Isolation des Computernetzwerks
Die Computernetzwerkisolierung ermöglicht die automatische Isolierung eines Computers vom Netzwerk als Reaktion auf die Erkennung eines Indikators für eine Kompromittierung (IOC).
Falls die Netzwerkisolation aktiviert ist, trennt die Anwendung alle aktiven Verbindungen und blockiert alle neuen TCP/IP-Verbindungen auf dem Computer, außer der Folgenden:
- Verbindungen, die als Ausnahmen von der Netzwerkisolation festgelegt sind.
- Verbindungen, die von Kaspersky Endpoint Security-Diensten initiiert werden.
- Verbindungen, die vom Administrationsagenten für Kaspersky Security Center initiiert werden.
Verwalten der Netzwerkisolation
Sie können die Aufgabe für „EDR Optimum“ über „Web Console“ und „Cloud Console“ konfigurieren. Die Aufgabeneinstellungen für „EDR Expert“ sind nur in „Cloud Console“ verfügbar.
Sie können die Netzwerkisolation so konfigurieren, dass sie als Reaktion auf eine IOC-Erkennung automatisch aktiviert wird. Sie können die Netzwerkisolation auch manuell ein- und ausschalten.
Sie können die Netzwerkisolation aktivieren:
Konfiguration der Netzwerkisolation, sodass sie als Reaktion auf eine IOC-Erkennung automatisch aktiviert wird.
- Wählen Sie im „Web Console“-Hauptfenster den Punkt Geräte → Aufgaben.
Die Aufgabenliste wird geöffnet.
- Klicken Sie auf die Aufgabe von Kaspersky Endpoint Security: IOC-Untersuchung.
Das Fenster mit den Aufgabeneigenschaften wird geöffnet.
Erstellen Sie ggf. die IOC Untersuchungsaufgabe.
- Wählen Sie die Registerkarte Programmeinstellungen aus.
- Aktivieren Sie im Block Aktion, wenn IOC erkannt wird die Kontrollkästchen Antwortaktionen ausführen, wenn IOC gefunden wurde und Computer vom Netzwerk isolieren.
- Speichern Sie die vorgenommenen Änderungen.
Wird ein IOC erkannt, isoliert die Anwendung den Rechner vom Netzwerk, um die Ausbreitung der Bedrohung zu verhindern.
Manuelle Aktivierung Netzwerkisolation eines Computers
- Wählen Sie im „Web Console“-Hauptfenster den Punkt Geräte → Verwaltete Geräte.
- Klicken Sie auf den Namen des Computers, auf dem Sie die lokalen Programmeinstellungen anpassen möchten.
Die Eigenschaften des Computers werden geöffnet.
- Wählen Sie die Registerkarte Programme.
- Klicken Sie auf Kaspersky Endpoint Security für Windows.
Die lokalen Programmeinstellungen werden geöffnet.
- Wählen Sie die Registerkarte Programmeinstellungen aus.
- Gehen Sie zu Detection and Response → Endpoint Detection and Response.
- Klicken Sie im Block Netzwerkisolation auf Computer vom Netzwerk isolieren.
Sie können die Netzwerkisolation so konfigurieren, dass sie nach Ablauf einer bestimmten Zeit automatisch aktiviert wird. Das Programm deaktiviert die Netzwerkisolation standardmäßig 8 Stunden, nachdem diese aktiviert wurde. Sie können die Netzwerkisolation auch manuell ein- und ausschalten. Nach dem Deaktivieren der Netzwerkisolierung kann der Computer das Netzwerk ohne Einschränkungen verwenden.
Verzögerung der automatischen Abschaltung der Netzwerkisolation eines Computers
- Wählen Sie im „Web Console“-Hauptfenster den Punkt Geräte → Richtlinien und Profile.
- Klicken Sie auf den Namen der Richtlinie von Kaspersky Endpoint Security.
Das Fenster mit den Richtlinieneigenschaften wird geöffnet.
- Wählen Sie die Registerkarte Programmeinstellungen aus.
- Gehen Sie zu Detection and Response → Endpoint Detection and Response.
- Klicken Sie im Block Netzwerkisolation auf Einstellungen für das Aufheben der Blockierung von Computern konfigurieren.
- Dadurch wird ein Fenster geöffnet. Aktivieren Sie in diesem Fenster das Kontrollkästchen Blockierung des isolierten Computers automatisch aufheben nach n Stunden und legen Sie fest, wie lange das automatische Deaktivieren der Netzwerkisolierung verzögert werden soll.
- Speichern Sie die vorgenommenen Änderungen.
Manuelle Deaktivierung der Netzwerkisolation eines Computers
- Wählen Sie im „Web Console“-Hauptfenster den Punkt Geräte → Verwaltete Geräte.
- Klicken Sie auf den Namen des Computers, auf dem Sie die lokalen Programmeinstellungen anpassen möchten.
Die Eigenschaften des Computers werden geöffnet.
- Wählen Sie die Registerkarte Programme.
- Klicken Sie auf Kaspersky Endpoint Security für Windows.
Die lokalen Programmeinstellungen werden geöffnet.
- Wählen Sie die Registerkarte Programmeinstellungen aus.
- Gehen Sie zu Detection and Response → Endpoint Detection and Response.
- Klicken Sie im Block Netzwerkisolation auf Blockierung des vom Netzwerk isolierten Computers aufheben.
Sie können „Netzwerkisolation“ auch lokal über die Befehlszeile aktivieren oder deaktivieren.
Ausnahmen von der Netzwerkisolation
Sie können Ausnahmen für die Netzwerkisolation konfigurieren. Netzwerkverbindungen, die diesen Regeln entsprechen, werden auf dem Computer nicht gesperrt, wenn die Netzwerkisolation aktiviert ist.
Zur Konfigurierung von Ausnahmen für die Netzwerkisolation können Sie eine Liste von Standardnetzwerkprofilen verwenden. Zu den Ausnahmen gehören standardmäßig Netzwerkprofile mit Regeln, die sicherstellen, dass Geräte mit den Rollen DNS/DHCP-Server und DNS/DHCP-Client unterbrechungsfrei funktionieren. Sie können auch die Einstellungen von Standardnetzwerkprofilen ändern oder Ausschlüsse manuell definieren (siehe Anweisungen unten).
In den Richtlinieneigenschaften angegebene Ausnahmen werden nur angewendet, wenn die Netzwerkisolation als Reaktion auf eine erkannte Bedrohung automatisch aktiviert wird. In den Computereigenschaften angegebene Ausnahmen werden nur angewendet, wenn die Netzwerkisolation manuell in den Computereigenschaften in der Kaspersky Security Center-Konsole oder in den Warnungsdetails aktiviert wurde.
Eine aktive Richtlinie verhindert nicht die Anwendung von Ausschlüssen von der Netzwerkisolation, die in den Computereigenschaften konfiguriert sind, da diese Parameter unterschiedliche Verwendungsszenarien haben.
Hinzufügen einer Ausnahme für die Netzwerkisolation
- Wählen Sie im „Web Console“-Hauptfenster den Punkt Geräte → Richtlinien und Profile.
- Klicken Sie auf den Namen der Richtlinie von Kaspersky Endpoint Security.
Das Fenster mit den Richtlinieneigenschaften wird geöffnet.
- Wählen Sie die Registerkarte Programmeinstellungen aus.
- Gehen Sie zu Detection and Response → Endpoint Detection and Response.
- Klicken Sie im Block Ausnahmen für die Netzwerkisolation auf Ausnahmen.
- Dadurch wird ein Fenster geöffnet. Klicken Sie in diesem Fenster auf Aus Profil hinzufügen wählen Sie Standard-Netzwerkprofile zur Konfiguration von Ausschlüssen.
Netzwerkisolationsausschlüsse aus dem Profil werden der Liste der Netzwerkisolationsausschlüsse hinzugefügt. Sie können die Eigenschaften von Netzwerkverbindungen anzeigen. Bei Bedarf können Sie die Netzwerkverbindungseinstellungen ändern.
- Fügen Sie bei Bedarf eine Ausnahme für die Netzwerkisolation hinzu. Klicken Sie dazu im Fenster mit der Ausnahmeliste auf Hinzufügen und bearbeiten Sie die Netzwerkverbindungseinstellungen manuell.
- Speichern Sie die vorgenommenen Änderungen.
Sie können mit der Befehlszeile auch die Ausschlussliste der Netzwerkisolationen lokal einsehen. Dabei muss der Computer isoliert sein.
Nach oben