Содержание
Задача Контроль приложений (Application_Control, ID:21)
Во время выполнения задачи Контроль приложений приложение Kaspersky Embedded Systems Security управляет запуском приложений на устройствах пользователей. Это позволяет снизить риск заражения устройства, ограничивая доступ к приложениям. Запуск приложений регулируется с помощью правил контроля приложений.
Задача Контроль приложений может работать в двух режимах:
- Список запрещенных. Режим, при котором приложение Kaspersky Embedded Systems Security разрешает всем пользователям запуск любых приложений, кроме тех, которые указаны в правилах контроля приложений. Этот режим работы задачи Контроль приложений настроен по умолчанию.
- Список разрешенных. Режим, при котором приложение Kaspersky Embedded Systems Security запрещает всем пользователям запуск любых приложений, кроме тех, которые указаны в правилах контроля приложений.
Таким образом, если правила контроля приложений сформированы максимально полно, Kaspersky Embedded Systems Security запрещает запуск всех новых, не проверенных администратором локальной сети организации приложений, но обеспечивает работоспособность операционной системы и проверенных приложений, которые нужны пользователям для выполнения должностных обязанностей.
Администратор Kaspersky Security Center или локальный пользователь с назначенной в приложении ролью admin может управлять запуском процессов под учетной записью root через Контроль приложений.
Для каждого режима работы задачи Контроль приложений вы можете создать отдельные правила, а также выбрать действие, которое приложение Kaspersky Embedded Systems Security будет выполнять при обнаружении попытки запуска приложения на устройстве пользователя: применять правила или тестировать правила.
Если вы меняете список разрешенных приложений или запрещаете запуск всех приложений и/или приложений, влияющих на работу Kaspersky Embedded Systems Security, то при изменении параметров задачи с помощью конфигурационного файла или с помощью командной строки требуется запускать команду --set-settings с флагом --accept.
Kaspersky Embedded Systems Security поддерживает следующие интерпретаторы: python, perl, bash, ssh.
Контроль приложений не контролирует запуск скриптов из интерпретаторов, не поддерживаемых приложением Kaspersky Embedded Systems Security и запуск скриптов, передаваемых интерпретатору не через командную строку. Если запуск интерпретатора разрешен правилами Контроля приложений, то Kaspersky Embedded Systems Security не блокирует скрипт, запущенный из этого интерпретатора. Если запуск хотя бы одного из скриптов, указанных в командной строке интерпретатора, запрещен правилами Контроля приложений, то Kaspersky Embedded Systems Security блокирует все скрипты, указанные в командной строке интерпретатора. Исключение: cat script.py | python.
О правилах контроля приложений
Правило контроля приложений представляет собой набор параметров, необходимых для работы задачи Контроль приложений:
- Принадлежность приложения к категории приложений. Категория приложений – это группа приложений, обладающих общими признаками. Например, категория, в которую входят исполняемые файлы установленных приложений, или категория приложений, необходимых для работы, в которую входит стандартный набор приложений, используемых в организации. Вы можете использовать одну и ту же категорию только в одном правиле.
Использование KL-категорий приложения Kaspersky Security Center не поддерживается приложением Kaspersky Embedded Systems Security.
- Разрешение или запрещение выбранным пользователям и/или группам пользователей запускать приложения. Вы можете указать пользователя и/или группу пользователей, которым разрешен или запрещен запуск приложений из указанной категории.
- Условие срабатывания правила. Условие представляет собой соответствие "тип условия – критерий условия – значение условия". На основании условий срабатывания правила приложение Kaspersky Embedded Systems Security применяет или не применяет правило к приложению. В правилах используются включающие и исключающие условия:
- Включающие условия. Kaspersky Embedded Systems Security применяет правило к приложению, если приложение соответствует хотя бы одному включающему условию.
- Исключающие условия. Kaspersky Embedded Systems Security не применяет правило к приложению, если приложение соответствует хотя бы одному исключающему условию или не соответствует ни одному включающему условию.
Условия срабатывания правила формируются с помощью следующих критериев:
- имя исполняемого файла приложения;
- имя директории с исполняемым файлом приложения;
- хеш (SHA-256) исполняемого файла приложения. Допускается использование только SHA256.
Для каждого критерия, используемого в условии, вам нужно указать его значение.
Для указания имен файлов и директорий вы можете использовать маски.
Если параметры запускаемого приложения соответствуют значениям критериев, указанных во включающем условии, правило срабатывает. В этом случае Контроль приложений выполняет действие, указанное в правиле. Если параметры приложения соответствуют значениям критериев, указанных в исключающем условии, Контроль приложений не контролирует запуск приложения.
Для каждого режима работы задачи Контроля приложений вам нужно создать отдельные правила, а также выбрать действие, которое задача Контроль приложений должна выполнять при обнаружении попытки запуска приложения: применять правила или тестировать правила.
Правила контроля приложений имеют три статуса работы:
- Включено – правило включено, Kaspersky Embedded Systems Security применяет это правило во время работы задачи Контроль приложений.
- Выключено – правило выключено и не используется во время работы задачи Контроль приложений.
- Тест – Kaspersky Embedded Systems Security разрешает запуск приложений, которые удовлетворяют условиям правила, но регистрирует информацию о запуске этих приложений в отчете.
Статус работы правила имеет более высокий приоритет чем действие, указанное в правиле.
В началоПараметры задачи Контроль приложений
В таблице описаны все доступные значения и значения по умолчанию для всех параметров, которые вы можете указать для задачи Контроль приложений.
Параметры задачи Контроль приложений
Параметр |
Описание |
Значения |
|---|---|---|
|
|
|
|
Действие, выполняемое приложением Kaspersky Embedded Systems Security при обнаружении попытки запуска приложения. |
|
Секция [Categories.item_#] содержит следующие параметры: |
||
|
Название создаваемой категории приложений, для которой будет применяться правило. |
|
|
Использование включающих условий для срабатывания правила. |
|
|
Имя исполняемого файла, на которое срабатывает правило. |
Для указания имени файла вы можете использовать маски. |
|
Имя директории с исполняемым файлом приложения, на которое срабатывает правило. |
Для указания имени директории вы можете использовать маски. |
|
Хеш (SHA-256) исполняемого файла, на который срабатывает правило. |
|
|
Использование исключающих условий для срабатывания правила. |
|
|
Имя исполняемого файла, на которое срабатывает правило. |
Для указания имени файла вы можете использовать маски. |
|
Имя директории с исполняемым файлом приложения, на которое срабатывает правило. |
Для указания имени директории вы можете использовать маски. |
|
Хеш (SHA-256) исполняемого файла, на который срабатывает правило. |
|
Секция [AllowListRules.item_#] содержит список правил контроля приложений для режима работы Каждая секция [AllowListRules.item_#] содержит следующие параметры: |
||
|
Описание правила контроля приложений. |
|
|
Статус работы правила контроля приложений. |
|
|
Название созданной категории приложений, для которой применяется правило. Вы можете указать в качестве категории категорию "Golden Image". |
|
Секция [AllowListRules.item_#.ACL.item_#] содержит список пользователей, которым разрешен или запрещен запуск приложений. |
||
|
Тип доступа, назначаемый пользователю или группе пользователей. |
|
|
Пользователь или группа пользователей, на которых распространяется правило контроля приложений. |
|
Секция [DenyListRules.item_#] содержит список правил контроля приложений для режима работы Каждая секция [DenyListRules.item_#] содержит следующие параметры: |
||
|
Описание правила контроля приложений. |
|
|
Статус работы правила контроля приложений. |
|
|
Название созданной категории приложений, для которой применяется правило. Вы можете указать в качестве категории список приложений "Golden Image". |
|
Секция [DenyListRules.item_#.ACL.item_#] содержит список пользователей, которым разрешен или запрещен запуск приложений. |
||
|
Тип доступа, назначаемый пользователю или группе пользователей. |
|
|
Пользователь или группа пользователей, на которых распространяется правило контроля приложений. |
|
Просмотр списка созданных категорий
Вы можете просматривать список созданных категорий приложений.
В списке созданных категорий отображаются следующие категории:
- категории, созданные в Kaspersky Security Center;
- категории, добавленные в параметрах задачи Контроль приложений через командную строку;
- категория GoldenImage, созданная с помощью задачи Инвентаризация (в Kaspersky Security Center или через командную строку).
Чтобы просмотреть список созданных категорий приложений, выполните следующую команду:
kess-control [-A] --get-categories [--json]
где:
--json – формат вывода списка категорий. Если вы не укажете этот параметр, вывод будет выполнен в формате INI.
Kaspersky Embedded Systems Security отобразит следующую информацию о категории приложений:
- уникальный идентификатор (GUID) категории;
- название категории;
- описание категории (если есть);
- список условий включения файла или директории с файлами в категорию;
- список условий исключения файла или директории с файлами из категории.
Если в параметрах задачи Контроль приложений в секции [Categories.item_#] для включающих или исключающих условий срабатывания правила вы указали символические ссылки на файл приложения или на директорию с исполняемыми файлами, то при просмотре списка категорий для этих условий будет отображаться исходный путь, на который ссылается символическая ссылка.
В начало