Сетевая изоляция компьютера
Сетевая изоляция позволяет автоматически изолировать компьютеры от сети, в результате реагирования на обнаружение индикатора компрометации (IOC) – автоматический режим. Также вы можете включить Сетевую изоляцию вручную на время исследования обнаруженной угрозы – ручной режим.
После включения Сетевой изоляции приложение разрывает все активные и блокирует все новые сетевые соединения TCP/IP на компьютере, кроме следующих соединений:
- соединения, указанные в исключениях из Сетевой изоляции;
- соединения, инициированные службами Kaspersky Endpoint Security;
- соединения, инициированные Агентом администрирования Kaspersky Security Center.
Вы можете настроить параметры компонента только в Web Console.
Автоматический режим Сетевой изоляции
Вы можете настроить автоматическое включение Сетевой изоляции, в результате реагирования на обнаружение IOC. Для настройки автоматического режима Сетевой изоляции предназначена групповая политика.
Как настроить автоматическое включение Сетевой изоляции компьютера при обнаружении IOC
- В главном окне Web Console выберите Устройства → Задачи.
Откроется список задач.
- Нажмите на задачу Kaspersky Endpoint Security Поиск IOC.
Откроется окно свойств задачи.
Если требуется, создайте задачу Поиск IOC.
- Выберите закладку Параметры программы.
- В блоке Действия при обнаружении IOC установите флажки Применять действия по реагированию при обнаружении IOC и Изолировать компьютер от сети.
- Сохраните внесенные изменения.
В результате при обнаружении IOC приложение изолирует компьютер от сети для предотвращения распространения угрозы.
Вы можете настроить автоматическое выключение Сетевой изоляции по истечении заданного периода времени. По умолчанию приложение выключает Сетевую изоляцию через 8 часов с момента включения. Также вы можете выключить Сетевую изоляцию вручную (см. инструкцию ниже). После выключения Сетевой изоляции компьютер может работать в сети без ограничений.
Как задать период выключения Сетевой изоляции компьютера в автоматическом режиме
- В главном окне Web Console выберите Устройства → Политики и профили политик.
- Нажмите на название политики Kaspersky Endpoint Security.
Откроется окно свойств политики.
- Выберите закладку Параметры программы.
- Перейдите в раздел Detection and Response → Endpoint Detection and Response.
- В блоке Сетевая изоляция нажмите Настроить разблокировку компьютера.
- В открывшемся окне установите флажок Разблокировать автоматически изолированный компьютер через N часов и задайте период времени, по истечении которого Сетевая изоляция должна быть выключена.
- Сохраните внесенные изменения.
Ручной режим Сетевой изоляции
Вы можете включать или выключать Сетевую изоляцию вручную. Для настройки ручного режим Сетевой изоляции предназначены свойства компьютера в консоли Kaspersky Security Center.
Вы можете включить Сетевую изоляцию следующими способами:
Как вручную включить Сетевую изоляцию компьютера
- В главном окне Web Console выберите Устройства → Управляемые устройства.
- Нажмите на имя компьютера, на котором вы хотите настроить локальные параметры приложения.
Откроются свойства компьютера.
- Выберите закладку Программы.
- Нажмите на Kaspersky Endpoint Security для Windows.
Откроются локальные параметры приложения.
- Выберите закладку Параметры программы.
- Перейдите в раздел Detection and Response → Endpoint Detection and Response.
- В блоке параметров Сетевая изоляция нажмите на кнопку Изолировать компьютер от сети.
Вы можете настроить автоматическое выключение Сетевой изоляции по истечении заданного периода времени. По умолчанию приложение выключает Сетевую изоляцию через 8 часов с момента включения. После выключения Сетевой изоляции компьютер может работать в сети без ограничений.
Как задать период выключения Сетевой изоляции компьютера в ручном режиме
- В главном окне Web Console выберите Устройства → Управляемые устройства.
- Нажмите на имя компьютера, на котором вы хотите настроить локальные параметры приложения.
Откроются свойства компьютера.
- Выберите закладку Задачи.
Откроется список задач, доступных на компьютере.
- Выберите задачу Сетевая изоляция.
- Выберите закладку Параметры программы.
- В открывшемся окне задайте период времени, по истечении которого Сетевая изоляция должна быть выключена.
- Сохраните внесенные изменения.
Как вручную выключить Сетевую изоляцию компьютера
- В главном окне Web Console выберите Устройства → Управляемые устройства.
- Нажмите на имя компьютера, на котором вы хотите настроить локальные параметры приложения.
Откроются свойства компьютера.
- Выберите закладку Программы.
- Нажмите на Kaspersky Endpoint Security для Windows.
Откроются локальные параметры приложения.
- Выберите закладку Параметры программы.
- Перейдите в раздел Detection and Response → Endpoint Detection and Response.
- В блоке параметров Сетевая изоляция нажмите на кнопку Разблокировать изолированный от сети компьютер.
Вы также можете выключить Сетевую изоляцию локально из командной строки.
Исключения из Сетевой изоляции
Вы можете задать исключения из Сетевой изоляции. Сетевые соединения, подпадающие под заданные правила, не будут заблокированы на компьютере после включения Сетевой изоляции.
Для настройки исключений из Сетевой изоляции в приложении доступен список стандартных сетевых профилей. По умолчанию в исключения входят сетевые профили, состоящие из правил, обеспечивающих бесперебойную работу устройств с ролями DNS/DHCP-сервер и DNS/DHCP-клиент. Также вы можете изменить параметры стандартных сетевых профилей или задать исключения вручную (см. инструкцию ниже).
Исключения, заданные в свойствах политики, применяются, только если Сетевая изоляция включена приложением автоматически, в результате реагирования на обнаружение угрозы. Исключения, заданные в свойствах компьютера, применяются, только если Сетевая изоляция включена вручную в свойствах компьютера в консоли Kaspersky Security Center или в деталях обнаружения.
Активная политика не блокирует применение исключений из Сетевой изоляции, заданных в свойствах компьютера, так как сценарии применения этих параметров разные.
Как добавить исключение из Сетевой изоляции в автоматическом режиме
- В главном окне Web Console выберите Устройства → Политики и профили политик.
- Нажмите на название политики Kaspersky Endpoint Security.
Откроется окно свойств политики.
- Выберите закладку Параметры программы.
- Перейдите в раздел Detection and Response → Endpoint Detection and Response.
- В блоке Исключения из сетевой изоляции нажмите Исключения.
- В открывшемся окне нажмите на кнопку Добавить из профиля и выберите стандартные сетевые профили для настройки исключений.
Сетевые соединения из профиля будут добавлены в список исключений из Сетевой изоляции. Вы можете просмотреть свойства сетевых соединений. При необходимости, вы можете изменить параметры сетевого соединения.
- Если требуется, добавьте исключение из Сетевой изоляции вручную. Для этого в окне со списком исключений нажмите на кнопку Добавить и задайте параметры сетевого соединения вручную.
- Сохраните внесенные изменения.
Как добавить исключение из Сетевой изоляции в ручном режиме
- В главном окне Web Console выберите Устройства → Управляемые устройства.
- Нажмите на имя компьютера, на котором вы хотите настроить локальные параметры приложения.
Откроются свойства компьютера.
- Выберите закладку Задачи.
Откроется список задач, доступных на компьютере.
- Выберите задачу Сетевая изоляция.
- Выберите закладку Параметры программы.
- В открывшемся окне нажмите Исключения.
- В открывшемся окне нажмите на кнопку Добавить из профиля и выберите стандартные сетевые профили для настройки исключений.
Сетевые соединения из профиля будут добавлены в список исключений из Сетевой изоляции. Вы можете просмотреть свойства сетевых соединений. При необходимости, вы можете изменить параметры сетевого соединения.
- Если требуется, добавьте исключение из Сетевой изоляции вручную. Для этого в окне со списком исключений нажмите на кнопку Добавить и задайте параметры сетевого соединения вручную.
- Сохраните внесенные изменения.
Вы также можете просмотреть список исключений из Сетевой изоляции локально из командной строки. При этом компьютер должен быть изолирован.
В начало