Включение режима блокирования только запрещенных приложений
Режим Запрещенные приложения – это режим, при котором Контроль приложений разрешает пользователям запуск любых приложений, кроме тех, которые запрещены в правилах Контроля приложений. То есть, если запрещающего правила нет, Контроль приложений разрешает запуск приложения. Этот режим работы Контроля приложений установлен по умолчанию.
Перед включением режима Запрещенные приложения рекомендуется проверить работу правил Контроля приложений. Для этого вы можете включить режим тестирования.
Как включить режим блокирования только запрещенных приложений в Консоли администрирования (MMC)
- Откройте Консоль администрирования Kaspersky Security Center.
- В дереве консоли выберите папку Политики.
- Выберите нужную политику и откройте свойства политики двойным щелчком мыши.
- В окне политики выберите Контроль безопасности → Контроль приложений.
- Установите флажок Контроль приложений.
- В блоке Настройки Контроля приложений в раскрывающемся списке Режим контроля выберите вариант Список запрещенных.
- В раскрывающемся списке Действие выберите действие Контроля приложения:
- Тестировать правила. Контроль приложений не блокирует приложения, запуск которых запрещен правилами, но формирует события о запуске запрещенных приложений.
- Применять правила. Контроль приложений блокирует запуск запрещенных приложений и формирует соответствующих события.
- Выберите статус для правил Контроля приложений:
- Вкл. Статус означает, что правило используется во время работы компонента Контроль приложений.
- Выкл. Статус означает, что правило не используется во время работы компонента Контроль приложений.
- Тест. Статус означает, что Kaspersky Endpoint Security всегда разрешает запуск приложений, на которые распространяется действие правила, но заносит информацию о запуске этих приложений в отчет.
Если требуется, добавьте новые правила Контроля приложений.
- Настройте дополнительные параметры Контроля приложений:
- Контролировать загрузку DLL-модулей (значительно увеличивает нагрузку на систему). Если флажок установлен, то Kaspersky Endpoint Security контролирует загрузку DLL-модулей при запуске пользователями приложений. Информация о DLL-модуле и приложении, загрузившей этот DLL-модуль, сохраняется в отчет.
При включении функции контроля загрузки DLL-модулей и драйверов убедитесь, что в параметрах Контроля приложений включено правило по умолчанию Приложения ОС или другое правило, которое содержит KL-категорию Приложения ОС\Доверенные сертификаты и обеспечивает загрузку доверенных DLL-модулей и драйверов до запуска Kaspersky Endpoint Security. Включение контроля загрузки DLL-модулей и драйверов при выключенном правиле Приложения ОС может привести к нестабильности операционной системы.
Kaspersky Endpoint Security контролирует только DLL-модули и драйверы, загруженные с момента установки флажка. Рекомендуется перезагрузить компьютер после установки флажка, чтобы приложение контролировало все DLL-модули и драйверы, включая те, которые загружаются до запуска Kaspersky Endpoint Security.
- Использовать строгую проверку цифровой подписи. Вы можете выбрать сертификат в качестве условия срабатывания правила Контроля приложений. Если флажок установлен, то Kaspersky Endpoint Security применяет правила к приложениям, подписанных сертификатом только из доверенного системного хранилища сертификатов приложения. Приложения, подписанные таким сертификатом, также являются доверенными для компонентов защиты, например, для задачи Поиск вредоносного ПО. При этом, если в правиле Контроля приложений указать сертификат из другого хранилища, Kaspersky Endpoint Security не применит такое правило.
Если флажок снят, Kaspersky Endpoint Security применяет правила к приложениям, подписанных сертификатом из хранилища доверенных корневых центров Windows (англ. Trusted Root Certificate Store). Такие приложения не входит в доверенную зону. Компоненты защиты контролируют активность таких приложений.
- Сообщение о блокировке. Шаблон сообщения, которое появляется при срабатывании правила Контроля приложений, блокирующего запуск приложения.
- Сообщение администратору. Шаблон сообщения для отправки администратору локальной сети организации в случае, если блокировка приложения, по мнению пользователя, произошла ошибочно.
- Контролировать загрузку DLL-модулей (значительно увеличивает нагрузку на систему). Если флажок установлен, то Kaspersky Endpoint Security контролирует загрузку DLL-модулей при запуске пользователями приложений. Информация о DLL-модуле и приложении, загрузившей этот DLL-модуль, сохраняется в отчет.
- Сохраните внесенные изменения. Для применения политики на компьютерах, закройте замки
.
Как включить режим блокирования только запрещенных приложений в Web Console и Cloud Console
- В главном окне Web Console выберите закладку Активы (Устройства) → Политики и профили политик.
- Нажмите на название политики Kaspersky Endpoint Security.
Откроется окно свойств политики.
- Выберите закладку Параметры приложения.
- Перейдите в раздел Контроль безопасности → Контроль приложений.
- Включите переключатель Контроль приложений.
- В блоке Режим Контроля приложений выберите вариант Список запрещенных.
- В блоке Действие при запуске приложений, запрещенных правилами выберите действие Контроля приложения:
- Информировать (тестовый режим). Контроль приложений не блокирует приложения, запуск которых запрещен правилами, но формирует события о запуске запрещенных приложений.
- Блокировать. Контроль приложений блокирует запуск запрещенных приложений и формирует соответствующих события.
- Выберите статус для правил Контроля приложений:
- Включено. Статус означает, что правило используется во время работы компонента Контроль приложений.
- Выключено. Статус означает, что правило не используется во время работы компонента Контроль приложений.
- Тестовый режим. Статус означает, что Kaspersky Endpoint Security всегда разрешает запуск приложений, на которые распространяется действие правила, но заносит информацию о запуске этих приложений в отчет.
Если требуется, добавьте новые правила Контроля приложений.
- Настройте дополнительные параметры Контроля приложений:
- Контролировать загрузку DLL-модулей (значительно увеличивает нагрузку на систему). Если флажок установлен, то Kaspersky Endpoint Security контролирует загрузку DLL-модулей при запуске пользователями приложений. Информация о DLL-модуле и приложении, загрузившей этот DLL-модуль, сохраняется в отчет.
При включении функции контроля загрузки DLL-модулей и драйверов убедитесь, что в параметрах Контроля приложений включено правило по умолчанию Приложения ОС или другое правило, которое содержит KL-категорию Приложения ОС\Доверенные сертификаты и обеспечивает загрузку доверенных DLL-модулей и драйверов до запуска Kaspersky Endpoint Security. Включение контроля загрузки DLL-модулей и драйверов при выключенном правиле Приложения ОС может привести к нестабильности операционной системы.
Kaspersky Endpoint Security контролирует только DLL-модули и драйверы, загруженные с момента установки флажка. Рекомендуется перезагрузить компьютер после установки флажка, чтобы приложение контролировало все DLL-модули и драйверы, включая те, которые загружаются до запуска Kaspersky Endpoint Security.
- Использовать строгую проверку цифровой подписи. Вы можете выбрать сертификат в качестве условия срабатывания правила Контроля приложений. Если флажок установлен, то Kaspersky Endpoint Security применяет правила к приложениям, подписанных сертификатом только из доверенного системного хранилища сертификатов приложения. Приложения, подписанные таким сертификатом, также являются доверенными для компонентов защиты, например, для задачи Поиск вредоносного ПО. При этом, если в правиле Контроля приложений указать сертификат из другого хранилища, Kaspersky Endpoint Security не применит такое правило.
Если флажок снят, Kaspersky Endpoint Security применяет правила к приложениям, подписанных сертификатом из хранилища доверенных корневых центров Windows (англ. Trusted Root Certificate Store). Такие приложения не входит в доверенную зону. Компоненты защиты контролируют активность таких приложений.
- Сообщение о блокировке. Шаблон сообщения, которое появляется при срабатывании правила Контроля приложений, блокирующего запуск приложения.
- Сообщение администратору. Шаблон сообщения для отправки администратору локальной сети организации в случае, если блокировка приложения, по мнению пользователя, произошла ошибочно.
- Контролировать загрузку DLL-модулей (значительно увеличивает нагрузку на систему). Если флажок установлен, то Kaspersky Endpoint Security контролирует загрузку DLL-модулей при запуске пользователями приложений. Информация о DLL-модуле и приложении, загрузившей этот DLL-модуль, сохраняется в отчет.
- Сохраните внесенные изменения. Для применения политики на компьютерах, закройте замки
.
Как включить режим блокирования только запрещенных приложений в интерфейсе приложения
- В главном окне приложения нажмите на кнопку
. - В окне параметров приложения в блоке Контроль безопасности и нажмите на плитку Контроль приложений.
- Включите переключатель Контроль приложений.
- В блоке Режим контроля запуска приложений выберите вариант Список запрещенных. Разрешены все приложения, кроме указанных в списке.
- В блоке Действие при запуске приложений, запрещенных правилами выберите действие Контроля приложения:
- Информировать (тестовый режим) и записывать в отчет. Контроль приложений не блокирует приложения, запуск которых запрещен правилами, но формирует события о запуске запрещенных приложений.
- Блокировать. Контроль приложений блокирует запуск запрещенных приложений и формирует соответствующих события.
- Выберите статус для правил Контроля приложений:
- Включено. Статус означает, что правило используется во время работы компонента Контроль приложений.
- Выключено. Статус означает, что правило не используется во время работы компонента Контроль приложений.
- Тестовый режим. Статус означает, что Kaspersky Endpoint Security всегда разрешает запуск приложений, на которые распространяется действие правила, но заносит информацию о запуске этих приложений в отчет.
Если требуется, добавьте новые правила Контроля приложений.
- Настройте дополнительные параметры Контроля приложений:
- Контролировать загрузку DLL-модулей. Если флажок установлен, то Kaspersky Endpoint Security контролирует загрузку DLL-модулей при запуске пользователями приложений. Информация о DLL-модуле и приложении, загрузившей этот DLL-модуль, сохраняется в отчет.
При включении функции контроля загрузки DLL-модулей и драйверов убедитесь, что в параметрах Контроля приложений включено правило по умолчанию Приложения ОС или другое правило, которое содержит KL-категорию Приложения ОС\Доверенные сертификаты и обеспечивает загрузку доверенных DLL-модулей и драйверов до запуска Kaspersky Endpoint Security. Включение контроля загрузки DLL-модулей и драйверов при выключенном правиле Приложения ОС может привести к нестабильности операционной системы.
Kaspersky Endpoint Security контролирует только DLL-модули и драйверы, загруженные с момента установки флажка. Рекомендуется перезагрузить компьютер после установки флажка, чтобы приложение контролировало все DLL-модули и драйверы, включая те, которые загружаются до запуска Kaspersky Endpoint Security.
- Использовать строгую проверку цифровой подписи. Вы можете выбрать сертификат в качестве условия срабатывания правила Контроля приложений. Если флажок установлен, то Kaspersky Endpoint Security применяет правила к приложениям, подписанных сертификатом только из доверенного системного хранилища сертификатов приложения. Приложения, подписанные таким сертификатом, также являются доверенными для компонентов защиты, например, для задачи Поиск вредоносного ПО. При этом, если в правиле Контроля приложений указать сертификат из другого хранилища, Kaspersky Endpoint Security не применит такое правило.
Если флажок снят, Kaspersky Endpoint Security применяет правила к приложениям, подписанных сертификатом из хранилища доверенных корневых центров Windows (англ. Trusted Root Certificate Store). Такие приложения не входит в доверенную зону. Компоненты защиты контролируют активность таких приложений.
- Шаблоны сообщений о блокировке приложений. Шаблон сообщения, которое появляется при срабатывании правила Контроля приложений, блокирующего запуск приложения.
- Шаблон сообщения, появляющегося при блокировке запуска приложения. Шаблон сообщения для отправки администратору локальной сети организации в случае, если блокировка приложения, по мнению пользователя, произошла ошибочно.
- Контролировать загрузку DLL-модулей. Если флажок установлен, то Kaspersky Endpoint Security контролирует загрузку DLL-модулей при запуске пользователями приложений. Информация о DLL-модуле и приложении, загрузившей этот DLL-модуль, сохраняется в отчет.
- Сохраните внесенные изменения.
В результате Контроль приложений будет блокировать запрещенные приложения. Также Kaspersky Endpoint Security формирует события Запуск приложения запрещен. На основании этих событий вы можете сформировать в консоли Kaspersky Security Center отчет – Отчет о запрещенных приложениях. В сводной информации отчета вы можете просмотреть список приложений и компьютеров, на которых сработало правило Контроля приложений.
В начало