Контроль программ

Контроль программ управляет запуском программ на компьютерах пользователей. Это позволяет выполнить политику безопасности организации при использовании программ. Также Контроль программ снижает риск заражения компьютера, ограничивая доступ к программам.

Настройка Контроля программ состоит из следующих этапов:

1. Создание категорий программ.

   Администратор создает категории программ, которыми администратор хочет управлять. Категории программ предназначены для всех компьютеров сети организации независимо от групп администрирования. Для создания категории вы можете использовать следующие критерии: KL-категория (например, Браузеры), хеш файла, производитель программы и другие.

2. Создание правил Контроля программ.

   Администратор создает правила Контроля программ в политике для группы администрирования. Правило включает в себя категории программ и статус запуска программ из этих категорий: запрещен или разрешен.

3. Выбор режима работы Контроля программ.

   Администратор выбирает режим работы с программами, которые не входят ни в одно из правил (списки запрещенных и разрешенных программ).

При попытке пользователя запустить запрещенную программу, Kaspersky Endpoint Security заблокирует запуск программы и покажет уведомление (см. рис. ниже).

Для проверки настройки Контроля программ предусмотрен тестовый режим. В этом режиме Kaspersky Endpoint Security выполняет следующие действия:

• разрешает запуск программ, в том числе запрещенных;
• показывает уведомление о запуске запрещенной программы и добавляет информацию в отчет на компьютере пользователя;
• отправляет данные о запуске запрещенных программ в Kaspersky Security Center.

  

  Уведомление Контроля программ

Режимы работы Контроля программ

Компонент Контроль программ может работать в двух режимах:

• Список запрещенных. Режим, при котором Контроль программ разрешает пользователям запуск любых программ, кроме тех, которые запрещены в правилах Контроля программ.

  Этот режим работы Контроля программ установлен по умолчанию.

• Список разрешенных. Режим, при котором Контроль программ запрещает пользователям запуск любых программ, кроме тех, которые разрешены и не запрещены в правилах Контроля программ.

  Если разрешающие правила Контроля программ сформированы максимально полно, компонент запрещает запуск всех новых программ, не проверенных администратором локальной сети организации, но обеспечивает работоспособность операционной системы и проверенных программ, которые нужны пользователям для выполнения должностных обязанностей.

  Вы можете ознакомиться с рекомендациями по настройке правил контроля программ в режиме списка разрешенных программ.

Настройка Контроля программ для работы в этих режимах возможна как в локальном интерфейсе Kaspersky Endpoint Security, так и с помощью Kaspersky Security Center.

Однако Kaspersky Security Center предоставляет инструменты, недоступные в локальном интерфейсе Kaspersky Endpoint Security и необходимые для следующих задач:

• Создание категорий программ.

  Правила Контроля программ, сформированные в Консоли администрирования Kaspersky Security Center, основываются на созданных вами категориях программ, а не на включающих и исключающих условиях, как в локальном интерфейсе Kaspersky Endpoint Security.

• Получение информации о программах, которые установлены на компьютерах локальной сети организации.

Поэтому настройку работы компонента Контроль программ рекомендуется выполнять с помощью Kaspersky Security Center.

Алгоритм работы Контроля программ

Kaspersky Endpoint Security использует алгоритм для принятия решения о запуске программы (см. рис. ниже).

Алгоритм работы Контроля программ

Ограничения функциональности Контроля программ

Работа компонента Контроль программ ограничена в следующих случаях:

• При обновлении версии программы импорт параметров компонента Контроль программ не поддерживается.
• При обновлении версии программы импорт параметров компонента Контроль программ поддерживается только при обновлении версии Kaspersky Endpoint Security 10 Service Pack 2 для Windows и выше до Kaspersky Endpoint Security 11.7.0 для Windows.

  При обновлении версий программы, отличных от Kaspersky Endpoint Security 10 Service Pack 2 для Windows, для восстановления работоспособности Контроля программ необходимо заново настроить параметры работы компонента.

• При отсутствии соединения с серверами KSN Kaspersky Endpoint Security получает информацию о репутации программ и их модулей только из локальных баз.

  Список программ, для которых Kaspersky Endpoint Security определяет KL-категорию Другие программы / Программы, доверенные согласно репутации в KSN, при наличии соединения с серверами KSN может отличаться от списка программ, для которых Kaspersky Endpoint Security определяет KL-категорию Другие программы / Программы доверенные согласно репутации в KSN, при отсутствии соединения с KSN.

• В базе данных Kaspersky Security Center может храниться информация о 150 000 обработанных файлов. При достижении этого количества записей новые файлы не будут обработаны. Для возобновления работы инвентаризации требуется удалить с компьютера, на котором установлена программа Kaspersky Endpoint Security, файлы, учтенные в базе данных Kaspersky Security Center ранее в результате инвентаризации.
• Компонент не контролирует запуск скриптов, если скрипт передается интерпретатору не через командную строку.

  Если запуск интерпретатора разрешен правилами Контроля программ, то компонент не блокирует скрипт, запущенный из этого интерпретатора.

  Если запуск хотя бы одного из скриптов, указанных в командной строке интерпретатора, запрещен правилами Контроля программ, то компонент блокирует все скрипты, указанные в командной строке интерпретатора.

• Компонент не контролирует запуск скриптов из интерпретаторов, не поддерживаемых программой Kaspersky Endpoint Security.

  Kaspersky Endpoint Security поддерживает следующие интерпретаторы:

  • Java;
  • PowerShell.

  Поддерживаются следующие типы интерпретаторов:

  • %ComSpec%;
  • %SystemRoot%\\system32\\regedit.exe;
  • %SystemRoot%\\regedit.exe;
  • %SystemRoot%\\system32\\regedt32.exe;
  • %SystemRoot%\\system32\\cscript.exe;
  • %SystemRoot%\\system32\\wscript.exe;
  • %SystemRoot%\\system32\\msiexec.exe;
  • %SystemRoot%\\system32\\mshta.exe;
  • %SystemRoot%\\system32\\rundll32.exe;
  • %SystemRoot%\\system32\\wwahost.exe;
  • %SystemRoot%\\syswow64\\cmd.exe;
  • %SystemRoot%\\syswow64\\regedit.exe;
  • %SystemRoot%\\syswow64\\regedt32.exe;
  • %SystemRoot%\\syswow64\\cscript.exe;
  • %SystemRoot%\\syswow64\\wscript.exe;
  • %SystemRoot%\\syswow64\\msiexec.exe;
  • %SystemRoot%\\syswow64\\mshta.exe;
  • %SystemRoot%\\syswow64\\rundll32.exe;
  • %SystemRoot%\\syswow64\\wwahost.exe.

Включение и выключение Контроля программ

По умолчанию Контроль программ выключен.

Чтобы включить или выключить Контроль программ выполните следующие действия:

1. В главном окне программы нажмите на кнопку .
2. В окне параметров программы выберите раздел Контроль безопасности → Контроль программ.
3. Используйте переключатель Контроль программ, чтобы включить или выключить компонент.
4. Сохраните внесенные изменения.

В результате, если Контроль программ включен, программа передает в Kaspersky Security Center информацию о запущенных исполняемых файлах. Вы можете просмотреть список запущенных исполняемых файлов в Kaspersky Security Center в папке Исполняемые файлы. Для получения информации обо всех исполняемых файлах, а не только о запущенных файлах, запустите задачу Инвентаризация.

Выбор режима Контроля программ

Чтобы выбрать режим Контроля программ, выполните следующие действия:

1. В главном окне программы нажмите на кнопку .
2. В окне параметров программы выберите раздел Контроль безопасности → Контроль программ.
3. В блоке Режим контроля запуска программ выберите один из следующих вариантов:
   • Список запрещенных. Если выбран этот вариант, Контроль программ разрешает всем пользователям запуск любых программ, кроме случаев, удовлетворяющих условиям запрещающих правил Контроля программ.
   • Список разрешенных. Если выбран этот вариант, Контроль программ запрещает всем пользователям запуск любых программ, кроме случаев, удовлетворяющих условиям разрешающих правил Контроля программ.

     Для режима Список разрешенных программ изначально заданы правила Программы ОС и Доверенные программы обновления. Эти правила Контроля программ соответствуют KL-категориям. В KL-категорию "Программы ОС" входят программы, обеспечивающие нормальную работу операционной системы. В KL-категорию "Доверенные программы обновления" входят программы обновления наиболее известных производителей программного обеспечения. Вы не можете удалить эти правила. Параметры этих правил недоступны для изменения. По умолчанию правило Программы ОС включено, а правило Доверенные программы обновления выключено. Запуск программ, соответствующих условиям срабатывания этих правил, разрешен всем пользователям.

   Все правила, сформированные при выбранном режиме, сохраняются после смены режима для возможности их повторного использования. Чтобы вернуться к использованию этих правил, достаточно выбрать нужный режим.

4. В блоке Действие при запуске запрещенных программ выберите, какое действие компонент должен выполнять при попытке пользователя запустить программу, запрещенную правилами Контроля программ.
5. Установите флажок Контролировать загрузку DLL-модулей (значительно увеличивает нагрузку на систему), если вы хотите, чтобы программа Kaspersky Endpoint Security контролировала загрузку DLL-модулей при запуске пользователями программ.

   Информация о модуле и программе, загрузившей этот модуль, будет сохранена в отчет.

   Kaspersky Endpoint Security контролирует только DLL-модули и драйверы, загруженные с момента установки флажка. Перезагрузите компьютер после установки флажка, если вы хотите, чтобы программа Kaspersky Endpoint Security контролировала все DLL-модули и драйверы, включая те, которые загружаются до запуска Kaspersky Endpoint Security.

   При включении функции контроля загрузки DLL-модулей и драйверов убедитесь, что в параметрах Контроля программ включено правило по умолчанию Программы ОС или другое правило, которое содержит KL-категорию "Доверенные сертификаты" и обеспечивает загрузку доверенных DLL-модулей и драйверов до запуска Kaspersky Endpoint Security. Включение контроля загрузки DLL-модулей и драйверов при выключенном правиле Программы ОС может привести к нестабильности операционной системы.

   Рекомендуется включить защиту паролем для настройки параметров программы, чтобы иметь возможность выключить запрещающие правила, блокирующие запуск критически важных DLL-модулей и драйверов, не изменяя при этом параметры политики Kaspersky Security Center.

6. Сохраните внесенные изменения.

Действия с правилами Контроля программ в интерфейсе программы

Kaspersky Endpoint Security контролирует запуск программ пользователями с помощью правил. В правиле Контроля программ содержатся условия срабатывания и действия компонента Контроль программ при срабатывании правила (разрешение или запрещение пользователям запускать программу).

Условия срабатывания правила

Условие срабатывания правила представляет собой соответствие "тип условия - критерий условия - значение условия". На основании условий срабатывания правила Kaspersky Endpoint Security применяет (или не применяет) правило к программе.

В правилах используются следующие типы условий:

• Включающие условия. Kaspersky Endpoint Security применяет правило к программе, если программа соответствует хотя бы одному включающему условию.
• Исключающие условия. Kaspersky Endpoint Security не применяет правило к программе, если программа соответствует хотя бы одному исключающему условию или не соответствует ни одному включающему условию.

Условия срабатывания правила формируются с помощью критериев. Для формирования условий в Kaspersky Endpoint Security используются следующие критерии:

• путь к папке с исполняемым файлом программы или путь к исполняемому файлу программы;
• метаданные: название исполняемого файла программы, версия исполняемого файла программы, название программы, версия программы, производитель программы;
• хеш исполняемого файла программы;
• сертификат: издатель, субъект, отпечаток;
• принадлежность программы к KL-категории;
• расположение исполняемого файла программы на съемном диске.

Для каждого критерия, используемого в условии, нужно указать его значение. Если параметры запускаемой программы соответствуют значениям критериев, указанных во включающем условии, правило срабатывает. В этом случае Контроль программ выполняет действие, прописанное в правиле. Если параметры программы соответствуют значениям критериев, указанных в исключающем условии, Контроль программ не контролирует запуск программы.

Если в качестве условия срабатывания правила вы выбрали сертификат, вам нужно убедиться, что этот сертификат добавлен в доверенное системное хранилище на компьютере, и проверить параметры использования доверенного системного хранилища в приложении.

Решения компонента Контроль программ при срабатывании правила

При срабатывании правила Контроль программ в соответствии с правилом разрешает или запрещает пользователям (группам пользователей) запускать программы. Вы можете выбирать отдельных пользователей или группы пользователей, которым разрешен или запрещен запуск программ, для которых срабатывает правило.

Если в правиле не указан ни один пользователь, которому разрешен запуск программ, удовлетворяющих правилу, правило называется запрещающим.

Если в правиле не указан ни один пользователь, которому запрещен запуск программ, удовлетворяющих правилу, правило называется разрешающим.

Приоритет запрещающего правила выше приоритета разрешающего правила. Например, если для группы пользователей назначено разрешающее правило Контроля программы и для одного из пользователей этой группы назначено запрещающее правило Контроля программы, то этому пользователю будет запрещен запуск программы.

Статус работы правила

Правила Контроля программ могут иметь один из следующих статусов работы:

• Вкл. Статус означает, что правило используется во время работы компонента Контроль программ.
• Выкл. Статус означает, что правило не используется во время работы компонента Контроль программ.
• Тест. Статус означает, что Kaspersky Endpoint Security разрешает запуск программ, на которые распространяется действие правила, но заносит информацию о запуске этих программ в отчет.

   

Добавление правила Контроля программ

Чтобы добавить правило Контроля программ, выполните следующие действия:

1. В главном окне программы нажмите на кнопку .
2. В окне параметров программы выберите раздел Контроль безопасности → Контроль программ.
3. Нажмите на кнопку Запрещенные программы или Разрешенные программы.

   Откроется список правил Контроля программ.

4. Нажмите на кнопку Добавить.

   Откроется окно Правило Контроля программ.

5. На закладке Общие настройки задайте основные параметры правила:
   1. В поле Название правила введите название правила.
   2. В поле Описание введите описание правила.
   3. Задайте или измените список пользователей и / или групп пользователей, которым разрешено или запрещено запускать программы, удовлетворяющие условиям срабатывания правила. Для этого нажмите на кнопку Добавить в таблице Субъекты и их права.

      По умолчанию в список пользователей добавлено значение Все. Действие правила распространяется на всех пользователей.

      Если в таблице не указан ни один пользователь, правило не может быть сохранено.

   4. В таблице Субъекты и их права определите право пользователей на запуск программ с помощью переключателя.
   5. Установите флажок Запретить остальным пользователям, если вы хотите, чтобы программа запрещала запуск программ, удовлетворяющих условиям срабатывания правила, всем пользователям, которые не указаны в графе Субъект и не входят в группы пользователей, указанные в графе Субъект.

      Если флажок Запретить остальным пользователям снят, Kaspersky Endpoint Security не контролирует запуск программ пользователями, которые не указаны в таблице Субъекты и их права и не входят в группы пользователей, указанные в таблице Субъекты и их права.

   6. Установите флажок Доверенные программы обновления, если вы хотите, чтобы программы, удовлетворяющие условиям срабатывания правила, Kaspersky Endpoint Security считал доверенными программами обновления с правом создавать другие исполняемые файлы, запуск которых в дальнейшем будет разрешен.
6. На закладке Условия сформируйте или измените список включающих условий срабатывания правила.
7. На закладке Исключения сформируйте или измените список исключающих условий срабатывания правила.

   При миграции параметров Kaspersky Endpoint Security осуществляется также миграция списка исполняемых файлов, созданных доверенными программами обновления.

8. Сохраните внесенные изменения.

Добавление условия срабатывания в правило Контроля программ

Чтобы добавить новое условие срабатывания в правило Контроля программ, выполните следующие действия:

1. В главном окне программы нажмите на кнопку .
2. В окне параметров программы выберите раздел Контроль безопасности → Контроль программ.
3. Нажмите на кнопку Запрещенные программы или Разрешенные программы.

   Откроется список правил Контроля программ.

4. Выберите правило, для которого вы хотите добавить условие срабатывания.

   Откроются свойства правила Контроля программ.

5. Перейдите на закладку Условия или Исключения и нажмите на кнопу Добавить.
6. Выберите условия срабатывания правила Контроля программ:
   • Условия из свойств запускавшихся программ. Вы можете выбрать программы, к которым будет применено правило Контроля программ, из списка запущенных программ. Kaspersky Endpoint Security также добавляет в этот список программы, которые когда-либо были запущены на компьютере. Вам нужно выбрать критерий, на основе которого вы хотите создать одно или несколько условий срабатывания правила: Хеш файла, Сертификат, KL-категория, Метаданные или Путь к папке.
   • Условия "KL-категория". KL-категория – сформированный специалистами "Лаборатории Касперского" список программ, обладающих общими тематическими признаками. Например, KL-категория "Офисные программы" включает в себя программы из пакетов Microsoft Office, Adobe Acrobat и другие.
   • Условие вручную. Вы можете выбрать файл программы и выбрать одно из условий срабатывания правила: Хеш файла, Сертификат, Метаданные или Путь к папке.
   • Условие по носителю файла (съемный диск). Правило Контроля программ применяется только к файлам, которые запускаются на съемном диске.
   • Условия из свойств файлов указанной папки. Правило Контроля программ применяется только к файлам, которые расположены в указанной папке. Вы также можете включить или исключить файлы из вложенных папок. Вам нужно выбрать критерий, на основе которого вы хотите создать одно или несколько условий срабатывания правила: Хеш файла, Сертификат, KL-категория, Метаданные или Путь к папке.
7. Сохраните внесенные изменения.

При добавлении условий учитывайте следующие особенности работы Контроля программ:

• Kaspersky Endpoint Security не поддерживает MD5-хеш файла и не контролирует запуск приложений на основе MD5-хеша. В качестве условия срабатывания правила используется SHA256-хеш.
• Не рекомендуется использовать в качестве условий срабатывания правил только критерии Издатель и Субъект. Использование этих критериев является ненадежным.
• Если вы используете символьную ссылку в поле Путь к файлу или папке, рекомендуется развернуть символьную ссылку для корректной работы правила Контроля программ. Для этого нажмите на кнопку Развернуть символьную ссылку.

Изменение статуса правила Контроля программ

Чтобы изменить статус правила Контроля программ, выполните следующие действия:

1. В главном окне программы нажмите на кнопку .
2. В окне параметров программы выберите раздел Контроль безопасности → Контроль программ.
3. Нажмите на кнопку Запрещенные программы или Разрешенные программы.

   Откроется список правил Контроля программ.

4. В графе Статус откройте контекстное меню и выберите один из следующих пунктов:
   • Включено. Статус означает, что правило используется во время работы компонента Контроль программ.
   • Выключено. Статус означает, что правило не используется во время работы компонента Контроль программ.
   • Тестирование. Статус означает, что Kaspersky Endpoint Security всегда разрешает запуск программ, на которые распространяется действие этого правила, но заносит информацию о запуске этих программ в отчет.
5. Сохраните внесенные изменения.

Управление правилами Контроля программ в Kaspersky Security Center

Kaspersky Endpoint Security контролирует запуск программ пользователями с помощью правил. В правиле Контроля программ содержатся условия срабатывания и действия компонента Контроль программ при срабатывании правила (разрешение или запрещение пользователям запускать программу).

Условия срабатывания правила

Условие срабатывания правила представляет собой соответствие "тип условия - критерий условия - значение условия". На основании условий срабатывания правила Kaspersky Endpoint Security применяет (или не применяет) правило к программе.

В правилах используются следующие типы условий:

• Включающие условия. Kaspersky Endpoint Security применяет правило к программе, если программа соответствует хотя бы одному включающему условию.
• Исключающие условия. Kaspersky Endpoint Security не применяет правило к программе, если программа соответствует хотя бы одному исключающему условию или не соответствует ни одному включающему условию.

Условия срабатывания правила формируются с помощью критериев. Для формирования условий в Kaspersky Endpoint Security используются следующие критерии:

• путь к папке с исполняемым файлом программы или путь к исполняемому файлу программы;
• метаданные: название исполняемого файла программы, версия исполняемого файла программы, название программы, версия программы, производитель программы;
• хеш исполняемого файла программы;
• сертификат: издатель, субъект, отпечаток;
• принадлежность программы к KL-категории;
• расположение исполняемого файла программы на съемном диске.

Для каждого критерия, используемого в условии, нужно указать его значение. Если параметры запускаемой программы соответствуют значениям критериев, указанных во включающем условии, правило срабатывает. В этом случае Контроль программ выполняет действие, прописанное в правиле. Если параметры программы соответствуют значениям критериев, указанных в исключающем условии, Контроль программ не контролирует запуск программы.

Если в качестве условия срабатывания правила вы выбрали сертификат, вам нужно убедиться, что этот сертификат добавлен в доверенное системное хранилище на компьютере, и проверить параметры использования доверенного системного хранилища в приложении.

Решения компонента Контроль программ при срабатывании правила

При срабатывании правила Контроль программ в соответствии с правилом разрешает или запрещает пользователям (группам пользователей) запускать программы. Вы можете выбирать отдельных пользователей или группы пользователей, которым разрешен или запрещен запуск программ, для которых срабатывает правило.

Если в правиле не указан ни один пользователь, которому разрешен запуск программ, удовлетворяющих правилу, правило называется запрещающим.

Если в правиле не указан ни один пользователь, которому запрещен запуск программ, удовлетворяющих правилу, правило называется разрешающим.

Приоритет запрещающего правила выше приоритета разрешающего правила. Например, если для группы пользователей назначено разрешающее правило Контроля программы и для одного из пользователей этой группы назначено запрещающее правило Контроля программы, то этому пользователю будет запрещен запуск программы.

Статус работы правила

Правила Контроля программ могут иметь один из следующих статусов работы:

• Вкл. Статус означает, что правило используется во время работы компонента Контроль программ.
• Выкл. Статус означает, что правило не используется во время работы компонента Контроль программ.

Тест. Статус означает, что Kaspersky Endpoint Security разрешает запуск программ, на которые распространяется действие правила, но заносит информацию о запуске этих программ в отчет.

Получение информации о программах, которые установлены на компьютерах пользователей

Для создания оптимальных правил Контроля программ рекомендуется получить представление о программах, используемых на компьютерах локальной сети организации. Для этого вы можете получить следующую информацию:

• производители, версии и локализации программ, которые используются в локальной сети организации;
• регулярность обновлений программ;
• политики использования программ, принятые в организации (это могут быть политики безопасности или административные политики);
• расположение хранилища дистрибутивов программ.

Чтобы получить информацию о программах, которые используются на компьютерах локальной сети организации, вы можете использовать данные, представленные в папках Реестр программ и Исполняемые файлы. Папки Реестр программ и Исполняемые файлы входят в состав папки Управление программами дерева Консоли администрирования Kaspersky Security Center.

Папка Реестр программ содержит список программ, которые обнаружил на клиентских компьютерах установленный на них

Папка Исполняемые файлы содержит список исполняемых файлов, которые когда-либо запускались на клиентских компьютерах или были обнаружены в процессе работы задачи инвентаризации для Kaspersky Endpoint Security.

Открыв окно свойств выбранной программы в папке Реестр программ или Исполняемые файлы, вы можете получить общую информацию о программе и о ее исполняемых файлах, а также просмотреть список компьютеров, на которых установлена эта программа.

Чтобы открыть окно свойств программы в папке Реестр программ, выполните следующие действия:

1. Откройте Консоль администрирования Kaspersky Security Center.
2. В дереве Консоли администрирования выберите Дополнительно → Управление программами → Реестр программ.
3. Выберите программу.
4. В контекстном меню программы выберите пункт Свойства.

Чтобы открыть окно свойств исполняемого файла в папке Исполняемые файлы, выполните следующие действия:

1. Откройте Консоль администрирования Kaspersky Security Center.
2. В дереве Консоли администрирования выберите папку Дополнительно → Управление программами → Исполняемые файлы.
3. Выберите исполняемый файл.
4. В контекстном меню исполняемого файла выберите пункт Свойства.

Создание категорий программ

Для удобства формирования правил Контроля программ вы можете создать категории программ.

Рекомендуется создать категорию "Программы для работы", которая включает в себя стандартный набор программ, используемых в организации. Если различные группы пользователей используют различные наборы программ для работы, вы можете создать отдельную категорию программ для работы каждой группы пользователей.

Чтобы создать категорию программ, выполните следующие действия:

1. Откройте Консоль администрирования Kaspersky Security Center.
2. В дереве Консоли администрирования выберите папку Дополнительно → Управление программами → Категории программ.
3. В рабочей области нажмите на кнопку Новая категория.

   Запустится мастер создания пользовательской категории.

4. Следуйте указаниям мастера создания пользовательской категории.

Шаг 1. Выбор типа категории

На этом шаге выберите один из следующих типов категорий программ:

• Пополняемая вручную категория. Если вы выбрали этот тип категории, то на шаге "Настройка условий для включения программ в категорию" и шаге "Настройка условий для исключения программ из категории" вы сможете задать критерии, по которым исполняемые файлы будут попадать в категорию.
• Категория, в которую входят исполняемые файлы с выбранных устройств. Если вы выбрали этот тип категории, то на шаге "Параметры" вы сможете указать компьютер, исполняемые файлы c которого будут автоматически попадать в категорию.
• Категория, в которую входят исполняемые файлы из указанной папки. Если вы выбрали этот тип категории, то на шаге "Папка хранилища" вы сможете указать папку, исполняемые файлы из которой будут автоматически попадать в категорию.

При создании автоматически пополняемой категории Kaspersky Security Center выполняет инвентаризацию файлов следующих форматов: EXE, COM, DLL, SYS, BAT, PS1, CMD, JS, VBS, REG, MSI, MSC, CPL, HTML, HTM, DRV, OCX, SCR.

Шаг 2. Ввод названия пользовательской категории

На этом шаге укажите название категории программ.

Шаг 3. Настройка условий для включения программ в категорию

Этот шаг доступен, если вы выбрали тип категории Пополняемая вручную категория.

На этом шаге в раскрывающемся списке Добавить выберите условия для включения программ в категорию:

• Из списка исполняемых файлов. Добавьте программы из списка исполняемых файлов на клиентском устройстве в пользовательскую категорию.
• Из свойств файла. Укажите детальные данные исполняемых файлов в качестве условия добавления программ в пользовательскую категорию.
• Метаданные файлов папки. Выберите папку на клиентском устройстве, которая содержит исполняемые файлы. Kaspersky Security Center укажет метаданные этих исполняемых файлов в качестве условия добавления программ в пользовательскую категорию.
• Хеши файлов папки. Выберите папку на клиентском устройстве, которая содержит исполняемые файлы. Kaspersky Security Center укажет хеши этих исполняемых файлов в качестве условия добавления программ в пользовательскую категорию.
• Сертификаты файлов из папки. Выберите папку на клиентском устройстве, которая содержит исполняемые файлы, подписанные сертификатами. Kaspersky Security Center укажет сертификаты этих исполняемых файлов в качестве условия добавления программ в пользовательскую категорию.

  Не рекомендуется использовать условия, в свойствах которых не указывается параметр Отпечаток сертификата.

• Метаданные файлов установщика MSI. Выберите MSI-пакет. Kaspersky Security Center укажет метаданные исполняемых файлов, упакованных в этот MSI-пакет, в качестве условия добавления программ в пользовательскую категорию.
• Контрольные суммы файлов msi-инсталлятора программы. Выберите MSI-пакет. Kaspersky Security Center укажет хеши исполняемых файлов, упакованных в этот MSI-пакет, в качестве условия добавления программ в пользовательскую категорию.
• Из KL-категории. Укажите KL-категорию в качестве условия добавления программ в пользовательскую категорию. KL-категория – сформированный специалистами "Лаборатории Касперского" список программ, обладающих общими тематическими признаками. Например, KL-категория "Офисные программы" включает в себя программы из пакетов Microsoft Office, Adobe Acrobat и другие.

  Вы можете выбрать все KL-категории, чтобы сформировать расширенный список доверенных программ.

• Задайте путь к программе. Выберите папку на клиентском устройстве. Kaspersky Security Center добавит исполняемые файлы из этой папки в пользовательскую категорию.
• Выберите сертификат из хранилища сертификатов. Выберите сертификаты, которыми подписаны исполняемые файлы, в качестве условия добавления программ в пользовательскую категорию.

  Не рекомендуется использовать условия, в свойствах которых не указывается параметр Отпечаток сертификата.

• Тип носителя. Укажите тип запоминающего устройства (все жесткие и съемные диски или только съемные диски) в качестве условия добавления программ в пользовательскую категорию.

Шаг 4. Настройка условий для исключения программ из категории

Этот шаг доступен, если вы выбрали тип категории Пополняемая вручную категория.

Программы, указанные на этом шаге, исключаются из категории, даже если эти программы были указаны на шаге "Настройка условий для включения программ в категорию".

На этом шаге в раскрывающемся списке Добавить выберите условия для исключения программ из категории:

• Из списка исполняемых файлов. Добавьте программы из списка исполняемых файлов на клиентском устройстве в пользовательскую категорию.
• Из свойств файла. Укажите детальные данные исполняемых файлов в качестве условия добавления программ в пользовательскую категорию.
• Метаданные файлов папки. Выберите папку на клиентском устройстве, которая содержит исполняемые файлы. Kaspersky Security Center укажет метаданные этих исполняемых файлов в качестве условия добавления программ в пользовательскую категорию.
• Хеши файлов папки. Выберите папку на клиентском устройстве, которая содержит исполняемые файлы. Kaspersky Security Center укажет хеши этих исполняемых файлов в качестве условия добавления программ в пользовательскую категорию.
• Сертификаты файлов из папки. Выберите папку на клиентском устройстве, которая содержит исполняемые файлы, подписанные сертификатами. Kaspersky Security Center укажет сертификаты этих исполняемых файлов в качестве условия добавления программ в пользовательскую категорию.
• Метаданные файлов установщика MSI. Выберите MSI-пакет. Kaspersky Security Center укажет метаданные исполняемых файлов, упакованных в этот MSI-пакет, в качестве условия добавления программ в пользовательскую категорию.
• Контрольные суммы файлов msi-инсталлятора программы. Выберите MSI-пакет. Kaspersky Security Center укажет хеши исполняемых файлов, упакованных в этот MSI-пакет, в качестве условия добавления программ в пользовательскую категорию.
• Из KL-категории. Укажите KL-категорию в качестве условия добавления программ в пользовательскую категорию. KL-категория – сформированный специалистами "Лаборатории Касперского" список программ, обладающих общими тематическими признаками. Например, KL-категория "Офисные программы" включает в себя программы из пакетов Microsoft Office, Adobe Acrobat и другие.

  Вы можете выбрать все KL-категории, чтобы сформировать расширенный список доверенных программ.

• Задайте путь к программе. Выберите папку на клиентском устройстве. Kaspersky Security Center добавит исполняемые файлы из этой папки в пользовательскую категорию.
• Выберите сертификат из хранилища сертификатов. Выберите сертификаты, которыми подписаны исполняемые файлы, в качестве условия добавления программ в пользовательскую категорию.
• Тип носителя. Укажите тип запоминающего устройства (все жесткие и съемные диски или только съемные диски) в качестве условия добавления программ в пользовательскую категорию.

Шаг 5. Параметры

Этот шаг доступен, если вы выбрали тип категории Категория, в которую входят исполняемые файлы с выбранных устройств.

На этом шаге нажмите на кнопку Добавить и укажите компьютеры, исполняемые файлы с которых Kaspersky Security Center добавит в категорию программ. Kaspersky Security Center добавит в категорию программ все исполняемые файлы с указанных компьютеров, представленные в папке Исполняемые файлы.

Также на этом шаге вы можете настроить следующие параметры:

• Алгоритм вычисления хеш-функции программой Kaspersky Security Center. Для выбора алгоритма необходимо установить хотя бы один из следующих флажков:
  • Вычислять SHA-256 для файлов в категории (поддерживается для версии Kaspersky Endpoint Security 10 Service Pack 2 для Windows и выше).
  • Вычислять MD5 для файлов в категории (поддерживается для версий ниже Kaspersky Endpoint Security 10 Service Pack 2 для Windows).
• Флажок Синхронизировать данные с хранилищем Сервера администрирования. Установите этот флажок, если вы хотите, чтобы Kaspersky Security Center периодически очищал категорию программ и добавлял в нее все исполняемые файлы с указанных компьютеров, представленные в папке Исполняемые файлы.

  Если флажок Синхронизировать данные с хранилищем Сервера администрирования снят, то после создания категории программ Kaspersky Security Center не будет вносить в нее изменения.

• Поле Период проверки (ч). В поле вы можете указать период времени в часах, по истечении которого Kaspersky Security Center очищает категорию программ и добавляет в нее все исполняемые файлы с указанных компьютеров, представленные в папке Исполняемые файлы.

  Поле доступно, если установлен флажок Синхронизировать данные с хранилищем Сервера администрирования.

Шаг 6. Папка хранилища

Этот шаг доступен, если вы выбрали тип категории Категория, в которую входят исполняемые файлы из указанной папки.

На этом шаге нажмите на кнопку Обзор и укажите папку, в которой Kaspersky Security Center будет выполнять поиск исполняемых файлов для автоматического добавления в категорию программ.

Также на этом шаге вы можете настроить следующие параметры:

• Флажок Включать в категорию динамически подключаемые библиотеки (DLL). Установите этот флажок, если вы хотите, чтобы в категорию программ включались динамически подключаемые библиотеки (файлы формата DLL).

  При включении файлов формата DLL в категорию программ возможно снижение производительности работы Kaspersky Security Center.

• Флажок Включать в категорию данные о скриптах. Установите этот флажок, если вы хотите, чтобы в категорию программ включались скрипты.

  При включении скриптов в категорию программ возможно снижение производительности работы Kaspersky Security Center.

• Алгоритм вычисления хеш-функции программой Kaspersky Security Center. Для выбора алгоритма необходимо установить хотя бы один из следующих флажков:
  • Вычислять SHA-256 для файлов в категории (поддерживается для версии Kaspersky Endpoint Security 10 Service Pack 2 для Windows и выше).
  • Вычислять MD5 для файлов в категории (поддерживается для версий ниже Kaspersky Endpoint Security 10 Service Pack 2 для Windows).
• Флажок Принудительно проверять папку на наличие изменений. Установите этот флажок, если вы хотите, чтобы Kaspersky Security Center периодически выполнял поиск исполняемых файлов в папке автоматического пополнения категории программ.

  Если флажок Принудительно проверять папку на наличие изменений снят, Kaspersky Security Center выполняет поиск исполняемых файлов в папке автоматического пополнения категории программ, только если в этой папке были изменены, добавлены или удалены файлы.

• Поле Период проверки (ч). В поле вы можете указать период времени в часах, по истечении которого Kaspersky Security Center выполняет поиск исполняемых файлов в папке автоматического пополнения категории программ.

  Поле доступно, если установлен флажок Принудительно проверять папку на наличие изменений.

Шаг 7. Создание пользовательской категории

Чтобы завершить работу мастера установки программы, нажмите на кнопку Готово.

Добавление в категорию программ исполняемых файлов из папки Исполняемые файлы

В папке Исполняемые файлы отображается список исполняемых файлов, обнаруженных на компьютерах. Kaspersky Endpoint Security формирует список исполняемых файлов после выполнения задачи инвентаризации.

Чтобы добавить в категорию программ исполняемые файлы из папки Исполняемые файлы, выполните следующие действия:

1. Откройте Консоль администрирования Kaspersky Security Center.
2. В дереве Консоли администрирования выберите Дополнительно → Управление программами → Исполняемые файлы.
3. В рабочей области выберите исполняемые файлы, которые вы хотите добавить в категорию программ.
4. По правой клавише мыши откройте контекстное меню для выбранных исполняемых файлов и выберите пункт Добавить в категорию.
5. В открывшемся окне выполните следующие действия:
   • В верхней части окна выберите один из следующих вариантов:
     • Добавить в новую категорию программ. Выберите этот вариант, если вы хотите создать новую категорию программ и добавить в нее исполняемые файлы.
     • Добавить в существующую категорию. Выберите этот вариант, если вы хотите выбрать существующую категорию программ и добавить в нее исполняемые файлы.
   • В блоке Тип правила выберите один из следующих вариантов:
     • Правила для добавления в область действия. Выберите этот вариант, если вы хотите создать условия, добавляющие исполняемые файлы в категорию программ.
     • Правила для добавления в исключения. Выберите этот вариант, если вы хотите создать условия, исключающие исполняемые файлы из категории программ.
   • В блоке Параметр, используемый в качестве условия выберите один из следующих вариантов:
     • Данные сертификата (или SHA-256 для файлов без сертификата).
     • Данные сертификата (файлы без сертификата пропускаются).
     • Только SHA-256 (файлы без SHA-256 пропускаются).
     • Только MD5 (для совместимости с Kaspersky Endpoint Security 10 Service Pack 1).
6. Нажмите на кнопку ОК.

Добавление в категорию программ исполняемых файлов, связанных с событиями

Чтобы добавить в категорию программ исполняемые файлы, связанные с событиями Контроля программ, выполните следующие действия:

1. Откройте Консоль администрирования Kaspersky Security Center.
2. В узле Сервер администрирования дерева Консоли администрирования выберите закладку События.
3. Выберите выборку событий о работе компонента Контроль программ (Просмотр событий по результатам работы компонента Контроль программ, Просмотр событий по результатам тестовой работы компонента Контроля программ) в раскрывающемся списке Выборки событий.
4. Нажмите на кнопку Запустить выборку.
5. Выберите события, в связи с которыми вы хотите добавить в категорию программ исполняемые файлы.
6. По правой клавише мыши откройте контекстное меню для выбранных событий и выберите пункт Добавить в категорию.
7. В открывшемся окне настройте параметры категории программ:
   • В верхней части окна выберите один из следующих вариантов:
     • Добавить в новую категорию программ. Выберите этот вариант, если вы хотите создать новую категорию программ и добавить в нее исполняемые файлы.
     • Добавить в существующую категорию. Выберите этот вариант, если вы хотите выбрать существующую категорию программ и добавить в нее исполняемые файлы.
   • В блоке Тип правила выберите один из следующих вариантов:
     • Правила для добавления в область действия. Выберите этот вариант, если вы хотите создать условия, добавляющие исполняемые файлы в категорию программ.
     • Правила для добавления в исключения. Выберите этот вариант, если вы хотите создать условия, исключающие исполняемые файлы из категории программ.
   • В блоке Параметр, используемый в качестве условия выберите один из следующих вариантов:
     • Данные сертификата (или SHA-256 для файлов без сертификата).
     • Данные сертификата (файлы без сертификата пропускаются).
     • Только SHA-256 (файлы без SHA-256 пропускаются).
     • Только MD5 (для совместимости с Kaspersky Endpoint Security 10 Service Pack 1).
8. Нажмите на кнопку ОК.

Добавление и изменение правила Контроля программ с помощью Kaspersky Security Center

Чтобы добавить или изменить правило Контроля программ с помощью Kaspersky Security Center, выполните следующие действия:

1. Откройте Консоль администрирования Kaspersky Security Center.
2. В папке Управляемые устройства дерева Консоли администрирования откройте папку с названием группы администрирования, в состав которой входят нужные клиентские компьютеры.
3. В рабочей области выберите закладку Политики.
4. Выберите нужную политику и откройте свойства политики двойным щелчком мыши.
5. В окне политики выберите Контроль безопасности → Контроль программ.

   В правой части окна отобразятся параметры компонента Контроль программ.

6. Выполните одно из следующих действий:
   • Если вы хотите добавить правило, нажмите на кнопку Добавить.
   • Если вы хотите изменить существующее правило, выберите правило в списке и нажмите на кнопку Изменить.

   Откроется окно Правила Контроля программ.

7. Выполните одно из следующих действий:
   • Если вы хотите создать новую категорию, выполните следующие действия:
     1. Нажмите на кнопку Создать категорию.

        Запустится мастер создания пользовательской категории.

     2. Следуйте указаниям мастера создания пользовательской категории.
     3. Из раскрывающегося списка Категория выберите созданную категорию программ.
   • Если вы хотите изменить существующую категорию, выполните следующие действия:
     1. Из раскрывающегося списка Категория выберите созданную категорию программ, которую вы хотите изменить.
     2. Нажмите на кнопку Свойства.
     3. Измените параметры выбранной категории программ.
     4. Нажмите на кнопку ОК.
     5. Из раскрывающегося списка Категория выберите созданную категорию программ, на основе которой вы хотите создать правило.
8. В таблице Субъекты и их права нажмите на кнопку Добавить.
9. В окне Выбор: "Пользователи" или "Группы" задайте список пользователей и / или групп пользователей, для которых вы хотите настроить возможность запускать программы, принадлежащие к выбранной категории.
10. В таблице Субъекты и их права выполните следующие действия:
    • Если вы хотите разрешить пользователям и / или группам пользователей запуск программ, принадлежащих к выбранной категории, установите флажок Разрешить в нужных строках.
    • Если вы хотите запретить пользователям и / или группам пользователей запуск программ, принадлежащих к выбранной категории, установите флажок Запретить в нужных строках.
11. Установите флажок Запретить остальным пользователям, если вы хотите, чтобы программа запрещала запуск программ, принадлежащих к выбранной категории, всем пользователям, которые не указаны в графе Субъект и не входят в группы пользователей, указанные в графе Субъект.
12. Установите флажок Доверенные программы обновления, если вы хотите, чтобы программы, входящие в выбранную категорию программ, Kaspersky Endpoint Security считал доверенными программами обновления с правом создавать другие исполняемые файлы, запуск которых в дальнейшем будет разрешен.

    При миграции параметров Kaspersky Endpoint Security осуществляется также миграция списка исполняемых файлов, созданных доверенными программами обновления.

13. Сохраните внесенные изменения.

Изменение статуса правила Контроля программ с помощью Kaspersky Security Center

Чтобы изменить статус правила Контроля программ, выполните следующие действия:

1. Откройте Консоль администрирования Kaspersky Security Center.
2. В папке Управляемые устройства дерева Консоли администрирования откройте папку с названием группы администрирования, в состав которой входят нужные клиентские компьютеры.
3. В рабочей области выберите закладку Политики.
4. Выберите нужную политику и откройте свойства политики двойным щелчком мыши.
5. В окне политики выберите Контроль безопасности → Контроль программ.

   В правой части окна отобразятся параметры компонента Контроль программ.

6. В графе Статус по левой клавише мыши откройте контекстное меню и выберите один из следующих пунктов:
   • Вкл. Статус означает, что правило используется во время работы компонента Контроль программ.
   • Выкл. Статус означает, что правило не используется во время работы компонента Контроль программ.
   • Тест. Статус означает, что Kaspersky Endpoint Security всегда разрешает запуск программ, на которые распространяется действие правила, но заносит информацию о запуске этих программ в отчет.

     С помощью статуса Тест вы можете назначить действие, аналогичное элементу Тестировать правила, для части правил, при выбранном элементе Применять правила в раскрывающемся списке Действие.

7. Сохраните внесенные изменения.

Экспорт и импорт правил Контроля программ

Вы можете экспортировать список правил Контроля программ в файл в формате XML. Вы можете использовать функцию экспорта / импорта для резервного копирования списка правил Контроля программ или для миграции списка на другой сервер.

Экспорт и импорт правил Контроля программ имеет следующие особенности:

• Kaspersky Endpoint Security экспортирует список правил только для активного режима Контроля программ. То есть, если Контроль программ работает в режиме запрещенного списка, Kaspersky Endpoint Security экспортирует правила только для этого режима. Для экспорта списка правил для режима разрешенного списка вам нужно переключить режим и выполнить экспорт повторно.
• Kaspersky Endpoint Security использует категории программ для работы правил Контроля программ. При миграции списка правил Контроля программ на другой сервер вам также нужно выполнить миграцию списка категорий программ. Подробнее об экспорте / импорте категорий программ см. в справке Kaspersky Security Center.

Как экспортировать / импортировать список правил Контроля программ в Консоли администрирования (MMC)

Как экспортировать / импортировать список правил Контроля программ в Web Console и Cloud Console

Тестирование правил Контроля программ с помощью Kaspersky Security Center

Чтобы убедиться, что правила Контроля программ не блокируют программы, необходимые для работы, рекомендуется после создания правил включить тестирование правил Контроля программ и проанализировать их работу. При включении тестирования правил Контроля программ Kaspersky Endpoint Security не будет блокировать программы, запуск которых запрещен Контролем программ, но будет отправлять уведомления об их запуске на Сервер администрирования.

Для анализа работы правил Контроля программ требуется изучить события по результатам работы компонента Контроль программ, приходящие в Kaspersky Security Center. Если для всех программ, которые необходимы для работы пользователю компьютера, отсутствуют события о запрете запуска в тестовом режиме, то созданы верные правила. В противном случае рекомендуется уточнить параметры созданных вами правил, создать дополнительные или удалить существующие правила.

По умолчанию Kaspersky Endpoint Security разрешает запуск всех программ, кроме программ, запрещенных правилами.

Чтобы включить или выключить тестирование правил Контроля программ в Kaspersky Security Center, выполните следующие действия:

1. Откройте Консоль администрирования Kaspersky Security Center.
2. В папке Управляемые устройства дерева Консоли администрирования откройте папку с названием группы администрирования, в состав которой входят нужные клиентские компьютеры.
3. В рабочей области выберите закладку Политики.
4. Выберите нужную политику и откройте свойства политики двойным щелчком мыши.
5. В окне политики выберите Контроль безопасности → Контроль программ.

   В правой части окна отобразятся параметры компонента Контроль программ.

6. В раскрывающемся списке Режим контроля выберите один из следующих элементов:
   • Список запрещенных. Если выбран этот вариант, Контроль программ разрешает всем пользователям запуск любых программ, кроме случаев, удовлетворяющих условиям запрещающих правил Контроля программ.
   • Список разрешенных. Если выбран этот вариант, Контроль программ запрещает всем пользователям запуск любых программ, кроме случаев, удовлетворяющих условиям разрешающих правил Контроля программ.
7. Выполните одно из следующих действий:
   • Если вы хотите включить тестирование правил Контроля программ, в раскрывающемся списке Действие выберите элемент Тестировать правила.
   • Если вы хотите включить Контроль программ для управления запуском программ на компьютерах пользователей, в раскрывающемся списке выберите элемент Применять правила.
8. Сохраните внесенные изменения.

Просмотр событий по результатам тестовой работы компонента Контроля программ

Чтобы просмотреть приходящие на Kaspersky Security Center события по результатам тестовой работы компонента Контроль программ, выполните следующие действия:

1. Откройте Консоль администрирования Kaspersky Security Center.
2. В узле Сервер администрирования дерева Консоли администрирования выберите закладку События.
3. Нажмите на кнопку Создать выборку.

   Откроется окно Свойства: <Название выборки>.

4. Откройте раздел События.
5. Нажмите на кнопку Очистить все.
6. В таблице События установите флажки Запуск программы запрещен в тестовом режиме и Запуск программы разрешен в тестовом режиме.
7. Нажмите на кнопку ОК.
8. В раскрывающемся списке Выборки событий выберите созданную выборку.
9. Нажмите на кнопку Запустить выборку.

Просмотр отчета о запрещенных программах в тестовом режиме

Чтобы просмотреть отчет о запрещенных программах в тестовом режиме, выполните следующие действия:

1. Откройте Консоль администрирования Kaspersky Security Center.
2. В узле Сервер администрирования дерева Консоли администрирования выберите закладку Отчеты.
3. Нажмите на кнопку Новый шаблон отчета.

   Запустится мастер создания шаблона отчета.

4. Следуйте указаниям мастера создания шаблона отчета. На шаге Выбор типа шаблона отчета выберите Другое → Отчет о запрещенных программах в тестовом режиме.

   После завершения работы мастера создания шаблона отчета в таблице на закладке Отчеты появится новый шаблон отчета.

5. Откройте отчет двойным щелчком мыши.

Запустится процесс формирования отчета. Отчет отобразится в новом окне.

Просмотр событий по результатам работы компонента Контроль программ

Чтобы просмотреть приходящие в Kaspersky Security Center события по результатам работы компонента Контроль программ, выполните следующие действия:

1. Откройте Консоль администрирования Kaspersky Security Center.
2. В узле Сервер администрирования дерева Консоли администрирования выберите закладку События.
3. Нажмите на кнопку Создать выборку.

   Откроется окно Свойства: <Название выборки>.

4. Откройте раздел События.
5. Нажмите на кнопку Очистить все.
6. В таблице События установите флажок Запуск программы запрещен.
7. Нажмите на кнопку ОК.
8. В раскрывающемся списке Выборки событий выберите созданную выборку.
9. Нажмите на кнопку Запустить выборку.

Просмотр отчета о запрещенных программах

Чтобы просмотреть отчет о запрещенных программах, выполните следующие действия:

1. Откройте Консоль администрирования Kaspersky Security Center.
2. В узле Сервер администрирования дерева Консоли администрирования выберите закладку Отчеты.
3. Нажмите на кнопку Новый шаблон отчета.

   Запустится мастер создания шаблона отчета.

4. Следуйте указаниям мастера создания шаблона отчета. На шаге Выбор типа шаблона отчета выберите Другое → Отчет о запрещенных программах.

   После завершения работы мастера создания шаблона отчета в таблице на закладке Отчеты появится новый шаблон отчета.

5. Откройте отчет двойным щелчком мыши.

Запустится процесс формирования отчета. Отчет отобразится в новом окне.

Тестирование правил Контроля программ

Чтобы убедиться, что правила Контроля программ не блокируют программы, необходимые для работы, рекомендуется после создания правил включить тестирование правил Контроля программ и проанализировать их работу.

Для анализа работы правил Контроля программ требуется изучить события по результатам работы компонента Контроль программ, приходящие в Kaspersky Security Center. Если для всех программ, которые необходимы для работы пользователю компьютера, отсутствуют события о запрете запуска в тестовом режиме, то созданы верные правила. В противном случае рекомендуется уточнить параметры созданных вами правил, создать дополнительные или удалить существующие правила.

Чтобы включить тестирование правил Контроля программ или выбрать блокирующее действие Контроля программ, выполните следующие действия:

1. В главном окне программы нажмите на кнопку .
2. В окне параметров программы выберите раздел Контроль безопасности → Контроль программ.

   Откроется список правил Контроля программ.

3. В графе Статус выберите пункт Тестирование.

   Статус означает, что Kaspersky Endpoint Security всегда разрешает запуск программ, на которые распространяется действие этого правила, но заносит информацию о запуске этих программ в отчет.

4. Сохраните внесенные изменения.

Kaspersky Endpoint Security не будет блокировать программы, запуск которых запрещен компонентом Контроль программ, но будет отправлять уведомления об их запуске на Сервер администрирования.

Мониторинг активности программ

Мониторинг активности программ – это инструмент, предназначенный для просмотра информации об активности программ на компьютере пользователя в режиме реального времени.

Для работы Мониторинга активности программ вам нужно установить компоненты Контроль программ и Предотвращение вторжений. Если эти компоненты не установлены, в главном окне программы раздел Мониторинг активности программ скрыт.

Чтобы запустить Мониторинг активности программ,

в главном окне программы в разделе Мониторинг нажмите на плитку Мониторинг активности программ.

Откроется окно Активность программ. В этом окне информация об активности программ на компьютере пользователя представлена на трех закладках:

• На закладке Все программы отображается информация о всех программах, установленных на компьютере.
• На закладке Работающие отображается информация о потреблении ресурсов компьютера каждой из программ в режиме реального времени. На этой закладке вы можете, а также перейти к настройке разрешений для отдельной программы.
• На закладке Запускаемые при старте отображается список программ, которые запускаются при старте операционной системы.

Если вы хотите скрыть данные об активности программ на компьютере пользователя, вы можете ограничить доступ пользователя к инструменту Мониторинг активности программ.

Как скрыть Мониторинг активности программ в интерфейсе программы через Консоль администрирования (MMC)

Как скрыть Мониторинг активности программ в интерфейсе программы через Web Console и Cloud Console

Правила формирования масок имен файлов или папок

Маска имени файла или папки – это представление имени папки или имени и расширения файла с использованием общих символов.

Для формирования маски имени файла или папки вы можете использовать следующие общие символы:

• Символ *, который заменяет любой набор символов, в том числе пустой. Например, маска C:\*.txt будет включать все пути к файлам с расширением txt, расположенным в папках и подпапках на диске (C:).
• Символ ?, который заменяет любой один символ, кроме символов \ и / (разделители имен файлов и папок в путях к файлам и папкам). Например, маска C:\Folder\???.txt будет включать пути ко всем расположенным в папке Folder файлам с расширением txt и именем, состоящим из трех символов.

Изменение шаблонов сообщений Контроля программ

Когда пользователь пытается запустить программу, запрещенную правилом Контроля программ, Kaspersky Endpoint Security выводит сообщение о блокировке запуска программы. Если блокировка запуска программы, по мнению пользователя, произошла ошибочно, по ссылке из текста сообщения о блокировке пользователь может отправить сообщение администратору локальной сети организации.

Для сообщения о блокировке запуска программы и сообщения администратору предусмотрены шаблоны. Вы можете изменять шаблоны сообщений.

Чтобы изменить шаблон сообщения, выполните следующие действия:

1. В главном окне программы нажмите на кнопку .
2. В окне параметров программы выберите раздел Контроль безопасности → Контроль программ.
3. В блоке Шаблоны настройте шаблоны сообщений Контроля программы:
   • Сообщение о блокировке. Шаблон сообщения, которое появляется при срабатывании правила Контроля программ, блокирующего запуск программы.
   • Сообщение администратору. Шаблон сообщения для отправки администратору локальной сети организации в случае, если блокировка программы, по мнению пользователя, произошла ошибочно. После запроса пользователя предоставить доступ Kaspersky Endpoint Security отправляет в Kaspersky Security Center событие Сообщение администратору о запрете запуска приложения. Описание события содержит сообщение администратору с подставленными переменными. Вы можете посмотреть эти события в консоли Kaspersky Security Center с помощью предустановленной выборки Запросы пользователей. Если в вашей организации не развернуто решение Kaspersky Security Center или связь с Сервером администрирования отсутствует, приложение отправит сообщение администратору на указанный адрес электронной почты.
4. Сохраните внесенные изменения.

Лучшие практики по внедрению режима списка разрешенных программ

При планировании внедрения режима списка разрешенных программ рекомендуется выполнить следующие действия:

1. Произвести следующие виды группировок:
   • Группы пользователей. Группы пользователей, для которых необходимо разрешить использование различных наборов программ.
   • Группы администрирования. Одна или несколько групп компьютеров, к которым Kaspersky Security Center будет применять режим списка разрешенных программ. Создание нескольких групп компьютеров необходимо, если для этих групп используются различные параметры режима списка разрешенных.
2. Составить список программ, запуск которых необходимо разрешить.

   Перед составлением списка рекомендуется выполнить следующие действия:

   1. Запустить задачу инвентаризации.

      Информация о создании, изменении параметров и запуске задачи инвентаризации доступна в разделе Управление задачами.

   2. Просмотреть список исполняемых файлов.

Настройка режима списка разрешенных программ

При настройке режима списка разрешенных программ рекомендуется выполнить следующие действия:

1. Создать категории программ, содержащие те программы, запуск которых необходимо разрешить.

   Вы можете выбрать один из следующих способов формирования категорий программ:

   • Пополняемая вручную категория. Вы можете вручную пополнять эту категорию, используя следующие условия:
     • Метаданные файла. Kaspersky Security Center добавляет в категорию программ все исполняемые файлы, сопровождающиеся указанными метаданными.
     • Хеш файла. Kaspersky Security Center добавляет в категорию программ все исполняемые файлы, имеющие указанный хеш.

       Использование этого условия исключает возможность автоматической установки обновлений, поскольку файлы различных версий будут иметь различный хеш.

     • Сертификат файла. Kaspersky Security Center добавляет в категорию программ все исполняемые файлы, подписанные указанным сертификатом.
     • KL-категория. Kaspersky Security Center добавляет в категорию программ все программы, входящие в указанную KL-категорию.
     • Папка программы. Kaspersky Security Center добавляет в категорию программ все исполняемые файлы из этой папки.

       Использование условия "Папка программы" небезопасно, поскольку запуск любой программы из указанной папки будет разрешен. Правила, использующие категории программ с условием "Папка программы", рекомендуется применять только к тем пользователям, для которых необходимо разрешить автоматическую установку обновлений.

   • Категория, в которую входят исполняемые файлы из указанной папки. Вы можете указать папку, исполняемые файлы из которой будут автоматически попадать в создаваемую категорию программ.
   • Категория, в которую входят исполняемые файлы с выбранных устройств. Вы можете указать компьютер, все исполняемые файлы которого будут автоматически попадать в создаваемую категорию программ.

     При использовании этого способа формирования категорий программ Kaspersky Security Center получает информацию о программах на компьютере из папки Исполняемые файлы.

2. Выбрать режим списка разрешенных программ для компонента Контроль программ.
3. Создать правила Контроля программ с использованием созданных категорий программ.

   Для режима Список разрешенных программ изначально заданы правила Программы ОС и Доверенные программы обновления. Эти правила Контроля программ соответствуют KL-категориям. В KL-категорию "Программы ОС" входят программы, обеспечивающие нормальную работу операционной системы. В KL-категорию "Доверенные программы обновления" входят программы обновления наиболее известных производителей программного обеспечения. Вы не можете удалить эти правила. Параметры этих правил недоступны для изменения. По умолчанию правило Программы ОС включено, а правило Доверенные программы обновления выключено. Запуск программ, соответствующих условиям срабатывания этих правил, разрешен всем пользователям.

4. Определить те программы, для которых необходимо разрешить автоматическую установку обновлений.

   Вы можете разрешить автоматическую установку обновлений одним из следующих способов:

   • Указать расширенный список разрешенных программ, разрешив запуск всех программ, входящих в любую из KL-категорий.
   • Указать расширенный список разрешенных программ, разрешив запуск всех программ, подписанных сертификатами.

     Чтобы разрешить запуск всех программ, подписанных сертификатами, вы можете создать категорию с условием на основе сертификата, в котором используется только параметр Субъект со значением *.

   • Для правила Контроля программ установить параметр Доверенные программы обновления. Если этот флажок установлен, то Kaspersky Endpoint Security будет считать программы, входящие в правило, доверенными программами обновления. Kaspersky Endpoint Security разрешает запуск программ, которые были установлены или обновлены программами, входящими в правило. При этом программы не должны попадать под действие запрещающих правил.

     При миграции параметров Kaspersky Endpoint Security осуществляется также миграция списка исполняемых файлов, созданных доверенными программами обновления.

   • Создать папку и поместить в нее исполняемые файлы программ, для которых вы хотите разрешить автоматическую установку обновлений. Далее создать категорию программ с условием "Папка программы" и указать путь к этой папке. Далее создать разрешающее правило и выбрать эту категорию.

     Использование условия "Папка программы" небезопасно, поскольку запуск любой программы из указанной папки будет разрешен. Правила, использующие категории программ с условием "Папка программы", рекомендуется применять только к тем пользователям, для которых необходимо разрешить автоматическую установку обновлений.

Тестирование режима списка разрешенных программ

Чтобы убедиться, что правила Контроля программ не блокируют программы, необходимые для работы, рекомендуется после создания правил включить тестирование правил Контроля программ и проанализировать их работу. При включении тестирования Kaspersky Endpoint Security не будет блокировать программы, запуск которых запрещен правилами Контроля программ, но будет отправлять уведомления об их запуске на Сервер администрирования.

При тестировании режима списка разрешенных программ рекомендуется выполнить следующие действия:

1. Определить период тестирования (от нескольких дней до двух месяцев).
2. Включить тестирование правил Контроля программ.
3. Проанализировать результаты тестирования, используя события по результатам тестовой работы Компонента программ и отчеты о запрещенных программах в тестовом режиме.
4. По результатам анализа внести изменения в параметры режима списка разрешенных программ.

   В частности, по результатам тестирования вы можете добавить в категорию программ исполняемые файлы, связанные с событиями.

Поддержка режима списка разрешенных программ

После выбора блокирующего действия Контроля программ рекомендуется продолжать поддержку режима списка разрешенных программ, выполняя следующие действия:

• Анализировать работу правил Контроля программ, используя события по результатам работы Контроля программ и отчеты о запрещенных запусках.
• Анализировать запросы доступа к программам, получаемые от пользователей.
• Анализировать незнакомые исполняемые файлы, проверяя их репутацию в Kaspersky Security Network.
• Перед установкой обновлений для операционной системы или для программного обеспечения устанавливать эти обновления на тестовой группе компьютеров, чтобы проверить, как они будут обрабатываться правилами Контроля программ.
• Добавлять необходимые программы в категории, используемые в правилах Контроля программ.