Компонент Защита от шифрования позволяет защитить ваши файлы в локальных директориях с сетевым доступом по протоколам SMB/NFS от удаленного вредоносного шифрования.
Для использования компонента требуется лицензия, которая включает эту функцию.
Эта функциональность не поддерживается в KESL-контейнере.
Если защита от шифрования включена, приложение Kaspersky Endpoint Security проверяет действия удаленных устройств с файловыми ресурсами, расположенным в общих сетевых директориях защищаемого устройства, на наличие вредоносного шифрования. Если приложение расценивает действия удаленного устройства, получающего доступ к общим сетевым ресурсам, как вредоносное шифрование, приложение создает и включает правило для сетевого экрана операционной системы, которое блокирует сетевой трафик от скомпрометированного устройства. Скомпрометированное устройство добавляется в список недоверенных устройств, доступ к общим сетевым директориям для всех недоверенных устройств блокируется. Приложение создает событие Обнаружено шифрование, которое содержит информацию о скомпрометированном устройстве.
По умолчанию приложение блокирует доступ недоверенных устройств к сетевым файловым ресурсам на 30 минут. По истечении времени блокировки приложение удаляет скомпрометированное устройство из списка недоверенных устройств, доступ устройства к сетевым файловым ресурсам автоматически восстанавливается.
Правила сетевого экрана, созданные компонентом Защита от шифрования, нельзя удалить с помощью утилиты iptables, так как приложение восстанавливает набор правил каждую минуту.
По умолчанию Защита от удаленного вредоносного шифрования выключена.
Вы можете включать и выключать защиту от вредоносного шифрования, а также настраивать параметры защиты:
Если выбрано действие Информировать, приложение все равно проверяет действия удаленных устройств с сетевыми файловыми ресурсами на наличие вредоносного шифрования, когда защита от шифрования включена. В случае обнаружения вредоносного шифрования создается событие Обнаружено шифрование, но скомпрометированное устройство не блокируется.
Приложение не расценивает действия как шифрование, если активность шифрования обнаружена в директориях, исключенных из защиты от шифрования.
С помощью команд управления заблокированными устройствами в командной строке вы можете посмотреть список заблокированных устройств и вручную разблокировать эти устройства. В Kaspersky Security Center нет инструментов мониторинга и управления заблокированными устройствами, кроме событий Обнаружено шифрование.
Для корректной работы компонента Защита от шифрования требуется, чтобы в операционной системе была установлена хотя бы одна из служб: Samba или NFS. Для службы NFS требуется установленный пакет rpcbind.
Компонент Защита от шифрования корректно работает с протоколами SMB1, SMB2, SMB3, NFS3, TCP/UDP и IP/IPv6. Работа с протоколами NFS2 и NFS4 не поддерживается. Рекомендуется настроить параметры сервера таким образом, чтобы протоколы NFS2 и NFS4 было невозможно использовать для подключения ресурсов.
Kaspersky Endpoint Security не блокирует доступ к сетевым файловым ресурсам, пока действия устройства не расцениваются как вредоносные. Таким образом, минимум один файл будет зашифрован, прежде чем приложение обнаружит вредоносную активность.