При работе в веб-интерфейсе приложения пользователи с ролью Старший сотрудник службы безопасности могут управлять правилами запрета запуска файлов и процессов на выбранных хостах с помощью политик. Например, вы можете запретить запуск приложений, использование которых считаете небезопасным, на выбранном хосте с компонентом Endpoint Agent. Приложение идентифицирует файлы по их хешу с помощью алгоритмов хеширования MD5 и SHA256. Вы можете создавать, включать и отключать, удалять и изменять правила запрета. Кроме того, по ссылке с названием алгоритма хеширования в таблице правил запрета вы можете выполнять такие действия по поиску объектов, событий или обнаружений, по которым сработали правила запрета, как Найти события, Найти обнаружения, Найти на Kaspersky TIP или Найти на virustotal.com.
В режиме распределенного решения и мультитенантности правила запрета могут быть следующих типов:
Пользователи с ролью Старший сотрудник службы безопасности могут создавать, редактировать, удалять, включать и отключать, а также импортировать правила запрета в рамках тех тенантов, к данным которых у них есть доступ.
У пользователей с ролью Сотрудник службы безопасности нет доступа к политикам.
Пользователи с ролью Аудитор могут просматривать таблицу правил запрета запуска файлов и процессов, а также информацию о выбранном правиле запрета без возможности редактирования.
Все изменения в правилах запрета применяются на хостах после установки авторизованного соединения с выбранными хостами. Если соединение с хостами отсутствует, на хостах продолжают действовать старые правила запрета. Изменения в правилах запрета не влияют на уже запущенные процессы.
Правила запрета могут быть созданы автоматически на основе предустановленных политик (далее также "предустановок"), добавленных по умолчанию. При включенных предустановках приложение создает правило запрета на основе обнаружения компонента Sandbox со средним или высоким уровнем важности. Созданное правило запрета блокирует запуск файла по его MD5-хешу. Пользователи с ролью Старший сотрудник службы безопасности могут включать и отключать предустановки.
Предустановки не поддерживаются в режиме распределенного решения и мультитенантности.
Для правил запрета, которые были созданы автоматически или импортированы, доступны такие же операции, что и для правил, созданных вручную.
На каждый хеш файла можно создать только одно правило запрета.
Максимальное поддерживаемое количество правил запрета в системе составляет 50 000.
Правила запрета действуют, только когда компонент Endpoint Agent запущен на хосте. Если попытка запуска файла будет совершена до запуска компонента или после завершения работы компонента на хосте, то запуск файла не будет заблокирован.
Управление правилами запрета запуска файлов и процессов на выбранных хостах с помощью политик доступно только при интеграции компонента Endpoint Agent с сервером Central Node и осуществляется только через веб-интерфейс Kaspersky Anti Targeted Attack Platform.
Если в роли компонента Endpoint Agent вы используете Kaspersky Endpoint Security для Windows, вам нужно учитывать, что приложение поддерживает запрет запуска определенного набора расширений файлов офисного формата и набора интерпретаторов скриптов.