Создание Портативного сканера

Перед созданием Портативного сканера убедитесь, что обновление баз Портативного сканера не выполняется.

Как создать портативный сканер с помощью мастера настройки Портативного сканера

В области уведомлений в контекстном меню значка программы выберите Диагностическое окно.
В открывшемся диагностическом окне нажмите на ссылку Создать Портативный сканер.
Откроется окно мастера создания Портативного сканера на шаге приветствия.

Для перехода к следующему шагу мастера нажимайте на кнопку Далее.
Если необходимо, импортируйте параметры Портативного сканера из ранее созданного XML-файла.
1. Нажмите на кнопку Импортировать.
2. В открывшемся окне выберите XML-файл с параметрами Портативного сканера.
3. Нажмите на кнопку Открыть.
4. Параметры из XML-файла отобразятся на следующих шагах мастера.
Добавьте файл ключа, необходимый для создания Портативного сканера.
1. Нажмите на кнопку Выбрать лицензионный файл.
2. В открывшемся окне выберите файл ключа для Портативного сканера.
3. Нажмите на кнопку Открыть.
4. Информация о лицензии отобразится в окне мастера.
Включите действия, которые будет выполнять Портативный сканер после запуска на устройстве:
- Проверять выбранные области антивирусными базами. Портативный сканер выполняет проверку выбранной области на наличие вирусов и других программ, представляющих угрозу. Портативный сканер применяет установленный по умолчанию уровень безопасности – Лечить. Удалять, если не удалось вылечить.
- Записать трафик со всех сетевых интерфейсов. Портативный сканер записывает входящий и исходящий трафик проверяемого устройства в течение указанного времени.
- Сканировать систему с помощью OVAL-правил. В зависимости от заданных параметров, Портативный сканер может выполнять поиск уязвимостей на устройстве, оценку безопасности устройства и соответствия стандартам операционной системы или собирать данные о конфигурации устройства с помощью правил, написанных на языках OVAL и XCCDF.
Сформируйте область проверки.
1. Нажмите на кнопку Добавить.
2. В открывшемся окне Область проверки выберите тип объектов, который вы хотите добавить:
  - Предопределенная область, если вы хотите включить в область проверки одну из предопределенных областей на защищаемом устройстве. Затем в раскрывающемся списке выберите требуемую область проверки.
  - Диск, папка или сетевой объект, если вы хотите включить в область проверки отдельный диск или папку. Затем в открывшемся по кнопке Обзор окне выберите нужную область.
  - Файл, если вы хотите включить в область проверки отдельный файл. Затем в открывшемся по кнопке Обзор окне выберите нужный файл.
3. В окне Область проверки нажмите на кнопку ОК.
4. Включите или выключите элементы области проверки, устанавливая или снимая флажок слева от названия элемента области проверки.
Настройте параметры проверки.
1. Нажмите на кнопку Настройки проверки.
  Откроется окно Настройки проверки.
2. На вкладке Общие выберите подходящие варианты:
  - Проверка объектов.
    Доступны следующие варианты:
    
    Все объекты;
    Объекты, проверяемые по формату;
    Объекты, проверяемые по списку расширений, указанному в антивирусных базах;
    Объекты, проверяемые по указанному списку расширений;
    Загрузочные секторы дисков;
    Альтернативные потоки NTFS.
  - Проверка составных объектов.
    Доступны следующие варианты:
    
    Архивы;
    SFX-архивы;
    Почтовые базы;
    Упакованные объекты;
    Файлы почтовых форматов;
    Вложенные OLE-объекты.
3. На вкладке Дополнительно выберите подходящие варианты:
  - Общие настройки.
    Восстанавливать атрибуты файлов после проверки
    Если при проверке выполняется открытие файла, обновляется время последнего доступа к файлу. В результате архиваторы и облачные хранилища пересчитывают данные файлов, чтобы передать их в облако или в резервную копию. Чтобы избежать пересчета, можно восстановить время последнего доступа к файлу после завершения проверки. По умолчанию этот параметр выключен.
    Ограничить потребление ресурсов процессора для задач проверки
    Этот параметр используется, чтобы избежать зависания компьютера во время проверки. Этот параметр может оказаться критичным для промышленных систем, основное программное обеспечение которых не должно зависать. По умолчанию этот параметр выключен.
  - Папка для временных файлов, создаваемых при проверке.
    Нажмите на кнопку Обзор и выберите папку для временных файлов, создаваемых во время проверки. По умолчанию временные файлы создаются на подключаемом по USB съемном диске.
  - Действия над обнаруженными объектами.
    Лечить. Удалять, если лечение невозможно.
    Поскольку для портативного сканера недоступно помещение объектов на карантин, оставлять возможно зараженные объекты небезопасно. Используйте этот параметр для удаления обнаруженного файла, если его не удалось вылечить. По умолчанию этот параметр включен.
    Информировать
    Используйте этот параметр для быстрой проверки. Сотрудники службы безопасности принимают меры по обеспечению безопасности при получении уведомления об обнаруженных объектах. Используйте этот параметр для систем, в которых при удалении промышленных программных модулей рабочий процесс не должен прерываться. По умолчанию этот параметр выключен.
  - Действия над составными файлами, недоступными для изменения.
    Если применимо, выберите следующий вариант:
    
    Полностью удалять составной файл при обнаружении вложенного объекта, если составной файл не может быть изменен приложением.
4. На вкладке Производительность выберите подходящие варианты:
  - Исключения.
    Исключать файлы
    Используйте этот параметр, чтобы исключить файлы из области проверки и избежать их удаления в случае обнаружения. Вы можете указать полный путь или использовать маску. По умолчанию этот параметр выключен.
    Не проверять объекты по типу
    Используйте этот параметр, чтобы избежать обнаружения и дальнейшего удаления объектов. Вы можете указать полный путь или использовать маску. По умолчанию этот параметр выключен.
  - Дополнительные настройки.
    Останавливать проверку, если она длится более (сек.)
    Используйте этот параметр при проверке больших файлов и сетевого окружения, если проверка занимает много времени. Если проверка объекта длится более указанного времени, сканер прерывает проверку объекта и продолжает проверку области. По умолчанию этот параметр выключен.
    Не проверять составные объекты размером более (МБ)
    Используйте этот параметр, чтобы ускорить проверку. Например, можно пропускать архивы базы данных размером более 100 ГБ, исключив их из области проверки. По умолчанию этот параметр выключен.
    Использовать технологию iChecker
    Дополнительная информация о технологии iChecker приведена в статье. По умолчанию этот параметр включен.
В блоке Запись сетевого трафика, если необходимо, измените период времени, в течение которого Портативный сканер будет записывать входящий и исходящий трафик проверяемого устройства. Значение по умолчанию 300 секунд.
В блоке Источники правил для сканирования выберите источник правил, с помощью которого Портативный сканер будет выполнять аудит безопасности устройства.
- База данных уязвимостей Kaspersky ICS CERT для АСУ ТП. Если выбран этот источник, Портативный сканер проверяет устройство на все уязвимости, описанные в OVAL-правилах базы данных уязвимостей Kaspersky ICS CERT для АСУ ТП.
- Правила для сбора данных конфигурации хоста. Если выбран этот источник, Портативный сканер собирает данные о конфигурации хоста.
  Правила собирают следующие данные о хосте:
  - запущенные службы;
  - установленные драйверы;
  - задачи с расписанием запуска;
  - установленные приложения и патчи;
  - имена сетевых ресурсов с общим доступом;
  - объекты автозапуска;
  - информация о хосте (IP-адрес, DNS-имя);
  - локальные пользователи и группы;
  - аппаратное обеспечение хоста.
- Конфигурации безопасности и соответствий стандартам для операционных систем. Если выбран этот источник, Портативный сканер проверяет параметры операционной системы устройства на соответствие стандартам безопасности, описанным в OVAL- и XCCDF-правилах.
База данных уязвимостей Kaspersky ICS CERT для АСУ ТП, Правила для сбора данных конфигурации хоста и Конфигурации безопасности и соответствий стандартам для операционных систем поставляются вместе с базами Портативного сканера. Поэтому, прежде чем запускать Портативный сканер c выбранным хотя бы одним из перечисленных источников правил, убедитесь, что базы Портативного сканера актуальны.
- Пользовательская база правил. Если выбран этот источник, Портативный сканер проверяет устройство на уязвимости, описанные в пользовательских OVAL- и XCCDF-правилах.
Выберите съемный диск, на котором будет сформирован Портативный сканер:
- Подключенный съемный диск. Подключенный по USB съемный диск. В раскрывающемся списке выберите съемный диск.
- Безопасный съемный диск. Подключенный по USB съемный диск Рутокен, защищенный от чтения, копирования и записи паролем администратора. Если вы выбрали этот вариант, выберите безопасный съемный диск на следующем шаге мастера.
Если необходимо, включите Верифицировать данные сканера после записи.
Функция проверяет данные созданного Портативного сканера. Если вы планируете создать подряд несколько Портативных сканеров с одинаковыми параметрами, проверка данных для первого Портативного сканера и обнаружение расхождений на ранней стадии позволят сэкономить время.
Если вы выбрали Безопасный съемный диск, в раскрывающемся списке выберите подключенный съемный диск Рутокен, на котором будет сформирован Портативный сканер.
Чтобы на компьютере под управлением операционной системы Windows Server 2022 съемный диск Рутокен отображался в списке подключенных съемных дисков, необходимо драйвер UMDF2 для подключаемых по USB картридеров заменить на драйвер WUDF.
В блоке Настройки безопасности в поле Введите текущий пароль администратора введите пароль администратора, который был установлен на съемном диске Рутокен для защиты его содержимого от чтения, копирования и записи потенциальными злоумышленниками.
Если необходимо, измените текущий пароль администратора.
1. Установите флажок Изменить текущий пароль администратора (допускаются только цифры и латинские символы).
2. Введите новый пароль в одноименном поле.
3. Повторите новый пароль в одноименном поле.
Нажмите на кнопку Далее.
Откроется окно мастера с описанием настроенных параметров Портативного сканера.
Если необходимо, экспортируйте текущие параметры Портативного сканера в XML-файл.
1. Нажмите на кнопку Экспортировать.
2. В открывшемся окне выберите путь, по которому вы хотите сохранить XML-файл с параметрами Портативного сканера.
3. Введите название XML-файла.
4. Нажмите на кнопку Сохранить.
Нажмите на кнопку Создать, чтобы создать Портативный сканер с указанными параметрами.

Портативный сканер будет записан на выбранном съемном диске. На съемном диске появится папка Kavscan, содержащая в себе файлы и папки, необходимые для работы Портативного сканера.

Если на съемном диске уже есть Портативный сканер, мастер перезаписывает файлы существующего Портативного сканера, за исключением файлов отчетов.

Если вы решите прервать запись, мастер прекратит запись без отката изменений.

После завершения записи мастер предложит создать следующий Портативный сканер.

Как создать портативный сканер через интерфейс командной строки

На устройстве запустите интерпретатор командной строки (например, Command Prompt cmd.exe) с правами учетной записи локального администратора.
С помощью команды cd перейдите в папку, где находится файл kavshell.exe.
Например: cd C:\Program Files (x86)\Kaspersky Lab\Kaspersky Industrial CyberSecurity for Nodes 4.5.0

Также вы можете добавить путь к исполняемому файлу в системную переменную %PATH% и выполнять команду без перехода в папку приложения.

Выполните команду:

KAVSHELL PORTABLESCANNER /drive=<имя съемного диска или серийный номер съемного диска Рутокен> /license=<путь к файлу ключа лицензии> [/tokenpin=<пароль> [/newtokenpin=<пароль>]] [/verify] [/av <параметры проверки на вирусы и другие программы, представляющие угрозу>] [/traffic <параметры записи входящего и исходящего трафика проверяемого устройства>] [/oval <параметры выполнения задачи аудита безопасности>]

Параметры команд для создания Портативного сканера

Параметр	Описание
`PORTABLESCANNER`	Обязательный параметр. Запускает создание Портативного сканера.
`/drive=<имя съемного диска или серийный номер съемного диска Рутокен>`	Обязательный параметр. Позволяет выбрать съемный диск, на котором будет сформирован Портативный сканер. Если Портативный сканер будет записан на съемный диск Рутокен, необходимо ввести десятизначный серийный номер диска Рутокен.
`/license=<путь к файлу ключа лицензии>`	Обязательный параметр. Позволяет указать путь к файлу ключа, необходимого для создания Портативного сканера.
`/tokenpin=<пароль>`	Необязательный параметр. Позволяет указать пароль администратора для доступа к диску Рутокен
`/newtokenpin=<пароль>`	Необязательный параметр. Позволяет задать новый пароль администратора для доступа к диску Рутокен
`/verify`	Необязательный параметр. Позволяет включить проверку Портативного сканера после записи на съемный диск.
`/av <параметры проверки на вирусы и другие программы, представляющие угрозу>`	Необязательный параметр. Позволяет включить режим проверки на вирусы и другие программы, представляющие угрозу.
`/traffic <параметры записи входящего и исходящего трафика проверяемого устройства>`	Необязательный параметр. Позволяет включить запись входящего и исходящего трафика проверяемого устройства.
`/oval <параметры выполнения задачи аудита безопасности>`	Необязательный параметр. Позволяет включить задачу аудита безопасности.

Должен быть указан хотя бы один из параметров /av, /oval или /traffic.

Параметры проверки на вирусы и другие программы, представляющие угрозу
`<список файлов>`	Список файлов, папок, сетевых путей или предопределенных областей для сканирования через пробел.
`/l=<путь к файлу со списком областей сканирования>`	Путь к файлу со списком областей сканирования. Файл должен быть создан вручную и сохранен в формате TXT. Файл должен быть сохранен в кодировке UTF-8 без BOM.
`/memory`	Проверка всех процессов памяти.
`/shared`	Проверка общих папок.
`/startup`	Проверка объектов автозапуска.
`/remdrives`	Проверка всех съемных дисков.
`/fixdrives`	Проверка всех жестких дисков.
`/mycomp`	Проверка всего компьютера.
`/fa`	Проверять все файлы. Если выбран этот параметр, приложение проверяет все файлы без исключения (любых форматов и расширений).
`/fc`	Проверять объекты по формату. Приложение проверяет только объекты, форматы которых входят в список форматов, свойственных заражаемым объектам.
`/fe`	Проверять объекты по расширению. Приложение проверяет только объекты с расширениями, которые входят в список расширений, свойственных заражаемым объектам.
`/ai=<действие>`	Действие при обнаружении заражённого объекта. Допустимые значения параметра: `disinfdel` – лечить, удалять, если лечение невозможно; `report` – отсылать отчет.
`/e=<тип объекта>`	Исключение указанных типов объектов. Допустимые значения параметра: `a` – исключение из проверки архивов форматов RAR, ARJ, ZIP, CAB, LHA, JAR, ICE; `b` – исключение из проверки почтовых баз, входящих и исходящих сообщений электронной почты.
`/em=<маска файла>`	Исключение из проверки файлов по маске. Например: Маска `.exe` будет включать все пути к файлам с расширением exe. Маска `example` будет включать все пути к файлам с именем EXAMPLE.
`/et=<время проверки в секундах>`	Исключение из проверки файлов, длительность проверки которых превышает установленное значение в секундах.
`/es=<размер в мегабайтах>`	Исключение из проверки файлов, размер которых превышает установленное значение в мегабайтах.
`/norecall`	Сканирование файлов без копирования на диск (если возможно).
`/noichecker`	Отключение iChecker.
`/w=<путь к файлу>`	Путь и имя файла лога сканирования.

Параметры записи входящего и исходящего трафика проверяемого устройства

/limit=<продолжительность в секундах>

Параметр определяет продолжительность записи трафика.

Допустимые значения: от 1 до 1800 секунд.

Параметры выполнения задачи аудита безопасности
`/source=<kl\|kl-compl\|file>`	Параметр определяет источник правил, которые необходимы для аудита безопасности. Доступные значения параметра: `kl` – база данных уязвимостей Kaspersky ICS CERT для АСУ ТП, входящая в поставку. `kl-compl` – конфигурации безопасности и соответствий стандартам для операционных систем, входящие в поставку. `file` – пользовательская база правил из файла.
`/path=<полный путь к ZIP-архиву с правилами аудита безопасности>`	Параметр передает путь к файлам с правилами для источника Пользовательская база правил из файла (/`source=file`). Запускает выполнение задачи аудита безопасности на основе правил в указанном ZIP-архиве. ZIP-архив должен содержать XML-файл с правилами, написанными на языке OVAL. Полный путь к ZIP-архиву указывается вместе с именем архива. OVAL-правила должны быть сохранены в кодировке UTF-8 без BOM.
`/mode=<all\|exclude\|include>`	Параметр определяет режим проверки на уязвимости. Доступные значения параметра: `all` – выполняется проверка на все уязвимости, указанные в источнике. `exclude` – выполняется проверка на уязвимости, указанные в источнике, кроме указанных с помощью параметра `/definitions`. `include —` выполняется проверка на уязвимости, которые указаны с помощью параметра `/definitions`. Используется совместно с параметром `/source=kl`.
`/definitions=<тип уязвимости_01;тип уязвимости_02;...;тип уязвимости_N>`	Параметр определяет список типов уязвимостей, разделенных точкой с запятой, которые необходимо проверить или исключить из проверки. Например: `oval:org.mitre.oval.test:def:998;oval:org.mitre.oval.test:def:999`. Используется совместно с параметром `/mode=include` или `/mode=exclude`.

Пример:

KAVSHELL PORTABLESCANNER /drive=E: /license=C:\0000000A.key /verify /av /l="C:\Documents and Settings\file.txt" /ai=disinfdel

В начало