Isolation des Computernetzwerks
Die Computernetzwerkisolierung ermöglicht die automatische Isolierung eines Computers vom Netzwerk als Reaktion auf die Erkennung eines Indikators für eine Kompromittierung (IOC).
Falls die Netzwerkisolation aktiviert ist, trennt die Anwendung alle aktiven Verbindungen und blockiert alle neuen TCP/IP-Verbindungen auf dem Computer, außer der Folgenden:
- Verbindungen, die als Ausnahmen von der Netzwerkisolation festgelegt sind.
- Verbindungen, die von Kaspersky Endpoint Security-Diensten initiiert werden.
- Verbindungen, die vom Administrationsagenten für Kaspersky Security Center initiiert werden.
Verwalten der Netzwerkisolation
Die Komponenteneinstellungen können nur über die „Web Console“ konfiguriert werden.
Sie können die Netzwerkisolation so konfigurieren, dass sie als Reaktion auf eine IOC-Erkennung automatisch aktiviert wird. Sie können die Netzwerkisolation auch manuell ein- und ausschalten.
Sie können die Netzwerkisolation aktivieren:
- In den Alarm-Details.
Alarm-Details ist ein Tool, mit dem alle über eine erkannte Bedrohung gesammelten Informationen angezeigt und die Reaktionen verwaltet werden können. Zu den Alarm-Details gehört beispielsweise der Verlauf der auf dem Computer angezeigten Dateien. Einzelheiten zur Verwaltung der Alarm-Details finden Sie in der Hilfe zu Kaspersky Endpoint Detection and Response Optimum.
- Lokale Programmeinstellungen verwenden.
Konfiguration der Netzwerkisolation, sodass sie als Reaktion auf eine IOC-Erkennung automatisch aktiviert wird.
- Wählen Sie im Hauptfenster von „Web Console“ den Punkt Geräte → Aufgaben aus.
Die Aufgabenliste wird geöffnet.
- Klicken Sie auf die Aufgabe von Kaspersky Endpoint Security: IOC-Untersuchung.
Das Fenster mit den Aufgabeneigenschaften wird geöffnet.
Erstellen Sie ggf. die IOC Untersuchungsaufgabe.
- Wählen Sie die Registerkarte Programmeinstellungen aus.
- Wählen Sie unter Aktion bei IOC-Erkennung die Kontrollkästchen Reaktionsmaßnahmen ausführen, nachdem ein IOC gefunden wurde und Computer vom Netzwerk isolieren aus.
- Speichern Sie die vorgenommenen Änderungen.
Wird ein IOC erkannt, isoliert die Anwendung den Rechner vom Netzwerk, um die Ausbreitung der Bedrohung zu verhindern.
Manuelle Aktivierung Netzwerkisolation eines Computers
- Wählen Sie im Hauptfenster von „Web Console“ den Punkt Geräte → Verwaltete Geräte aus.
- Klicken Sie auf den Namen des Computers, auf dem Sie die lokalen Programmeinstellungen anpassen möchten.
Die Eigenschaften des Computers werden geöffnet.
- Wählen Sie die Registerkarte Programme.
- Klicken Sie auf Kaspersky Endpoint Security für Windows.
Die lokalen Programmeinstellungen werden geöffnet.
- Wählen Sie die Registerkarte Programmeinstellungen aus.
- Wählen Sie Detection and Response → Managed Detection and Response.
- Unter Netzwerkisolation klicken Sie Computer vom Netzwerk isolieren.
- Speichern Sie die vorgenommenen Änderungen.
Sie können die Netzwerkisolation so konfigurieren, dass sie nach Ablauf einer bestimmten Zeit automatisch aktiviert wird. Standardmäßig deaktiviert die Anwendung die Netzwerkisolation 5 Stunden nach dem Einschalten. Sie können die Netzwerkisolation auch manuell ein- und ausschalten. Nach dem Deaktivieren der Netzwerkisolierung kann der Computer das Netzwerk ohne Einschränkungen verwenden.
Verzögerung der automatischen Abschaltung der Netzwerkisolation eines Computers
- Wählen Sie im Hauptfenster der „Web Console“ den Punkt Geräte → Richtlinien und Profile.
- Klicken Sie auf den Namen der Richtlinie von Kaspersky Endpoint Security.
Das Fenster mit den Richtlinieneigenschaften wird geöffnet.
- Wählen Sie die Registerkarte Programmeinstellungen aus.
- Wählen Sie Detection and Response → Managed Detection and Response.
- Klicken Sie unter Netzwerkisolation auf Einstellungen zum Entsperren des Computers konfigurieren.
- Dadurch wird ein Fenster geöffnet. Aktivieren Sie in diesem Fenster das Kontrollkästchen Blockierung des isolierten Computers automatisch aufheben nach n Stunden und legen Sie fest, wie lange das automatische Deaktivieren der Netzwerkisolierung verzögert werden soll.
- Speichern Sie die vorgenommenen Änderungen.
Manuelle Deaktivierung der Netzwerkisolation eines Computers
- Wählen Sie im Hauptfenster von „Web Console“ den Punkt Geräte → Verwaltete Geräte aus.
- Klicken Sie auf den Namen des Computers, auf dem Sie die lokalen Programmeinstellungen anpassen möchten.
Die Eigenschaften des Computers werden geöffnet.
- Wählen Sie die Registerkarte Programme.
- Klicken Sie auf Kaspersky Endpoint Security für Windows.
Die lokalen Programmeinstellungen werden geöffnet.
- Wählen Sie die Registerkarte Programmeinstellungen aus.
- Wählen Sie Detection and Response → Managed Detection and Response.
- Unter Netzwerkisolation klicken Sie auf Vom Netzwerk isolierten Computer entsperren.
- Speichern Sie die vorgenommenen Änderungen.
Sie können „Netzwerkisolation“ auch lokal über die Befehlszeile aktivieren oder deaktivieren.
Ausnahmen von der Netzwerkisolation
Sie können Ausnahmen für die Netzwerkisolation konfigurieren. Netzwerkverbindungen, die diesen Regeln entsprechen, werden auf dem Computer nicht gesperrt, wenn die Netzwerkisolation aktiviert ist.
Zur Konfigurierung von Ausnahmen für die Netzwerkisolation können Sie eine Liste von Standardnetzwerkprofilen verwenden. Zu den Ausnahmen gehören standardmäßig Netzwerkprofile mit Regeln, die sicherstellen, dass Geräte mit den Rollen DNS/DHCP-Server und DNS/DHCP-Client unterbrechungsfrei funktionieren. Sie können auch die Einstellungen von Standardnetzwerkprofilen ändern oder Ausschlüsse manuell definieren (siehe Anweisungen unten).
In den Richtlinieneigenschaften angegebene Ausnahmen werden nur angewendet, wenn die Netzwerkisolation als Reaktion auf eine erkannte Bedrohung automatisch aktiviert wird. In den Computereigenschaften angegebene Ausnahmen werden nur angewendet, wenn die Netzwerkisolation manuell in den Computereigenschaften in der Kaspersky Security Center-Konsole aktiviert wurde.
Eine aktive Richtlinie verhindert nicht die Anwendung von Ausschlüssen von der Netzwerkisolation, die in den Computereigenschaften konfiguriert sind, da diese Parameter unterschiedliche Verwendungsszenarien haben.
Hinzufügen einer Ausnahme für die Netzwerkisolation
- Wählen Sie im Hauptfenster der „Web Console“ den Punkt Geräte → Richtlinien und Profile.
- Klicken Sie auf den Namen der Richtlinie von Kaspersky Endpoint Security.
Das Fenster mit den Richtlinieneigenschaften wird geöffnet.
- Wählen Sie die Registerkarte Programmeinstellungen aus.
- Wählen Sie Detection and Response → Managed Detection and Response.
- Unter Ausnahmen für die Netzwerkisolation, klicken Sie auf Ausnahmen.
- Dadurch wird ein Fenster geöffnet. Klicken Sie in diesem Fenster auf Aus Profil hinzufügen wählen Sie Standard-Netzwerkprofile zur Konfiguration von Ausschlüssen.
Netzwerkisolationsausschlüsse aus dem Profil werden der Liste der Netzwerkisolationsausschlüsse hinzugefügt. Sie können die Eigenschaften von Netzwerkverbindungen anzeigen. Bei Bedarf können Sie die Netzwerkverbindungseinstellungen ändern.
- Fügen Sie bei Bedarf eine Ausnahme für die Netzwerkisolation hinzu. Klicken Sie dazu im Fenster mit der Ausnahmeliste auf Hinzufügen und bearbeiten Sie die Netzwerkverbindungseinstellungen manuell.
- Speichern Sie die vorgenommenen Änderungen.
Sie können mit der Befehlszeile auch die Ausschlussliste der Netzwerkisolationen lokal einsehen.
Nach oben