Приложения

Этот раздел содержит информацию, которая дополняет основной текст документа.

Приложение 1. Параметры программы

Вы можете настроить параметры Kaspersky Endpoint Security с помощью политики, задач или интерфейса программы. Подробная информация о компонентах программы приведена в соответствующих подразделах.

Защита от файловых угроз

Компонент Защита от файловых угроз позволяет избежать заражения файловой системы компьютера. По умолчанию компонент Защита от файловых угроз постоянно находится в оперативной памяти компьютера. Компонент проверяет файлы на всех дисках компьютера, а также на подключенных дисках. Компонент обеспечивает защиту компьютера с помощью антивирусных баз, облачной службы Kaspersky Security Network и эвристического анализа.

Компонент проверяет файлы, к которым обращается пользователь или программа. При обнаружении вредоносного файла Kaspersky Endpoint Security блокирует операцию с файлом. Далее программа лечит или удаляет вредоносный файл, в зависимости от настройки компонента Защита от файловых угроз.

При обращении к файлу, содержимое которого расположено в облачном хранилище OneDrive, Kaspersky Endpoint Security загружает и проверяет содержимое этого файла.

Параметры компонента Защита от файловых угроз

Защита от веб-угроз

Компонент Защита от веб-угроз предотвращает загрузку вредоносных файлов из интернета, а также блокирует вредоносные и фишинговые веб-сайты. Компонент обеспечивает защиту компьютера с помощью антивирусных баз, облачной службы Kaspersky Security Network и эвристического анализа.

Kaspersky Endpoint Security проверяет HTTP-, HTTPS- и FTP-трафик. Kaspersky Endpoint Security проверяет URL- и IP-адреса. Вы можете задать порты, которые Kaspersky Endpoint Security будет контролировать, или выбрать все порты.

Для контроля HTTPS-трафика нужно включить проверку защищенных соединений.

При попытке пользователя открыть вредоносный или фишинговый веб-сайт, Kaspersky Endpoint Security заблокирует доступ и покажет предупреждение (см. рис. ниже).

Сообщение о запрете доступа к веб-сайту

Параметры компонента Защита от веб-угроз

Защита от почтовых угроз

Компонент Защита от почтовых угроз проверяет вложения входящих и исходящих сообщений электронной почты на наличие в них вирусов и других программ, представляющих угрозу. Также компонент проверяет сообщения на наличие вредоносных и фишинговых ссылок. По умолчанию компонент Защита от почтовых угроз постоянно находится в оперативной памяти компьютера и проверяет все сообщения, получаемые или отправляемые по протоколам POP3, SMTP, IMAP, NNTP или в почтовом клиенте Microsoft Office Outlook (MAPI). Компонент обеспечивает защиту компьютера с помощью антивирусных баз, облачной службы Kaspersky Security Network и эвристического анализа.

Компонент Защита от почтовых угроз не проверяет сообщения, если почтовый клиент открыт в браузере.

При обнаружении вредоносного файла во вложении Kaspersky Endpoint Security меняет тему сообщения: [Сообщение заражено] <тема сообщения> или [Зараженный объект удален] <тема сообщения>.

Компонент взаимодействует с почтовыми клиентами, установленными на компьютере. Для почтового клиента Microsoft Office Outlook предусмотрено расширение с дополнительными параметрами. Расширение компонента Защита от почтовых угроз встраивается в почтовый клиент Microsoft Office Outlook во время установки Kaspersky Endpoint Security.

Параметры компонента Защита от почтовых угроз

Защита от сетевых угроз

Компонент Защита от сетевых угроз (англ. IDS – Intrusion Detection System) отслеживает во входящем сетевом трафике активность, характерную для сетевых атак. Обнаружив попытку сетевой атаки на компьютер пользователя, Kaspersky Endpoint Security блокирует сетевое соединение с атакующим компьютером. Описания известных в настоящее время видов сетевых атак и методов борьбы с ними содержатся в базах Kaspersky Endpoint Security. Список сетевых атак, которые обнаруживает компонент Защита от сетевых угроз, пополняется в процессе обновления баз и модулей программы.

Параметры компонента Защита от сетевых угроз

Сетевой экран

Сетевой экран блокирует несанкционированные подключения к компьютеру во время работы в интернете или локальной сети. Также Сетевой экран контролирует сетевую активность программ на компьютере. Это позволяет защитить локальную сеть организации от кражи персональных данных и других атак. Компонент обеспечивает защиту компьютера с помощью антивирусных баз, облачной службы Kaspersky Security Network и предустановленных сетевых правил.

Для взаимодействия с Kaspersky Security Center программа использует Агент администрирования. При этом Сетевой экран автоматически создает сетевые правила, необходимые для работы Агента администрирования и программы. В результате Сетевой экран открывает некоторые порты на компьютере. Набор портов отличается в зависимости от роли компьютера (например, точка распространения). Подробнее о портах, которые будут открыты на компьютере, см. в справке Kaspersky Security Center.

Сетевые правила

Вы можете настроить сетевые правила на следующих уровнях:

• Сетевые пакетные правила. Используются для ввода ограничений на сетевые пакеты независимо от программы. Такие правила ограничивают входящую и исходящую сетевую активность по определенным портам выбранного протокола передачи данных. Kaspersky Endpoint Security имеет предустановленные сетевые пакетные правила с разрешениями, рекомендованными специалистами "Лаборатории Касперского".
• Сетевые правила программ. Используются для ограничения сетевой активности конкретной программы. Учитываются не только характеристики сетевого пакета, но и конкретная программа, которой адресован этот сетевой пакет, либо которая инициировала отправку этого сетевого пакета.

Контроль доступа программ к ресурсам операционной системы, процессам и персональным данным обеспечивает компонент Предотвращение вторжений с помощью прав программ.

Во время первого запуска программы Сетевой экран выполняет следующие действия:

1. Проверяет безопасность программы с помощью загруженных антивирусных баз.
2. Проверяет безопасность программы в Kaspersky Security Network.

   Для более эффективной работы Сетевого экрана вам рекомендуется принять участие в Kaspersky Security Network.

3. Помещает программу в одну из групп доверия: Доверенные, Слабые ограничения, Сильные ограничения, Недоверенные.

   Группа доверия определяет права, которые Kaspersky Endpoint Security использует для контроля активности программ. Kaspersky Endpoint Security помещает программу в группу доверия в зависимости от уровня опасности, которую эта программа может представлять для компьютера.

   Kaspersky Endpoint Security помещает программу в группу доверия для компонентов Сетевой экран и Предотвращение вторжений. Изменить группу доверия только для Сетевого экрана или только для Предотвращения вторжений невозможно.

   Если вы отказались принимать участие в KSN или отсутствует сеть, Kaspersky Endpoint Security помещает программу в группу доверия в зависимости от параметров компонента Предотвращение вторжений. После получения данных о репутации программы от KSN группа доверия может быть изменена автоматически.

4. Блокирует сетевую активность программы в зависимости от группы доверия. Например, программам из группы доверия "Сильные ограничения" запрещены любые сетевые соединения.

При следующем запуске программы Kaspersky Endpoint Security проверяет целостность программы. Если программа не была изменена, компонент применяет к ней текущие сетевые правила. Если программа была изменена, Kaspersky Endpoint Security исследует программу как при первом запуске.

Приоритеты сетевых правил

Каждое правило имеет приоритет. Чем выше правило в списке, тем выше его приоритет. Если сетевая активность добавлена в несколько правил, Сетевой экран регулирует сетевую активность по правилу с высшим приоритетом.

Сетевые пакетные правила имеют более высокий приоритет, чем сетевые правила программ. Если для одного и того же вида сетевой активности заданы и сетевые пакетные правила, и сетевые правила программ, то эта сетевая активность обрабатывается по сетевым пакетным правилам.

Сетевые правила программ имеют особенность. Сетевые правило программ включает в себя правила доступа по статусу сети: публичная, локальная, доверенная. Например, для группы доверия "Сильные ограничения" по умолчанию запрещена любая сетевая активность программы в сетях всех статусов. Если для отдельной программы (родительская программа) задано сетевое правило, то дочерние процессы других программ будут выполнены в соответствии с сетевым правилом родительской программы. Если сетевое правило для программы отсутствует, дочерние процессы будут выполнены в соответствии с правилом доступа к сетям группы доверия.

Например, вы запретили любую сетевую активность всех программ для сетей всех статусов, кроме браузера X. Если в браузере X (родительская программа) запустить установку браузера Y (дочерний процесс), то установщик браузера Y получит доступ к сети и загрузит необходимые файлы. После установки браузеру Y будут запрещены любые сетевые соединения в соответствии с параметрами Сетевого экрана. Чтобы запретить установщику браузера Y сетевую активность в качестве дочернего процесса, необходимо добавить сетевое правило для установщика браузера Y.

Статусы сетевых соединений

Сетевой экран позволяет контролировать сетевую активность в зависимости от статуса сетевого соединения. Kaspersky Endpoint Security получает статус сетевого соединения от операционной системы компьютера. Статус сетевого соединения в операционной системе задает пользователь при настройке подключения. Вы можете изменить статус сетевого соединения в параметрах Kaspersky Endpoint Security. Сетевой экран будет контролировать сетевую активность в зависимости от статуса сети в параметрах Kaspersky Endpoint Security, а не операционной системы.

Выделены следующие статусы сетевого соединения:

• Публичная сеть. Сеть не защищена антивирусными программами, сетевыми экранами, фильтрами (например, Wi-Fi в кафе). Пользователю компьютера, подключенного к такой сети, Сетевой экран закрывает доступ к файлам и принтерам этого компьютера. Сторонние пользователи также не могут получить доступ к информации через папки общего доступа и удаленный доступ к рабочему столу этого компьютера. Сетевой экран фильтрует сетевую активность каждой программы в соответствии с сетевыми правилами этой программы.

  Сетевой экран по умолчанию присваивает статус Публичная сеть сети Интернет. Вы не можете изменить статус сети Интернет.

• Локальная сеть. Сеть для пользователей, которым ограничен доступ к файлам и принтерам этого компьютера (например, для локальной сети организации или для домашней сети).
• Доверенная сеть. Безопасная сеть, во время работы в которой компьютер не подвергается атакам и попыткам несанкционированного доступа к данным. Для сетей с этим статусом Сетевой экран разрешает любую сетевую активность в рамках этой сети.

  Параметры компонента Сетевой экран

  Параметр	Описание
  Сетевые пакетные правила	Таблица сетевых пакетных правил. Сетевые пакетные правила используются для ввода ограничений на сетевые пакеты независимо от программы. Такие правила ограничивают входящую и исходящую сетевую активность по определенным портам выбранного протокола передачи данных. В таблице представлены предустановленные сетевые пакетные правила, которые рекомендованы специалистами "Лаборатории Касперского" для оптимальной защиты сетевого трафика компьютеров под управлением операционных систем Microsoft Windows. Сетевой экран устанавливает приоритет выполнения для каждого сетевого пакетного правила. Сетевой экран обрабатывает сетевые пакетные правила в порядке их расположения в списке сетевых пакетных правил, сверху вниз. Сетевой экран находит первое по порядку подходящее для сетевого соединения сетевое пакетное правило и выполняет его действие: либо разрешает, либо блокирует сетевую активность. Далее Сетевой экран игнорирует все последующие сетевые пакетные правила для данного сетевого соединения. Сетевые пакетные правила имеют приоритет над сетевыми правилами программ.
  Сетевые соединения	Таблица, содержащая информацию о сетевых соединениях, которые Сетевой экран обнаружил на компьютере пользователя. Сети Интернет по умолчанию присвоен статус Публичная сеть. Вы не можете изменить статус сети Интернет.
  Сетевые правила	Приложения Таблица программ, работу которых контролирует компонент Сетевой экран. Программы распределены по группам доверия. Группа доверия определяет права, которые Kaspersky Endpoint Security использует для контроля сетевой активности программ. Вы можете выбрать программу из единого списка всех программ, установленных на компьютерах под действием политики, и добавить программу в группу доверия. Сетевые правила Таблица сетевых правил программ, входящих в группу доверия. В соответствии с этими правилами Сетевой экран регулирует сетевую активность для программ. В таблице отображаются предустановленные сетевые правила, которые рекомендованы специалистами "Лаборатории Касперского". Эти сетевые правила добавлены для оптимальной защиты сетевого трафика компьютеров под управлением операционных систем Windows. Удалить предустановленные сетевые правила невозможно.

Защита от атак BadUSB

Некоторые вирусы изменяют встроенное программное обеспечение USB-устройств так, чтобы операционная система определяла USB-устройство как клавиатуру. В результате вирус может выполнять команды под вашей учетной записью, например, загрузить вредоносную программу.

Компонент Защита от атак BadUSB позволяет предотвратить подключение к компьютеру зараженных USB-устройств, имитирующих клавиатуру.

Когда к компьютеру подключается USB-устройство, определенное операционной системой как клавиатура, программа предлагает пользователю ввести c этой клавиатуры или с помощью экранной клавиатуры (если она доступна) цифровой код, сформированный программой (см. рис. ниже). Эта процедура называется авторизацией клавиатуры.

Если код введен правильно, программа сохраняет идентификационные параметры – VID/PID клавиатуры и номер порта, по которому она подключена, в списке авторизованных клавиатур. Авторизация клавиатуры при ее повторном подключении или перезагрузке операционной системы не требуется.

При подключении авторизованной клавиатуры через другой USB-порт компьютера программа снова запрашивает ее авторизацию.

Если цифровой код введен неправильно, программа формирует новый. Вы можете настроить число попыток для ввода цифрового кода. Если цифровой код введен неправильно несколько раз или закрыто окно авторизации клавиатуры (см. рис. ниже), программа блокирует ввод с этой клавиатуры. По истечении времени блокировки USB-устройства или перезагрузке операционной системы программа снова предлагает пройти авторизацию клавиатуры.

Программа разрешает использование авторизованной клавиатуры и блокирует использование клавиатуры, не прошедшей авторизацию.

Компонент Защита от атак BadUSB не устанавливается по умолчанию. Если вам нужен компонент Защита от атак BadUSB, вы можете добавить компонент в свойствах инсталляционного пакета перед установкой программы или измените состав компонентов программы после установки программы.

Авторизация клавиатуры

Параметры компонента Защита от атак BadUSB

AMSI-защиты

Компонент AMSI-защита предназначен для поддержки интерфейса Antimalware Scan Interface от Microsoft. Интерфейс Antimalware Scan Interface (AMSI) позволяет сторонним приложениям с поддержкой AMSI отправлять объекты (например, скрипты PowerShell) в Kaspersky Endpoint Security для дополнительной проверки и получать результаты проверки этих объектов. Сторонними приложениями могут быть, например, программы Microsoft Office (см. рис. ниже). Подробнее об интерфейсе AMSI см. в документации Microsoft.

AMSI-защита может только обнаруживать угрозу и уведомлять стороннее приложение об обнаруженной угрозе. Стороннее приложение после получения уведомления об угрозе не дает выполнить вредоносные действия (например, завершает работу).

Пример работы AMSI

Компонент AMSI-защита может отклонить запрос от стороннего приложения, например, если это приложение превысило максимальное количество запросов за промежуток времени. Kaspersky Endpoint Security отправляет информацию об отклонении запроса от стороннего приложения на Сервер администрирования. Компонент AMSI-защита не отклоняет запросы от тех сторонних приложений, для которых установлен флажок Не блокировать взаимодействие с компонентом AMSI-защита.

AMSI-защита доступна для следующих операционных систем рабочих станций и серверов:

• Windows 10 Home / Pro / Pro для рабочих станций / Education / Enterprise;
• Windows 11;
• Windows Server 2016 Essentials / Standard / Datacenter;
• Windows Server 2019 Essentials / Standard / Datacenter;
• Windows Server 2022.

  Параметры компонента AMSI-защита

  Параметр	Описание
  Проверять архивы	Проверка архивов форматов RAR, ARJ, ZIP, CAB, LHA, JAR, ICE.
  Проверять дистрибутивы	Флажок включает / выключает проверку дистрибутивов сторонних программ.
  Проверять файлы офисных форматов	Проверка файлов Microsoft Office (DOC, DOCX, XLS, PPT и других). К файлам офисных форматов также относятся OLE-объекты.
  Не распаковывать составные файлы большого размера	Если флажок установлен, то Kaspersky Endpoint Security не проверяет составные файлы, размеры которых больше заданного значения. Если флажок снят, Kaspersky Endpoint Security проверяет составные файлы любого размера. Kaspersky Endpoint Security проверяет файлы больших размеров, извлеченные из архивов, независимо от состояния флажка.

Защита от эксплойтов

Компонент Защита от эксплойтов отслеживает программный код, который использует уязвимости на компьютере для получения эксплойтом прав администратора или выполнения вредоносных действий. Эксплойты, например, используют атаку на переполнение буфера обмена. Для этого эксплойт отправляет большой объем данных в уязвимую программу. При обработке этих данных уязвимая программа выполняет вредоносный код. В результате этой атаки эксплойт может запустить несанкционированную установку вредоносного ПО. Если попытка запустить исполняемый файл из уязвимой программы не была произведена пользователем, то Kaspersky Endpoint Security блокирует запуск этого файла или информирует пользователя.

Параметры компонента Защита от эксплойтов

Анализ поведения

Компонент Анализ поведения получает данные о действиях программ на вашем компьютере и предоставляет эту информацию другим компонентам защиты для повышения эффективности их работы. Компонент Анализ поведения использует шаблоны опасного поведения программ. Если активность программы совпадает с одним из шаблонов опасного поведения, Kaspersky Endpoint Security выполняет выбранное ответное действие. Функциональность Kaspersky Endpoint Security, основанная на шаблонах опасного поведения, обеспечивает проактивную защиту компьютера.

Параметры компонента Анализ поведения

Предотвращение вторжений

Компонент Предотвращение вторжений (англ. HIPS – Host Intrusion Prevention System) предотвращает выполнение программами опасных для системы действий, а также обеспечивает контроль доступа к ресурсам операционной системы и персональным данным. Компонент обеспечивает защиту компьютера с помощью антивирусных баз и облачной службы Kaspersky Security Network.

Компонент контролирует работу программ с помощью прав программ. Права программ включают в себя следующие параметры доступа:

• доступ к ресурсам операционной системы (например, параметры автозапуска, ключи реестра);
• доступ к персональным данным (например, к файлам, программам).

Сетевую активность программ контролирует Сетевой экран с помощью сетевых правил.

Во время первого запуска программы компонент Предотвращение вторжений выполняет следующие действия:

1. Проверяет безопасность программы с помощью загруженных антивирусных баз.
2. Проверяет безопасность программы в Kaspersky Security Network.

   Для более эффективной работы компонента Предотвращение вторжений вам рекомендуется принять участие в Kaspersky Security Network.

3. Помещает программу в одну из групп доверия: Доверенные, Слабые ограничения, Сильные ограничения, Недоверенные.

   Группа доверия определяет права, которые Kaspersky Endpoint Security использует для контроля активности программ. Kaspersky Endpoint Security помещает программу в группу доверия в зависимости от уровня опасности, которую эта программа может представлять для компьютера.

   Kaspersky Endpoint Security помещает программу в группу доверия для компонентов Сетевой экран и Предотвращение вторжений. Изменить группу доверия только для Сетевого экрана или только для Предотвращения вторжений невозможно.

   Если вы отказались принимать участие в KSN или отсутствует сеть, Kaspersky Endpoint Security помещает программу в группу доверия в зависимости от параметров компонента Предотвращение вторжений. После получения данных о репутации программы от KSN группа доверия может быть изменена автоматически.

4. Блокирует действия программы в зависимости от группы доверия. Например, программам из группы доверия "Сильные ограничения" запрещен доступ к модулям операционной системы.

При следующем запуске программы Kaspersky Endpoint Security проверяет целостность программы. Если программа не была изменена, компонент применяет к ней текущие права программ. Если программа была изменена, Kaspersky Endpoint Security исследует программу как при первом запуске.

Параметры компонента Предотвращение вторжений

Откат вредоносных действий

Компонент Откат вредоносных действий позволяет Kaspersky Endpoint Security выполнить откат действий, произведенных вредоносными программами в операционной системе.

Во время отката действий вредоносной программы в операционной системе Kaspersky Endpoint Security обрабатывает следующие типы активности вредоносной программы:

• Файловая активность

  Kaspersky Endpoint Security выполняет следующие действия:

  • удаляет исполняемые файлы, созданные вредоносной программой (на всех носителях, кроме сетевых дисков);
  • удаляет исполняемые файлы, созданные программами, в которые внедрилась вредоносная программа;
  • восстанавливает измененные или удаленные вредоносной программой файлы.

  Функциональность восстановления файлов имеет ряд ограничений.

• Реестровая активность

  Kaspersky Endpoint Security выполняет следующие действия:

  • удаляет разделы и ключи реестра, созданные вредоносной программой;
  • не восстанавливает измененные или удаленные вредоносной программой разделы и ключи реестра.
• Системная активность

  Kaspersky Endpoint Security выполняет следующие действия:

  • завершает процессы, которые запускала вредоносная программа;
  • завершает процессы, в которые внедрялась вредоносная программа;
  • не возобновляет процессы, которые остановила вредоносная программа.
• Сетевая активность

  Kaspersky Endpoint Security выполняет следующие действия:

  • запрещает сетевую активность вредоносной программы;
  • запрещает сетевую активность тех процессов, в которые внедрялась вредоносная программа.

Откат действий вредоносной программы может быть запущен компонентом Защита от файловых угроз, Анализ поведения или при антивирусной проверке.

Откат действий вредоносной программы затрагивает строго ограниченный набор данных. Откат не оказывает негативного влияния на работу операционной системы и целостность информации на вашем компьютере.

Kaspersky Security Network

Чтобы повысить эффективность защиты компьютера пользователя, Kaspersky Endpoint Security использует данные, полученные от пользователей во всем мире. Для получения этих данных предназначена сеть Kaspersky Security Network.

Kaspersky Security Network (KSN) – это инфраструктура облачных служб, предоставляющая доступ к оперативной базе знаний "Лаборатории Касперского" о репутации файлов, интернет-ресурсов и программного обеспечения. Использование данных Kaspersky Security Network обеспечивает более высокую скорость реакции Kaspersky Endpoint Security на неизвестные угрозы, повышает эффективность работы некоторых компонентов защиты, а также снижает вероятность ложных срабатываний. Если вы участвуете в Kaspersky Security Network, программа Kaspersky Endpoint Security получает от служб KSN сведения о категории и репутации проверяемых файлов, а также сведения о репутации проверяемых веб-адресов.

Использование Kaspersky Security Network является добровольным. Программа предлагает использовать KSN во время первоначальной настройки программы. Начать или прекратить использование KSN можно в любой момент.

Более подробную информацию об отправке в "Лабораторию Касперского", хранении и уничтожении статистической информации, полученной во время использования KSN, вы можете прочитать в Положении о Kaspersky Security Network и на веб-сайте "Лаборатории Касперского". Файл ksn_<ID языка>.txt с текстом Положения о Kaspersky Security Network входит в комплект поставки программы.

Для снижения нагрузки на серверы KSN специалисты "Лаборатории Касперского" могут выпускать обновления для программы, которые временно выключают или частично ограничивают обращения в Kaspersky Security Network. В этом случае статус подключения к KSN в локальном интерфейсе программы – Включено с ограничениями.

Инфраструктура KSN

Kaspersky Endpoint Security поддерживает следующие инфраструктурные решения KSN:

• Глобальный KSN – это решение, которое используют большинство программ "Лаборатории Касперского". Участники KSN получают информацию от Kaspersky Security Network, а также отправляют в "Лабораторию Касперского" данные об объектах, обнаруженных на компьютере пользователя, для дополнительной проверки аналитиками "Лаборатории Касперского" и пополнения репутационных и статистических баз Kaspersky Security Network.
• Локальный KSN – это решение, позволяющее пользователям компьютеров, на которые установлена программа Kaspersky Endpoint Security или другие программы "Лаборатории Касперского", получать доступ к репутационным базам Kaspersky Security Network, а также другим статистическим данным, не отправляя данные в KSN со своих компьютеров. Локальный KSN разработан для корпоративных клиентов, не имеющих возможности участвовать в Kaspersky Security Network, например, по следующим причинам:
  • отсутствие подключения локальных рабочих мест к сети Интернет;
  • законодательный запрет или ограничение корпоративной безопасности на отправку любых данных за пределы страны или за пределы локальной сети организации.

По умолчанию Kaspersky Security Center использует Глобальный KSN. Вы можете настроить использование Локального KSN в Консоли администрирования (MMC), Kaspersky Security Center Web Console, а также с помощью командной строки. Настроить использование Локального KSN в Kaspersky Security Center Cloud Console невозможно.

Подробнее о работе Локального KSN см. в документации для Kaspersky Private Security Network.

KSN Proxy

Компьютеры пользователей, работающие под управлением Сервера администрирования Kaspersky Security Center, могут взаимодействовать с KSN при помощи службы KSN Proxy.

Служба KSN Proxy предоставляет следующие возможности:

• Компьютер пользователя может выполнять запросы к KSN и передавать в KSN информацию, даже если он не имеет прямого доступа в интернет.
• Служба KSN Proxy кеширует обработанные данные, снижая тем самым нагрузку на канал связи с внешней сетью и ускоряя получение компьютером пользователя запрошенной информации.

Подробную информацию о службе KSN Proxy см. в справке Kaspersky Security Center.

Параметры Kaspersky Security Network

Веб-Контроль

Веб-Контроль управляет доступом пользователей к веб-ресурсам. Это позволяет уменьшить расход трафика и сократить нецелевое использование рабочего времени. При попытке пользователя открыть веб-сайт, доступ к которому ограничен Веб-Контролем, Kaspersky Endpoint Security заблокирует доступ или покажет предупреждение (см. рис. ниже).

Kaspersky Endpoint Security контролирует только HTTP- и HTTPS-трафик.

Для контроля HTTPS-трафика нужно включить проверку защищенных соединений.

Способы управления доступом к веб-сайтам

Веб-Контроль позволяет настраивать доступ к веб-сайтам следующими способами:

• Категория веб-сайта. Категоризацию веб-сайтов обеспечивает облачная служба Kaspersky Security Network, эвристический анализ, а также база известных веб-сайтов (входит в состав баз программы). Вы можете ограничить доступ пользователей, например, к категории "Социальные сети" или другим категориям.
• Тип данных. Вы можете ограничить доступ пользователей к данным на веб-сайте и, например, скрыть графические изображения. Kaspersky Endpoint Security определяет тип данных по формату файла, а не по расширению.

  Kaspersky Endpoint Security не проверяет файлы внутри архивов. Например, если файлы изображений помещены в архив, Kaspersky Endpoint Security определит тип данных "Архивы", а не "Графические файлы".

• Отдельный адрес. Вы можете ввести веб-адрес или использовать маски.

Вы можете использовать одновременно несколько способов регулирования доступа к веб-сайтам. Например, вы можете ограничить доступ к типу данных "Файлы офисных программ" только для категории веб-сайтов "Веб-почта".

Правила доступа к веб-сайтам

Веб-Контроль управляет доступом пользователей к веб-сайтам с помощью правил доступа. Вы можете настроить следующие дополнительные параметры правила доступа к веб-сайтам:

• Пользователи, на которых распространяется правило.

  Например, вы можете ограничить доступ в интернет через браузер для всех пользователей организации, кроме IT-отдела.

• Расписание работы правила.

  Например, вы можете ограничить доступ в интернет через браузер только в рабочее время.

Приоритеты правил доступа

Каждое правило имеет приоритет. Чем выше правило в списке, тем выше его приоритет. Если веб-сайт добавлен в несколько правил, Веб-Контроль регулирует доступ к веб-сайтам по правилу с высшим приоритетом. Например, Kaspersky Endpoint Security может определить корпоративный портал как социальную сеть. Чтобы ограничить доступ к социальным сетям и предоставить доступ к корпоративному веб-порталу, создайте два правила: запрещающее правило для категории веб-сайтов "Социальные сети" и разрешающее правило для корпоративного веб-портала. Правило доступа к корпоративному веб-порталу должно иметь приоритет выше, чем правило доступа к социальным сетям.

Сообщения Веб-Контроля

Параметры компонента Веб-Контроль

Контроль устройств

Этот компонент доступен, если программа Kaspersky Endpoint Security установлена на компьютере под управлением операционной системы Windows для рабочих станций. Этот компонент недоступен, если программа Kaspersky Endpoint Security установлена на компьютере под управлением операционной системы Windows для серверов.

Контроль устройств управляет доступом пользователей к установленным или подключенным к компьютеру устройствам (например, жестким дискам, камере или модулю Wi-Fi). Это позволяет защитить компьютер от заражения при подключении этих устройств и предотвратить потерю или утечку данных.

Уровни доступа к устройствам

Контроль устройств управляет доступом на следующих уровнях:

• Тип устройства. Например, принтеры, съемные диски, CD/DVD-приводы.

  Вы можете настроить доступ устройств следующим образом:

  • Разрешать – .
  • Запрещать – .
  • Зависит от шины подключения (кроме Wi-Fi) – .
  • Запрещать с исключениями (только Wi-Fi) – .
• Шина подключения. Шина подключения – интерфейс, с помощью которого устройства подключаются к компьютеру (например, USB, FireWire). Таким образом, вы можете ограничить подключение всех устройств, например, через USB.

  Вы можете настроить доступ устройств следующим образом:

  • Разрешать – .
  • Запрещать – .
• Доверенные устройства. Доверенные устройства – это устройства, полный доступ к которым разрешен в любое время для пользователей, указанных в параметрах доверенного устройства.

  Вы можете добавить доверенные устройства по следующим данным:

  • Устройства по идентификатору. Каждое устройство имеет уникальный идентификатор (англ. Hardware ID – HWID). Вы можете просмотреть идентификатор в свойствах устройства средствами операционной системы. Пример идентификатора устройства: SCSI\CDROM&VEN_NECVMWAR&PROD_VMWARE_SATA_CD00\5&354AE4D7&0&000000. Добавлять устройства по идентификатору удобно, если вы хотите добавить несколько определенных устройств.
  • Устройства по модели. Каждое устройство имеет идентификатор производителя (англ. Vendor ID – VID) и идентификатор продукта (англ. Product ID – PID). Вы можете просмотреть идентификаторы в свойствах устройства средствами операционной системы. Шаблон для ввода VID и PID: VID_1234&PID_5678. Добавлять устройства по модели удобно, если вы используете в вашей организации устройства определенной модели. Таким образом, вы можете добавить все устройства этой модели.
  • Устройства по маске идентификатора. Если вы используете несколько устройств с похожими идентификаторами, вы можете добавить устройства в список доверенных с помощью масок. Символ * заменяет любой набор символов. Kaspersky Endpoint Security не поддерживает символ ? при вводе маски. Например, WDC_C*.
  • Устройства по маске модели. Если вы используете несколько устройств с похожими VID или PID (например, устройства одного производителя), вы можете добавить устройства в список доверенных с помощью масок. Символ * заменяет любой набор символов. Kaspersky Endpoint Security не поддерживает символ ? при вводе маски. Например, VID_05AC&PID_*.

Контроль устройств регулирует доступ пользователей к устройствам с помощью правил доступа. Также Контроль устройств позволяет сохранять события подключения / отключения устройств. Для сохранения событий вам нужно настроить отправку событий в политике.

Если доступ к устройству зависит от шины подключения (статус ), Kaspersky Endpoint Security не сохраняет события подключения / отключения устройства. Чтобы программа Kaspersky Endpoint Security сохраняла события подключения / отключения устройства, разрешите доступ к соответствующему типу устройств (статус ) или добавьте устройство в список доверенных.

При подключении к компьютеру устройства, доступ к которому запрещен Контролем устройств, Kaspersky Endpoint Security заблокирует доступ и покажет уведомление (см. рис. ниже).

Уведомление Контроля устройств

Алгоритм работы Контроля устройств

Kaspersky Endpoint Security принимает решение о доступе к устройству после того, как пользователь подключил это устройство к компьютеру (см. рис. ниже).

Алгоритм работы Контроля устройств

Если устройство подключено и доступ разрешен, вы можете изменить правило доступа и запретить доступ. В этом случае при очередном обращении к устройству (просмотр дерева папок, чтение, запись) Kaspersky Endpoint Security блокирует доступ. Блокирование устройства без файловой системы произойдет только при последующем подключении устройства.

Если пользователю компьютера с установленной программой Kaspersky Endpoint Security требуется запросить доступ к устройству, которое, по его мнению, было заблокировано ошибочно, передайте ему инструкцию по запросу доступа.

Параметры компонента Контроль устройств

Контроль программ

Контроль программ управляет запуском программ на компьютерах пользователей. Это позволяет выполнить политику безопасности организации при использовании программ. Также Контроль программ снижает риск заражения компьютера, ограничивая доступ к программам.

Настройка Контроля программ состоит из следующих этапов:

1. Создание категорий программ.

   Администратор создает категории программ, которыми администратор хочет управлять. Категории программ предназначены для всех компьютеров сети организации независимо от групп администрирования. Для создания категории вы можете использовать следующие критерии: KL-категория (например, Браузеры), хеш файла, производитель программы и другие.

2. Создание правил Контроля программ.

   Администратор создает правила Контроля программ в политике для группы администрирования. Правило включает в себя категории программ и статус запуска программ из этих категорий: запрещен или разрешен.

3. Выбор режима работы Контроля программ.

   Администратор выбирает режим работы с программами, которые не входят ни в одно из правил (списки запрещенных и разрешенных программ).

При попытке пользователя запустить запрещенную программу, Kaspersky Endpoint Security заблокирует запуск программы и покажет уведомление (см. рис. ниже).

Для проверки настройки Контроля программ предусмотрен тестовый режим. В этом режиме Kaspersky Endpoint Security выполняет следующие действия:

• разрешает запуск программ, в том числе запрещенных;
• показывает уведомление о запуске запрещенной программы и добавляет информацию в отчет на компьютере пользователя;
• отправляет данные о запуске запрещенных программ в Kaspersky Security Center.

  

  Уведомление Контроля программ

Режимы работы Контроля программ

Компонент Контроль программ может работать в двух режимах:

• Список запрещенных. Режим, при котором Контроль программ разрешает пользователям запуск любых программ, кроме тех, которые запрещены в правилах Контроля программ.

  Этот режим работы Контроля программ установлен по умолчанию.

• Список разрешенных. Режим, при котором Контроль программ запрещает пользователям запуск любых программ, кроме тех, которые разрешены и не запрещены в правилах Контроля программ.

  Если разрешающие правила Контроля программ сформированы максимально полно, компонент запрещает запуск всех новых программ, не проверенных администратором локальной сети организации, но обеспечивает работоспособность операционной системы и проверенных программ, которые нужны пользователям для выполнения должностных обязанностей.

  Вы можете ознакомиться с рекомендациями по настройке правил контроля программ в режиме списка разрешенных программ.

Настройка Контроля программ для работы в этих режимах возможна как в локальном интерфейсе Kaspersky Endpoint Security, так и с помощью Kaspersky Security Center.

Однако Kaspersky Security Center предоставляет инструменты, недоступные в локальном интерфейсе Kaspersky Endpoint Security и необходимые для следующих задач:

• Создание категорий программ.

  Правила Контроля программ, сформированные в Консоли администрирования Kaspersky Security Center, основываются на созданных вами категориях программ, а не на включающих и исключающих условиях, как в локальном интерфейсе Kaspersky Endpoint Security.

• Получение информации о программах, которые установлены на компьютерах локальной сети организации.

Поэтому настройку работы компонента Контроль программ рекомендуется выполнять с помощью Kaspersky Security Center.

Алгоритм работы Контроля программ

Kaspersky Endpoint Security использует алгоритм для принятия решения о запуске программы (см. рис. ниже).

Алгоритм работы Контроля программ

Параметры компонента Контроль программ

Адаптивный контроль аномалий

Этот компонент доступен только для решений Kaspersky Endpoint Security для бизнеса Расширенный и Kaspersky Total Security для бизнеса. Подробнее о решениях Kaspersky Endpoint Security для бизнеса см. на сайте "Лаборатории Касперского".

Этот компонент доступен, если программа Kaspersky Endpoint Security установлена на компьютере под управлением операционной системы Windows для рабочих станций. Этот компонент недоступен, если программа Kaspersky Endpoint Security установлена на компьютере под управлением операционной системы Windows для серверов.

Компонент Адаптивный контроль аномалий отслеживает и блокирует действия, нехарактерные для компьютеров сети организации. Для отслеживания нехарактерных действий Адаптивный контроль аномалий использует набор правил (например, правило Запуск Windows PowerShell из офисной программы). Правила созданы специалистами "Лаборатории Касперского" на основе типичных сценариев вредоносной активности. Вы можете выбрать поведение Адаптивного контроля аномалий для каждого из правил и, например, разрешить запуск PowerShell-скриптов для автоматизации решения корпоративных задач. Kaspersky Endpoint Security обновляет набор правил с базами программы. Обновление набора правил нужно подтверждать вручную.

Настройка Адаптивного контроля аномалий

Настройка Адаптивного контроля аномалий состоит из следующих этапов:

1. Обучение Адаптивного контроля аномалий.

   После включения Адаптивного контроля аномалий правила работают в обучающем режиме. В ходе обучения Адаптивный контроль аномалий отслеживает срабатывание правил и отправляет события срабатывания в Kaspersky Security Center. Каждое правило имеет свой срок действия обучающего режима. Срок действия обучающего режима устанавливают специалисты "Лаборатории Касперского". Обычно срок действия обучающего режима составляет 2 недели.

   Если в ходе обучения правило ни разу не сработало, Адаптивный контроль аномалий будет считать действия, связанные с этим правилом, нехарактерным. Kaspersky Endpoint Security будет блокировать все действия, связанные с этим правилом.

   Если в ходе обучения правило сработало, Kaspersky Endpoint Security регистрирует события в отчете о срабатываниях правил и в хранилище Срабатывание правил в состоянии Интеллектуальное обучение.

2. Анализ отчета о срабатывании правил.

   Администратор анализирует отчет о срабатываниях правил или содержание хранилища Срабатывание правил в состоянии Интеллектуальное обучение. Далее администратор может выбрать поведение Адаптивного контроля аномалий при срабатывании правила: блокировать или разрешить. Также администратор может продолжить отслеживать срабатывание правила и продлить работу программы в обучающем режиме. Если администратор не предпринимает никаких мер, программа также продолжит работать в обучающем режиме. Отсчет срока действия обучающего режима начинается заново.

Настройка Адаптивного контроля аномалий происходит в режиме реального времени. Настройка Адаптивного контроля аномалий осуществляется по следующим каналам:

• Адаптивный контроль аномалий автоматически начинает блокировать действия, связанные с правилами, которые не сработали в течение обучающего режима.
• Kaspersky Endpoint Security добавляет новые правила или удаляет неактуальные.
• Администратор настраивает работу Адаптивного контроля аномалий после анализа отчета о срабатывании правил и содержимого хранилища Срабатывание правил в состоянии Интеллектуальное обучение. Рекомендуется проверять отчет о срабатывании правил и содержимое хранилища Срабатывание правил в состоянии Интеллектуальное обучение.

При попытке вредоносной программы выполнить действие, Kaspersky Endpoint Security заблокирует действие и покажет уведомление (см. рис. ниже).

Уведомление Адаптивного контроля аномалий

Алгоритм работы Адаптивного контроля аномалий

Kaspersky Endpoint Security принимает решение о выполнении действия, связанного с правилом, по следующему алгоритму (см. рис. ниже).

Алгоритм работы Адаптивного контроля аномалий

Параметры компонента Адаптивный контроль аномалий

Endpoint Sensor

В Kaspersky Endpoint Security 11.4.0 компонент Endpoint Sensor исключен из программы.

Вы можете управлять Endpoint Sensor в Kaspersky Security Center Web Console и Консоли администрирования Kaspersky Security Center. Управлять Endpoint Sensor в программе Kaspersky Security Center Cloud Console невозможно.

Endpoint Sensor предназначен для взаимодействия с Kaspersky Anti Targeted Attack Platform. Kaspersky Anti Targeted Attack Platform – решение, предназначенное для своевременного обнаружения сложных угроз, таких как целевые атаки, сложные постоянные угрозы (англ. APT – Advanced Persistent Threat), атаки "нулевого дня" и другие. Kaspersky Anti Targeted Attack Platform включает в себя два функциональных блока: Kaspersky Anti Targeted Attack (далее также "KATA") и Kaspersky Endpoint Detection and Response (далее также "KEDR"). Вы можете приобрести KEDR отдельно. Подробнее о решении см. в справке Kaspersky Anti Targeted Attack Platform.

Управление Endpoint Sensor имеет следующие особенности:

• Если на компьютере установлена программа Kaspersky Endpoint Security версий 11.0.0 – 11.3.0, вы можете настроить параметры Endpoint Sensor с помощью политики. Подробнее о настройке параметров Endpoint Sensor с помощью политики см. в справке Kaspersky Endpoint Security предыдущих версий.
• Если на компьютере установлена программа Kaspersky Endpoint Security версии 11.4.0 и выше, настроить параметры Endpoint Sensor с помощью политики невозможно.

Endpoint Sensor устанавливается на клиентских компьютерах. На этих компьютерах компонент постоянно наблюдает за процессами, открытыми сетевыми соединениями и изменяемыми файлами. Endpoint Sensor передает информацию на сервер KATA.

Функциональность компонента доступна для следующих операционных систем:

• Windows 7 Service Pack 1 Home / Professional / Enterprise;
• Windows 8.1.1 Professional / Enterprise;
• Windows 10 RS3 Home / Professional / Education / Enterprise;
• Windows 10 RS4 Home / Professional / Education / Enterprise;
• Windows 10 RS5 Home / Professional / Education / Enterprise;
• Windows 10 RS6 Home / Professional / Education / Enterprise;
• Windows Server 2008 R2 Foundation / Standard / Enterprise (64-разрядная);
• Windows Server 2012 Foundation / Standard / Enterprise (64-разрядная);
• Windows Server 2012 R2 Foundation / Standard / Enterprise (64-разрядная);
• Windows Server 2016 Essentials / Standard (64-разрядная).

Подробную информацию о работе KATA см. в справке Kaspersky Anti Targeted Attack Platform.

Kaspersky Sandbox

В Kaspersky Endpoint Security версии 11.7.0 добавлен компонент Kaspersky Sandbox. Компонент обеспечивает взаимодействие с решением Kaspersky Sandbox. Решение Kaspersky Sandbox обнаруживает и автоматически блокирует сложные угрозы на компьютерах. Kaspersky Sandbox анализирует поведение объектов для выявления вредоносной активности и признаков целевых атак на IT-инфраструктуру организации. Kaspersky Sandbox выполняет анализ и проверку объектов на специальных серверах с развернутыми виртуальными образами операционных систем Microsoft Windows (серверы Kaspersky Sandbox). Подробнее о решении см. в справке Kaspersky Sandbox.

Управление компонентом доступно только в Kaspersky Security Center Web Console. Управлять компонентом в Консоли администрирования (MMC) невозможно.

Параметры компонента Kaspersky Sandbox

Endpoint Detection and Response

В Kaspersky Endpoint Security версии 11.7.0 добавлен встроенный агент для работы решения Kaspersky Endpoint Detection and Response Optimum (далее также "EDR Optimum"). Решение Kaspersky Endpoint Detection and Response Optimum – решение, предназначенное для защиты IT-инфраструктуры организации от сложных кибернетических угроз. Функционал решения сочетает автоматическое обнаружение угроз с возможностью реагирования на эти угрозы для противодействия сложным атакам, в том числе новым эксплойтам (exploits), программам-вымогателям (ransomware), бесфайловым атакам (fileless attacks), а также методам, использующим законные системные инструменты. Подробнее о решении см. в справке Kaspersky Endpoint Detection and Response Optimum.

Kaspersky Endpoint Detection and Response Optimum выполняет обзор и анализ развития угрозы и предоставляет Сотруднику службы безопасности или Администратору информацию о потенциальной атаке, необходимую для принятия своевременных действий по реагированию. Kaspersky Endpoint Detection and Response показывает детали обнаружения в отдельном окне. Детали обнаружения – инструмент для просмотра всей собранной информации об обнаруженной угрозе и управления действиями по реагированию. Детали обнаружения содержат, например, историю появления файлов на компьютере. Подробнее о работе с деталями обнаружения см. справке Kaspersky Endpoint Detection and Response Optimum.

Управление компонентом доступно только в Kaspersky Security Center Web Console. Управлять компонентом в Консоли администрирования (MMC) невозможно.

Параметры Endpoint Detection and Response Optimum

Полнодисковое шифрование

Вы можете выбрать технологию шифрования: Шифрование диска Kaspersky или Шифрование диска BitLocker (далее также "BitLocker").

Шифрование диска Kaspersky

После шифрования системных жестких дисков при последующем включении компьютера доступ к ним, а также загрузка операционной системы возможны только после прохождения процедуры аутентификации с помощью

Аутентификация пользователя в Агенте аутентификации может выполняться двумя способами:

• путем ввода имени и пароля учетной записи Агента аутентификации, созданной администратором локальной сети организации средствами Kaspersky Security Center;
• путем ввода пароля подключенного к компьютеру токена или смарт-карты.

  Использование токена или смарт-карты доступно, только если жесткие диски компьютера зашифрованы с помощью алгоритма шифрования AES256. Если жесткие диски компьютера зашифрованы с помощью алгоритма шифрования AES56, то в добавлении файла электронного сертификата в команду будет отказано.

Шифрование диска BitLocker

BitLocker – встроенная в операционную систему Windows технология шифрования. Kaspersky Endpoint Security позволяет контролировать и управлять Bitlocker с помощью Kaspersky Security Center. BitLocker шифрует логический том. Шифрование съемных дисков с помощью BitLocker невозможно. Подробнее о BitLocker см. в документации Microsoft.

BitLocker обеспечивает безопасность хранения ключей доступа с помощью доверенного платформенного модуля. Доверенный платформенный модуль (англ. Trusted Platform Module – TPM) – микрочип, разработанный для предоставления основных функций, связанных с безопасностью (например, для хранения ключей шифрования). Доверенный платформенный модуль обычно устанавливается на материнской плате компьютера и взаимодействует с остальными компонентами системы при помощи аппаратной шины. Использование TPM является самым безопасным способом хранения ключей доступа BitLocker, так как TPM позволяет проверять целостность операционной системы. На компьютерах без TPM вы также можете зашифровать диски. При этом ключ доступа будет зашифрован паролем. Таким образом, BitLocker использует следующие способы аутентификации:

• TPM.
• TPM и PIN-код.
• Пароль.

После шифрования диска BitLocker создает мастер-ключ. Kaspersky Endpoint Security отправляет мастер-ключ в Kaspersky Security Center, чтобы вы имели возможность восстановить доступ к диску, если пользователь, например, забыл пароль.

Если пользователь самостоятельно зашифровал диск с помощью BitLocker, Kaspersky Endpoint Security отправит информацию о шифровании диска в Kaspersky Security Center. При этом Kaspersky Endpoint Security не отправит мастер-ключ в Kaspersky Security Center, и восстановить доступ к диску с помощью Kaspersky Security Center будет невозможно. Для корректной работы BitLocker c Kaspersky Security Center расшифруйте диск и зашифруйте диск повторно с помощью политики. Расшифровать диск вы можете локально или с помощью политики.

После шифрования системного жесткого диска для загрузки операционной системы пользователю нужно пройти процедуру аутентификации BitLocker. После прохождения процедуры аутентификации BitLocker будет доступен вход в систему. BitLocker не поддерживает технологию единого входа (SSO).

Если вы используете групповые политики для Windows, выключите управление BitLocker в параметрах политики. Параметры политики для Windows могут противоречить параметрам политики Kaspersky Endpoint Security. При шифровании диска могут возникнуть ошибки.

Параметры компонента Шифрование диска Kaspersky

Параметры компонента Шифрование диска BitLocker

Шифрование файлов

Вы можете сформировать списки из файлов по расширению или группам расширений и из папок, расположенных на локальных дисках компьютера, а также создать правила шифрования файлов, создаваемых отдельными программами. После применения политики программа Kaspersky Endpoint Security шифрует и расшифровывает следующие файлы:

• файлы, отдельно добавленные в списки для шифрования и расшифровки;
• файлы, хранящиеся в папках, добавленных в списки для шифрования и расшифровки;
• файлы, создаваемые отдельными программами.

Этот компонент доступен, если программа Kaspersky Endpoint Security установлена на компьютере под управлением операционной системы Windows для рабочих станций. Этот компонент недоступен, если программа Kaspersky Endpoint Security установлена на компьютере под управлением операционной системы Windows для серверов.

Шифрование файлов имеет следующие особенности:

• Kaspersky Endpoint Security шифрует / расшифровывает стандартные папки только для локальных профилей пользователей (англ. local user profiles) операционной системы. Kaspersky Endpoint Security не шифрует и не расшифровывает стандартные папки для перемещаемых профилей пользователей (англ. roaming user profiles), обязательных профилей пользователей (англ. mandatory user profiles), временных профилей пользователей (англ. temporary user profiles), а также перенаправленные папки.
• Kaspersky Endpoint Security не выполняет шифрование файлов, изменение которых может повредить работе операционной системы и установленных программ. Например, в список исключений из шифрования входят следующие файлы и папки со всеми вложенными в них папками:
  • %WINDIR%;
  • %PROGRAMFILES% и %PROGRAMFILES(X86)%;
  • файлы реестра Windows.

  Список исключений из шифрования недоступен для просмотра и изменения. Файлы и папки из списка исключений из шифрования можно добавить в список для шифрования, но при выполнении шифрования файлов они не будут зашифрованы.

  Параметры компонента Шифрование файлов

  Параметр	Описание
  Управление шифрованием	Оставлять без изменений. Если выбран этот элемент, то Kaspersky Endpoint Security оставляет файлы и папки в том же состоянии – не шифрует и не расшифровывает их. Шифровать согласно правилам. Если выбран этот элемент, то Kaspersky Endpoint Security шифрует файлы и папки согласно правилам шифрования, расшифровывает файлы и папки согласно правилам расшифровки, а также регулирует доступ программ к зашифрованным файлам согласно правилам для программ. Расшифровать все устройство. Если выбран этот элемент, то Kaspersky Endpoint Security расшифровывает все зашифрованные файлы и папки.
  Правила шифрования	На закладке отображаются правила шифрования файлов, хранящихся на локальных дисках. Вы можете добавить файлы следующим образом: Стандартные области. Kaspersky Endpoint Security позволяет добавить следующие области: Документы. Файлы в стандартной папке операционной системы Документы, а также вложенные папки. Избранное. Файлы в стандартной папке операционной системы Избранное, а также вложенные папки. Рабочий стол. Файлы в стандартной папке операционной системы Рабочий стол, а также вложенные папки. Временные файлы. Временные файлы, связанные с работой установленных на компьютере программ. Например, программы Microsoft Office создают временные файлы с резервными копиями документов. Файлы Outlook. Файлы, связанные с работой почтового клиента Outlook: файлы данных (PST), автономные файлы данных (OST), файлы автономной адресной книги (OAB) и файлы персональной адресной книги (PAB). Папки. Вы можете ввести путь к папке. При добавлении пути к папке следует использовать следующие правила: Используйте переменную окружения (например, %FOLDER%\UserFolder\). Вы можете использовать переменную окружения только один раз и только в начале пути. Не используйте относительные пути. Вы можете использовать набор \..\ (например, C:\Users\..\UserFolder\). Набор \..\ обозначает переход к родительской папке. Не используйте символы * и ?. Не используйте UNC-пути. Используйте ; или , в качестве разделительного символа. Файлы по расширению. Вы можете выбрать группы расширений из списка, например, группу расширений Архивы. Также вы можете добавить расширение файла вручную.
  Правила расшифровки	На закладке отображаются правила расшифровки файлов, хранящихся на локальных дисках.
  Правила для программ	На закладке отображается таблица с правилами доступа программ к зашифрованным файлам и правилами шифрования файлов, создаваемых и изменяемых отдельными программами.
  Настройки пароля для зашифрованных архивов	Параметры сложности пароля при создании зашифрованных архивов.

Шифрование съемных дисков

Этот компонент доступен, если программа Kaspersky Endpoint Security установлена на компьютере под управлением операционной системы Windows для рабочих станций. Этот компонент недоступен, если программа Kaspersky Endpoint Security установлена на компьютере под управлением операционной системы Windows для серверов.

Kaspersky Endpoint Security поддерживает шифрование файлов в файловых системах FAT32 и NTFS. Если к компьютеру подключен съемный диск с неподдерживаемой файловой системой, то шифрование этого съемного диска завершается с ошибкой и Kaspersky Endpoint Security устанавливает статус доступа "только чтение" для этого съемного диска.

Для защиты данных на съемных дисках вы можете использовать следующие виды шифрования:

• Полнодисковое шифрование (англ. Full Disk Encryption – FDE).

  Шифрование всего съемного диска, включая файловую систему.

  Получить доступ к зашифрованным данным вне корпоративной сети невозможно. Также невозможно получить доступ к зашифрованным данным внутри корпоративной сети, если компьютер не подключен к Kaspersky Security Center ("гостевой" компьютер).

• Шифрование файлов (англ. File Level Encryption – FLE).

  Шифрование только файлов на съемном диске. Файловая система при этом остается без изменений.

  Шифрование файлов на съемных дисках предоставляет возможность доступа к данным за пределами корпоративной сети с помощью специального режима – портативный режим.

Во время шифрования Kaspersky Endpoint Security создает мастер-ключ. Kaspersky Endpoint Security сохраняет мастер-ключ в следующих хранилищах:

• Kaspersky Security Center.
• Компьютер пользователя.

  Мастер-ключ зашифрован секретным ключом пользователя.

• Съемный диск.

  Мастер-ключ зашифрован открытым ключом Kaspersky Security Center.

После завершения шифрования данные на съемном диске доступны внутри корпоративной сети как при использовании обычного съемного диска без шифрования.

Получение доступа к зашифрованным данным

При подключении съемного диска с зашифрованными данными Kaspersky Endpoint Security выполняет следующие действия:

1. Проверяет наличие мастер-ключа в локальном хранилище на компьютере пользователя.

   Если мастер-ключ найден, пользователь получает доступ к данным на съемном диске.

   Если мастер-ключ не найден, Kaspersky Endpoint Security выполняет следующие действия:

   1. Отправляет запрос в Kaspersky Security Center.

      После получения запроса Kaspersky Security Center отправляет ответ, который содержит мастер-ключ.

   2. Kaspersky Endpoint Security сохраняет мастер-ключ в локальном хранилище на компьютере пользователя для дальнейшей работы с зашифрованным съемным диском.
2. Расшифровывает данные.

Особенности шифрования съемных дисков

Шифрование съемных дисков имеет следующие особенности:

• Политика с заданными параметрами шифрования съемных дисков формируется для определенной группы управляемых компьютеров. Поэтому результат применения политики Kaspersky Security Center с настроенным шифрованием / расшифровкой съемных дисков зависит от того, к какому компьютеру подключен съемный диск.
• Kaspersky Endpoint Security не выполняет шифрование / расшифровку файлов со статусом доступа "только чтение", хранящихся на съемных дисках.
• В качестве съемных дисков поддерживаются следующие типы устройств:
  • носители информации, подключаемые по шине USB;
  • жесткие диски, подключаемые по шинам USB и FireWire;
  • SSD-диски, подключаемые по шинам USB и FireWire.

  Параметры компонента Шифрование съемных дисков

  Параметр	Описание
  Управление шифрованием	Шифровать весь съемный диск. Если выбран этот элемент, то при применении политики с заданными параметрами шифрования съемных дисков Kaspersky Endpoint Security шифрует съемные диски по секторам, включая их файловые системы. Шифровать все файлы. Если выбран этот элемент, то при применении политики с заданными параметрами шифрования съемных дисков Kaspersky Endpoint Security шифрует все файлы, которые хранятся на съемных дисках. Уже зашифрованные файлы Kaspersky Endpoint Security повторно не шифрует. Содержимое файловой системы съемных дисков, включая имена зашифрованных файлов и структуру папок, остается доступным и не шифруется. Шифровать только новые файлы. Если выбран этот элемент, то при применении политики с заданными параметрами шифрования съемных дисков Kaspersky Endpoint Security шифрует на съемных дисках только те файлы, которые были добавлены или изменены после последнего применения политики Kaspersky Security Center. Этот режим шифрования может быть удобным, если пользователь использует съемный диск и в личных целях, и на работе. Режим шифрования позволяет оставлять без изменений все старые файлы и шифровать только те файлы, которые пользователь создает на рабочем компьютере с установленной программой Kaspersky Endpoint Security и доступной функциональностью шифрования. Таким образом, доступ к личным файлам всегда открыт вне зависимости от того, установлена на компьютере программа Kaspersky Endpoint Security с доступной функциональностью шифрования или нет. Расшифровывать весь съемный диск. Если выбран этот элемент, то при применении политики с заданными параметрами шифрования съемных дисков Kaspersky Endpoint Security расшифровывает все зашифрованные файлы, которые хранятся на съемных дисках, а также файловые системы съемных дисков, если они были зашифрованы. Оставлять без изменений. Если выбран этот элемент, то при применении политики программа оставляет диски в прежнем состоянии. Если диск был зашифрован, то он остается зашифрованным, а если диск был расшифрован, то он остается расшифрованным. Этот элемент выбран по умолчанию.
  Портативный режим	Флажок включает / выключает подготовку съемного диска, которая позволяет работать с хранящимися на этом съемном диске файлами на компьютерах вне корпоративной сети. Если флажок установлен, то при применении политики перед началом шифрования файлов на съемном диске Kaspersky Endpoint Security запрашивает у пользователя пароль. Пароль требуется для получения доступа к зашифрованным файлам на съемном диске на компьютерах вне корпоративной сети. Вы можете настроить сложность пароля. Портативный режим доступен для режимов Шифровать все файлы или Шифровать только новые файлы.
  Шифровать только занятое пространство	Флажок включает / выключает режим шифрования, при котором шифруются только занятые секторы диска. Этот режим рекомендуется применять для новых дисков, данные которых не редактировались и не удалялись. Если флажок установлен, то шифруется только та часть диска, которая занята файлами. Kaspersky Endpoint Security зашифровывает новые данные автоматически по мере их добавления. Если флажок снят, то шифруется весь диск, в том числе остатки удаленных и отредактированных ранее файлов. Функция шифрования только занятого пространства доступна только для режима Шифровать весь съемный диск. Включение / выключение функции Шифровать только занятое пространство после запуска шифрования не изменяет этого параметра. Требуется установить или снять флажок до начала шифрования.
  Правила шифрования выбранных устройств	Таблица устройств, для которых заданы отдельные правила шифрования. Вы можете создать правила шифрования для отдельных съемных дисков следующими способами: Добавьте съемный диск из списка доверенных устройств Контроля устройств. Добавьте съемный диск вручную: по идентификатору устройства (англ. Hardware ID – HWID); по модели устройства: идентификатор производителя (англ. Vendor ID – VID) и идентификатор продукта (англ. Product ID – PID).
  Разрешать шифрование съемных дисков в офлайн-режиме	Если флажок установлен, то Kaspersky Endpoint Security шифрует съемные диски даже при отсутствии связи с Kaspersky Security Center. Данные, необходимые для расшифровки съемных дисков, сохраняются при этом на жестком диске компьютера, к которому подключен съемный диск, и не передаются на Kaspersky Security Center. Если флажок снят, Kaspersky Endpoint Security не шифрует съемные диски, если связь с Kaspersky Security Center отсутствует.
  Настройки пароля для портативного режима	Параметры надежности пароля для портативного файлового менеджера.

Шаблоны (шифрование данных)

После шифрования данных Kaspersky Endpoint Security может запретить доступ к данным, например, из-за изменения инфраструктуры организации и смены Сервера администрирования Kaspersky Security Center. Если у пользователя нет доступа к зашифрованным данным, пользователь может запросить доступ к данным у администратора. Т.е. пользователю нужно передать файл запроса администратору. Далее пользователю нужно загрузить в Kaspersky Endpoint Security файл ответа, полученный от администратора. Kaspersky Endpoint Security позволяет запросить доступ к данным у администратора с помощью электронной почты (см. рис. ниже).

Запрос доступа к зашифрованным данным

Для сообщения об отсутствии доступа к зашифрованным данным предусмотрен шаблон. Для удобства пользователей вы можете заполнить следующие поля:

• Кому. Введите адрес электронной почты группы администраторов с правами на функции шифрования данных.
• Тема. Введите тему письма с запросом доступа к зашифрованным файлам. Вы можете, например, добавить теги для фильтрации сообщений.
• Сообщение. Если требуется измените содержание сообщения. Вы можете использовать переменные, чтобы получить необходимые данные (например, переменная %USER_NAME%).

Исключения

Доверенная зона – это сформированный администратором системы список объектов и программ, которые Kaspersky Endpoint Security не контролирует в процессе работы.

Доверенную зону администратор системы формирует самостоятельно в зависимости от особенностей объектов, с которыми требуется работать, а также от программ, установленных на компьютере. Включение объектов и программ в доверенную зону может потребоваться, например, если Kaspersky Endpoint Security блокирует доступ к какому-либо объекту или программе, в то время как вы уверены, что этот объект или программа безвредны. Также администратор может разрешить пользователю формировать собственную локальную доверенную зону для отдельного компьютера. Таким образом, кроме общей доверенной зоны, сформированной в политике, пользователь может создавать собственные локальные списки исключений и доверенных программ.

Исключения из проверки

Исключение из проверки – это совокупность условий, при выполнении которых Kaspersky Endpoint Security не проверяет объект на вирусы и другие программы, представляющие угрозу.

Исключения из проверки позволяют работать с легальными программами, которые могут быть использованы злоумышленниками для нанесения вреда компьютеру или данным пользователя. Такие программы сами по себе не имеют вредоносных функций, но эти программы могут быть использованы злоумышленниками. Подробную информацию о легальных программах, которые могут быть использованы злоумышленниками для нанесения вреда компьютеру или данным пользователя, вы можете получить на сайте Вирусной энциклопедии "Лаборатории Касперского".

В результате работы Kaspersky Endpoint Security такие программы могут быть заблокированы. Чтобы избежать блокирования, для используемых программ вы можете настроить исключения из проверки. Для этого нужно добавить в доверенную зону название или маску названия по классификации Вирусной энциклопедии "Лаборатории Касперского". Например, вы часто используете в своей работе программу Radmin, предназначенную для удаленного управления компьютерами. Такая активность программы рассматривается Kaspersky Endpoint Security как подозрительная и может быть заблокирована. Чтобы исключить блокировку программы, нужно сформировать исключение из проверки, где указать название или маску названия по классификации Вирусной энциклопедии "Лаборатории Касперского".

Если у вас на компьютере установлена программа, выполняющая сбор и отправку информации на обработку, Kaspersky Endpoint Security может классифицировать такую программу как вредоносную. Чтобы избежать этого, вы можете исключить программу из проверки, настроив Kaspersky Endpoint Security способом, описанным в этом документе.

Исключения из проверки могут использоваться в ходе работы следующих компонентов и задач программы, заданных администратором системы:

• Анализ поведения.
• Защита от эксплойтов.
• Предотвращение вторжений.
• Защита от файловых угроз.
• Защита от веб-угроз.
• Защита от почтовых угроз.
• Задачи проверки.

Список доверенных программ

Список доверенных программ – это список программ, у которых Kaspersky Endpoint Security не контролирует файловую и сетевую активность (в том числе и вредоносную), а также обращения этих программ к системному реестру. По умолчанию Kaspersky Endpoint Security проверяет объекты, открываемые, запускаемые или сохраняемые любым программным процессом, а также контролирует активность всех программ и создаваемый ими сетевой трафик. Kaspersky Endpoint Security исключает из проверки программу, добавленную в список доверенных программ.

Например, если вы считаете объекты, используемые программой Microsoft Windows Блокнот, безопасными и не требующими проверки, то есть доверяете этой программе, вам следует добавить программу Microsoft Windows Блокнот в список доверенных программ, чтобы не проверять объекты, используемые этой программой.

Кроме того, некоторые действия, которые Kaspersky Endpoint Security классифицирует как подозрительные, могут быть безопасны в рамках функциональности ряда программ. Например, перехват текста, который вы вводите с клавиатуры, является штатным действием программ автоматического переключения раскладок клавиатуры (например, Punto Switcher). Чтобы учесть специфику таких программ и отключить контроль их активности, рекомендуется добавить их в список доверенных программ.

Исключение доверенных программ из проверки позволяет избежать проблемы совместимости Kaspersky Endpoint Security с другими программами (например, проблемы двойной проверки сетевого трафика стороннего компьютера Kaspersky Endpoint Security и другой антивирусной программой), а также увеличить производительность компьютера, что особенно важно при использовании серверных программ.

В то же время исполняемый файл и процесс доверенной программы по-прежнему проверяются на наличие в них вирусов и других программ, представляющих угрозу. Для полного исключения программы из проверки Kaspersky Endpoint Security следует пользоваться исключениями из проверки.

Параметры исключений

Настройки программы

Вы можете настроить следующие общие параметры программы:

• режим работы;
• самозащита;
• производительность;
• отладочная информация;
• статус компьютера при применении параметров.

  Параметры программы

  Параметр	Описание
  Запускать Kaspersky Endpoint Security для Windows при включении компьютера	Если флажок установлен, то Kaspersky Endpoint Security запускается после загрузки операционной системы и защищает компьютер пользователя в течение всего сеанса работы. Если флажок не установлен, то Kaspersky Endpoint Security не запускается после загрузки операционной системы до того момента, как пользователь запустит программу вручную. Защита компьютера выключена и данные пользователя могут находиться под угрозой.
  Применять технологию лечения активного заражения (использует значительные ресурсы компьютера)	Если флажок установлен, при обнаружении вредоносной активности в операционной системе на экране отображается всплывающее уведомление. В уведомлении Kaspersky Endpoint Security предлагает провести процедуру лечения активного заражения компьютера. После подтверждения пользователем этой процедуры Kaspersky Endpoint Security устраняет угрозу. Завершив процедуру лечения активного заражения, Kaspersky Endpoint Security выполняет перезагрузку компьютера. Применение технологии лечения активного заражения требует значительных ресурсов компьютера, что может замедлить работу других программ. Во время обнаружения программой активного заражения некоторые функции операционной системы могут быть недоступны. Доступность операционной системы восстановится после завершения лечения активного заражения и перезагрузки компьютера. Если программа Kaspersky Endpoint Security установлена на компьютере под управлением операционной системы Windows для серверов, Kaspersky Endpoint Security не показывает уведомление. Таким образом, пользователь не может выбрать действие для лечения активного заражения. Для устранения угрозы вам необходимо включить технологию лечения активного заражения в параметрах программы и включить немедленное лечение активного заражения в свойствах задачи Антивирусная проверка. Далее вам нужно запустить задачу Антивирусная проверка.
  Использовать Kaspersky Security Center в качестве прокси-сервера для активации (доступен только в консоли Kaspersky Security Center)	Если флажок установлен, то при активации программы в качестве прокси-сервера используется Сервер администрирования Kaspersky Security Center.
  Включить самозащиту	Если флажок установлен, то Kaspersky Endpoint Security предотвращает изменение и удаление файлов программы на жестком диске, процессов в памяти и записей в системном реестре.
  Разрешить управление настройками Kaspersky Endpoint Security через программы удаленного управления	Если флажок установлен, доверенные программы удаленного администрирования (такие как TeamViewer, LogMeIn Pro и Remotely Anywhere) могут изменять настройки Kaspersky Endpoint Security. Недоверенным программам удаленного администрирования изменение настроек Kaspersky Endpoint Security будет запрещено, даже если флажок установлен.
  Включить возможность внешнего управления системными службами	Если флажок установлен, то Kaspersky Endpoint Security разрешает управление службами программы с удаленного компьютера. При попытке управления службами программы с удаленного компьютера, над значком программы в области уведомлений панели задач Microsoft Windows отображается уведомление (если служба уведомлений не выключена пользователем).
  Откладывать задачи по расписанию при работе от аккумулятора	Если флажок установлен, то режим экономии питания аккумулятора включен. Kaspersky Endpoint Security откладывает выполнение задач, для которых задан запуск по расписанию. По мере необходимости вы можете самостоятельно запускать задачи проверки и обновления.
  Уступать ресурсы другим программам	Потребление ресурсов компьютера Kaspersky Endpoint Security при проверке компьютера может увеличить нагрузку на центральный процессор и дисковые подсистемы. Это может замедлить работу других приложений. Для оптимизации производительности в Kaspersky Endpoint Security предусмотрен режим передачи ресурсов другим приложениям. В этом режиме операционная система может понизить приоритет потоков задач проверки Kaspersky Endpoint Security при высокой нагрузке на центральный процессор. Это позволит перераспределить ресурсы операционной системы для других приложений. То есть задачи проверки получат меньше процессорного времени. В результате Kaspersky Endpoint Security будет проверять компьютер дольше. По умолчанию режим передачи ресурсов другим приложениям включен.
  Включить запись дампов	Если флажок установлен, то Kaspersky Endpoint Security записывает дампы в случае сбоев в работе. Если флажок снят, то Kaspersky Endpoint Security не записывает дампы. Программа удаляет уже существующие на жестком диске компьютера файлы дампов.
  Включить защиту файлов дампов и файлов трассировки	Если флажок установлен, то доступ к файлам дампов предоставляется системному и локальному администраторам, а также пользователю, включившему запись дампов. Доступ к файлам трассировки предоставляется только системному и локальному администраторам. Если флажок снят, доступ к файлам дампов и файлам трассировки имеет любой пользователь.
  Статус компьютера при применении настроек (доступен только в консоли Kaspersky Security Center)	Параметры отображения статусов клиентских компьютеров с установленной программой Kaspersky Endpoint Security в Web Console при появлении ошибок применения политики или выполнения задачи. Доступны статусы ОК, Предупреждение и Критический.

Отчеты и хранилище

Отчеты

Информация о работе каждого компонента Kaspersky Endpoint Security, о событиях шифрования данных, о выполнении каждой задачи проверки, задачи обновления и задачи проверки целостности, а также о работе программы в целом сохраняется в отчетах.

Отчеты хранятся в папке C:\ProgramData\Kaspersky Lab\KES\Report.

Резервное хранилище

Резервное хранилище – это хранилище резервных копий файлов, которые были изменены в процессе лечения или удалены. Резервная копия – копия файла, которая создается до лечения или удаления этого файла. Резервные копии файлов хранятся в специальном формате и не представляют опасности.

Резервные копии файлов хранятся в папке C:\ProgramData\Kaspersky Lab\KES\QB.

Полные права доступа к этой папке предоставлены пользователям группы "Администраторы". Ограниченные права доступа к этой папке предоставлены пользователю, под учетной записью которого выполнялась установка Kaspersky Endpoint Security.

В Kaspersky Endpoint Security отсутствует возможность настройки прав доступа пользователей к резервным копиям файлов.

Карантин

Карантин – это специальное локальное хранилище на компьютере, в которое помещаются файлы, возможно зараженные вирусами или неизлечимые. Файлы на карантине хранятся в зашифрованном виде и не угрожают безопасности устройства. Kaspersky Endpoint Security использует карантин только при работе с решениями Kaspersky Sandbox и Kaspersky Endpoint Detection and Response Optimum. В остальных случаях Kaspersky Endpoint Security помещает файл в резервное хранилище. Подробнее о работе с карантином в составе решений см. в справке Kaspersky Sandbox и Kaspersky Endpoint Detection and Response Optimum.

Вы можете настроить параметры карантина только в Web Console. Также в Web Console вы можете выполнить действия с объектами на карантине (восстановить, удалить, добавить и другие). Восстановление объектов доступно на компьютере локально из командной строки.

Kaspersky Endpoint Security помещает файлы на карантин под системной учетной записью (SYSTEM).

Параметры отчетов и хранения

Настройки сети

Вы можете настроить параметры прокси-сервера для подключения к интернету и обновления антивирусных баз, выбрать режим контроля сетевых портов и настроить проверку защищенных соединений.

Параметры сети

Интерфейс

Вы можете настроить параметры интерфейса программы.

Параметры интерфейса

Управление настройками

Вы можете сохранить текущие параметры работы Kaspersky Endpoint Security в файл и использовать их для быстрой настройки программы на другом компьютере. Также вы можете использовать конфигурационный файл при развертывании программы через Kaspersky Security Center 12 при помощи инсталляционного пакета. Вы можете в любой момент вернуться к параметрам по умолчанию.

Параметры управления настройками программы доступны только в интерфейсе Kaspersky Endpoint Security.

Параметры управления настройками программы

Обновление баз и модулей программы

Обновление баз и модулей программы Kaspersky Endpoint Security обеспечивает актуальность защиты компьютера. Каждый день в мире появляются новые вирусы и другие программы, представляющие угрозу. Информация об угрозах и способах их нейтрализации содержится в базах Kaspersky Endpoint Security. Чтобы своевременно обнаруживать угрозы, вам нужно регулярно обновлять базы и модули программы.

Для регулярного обновления требуется действующая лицензия на использование программы. Если лицензия отсутствует, вы сможете выполнить обновление только один раз.

Основным источником обновлений Kaspersky Endpoint Security служат серверы обновлений "Лаборатории Касперского".

Для успешной загрузки пакета обновлений с серверов обновлений "Лаборатории Касперского" компьютер должен быть подключен к интернету. По умолчанию параметры подключения к интернету определяются автоматически. Если вы используете прокси-сервер, требуется настроить параметры прокси-сервера.

Загрузка обновлений осуществляется по протоколу HTTPS. Загрузка по протоколу HTTP может осуществляться в случае, когда загрузка обновлений по протоколу HTTPS невозможна.

В процессе обновления на ваш компьютер загружаются и устанавливаются следующие объекты:

• Базы Kaspersky Endpoint Security. Защита компьютера обеспечивается на основании баз данных, содержащих сигнатуры вирусов и других программ, представляющих угрозу, и информацию о способах борьбы с ними. Компоненты защиты используют эту информацию при поиске и обезвреживании зараженных файлов на компьютере. Базы регулярно пополняются записями о появляющихся угрозах и способах борьбы с ними. Поэтому рекомендуется регулярно обновлять базы.

  Наряду с базами Kaspersky Endpoint Security обновляются сетевые драйверы, обеспечивающие функциональность для перехвата сетевого трафика компонентами защиты.

• Модули программы. Помимо баз Kaspersky Endpoint Security, можно обновлять и модули программы. Обновления модулей программы устраняют уязвимости Kaspersky Endpoint Security, добавляют новые функции или улучшают существующие.

В процессе обновления базы и модули программы на вашем компьютере сравниваются с их актуальной версией, расположенной в источнике обновлений. Если текущие базы и модули программы отличаются от актуальной версии, на компьютер устанавливается недостающая часть обновлений.

Вместе с обновлением модулей программы может быть обновлена и контекстная справка программы.

Если базы сильно устарели, то пакет обновлений может иметь значительный размер и создать дополнительный интернет-трафик (до нескольких десятков мегабайт).

Информация о текущем состоянии баз Kaspersky Endpoint Security отображается в главном окне программы или в подсказке при наведении курсора на значок программы в области уведомлений.

Информация о результатах обновления и обо всех событиях, произошедших при выполнении задачи обновления, записывается в отчет Kaspersky Endpoint Security.

Параметры обновления баз и модулей программы

Приложение 2. Группы доверия программ

Все программы, запускаемые на компьютере, Kaspersky Endpoint Security распределяет на группы доверия. Программы распределяются на группы доверия в зависимости от степени угрозы, которую эти программы могут представлять для операционной системы.

Существуют следующие группы доверия:

• Доверенные. В группу входят программы, для которых выполняется одно или более следующих условий:
  • Программы обладают цифровой подписью доверенных производителей.
  • О программах есть записи в базе доверенных программ Kaspersky Security Network.
  • Пользователь поместил программы в группу "Доверенные".

  Запрещенных операций для таких программ нет.

• Слабые ограничения. В группу входят программы, для которых выполняются следующие условия:
  • Программы не обладают цифровой подписью доверенных производителей.
  • О программах нет записей в базе доверенных программ Kaspersky Security Network.
  • Пользователь поместил программы в группу "Слабые ограничения".

  Такие программы имеют минимальные ограничения на работу с ресурсами операционной системы.

• Сильные ограничения. В группу входят программы, для которых выполняются следующие условия:
  • Программы не обладают цифровой подписью доверенных производителей.
  • О программах нет записей в базе доверенных программ Kaspersky Security Network.
  • Пользователь поместил программы в группу "Сильные ограничения".

  Такие программы имеют значительные ограничения на работу с ресурсами операционной системы.

• Недоверенные. В группу входят программы, для которых выполняются следующие условия:
  • Программы не обладают цифровой подписью доверенных производителей.
  • О программах нет записей в базе доверенных программ Kaspersky Security Network.
  • Пользователь поместил программы в группу "Недоверенные".

  Для таких программ запрещены все операции.

Приложение 3. Расширения файлов для быстрой проверки съемных дисков

com – исполняемый файл программы размером не более 64 КБ;

exe – исполняемый файл, самораспаковывающийся архив;

sys – системный файл Microsoft Windows;

prg – текст программы dBase, Clipper или Microsoft Visual FoxPro, программа пакета WAVmaker;

bin – бинарный файл;

bat – файл пакетного задания;

cmd – командный файл Microsoft Windows NT (аналогичен bat-файлу для DOS), OS/2;

dpl – упакованная библиотека Borland Delphi;

dll – библиотека динамической загрузки;

scr – файл-заставка экрана Microsoft Windows;

cpl – модуль панели управления (control panel) в Microsoft Windows;

ocx – объект Microsoft OLE (Object Linking and Embedding);

tsp – программа, работающая в режиме разделения времени;

drv – драйвер некоторого устройства;

vxd – драйвер виртуального устройства Microsoft Windows;

pif – файл с информацией о программе;

lnk – файл-ссылка в Microsoft Windows;

reg – файл регистрации ключей системного реестра Microsoft Windows;

ini – файл конфигурации, который содержит данные настроек для Microsoft Windows, Windows NT и некоторых программ;

cla – класс Java;

vbs – скрипт Visual Basic;

vbe – видеорасширение BIOS;

js, jse – исходный текст JavaScript;

htm – гипертекстовый документ;

htt – гипертекстовая заготовка Microsoft Windows;

hta – гипертекстовая программа для Microsoft Internet Explorer;

asp – скрипт Active Server Pages;

chm – скомпилированный HTML-файл;

pht – HTML-файл со встроенными скриптами PHP;

php – скрипт, встраиваемый в HTML-файлы;

wsh – файл Microsoft Windows Script Host;

wsf – скрипт Microsoft Windows;

the – файл заставки для рабочего стола Microsoft Windows 95;

hlp – файл справки формата Win Help;

eml – сообщение электронной почты Microsoft Outlook Express;

nws – новое сообщение электронной почты Microsoft Outlook Express;

msg – сообщение электронной почты Microsoft Mail;

plg – сообщение электронной почты;

mbx – сохраненное сообщение электронной почты Microsoft Office Outlook;

doc* – документы Microsoft Office Word, такие как: doc – документ Microsoft Office Word, docx – документ Microsoft Office Word 2007 с поддержкой языка XML, docm – документ Microsoft Office Word 2007 с поддержкой макросов;

dot* – шаблоны документа Microsoft Office Word, такие как: dot – шаблон документа Microsoft Office Word, dotx – шаблон документа Microsoft Office Word 2007, dotm – шаблон документа Microsoft Office Word 2007 с поддержкой макросов;

fpm – программа баз данных, стартовый файл Microsoft Visual FoxPro;

rtf – документ в формате Rich Text Format;

shs – фрагмент Windows Shell Scrap Object Handler;

dwg – база данных чертежей AutoCAD;

msi – пакет Microsoft Windows Installer;

otm – VBA-проект для Microsoft Office Outlook;

pdf – документ Adobe Acrobat;

swf – объект пакета Shockwave Flash;

jpg, jpeg – файл графического формата хранения сжатых изображений;

emf – файл формата Enhanced Metafile;

ico – файл значка объекта;

ov? – исполняемые файлы Microsoft Office Word;

xl* – документы и файлы Microsoft Office Excel, такие как: xla – расширение Microsoft Office Excel, xlc – диаграмма, xlt – шаблон документа, xlsx – рабочая книга Microsoft Office Excel 2007, xltm – рабочая книга Microsoft Office Excel 2007 с поддержкой макросов, xlsb – рабочая книга Microsoft Office Excel 2007 в бинарном (не XML) формате, xltx – шаблон Microsoft Office Excel 2007, xlsm – шаблон Microsoft Office Excel 2007 с поддержкой макросов, xlam – надстройка Microsoft Office Excel 2007 с поддержкой макросов;

pp* – документы и файлы Microsoft Office PowerPoint, такие как: pps – слайд Microsoft Office PowerPoint, ppt – презентация, pptx – презентация Microsoft Office PowerPoint 2007, pptm – презентация Microsoft Office PowerPoint 2007 с поддержкой макросов, potx – шаблон презентации Microsoft Office PowerPoint 2007, potm – шаблон презентации Microsoft Office PowerPoint 2007 с поддержкой макросов, ppsx – слайд-шоу Microsoft Office PowerPoint 2007, ppsm – слайд-шоу Microsoft Office PowerPoint 2007 с поддержкой макросов, ppam – надстройка Microsoft Office PowerPoint 2007 с поддержкой макросов;

md* – документы и файлы Microsoft Office Access, такие как: mda – рабочая группа Microsoft Office Access, mdb – база данных;

sldx – слайд Microsoft Office PowerPoint 2007;

sldm – слайд Microsoft Office PowerPoint 2007 с поддержкой макросов;

thmx – тема Microsoft Office 2007.

Приложение 4. Типы файлов для фильтра вложений Защиты от почтовых угроз

Следует помнить, что фактический формат файла может не совпадать с форматом, указанным в расширении файла.

Если вы включили фильтрацию вложений в сообщениях электронной почты, то в результате фильтрации компонент Защита от почтовых угроз может переименовывать или удалять файлы следующих расширений:

com – исполняемый файл программы размером не более 64 КБ;

exe – исполняемый файл, самораспаковывающийся архив;

sys – системный файл Microsoft Windows;

prg – текст программы dBase, Clipper или Microsoft Visual FoxPro, программа пакета WAVmaker;

bin – бинарный файл;

bat – файл пакетного задания;

cmd – командный файл Microsoft Windows NT (аналогичен bat-файлу для DOS), OS/2;

dpl – упакованная библиотека Borland Delphi;

dll – библиотека динамической загрузки;

scr – файл-заставка экрана Microsoft Windows;

cpl – модуль панели управления (control panel) в Microsoft Windows;

ocx – объект Microsoft OLE (Object Linking and Embedding);

tsp – программа, работающая в режиме разделения времени;

drv – драйвер некоторого устройства;

vxd – драйвер виртуального устройства Microsoft Windows;

pif – файл с информацией о программе;

lnk – файл-ссылка в Microsoft Windows;

reg – файл регистрации ключей системного реестра Microsoft Windows;

ini – файл конфигурации, который содержит данные настроек для Microsoft Windows, Windows NT и некоторых программ;

cla – класс Java;

vbs – скрипт Visual Basic;

vbe – видеорасширение BIOS;

js, jse – исходный текст JavaScript;

htm – гипертекстовый документ;

htt – гипертекстовая заготовка Microsoft Windows;

hta – гипертекстовая программа для Microsoft Internet Explorer;

asp – скрипт Active Server Pages;

chm – скомпилированный HTML-файл;

pht – HTML-файл со встроенными скриптами PHP;

php – скрипт, встраиваемый в HTML-файлы;

wsh – файл Microsoft Windows Script Host;

wsf – скрипт Microsoft Windows;

the – файл заставки для рабочего стола Microsoft Windows 95;

hlp – файл справки формата Win Help;

eml – сообщение электронной почты Microsoft Outlook Express;

nws – новое сообщение электронной почты Microsoft Outlook Express;

msg – сообщение электронной почты Microsoft Mail;

plg – сообщение электронной почты;

mbx – сохраненное сообщение электронной почты Microsoft Office Outlook;

doc* – документы Microsoft Office Word, такие как: doc – документ Microsoft Office Word, docx – документ Microsoft Office Word 2007 с поддержкой языка XML, docm – документ Microsoft Office Word 2007 с поддержкой макросов;

dot* – шаблоны документа Microsoft Office Word, такие как: dot – шаблон документа Microsoft Office Word, dotx – шаблон документа Microsoft Office Word 2007, dotm – шаблон документа Microsoft Office Word 2007 с поддержкой макросов;

fpm – программа баз данных, стартовый файл Microsoft Visual FoxPro;

rtf – документ в формате Rich Text Format;

shs – фрагмент Windows Shell Scrap Object Handler;

dwg – база данных чертежей AutoCAD;

msi – пакет Microsoft Windows Installer;

otm – VBA-проект для Microsoft Office Outlook;

pdf – документ Adobe Acrobat;

swf – объект пакета Shockwave Flash;

jpg, jpeg – файл графического формата хранения сжатых изображений;

emf – файл формата Enhanced Metafile;

ico – файл значка объекта;

ov? – исполняемые файлы Microsoft Office Word;

xl* – документы и файлы Microsoft Office Excel, такие как: xla – расширение Microsoft Office Excel, xlc – диаграмма, xlt – шаблон документа, xlsx – рабочая книга Microsoft Office Excel 2007, xltm – рабочая книга Microsoft Office Excel 2007 с поддержкой макросов, xlsb – рабочая книга Microsoft Office Excel 2007 в бинарном (не XML) формате, xltx – шаблон Microsoft Office Excel 2007, xlsm – шаблон Microsoft Office Excel 2007 с поддержкой макросов, xlam – надстройка Microsoft Office Excel 2007 с поддержкой макросов;

pp* – документы и файлы Microsoft Office PowerPoint, такие как: pps – слайд Microsoft Office PowerPoint, ppt – презентация, pptx – презентация Microsoft Office PowerPoint 2007, pptm – презентация Microsoft Office PowerPoint 2007 с поддержкой макросов, potx – шаблон презентации Microsoft Office PowerPoint 2007, potm – шаблон презентации Microsoft Office PowerPoint 2007 с поддержкой макросов, ppsx – слайд-шоу Microsoft Office PowerPoint 2007, ppsm – слайд-шоу Microsoft Office PowerPoint 2007 с поддержкой макросов, ppam – надстройка Microsoft Office PowerPoint 2007 с поддержкой макросов;

md* – документы и файлы Microsoft Office Access, такие как: mda – рабочая группа Microsoft Office Access, mdb – база данных;

sldx – слайд Microsoft Office PowerPoint 2007;

sldm – слайд Microsoft Office PowerPoint 2007 с поддержкой макросов;

thmx – тема Microsoft Office 2007.

Приложение 5. Сетевые параметры для взаимодействия с внешними службами

Kaspersky Endpoint Security использует следующие сетевые параметры для взаимодействия с внешними службами.

Сетевые параметры

Приложение 6. События программы в журнале событий Windows

Информация о работе каждого компонента Kaspersky Endpoint Security, о событиях шифрования данных, о выполнении каждой задачи проверки, задачи обновления и задачи проверки целостности, а также о работе программы в целом сохраняется в журнале событий Windows.

Развернуть всё | Свернуть всё

Системный аудит

Анализ поведения

Защита от эксплойтов

Предотвращение вторжений

Защита от файловых угроз

Защита от веб-угроз

Защита от почтовых угроз

Сетевой экран

Защита от сетевых угроз

Защита от атак BadUSB

AMSI-защита

Контроль программ

Контроль устройств

Веб-Контроль

Адаптивный контроль аномалий

Шифрование данных

Endpoint Sensor