Notes de pubication de Kaspersky Embedded Systems Security 3.0 (version 3.0.0.102)
La sortie de Kaspersky Embedded Systems Security 3.0 a eu lieu le 5 août 2020. Le numéro de version complet est 3.0.0.102.
La solution Kaspersky Embedded Systems Security est conçue pour la protection des guichets automatiques et des terminaux de paiement, ainsi que d'autres systèmes embarqués sous Microsoft Windows contre les virus et autres menaces de sécurité informatique.
Kaspersky Embedded Systems Security protège les appareils disposant d'un volume de mémoire vive limité (à partir de 256 Mo) et d'un espace disque libre limité (à partir de 100 Mo).
Nouveautés
- Protection contre les menaces réseau : un composant qui assure l'analyse du trafic entrant pour détecter les signes d'attaques réseau a été mis en œuvre. Quand une menace est détectée, le composant Protection contre les attaques réseau bloque l'adresse IP compromise.
- Le traitement des abonnements WMI persistants a été mis en œuvre : maintenant l'application détecte les abonnements WMI suspects dans l'espace de noms WMI sur l'ordinateur dotés de Kaspersky Embedded Systems Security et les supprime. La surveillance des abonnements WMI persistants s'opère dans le cadre des tâches d'analyse à la demande avec la zone d'analyse Objets de démarrage activée.
- L'analyse antivirus des tâches créées dans le planificateur système a été mise en œuvre. La surveillance des tâches créées par le planificateur système s'opère dans le cadre des tâches d'analyse à la demande pour lesquelles la zone d'analyse Objets de démarrage a été sélectionnée.
- Le plugin d'administration Internet a été mis en œuvre : vous pouvez désormais gérer l'application à l'aide de Kaspersky Security Center Web Console.
- Possibilité d'utiliser l'application en mode Long terme. Vous pouvez maintenant activer l'application pour une longue période pendant laquelle elle contrôlera les lancements d'applications restreintes.
- Profils de stratégie de Kaspersky Security Center pour les listes de zones de confiance : vous pouvez désormais créer des profils de stratégie pour les listes de processus de confiance et pour les listes d'exclusion de la zone de confiance à l'aide du plugin d'administration version 3.0.
- Surveillance des modifications de fichiers à la demande basées sur le chiffrement. L'application permet de générer des listes de référence de fichiers et de vérifier la conformité des fichiers du disque par rapport aux paramètres de référence. L'application détecte les écarts suivants par rapport à la référence : création de nouveaux fichiers dans les zones surveillées, suppression de fichiers dans les zones surveillées, modifications de la somme de contrôle des fichiers surveillés.
- Génération d'incidents de Kaspersky Security Center en fonction des événements de lancement d'applications bloquées et de la connexion de périphériques mode audit.
- Blocage des modifications des paramètres importants dans le journal USN (Update Sequence Number). L'application utilise les enregistrements du journal USN pour surveiller les opérations sur les fichiers. Vous pouvez empêcher la suppression des enregistrements dans le journal USN et modifier le seuil de la taille maximale du journal USN.
- Notification des modifications des paramètres importants dans le journal USN (Update Sequence Number). Si vous n'avez pas interdit les modifications des paramètres importants dans le journal USN, l'application signalera les tentatives de suppression d'enregistrements dans le journal USN en publiant les événements dans les rapports de l'application.
- Les paramètres de la tâche Protection en temps réel permettent désormais d'activer le lancement de la tâche Analyse rapide si des signes d'infection active sont détectés. Si cette option est activée, l'application crée et démarre automatiquement une tâche temporaire Analyse rapide sur l'ordinateur où une infection active a été détectée.
- Des informations sur la somme de contrôle de l'objet en cours de traitement dans les événements de détection, publiés dans les rapports de Kaspersky Security Center, ont été ajoutées.
- La fonctionnalité a été ajoutée pour configurer les critères de déclenchement de la règle du Contrôle du lancement des applications lors de la création de règles basées sur des événements de lancements bloqués dans la console Kaspersky Security Center.
- Contrôle de la connexion des cartes réseau et des modems. Les tâches Contrôle des périphériques et Générateur de règles pour le Contrôle des périphériques automatique prennent en charge la création et l'application de règles qui bloquent la connexion via USB des cartes réseau et des modems douteux.
- Les critères de déclenchement des règles personnalisées du composant Analyse des journaux sont améliorés. Vous pouvez désormais définir les règles pour la valeur du paramètre Source dans l'enregistrement du journal des événements Windows.
- Les options de rotation des fichiers journaux de trace ont été enrichies.
- La liste des systèmes d'exploitation pris en charge a été enrichie.
- Les méthodes de protection contre les menaces actives ont été optimisées. Désormais l'application vous avertit si des signes d'infection active sont détectés lors de l'exécution des tâches Protection en temps réel. L'application marque les objets détectés pour suppression et les supprime après le redémarrage.
- L'interface de l'application est alignée sur la nouvelle stratégie de marque de l'entreprise.
- Les erreurs des versions précédentes ont été corrigées : l'application inclut les correctifs d'erreurs émis pour les versions antérieures.
Limitations connues
Analyse à la demande, protection des fichiers en temps réel et mémoire des processus
- L'analyse antivirus à la connexion des périphériques connectés via MTP n'est pas disponible.
- Le contrôle des objets d'archives sans contrôle des archives SFX n'est pas disponible. Si dans les paramètres de protection de Kaspersky Embedded Systems Security le mode de contrôle des archives est appliqué, l'application analyse automatiquement les objets aussi bien dans les archives que dans les archives SFX. Il est possible d'analyser uniquement des archives SFX sans analyser les archives.
- La protection de la mémoire des processus contre les exploits est inaccessible, si la bibliothèque apphelp.dll n'est pas téléchargée dans la configuration actuelle de l'environnement.
- Le composant Protection contre les exploits est incompatible avec la solution EMET de Microsoft sur les ordinateurs tournant sous Windows 10. Kaspersky Embedded Systems Security bloque le fonctionnement de l'application EMET si l'installation ou la suppression du composant Protection contre les exploits est effectuée sur un ordinateur sur lequel l'application EMET est installée.
- L'utilisation simultanée de la technique de mitigation DEP avec le DEP d'un système éteint peut entraîner des erreurs de fonctionnement des processus protégés et du système d'exploitation dans son ensemble.
Contrôle de l'ordinateur et diagnostic
- La zone d'action de la tâche Contrôle des périphériques s'étend aux dispositifs de stockage de masse connectés via MTP si l'ordinateur protégé fonctionne sous les systèmes d'exploitation Microsoft Windows 7 et suivants. Le contrôle des dispositifs de stockage de masse connectés via MTP sur les ordinateurs sous Windows XP est disponible si le pilote utilisé définit pour les périphériques externes une valeur GUID d'une classe d'installation identique à la valeur du pilote Windows standard.
- Les exclusions par une adresse IP sont inaccessibles pour l'analyseur heuristique dans la tâche Inspection des journaux sur les ordinateurs tournant sous les systèmes d'exploitation de la famille Windows XP. La restriction ne s'applique pas aux systèmes d'exploitation Windows Vista et versions ultérieures.
- La tâche Inspection des journaux ne détecte pas l'événement ID602 du journal Windows sur les ordinateurs tournant sous les systèmes d'exploitation Windows XP. La restriction ne s'applique pas aux systèmes d'exploitation Windows Vista et versions ultérieures.
- La tâche Inspection des journaux détecte le nettoyage complet du journal Windows seulement sur les ordinateurs tournant sous les systèmes d'exploitation Windows Vista et versions ultérieures.
Administration du pare-feu
- Le fonctionnement avec les adresses IP au format IPv6 est inaccessible en cas d'indication de la zone d'application de la règle composé d'une adresse.
- Lors du lancement de la tâche Administration du pare-feu, les règles définies des types suivants sont automatiquement supprimées dans les paramètres du pare-feu :
- les règles d'interdiction,
- les règles de contrôle du trafic sortant.
- L'application ne reçoit pas l'événement du pare-feu Windows pour le journal de la tâche Administration du pare-feu en cas de fonctionnement sur un ordinateur tournant sous Windows XP. Pour activer la collecte de statistiques, activez la surveillance des processus dans les paramètres de sécurité de la stratégie locale Microsoft Windows.
- Les règles prédéfinies de la stratégie Administration du pare-feu assurent l'exécution des principaux scénarios d'interaction des ordinateurs locaux avec le Serveur d'administration. Pour pouvoir utiliser toutes les fonctions de Kaspersky Security Center, définissez manuellement les règles pour l'autorisation des ports. Pour les informations sur les numéros de port, les protocoles et leurs fonctions, consultez cet article.
- L'application ne contrôle pas la modification des règles et les groupes des règles du pare-feu Windows dans le cadre du sondage chaque minute de la tâche Administration du pare-feu, si ces règles et ces groupes ont été ajoutés aux paramètres de la tâche lors de l'installation de l'application. Pour la mise à jour de l'état et de l'existence de telles règles, relancez la tâche Administration du pare-feu.
- Pour Windows Vista et versions supérieures : avant d'installer le module Administration du pare-feu, démarrez le service du pare-feu Windows (démarré par défaut).
Installation
- Pendant l'installation de l'application, un avertissement signalant un chemin d'accès trop long apparaît si le chemin d'accès complet au dossier d'installation de Kaspersky Embedded Systems Security contient plus de 150 caractères. L'avertissement n'affecte pas le processus d'installation.
- Pour l'installation du composant Prise en charge du protocole SNMP, le service SNMP s'il est en cours d'exécution, doit être redémarré.
- Microsoft Windows Installer 3.1 est requis pour l'installation et le fonctionnement de Kaspersky Embedded Systems Security sur un appareil sous Windows XP SP2. Le composant requis ne fait pas partie du paquet standard du système d'exploitation. Vous pouvez téécharger Windows Installer 3.1 sur le site officiel de Microsoft.
- Pour installer et utiliser Kaspersky Embedded Systems Security sur un périphérique tournant sous des systèmes d'exploitation embarqués, le composant Filter Manager doit être installé.
- L'installation des outils d'administration de Kaspersky Embedded Systems Security via les stratégies de groupe de Microsoft Active Directory est indisponible.
- Lors de l'installation de l'application sur des ordinateurs tournant sous des systèmes d'exploitation dont l'assistance technique n'est plus assurée et ne permettant pas de recevoir des mises à jour régulières, vous devez rechercher la présence des certificats racine suivants :
- DigiCert Assured ID Root CA,
- DigiCert_High_Assurance_EV_Root_CA,
- DigiCertAssuredIDRootCA.
Gestion de licences
L'application ne peut pas être activée à l'aide d'un fichier clé depuis l'assistant d'installation dans les cas suivants :
- le fichier clé se trouve sur un disque créé via la commande SUBST,
- le chemin spécifié d'accès au fichier clé est un chemin de réseau.
Mise à jour
Après l'installation des mises à jour critiques de modules, l'icône de Kaspersky Embedded Systems Security est masquée par défaut.
Interface
- Dans la console de Kaspersky Embedded Systems Security, le filtre des nœuds Quarantaine, Sauvegarde, Journal d'audit système, et Journaux d'exécution des tâches est sensible à la casse.
- La connexion à distance à la Console de gestion de Kaspersky Embedded Systems Security est indisponible si Kaspersky Embedded Systems Security est installé sur un ordinateur hors du domaine tournant sous Windows XP SP2 avec les paramètres standard d'accès réseau. La valeur Invités uniquement est définie par défaut dans lles paramètres de sécurité des comptes utilisateur locaux de Windows XP SP2. Pour rendre possible la connexoion à distance de la Console, définissez manuellement la valeur Classique dans les paramètres de sécurité pour les comptes utilisateur locaux du système d'exploitation sur l'ordinateur doté de Kaspersky Embedded Systems Security.
- Lors de la configuration de la zone de protection et de la zone d’analyse via la console de Kaspersky Embedded Systems Security, il n'est possible d'utiliser qu'un seul masque dans le chemin et celui-ci peut uniquement se trouver à la fin du chemin d’accès au fichier. Exemples de masques corrects :
- "C:\Temp\Temp*"
- "C:\Temp\Temp???.doc"
- "C:\Temp\Temp*.doc"
La restriction ne s'étend pas aux paramètres de la zone de confiance.
Sécurité
Si le Contrôle des comptes utilisateurs est activé dans les paramètres du système d'exploitation, l'ouverture de la console de sécurité de Kaspersky Embedded Systems Security d'un double-clic sur l'icône de l'application dans la zone de notification de la barre des tâches requiert l'inclusion du compte utilisateur dans le groupe KESS Administrators. Si ce n'est pas le cas, la fenêtre « À propos de l'application » s'ouvre.
Intégration avec Kaspersky Security Center
- Le serveur d'administration vérifie que les mises à jour des bases de données sont correctes au moment de leur récupération et avant leur diffusion sur les ordinateurs du réseau. Le serveur d'administration ne vérifie pas si les mises à jour récupérées pour les modules de l'application sont correctes.
- Lors de l'utilisation de composants transmettant des données à l'évolution dynamique à Kaspersky Security Center à l'aide des listes de réseau (Quarantaine, Sauvegarde), assurez-vous que dans les paramètres d'interaction avec le Serveur d'administration, les cases correspondantes sont cochées.
Autres fonctions
- En cas d'utilisation de l'utilitaire de l'invite de commandes, l'affichage des caractères spéciaux est accessible si les préférences régionales du système d'exploitation coïncident avec la localisation utilisée dans Kaspersky Embedded Systems Security.
- Lors de l'authentification des bases sur le serveur proxy une erreur peut se produire si le nom d'utilisateur ou le mot de passe contiennent des caractères multioctets.
- Lors de la restauration d'un fichier de la quarantaine ou de la sauvegarde, la valeur Encrypted de l'attribut du fichier n'est pas rétablie.
- L'utilisation du serveur de miroir lors de la connexion au serveur syslog est inaccessible via le protocole UDP.
- Le type du périphérique peut ne pas être identifié lors de la génération de l'événement sur la connexion au bus USB. Dans ce cas, l'événement contiendra seulement le GUID d’un périphérique.
- Les valeurs Device Instance Path sont indiquées dans différents formats pour le composant Contrôle des périphériques et le fonctionnement du suivi des connexions via le bus USB.