирования или Web Console. Также вы можете настроить отправку событий Веб-Контроля по электронной почте и отображение уведомлений на экране компьютера пользователя.

Браузеры, которые поддерживают функцию мониторинга: Microsoft Edge, Microsoft Internet Explorer, Google Chrome, Яндекс.Браузер, Mozilla Firefox. Мониторинг активности пользователей не работает в других браузерах.

Kaspersky Endpoint Security создает следующие события активности пользователя в интернете:

• блокировка веб-сайта (статус Критические события );
• посещение нерекомендованного веб-сайта (статус Предупреждения );
• посещение разрешенного веб-сайта (статус Информационные сообщения ).

Перед включением мониторинга активности пользователей в интернете необходимо выполнить следующие действия:

• Внедрите в трафик скрипт взаимодействия с веб-страницами (см. инструкцию ниже). Скрипт позволяет регистрировать события работы Веб-Контроля.
• Для контроля HTTPS-трафика нужно включить проверку защищенных соединений.

Чтобы внедрить в трафик скрипт взаимодействия с веб-страницами, выполните следующие действия:

1. В главном окне приложения нажмите на кнопку .
2. В окне параметров приложения выберите раздел Общие настройки → Настройки сети.
3. В блоке Обработка трафика установите флажок Внедрять в трафик скрипт взаимодействия с веб-страницами.
4. Сохраните внесенные изменения.

В результате Kaspersky Endpoint Security внедрит в трафик скрипт взаимодействия с веб-страницами. Скрипт позволяет регистрировать события работы Веб-Контроля для журнала событий приложения, журнала событий ОС, отчетов.

Чтобы настроить запись событий Веб-Контроля на компьютере пользователя, выполните следующие действия:

1. В главном окне приложения нажмите на кнопку .
2. В окне параметров приложения выберите раздел Общие настройки → Интерфейс.
3. В блоке Уведомления нажмите на кнопку Настройка уведомлений.
4. В открывшемся окне выберите раздел Веб-Контроль.

   Откроется таблица событий Веб-Контроля и способов уведомлений.

5. Настройте для каждого события способ уведомления: Сохранять в локальном отчете и Сохранять в журнале событий Windows.

   Для записи событий посещения разрешенных веб-сайтов нужно дополнительно настроить Веб-Контроль (см. инструкцию ниже).

   Также в таблице событий вы можете включить уведомление на экране и уведомление по электронной почте. Для отправки уведомлений по почте нужно настроить параметры SMTP-сервера. Подробнее об отправке уведомлений по почте см. в справке Kaspersky Security Center.

6. Сохраните внесенные изменения.

В результате Kaspersky Endpoint Security начинает записывать события активности пользователя в интернете.

Веб-Контроль отправляет события активности пользователя в Kaspersky Security Center следующим образом:

• Если вы используете Kaspersky Security Center, Веб-Контроль отправляет события по всем объектам, из которых состоит веб-страница. Поэтому при блокировании одной веб-страницы может быть создано несколько событий. Например, при блокировании веб-страницы http://www.example.com Kaspersky Endpoint Security может отправить события по следующим объектам: http://www.example.com, http://www.example.com/icon.ico, http://www.example.com/file.js и так далее.
• Если вы используете Kaspersky Security Center Cloud Console, Веб-Контроль группирует события и отправляет только протокол и домен веб-сайта. Например, если пользователь посетил нерекомендованные веб-страницы http://www.example.com/main, http://www.example.com/contact, http://www.example.com/gallery, то Kaspersky Endpoint Security отправит только одно событие с объектом http://www.example.com.

Чтобы включить запись событий посещения разрешенных веб-сайтов, выполните следующие действия:

1. В главном окне приложения нажмите на кнопку .
2. В окне параметров приложения выберите раздел Контроль безопасности → Веб-Контроль.
3. В блоке Дополнительно нажмите на кнопку Дополнительные настройки.
4. В открывшемся окне установите флажок Записывать данные о посещении разрешенных страниц в журнал.
5. Сохраните внесенные изменения.

В результате вам будет доступна полная история просмотров в браузере.

Изменение шаблонов сообщений Веб-Контроля

В зависимости от действия, заданного в свойствах правил Веб-Контроля, при попытке пользователей получить доступ к веб-ресурсам Kaspersky Endpoint Security выводит сообщение (подменяет ответ HTTP-сервера HTML-страницей с сообщением) одного из следующих типов:

• Сообщение-предупреждение. Такое сообщение предупреждает пользователя о том, что посещение веб-ресурса не рекомендуется и / или не соответствует корпоративной политике безопасности. Kaspersky Endpoint Security выводит сообщение-предупреждение, если в параметрах правила, описывающего этот веб-ресурс, выбрано действие Предупреждать.

  Если, по мнению пользователя, предупреждение ошибочно, по ссылке из предупреждения пользователь может отправить уже сформированное сообщение администратору локальной сети организации.

• Сообщение о блокировке веб-ресурса. Kaspersky Endpoint Security выводит сообщение о блокировке веб-ресурса, если в параметрах правила, которое описывает этот веб-ресурс, выбрано действие Запрещать.

  Если блокировка доступа к веб-ресурсу, по мнению пользователя, была ошибочна, по ссылке из сообщения о блокировке веб-ресурса пользователь может отправить уже сформированное сообщение администратору локальной сети организации.

Для сообщения-предупреждения, сообщения о блокировке доступа к веб-ресурсу и сообщения для отправки администратору локальной сети организации предусмотрены шаблоны. Вы можете изменять их содержание.

Чтобы изменить шаблон сообщений Веб-Контроля, выполните следующие действия:

1. В главном окне приложения нажмите на кнопку .
2. В окне параметров приложения выберите раздел Контроль безопасности → Веб-Контроль.
3. В блоке Шаблоны настройте шаблоны сообщений Веб-Контроля:
   • Предупреждение. Поле ввода содержит шаблон сообщения, которое появляется при срабатывании правила, предупреждающего о попытке доступа к нерекомендованному веб-ресурсу.
   • Сообщение о блокировке. Поле ввода содержит шаблон сообщения, которое появляется при срабатывании правила, блокирующего доступ к веб-ресурсу.
   • Сообщение администратору. Шаблон сообщения для отправки администратору локальной сети организации в случае, если блокировка доступа к веб-ресурсу, по мнению пользователя, произошла ошибочно. После запроса пользователя предоставить доступ Kaspersky Endpoint Security отправляет в Kaspersky Security Center событие Сообщение администратору о запрете доступа к веб-странице. Описание события содержит сообщение администратору с подставленными переменными. Вы можете посмотреть эти события в консоли Kaspersky Security Center с помощью предустановленной выборки Запросы пользователей. Если в вашей организации не развернуто решение Kaspersky Security Center или связь с Сервером администрирования отсутствует, приложение отправит сообщение администратору на указанный адрес электронной почты.
4. Сохраните внесенные изменения.

Правила формирования масок адресов веб-ресурсов

Использование маски адреса веб-ресурса (далее также "маски адреса") может быть удобно в случаях, когда в процессе создания правила доступа к веб-ресурсам требуется ввести множество схожих адресов веб-ресурсов. Одна грамотно сформированная маска адреса может заменить множество адресов веб-ресурсов.

При формировании маски адреса следует использовать следующие правила:

1. Символ * заменяет любую последовательность из нуля или более символов.

   Например, при вводе маски адреса *abc* правило доступа к веб-ресурсам применяется ко всем адресам, содержащим последовательность abc. Пример: http://www.example.com/page_0-9abcdef.html.

2. Последовательность символов *. позволяет выбрать все домены адреса – маска домена. Маска домена *. трактуется как любое имя домена, имя поддомена или пустая строка.

   Пример: под действие маски *.example.com попадают следующие адреса:

   • http://pictures.example.com – маска домена *. применена для pictures..
   • http://user.pictures.example.com – маска домена *. применена для pictures. и user..
   • http://example.com – маска домена *. трактуется как пустая строка.
3. Последовательность символов www. в начале маски адреса трактуется как последовательность *..

   Пример: маска адреса www.example.com трактуется как *.example.com. Под действие маски попадают адреса www2.example.com и www.pictures.example.com.

4. Если маска адреса начинается не с символа *, то содержание маски адреса эквивалентно тому же содержанию с префиксом *..
5. Если маска адреса заканчивается символом, отличным от / или *, то содержание маски адреса эквивалентно тому же содержанию с постфиксом /*.

   Пример: под действие маски адреса http://www.example.com попадают адреса вида http://www.example.com/abc, где a, b, c – любые символы.

6. Если маска адреса заканчивается символом /, то содержание маски адреса эквивалентно тому же содержанию с постфиксом /*.
7. Последовательность символов /* в конце маски адреса трактуется как /* или пустая строка.
8. Проверка адресов веб-ресурсов по маске адреса осуществляется с учетом схемы (http или https):
   • Если сетевой протокол в маске адреса отсутствует, то под действие маски адреса попадает адрес с любым сетевым протоколом.

     Пример: под действие маски адреса example.com попадают адреса http://example.com и https://example.com.

   • Если сетевой протокол в маске адреса присутствует, то под действие маски адреса попадают только адреса с таким же сетевым протоколом, как у маски адреса.

     Пример: под действие маски адреса http://*.example.com попадает адрес http://www.example.com и не попадает адрес https://www.example.com.

9. Маска адреса, заключенная в двойные кавычки, трактуется без учета каких-либо дополнительных подстановок, за исключением символа *, если он изначально включен в состав маски адреса. Для масок адреса, заключенных в двойные кавычки, не выполняются правила 5 и 7 (см. примеры 14 – 18 в таблице ниже).
10. При сравнении с маской адреса веб-ресурса не учитываются имя пользователя и пароль, порт соединения и регистр символов.

     

    Примеры применения правил формирования масок адресов

     

    №	Маска адреса	Проверяемый адрес веб-ресурса	Удовлетворяет ли проверяемый адрес маске адреса	Комментарий
    1	*.example.com	http://www.123example.com	Нет	См. правило 1.
    2	*.example.com	http://www.123.example.com	Да	См. правило 2.
    3	*example.com	http://www.123example.com	Да	См. правило 1.
    4	*example.com	http://www.123.example.com	Да	См. правило 1.
    5	http://www.*.example.com	http://www.123example.com	Нет	См. правило 1.
    6	www.example.com	http://www.example.com	Да	См. правила 3, 2, 1.
    7	www.example.com	https://www.example.com	Да	См. правила 3, 2, 1.
    8	http://www.*.example.com	http://123.example.com	Да	См. правила 3, 4, 1.
    9	www.example.com	http://www.example.com/abc	Да	См. правила 3, 5, 1.
    10	example.com	http://www.example.com	Да	См. правила 3, 1.
    11	http://example.com/	http://example.com/abc	Да	См. правила 6.
    12	http://example.com/*	http://example.com	Да	См. правило 7.
    13	http://example.com	https://example.com	Нет	См. правило 8.
    14	"example.com"	http://www.example.com	Нет	См. правило 9.
    15	"http://www.example.com"	http://www.example.com/abc	Нет	См. правило 9.
    16	"*.example.com"	http://www.example.com	Да	См. правила 1, 9.
    17	"http://www.example.com/*"	http://www.example.com/abc	Да	См. правила 1, 9.
    18	"www.example.com"	http://www.example.com; https://www.example.com	Да	См. правила 9, 8.
    19	www.example.com/abc/123	http://www.example.com/abc	Нет	Маска адреса содержит больше информации, чем адрес веб-ресурса.

     

Миграция правил доступа к веб-ресурсам из предыдущих версий приложения

При обновлении приложения с версии Kaspersky Endpoint Security 10 Service Pack 2 для Windows и с более ранних версий до Kaspersky Endpoint Security для Windows 11.10.0 правила доступа к веб-ресурсам, основанные на категориях содержания веб-ресурсов, мигрируют по следующим правилам:

• Правила доступа к веб-ресурсам, основанные на одной или нескольких категориях содержания веб-ресурсов из списка "Чаты и форумы", "Веб-почта", "Социальные сети", становятся основанными на категории содержания веб-ресурсов "Общение в сети".
• Правила доступа к веб-ресурсам, основанные на одной или нескольких категориях содержания веб-ресурсов из списка "Интернет-магазины" и "Платежные системы", становятся основанными на категории содержания веб-ресурсов "Интернет-магазины, банки, платежные системы".
• Правила доступа к веб-ресурсам, основанные на категории содержания веб-ресурсов "Азартные игры", становятся основанными на категории содержания веб-ресурсов "Азартные игры, лотереи, тотализаторы".
• Правила доступа к веб-ресурсам, основанные на категории содержания веб-ресурсов "Браузерные игры", становятся основанными на категории содержания веб-ресурсов "Компьютерные игры".
• Правила доступа к веб-ресурсам, основанные на категориях содержания веб-ресурсов, не перечисленных в предыдущих пунктах списка, мигрируют без изменений.

Контроль устройств

Контроль устройств управляет доступом пользователей к установленным или подключенным к компьютеру устройствам (например, жестким дискам, камере или модулю Wi-Fi). Это позволяет защитить компьютер от заражения при подключении этих устройств и предотвратить потерю или утечку данных.

Уровни доступа к устройствам

Контроль устройств управляет доступом на следующих уровнях:

• Тип устройства. Например, принтеры, съемные диски, CD/DVD-приводы.

  Вы можете настроить доступ устройств следующим образом:

  • Разрешать – .
  • Запрещать – .
  • Зависит от шины подключения (кроме Wi-Fi) – .
  • Запрещать с исключениями (только Wi-Fi) – .
• Шина подключения. Шина подключения – интерфейс, с помощью которого устройства подключаются к компьютеру (например, USB, FireWire). Таким образом, вы можете ограничить подключение всех устройств, например, через USB.

  Вы можете настроить доступ устройств следующим образом:

  • Разрешать – .
  • Запрещать – .
• Доверенные устройства. Доверенные устройства – это устройства, полный доступ к которым разрешен в любое время для пользователей, указанных в параметрах доверенного устройства.

  Вы можете добавить доверенные устройства по следующим данным:

  • Устройства по идентификатору. Каждое устройство имеет уникальный идентификатор (англ. Hardware ID – HWID). Вы можете просмотреть идентификатор в свойствах устройства средствами операционной системы. Пример идентификатора устройства: SCSI\CDROM&VEN_NECVMWAR&PROD_VMWARE_SATA_CD00\5&354AE4D7&0&000000. Добавлять устройства по идентификатору удобно, если вы хотите добавить несколько определенных устройств.
  • Устройства по модели. Каждое устройство имеет идентификатор производителя (англ. Vendor ID – VID) и идентификатор продукта (англ. Product ID – PID). Вы можете просмотреть идентификаторы в свойствах устройства средствами операционной системы. Шаблон для ввода VID и PID: VID_1234&PID_5678. Добавлять устройства по модели удобно, если вы используете в вашей организации устройства определенной модели. Таким образом, вы можете добавить все устройства этой модели.
  • Устройства по маске идентификатора. Если вы используете несколько устройств с похожими идентификаторами, вы можете добавить устройства в список доверенных с помощью масок. Символ * заменяет любой набор символов. Kaspersky Endpoint Security не поддерживает символ ? при вводе маски. Например, WDC_C*.
  • Устройства по маске модели. Если вы используете несколько устройств с похожими VID или PID (например, устройства одного производителя), вы можете добавить устройства в список доверенных с помощью масок. Символ * заменяет любой набор символов. Kaspersky Endpoint Security не поддерживает символ ? при вводе маски. Например, VID_05AC&PID_*.

Контроль устройств регулирует доступ пользователей к устройствам с помощью правил доступа. Также Контроль устройств позволяет сохранять события подключения / отключения устройств. Для сохранения событий вам нужно настроить отправку событий в политике.

Если доступ к устройству зависит от шины подключения (статус ), Kaspersky Endpoint Security не сохраняет события подключения / отключения устройства. Чтобы приложение Kaspersky Endpoint Security сохраняла события подключения / отключения устройства, разрешите доступ к соответствующему типу устройств (статус ) или добавьте устройство в список доверенных.

При подключении к компьютеру устройства, доступ к которому запрещен Контролем устройств, Kaspersky Endpoint Security заблокирует доступ и покажет уведомление (см. рис. ниже).

Уведомление Контроля устройств

Алгоритм работы Контроля устройств

Kaspersky Endpoint Security принимает решение о доступе к устройству после того, как пользователь подключил это устройство к компьютеру (см. рис. ниже).

Алгоритм работы Контроля устройств

Если устройство подключено и доступ разрешен, вы можете изменить правило доступа и запретить доступ. В этом случае при очередном обращении к устройству (просмотр дерева папок, чтение, запись) Kaspersky Endpoint Security блокирует доступ. Блокирование устройства без файловой системы произойдет только при последующем подключении устройства.

Если пользователю компьютера с установленным приложением Kaspersky Endpoint Security требуется запросить доступ к устройству, которое, по его мнению, было заблокировано ошибочно, передайте ему инструкцию по запросу доступа.

Включение и выключение Контроля устройств

По умолчанию Контроль устройств включен.

Чтобы включить или выключить Контроль устройств, выполните следующие действия:

1. В главном окне приложения нажмите на кнопку .
2. В окне параметров приложения выберите раздел Контроль безопасности → Контроль устройств.
3. Используйте переключатель Контроль устройств, чтобы включить или выключить компонент.
4. Сохраните внесенные изменения.

В результате, если Контроль устройств включен, приложение передает в Kaspersky Security Center информацию о подключенных устройствах. Вы можете просмотреть список подключенных устройств в Kaspersky Security Center в папке Дополнительно → Хранилище → Оборудование.

О правилах доступа

Правила доступа – набор параметров, которые определяют доступ пользователей к установленным или подключенным к компьютеру устройствам. Невозможно добавить устройство, которое выходит за рамки классификации Контроля устройств. Доступ к этим устройствам разрешен для всех пользователей.

Правила доступа к устройствам

Набор параметров правила доступа отличается в зависимости от типа устройств (см. таблицу ниже).

Параметры правила доступа

Правила доступа к мобильным устройствам

Мобильные устройства под управлением Android и iOS относятся к портативным устройствам (MTP). При подключении мобильного устройства к компьютеру операционная система определяет тип устройства. Если на компьютере установлены приложения Android Debug Bridge (ADB), iTunes или их аналоги, операционная система определяет мобильные устройства как ADB- или iTunes-устройства. В остальных случаях операционная система может определить тип мобильного устройства как портативное устройство (MTP) для передачи файлов, PTP-устройство (камера) для передачи изображений или другое устройство. Тип устройства зависит от модели мобильного устройства.

Доступ к ADB- или iTunes-устройствам имеет следующие особенности:

• Настроить расписание доступа к устройству невозможно. То есть, если доступ к устройствам ограничен правилами (статус ), ADB- и iTunes-устройства доступны всегда.
• Настроить доступ к устройству для отдельных пользователей, а также настроить права доступа (чтение / запись) невозможно. То есть, если доступ к устройствам ограничен правилами (статус ), ADB- и iTunes-устройства доступны всем пользователям со всеми правами.
• Настроить доступ к доверенным ADB- или iTunes-устройствам для отдельных пользователей невозможно. Если устройство доверенное, ADB- и iTunes-устройства доступны всем пользователям.
• Если вы установили приложения ADB или iTunes после подключения устройства к компьютеру, уникальный идентификатор устройства может быть сброшен. То есть, Kaspersky Endpoint Security определит это устройство как новое. Если устройство доверенное, добавьте устройство в список доверенных повторно.

По умолчанию правила доступа к устройствам разрешают полный доступ к устройствам всем пользователям в любое время, если разрешен доступ к шинам подключения для соответствующих типов устройств (статус ).

Правило доступа к сетям Wi-Fi

Правило доступа к сетям Wi-Fi определяет разрешение (статус ) или запрет (статус ) на использование сетей Wi-Fi. Вы можете добавить в правило доверенную сеть Wi-Fi (статус ). Использование доверенной сети Wi-Fi разрешено без ограничений. По умолчанию правило доступа к сетям Wi-Fi разрешает доступ к любым сетям Wi-Fi.

Правила доступа к шинам подключения

Правила доступа к шинам определяют только разрешение (статус ) или запрет (статус ) на подключение устройств. Для всех шин подключения из классификации компонента Контроль устройств по умолчанию созданы правила, разрешающие доступ к шинам.

Изменение правила доступа к устройствам

Правило доступа к устройствам – набор параметров, которые определяют доступ пользователей к установленным или подключенным к компьютеру устройствам: доступ к устройству, расписание доступа, разрешение на чтение или запись.

Чтобы изменить правило доступа к устройствам, выполните следующие действия:

1. В главном окне приложения нажмите на кнопку .
2. В окне параметров приложения выберите раздел Контроль безопасности → Контроль устройств.
3. В блоке Настройка доступа нажмите на кнопку Устройства и сети Wi-Fi.

   В открывшемся окне находятся правила доступа для всех устройств, которые есть в классификации компонента Контроль устройств.

4. В блоке Доступ к запоминающим устройствам выберите правило доступа, которое хотите изменить. В блоке находятся устройства с файловой системой, для которых вы можете настроить дополнительные параметры доступа. По умолчанию правило доступа к устройствам разрешает полный доступ к типу устройств всем пользователям в любое время.
   1. В графе Доступ выберите доступ к устройству:
      • Разрешать.
      • Запрещать.
      • Зависит от шины подключения.

        Чтобы запретить или разрешить доступ к устройству, настройте доступ к шине подключения.

      • Ограничивать правилами.

        Этот вариант позволяет настроить права пользователей, разрешения, расписание для доступа к устройствам.

   2. В блоке Права пользователей нажмите на кнопку Добавить.

      Откроется окно добавления нового правила доступа к устройствам.

   3. Назначьте приоритет записи правила. Запись правила включает в себя следующие атрибуты: учетная запись, расписание, разрешения (чтения / запись) и приоритет.

      Запись правила имеют приоритет. Если пользователь добавлен в несколько групп, Kaspersky Endpoint Security регулирует доступ к устройству по записи правила с высшим приоритетом. Kaspersky Endpoint Security позволяет назначить приоритет от 0 до 10 000. Чем больше значение, тем выше приоритет. То есть, запись со значением 0 имеет наименьший приоритет.

      Например, вы можете предоставить разрешение только на чтение для группы "Все" и разрешение на чтение и запись для группы администраторов. Для этого назначьте записи для группы администраторов приоритет 1, а группе "Все" приоритет 0.

      Приоритет запрещающей записи правила выше приоритета разрешающей записи. То есть, если пользователь добавлен в несколько групп и приоритет записей правила одинаковый, Kaspersky Endpoint Security регулирует доступ по записи запрещающей доступ к устройству.

   4. Установите статус правила доступа к устройствам Включено.
   5. Настройте разрешения пользователей для доступа к устройствам: чтение, запись.
   6. Выберите пользователей или группы пользователей, к которым вы хотите применить правило доступа к устройству.
   7. Настройте расписание доступа к устройствам для пользователей.
   8. Нажмите на кнопку Добавить.
5. В блоке Доступ к внешним устройствам выберите правило и настройте доступ: Разрешать, Запрещать, Зависит от шины подключения. Если требуется, настройте доступ к шине подключения.
6. В блоке Доступ к сетям Wi-Fi перейдите по ссылке Wi-Fi и настройте доступ: Разрешать, Запрещать, Запрещать с исключениями. Если требуется, добавьте сети Wi-Fi в список доверенных.
7. Сохраните внесенные изменения.

Изменение правила доступа к шине подключения

Чтобы изменить правило доступа к шине подключения, выполните следующие действия:

1. В главном окне приложения нажмите на кнопку .
2. В окне параметров приложения выберите раздел Контроль безопасности → Контроль устройств.
3. В блоке Настройка доступа нажмите на кнопку Шины подключения.

   В открывшемся окне находятся правила доступа для всех шин подключения, которые есть в классификации компонента Контроль устройств.

4. Выберите правило доступа, которое хотите изменить.
5. В графе Доступ выберите доступ к шине подключения: Разрешать или Запрещать.
6. Сохраните внесенные изменения.

Добавление сети Wi-Fi в список доверенных

Вы можете разрешить пользователям подключаться к сетям Wi-Fi, которые вы считаете безопасными, например, к корпоративной сети Wi-Fi. Для этого нужно добавить эту сеть в список доверенных сетей Wi-Fi. Контроль устройств будет блокировать доступ ко всем сетям Wi-Fi, кроме тех, которые указаны в списке доверенных.

Чтобы добавить сеть Wi-Fi в список доверенных, выполните следующие действия:

1. В главном окне приложения нажмите на кнопку .
2. В окне параметров приложения выберите раздел Контроль безопасности → Контроль устройств.
3. В блоке Настройка доступа нажмите на кнопку Устройства и сети Wi-Fi.

   В открывшемся окне находятся правила доступа для всех устройств, которые есть в классификации компонента Контроль устройств.

4. В блоке Доступ к сетям Wi-Fi перейдите по ссылке Wi-Fi.

   В открывшемся окне находятся правила доступа к сетям Wi-Fi.

5. В блоке Доступ выберите Запрещать с исключениями.
6. В блоке Доверенные сети Wi-Fi нажмите на кнопку Добавить.
7. В открывшемся окне выполните следующие действия:
   1. В поле Имя сети укажите имя сети Wi-Fi, которую вы хотите добавить в список доверенных.
   2. В раскрывающемся списке Тип аутентификации выберите тип аутентификации, используемый при подключении к доверенной сети Wi-Fi.
   3. В раскрывающемся списке Тип шифрования выберите тип шифрования, используемый для защиты трафика доверенной сети Wi-Fi.
   4. В поле Комментарий вы можете указать любую информацию о добавленной сети Wi-Fi.

   Сеть Wi-Fi считается доверенной, если ее параметры соответствуют всем параметрам, указанным в правиле.

8. Сохраните внесенные изменения.

Мониторинг использования съемных дисков

Мониторинг использования съемных дисков включает в себя следующие инструменты:

• Контроль операций с файлами на съемных дисках.
• Контроль подключения и отключения доверенных съемных дисков.

  Kaspersky Endpoint Security позволяет контролировать подключение и отключение всех доверенных устройств, не только съемных дисков. Вы можете включить запись событий в параметрах уведомлений для компонента Контроль устройств. События имеют уровень важности Информационное сообщение.

Чтобы включить мониторинг использования съемных дисков, выполните следующие действия:

1. В главном окне приложения нажмите на кнопку .
2. В окне параметров приложения выберите раздел Контроль безопасности → Контроль устройств.
3. В блоке Настройка доступа нажмите на кнопку Устройства и сети Wi-Fi.

   В открывшемся окне находятся правила доступа для всех устройств, которые есть в классификации компонента Контроль устройств.

4. В блоке Доступ к запоминающим устройствам выберите элемент Съемные диски.
5. В открывшемся окне перейдите на закладку Запись событий в журнал.
6. Включите переключатель Запись событий в журнал.
7. В блоке Операции c файлами выберите операции, которые вы хотите контролировать: Запись, Удаление.
8. В блоке Фильтр по форматам файлов выберите форматы файлов, информацию об операциях с которыми Контроль устройств должен записывать в журнал.
9. Выберите пользователей или группы пользователей, использование съемных дисков которых вы хотите контролировать.
10. Сохраните внесенные изменения.

В результате когда пользователи будут производить запись в файлы, расположенные на съемных дисках, или удалять файлы со съемных дисков, Kaspersky Endpoint Security будет сохранять информацию о совершенной операции в журнал событий и отправлять события в Kaspersky Security Center. Вы можете просмотреть события, связанные с файлами на съемных дисках, в Консоли администрирования Kaspersky Security Center в рабочей области для узла Сервер администрирования на закладке События. Чтобы события отображались в локальном журнале событий Kaspersky Endpoint Security, требуется установить флажок Выполнена операция с файлом в параметрах уведомлений для компонента Контроль устройств.

Изменение периода кеширования

Компонент Контроль устройств регистрирует события, связанные с контролируемыми устройствами, такие как подключение и отключение устройства, чтение файла с устройства, запись файла на устройство и другие события. Далее Контроль устройств разрешает или запрещает выполнение действия в соответствии с параметрами Kaspersky Endpoint Security.

Контроль устройств хранит информацию о событиях в течение определенного времени, которое называется периодом кеширования. Кеширование информации о событии позволяет при повторении этого события не уведомлять Kaspersky Endpoint Security о нем и не запрашивать повторно доступ на выполнение соответствующего действия, например, подключение устройства. Это позволяет ускорить работу с устройством.

Событие считается повторяющимся, если все следующие параметры события совпадают с записью в кеше:

• идентификатор устройства;
• SID пользователя, от имени которого происходит обращение;
• класс устройства;
• действие с устройством;
• разрешение приложения для этого действия: разрешено или запрещено;
• путь к процессу, от имени которого совершается действие;
• файл, к которому происходит обращение.

Перед изменением периода кеширования выключите самозащиту Kaspersky Endpoint Security. После изменения периода кеширования включите самозащиту.

Чтобы изменить период кеширования, выполните следующие действия:

1. Откройте редактор реестра на компьютере.
2. В редакторе реестра перейдите в раздел:
   • для 64-битных операционных систем: [HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\KasperskyLab\protected\KES\environment];
   • для 32-битных операционных систем: [HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\protected\KES\environment].
3. Откройте параметр DeviceControlEventsCachePeriod на редактирование.
4. Укажите количество минут, по истечении которых информация о событии в Контроле устройств должна удаляться.

Действия с доверенными устройствами

Доверенные устройства – это устройства, полный доступ к которым разрешен в любое время для пользователей, указанных в параметрах доверенного устройства.

Для работы с доверенными устройствами вы можете предоставить доступ отдельному пользователю, группе пользователей или всем пользователям организации.

Например, если в вашей организации запрещено использование съемных дисков, но администраторы используют съемные диски в своей работе, вы можете разрешить использование съемных дисков только для группы администраторов. Для этого необходимо добавить съемные диски в список доверенных и настроить права доступа пользователей.

Не рекомендуется добавлять более 1000 доверенных устройств, поскольку это может привести к нестабильности системы.

Kaspersky Endpoint Security позволяет добавить устройство в список доверенных следующими способами:

• Если в вашей организации не развернуто решение Kaspersky Security Center, вы можете подключить устройство к компьютеру и добавить его в список доверенных в параметрах приложения. Чтобы распространить список доверенных устройств на все компьютеры организации, вы можете включить функцию объединения списков доверенных устройств в политике или использовать процедуру экспорта / импорта.
• Если в вашей организации развернуто решение Kaspersky Security Center, вы можете обнаружить все подключенные устройства удаленно и создать список доверенных устройств в политике. Список доверенных устройств будет доступен на всех компьютерах, к которым применена политика.

Kaspersky Endpoint Security позволяет контролировать использование доверенных устройств (подключение и отключение). Вы можете включить запись событий в параметрах уведомлений для компонента Контроль устройств. События имеют уровень важности Информационное.

Kaspersky Endpoint Security имеет следующие ограничения при работе с доверенными устройствами:

• Плагин управления Kaspersky Endpoint Security версий 11.0.0–11.2.0 не поддерживает работу со списком доверенных устройств приложения Kaspersky Endpoint Security версии 11.3.0 и 11.4.0. Для работы со списком доверенных устройств обновить плагин управления до версии 11.3.0 и 11.4.0.
• Плагин управления Kaspersky Endpoint Security версий 11.3.0 и 11.4.0 не поддерживает работу со списком доверенных устройств приложения Kaspersky Endpoint Security версии 11.2.0 и ниже. Для работы со списком доверенных устройств обновите приложение до версии 11.3.0 или 11.4.0. Также вы можете отправить запрос с описанием ситуации в Службу технической поддержки через Kaspersky CompanyAccount.
• Для переноса списка доверенных устройств из Kaspersky Endpoint Security версии 11.2.0 в 11.3.0 отправьте запрос с описанием ситуации в Службу технической поддержки через Kaspersky CompanyAccount.

Добавление устройства в список доверенных из интерфейса приложения

По умолчанию при добавлении устройства в список доверенных устройств доступ к устройству разрешается всем пользователям (группе пользователей "Все").

Чтобы добавить устройство в список доверенных из интерфейса приложения, выполните следующие действия:

1. В главном окне приложения нажмите на кнопку .
2. В окне параметров приложения выберите раздел Контроль безопасности → Контроль устройств.
3. В блоке Настройка доступа нажмите на кнопку Доверенные устройства.

   Откроется список доверенных устройств.

4. Нажмите на кнопку Выбрать.

   Откроется список подключенных устройств. Список устройств зависит от того, какое значение выбрано в раскрывающемся списке Отображать подключенные устройства.

5. В списке устройств выберите устройство, которое вы хотите добавить в список доверенных.
6. В поле Комментарий вы можете указать любую информацию о доверенном устройстве.
7. Выберите пользователей или группы пользователей, для которых вы хотите разрешить доступ к доверенным устройствам.
8. Сохраните внесенные изменения.

Добавление устройства в список доверенных из Kaspersky Security Center

Kaspersky Security Center получает информацию об устройствах, если на компьютерах установлено приложение Kaspersky Endpoint Security и включен Контроль устройств. Добавить устройство в список доверенных, информации о котором в Kaspersky Security Center нет, невозможно.

Вы можете добавить устройство в список доверенных по следующим данным:

• Устройства по идентификатору. Каждое устройство имеет уникальный идентификатор (англ. Hardware ID – HWID). Вы можете просмотреть идентификатор в свойствах устройства средствами операционной системы. Пример идентификатора устройства: SCSI\CDROM&VEN_NECVMWAR&PROD_VMWARE_SATA_CD00\5&354AE4D7&0&000000. Добавлять устройства по идентификатору удобно, если вы хотите добавить несколько определенных устройств.
• Устройства по модели. Каждое устройство имеет идентификатор производителя (англ. Vendor ID – VID) и идентификатор продукта (англ. Product ID – PID). Вы можете просмотреть идентификаторы в свойствах устройства средствами операционной системы. Шаблон для ввода VID и PID: VID_1234&PID_5678. Добавлять устройства по модели удобно, если вы используете в вашей организации устройства определенной модели. Таким образом, вы можете добавить все устройства этой модели.
• Устройства по маске идентификатора. Если вы используете несколько устройств с похожими идентификаторами, вы можете добавить устройства в список доверенных с помощью масок. Символ * заменяет любой набор символов. Kaspersky Endpoint Security не поддерживает символ ? при вводе маски. Например, WDC_C*.
• Устройства по маске модели. Если вы используете несколько устройств с похожими VID или PID (например, устройства одного производителя), вы можете добавить устройства в список доверенных с помощью масок. Символ * заменяет любой набор символов. Kaspersky Endpoint Security не поддерживает символ ? при вводе маски. Например, VID_05AC&PID_*.

Чтобы добавить устройства в список доверенных, выполните следующие действия:

1. Откройте Консоль администрирования Kaspersky Security Center.
2. В папке Управляемые устройства дерева Консоли администрирования откройте папку с названием группы администрирования, в состав которой входят нужные клиентские компьютеры.
3. В рабочей области выберите закладку Политики.
4. Выберите нужную политику и откройте свойства политики двойным щелчком мыши.
5. В окне политики выберите Контроль безопасности → Контроль устройств.
6. В правой части окна выберите закладку Доверенные устройства.
7. Установите флажок Объединять значения при наследовании, если вы хотите создать общий список доверенных устройств для всех компьютеров организации.

   Списки доверенных устройств родительских и дочерних политик будут объединены. Для объединения списков должно быть включено наследование параметров родительской политики. Доверенные устройства родительской политики отображаются в дочерних политиках и доступны только для просмотра. Изменение или удаление доверенных устройств родительской политики невозможно.

8. Нажмите на кнопку Добавить и выберите способ добавления устройства в список доверенных.
9. Для фильтрации устройств в раскрывающемся списке Тип устройств выберите тип устройств (например, Съемные диски).
10. В поле Название / Модель введите идентификатор устройства, модель (VID и PID) или маску в зависимости от выбранного способа добавления.

    Способ добавления устройств по маске модели (VID и PID) имеет особенность. Если вы ввели маску модели, которая не соответствует ни одной модели, Kaspersky Endpoint Security проверяет идентификатор устройства (HWID) на соответствие маске. Kaspersky Endpoint Security проверяет на соответствие только часть идентификатора устройства, определяющую поставщика и тип устройства (SCSI\CDROM&VEN_NECVMWAR&PROD_VMWARE_SATA_CD00\5&354AE4D7&0&000000). Если маска модели соответствует этой части идентификатора устройства, на компьютере в список доверенных устройств будут добавлены устройства удовлетворяющие маске. При этом в Kaspersky Security Center по кнопке Обновить отобразится пустой список устройств. Для корректного отображения списка устройств вы можете использовать способ добавления по маске идентификатора устройства.

11. Для фильтрации устройств в поле Компьютер введите имя компьютера или маску имени компьютера, к которому подключено устройство.

    Символ * заменяет любой набор символов. Символ ? заменяет любой один символ.

12. Нажмите на кнопку Обновить.

    В таблице отобразится список устройств, которые удовлетворяют заданным параметрам фильтрации.

13. Установите флажки напротив названий устройств, которые вы хотите добавить в список доверенных.
14. В поле Комментарий введите описание причины добавления устройств в список доверенных.
15. Справа от поля Разрешать пользователям и / или группам пользователей нажмите на кнопку Выбрать.
16. Выберите пользователя или группу в Active Directory и подтвердите свой выбор.

    По умолчанию доступ к доверенным устройствам разрешен для группы "Все".

17. Сохраните внесенные изменения.

При подключении устройства Kaspersky Endpoint Security проверяет список доверенных устройств для авторизованного пользователя. Если устройство доверенное, Kaspersky Endpoint Security разрешает доступ к устройству со всеми правами, даже если доступ к типу устройств или шине подключения запрещен. Если устройство недоверенное и доступ запрещен, вы можете запросить доступ к заблокированному устройству.

Экспорт и импорт списка доверенных устройств

Для распространения список доверенных устройств на всех компьютеры организации вы можете использовать процедуру экспорта / импорта.

Например, если вам нужно распространить список доверенных съемных дисков, нужно выполнить следующие действия:

1. Последовательно подключите съемные диски к компьютеру.
2. В параметрах Kaspersky Endpoint Security добавьте съемные диски в список доверенных. Если требуется, настройте права доступа пользователей. Например, разрешите доступ к съемным дискам только администраторам.
3. Экспортируйте список доверенных устройств в параметрах Kaspersky Endpoint Security (см. инструкцию ниже).
4. Распространите файл с списком доверенных устройств на остальные компьютеры организации. Например, разместите файл в общей папке.
5. Импортируйте список доверенных устройств в параметрах Kaspersky Endpoint Security на остальных компьютерах организации (см. инструкцию ниже).

Чтобы импортировать или экспортировать список доверенных устройств, выполните следующие действия:

1. В главном окне приложения нажмите на кнопку .
2. В окне параметров приложения выберите раздел Контроль безопасности → Контроль устройств.
3. В блоке Настройка доступа нажмите на кнопку Доверенные устройства.

   Откроется список доверенных устройств.

4. Для экспорта списка доверенных устройств выполните следующие действия:
   1. Выберите доверенные устройства, которые вы хотите экспортировать.
   2. Нажмите на кнопку Экспорт.
   3. В открывшемся окне введите имя файла формата XML, в который вы хотите экспортировать список доверенных устройств, а также выберите папку, в которой вы хотите сохранить этот файл.
   4. Сохраните файл.

      Kaspersky Endpoint Security экспортирует весь список доверенных устройств в XML-файл.

5. Для импорта списка доверенных устройств, выполните следующие действия:
   1. В раскрывающемся списке Импорт выберите нужное действие: Импортировать и добавить к существующему или Импортировать и заменить существующий.
   2. В открывшемся окне выберите XML-файл, из которого вы хотите импортировать список доверенных устройств.
   3. Откройте файл.

      Если на компьютере уже есть список доверенных устройств, Kaspersky Endpoint Security предложит удалить действующий список или добавить в него новые записи из XML-файла.

6. Сохраните внесенные изменения.

При подключении устройства Kaspersky Endpoint Security проверяет список доверенных устройств для авторизованного пользователя. Если устройство доверенное, Kaspersky Endpoint Security разрешает доступ к устройству со всеми правами, даже если доступ к типу устройств или шине подключения запрещен.

Получение доступа к заблокированному устройству

При настройке Контроля устройств вы можете случайно запретить доступ к необходимому для работы устройству.

Если в вашей организации не развернуто решение Kaspersky Security Center, то вы можете предоставить доступ к устройству в параметрах Kaspersky Endpoint Security. Например, вы можете добавить устройство в список доверенных или временно выключить Контроль устройств.

Если в вашей организации развернуто решение Kaspersky Security Center и к компьютерам применена политика, вы можете предоставить доступ к устройству в Консоли администрирования.

Онлайн-режим предоставления доступа

Предоставление доступа к заблокированному устройству в онлайн-режиме доступно только в том случае, если в организации развернуто решение Kaspersky Security Center и к компьютеру применена политика. Компьютер должен иметь возможность установить связь с Сервером администрирования.

Предоставление доступа в онлайн-режиме состоит из следующих этапов:

1. Пользователь отправляет администратору сообщение с запросом на предоставление доступа.
2. Администратор добавляет устройство в список доверенных.

   Вы можете добавить доверенное устройство в политике для группы администрирования или в локальных параметрах приложения для отдельного компьютера.

3. Администратор обновляет параметры Kaspersky Endpoint Security на компьютере пользователя.

   

   Схема предоставления доступа к устройству в онлайн-режиме

Офлайн-режим предоставления доступа

Предоставление доступа к заблокированному устройству в офлайн-режиме доступно только в том случае, если в организации развернуто решение Kaspersky Security Center и к компьютеру применена политика. В параметрах политики в разделе Контроль устройств должен быть установлен флажок Разрешить запрашивать временный доступ.

Если вам необходимо предоставить временный доступ к заблокированному устройству, а добавить устройство в список доверенных невозможно, вы можете предоставить доступ к устройству в офлайн-режиме. Таким образом, вы можете предоставить доступ к заблокированному устройству, если у компьютера отсутствует доступ к сети или компьютер находится за пределами сети организации.

Предоставление доступа в офлайн-режиме состоит из следующих этапов:

1. Пользователь создает файл запроса и передает его администратору.
2. Администратор создает из файла запроса ключ доступа и передает его пользователю.
3. Пользователь активирует ключ доступа.

   

   Схема предоставления доступа к устройству в офлайн-режиме

Онлайн-режим предоставления доступа

Предоставление доступа к заблокированному устройству в онлайн-режиме доступно только в том случае, если в организации развернуто решение Kaspersky Security Center и к компьютеру применена политика. Компьютер должен иметь возможность установить связь с Сервером администрирования.

Чтобы пользователю запросить доступ к заблокированному устройству, выполните следующие действия:

1. Подключите устройство к компьютеру.

   Kaspersky Endpoint Security покажет уведомление блокировки доступа к устройству (см. рис. ниже).

2. Нажмите на ссылку Запросить доступ.

   Откроется окно с сообщением для администратора. В сообщении содержится информация о заблокированном устройстве.

3. Нажмите на кнопку Отправить.

Администратор получит сообщение c запросом на предоставление доступа, например, по электронной почте. Подробнее об обработке запросов пользователей см. в справке Kaspersky Security Center. После добавления устройства в список доверенных и обновления параметров Kaspersky Endpoint Security на компьютере пользователь получит доступ к устройству.

Уведомление Контроля устройств

Офлайн-режим предоставления доступа

Предоставление доступа к заблокированному устройству в офлайн-режиме доступно только в том случае, если в организации развернуто решение Kaspersky Security Center и к компьютеру применена политика. В параметрах политики в разделе Контроль устройств должен быть установлен флажок Разрешать запрашивать временный доступ.

Чтобы пользователю запросить доступ к заблокированному устройству, выполните следующие действия:

1. Подключите устройство к компьютеру.

   Kaspersky Endpoint Security покажет уведомление блокировки доступа к устройству (см. рис. ниже).

2. Нажмите на ссылку Запросить временный доступ.

   Откроется окно со списком подключенных устройств.

3. В списке подключенных устройств выберите устройство, к которому вы хотите получить доступ.
4. Нажмите на кнопку Сформировать файл запроса.
5. В поле Длительность доступа к устройству укажите, на какое время вы хотите получить доступ к устройству.
6. Сохраните файл в память компьютера.

В результате в память компьютера будет загружен файл запроса с расширением *.akey. Передайте файл запроса доступа к устройству администратору локальной сети организации любым доступным способом.

Уведомление Контроля устройств

Как администратору создать ключ доступа к заблокированному устройству в Консоли администрирования (MMC)

Как администратору создать ключ доступа к заблокированному устройству в Web Console и Cloud Console

В результате в память компьютера будет загружен ключ доступа к заблокированному устройству. Файл ключа доступа имеет расширение *.acode. Передайте ключ доступа к заблокированному устройству пользователю любым доступным способом.

Чтобы пользователю активировать ключ доступа, выполните следующие действия:

1. В главном окне приложения нажмите на кнопку .
2. В окне параметров приложения в блоке Контроль безопасности и нажмите на плитку Контроль устройств.
3. В блоке Запрос доступа нажмите на кнопку Запросить доступ к устройству.
4. В открывшемся окне нажмите на кнопку Активировать ключ доступа.
5. В открывшемся окне выберите файл с ключом доступа к устройству, полученный от администратора локальной сети организации.

   Откроется окно с информацией о предоставленном доступе.

6. Нажмите на кнопку OK.

В результате пользователь получит доступ к устройству на срок, установленный администратором. Пользователь получит полный набор прав доступа к устройству (запись и чтение). По истечении срока действия ключа доступ к устройству будет заблокирован. Если пользователю требуется постоянный доступ к устройству, добавьте устройство в список доверенных.

Изменение шаблонов сообщений Контроля устройств

Когда пользователь пытается обратиться к заблокированному устройству, Kaspersky Endpoint Security выводит сообщение о блокировке доступа к устройству или о запрете операции над содержимым устройства. Если блокировка доступа к устройству или запрет операции с содержимым устройства, по мнению пользователя, произошло ошибочно, пользователь может отправить сообщение администратору локальной сети организации по ссылке из текста сообщения о блокировке.

Для сообщения о блокировке доступа к устройству или запрете операции над содержимым устройства, а также для сообщения администратору предусмотрены шаблоны. Вы можете изменять шаблоны сообщений.

Чтобы изменить шаблоны сообщений Контроля устройств, выполните следующие действия:

1. В главном окне приложения нажмите на кнопку .
2. В окне параметров приложения выберите раздел Контроль безопасности → Контроль устройств.
3. В блоке Шаблоны сообщений настройте шаблоны сообщений Контроля устройств:
   • Сообщение о блокировке. Шаблон сообщения, которое появляется при обращении пользователя к заблокированному устройству. Также сообщение появляется при попытке пользователя совершить операцию над содержимым устройства, которая запрещена для этого пользователя.
   • Сообщение администратору. Шаблон сообщения для отправки администратору локальной сети организации в случае, если блокировка доступа к устройству или запрет операции над содержимым устройства, по мнению пользователя, произошли ошибочно. После запроса пользователя предоставить доступ Kaspersky Endpoint Security отправляет в Kaspersky Security Center событие Сообщение администратору о запрете доступа к устройству. Описание события содержит сообщение администратору с подставленными переменными. Вы можете посмотреть эти события в консоли Kaspersky Security Center с помощью предустановленной выборки Запросы пользователей. Если в вашей организации не развернуто решение Kaspersky Security Center или связь с Сервером администрирования отсутствует, приложение отправит сообщение администратору на указанный адрес электронной почты.
4. Сохраните внесенные изменения.

Анти-Бриджинг

Анти-Бриджинг предотвращает создание сетевых мостов, исключая возможность одновременной установки нескольких сетевых соединений для компьютера. Это позволяет защитить корпоративную сеть от атак через незащищенные, несанкционированные сети.

Анти-Бриджинг регулирует установку сетевых соединений с помощью правил установки соединений.

Правила установки соединений созданы для следующих предустановленных типов устройств:

• сетевые адаптеры;
• адаптеры Wi-Fi;
• модемы.

Если правило установки соединений включено, то Kaspersky Endpoint Security выполняет следующие действия:

• блокирует активное соединение при установке нового соединения, если для обоих соединений используется указанный в правиле тип устройств;
• блокирует соединения, установленные или устанавливаемые с помощью тех типов устройств, для которых используются правила с более низким приоритетом.

Включение Анти-Бриджинга

По умолчанию функция Анти-Бриджинг выключена.

Чтобы включить функцию Анти-Бриджинг, выполните следующие действия:

1. В главном окне приложения нажмите на кнопку .
2. В окне параметров приложения выберите раздел Контроль безопасности → Контроль устройств.
3. В блоке Настройка доступа нажмите на кнопку Анти-Бриджинг.
4. Используйте переключатель Включить Анти-Бриджинг, чтобы включить или выключить функцию.
5. Сохраните внесенные изменения.

После включения функции Анти-Бриджинг Kaspersky Endpoint Security блокирует уже установленные соединения в соответствии с правилами установки соединений.

Изменение статуса правила установки соединений

Чтобы изменить статус правила установки соединений, выполните следующие действия:

1. В главном окне приложения нажмите на кнопку .
2. В окне параметров приложения выберите раздел Контроль безопасности → Контроль устройств.
3. В блоке Настройка доступа нажмите на кнопку Анти-Бриджинг.
4. В блоке Правила устройств выберите правило, статус которого вы хотите изменить.
5. Используйте переключатели в графе Контроль, чтобы включить или выключить правило.
6. Сохраните внесенные изменения.

Изменение приоритета правила установки соединений

Чтобы изменить приоритет правила установки соединений, выполните следующие действия:

1. В главном окне приложения нажмите на кнопку .
2. В окне параметров приложения выберите раздел Контроль безопасности → Контроль устройств.
3. В блоке Настройка доступа нажмите на кнопку Анти-Бриджинг.
4. В блоке Правила устройств выберите правило, приоритет которого вы хотите изменить.
5. Кнопками Вверх / Вниз установите приоритет правила установки соединений.

   Чем выше правило в таблице правил, тем выше у него приоритет. Функция Анти-Бриджинг блокирует все соединения, кроме одного соединения, установленного с помощью того типа устройств, для которого используется правило с наиболее высоким приоритетом.

6. Сохраните внесенные изменения.

Адаптивный контроль аномалий

Этот компонент доступен, если приложение Kaspersky Endpoint Security установлено на компьютере под управлением операционной системы Windows для рабочих станций. Этот компонент недоступен, если приложение Kaspersky Endpoint Security установлено на компьютере под управлением операционной системы Windows для серверов.

Компонент Адаптивный контроль аномалий отслеживает и блокирует действия, нехарактерные для компьютеров сети организации. Для отслеживания нехарактерных действий Адаптивный контроль аномалий использует набор правил (например, правило Запуск Windows PowerShell из офисного приложения). Правила созданы специалистами "Лаборатории Касперского" на основе типичных сценариев вредоносной активности. Вы можете выбрать поведение Адаптивного контроля аномалий для каждого из правил и, например, разрешить запуск PowerShell-скриптов для автоматизации решения корпоративных задач. Kaspersky Endpoint Security обновляет набор правил с базами приложения. Обновление набора правил нужно подтверждать вручную.

Настройка Адаптивного контроля аномалий

Настройка Адаптивного контроля аномалий состоит из следующих этапов:

1. Обучение Адаптивного контроля аномалий.

   После включения Адаптивного контроля аномалий правила работают в обучающем режиме. В ходе обучения Адаптивный контроль аномалий отслеживает срабатывание правил и отправляет события срабатывания в Kaspersky Security Center. Каждое правило имеет свой срок действия обучающего режима. Срок действия обучающего режима устанавливают специалисты "Лаборатории Касперского". Обычно срок действия обучающего режима составляет 2 недели.

   Если в ходе обучения правило ни разу не сработало, Адаптивный контроль аномалий будет считать действия, связанные с этим правилом, нехарактерным. Kaspersky Endpoint Security будет блокировать все действия, связанные с этим правилом.

   Если в ходе обучения правило сработало, Kaspersky Endpoint Security регистрирует события в отчете о срабатываниях правил и в хранилище Срабатывание правил в состоянии Интеллектуальное обучение.

2. Анализ отчета о срабатывании правил.

   Администратор анализирует отчет о срабатываниях правил или содержание хранилища Срабатывание правил в состоянии Интеллектуальное обучение. Далее администратор может выбрать поведение Адаптивного контроля аномалий при срабатывании правила: блокировать или разрешить. Также администратор может продолжить отслеживать срабатывание правила и продлить работу приложения в обучающем режиме. Если администратор не предпринимает никаких мер, приложение также продолжит работать в обучающем режиме. Отсчет срока действия обучающего режима начинается заново.

Настройка Адаптивного контроля аномалий происходит в режиме реального времени. Настройка Адаптивного контроля аномалий осуществляется по следующим каналам:

• Адаптивный контроль аномалий автоматически начинает блокировать действия, связанные с правилами, которые не сработали в течение обучающего режима.
• Kaspersky Endpoint Security добавляет новые правила или удаляет неактуальные.
• Администратор настраивает работу Адаптивного контроля аномалий после анализа отчета о срабатывании правил и содержимого хранилища Срабатывание правил в состоянии Интеллектуальное обучение. Рекомендуется проверять отчет о срабатывании правил и содержимое хранилища Срабатывание правил в состоянии Интеллектуальное обучение.

При попытке вредоносного приложения выполнить действие, Kaspersky Endpoint Security заблокирует действие и покажет уведомление (см. рис. ниже).

Уведомление Адаптивного контроля аномалий

Алгоритм работы Адаптивного контроля аномалий

Kaspersky Endpoint Security принимает решение о выполнении действия, связанного с правилом, по следующему алгоритму (см. рис. ниже).

Алгоритм работы Адаптивного контроля аномалий

Включение и выключение Адаптивного контроля аномалий

По умолчанию Адаптивный контроль аномалий включен.

Чтобы включить или выключить Адаптивный контроль аномалий, выполните следующие действия:

1. В главном окне приложения нажмите на кнопку .
2. В окне параметров приложения в блоке Контроль безопасности и нажмите на плитку Адаптивный контроль аномалий.
3. Используйте переключатель Адаптивный контроль аномалий, чтобы включить или выключить компонент.
4. Сохраните внесенные изменения.

В результате Адаптивный контроль аномалий перейдет в обучающий режим. В ходе обучения Адаптивный контроль аномалий отслеживает срабатывание правил. После завершения обучения Адаптивный контроль аномалий блокирует действия, нехарактерные для компьютеров сети организации.

Если в вашей организации начали использовать новые инструменты для работы, и Адаптивный контроль аномалий блокирует действия этих инструментов, вы можете сбросить результаты работы обучающего режима и повторить обучение. Для этого вам нужно изменить действие при срабатывании правила (например, установите значение Информировать). Затем вам нужно заново включить обучающий режим (установите значение Интеллектуальное).

Включение и выключение правила Адаптивного контроля аномалий

Чтобы включить или выключить правило Адаптивного контроля аномалий, выполните следующие действия:

1. В главном окне приложения нажмите на кнопку .
2. В окне параметров приложения выберите раздел Контроль безопасности → Адаптивный контроль аномалий.
3. В блоке Правила нажмите на кнопку Изменить правила.

   Откроется список правил Адаптивного контроля аномалий.

4. В таблице выберите набор правил (например, Активность офисных приложений) и разверните набор.
5. Выберите правило (например, Запуск Windows PowerShell из офисных приложений).
6. Используйте переключатель в графе Состояние, чтобы включить или выключить правило Адаптивного контроля аномалий.
7. Сохраните внесенные изменения.

Изменение действия при срабатывании правила Адаптивного контроля аномалий

Чтобы изменить действие при срабатывании правила Адаптивного контроля аномалий, выполните следующие действия:

1. В главном окне приложения нажмите на кнопку .
2. В окне параметров приложения выберите раздел Контроль безопасности → Адаптивный контроль аномалий.
3. В блоке Правила нажмите на кнопку Изменить правила.

   Откроется список правил Адаптивного контроля аномалий.

4. В таблице выберите правило.
5. Нажмите на кнопку Изменить.

   Откроется окно свойств правила Адаптивного контроля аномалий.

6. В блоке Действие выберите один из следующих пунктов:
   • Интеллектуальное. Если выбран этот вариант, то правило Адаптивного контроля аномалий работает в обучающем режиме в течение периода, определенного специалистами "Лаборатории Касперского". В этом режиме при срабатывании правила Адаптивного контроля аномалий Kaspersky Endpoint Security разрешает активность, подпадающую под это правило, и создает запись в хранилище Срабатывание правил в состоянии Интеллектуальное обучение Сервера администрирования Kaspersky Security Center. По истечении периода работы обучающего режима Kaspersky Endpoint Security блокирует активность, подпадающую под правило Адаптивного контроля аномалий, и создает в журнале запись, содержащую информацию об этой активности.
   • Блокировать. Если выбрано это действие, то при срабатывании правила Адаптивного контроля аномалий Kaspersky Endpoint Security блокирует активность, подпадающую под это правило, и создает в журнале запись, содержащую информацию об этой активности.
   • Информировать. Если выбрано это действие, то при срабатывании правила Адаптивного контроля аномалий Kaspersky Endpoint Security разрешает активность, подпадающую под это правило, и создает в журнале запись, содержащую информацию об этой активности.
7. Сохраните внесенные изменения.

Создание исключения для правила Адаптивного контроля аномалий

Для правил Адаптивного контроля аномалий невозможно создать более 1000 исключений. Не рекомендуется создавать более 200 исключений. Чтобы уменьшить количество используемых исключений, рекомендуется использовать маски в параметрах исключений.

Исключение для правила Адаптивного контроля аномалий включает в себя описание исходных и целевых объектов. Исходный объект – объект, который выполняет действия. Целевой объект – объект, над которым выполняются действия. Например, вы открыли файл file.xlsx. В результате в память компьютера была добавлена библиотека с расширением dll, которую использует браузер (исполняемый файл browser.exe). В данном примере file.xlsx – исходный объект, Excel – исходный процесс, browser.exe – целевой объект, Browser – целевой процесс.

Чтобы создать исключение для правила Адаптивного контроля аномалий, выполните следующие действия:

1. В главном окне приложения нажмите на кнопку .
2. В окне параметров приложения выберите раздел Контроль безопасности → Адаптивный контроль аномалий.
3. В блоке Правила нажмите на кнопку Изменить правила.

   Откроется список правил Адаптивного контроля аномалий.

4. В таблице выберите правило.
5. Нажмите на кнопку Изменить.

   Откроется окно свойств правила Адаптивного контроля аномалий.

6. В блоке Исключения нажмите на кнопку Добавить.

   Откроется окно свойств исключения.

7. Выберите пользователя, для которого вы хотите настроить исключение.

   Адаптивный контроль аномалий не поддерживает исключения для групп пользователей. Если вы выберите группу пользователей, Kaspersky Endpoint Security не применит исключение.

8. В поле Описание введите описание исключения.
9. Задайте параметры исходного объекта или исходного процесса, запущенных объектом:
   • Исходный процесс. Путь или маска пути к файлу или папке с файлами (например, C:\Dir\File.exe или Dir\*.exe).
   • Хеш исходного процесса. Хеш файла.
   • Исходный объект. Путь или маска пути к файлу или папке с файлами (например, C:\Dir\File.exe или Dir\*.exe). Например, путь к файлу document.docm, который запускает целевые процессы с помощью скрипта или макроса.

     Вы также можете указать другие объекты для исключения, например, веб-адрес, макрос, команду в командной строке, путь реестра и другие. Укажите объект по следующему шаблону: object://<объект>, где <объект> – название объекта, например, object://web.site.example.com, object://VBA, object://ipconfig, object://HKEY_USERS. Вы также можете использовать маски, например, object://*C:\Windows\temp\*.

   • Хеш исходного объекта. Хеш файла.

   Правило Адаптивного контроля аномалий не распространяется на действия, выполняемые объектом, или на процессы, запущенные объектом.

10. Задайте параметры целевого объекта или целевых процессов, запущенных над объектом.
    • Целевой процесс. Путь или маска пути к файлу или папке с файлами (например, C:\Dir\File.exe или Dir\*.exe).
    • Хеш целевого процесса. Хеш файла.
    • Целевой объект. Команда запуска целевого процесса. Укажите команду по следующему шаблону object://<команда>, например, object://cmdline:powershell -Command "$result = 'C:\Windows\temp\result_local_users_pwdage.txt'". Также вы можете использовать маски, например, object://*C:\Windows\temp\*.
    • Хеш целевого объекта. Хеш файла.

    Правило Адаптивного контроля аномалий не распространяется на действия над объектом или на процессы, запущенные над объектом.

11. Сохраните внесенные изменения.

Экспорт и импорт исключений для правил Адаптивного контроля аномалий

Чтобы экспортировать или импортировать список исключений для выбранных правил, выполните следующие действия:

1. В главном окне приложения нажмите на кнопку .
2. В окне параметров приложения выберите раздел Контроль безопасности → Адаптивный контроль аномалий.
3. В блоке Правила нажмите на кнопку Изменить правила.

   Откроется список правил Адаптивного контроля аномалий.

4. Для экспорта списка исключений выполните следующие действия:
   1. Выберите правила, исключения для которых вы хотите экспортировать.
   2. Нажмите на кнопку Экспорт.
   3. В открывшемся окне введите имя файла формата XML, в который вы хотите экспортировать список исключений, а также выберите папку, в которой вы хотите сохранить этот файл.
   4. Подтвердите, что вы хотите экспортировать только выбранные исключения, или экспортируйте весь список.
   5. Сохраните файл.
5. Для импорта списка исключений, выполните следующие действия:
   1. Нажмите на кнопку Импорт.
   2. В открывшемся окне выберите XML-файл, из которого вы хотите импортировать список исключений.
   3. Откройте файл.

      Если на компьютере уже есть список исключений, Kaspersky Endpoint Security предложит удалить действующий список или добавить в него новые записи из XML-файла.

6. Сохраните внесенные изменения.

Применение обновлений для правил Адаптивного контроля аномалий

Новые правила Адаптивного контроля аномалий могут быть добавлены в таблицу правил и существующие правила Адаптивного контроля аномалий могут быть удалены из таблицы правил по результату обновления антивирусных баз. Kaspersky Endpoint Security выделяет удаляемые и добавляемые правила Адаптивного контроля аномалий в таблице, если для этих правил обновление не было применено.

До тех пор, пока обновление не применено, Kaspersky Endpoint Security отображает удаленные в результате обновления правила Адаптивного контроля аномалий в таблице правил и присваивает этим правилам статус Выключено. Изменение параметров этих правил невозможно.

Чтобы применить обновления для правил Адаптивного контроля аномалий, выполните следующие действия:

1. В главном окне приложения нажмите на кнопку .
2. В окне параметров приложения выберите раздел Контроль безопасности → Адаптивный контроль аномалий.
3. В блоке Правила нажмите на кнопку Изменить правила.

   Откроется список правил Адаптивного контроля аномалий.

4. В открывшемся окне нажмите на кнопку Подтвердить обновления.

   Кнопка Подтвердить обновления доступна, если доступно обновление для правил Адаптивного контроля аномалий.

5. Сохраните внесенные изменения.

Изменение шаблонов сообщений Адаптивного контроля аномалий

Когда пользователь пытается выполнить действие, запрещенное правилами Адаптивного контроля аномалий, Kaspersky Endpoint Security выводит сообщение о блокировке потенциально опасных действий. Если блокировка, по мнению пользователя, произошла ошибочно, по ссылке из текста сообщения о блокировке пользователь может отправить сообщение администратору локальной сети организации.

Для сообщения о блокировке потенциально опасных действий и сообщения администратору предусмотрены шаблоны. Вы можете изменять шаблоны сообщений.

Чтобы изменить шаблон сообщения, выполните следующие действия:

1. В главном окне приложения нажмите на кнопку .
2. В окне параметров приложения выберите раздел Контроль безопасности → Адаптивный контроль аномалий.
3. В блоке Шаблоны настройте шаблоны сообщений Адаптивного контроля аномалий:
   • Сообщение о блокировке. Шаблон сообщения для пользователя, которое появляется при срабатывании правила Адаптивного контроля аномалий, блокирующего нехарактерное действие.
   • Сообщение администратору. Шаблон сообщения для отправки администратору локальной сети организации в случае, если блокировка действия, по мнению пользователя, произошла ошибочно. После запроса пользователя предоставить доступ Kaspersky Endpoint Security отправляет в Kaspersky Security Center событие Сообщение администратору о запрете действия приложения. Описание события содержит сообщение администратору с подставленными переменными. Вы можете посмотреть эти события в консоли Kaspersky Security Center с помощью предустановленной выборки Запросы пользователей. Если в вашей организации не развернуто решение Kaspersky Security Center или связь с Сервером администрирования отсутствует, приложение отправит сообщение администратору на указанный адрес электронной почты.
4. Сохраните внесенные изменения.

Просмотр отчетов Адаптивного контроля аномалий

Чтобы просмотреть отчеты Адаптивного контроля аномалий, выполните следующие действия:

1. Откройте Консоль администрирования Kaspersky Security Center.
2. В папке Управляемые устройства дерева Консоли администрирования откройте папку с названием группы администрирования, в состав которой входят нужные клиентские компьютеры.
3. В рабочей области выберите закладку Политики.
4. Выберите нужную политику и откройте свойства политики двойным щелчком мыши.
5. В окне политики выберите Контроль безопасности → Адаптивный контроль аномалий.

   В правой части окна отобразятся параметры компонента Адаптивный контроль аномалий.

6. Выполните одно из следующих действий:
   • Если вы хотите просмотреть отчет о параметрах правил Адаптивного контроля аномалий, нажмите на кнопку Отчет о состоянии правил Адаптивного контроля аномалий.
   • Если вы хотите просмотреть отчет о срабатываниях правил Адаптивного контроля аномалий, нажмите на кнопку Отчет о срабатываниях правил Адаптивного контроля аномалий.
7. Запустится процесс формирования отчета.

Отчет отобразится в новом окне.

Контроль приложений

Контроль приложений управляет запуском приложений на компьютерах пользователей. Это позволяет выполнить политику безопасности организации при использовании приложений. Также Контроль приложений снижает риск заражения компьютера, ограничивая доступ к приложениям.

Настройка Контроля приложений состоит из следующих этапов:

1. Создание категорий приложений.

   Администратор создает категории приложений, которыми администратор хочет управлять. Категории приложений предназначены для всех компьютеров сети организации независимо от групп администрирования. Для создания категории вы можете использовать следующие критерии: KL-категория (например, Браузеры), хеш файла, производитель приложения и другие.

2. Создание правил Контроля приложений.

   Администратор создает правила Контроля приложений в политике для группы администрирования. Правило включает в себя категории приложений и статус запуска приложений из этих категорий: запрещен или разрешен.

3. Выбор режима работы Контроля приложений.

   Администратор выбирает режим работы с приложениями, которые не входят ни в одно из правил (списки запрещенных и разрешенных приложений).

При попытке пользователя запустить запрещенное приложение, Kaspersky Endpoint Security заблокирует запуск приложения и покажет уведомление (см. рис. ниже).

Для проверки настройки Контроля приложений предусмотрен тестовый режим. В этом режиме Kaspersky Endpoint Security выполняет следующие действия:

• разрешает запуск приложений, в том числе запрещенных;
• показывает уведомление о запуске запрещенного приложения и добавляет информацию в отчет на компьютере пользователя;
• отправляет данные о запуске запрещенных приложений в Kaspersky Security Center.

  

  Уведомление Контроля приложений

Режимы работы Контроля приложений

Компонент Контроль приложений может работать в двух режимах:

• Список запрещенных. Режим, при котором Контроль приложений разрешает пользователям запуск любых приложений, кроме тех, которые запрещены в правилах Контроля приложений.

  Этот режим работы Контроля приложений установлен по умолчанию.

• Список разрешенных. Режим, при котором Контроль приложений запрещает пользователям запуск любых приложений, кроме тех, которые разрешены и не запрещены в правилах Контроля приложений.

  Если разрешающие правила Контроля приложений сформированы максимально полно, компонент запрещает запуск всех новых приложений, не проверенных администратором локальной сети организации, но обеспечивает работоспособность операционной системы и проверенных приложений, которые нужны пользователям для выполнения должностных обязанностей.

  Вы можете ознакомиться с рекомендациями по настройке правил Контроля приложений в режиме списка разрешенных приложений.

Настройка Контроля приложений для работы в этих режимах возможна как в локальном интерфейсе Kaspersky Endpoint Security, так и с помощью Kaspersky Security Center.

Однако Kaspersky Security Center предоставляет инструменты, недоступные в локальном интерфейсе Kaspersky Endpoint Security и необходимые для следующих задач:

• Создание категорий приложений.

  Правила Контроля приложений, сформированные в Консоли администрирования Kaspersky Security Center, основываются на созданных вами категориях приложений, а не на включающих и исключающих условиях, как в локальном интерфейсе Kaspersky Endpoint Security.

• Получение информации о приложениях, которые установлены на компьютерах локальной сети организации.

Поэтому настройку работы компонента Контроль приложений рекомендуется выполнять с помощью Kaspersky Security Center.

Алгоритм работы Контроля приложений

Kaspersky Endpoint Security использует алгоритм для принятия решения о запуске приложения (см. рис. ниже).

Алгоритм работы Контроля приложений

Ограничения функциональности Контроля приложений

Работа компонента Контроль приложений ограничена в следующих случаях:

• При обновлении версии приложения импорт параметров компонента Контроль приложений не поддерживается.
• При обновлении версии приложения импорт параметров компонента Контроль приложений поддерживается только при обновлении версии Kaspersky Endpoint Security 10 Service Pack 2 для Windows и выше до Kaspersky Endpoint Security 11.10.0 для Windows.

  При обновлении версий приложения, отличных от Kaspersky Endpoint Security 10 Service Pack 2 для Windows, для восстановления работоспособности Контроля приложений необходимо заново настроить параметры работы компонента.

• При отсутствии соединения с серверами KSN Kaspersky Endpoint Security получает информацию о репутации приложения и их модулей только из локальных баз.

  Список приложений, для которых Kaspersky Endpoint Security определяет KL-категорию Другие программы / Программы, доверенные согласно репутации в KSN, при наличии соединения с серверами KSN может отличаться от списка приложений, для которых Kaspersky Endpoint Security определяет KL-категорию Другие программы / Программы доверенные согласно репутации в KSN, при отсутствии соединения с KSN.

• В базе данных Kaspersky Security Center может храниться информация о 150 000 обработанных файлов. При достижении этого количества записей новые файлы не будут обработаны. Для возобновления работы инвентаризации требуется удалить с компьютера, на котором установлено приложение Kaspersky Endpoint Security, файлы, учтенные в базе данных Kaspersky Security Center ранее в результате инвентаризации.
• Компонент не контролирует запуск скриптов, если скрипт передается интерпретатору не через командную строку.

  Если запуск интерпретатора разрешен правилами Контроля приложений, то компонент не блокирует скрипт, запущенный из этого интерпретатора.

  Если запуск хотя бы одного из скриптов, указанных в командной строке интерпретатора, запрещен правилами Контроля приложений, то компонент блокирует все скрипты, указанные в командной строке интерпретатора.

• Компонент не контролирует запуск скриптов из интерпретаторов, не поддерживаемых приложением Kaspersky Endpoint Security.

  Kaspersky Endpoint Security поддерживает следующие интерпретаторы:

  • Java;
  • PowerShell.

  Поддерживаются следующие типы интерпретаторов:

  • %ComSpec%;
  • %SystemRoot%\\system32\\regedit.exe;
  • %SystemRoot%\\regedit.exe;
  • %SystemRoot%\\system32\\regedt32.exe;
  • %SystemRoot%\\system32\\cscript.exe;
  • %SystemRoot%\\system32\\wscript.exe;
  • %SystemRoot%\\system32\\msiexec.exe;
  • %SystemRoot%\\system32\\mshta.exe;
  • %SystemRoot%\\system32\\rundll32.exe;
  • %SystemRoot%\\system32\\wwahost.exe;
  • %SystemRoot%\\syswow64\\cmd.exe;
  • %SystemRoot%\\syswow64\\regedit.exe;
  • %SystemRoot%\\syswow64\\regedt32.exe;
  • %SystemRoot%\\syswow64\\cscript.exe;
  • %SystemRoot%\\syswow64\\wscript.exe;
  • %SystemRoot%\\syswow64\\msiexec.exe;
  • %SystemRoot%\\syswow64\\mshta.exe;
  • %SystemRoot%\\syswow64\\rundll32.exe;
  • %SystemRoot%\\syswow64\\wwahost.exe.

Получение информации о приложениях, которые установлены на компьютерах пользователей

Для создания оптимальных правил Контроля приложений рекомендуется получить представление о приложениях, используемых на компьютерах локальной сети организации. Для этого вы можете получить следующую информацию:

• производители, версии и локализации приложений, которые используются в локальной сети организации;
• регулярность обновлений приложений;
• политики использования приложений, принятые в организации (это могут быть политики безопасности или административные политики);
• расположение хранилища дистрибутивов приложений.

Чтобы получить информацию о приложениях, которые используются на компьютерах локальной сети организации, вы можете использовать данные, представленные в папках Реестр программ и Исполняемые файлы. Папки Реестр программ и Исполняемые файлы входят в состав папки Управление программами дерева Консоли администрирования Kaspersky Security Center.

Папка Реестр программ содержит список приложений, которые обнаружил на клиентских компьютерах установленный на них

Папка Исполняемые файлы содержит список исполняемых файлов, которые когда-либо запускались на клиентских компьютерах или были обнаружены в процессе работы задачи инвентаризации для Kaspersky Endpoint Security.

Открыв окно свойств выбранного приложения в папке Реестр программ или Исполняемые файлы, вы можете получить общую информацию о приложении и о его исполняемых файлах, а также просмотреть список компьютеров, на которых установлено это приложение.

Чтобы открыть окно свойств приложения в папке Реестр программ, выполните следующие действия:

1. Откройте Консоль администрирования Kaspersky Security Center.
2. В дереве Консоли администрирования выберите Дополнительно → Управление программами → Реестр программ.
3. Выберите приложение.
4. В контекстном меню приложения выберите пункт Свойства.

Чтобы открыть окно свойств исполняемого файла в папке Исполняемые файлы, выполните следующие действия:

1. Откройте Консоль администрирования Kaspersky Security Center.
2. В дереве Консоли администрирования выберите папку Дополнительно → Управление программами → Исполняемые файлы.
3. Выберите исполняемый файл.
4. В контекстном меню исполняемого файла выберите пункт Свойства.

Включение и выключение Контроля приложений

По умолчанию Контроль приложений выключен.

Чтобы включить или выключить Контроль приложений выполните следующие действия:

1. В главном окне приложения нажмите на кнопку .
2. В окне параметров приложения выберите раздел Контроль безопасности → Контроль приложений.
3. Используйте переключатель Контроль приложений, чтобы включить или выключить компонент.
4. Сохраните внесенные изменения.

В результате, если Контроль приложений включен, приложение передает в Kaspersky Security Center информацию о запущенных исполняемых файлах. Вы можете просмотреть список запущенных исполняемых файлов в Kaspersky Security Center в папке Исполняемые файлы. Для получения информации обо всех исполняемых файлах, а не только о запущенных файлах, запустите задачу Инвентаризация.

Выбор режима Контроля приложений

Чтобы выбрать режим Контроля приложений, выполните следующие действия:

1. В главном окне приложения нажмите на кнопку .
2. В окне параметров приложения выберите раздел Контроль безопасности → Контроль приложений.
3. В блоке Режим контроля запуска приложений выберите один из следующих вариантов:
   • Список запрещенных. Если выбран этот вариант, Контроль приложений разрешает всем пользователям запуск любых приложений, кроме случаев, удовлетворяющих условиям запрещающих правил Контроля приложений.
   • Список разрешенных. Если выбран этот вариант, Контроль приложений запрещает всем пользователям запуск любых приложений, кроме случаев, удовлетворяющих условиям разрешающих правил Контроля приложений.

     Для режима Список разрешенных приложений изначально заданы правила Приложения ОС и Доверенные приложения обновления. Эти правила Контроля приложений соответствуют KL-категориям. В KL-категорию "Приложения ОС" входят приложения, обеспечивающие нормальную работу операционной системы. В KL-категорию "Доверенные приложения обновления" входят приложения обновления наиболее известных производителей программного обеспечения. Вы не можете удалить эти правила. Параметры этих правил недоступны для изменения. По умолчанию правило Приложения ОС включено, а правило Доверенные приложения обновления выключено. Запуск приложений, соответствующих условиям срабатывания этих правил, разрешен всем пользователям.

   Все правила, сформированные при выбранном режиме, сохраняются после смены режима для возможности их повторного использования. Чтобы вернуться к использованию этих правил, достаточно выбрать нужный режим.

4. В блоке Действие при запуске запрещенных приложений выберите, какое действие компонент должен выполнять при попытке пользователя запустить приложение, запрещенную правилами Контроля приложений.
5. Установите флажок Контролировать загрузку DLL-модулей, если вы хотите, чтобы приложение Kaspersky Endpoint Security контролировало загрузку DLL-модулей при запуске пользователями приложений.

   Информация о модуле и приложении, загрузившей этот модуль, будет сохранена в отчет.

   Kaspersky Endpoint Security контролирует только DLL-модули и драйверы, загруженные с момента установки флажка. Перезагрузите компьютер после установки флажка, если вы хотите, чтобы приложение Kaspersky Endpoint Security контролировало все DLL-модули и драйверы, включая те, которые загружаются до запуска Kaspersky Endpoint Security.

   При включении функции контроля загрузки DLL-модулей и драйверов убедитесь, что в параметрах Контроля приложений включено правило по умолчанию Приложения ОС или другое правило, которое содержит KL-категорию "Доверенные сертификаты" и обеспечивает загрузку доверенных DLL-модулей и драйверов до запуска Kaspersky Endpoint Security. Включение контроля загрузки DLL-модулей и драйверов при выключенном правиле Приложения ОС может привести к нестабильности операционной системы.

   Рекомендуется включить защиту паролем для настройки параметров приложения, чтобы иметь возможность выключить запрещающие правила, блокирующие запуск критически важных DLL-модулей и драйверов, не изменяя при этом параметры политики Kaspersky Security Center.

6. Сохраните внесенные изменения.

Управление правилами Контроля приложений

Kaspersky Endpoint Security контролирует запуск приложений пользователями с помощью правил. В правиле Контроля приложений содержатся условия срабатывания и действия компонента Контроль приложений при срабатывании правила (разрешение или запрещение пользователям запускать приложение).

Условия срабатывания правила

Условие срабатывания правила представляет собой соответствие "тип условия - критерий условия - значение условия". На основании условий срабатывания правила Kaspersky Endpoint Security применяет (или не применяет) правило к приложению.

В правилах используются следующие типы условий:

• Включающие условия. Kaspersky Endpoint Security применяет правило к приложению, если приложение соответствует хотя бы одному включающему условию.
• Исключающие условия. Kaspersky Endpoint Security не применяет правило к приложению, если приложение соответствует хотя бы одному исключающему условию или не соответствует ни одному включающему условию.

Условия срабатывания правила формируются с помощью критериев. Для формирования условий в Kaspersky Endpoint Security используются следующие критерии:

• путь к папке с исполняемым файлом приложения или путь к исполняемому файлу приложения;
• метаданные: название исполняемого файла приложения, версия исполняемого файла приложения, название приложения, версия приложения, производитель приложения;
• хеш исполняемого файла приложения;
• сертификат: издатель, субъект, отпечаток;
• принадлежность приложения к KL-категории;
• расположение исполняемого файла приложения на съемном диске.

Для каждого критерия, используемого в условии, нужно указать его значение. Если параметры запускаемого приложения соответствуют значениям критериев, указанных во включающем условии, правило срабатывает. В этом случае Контроль приложений выполняет действие, прописанное в правиле. Если параметры приложения соответствуют значениям критериев, указанных в исключающем условии, Контроль приложений не контролирует запуск приложения.

Если в качестве условия срабатывания правила вы выбрали сертификат, вам нужно убедиться, что этот сертификат добавлен в доверенное системное хранилище на компьютере, и проверить параметры использования доверенного системного хранилища в приложении.

Решения компонента Контроль приложений при срабатывании правила

При срабатывании правила Контроль приложений в соответствии с правилом разрешает или запрещает пользователям (группам пользователей) запускать приложения. Вы можете выбирать отдельных пользователей или группы пользователей, которым разрешен или запрещен запуск приложений, для которых срабатывает правило.

Если в правиле не указан ни один пользователь, которому разрешен запуск приложений, удовлетворяющих правилу, правило называется запрещающим.

Если в правиле не указан ни один пользователь, которому запрещен запуск приложений, удовлетворяющих правилу, правило называется разрешающим.

Приоритет запрещающего правила выше приоритета разрешающего правила. Например, если для группы пользователей назначено разрешающее правило Контроля приложений и для одного из пользователей этой группы назначено запрещающее правило Контроля приложений, то этому пользователю будет запрещен запуск приложения.

Статус работы правила

Правила Контроля приложений могут иметь один из следующих статусов работы:

• Включено. Статус означает, что правило используется во время работы компонента Контроль приложений.
• Выключено. Статус означает, что правило не используется во время работы компонента Контроль приложений.
• Тестирование. Статус означает, что Kaspersky Endpoint Security разрешает запуск приложений, на которые распространяется действие правила, но заносит информацию о запуске этих приложений в отчет.

Добавление условия срабатывания правила Контроля приложений

Для удобства формирования правил Контроля приложений вы можете создать категории приложений.

Рекомендуется создать категорию "приложения для работы", которая включает в себя стандартный набор приложений, используемых в организации. Если различные группы пользователей используют различные наборы приложений для работы, вы можете создать отдельную категорию приложений для работы каждой группы пользователей.

Чтобы создать категорию приложений в Консоли администрирования, выполните следующие действия:

1. Откройте Консоль администрирования Kaspersky Security Center.
2. В дереве Консоли администрирования выберите папку Дополнительно → Управление программами → Категории программ.
3. В рабочей области нажмите на кнопку Новая категория.

   Запустится мастер создания пользовательской категории.

4. Следуйте указаниям мастера создания пользовательской категории.

Шаг 1. Выбор типа категории

На этом шаге выберите один из следующих типов категорий приложений:

• Пополняемая вручную категория. Если вы выбрали этот тип категории, то на шаге "Настройка условий для включения приложений в категорию" и шаге "Настройка условий для исключения приложений из категории" вы сможете задать критерии, по которым исполняемые файлы будут попадать в категорию.
• Категория, в которую входят исполняемые файлы с выбранных устройств. Если вы выбрали этот тип категории, то на шаге "Параметры" вы сможете указать компьютер, исполняемые файлы c которого будут автоматически попадать в категорию.
• Категория, в которую входят исполняемые файлы из указанной папки. Если вы выбрали этот тип категории, то на шаге "Папка хранилища" вы сможете указать папку, исполняемые файлы из которой будут автоматически попадать в категорию.

При создании автоматически пополняемой категории Kaspersky Security Center выполняет инвентаризацию файлов следующих форматов: EXE, COM, DLL, SYS, BAT, PS1, CMD, JS, VBS, REG, MSI, MSC, CPL, HTML, HTM, DRV, OCX, SCR.

Шаг 2. Ввод названия пользовательской категории

На этом шаге укажите название категории приложений.

Шаг 3. Настройка условий для включения приложений в категорию

Этот шаг доступен, если вы выбрали тип категории Пополняемая вручную категория.

На этом шаге в раскрывающемся списке Добавить выберите условия для включения приложений в категорию:

• Из списка исполняемых файлов. Добавьте приложения из списка исполняемых файлов на клиентском устройстве в пользовательскую категорию.
• Из свойств файла. Укажите детальные данные исполняемых файлов в качестве условия добавления приложений в пользовательскую категорию.
• Метаданные файлов папки. Выберите папку на клиентском устройстве, которая содержит исполняемые файлы. Kaspersky Security Center укажет метаданные этих исполняемых файлов в качестве условия добавления приложений в пользовательскую категорию.
• Хеши файлов папки. Выберите папку на клиентском устройстве, которая содержит исполняемые файлы. Kaspersky Security Center укажет хеши этих исполняемых файлов в качестве условия добавления приложений в пользовательскую категорию.
• Сертификаты файлов из папки. Выберите папку на клиентском устройстве, которая содержит исполняемые файлы, подписанные сертификатами. Kaspersky Security Center укажет сертификаты этих исполняемых файлов в качестве условия добавления приложений в пользовательскую категорию.

  Не рекомендуется использовать условия, в свойствах которых не указывается параметр Отпечаток сертификата.

• Метаданные файлов установщика MSI. Выберите MSI-пакет. Kaspersky Security Center укажет метаданные исполняемых файлов, упакованных в этот MSI-пакет, в качестве условия добавления приложений в пользовательскую категорию.
• Контрольные суммы файлов msi-инсталлятора программы. Выберите MSI-пакет. Kaspersky Security Center укажет хеши исполняемых файлов, упакованных в этот MSI-пакет, в качестве условия добавления приложений в пользовательскую категорию.
• Из KL-категории. Укажите KL-категорию в качестве условия добавления приложений в пользовательскую категорию. KL-категория – сформированный специалистами "Лаборатории Касперского" список приложений, обладающих общими тематическими признаками. Например, KL-категория "Офисные приложения" включает в себя приложения из пакетов Microsoft Office, Adobe Acrobat и другие.

  Вы можете выбрать все KL-категории, чтобы сформировать расширенный список доверенных приложений.

• Задайте путь к программе. Выберите папку на клиентском устройстве. Kaspersky Security Center добавит исполняемые файлы из этой папки в пользовательскую категорию.
• Выберите сертификат из хранилища сертификатов. Выберите сертификаты, которыми подписаны исполняемые файлы, в качестве условия добавления приложений в пользовательскую категорию.

  Не рекомендуется использовать условия, в свойствах которых не указывается параметр Отпечаток сертификата.

• Тип носителя. Укажите тип запоминающего устройства (все жесткие и съемные диски или только съемные диски) в качестве условия добавления приложений в пользовательскую категорию.

Шаг 4. Настройка условий для исключения приложений из категории

Этот шаг доступен, если вы выбрали тип категории Пополняемая вручную категория.

Приложения, указанные на этом шаге, исключаются из категории, даже если эти приложения были указаны на шаге "Настройка условий для включения приложений в категорию".

На этом шаге в раскрывающемся списке Добавить выберите условия для исключения приложений из категории:

• Из списка исполняемых файлов. Добавьте приложения из списка исполняемых файлов на клиентском устройстве в пользовательскую категорию.
• Из свойств файла. Укажите детальные данные исполняемых файлов в качестве условия добавления приложений в пользовательскую категорию.
• Метаданные файлов папки. Выберите папку на клиентском устройстве, которая содержит исполняемые файлы. Kaspersky Security Center укажет метаданные этих исполняемых файлов в качестве условия добавления приложений в пользовательскую категорию.
• Хеши файлов папки. Выберите папку на клиентском устройстве, которая содержит исполняемые файлы. Kaspersky Security Center укажет хеши этих исполняемых файлов в качестве условия добавления приложений в пользовательскую категорию.
• Сертификаты файлов из папки. Выберите папку на клиентском устройстве, которая содержит исполняемые файлы, подписанные сертификатами. Kaspersky Security Center укажет сертификаты этих исполняемых файлов в качестве условия добавления приложений в пользовательскую категорию.
• Метаданные файлов установщика MSI. Выберите MSI-пакет. Kaspersky Security Center укажет метаданные исполняемых файлов, упакованных в этот MSI-пакет, в качестве условия добавления приложений в пользовательскую категорию.
• Контрольные суммы файлов msi-инсталлятора программы. Выберите MSI-пакет. Kaspersky Security Center укажет хеши исполняемых файлов, упакованных в этот MSI-пакет, в качестве условия добавления приложений в пользовательскую категорию.
• Из KL-категории. Укажите KL-категорию в качестве условия добавления приложений в пользовательскую категорию. KL-категория – сформированный специалистами "Лаборатории Касперского" список приложений, обладающих общими тематическими признаками. Например, KL-категория "Офисные приложения" включает в себя приложения из пакетов Microsoft Office, Adobe Acrobat и другие.

  Вы можете выбрать все KL-категории, чтобы сформировать расширенный список доверенных приложений.

• Задайте путь к программе. Выберите папку на клиентском устройстве. Kaspersky Security Center добавит исполняемые файлы из этой папки в пользовательскую категорию.
• Выберите сертификат из хранилища сертификатов. Выберите сертификаты, которыми подписаны исполняемые файлы, в качестве условия добавления приложений в пользовательскую категорию.
• Тип носителя. Укажите тип запоминающего устройства (все жесткие и съемные диски или только съемные диски) в качестве условия добавления приложений в пользовательскую категорию.

Шаг 5. Параметры

Этот шаг доступен, если вы выбрали тип категории Категория, в которую входят исполняемые файлы с выбранных устройств.

На этом шаге нажмите на кнопку Добавить и укажите компьютеры, исполняемые файлы с которых Kaspersky Security Center добавит в категорию приложений. Kaspersky Security Center добавит в категорию приложений все исполняемые файлы с указанных компьютеров, представленные в папке Исполняемые файлы.

Также на этом шаге вы можете настроить следующие параметры:

• Алгоритм вычисления хеш-функции. Для выбора алгоритма необходимо установить хотя бы один из следующих флажков:
  • Вычислять SHA-256 для файлов в категории (поддерживается для версии Kaspersky Endpoint Security 10 Service Pack 2 для Windows и выше).
  • Вычислять MD5 для файлов в категории (поддерживается для версий ниже Kaspersky Endpoint Security 10 Service Pack 2 для Windows).
• Флажок Синхронизировать данные с хранилищем Сервера администрирования. Установите этот флажок, если вы хотите, чтобы Kaspersky Security Center периодически очищал категорию приложений и добавлял в нее все исполняемые файлы с указанных компьютеров, представленные в папке Исполняемые файлы.

  Если флажок Синхронизировать данные с хранилищем Сервера администрирования снят, то после создания категории приложений Kaspersky Security Center не будет вносить в нее изменения.

• Поле Период проверки (ч). В поле вы можете указать период времени в часах, по истечении которого Kaspersky Security Center очищает категорию приложений и добавляет в нее все исполняемые файлы с указанных компьютеров, представленные в папке Исполняемые файлы.

  Поле доступно, если установлен флажок Синхронизировать данные с хранилищем Сервера администрирования.

Шаг 6. Папка хранилища

Этот шаг доступен, если вы выбрали тип категории Категория, в которую входят исполняемые файлы из указанной папки.

На этом шаге укажите папку, в которой Kaspersky Security Center будет выполнять поиск исполняемых файлов для автоматического добавления в категорию приложений.

Также на этом шаге вы можете настроить следующие параметры:

• Флажок Включать в категорию динамически подключаемые библиотеки (DLL). Установите этот флажок, если вы хотите, чтобы в категорию приложений включались динамически подключаемые библиотеки (файлы формата DLL).

  При включении файлов формата DLL в категорию приложений возможно снижение производительности работы Kaspersky Security Center.

• Флажок Включать в категорию данные о скриптах. Установите этот флажок, если вы хотите, чтобы в категорию приложений включались скрипты.

  При включении скриптов в категорию приложений возможно снижение производительности работы Kaspersky Security Center.

• Алгоритм вычисления хеш-функции. Для выбора алгоритма необходимо установить хотя бы один из следующих флажков:
  • Вычислять SHA-256 для файлов в категории (поддерживается для версии Kaspersky Endpoint Security 10 Service Pack 2 для Windows и выше).
  • Вычислять MD5 для файлов в категории (поддерживается для версий ниже Kaspersky Endpoint Security 10 Service Pack 2 для Windows).
• Флажок Принудительно проверять папку на наличие изменений. Установите этот флажок, если вы хотите, чтобы Kaspersky Security Center периодически выполнял поиск исполняемых файлов в папке автоматического пополнения категории приложений.

  Если флажок Принудительно проверять папку на наличие изменений снят, Kaspersky Security Center выполняет поиск исполняемых файлов в папке автоматического пополнения категории приложений, только если в этой папке были изменены, добавлены или удалены файлы.

• Поле Период проверки (ч). В поле вы можете указать период времени в часах, по истечении которого Kaspersky Security Center выполняет поиск исполняемых файлов в папке автоматического пополнения категории приложений.

  Поле доступно, если установлен флажок Принудительно проверять папку на наличие изменений.

Шаг 7. Создание пользовательской категории

Завершите работу мастера.

Чтобы добавить новое условие срабатывания в правило Контроля приложений в интерфейсе приложения, выполните следующие действия:

1. В главном окне приложения нажмите на кнопку .
2. В окне параметров приложения выберите раздел Контроль безопасности → Контроль приложений.
3. Нажмите на кнопку Запрещенные приложения или Разрешенные приложения.

   Откроется список правил Контроля приложений.

4. Выберите правило, для которого вы хотите добавить условие срабатывания.

   Откроются свойства правила Контроля приложений.

5. Перейдите на закладку Условия или Исключения и нажмите на кнопку Добавить.
6. Выберите условия срабатывания правила Контроля приложений:
   • Условия из свойств запускавшихся приложений. Вы можете выбрать приложения, к которым будет применено правило Контроля приложений, из списка запущенных приложений. Kaspersky Endpoint Security также добавляет в этот список приложения, которые когда-либо были запущены на компьютере. Вам нужно выбрать критерий, на основе которого вы хотите создать одно или несколько условий срабатывания правила: Хеш файла, Сертификат, KL-категория, Метаданные или Путь к файлу или папке.
   • Условия "KL-категория". KL-категория – сформированный специалистами "Лаборатории Касперского" список приложений, обладающих общими тематическими признаками. Например, KL-категория "Офисные приложения" включает в себя приложения из пакетов Microsoft Office, Adobe Acrobat и другие.
   • Условие вручную. Вы можете выбрать файл приложения и выбрать одно из условий срабатывания правила: Хеш файла, Сертификат, Метаданные или Путь к файлу или папке.
   • Условие по носителю файла (съемный диск). Правило Контроля приложений применяется только к файлам, которые запускаются на съемном диске.
   • Условия из свойств файлов указанной папки. Правило Контроля приложений применяется только к файлам, которые расположены в указанной папке. Вы также можете включить или исключить файлы из вложенных папок. Вам нужно выбрать критерий, на основе которого вы хотите создать одно или несколько условий срабатывания правила: Хеш файла, Сертификат, KL-категория, Метаданные или Путь к файлу или папке.
7. Сохраните внесенные изменения.

При добавлении условий учитывайте следующие особенности работы Контроля приложений:

• Kaspersky Endpoint Security не поддерживает MD5-хеш файла и не контролирует запуск приложений на основе MD5-хеша. В качестве условия срабатывания правила используется SHA256-хеш.
• Не рекомендуется использовать в качестве условий срабатывания правил только критерии Издатель и Субъект. Использование этих критериев является ненадежным.
• Если вы используете символьную ссылку в поле Путь к файлу или папке, рекомендуется развернуть символьную ссылку для корректной работы правила Контроля приложений. Для этого нажмите на кнопку Развернуть символьную ссылку.

Добавление в категорию приложений исполняемых файлов из папки Исполняемые файлы

В папке Исполняемые файлы отображается список исполняемых файлов, обнаруженных на компьютерах. Kaspersky Endpoint Security формирует список исполняемых файлов после выполнения задачи инвентаризации.

Чтобы добавить в категорию приложений исполняемые файлы из папки Исполняемые файлы, выполните следующие действия:

1. Откройте Консоль администрирования Kaspersky Security Center.
2. В дереве Консоли администрирования выберите Дополнительно → Управление программами → Исполняемые файлы.
3. В рабочей области выберите исполняемые файлы, которые вы хотите добавить в категорию приложений.
4. По правой клавише мыши откройте контекстное меню для выбранных исполняемых файлов и выберите пункт Добавить в категорию.
5. В открывшемся окне выполните следующие действия:
   • В верхней части окна выберите один из следующих вариантов:
     • Добавить в новую категорию программ. Выберите этот вариант, если вы хотите создать новую категорию приложений и добавить в нее исполняемые файлы.
     • Добавить в существующую категорию. Выберите этот вариант, если вы хотите выбрать существующую категорию приложений и добавить в нее исполняемые файлы.
   • В блоке Тип правила выберите один из следующих вариантов:
     • Правила для добавления в область действия. Выберите этот вариант, если вы хотите создать условия, добавляющие исполняемые файлы в категорию приложений.
     • Правила для добавления в исключения. Выберите этот вариант, если вы хотите создать условия, исключающие исполняемые файлы из категории приложений.
   • В блоке Параметр, используемый в качестве условия выберите один из следующих вариантов:
     • Данные сертификата (или SHA-256 для файлов без сертификата).
     • Данные сертификата (файлы без сертификата пропускаются).
     • Только SHA-256 (файлы без SHA-256 пропускаются).
     • Только MD5 (для совместимости с Kaspersky Endpoint Security 10 Service Pack 1).
6. Сохраните внесенные изменения.

Добавление в категорию приложений исполняемых файлов, связанных с событиями

Чтобы добавить в категорию приложений исполняемые файлы, связанные с событиями Контроля приложений, выполните следующие действия:

1. Откройте Консоль администрирования Kaspersky Security Center.
2. В узле Сервер администрирования дерева Консоли администрирования выберите закладку События.
3. Выберите выборку событий о работе компонента Контроль приложений (Просмотр событий по результатам работы компонента Контроль приложений, Просмотр событий по результатам тестовой работы компонента Контроля приложений) в раскрывающемся списке Выборки событий.
4. Нажмите на кнопку Запустить выборку.
5. Выберите события, в связи с которыми вы хотите добавить в категорию приложений исполняемые файлы.
6. По правой клавише мыши откройте контекстное меню для выбранных событий и выберите пункт Добавить в категорию.
7. В открывшемся окне настройте параметры категории приложений:
   • В верхней части окна выберите один из следующих вариантов:
     • Добавить в новую категорию программ. Выберите этот вариант, если вы хотите создать новую категорию приложений и добавить в нее исполняемые файлы.
     • Добавить в существующую категорию. Выберите этот вариант, если вы хотите выбрать существующую категорию приложений и добавить в нее исполняемые файлы.
   • В блоке Тип правила выберите один из следующих вариантов:
     • Правила для добавления в область действия. Выберите этот вариант, если вы хотите создать условия, добавляющие исполняемые файлы в категорию приложений.
     • Правила для добавления в исключения. Выберите этот вариант, если вы хотите создать условия, исключающие исполняемые файлы из категории приложений.
   • В блоке Параметр, используемый в качестве условия выберите один из следующих вариантов:
     • Данные сертификата (или SHA-256 для файлов без сертификата).
     • Данные сертификата (файлы без сертификата пропускаются).
     • Только SHA-256 (файлы без SHA-256 пропускаются).
     • Только MD5 (для совместимости с Kaspersky Endpoint Security 10 Service Pack 1).
8. Сохраните внесенные изменения.

Добавление правила Контроля приложений

Чтобы добавить правило Контроля приложений с помощью Kaspersky Security Center, выполните следующие действия:

1. Откройте Консоль администрирования Kaspersky Security Center.
2. В папке Управляемые устройства дерева Консоли администрирования откройте папку с названием группы администрирования, в состав которой входят нужные клиентские компьютеры.
3. В рабочей области выберите закладку Политики.
4. Выберите нужную политику и откройте свойства политики двойным щелчком мыши.
5. В окне политики выберите Контроль безопасности → Контроль приложений.

   В правой части окна отобразятся параметры компонента Контроль приложений.

6. Нажмите на кнопку Добавить.

   Откроется окно Правило Контроля приложений.

7. Выполните одно из следующих действий:
   • Если вы хотите создать новую категорию, выполните следующие действия:
     1. Нажмите на кнопку Создать категорию.

        Запустится мастер создания пользовательской категории.

     2. Следуйте указаниям мастера создания пользовательской категории.
     3. Из раскрывающегося списка Категория выберите созданную категорию приложений.
   • Если вы хотите изменить существующую категорию, выполните следующие действия:
     1. Из раскрывающегося списка Категория выберите созданную категорию приложений, которую вы хотите изменить.
     2. Нажмите на кнопку Свойства.
     3. Измените параметры выбранной категории приложений.
     4. Сохраните внесенные изменения.
     5. Из раскрывающегося списка Категория выберите созданную категорию приложений, на основе которой вы хотите создать правило.
8. В таблице Субъекты и их права нажмите на кнопку Добавить.
9. В открывшемся окне задайте список пользователей и / или групп пользователей, для которых вы хотите настроить возможность запускать приложения, принадлежащие к выбранной категории.
10. В таблице Субъекты и их права выполните следующие действия:
    • Если вы хотите разрешить пользователям и / или группам пользователей запуск приложений, принадлежащих к выбранной категории, установите флажок Разрешить в нужных строках.
    • Если вы хотите запретить пользователям и / или группам пользователей запуск приложений, принадлежащих к выбранной категории, установите флажок Запретить в нужных строках.
11. Установите флажок Запретить остальным пользователям, если вы хотите, чтобы приложение запрещало запуск приложений, принадлежащих к выбранной категории, всем пользователям, которые не указаны в графе Субъект и не входят в группы пользователей, указанные в графе Субъект.
12. Установите флажок Доверенные приложения обновления, если вы хотите, чтобы приложения, входящие в выбранную категорию приложений, Kaspersky Endpoint Security считал доверенными приложения обновления с правом создавать другие исполняемые файлы, запуск которых в дальнейшем будет разрешен.

    При миграции параметров Kaspersky Endpoint Security осуществляется также миграция списка исполняемых файлов, созданных доверенными приложениями обновления.

13. Сохраните внесенные изменения.

Чтобы добавить правило Контроля приложений, выполните следующие действия:

1. В главном окне приложения нажмите на кнопку .
2. В окне параметров приложения выберите раздел Контроль безопасности → Контроль приложений.
3. Нажмите на кнопку Запрещенные приложения или Разрешенные приложения.

   Откроется список правил Контроля приложений.

4. Нажмите на кнопку Добавить.

   Откроется окно с параметрами правила Контроля приложений.

5. На закладке Общие настройки задайте основные параметры правила:
   1. В поле Название правила введите название правила.
   2. В поле Описание введите описание правила.
   3. Задайте или измените список пользователей и / или групп пользователей, которым разрешено или запрещено запускать приложения, удовлетворяющие условиям срабатывания правила. Для этого нажмите на кнопку Добавить в таблице Субъекты и их права.

      По умолчанию в список пользователей добавлено значение Все. Действие правила распространяется на всех пользователей.

      Если в таблице не указан ни один пользователь, правило не может быть сохранено.

   4. В таблице Субъекты и их права определите право пользователей на запуск приложений с помощью переключателя.
   5. Установите флажок Запретить остальным пользователям, если вы хотите, чтобы приложение запрещало запуск приложений, удовлетворяющих условиям срабатывания правила, всем пользователям, которые не указаны в таблице Субъекты и их права и не входят в группы пользователей, указанные в таблице Субъекты и их права.

      Если флажок Запретить остальным пользователям снят, Kaspersky Endpoint Security не контролирует запуск приложений пользователями, которые не указаны в таблице Субъекты и их права и не входят в группы пользователей, указанные в таблице Субъекты и их права.

   6. Установите флажок Доверенные приложения обновления, если вы хотите, чтобы приложения, удовлетворяющие условиям срабатывания правила, Kaspersky Endpoint Security считал доверенными приложения обновления. Доверенные приложения обновления – приложения с правом создавать другие исполняемые файлы, запуск которых в дальнейшем будет разрешен.

      Если приложение соответствует условиям срабатывания нескольких правил, Kaspersky Endpoint Security устанавливает признак "Доверенные приложения обновления" при выполнении следующих требований:

      • запуск приложения разрешен во всех правилах;
      • хотя бы в одном правиле установлен флажок Доверенные приложения обновления.
6. На закладке Условия сформируйте или измените список включающих условий срабатывания правила.
7. На закладке Исключения сформируйте или измените список исключающих условий срабатывания правила.

   При миграции параметров Kaspersky Endpoint Security осуществляется также миграция списка исполняемых файлов, созданных доверенными приложениями обновления.

8. Сохраните внесенные изменения.

Изменение статуса правила Контроля приложений с помощью Kaspersky Security Center

Чтобы изменить статус правила Контроля приложений в Консоли администрирования, выполните следующие действия:

1. Откройте Консоль администрирования Kaspersky Security Center.
2. В папке Управляемые устройства дерева Консоли администрирования откройте папку с названием группы администрирования, в состав которой входят нужные клиентские компьютеры.
3. В рабочей области выберите закладку Политики.
4. Выберите нужную политику и откройте свойства политики двойным щелчком мыши.
5. В окне политики выберите Контроль безопасности → Контроль приложений.

   В правой части окна отобразятся параметры компонента Контроль приложений.

6. В графе Статус по левой клавише мыши откройте контекстное меню и выберите один из следующих пунктов:
   • Вкл. Статус означает, что правило используется во время работы компонента Контроль приложений.
   • Выкл. Статус означает, что правило не используется во время работы компонента Контроль приложений.
   • Тест. Статус означает, что Kaspersky Endpoint Security всегда разрешает запуск приложений, на которые распространяется действие правила, но заносит информацию о запуске этих приложений в отчет.
7. Сохраните внесенные изменения.

Чтобы изменить статус правила Контроля приложений в интерфейсе приложения, выполните следующие действия:

1. В главном окне приложения нажмите на кнопку .
2. В окне параметров приложения выберите раздел Контроль безопасности → Контроль приложений.
3. Нажмите на кнопку Запрещенные приложения или Разрешенные приложения.

   Откроется список правил Контроля приложений.

4. В графе Статус откройте контекстное меню и выберите один из следующих пунктов:
   • Включено. Статус означает, что правило используется во время работы компонента Контроль приложений.
   • Выключено. Статус означает, что правило не используется во время работы компонента Контроль приложений.
   • Тестирование. Статус означает, что Kaspersky Endpoint Security всегда разрешает запуск приложений, на которые распространяется действие этого правила, но заносит информацию о запуске этих приложений в отчет.
5. Сохраните внесенные изменения.

Экспорт и импорт правил Контроля приложений

Вы можете экспортировать список правил Контроля приложений в файл в формате XML. Вы можете использовать функцию экспорта / импорта для резервного копирования списка правил Контроля приложений или для миграции списка на другой сервер.

Экспорт и импорт правил Контроля приложений имеет следующие особенности:

• Kaspersky Endpoint Security экспортирует список правил только для активного режима Контроля приложений. То есть, если Контроль приложений работает в режиме запрещенного списка, Kaspersky Endpoint Security экспортирует правила только для этого режима. Для экспорта списка правил для режима разрешенного списка вам нужно переключить режим и выполнить экспорт повторно.
• Kaspersky Endpoint Security использует категории приложений для работы правил Контроля приложений. При миграции списка правил Контроля приложений на другой сервер вам также нужно выполнить миграцию списка категорий приложений. Подробнее об экспорте / импорте категорий приложений см. в справке Kaspersky Security Center.

Как экспортировать / импортировать список правил Контроля приложений в Консоли администрирования (MMC)

Как экспортировать / импортировать список правил Контроля приложений в Web Console и Cloud Console

Просмотр событий по результатам работы компонента Контроль приложений

Чтобы просмотреть приходящие в Kaspersky Security Center события по результатам работы компонента Контроль приложений, выполните следующие действия:

1. Откройте Консоль администрирования Kaspersky Security Center.
2. В узле Сервер администрирования дерева Консоли администрирования выберите закладку События.
3. Нажмите на кнопку Создать выборку.
4. В открывшемся окне перейдите в раздел События.
5. Нажмите на кнопку Очистить все.
6. В таблице События установите флажок Запуск приложения запрещен.
7. Сохраните внесенные изменения.
8. В раскрывающемся списке Выборки событий выберите созданную выборку.
9. Нажмите на кнопку Запустить выборку.

Просмотр отчета о запрещенных приложениях

Чтобы просмотреть отчет о запрещенных приложениях, выполните следующие действия:

1. Откройте Консоль администрирования Kaspersky Security Center.
2. В узле Сервер администрирования дерева Консоли администрирования выберите закладку Отчеты.
3. Нажмите на кнопку Новый шаблон отчета.

   Запустится мастер создания шаблона отчета.

4. Следуйте указаниям мастера создания шаблона отчета. На шаге Выбор типа шаблона отчета выберите Другое → Отчет о запрещенных программах.

   После завершения работы мастера создания шаблона отчета в таблице на закладке Отчеты появится новый шаблон отчета.

5. Откройте отчет двойным щелчком мыши.

Запустится процесс формирования отчета. Отчет отобразится в новом окне.

Тестирование правил Контроля приложений

Чтобы убедиться, что правила Контроля приложений не блокируют приложения, необходимые для работы, рекомендуется после создания правил включить тестирование правил Контроля приложений и проанализировать их работу. При включении тестирования правил Контроля приложений Kaspersky Endpoint Security не будет блокировать приложения, запуск которых запрещен Контролем приложений, но будет отправлять уведомления об их запуске на Сервер администрирования.

Для анализа работы правил Контроля приложений требуется изучить события по результатам работы компонента Контроль приложений, приходящие в Kaspersky Security Center. Если для всех приложений, которые необходимы для работы пользователю компьютера, отсутствуют события о запрете запуска в тестовом режиме, то созданы верные правила. В противном случае рекомендуется уточнить параметры созданных вами правил, создать дополнительные или удалить существующие правила.

По умолчанию Kaspersky Endpoint Security разрешает запуск всех приложений, кроме приложений, запрещенных правилами.

Включение и выключение тестирования правил Контроля приложений

Чтобы включить или выключить тестирование правил Контроля приложений в Kaspersky Security Center, выполните следующие действия:

1. Откройте Консоль администрирования Kaspersky Security Center.
2. В папке Управляемые устройства дерева Консоли администрирования откройте папку с названием группы администрирования, в состав которой входят нужные клиентские компьютеры.
3. В рабочей области выберите закладку Политики.
4. Выберите нужную политику и откройте свойства политики двойным щелчком мыши.
5. В окне политики выберите Контроль безопасности → Контроль приложений.

   В правой части окна отобразятся параметры компонента Контроль приложений.

6. В раскрывающемся списке Режим контроля выберите один из следующих элементов:
   • Список запрещенных. Если выбран этот вариант, Контроль приложений разрешает всем пользователям запуск любых приложений, кроме случаев, удовлетворяющих условиям запрещающих правил Контроля приложений.
   • Список разрешенных. Если выбран этот вариант, Контроль приложений запрещает всем пользователям запуск любых приложений, кроме случаев, удовлетворяющих условиям разрешающих правил Контроля приложений.
7. Выполните одно из следующих действий:
   • Если вы хотите включить тестирование правил Контроля приложений, в раскрывающемся списке Действие выберите элемент Тестировать правила.
   • Если вы хотите включить Контроль приложений для управления запуском приложений на компьютерах пользователей, в раскрывающемся списке выберите элемент Применять правила.
8. Сохраните внесенные изменения.

Чтобы включить тестирование правил Контроля приложений или выбрать блокирующее действие Контроля приложений, выполните следующие действия:

1. В главном окне приложения нажмите на кнопку .
2. В окне параметров приложения выберите раздел Контроль безопасности → Контроль приложений.
3. Нажмите на кнопку Запрещенные приложения или Разрешенные приложения.

   Откроется список правил Контроля приложений.

4. В графе Статус выберите пункт Тестирование.

   Статус означает, что Kaspersky Endpoint Security всегда разрешает запуск приложений, на которые распространяется действие этого правила, но заносит информацию о запуске этих приложений в отчет.

5. Сохраните внесенные изменения.

Kaspersky Endpoint Security не будет блокировать приложения, запуск которых запрещен компонентом Контроль приложений, но будет отправлять уведомления об их запуске на Сервер администрирования. Также вы можете настроить отображение уведомлений о тестировании правил на компьютере пользователя (см. рис. ниже).

Уведомления Контроля приложений в тестовом режиме

Просмотр отчета о запрещенных приложениях в тестовом режиме

Чтобы просмотреть отчет о запрещенных приложениях в тестовом режиме, выполните следующие действия:

1. Откройте Консоль администрирования Kaspersky Security Center.
2. В узле Сервер администрирования дерева Консоли администрирования выберите закладку Отчеты.
3. Нажмите на кнопку Новый шаблон отчета.

   Запустится мастер создания шаблона отчета.

4. Следуйте указаниям мастера создания шаблона отчета. На шаге Выбор типа шаблона отчета выберите Другое → Отчет о запрещенных программах в тестовом режиме.

   После завершения работы мастера создания шаблона отчета в таблице на закладке Отчеты появится новый шаблон отчета.

5. Откройте отчет двойным щелчком мыши.

Запустится процесс формирования отчета. Отчет отобразится в новом окне.

Просмотр событий по результатам тестовой работы компонента Контроля приложений

Чтобы просмотреть приходящие на Kaspersky Security Center события по результатам тестовой работы компонента Контроль приложений, выполните следующие действия:

1. Откройте Консоль администрирования Kaspersky Security Center.
2. В узле Сервер администрирования дерева Консоли администрирования выберите закладку События.
3. Нажмите на кнопку Создать выборку.
4. В открывшемся окне перейдите в раздел События.
5. Нажмите на кнопку Очистить все.
6. В таблице События установите флажки Запуск приложения запрещен в тестовом режиме и Запуск приложения разрешен в тестовом режиме.
7. Сохраните внесенные изменения.
8. В раскрывающемся списке Выборки событий выберите созданную выборку.
9. Нажмите на кнопку Запустить выборку.

Мониторинг активности приложений

Этот компонент доступен, если приложение Kaspersky Endpoint Security установлено на компьютере под управлением операционной системы Windows для рабочих станций. Этот компонент недоступен, если приложение Kaspersky Endpoint Security установлено на компьютере под управлением операционной системы Windows для серверов.

Мониторинг активности приложений – это инструмент, предназначенный для просмотра информации об активности приложений на компьютере пользователя в режиме реального времени.

Для работы Мониторинга активности приложений вам нужно установить компоненты Контроль приложений и Предотвращение вторжений. Если эти компоненты не установлены, в главном окне приложения раздел Мониторинг активности приложений скрыт.

Чтобы запустить Мониторинг активности приложений,

в главном окне приложения в разделе Мониторинг нажмите на плитку Мониторинг активности приложений.

В открывшемся окне информация об активности приложений на компьютере пользователя представлена на трех закладках:

• На закладке Все приложения отображается информация о всех приложениях, установленных на компьютере.
• На закладке Работающие отображается информация о потреблении ресурсов компьютера каждого из приложений в режиме реального времени. На этой закладке вы можете, а также перейти к настройке разрешений для отдельного приложения.
• На закладке Запускаемые при старте отображается список приложений, которые запускаются при старте операционной системы.

Если вы хотите скрыть данные об активности приложений на компьютере пользователя, вы можете ограничить доступ пользователя к инструменту Мониторинг активности приложений.

Как скрыть Мониторинг активности приложений в интерфейсе приложения через Консоль администрирования (MMC)

Как скрыть Мониторинг активности приложений в интерфейсе приложения через Web Console и Cloud Console

Правила формирования масок имен файлов или папок

Маска имени файла или папки – это представление имени папки или имени и расширения файла с использованием общих символов.

Для формирования маски имени файла или папки вы можете использовать следующие общие символы:

• Символ *, который заменяет любой набор символов, в том числе пустой. Например, маска C:\*.txt будет включать все пути к файлам с расширением txt, расположенным в папках и подпапках на диске (C:).
• Символ ?, который заменяет любой один символ, кроме символов \ и / (разделители имен файлов и папок в путях к файлам и папкам). Например, маска C:\Folder\???.txt будет включать пути ко всем расположенным в папке Folder файлам с расширением txt и именем, состоящим из трех символов.

Изменение шаблонов сообщений Контроля приложений

Когда пользователь пытается запустить приложение, запрещенную правилом Контроля приложений, Kaspersky Endpoint Security выводит сообщение о блокировке запуска приложения. Если блокировка запуска приложения, по мнению пользователя, произошла ошибочно, по ссылке из текста сообщения о блокировке пользователь может отправить сообщение администратору локальной сети организации.

Для сообщения о блокировке запуска приложения и сообщения администратору предусмотрены шаблоны. Вы можете изменять шаблоны сообщений.

Чтобы изменить шаблон сообщения, выполните следующие действия:

1. В главном окне приложения нажмите на кнопку .
2. В окне параметров приложения выберите раздел Контроль безопасности → Контроль приложений.
3. В блоке Шаблоны сообщений о блокировке приложений настройте шаблоны сообщений Контроля приложений:
   • Сообщение о блокировке. Шаблон сообщения, которое появляется при срабатывании правила Контроля приложений, блокирующего запуск приложения. Уведомление о блокировке приложения см. рис. ниже.

     Настроить шаблоны сообщения для Контроля приложений в тестовом режиме невозможно. Контроль приложений в тестовом режиме показывает предустановленные уведомления.

   • Сообщение администратору. Шаблон сообщения для отправки администратору локальной сети организации в случае, если блокировка приложения, по мнению пользователя, произошла ошибочно. После запроса пользователя предоставить доступ Kaspersky Endpoint Security отправляет в Kaspersky Security Center событие Сообщение администратору о запрете запуска приложения. Описание события содержит сообщение администратору с подставленными переменными. Вы можете посмотреть эти события в консоли Kaspersky Security Center с помощью предустановленной выборки Запросы пользователей. Если в вашей организации не развернуто решение Kaspersky Security Center или связь с Сервером администрирования отсутствует, приложение отправит сообщение администратору на указанный адрес электронной почты.
4. Сохраните внесенные изменения.

   

   Уведомление Контроля приложений

Лучшие практики по внедрению режима списка разрешенных приложений

При планировании внедрения режима списка разрешенных приложений рекомендуется выполнить следующие действия:

1. Произвести следующие виды группировок:
   • Группы пользователей. Группы пользователей, для которых необходимо разрешить использование различных наборов приложений.
   • Группы администрирования. Одна или несколько групп компьютеров, к которым Kaspersky Security Center будет применять режим списка разрешенных приложений. Создание нескольких групп компьютеров необходимо, если для этих групп используются различные параметры режима списка разрешенных.
2. Составить список приложений, запуск которых необходимо разрешить.

   Перед составлением списка рекомендуется выполнить следующие действия:

   1. Запустить задачу инвентаризации.

      Информация о создании, изменении параметров и запуске задачи инвентаризации доступна в разделе Управление задачами.

   2. Просмотреть список исполняемых файлов.

Настройка режима списка разрешенных приложений

При настройке режима списка разрешенных приложений рекомендуется выполнить следующие действия:

1. Создать категории приложений, содержащие те приложения, запуск которых необходимо разрешить.

   Вы можете выбрать один из следующих способов формирования категорий приложений:

   • Пополняемая вручную категория. Вы можете вручную пополнять эту категорию, используя следующие условия:
     • Метаданные файла. Kaspersky Security Center добавляет в категорию приложений все исполняемые файлы, сопровождающиеся указанными метаданными.
     • Хеш файла. Kaspersky Security Center добавляет в категорию приложений все исполняемые файлы, имеющие указанный хеш.

       Использование этого условия исключает возможность автоматической установки обновлений, поскольку файлы различных версий будут иметь различный хеш.

     • Сертификат файла. Kaspersky Security Center добавляет в категорию приложений все исполняемые файлы, подписанные указанным сертификатом.
     • KL-категория. Kaspersky Security Center добавляет в категорию приложений все приложения, входящие в указанную KL-категорию.
     • Папка приложения. Kaspersky Security Center добавляет в категорию приложений все исполняемые файлы из этой папки.

       Использование условия "Папка приложения" небезопасно, поскольку запуск любого приложения из указанной папки будет разрешен. Правила, использующие категории приложений с условием "Папка приложения", рекомендуется применять только к тем пользователям, для которых необходимо разрешить автоматическую установку обновлений.

   • Категория, в которую входят исполняемые файлы из указанной папки. Вы можете указать папку, исполняемые файлы из которой будут автоматически попадать в создаваемую категорию приложений.
   • Категория, в которую входят исполняемые файлы с выбранных устройств. Вы можете указать компьютер, все исполняемые файлы которого будут автоматически попадать в создаваемую категорию приложений.

     При использовании этого способа формирования категорий приложений Kaspersky Security Center получает информацию о приложениях на компьютере из папки Исполняемые файлы.

2. Выбрать режим списка разрешенных приложений для компонента Контроль приложений.
3. Создать правила Контроля приложений с использованием созданных категорий приложений.

   Для режима Список разрешенных приложений изначально заданы правила Приложения ОС и Доверенные приложения обновления. Эти правила Контроля приложений соответствуют KL-категориям. В KL-категорию "Приложения ОС" входят приложения, обеспечивающие нормальную работу операционной системы. В KL-категорию "Доверенные приложения обновления" входят приложения обновления наиболее известных производителей программного обеспечения. Вы не можете удалить эти правила. Параметры этих правил недоступны для изменения. По умолчанию правило Приложения ОС включено, а правило Доверенные приложения обновления выключено. Запуск приложений, соответствующих условиям срабатывания этих правил, разрешен всем пользователям.

4. Определить те приложения, для которых необходимо разрешить автоматическую установку обновлений.

   Вы можете разрешить автоматическую установку обновлений одним из следующих способов:

   • Указать расширенный список разрешенных приложений, разрешив запуск всех приложений, входящих в любую из KL-категорий.
   • Указать расширенный список разрешенных приложений, разрешив запуск всех приложений, подписанных сертификатами.

     Чтобы разрешить запуск всех приложений, подписанных сертификатами, вы можете создать категорию с условием на основе сертификата, в котором используется только параметр Субъект со значением *.

   • Для правила Контроля приложений установить параметр Доверенные приложения обновления. Если этот флажок установлен, то Kaspersky Endpoint Security будет считать приложения, входящие в правило, доверенными приложениями обновления. Kaspersky Endpoint Security разрешает запуск приложений, которые были установлены или обновлены приложениями, входящими в правило. При этом приложения не должны попадать под действие запрещающих правил.

     При миграции параметров Kaspersky Endpoint Security осуществляется также миграция списка исполняемых файлов, созданных доверенными приложениями обновления.

   • Создать папку и поместить в нее исполняемые файлы приложений, для которых вы хотите разрешить автоматическую установку обновлений. Далее создать категорию приложений с условием "Папка приложения" и указать путь к этой папке. Далее создать разрешающее правило и выбрать эту категорию.

     Использование условия "Папка приложения" небезопасно, поскольку запуск любого приложения из указанной папки будет разрешен. Правила, использующие категории приложений с условием "Папка приложения", рекомендуется применять только к тем пользователям, для которых необходимо разрешить автоматическую установку обновлений.

Тестирование режима списка разрешенных приложений

Чтобы убедиться, что правила Контроля приложений не блокируют приложения, необходимые для работы, рекомендуется после создания правил включить тестирование правил Контроля приложений и проанализировать их работу. При включении тестирования Kaspersky Endpoint Security не будет блокировать приложения, запуск которых запрещен правилами Контроля приложений, но будет отправлять уведомления об их запуске на Сервер администрирования.

При тестировании режима списка разрешенных приложений рекомендуется выполнить следующие действия:

1. Определить период тестирования (от нескольких дней до двух месяцев).
2. Включить тестирование правил Контроля приложений.
3. Проанализировать результаты тестирования, используя события по результатам тестовой работы компонента Контроль приложений и отчеты о запрещенных приложениях в тестовом режиме.
4. По результатам анализа внести изменения в параметры режима списка разрешенных приложений.

   В частности, по результатам тестирования вы можете добавить в категорию приложений исполняемые файлы, связанные с событиями.

Поддержка режима списка разрешенных приложений

После выбора блокирующего действия Контроля приложений рекомендуется продолжать поддержку режима списка разрешенных приложений, выполняя следующие действия:

• Анализировать работу правил Контроля приложений, используя события по результатам работы Контроля приложений и отчеты о запрещенных запусках.
• Анализировать запросы доступа к приложениям, получаемые от пользователей.
• Анализировать незнакомые исполняемые файлы, проверяя их репутацию в Kaspersky Security Network.
• Перед установкой обновлений для операционной системы или для программного обеспечения устанавливать эти обновления на тестовой группе компьютеров, чтобы проверить, как они будут обрабатываться правилами Контроля приложений.
• Добавлять необходимые приложения в категории, используемые в правилах Контроля приложений.

Контроль сетевых портов

Во время работы Kaspersky Endpoint Security компоненты Веб-Контроль, Защита от почтовых угроз, Защита от веб-угроз контролируют потоки данных, передаваемые по определенным протоколам и проходящие через определенные открытые TCP- и UDP-порты компьютера пользователя. Например, компонент Защита от почтовых угроз анализирует информацию, передаваемую по SMTP-протоколу, а компонент Защита от веб-угроз анализирует информацию, передаваемую по протоколам HTTP и FTP.

Kaspersky Endpoint Security подразделяет TCP- и UDP-порты компьютера пользователя на несколько групп в соответствии с вероятностью их взлома. Сетевые порты, отведенные для уязвимых служб, рекомендуется контролировать более тщательно, так как эти сетевые порты с большей вероятностью могут являться целью сетевой атаки. Если вы используете нестандартные службы, которым отведены нестандартные сетевые порты, эти сетевые порты также могут являться целью для атакующего компьютера. Вы можете задать список сетевых портов и список приложений, запрашивающих сетевой доступ, на которые компоненты Защита от почтовых угроз и Защита от веб-угроз должны обращать особое внимание во время слежения за сетевым трафиком.

Включение контроля всех сетевых портов

Чтобы включить контроль всех сетевых портов, выполните следующие действия:

1. В главном окне приложения нажмите на кнопку .
2. В окне параметров приложения выберите раздел Общие настройки → Настройки сети.
3. В блоке Контролируемые порты выберите вариант Контролировать все сетевые порты.
4. Сохраните внесенные изменения.

Формирование списка контролируемых сетевых портов

Чтобы сформировать список контролируемых сетевых портов, выполните следующие действия:

1. В главном окне приложения нажмите на кнопку .
2. В окне параметров приложения выберите раздел Общие настройки → Настройки сети.
3. В блоке Контролируемые порты выберите вариант Контролировать только выбранные сетевые порты.
4. Нажмите на кнопку Выбрать.

   Откроется список сетевых портов, которые обычно используются для передачи электронной почты и сетевого трафика. Этот список сетевых портов включен в поставку Kaspersky Endpoint Security.

5. Используйте переключатель в графе Статус, чтобы включить или выключить контроль сетевых портов.
6. Если сетевой порт отсутствует в списке сетевых портов, добавьте его следующим образом:
   1. Нажмите на кнопку Добавить.
   2. В открывшемся окне введите номер сетевого порта и короткое описание.
   3. Установите статус контроля сетевого порта Активно или Неактивно.
7. Сохраните внесенные изменения.

При работе протокола FTP в пассивном режиме соединение может устанавливаться через случайный сетевой порт, который не добавлен в список контролируемых сетевых портов. Чтобы защищать такие соединения, включите контроль всех сетевых портов или настройте контроль сетевых портов для приложений, с помощью которых устанавливается FTP-соединение.

Формирование списка приложений, для которых контролируются все сетевые порты

Вы можете сформировать список приложений, для которых Kaspersky Endpoint Security контролирует все сетевые порты.

В список приложений, для которых Kaspersky Endpoint Security контролирует все сетевые порты, рекомендуется включить приложения, которые принимают или передают данные по протоколу FTP.

Чтобы сформировать список приложений, для которых контролируются все сетевые порты, выполните следующие действия:

1. В главном окне приложения нажмите на кнопку .
2. В окне параметров приложения выберите раздел Общие настройки → Настройки сети.
3. В блоке Контролируемые порты выберите вариант Контролировать только выбранные сетевые порты.
4. Установите флажок Контролировать все порты для приложений из списка, рекомендованного "Лабораторией Касперского".

   Если установлен этот флажок, приложение Kaspersky Endpoint Security контролирует все порты для следующих приложений:

   • Adobe Acrobat Reader.
   • Apple Application Support.
   • Google Chrome.
   • Microsoft Edge.
   • Mozilla Firefox.
   • Internet Explorer.
   • Java.
   • mIRC.
   • Opera.
   • Pidgin.
   • Safari.
   • Агент Mail.ru.
   • Яндекс.Браузер.
5. Установите флажок Контролировать все порты для указанных приложений.
6. Нажмите на кнопку Выбрать.

   Откроется список приложений, сетевые порты которых контролирует Kaspersky Endpoint Security.

7. Используйте переключатель в графе Статус, чтобы включить или выключить контроль сетевых портов.
8. Если приложение отсутствует в списке приложений, добавьте ее следующим образом:
   1. Нажмите на кнопку Добавить.
   2. В открывшемся окне укажите путь к исполняемому файлу приложения и короткое описание.
   3. Установите статус контроля сетевых портов Активно или Неактивно.
9. Сохраните внесенные изменения.

Экспорт и импорт списков контролируемых портов

Для контроля сетевых портов Kaspersky Endpoint Security использует следующие списки: список сетевых портов и список приложений, порты которых контролирует Kaspersky Endpoint Security. Вы можете экспортировать списки контролируемых портов в файл в формате XML. Далее вы можете вносить изменения в файл, чтобы, например, добавить большое количество портов с одинаковым описанием. Также вы можете использовать функцию экспорта / импорта для резервного копирования списков контролируемых портов или для миграции списков на другой сервер.

Как экспортировать / импортировать списки контролируемых портов в Консоли администрирования (MMC)

Как экспортировать / импортировать списки контролируемых портов в Web Console и Cloud Console