Kaspersky Embedded Systems Security для Linux
Русский

Содержание

Задача Защита от файловых угроз (File_Threat_Protection, ID:1)

Защита от файловых угроз позволяет избежать заражения файловой системы устройства. Задача Защита от файловых угроз создается автоматически с параметрами по умолчанию при установке приложения Kaspersky Embedded Systems Security на устройство. По умолчанию задача Защита от файловых угроз запускается автоматически при запуске приложения. Задача постоянно находится в оперативной памяти устройства и проверяет все открываемые, сохраняемые и запускаемые файлы.

Для запуска и остановки задачи Защита от файловых угроз из командной строки требуются права роли Администратор.

При обнаружении вредоносного ПО приложение Kaspersky Embedded Systems Security может удалять зараженный файл и завершать вредоносный процесс, запущенный из этого файла.

Во время работы задачи Защита от файловых угроз приложение выполняет проверку всех пространств имен и контейнеров во всех поддерживаемых операционных системах, если в общих параметрах приложения для параметра NamespaceMonitoring задано значение Yes. Дополнительно для операционной системы Astra Linux пользовательская задача выборочной проверки (Scan_File) позволяет проверять файлы из других пространств имен (в рамках обязательной проверки). Вы можете отдельно настроить общие параметры проверки контейнеров и пространств имен.

Приложение не проверяет пространства имен и контейнеры, если в операционной системе не установлены компоненты для работы с контейнерами и пространствами имен. При этом при просмотре информации о приложении в строке Мониторинг контейнеров отображается "Задача доступна и не выполняется".

Вы не можете создавать пользовательские задачи Защита от файловых угроз. Вы можете изменить параметры задачи Защита от файловых угроз, созданной по умолчанию.

Если в общих параметрах приложения для параметра InterceptorProtectionMode задано значение Notify, то при обнаружении зараженных объектов приложение не выполняет действия, указанные в параметрах FirstAction и SecondAction задачи Защита от файловых угроз.

В этом разделе справки

Особенности проверки символических и жестких ссылок

Параметры задачи Защита от файловых угроз

Формирование области исключения

Оптимизация проверки сетевых директорий
В начало
[Topic 197961]

Особенности проверки символических и жестких ссылок

Приложение Kaspersky Embedded Systems Security позволяет проверять символические и жесткие ссылки на файлы.

Проверка символических ссылок

Приложение проверяет символические ссылки, только если файл, на который ссылается символическая ссылка, входит в область защиты задачи Защита от файловых угроз.

Если файл, обращение к которому происходит по символической ссылке, не входит в область задачи Защита от файловых угроз, приложение не проверяет этот файл. Если такой файл содержит вредоносный код, безопасность устройства окажется под угрозой.

Проверка жестких ссылок

При обработке файла, имеющего больше одной жесткой ссылки, приложение выбирает действие в зависимости от заданного действия над объектами:

  • Если выбрано действие Выполнять рекомендуемое действие (Perform recommended action), приложение автоматически подбирает и выполняет действие над объектом на основе данных об опасности обнаруженной в объекте угрозы и возможности его лечения.
  • Если выбрано действие Удалять (Remove), приложение удаляет обрабатываемую жесткую ссылку. Остальные жесткие ссылки на этот файл обработаны не будут.
  • Если выбрано действие Лечить (Disinfect), приложение лечит исходный файл. Если лечение невозможно, приложение удаляет жесткую ссылку и создает вместо нее копию исходного файла с именем удаленной жесткой ссылки.

Когда вы восстанавливаете файл с жесткой ссылкой из Хранилища, приложение создает копию исходного файла с именем жесткой ссылки, которая была помещена в Хранилище. Связи с остальными жесткими ссылками на исходный файл восстановлены не будут.

В начало
[Topic 197963]

Параметры задачи Защита от файловых угроз

В таблице описаны все доступные значения и значения по умолчанию для всех параметров, которые вы можете указать для задачи Защита от файловых угроз.

Параметры задачи Защита от файловых угроз

Параметр

Описание

Значения

ScanArchived

Включение проверки архивов (включая самораспаковывающиеся архивы SFX).

Приложение проверяет такие архивы, как: .zip; .7z*; .7-z; .rar; .iso; .cab; .jar; .bz; .bz2; .tbz; .tbz2; .gz; .tgz; .arj. Список поддерживаемых форматов архивов зависит от используемых баз приложения.

Yes – проверять архивы. Если указано значение FirstAction=Recommended, то в зависимости от типа архива приложение удаляет либо зараженный объект, либо целиком весь архив, содержащий угрозу.

No (значение по умолчанию) – не проверять архивы.

ScanSfxArchived

Включение проверки только самораспаковывающихся архивов (архивов, имеющих в своем составе исполняемый модуль-распаковщик, self-extracting archives).

Yes – проверять самораспаковывающиеся архивы.

No (значение по умолчанию) – не проверять самораспаковывающиеся архивы.

ScanMailBases

Включение проверки почтовых баз приложений Microsoft Outlook, Outlook Express, The Bat и других.

Yes – проверять файлы почтовых баз.

No (значение по умолчанию) – не проверять файлы почтовых баз.

ScanPlainMail

Включение проверки сообщений электронной почты в текстовом формате (plain text).

Yes – проверять сообщения электронной почты в текстовом формате.

No (значение по умолчанию) – не проверять сообщения электронной почты в текстовом формате.

SkipPlainTextFiles

Временное исключение из проверки файлов в текстовом формате.

Если значение этого параметра SkipPlainTextFiles=Yes, приложение не будет проверять файлы в текстовом формате, если эти файлы повторно используются тем же процессом в течение 10 минут после последней проверки. Параметр позволяет оптимизировать проверку журналов работы приложений.

Yes – не проверять файлы в текстовом формате, если эти файлы повторно используются тем же процессом в течение 10 минут после последней проверки.

No (значение по умолчанию) – проверять файлы в текстовом формате.

SizeLimit

Максимальный размер проверяемого объекта (в мегабайтах). Если размер проверяемого объекта превышает указанное значение, приложение пропускает объект при проверке.

0 – 999999

0 – приложение проверяет объекты любого размера.

Значение по умолчанию: 0.

TimeLimit

Максимальная продолжительность проверки объекта (в секундах).

Приложение прекращает проверку объекта, если она выполняется дольше, чем указано значением этого параметра.

0 – 9999

0 – продолжительность проверки объектов не ограничена.

Значение по умолчанию: 60.

FirstAction

Выбор первого действия, которое приложение будет выполнять над зараженными объектами.

Перед тем как выполнить над объектом выбранное вами действие, Kaspersky Embedded Systems Security блокирует доступ к этому объекту для приложений, которые к нему обращаются.

 

Если в общих параметрах приложения для параметра InterceptorProtectionMode задано значение Notify, то при обнаружении зараженных объектов приложение не выполняет действие, указанное параметром FirstAction.

Disinfect (лечить) – приложение пытается вылечить объект, сохранив копию объекта в хранилище. Если лечение невозможно (например, тип объекта или тип угрозы в объекте не предполагает лечения), приложение оставляет объект неизменным. Если первым действием выбрано Disinfect, рекомендуется задать второе действие в параметре SecondAction.

Remove (удалять) – приложение удаляет зараженный объект, предварительно создав его резервную копию.

Recommended (выполнять рекомендуемое действие) – приложение автоматически выбирает и выполняет действие над объектом на основе данных об обнаруженной в объекте угрозе. Например, Kaspersky Embedded Systems Security сразу удаляет троянские программы, так как они не заражают другие файлы и поэтому не предполагают лечения.

Block (блокировать) – приложение блокирует доступ к зараженному объекту. Информация о зараженном объекте сохраняется в журнале.

Значение по умолчанию: Recommended.

SecondAction

Выбор второго действия, которое приложение будет выполнять над зараженными объектами. Приложение выполняет второе действие, если не удалось выполнить первое действие.

Если в общих параметрах приложения для параметра InterceptorProtectionMode задано значение Notify, то при обнаружении зараженных объектов приложение не выполняет действие, указанное параметром SecondAction.

Значения параметра SecondAction такие же, как значения параметра FirstAction.

Если в качестве первого действия выбрано Block (блокировать) или Remove (удалять), то второе действие указывать не нужно. В остальных случаях рекомендуется указывать два действия. Если вы не указали второе действие, приложение в качестве второго действия выполняет Block (блокировать).

Значение по умолчанию: Block.

UseExcludeMasks

Включение исключения из проверки объектов, указанных параметром ExcludeMasks.item_#.

Yes – исключать из проверки объекты, указанные параметром ExcludeMasks.item_#.

No (значение по умолчанию) – не исключать из проверки объекты, указанные параметром ExcludeMasks.item_#.

ExcludeMasks.item_#

Исключение из проверки объектов по именам или маскам.

C помощью этого параметра вы можете исключать из указанной области проверки отдельный файл по имени или несколько файлов, используя маски в формате shell.

Значение по умолчанию не задано.

Пример:

UseExcludeMasks=Yes

ExcludeMasks.item_0000=eicar1.*

ExcludeMasks.item_0001=eicar2.*

 

UseExcludeThreats

Включение исключения из проверки объектов с угрозами, указанными параметром ExcludeThreats.item_#.

Yes – исключать из проверки объекты, которые содержат угрозы, указанные параметром ExcludeThreats.item_#.

No (значение по умолчанию) – не исключать из проверки объекты, которые содержат угрозы, указанные параметром ExcludeThreats.item_#.

ExcludeThreats.item_#

Исключение из проверки объектов по названиям обнаруженных в объектах угроз. Перед тем как указать значения этого параметра, убедитесь, что включен параметр UseExcludeThreats.

Чтобы исключить объект из проверки, укажите полное название угрозы, обнаруженной в этом объекте: строку-заключение приложения о том, что объект является зараженным.

Например, вы используете одну из утилит для получения информации о сети. Чтобы приложение не блокировало ее, добавьте полное название угрозы в ней в список угроз, исключаемых из проверки.

Вы можете найти полное название угрозы, обнаруженной в объекте, в журнале приложения или на веб-сайте Вирусной энциклопедии.

Значение параметра чувствительно к регистру.

Значение по умолчанию не задано.

Пример:

UseExcludeThreats=Yes

ExcludeThreats.item_0000=EICAR-Test-*

ExcludeThreats.item_0001=?rojan.Linux

 

ReportCleanObjects

Включение записи в журнал информации о проверенных объектах, которые приложение признало незараженными.

Вы можете включить этот параметр, например, чтобы убедиться в том, что какой-либо объект был проверен приложением.

Yes – записывать в журнал информацию о незараженных объектах.

No (значение по умолчанию) – не записывать в журнал информацию о незараженных объектах.

ReportPackedObjects

Включение записи в журнал информации о проверенных объектах, которые являются частью составных объектов.

Вы можете включить этот параметр, например, чтобы убедиться в том, что какой-либо объект в составе архива был проверен приложением.

Yes – записывать в журнал информацию о проверке объектов в составе архивов.

No (значение по умолчанию) – не записывать в журнал информацию о проверке объектов в составе архивов.

ReportUnprocessedObjects

Включение записи в журнал информации об объектах, которые по какой-то причине не были обработаны.

Yes – записывать в журнал информацию о необработанных объектах.

No (значение по умолчанию) – не записывать в журнал информацию о необработанных объектах.

UseAnalyzer

Включение эвристического анализатора.

Эвристический анализ позволяет приложению распознавать угрозы еще до того, как они станут известны вирусным аналитикам.

Yes (значение по умолчанию) – включить эвристический анализатор.

No – выключить эвристический анализатор.

HeuristicLevel

Уровень эвристического анализа.

Уровень эвристического анализа обеспечивает баланс между тщательностью поиска угроз, степенью загрузки ресурсов операционной системы и длительностью проверки. Чем выше установленный уровень эвристического анализа, тем больше ресурсов потребует проверка и больше времени займет.

Light – наименее тщательная проверка, минимальная загрузка системы.

Medium – средний уровень эвристического анализа, сбалансированная загрузка системы.

Deep – наиболее тщательная проверка, максимальная загрузка системы.

Recommended (значение по умолчанию) – рекомендуемое значение.

UseIChecker

Включение использования технологии iChecker.

Yes (значение по умолчанию) – включить использование технологии iChecker.

No – выключить использование технологии iChecker.

ScanByAccessType

Режим работы задачи Защита от файловых угроз. Этот параметр ScanByAccessType применяется только в задаче Защита от файловых угроз.

SmartCheck (значение по умолчанию) – проверять файл при попытке открытия, и проверять его повторно при попытке закрытия, если файл был изменен. Если процесс во время своей работы многократно обращается к файлу в течение некоторого времени и изменяет его, повторно проверять файл только при последней попытке закрытия файла этим процессом.

OpenAndModify – проверять файл при попытке открытия и проверять его повторно при попытке закрытия, если файл был изменен.

Open – проверять файл при попытке открытия как на чтение, так и на выполнение или изменение.

Секция [ScanScope.item_#] содержит следующие параметры:

AreaDesc

Описание области проверки, содержит дополнительную информацию об области проверки.

Максимальная длина строки, задаваемой этим параметром: 4096 символов.

Значение по умолчанию: All objects.

Пример:

AreaDesc="Проверка почтовых баз"

 

UseScanArea

Включение проверки указанной области. Для выполнения задачи требуется включить проверку хотя бы одной области.

Yes (значение по умолчанию) – проверять указанную область.

No – не проверять указанную область.

AreaMask.item_#

Ограничение области проверки. В области проверки приложение проверяет только файлы, указанные помощью масок в формате shell.

Если параметр не указан, приложение проверяет все объекты в области проверки. Вы можете указать несколько значений этого параметра.

Значение по умолчанию: * (проверять все объекты).

Пример:

AreaMask_item_<номер элемента>=*doc

 

Path

Путь к директории с проверяемыми объектами.

 

<путь к локальной директории> – проверять объекты в указанной директории. Для указания пути вы можете использовать маски.

Вы можете использовать символ * (звездочка) для формирования маски имени файла или директории.

Вы можете указать один символ * вместо любого набора символов (включая пустой набор), предшествующего символу / в имени файла или директории. Например, /dir/*/file или /dir/*/*/file.

Вы можете указать два последовательно идущих символа * вместо любого набора символов (включая пустой набор) в имени файла или директории, включающего символ /. Например, /dir/**/file*/ или /dir/file**/.

Маску ** можно использовать в имени директории только один раз. Например, /dir/**/**/file – это неправильная маска.

Вы можете использовать символ ? вместо любого одного символа в имени файла или директории.

Shared:NFS – проверять ресурсы файловой системы устройства, доступ к которым предоставляется по протоколу NFS.

Shared:SMB – проверять ресурсы файловой системы устройства, доступ к которым предоставляется по протоколу Samba.

Mounted:NFS – проверять удаленные директории, смонтированные на устройстве по протоколу NFS.

Mounted:SMB – проверять удаленные директории, смонтированные на устройстве по протоколу Samba.

AllRemoteMounted – проверять все удаленные директории, смонтированные на устройстве с помощью протоколов Samba и NFS.

AllShared – проверять все ресурсы файловой системы устройства, доступ к которым предоставляется по протоколам Samba и NFS.

<тип файловой системы> – проверять все ресурсы указанной файловой системы устройства.

Секция [ExcludedFromScanScope.item_#] содержит следующие параметры:

AreaDesc

Описание области исключения из проверки, содержит дополнительную информацию об области исключения.

Значение по умолчанию не задано.

UseScanArea

Исключение указанной области из проверки.

Yes (значение по умолчанию) – исключать указанную область.

No – не исключать указанную область.

AreaMask.item_#

Ограничение области исключения из проверки. В области исключения приложение не проверяет только файлы, указанные с помощью масок в формате shell.

Если параметр не указан, приложение исключает из проверки все объекты в области исключения. Вы можете указать несколько значений этого параметра.

Значение по умолчанию: * (исключать из проверки все объекты).

Path

Путь к директории с исключаемыми объектами.

 

<путь к локальной директории> – исключать из проверки объекты в указанной директории. Для указания пути вы можете использовать маски.

Вы можете использовать символ * (звездочка) для формирования маски имени файла или директории.

Вы можете указать один символ * вместо любого набора символов (включая пустой набор), предшествующего символу / в имени файла или директории. Например, /dir/*/file или /dir/*/*/file.

Вы можете указать два последовательно идущих символа * вместо любого набора символов (включая пустой набор) в имени файла или директории, включающего символ /. Например, /dir/**/file*/ или /dir/file**/.

Маску ** можно использовать в имени директории только один раз. Например, /dir/**/**/file – это неправильная маска.

Вы можете использовать символ ? вместо любого одного символа в имени файла или директории.

<путь к локальной директории> – исключать из проверки объекты в указанной директории (включая вложенные директории). Для указания пути вы можете использовать маски.

Вы можете использовать символ * (звездочка) для формирования маски имени файла или директории.

Вы можете указать один символ * вместо любого набора символов (включая пустой набор), предшествующего символу / в имени файла или директории. Например, /dir/*/file или /dir/*/*/file.

Вы можете указать два последовательно идущих символа * вместо любого набора символов (включая пустой набор) в имени файла или директории, включающего символ /. Например, /dir/**/file*/ или /dir/file**/.

Маску ** можно использовать в имени директории только один раз. Например, /dir/**/**/file – это неправильная маска.

Вы можете использовать символ ? вместо любого одного символа в имени файла или директории.

В системах с файловой системой btrfs и включенными активными снимками для оптимизации работы задач проверки рекомендуется добавить в исключения путь со снимками, смонтированными системой в режиме "только чтение". Например, в системах на базе SUSE/OpenSUSE вы можете добавить исключение вида /.snapshots/*/snapshot/.

Mounted:NFS – исключать из проверки удаленные директории, смонтированные на устройстве по протоколу NFS.

Mounted:SMB – исключать из проверки удаленные директории, смонтированные на устройстве по протоколу Samba.

AllRemoteMounted – исключать из проверки все удаленные директории, смонтированные на устройстве с помощью протоколов Samba и NFS.

<тип файловой системы> – исключать из проверки все ресурсы указанной файловой системы устройства.

Удаленные директории исключаются из проверки приложением, только если они были смонтированы до запуска задачи. Удаленные директории, смонтированные после запуска задачи, из проверки не исключаются.

Секция [ExcludedForProgram.item_#] содержит следующие параметры:

ProgramPath

Путь к исключаемому процессу.

<полный путь к процессу> – исключать из проверки процесс в указанной локальной директории.

ApplyToDescendants

Исключение из проверки дочерних процессов исключаемого процесса, указанного параметром ProgramPath.

Yes – исключать из проверки указанный процесс и все его дочерние процессы.

No (значение по умолчанию) – исключать из проверки только указанный процесс, не исключать из проверки дочерние процессы.

AreaDesc

Описание области исключения процессов.

Значение по умолчанию: All objects.

UseExcludedForProgram

Исключение указанной области из проверки.

Yes (значение по умолчанию) – исключать указанную область.

No – не исключать указанную область.

AreaMask.item_#

Ограничение области исключения процессов. В области исключения процессов приложение не проверяет только файлы, указанные помощью масок в формате shell.

Если параметр не указан, приложение исключает из проверки все объекты в области исключения процессов. Вы можете указать несколько значений этого параметра.

Значение по умолчанию: * (исключать из проверки все объекты).

Path

Путь к директории с файлами, которые изменяет процесс.

 

<путь к локальной директории> – исключать из проверки объекты в указанной директории. Для указания пути можно использовать маски.

Вы можете использовать символ * (звездочка) для формирования маски имени файла или директории.

Вы можете указать один символ * вместо любого набора символов (включая пустой набор), предшествующего символу / в имени файла или директории. Например, /dir/*/file или /dir/*/*/file.

Вы можете указать два последовательно идущих символа * вместо любого набора символов (включая пустой набор) в имени файла или директории, включающего символ /. Например, /dir/**/file*/ или /dir/file**/.

Маску ** можно использовать в имени директории только один раз. Например, /dir/**/**/file – это неправильная маска.

Вы можете использовать символ ? вместо любого одного символа в имени файла или директории.

Shared:NFS – исключать из проверки ресурсы файловой системы устройства, доступ к которым предоставляется по протоколу NFS.

Shared:SMB – исключать из проверки ресурсы файловой системы устройства, доступ к которым предоставляется по протоколу Samba.

Mounted:NFS – исключать из проверки удаленные директории, смонтированные на устройстве по протоколу NFS.

Mounted:SMB – исключать из проверки удаленные директории, смонтированные на устройстве по протоколу Samba.

AllRemoteMounted – исключать из проверки все удаленные директории, смонтированные на устройстве с помощью протоколов Samba и NFS.

AllShared – исключать из проверки все ресурсы файловой системы устройства, доступ к которым предоставляется по протоколам Samba и NFS.

<тип файловой системы> – исключать из проверки все ресурсы указанной файловой системы устройства.

В начало
[Topic 234812]

Формирование области исключения

Вы можете указать область исключения для задачи Защита от файловых угроз. Файлы в области исключения исключаются из области защиты.

Чтобы создать область исключения:

  1. Сохраните параметры задачи Защита от файловых угроз в файл с помощью следующей команды:

    kess-control --get-settings 1 --file <полный путь к конфигурационному файлу>

  2. Добавьте в созданный файл секцию [ExcludedFromScanScope.item_#]. Эта секция содержит следующие параметры:
    • AreaDesc – описание области исключения, содержащее дополнительную информацию об области исключения.
    • Path – путь к файлам или директориям, которые вы хотите исключить из области защиты.
    • AreaMask.item_# – маска имени файла для файлов, которые вы хотите исключить из области защиты.

      Пример:

      [ExcludedFromScanScope.item_0000]

      AreaDesc=

      UseScanArea=Yes

      Path=/tmp/notchecked

      AreaMask.item_0000=*
  3. Импортируйте параметры из конфигурационного файла в задачу Защита от файловых угроз с помощью следующей команды:

    kess-control --set-settings 1 --file <полный путь к конфигурационному файлу>

Вы также можете управлять областями исключения из командной строки.

В начало
[Topic 197965]

Оптимизация проверки сетевых директорий

Для оптимизации работы задачи Защита от файловых угроз вы можете настроить исключение из проверки файлов, копируемых из сетевых директорий. Файлы будут проверяться только после завершения копирования в локальную директорию. Для исключения из проверки файлов в сетевых директориях вам нужно настроить исключение из проверки для утилиты, предназначенной для копирования из сетевых директорий (например, для утилиты cp).

Чтобы настроить исключение сетевых директорий из проверки:

  1. Сохраните параметры задачи Защита от файловых угроз в файл с помощью следующей команды:

    kess-control --get-settings 1 --file <полный путь к конфигурационному файлу>

  2. Добавьте в созданный файл секцию [ExcludedForProgram.item_#]. Эта секция содержит следующие параметры:
    • ProgramPath – путь к исключаемому процессу или к директории с исключаемыми процессам.
    • ApplyToDescendants – параметр, показывающий, нужно ли исключать из проверки дочерних процессов исключаемого процесса, указанного параметром ProgramPath (возможные значения: Yes или No).
    • AreaDesc – описание области исключения по процессам, содержащее дополнительную информацию об области исключения.
    • UseExcludedForProgram – параметр, показывающий, нужно ли исключать указанную область из проверки при работе задачи (возможные значения: Yes или No).
    • Path – путь к файлам или к директории с файлами, которые изменяет процесс.
    • AreaMask.item_# – маска имени файла для файлов, которые вы хотите исключить из проверки. Вы также можете указать полный путь к файлу.

      Пример:

      [ExcludedForProgram.item_0000]

      ProgramPath=/usr/bin/cp

      ApplyToDescendants=No

      AreaDesc=

      UseExcludedForProgram=Yes

      Path=AllRemoteMounted

      AreaMask.item_0000=*
  3. Импортируйте параметры из конфигурационного файла в задачу Защита от файловых угроз с помощью следующей команды:

    kess-control --set-settings 1 --file <полный путь к конфигурационному файлу>

Приложение не будет проверять файлы в сетевых директориях, при этом сама команда cp (для приведенного выше примера) и локальные файлы будут проверяться.

В начало
[Topic 235226]