Über das Erstellen von Regeln für die Kontrolle des Programmstarts

Sie können mithilfe der Aufgaben und Richtlinien von Kaspersky Security Center für alle Geräte und Gruppen von geschützten Geräten im Netzwerk des Unternehmens gleichzeitig Listen mit Regeln für die Kontrolle des Programmstarts erstellen. Die unten angeführten Szenarien werden empfohlen, wenn sich im Unternehmensnetzwerk keine Referenzcomputer befinden und Sie keine Möglichkeit haben, eine Liste von Erlaubnisregeln anhand der auf einem solchen Vorlagencomputer installierten Programme zu erstellen.

Sie können die Aufgabe "Erstellen von Regeln für die Kontrolle des Programmstarts" lokal über die Programmkonsole ausführen, um eine Liste von Regeln zu erstellen, die auf den Anwendungen basieren, die auf einem einzelnen geschützten Gerät ausgeführt werden.

Die Komponente zur Kontrolle des Programmstarts wird mit zwei voreingestellten Erlaubnisregeln installiert:

• Erlaubnisregel für Skripts und Windows Installer-Paketen mit einem Zertifikat, das vom Betriebssystem als vertrauenswürdig betrachtet wird.
• Erlaubnisregel für ausführbare Dateien mit einem Zertifikat, das vom Betriebssystem als vertrauenswürdig betrachtet wird.

Sie können Listen mit Regeln für die Kontrolle des Programmstarts in der Konsole von Kaspersky Security Center auf eine der folgenden Arten erstellen:

• Mithilfe einer Gruppenaufgabe "Erstellen von Regeln für die Kontrolle des Programmstarts".

  In diesem Szenario erstellt die Gruppenaufgabe für jedes geschützte Gerät im Netzwerk eine eigene Liste der Regeln für die Kontrolle des Programmstarts und speichert diese Listen im angegebenen freigegebenen Ordner in Form einer XML-Datei. Die XML-Datei, die von der Aufgabe "Erstellen von Regeln für die Kontrolle des Programmstarts" erzeugt wurde, enthält die Erlaubnisregel, die in Aufgabeneinstellungen angegeben sind, bevor die Aufgabe gestartet wird. Es werden keine Regeln für Programme erstellt, die in den angegebenen Aufgabeneinstellungen nicht gestartet werden dürfen. Der Start solcher Programme ist standardmäßig verboten. Danach können Sie die erstellten Listen mit Regeln manuell in die Aufgabe Kontrolle des Programmstarts für die Richtlinie von Kaspersky Security Center importieren.

  Sie können die erstellten Regeln so konfigurieren, dass sie automatisch in die Liste der Regeln für die Aufgabe zur Kontrolle des Programmstarts importiert werden.

  Es wird empfohlen, diese Option zu verwenden, wenn die rasche Erstellung von Listen mit Regeln für die Kontrolle des Programmstarts erforderlich ist. Es wird empfohlen, den geplanten Start der Aufgabe "Erstellen von Regeln für die Kontrolle des Programmstarts" nur dann einzurichten, wenn die übernommenen Erlaubnisregeln Ordner und Dateien enthalten, von denen Sie wissen, dass sie sicher sind.

  Stellen Sie vor der Verwendung der Aufgabe Kontrolle des Programmstarts im Netzwerk sicher, dass alle geschützten Geräte Zugriff auf einen freigegebenen Ordner haben. Falls die Verwendung eines freigegebenen Ordners im Netzwerk durch die Richtlinie des Unternehmens nicht vorgesehen ist, wird empfohlen, die Aufgabe "Erstellen von Regeln für die Kontrolle des Programmstarts" auf einem geschützten Gerät in der Testgruppe der geschützten Geräte oder auf einem Referenzcomputer zu starten.

• Auf Grundlage eines Berichts über Aufgabenereignisse, der in Kaspersky Security Center anhand der Ausführung der Aufgabe zur Kontrolle des Programmstarts im Modus Nur Statistik erstellt wird.

  In diesem Szenario verbietet Kaspersky Security für Windows Server den Start von Programmen nicht. Stattdessen werden bei Ausführung der Kontrolle des Programmstarts im Modus Nur Statistik alle erlaubten und verbotenen Programmstarts für alle geschützten Geräte im Netzwerk im Abschnitt Ereignisse im Arbeitsbereich des Knotens Administrationsserver von Kaspersky Security Center gemeldet. Kaspersky Security Center verwendet die Berichte, um eine einzelne Liste von Ereignissen zu erstellen, bei denen Programmstarts verboten wurden.

  Sie müssen den Zeitraum für die Ausführung der Aufgabe so konfigurieren, dass alle möglichen Szenarien, in denen die geschützten Geräte und Gruppen von geschützten Geräten beteiligt sind und mindestens ein Server-Neustart während der angegebenen Zeitspanne ausgeführt werden. Nachdem Ende des Aufgabenausführungszeitraums können Sie Daten über Programmstarts aus der gespeicherten Berichtsdatei über Ereignisse von Kaspersky Security Center (TXT-Format) importieren und auf Grundlage dieser Daten Erlaubnisregeln für die Kontrolle des Programmstarts für solche Programme erstellen.

  Dieses Szenario wird empfohlen, wenn das Netzwerk des Unternehmens eine große Anzahl an geschützten Geräten verschiedener Typen (mit unterschiedlicher Software) enthält.

• Auf Grundlage der Ereignisse über den verbotenen Start von Programmen, die über Kaspersky Security Center erhalten wurden, ohne Erstellen und Importieren der Konfigurationsdatei.

  Um die vorliegende Möglichkeit zu nutzen, muss sich die Aufgabe zur Kontrolle des Programmstarts auf dem geschützten Gerät unter der Verwaltung der aktiven Richtlinie für Kaspersky Security Center befinden. Alle Ereignisse auf dem geschützten Gerät werden dabei an den Administrationsserver übergeben.

Es wird empfohlen, die Regelliste bei Änderungen an der Zusammensetzung der auf den geschützten Geräten des Netzwerks installierten Programme zu aktualisieren (beispielsweise bei der Installation von Updates oder nach einer Neuinstallation des Betriebssystems). Es wird empfohlen, eine aktualisierte Liste von Regeln zu erstellen, in dem Sie auf geschützten Geräten in der Test-Administrationsgruppe die Aufgabe "Erstellen von Regeln für die Kontrolle des Programmstarts" oder die Aufgabe zur Kontrolle des Programmstarts im Modus Nur Statistik ausführen. Die Test-Administrationsgruppe beinhaltet die geschützten Geräte, die für den Test des Starts von neuen Programmen vor deren Installation auf den geschützten Geräten des Netzwerks erforderlich sind.

XML-Dateien mit Listen von Erlaubnisregeln werden auf Grundlage einer Analyse der gestarteten Aufgaben auf dem geschützten Gerät erstellt. Es wird empfohlen, die Aufgaben "Erstellen von Regeln für die Kontrolle des Programmstarts" und "Kontrolle des Programmstarts" im Modus Nur Statistik für die Erstellung von Regellisten auf einem Referenzcomputer zu starten, damit alle im Netzwerk verwendeten Programme berücksichtigt werden.

Überzeugen Sie sich vor dem Erstellen der Liste der Erlaubnisregeln nach Programmen, die auf dem Referenzcomputer des Unternehmens gestartet werden, dass der Vorlagencomputer sicher ist und es darauf keine Schadsoftware gibt.

Bevor Sie Erlaubnisregeln hinzufügen, wählen Sie einen der verfügbaren Modi zur Anwendung der Regeln aus. In der Regelliste der Richtlinie für Kaspersky Security Center werden nur Regeln angezeigt, die in dieser Richtlinie festgelegt sind, unabhängig vom Modus der Regelanwendung. Die Regelliste des lokalen Computers enthält alle angewendeten Regeln – sowohl lokale als auch durch eine Richtlinie hinzugefügte.