Isolation des Computernetzwerks
Die Netzwerkisolation des Computers ermöglicht es, einen Computer automatisch vom Netzwerk zu isolieren, sobald ein Kompromittierungsindikator (IOC) erkannt wird – dies ist der automatische Modus. Sie können die Netzwerkisolierung manuell aktivieren, während Sie die erkannte Bedrohung untersuchen – dies ist der manuelle Modus.
Falls die Netzwerkisolation aktiviert ist, trennt die Anwendung alle aktiven Verbindungen und blockiert alle neuen TCP/IP-Verbindungen auf dem Computer, außer der Folgenden:
- Verbindungen, die als Ausnahmen von der Netzwerkisolation festgelegt sind.
- Verbindungen, die von Kaspersky Endpoint Security-Diensten initiiert werden.
- Verbindungen, die vom Kaspersky Security Center-Administrationsagenten initiiert werden.
Die Komponenteneinstellungen können nur über die „Web Console“ konfiguriert werden.
Modus zur automatischen Netzwerkisolation
Sie können die Netzwerkisolation so konfigurieren, dass sie als Reaktion auf eine IOC-Erkennung automatisch aktiviert wird. Sie können den Modus zur automatischen Netzwerkisolation mithilfe einer Gruppenrichtlinie konfigurieren.
Sie können die Netzwerkisolation so konfigurieren, dass sie nach Ablauf einer bestimmten Zeit automatisch aktiviert wird. Das Programm deaktiviert die Netzwerkisolation standardmäßig 8 Stunden, nachdem diese aktiviert wurde. Sie können die Netzwerkisolation auch manuell deaktivieren (siehe folgende Anleitung). Nach dem Deaktivieren der Netzwerkisolierung kann der Computer das Netzwerk ohne Einschränkungen verwenden.
Modus zur manuellen Netzwerkisolation
Sie können die Netzwerkisolation manuell ein- und ausschalten. Den manuellen Modus zur Netzwerkisolation können Sie über die Computereigenschaften in der Kaspersky Security Center-Konsole anpassen.
Sie können die Netzwerkisolation aktivieren:
- In den Alarm-Details (nur für „EDR Optimum“).
Alarm-Details ist ein Tool, mit dem alle über eine erkannte Bedrohung gesammelten Informationen angezeigt werden können. Zu den Alarm-Details gehört beispielsweise der Verlauf der auf dem Computer angezeigten Dateien. Einzelheiten zur Verwaltung der Alarm-Details finden Sie in der Hilfe zu „Kaspersky Endpoint Detection and Response Optimum“ und in der Hilfe zu „Kaspersky Endpoint Detection and Response Expert“.
- Lokale Programmeinstellungen verwenden.
Manuelle Aktivierung Netzwerkisolation eines Computers
Sie können die Netzwerkisolation so konfigurieren, dass sie nach Ablauf einer bestimmten Zeit automatisch aktiviert wird. Das Programm deaktiviert die Netzwerkisolation standardmäßig 8 Stunden, nachdem diese aktiviert wurde. Nach dem Deaktivieren der Netzwerkisolierung kann der Computer das Netzwerk ohne Einschränkungen verwenden.
Manuelle Deaktivierung der Netzwerkisolation eines Computers
Sie können „Netzwerkisolation“ auch lokal über die Befehlszeile aktivieren oder deaktivieren.
Ausnahmen von der Netzwerkisolation
Sie können Ausnahmen für die Netzwerkisolation konfigurieren. Netzwerkverbindungen, die diesen Regeln entsprechen, werden auf dem Computer nicht gesperrt, wenn die Netzwerkisolation aktiviert ist.
Zur Konfigurierung von Ausnahmen für die Netzwerkisolation können Sie eine Liste von Standardnetzwerkprofilen verwenden. Zu den Ausnahmen gehören standardmäßig Netzwerkprofile mit Regeln, die sicherstellen, dass Geräte mit den Rollen DNS/DHCP-Server und DNS/DHCP-Client unterbrechungsfrei funktionieren. Sie können auch die Einstellungen von Standardnetzwerkprofilen ändern oder Ausschlüsse manuell definieren (siehe Anweisungen unten).
In den Richtlinieneigenschaften angegebene Ausnahmen werden nur angewendet, wenn die Netzwerkisolation als Reaktion auf eine erkannte Bedrohung automatisch aktiviert wird. In den Computereigenschaften angegebene Ausnahmen werden nur angewendet, wenn die Netzwerkisolation manuell in den Computereigenschaften in der Kaspersky Security Center-Konsole oder in den Alarm-Details aktiviert wurde.
Eine aktive Richtlinie verhindert nicht die Anwendung von Ausschlüssen von der Netzwerkisolation, die in den Computereigenschaften konfiguriert sind, da diese Parameter unterschiedliche Verwendungsszenarien haben.
So fügen Sie eine Ausnahme für die Netzwerkisolation im automatischen Modus hinzu
So fügen Sie eine Ausnahme für die Netzwerkisolation im manuellen Modus hinzu
Sie können mit der Befehlszeile auch die Ausschlussliste der Netzwerkisolationen lokal einsehen. Dabei muss der Computer isoliert sein.