Kaspersky Endpoint Security для Windows 11.7.0
Русский

Содержание

Лучшие практики по внедрению режима списка разрешенных программ

При планировании внедрения режима списка разрешенных программ рекомендуется выполнить следующие действия:

  1. Произвести следующие виды группировок:
    • Группы пользователей. Группы пользователей, для которых необходимо разрешить использование различных наборов программ.
    • Группы администрирования. Одна или несколько групп компьютеров, к которым Kaspersky Security Center будет применять режим списка разрешенных программ. Создание нескольких групп компьютеров необходимо, если для этих групп используются различные параметры режима списка разрешенных.
  2. Составить список программ, запуск которых необходимо разрешить.

    Перед составлением списка рекомендуется выполнить следующие действия:

    1. Запустить задачу инвентаризации.

      Информация о создании, изменении параметров и запуске задачи инвентаризации доступна в разделе Управление задачами.

    2. Просмотреть список исполняемых файлов.

В этом разделе

Настройка режима списка разрешенных программ

Тестирование режима списка разрешенных программ

Поддержка режима списка разрешенных программ
В начало
[Topic 159634]

Настройка режима списка разрешенных программ

При настройке режима списка разрешенных программ рекомендуется выполнить следующие действия:

  1. Создать категории программ, содержащие те программы, запуск которых необходимо разрешить.

    Вы можете выбрать один из следующих способов формирования категорий программ:

    • Пополняемая вручную категория. Вы можете вручную пополнять эту категорию, используя следующие условия:
      • Метаданные файла. Kaspersky Security Center добавляет в категорию программ все исполняемые файлы, сопровождающиеся указанными метаданными.
      • Хеш файла. Kaspersky Security Center добавляет в категорию программ все исполняемые файлы, имеющие указанный хеш.

        Использование этого условия исключает возможность автоматической установки обновлений, поскольку файлы различных версий будут иметь различный хеш.

      • Сертификат файла. Kaspersky Security Center добавляет в категорию программ все исполняемые файлы, подписанные указанным сертификатом.
      • KL-категория. Kaspersky Security Center добавляет в категорию программ все программы, входящие в указанную KL-категорию.
      • Папка программы. Kaspersky Security Center добавляет в категорию программ все исполняемые файлы из этой папки.

        Использование условия "Папка программы" небезопасно, поскольку запуск любой программы из указанной папки будет разрешен. Правила, использующие категории программ с условием "Папка программы", рекомендуется применять только к тем пользователям, для которых необходимо разрешить автоматическую установку обновлений.

    • Категория, в которую входят исполняемые файлы из указанной папки. Вы можете указать папку, исполняемые файлы из которой будут автоматически попадать в создаваемую категорию программ.
    • Категория, в которую входят исполняемые файлы с выбранных устройств. Вы можете указать компьютер, все исполняемые файлы которого будут автоматически попадать в создаваемую категорию программ.

      При использовании этого способа формирования категорий программ Kaspersky Security Center получает информацию о программах на компьютере из папки Исполняемые файлы.

  2. Выбрать режим списка разрешенных программ для компонента Контроль программ.
  3. Создать правила Контроля программ с использованием созданных категорий программ.

    Для режима Список разрешенных программ изначально заданы правила Программы ОС и Доверенные программы обновления. Эти правила Контроля программ соответствуют KL-категориям. В KL-категорию "Программы ОС" входят программы, обеспечивающие нормальную работу операционной системы. В KL-категорию "Доверенные программы обновления" входят программы обновления наиболее известных производителей программного обеспечения. Вы не можете удалить эти правила. Параметры этих правил недоступны для изменения. По умолчанию правило Программы ОС включено, а правило Доверенные программы обновления выключено. Запуск программ, соответствующих условиям срабатывания этих правил, разрешен всем пользователям.

  4. Определить те программы, для которых необходимо разрешить автоматическую установку обновлений.

    Вы можете разрешить автоматическую установку обновлений одним из следующих способов:

    • Указать расширенный список разрешенных программ, разрешив запуск всех программ, входящих в любую из KL-категорий.
    • Указать расширенный список разрешенных программ, разрешив запуск всех программ, подписанных сертификатами.

      Чтобы разрешить запуск всех программ, подписанных сертификатами, вы можете создать категорию с условием на основе сертификата, в котором используется только параметр Субъект со значением *.

    • Для правила Контроля программ установить параметр Доверенные программы обновления. Если этот флажок установлен, то Kaspersky Endpoint Security будет считать программы, входящие в правило, доверенными программами обновления. Kaspersky Endpoint Security разрешает запуск программ, которые были установлены или обновлены программами, входящими в правило. При этом программы не должны попадать под действие запрещающих правил.

      При миграции параметров Kaspersky Endpoint Security осуществляется также миграция списка исполняемых файлов, созданных доверенными программами обновления.

    • Создать папку и поместить в нее исполняемые файлы программ, для которых вы хотите разрешить автоматическую установку обновлений. Далее создать категорию программ с условием "Папка программы" и указать путь к этой папке. Далее создать разрешающее правило и выбрать эту категорию.

      Использование условия "Папка программы" небезопасно, поскольку запуск любой программы из указанной папки будет разрешен. Правила, использующие категории программ с условием "Папка программы", рекомендуется применять только к тем пользователям, для которых необходимо разрешить автоматическую установку обновлений.

В начало
[Topic 165718]

Тестирование режима списка разрешенных программ

Чтобы убедиться, что правила Контроля программ не блокируют программы, необходимые для работы, рекомендуется после создания правил включить тестирование правил Контроля программ и проанализировать их работу. При включении тестирования Kaspersky Endpoint Security не будет блокировать программы, запуск которых запрещен правилами Контроля программ, но будет отправлять уведомления об их запуске на Сервер администрирования.

При тестировании режима списка разрешенных программ рекомендуется выполнить следующие действия:

  1. Определить период тестирования (от нескольких дней до двух месяцев).
  2. Включить тестирование правил Контроля программ.
  3. Проанализировать результаты тестирования, используя события по результатам тестовой работы Компонента программ и отчеты о запрещенных программах в тестовом режиме.
  4. По результатам анализа внести изменения в параметры режима списка разрешенных программ.

    В частности, по результатам тестирования вы можете добавить в категорию программ исполняемые файлы, связанные с событиями.

В начало
[Topic 165699]

Поддержка режима списка разрешенных программ

После выбора блокирующего действия Контроля программ рекомендуется продолжать поддержку режима списка разрешенных программ, выполняя следующие действия:

  • Анализировать работу правил Контроля программ, используя события по результатам работы Контроля программ и отчеты о запрещенных запусках.
  • Анализировать запросы доступа к программам, получаемые от пользователей.
  • Анализировать незнакомые исполняемые файлы, проверяя их репутацию в Kaspersky Security Network.
  • Перед установкой обновлений для операционной системы или для программного обеспечения устанавливать эти обновления на тестовой группе компьютеров, чтобы проверить, как они будут обрабатываться правилами Контроля программ.
  • Добавлять необходимые программы в категории, используемые в правилах Контроля программ.
В начало
[Topic 165710]