Защита компьютера

Защита от файловых угроз

Компонент Защита от файловых угроз позволяет избежать заражения файловой системы компьютера. По умолчанию компонент Защита от файловых угроз постоянно находится в оперативной памяти компьютера. Компонент проверяет файлы на всех дисках компьютера, а также на подключенных дисках. Компонент обеспечивает защиту компьютера с помощью антивирусных баз, облачной службы Kaspersky Security Network и эвристического анализа.

Компонент проверяет файлы, к которым обращается пользователь или программа. При обнаружении вредоносного файла Kaspersky Endpoint Security блокирует операцию с файлом. Далее программа лечит или удаляет вредоносный файл, в зависимости от настройки компонента Защита от файловых угроз.

При обращении к файлу, содержимое которого расположено в облачном хранилище OneDrive, Kaspersky Endpoint Security загружает и проверяет содержимое этого файла.

Включение и выключение Защиты от файловых угроз

По умолчанию компонент Защита от файловых угроз включен и работает в рекомендованном специалистами "Лаборатории Касперского" режиме. Для работы Защиты от файловых угроз Kaspersky Endpoint Security применяет разные наборы настроек. Наборы настроек, сохраненные в программе, называются уровнями безопасности: Высокий, Рекомендуемый, Низкий. Параметры уровня безопасности Рекомендуемый считаются оптимальными, они рекомендованы специалистами "Лаборатории Касперского" (см. таблицу ниже). Вы можете выбрать один из предустановленных уровней безопасности или настроить параметры уровня безопасности самостоятельно. После того как вы изменили параметры уровня безопасности, вы всегда можете вернуться к рекомендуемым параметрам уровня безопасности.

Чтобы включить или выключить компонент Защита от файловых угроз, выполните следующие действия:

1. В главном окне программы нажмите на кнопку .
2. В окне параметров программы выберите раздел Базовая защита → Защита от файловых угроз.
3. Используйте переключатель Защита от файловых угроз, чтобы включить или выключить компонент.
4. Если вы включили компонент, в блоке Уровень безопасности выполните одно из следующих действий:
   • Если вы хотите применить один из предустановленных уровней безопасности, выберите его при помощи ползунка:
     • Высокий. Уровень безопасности файлов, при котором компонент Защита от файловых угроз максимально контролирует все открываемые, сохраняемые и запускаемые файлы. Компонент Защита от файловых угроз проверяет все типы файлов на всех жестких, сменных и сетевых дисках компьютера, а также архивы, установочные пакеты и вложенные OLE-объекты.
     • Рекомендуемый. Уровень безопасности файлов, который рекомендован для использования специалистами "Лаборатории Касперского". Компонент Защита от файловых угроз проверяет только файлы определенных форматов на всех жестких, сменных и сетевых дисках компьютера, а также вложенные OLE-объекты, компонент Защита от файловых угроз не проверяет архивы и установочные пакеты. Значения параметров для рекомендуемого уровня безопасности см. в таблице ниже.
     • Низкий. Уровень безопасности файлов, параметры которого обеспечивают максимальную скорость проверки. Компонент Защита от файловых угроз проверяет только файлы с определенными расширениями на всех жестких, сменных и сетевых дисках компьютера, компонент Защита от файловых угроз не проверяет составные файлы.
   • Если вы хотите настроить уровень безопасности самостоятельно, нажмите на кнопку Расширенная настройка и задайте параметры работы компонента.

     Вы можете восстановить значения предустановленных уровней безопасности по кнопке Восстановить рекомендуемый уровень безопасности в верхней части окна.

5. Сохраните внесенные изменения.

   Параметры Защиты от файловых угроз, рекомендованные специалистами "Лаборатории Касперского", (рекомендованный уровень безопасности)

   Параметр	Значение	Описание
   Типы файлов	Файлы, проверяемые по формату	Если выбран этот параметр, Kaspersky Endpoint Security проверяет только потенциально заражаемые файлы Файл, который в силу своей структуры или формата может быть использован злоумышленниками в качестве "контейнера" для размещения и распространения вредоносного кода. Как правило, это исполняемые файлы, например, с расширением com, exe, dll и др. Риск внедрения в такие файлы вредоносного кода достаточно высок. Файл, который в силу своей структуры или формата может быть использован злоумышленниками в качестве "контейнера" для размещения и распространения вредоносного кода. Как правило, это исполняемые файлы, например, с расширением com, exe, dll и др. Риск внедрения в такие файлы вредоносного кода достаточно высок. . Перед началом поиска вредоносного кода в файле выполняется анализ его внутреннего заголовка на предмет формата файла (например, TXT, DOC, EXE). В процессе проверки учитывается также расширение файла.
   Эвристический анализ	Поверхностный	Технология обнаружения угроз, которые невозможно определить с помощью текущей версии баз программ "Лаборатории Касперского". Позволяет находить файлы, которые могут содержать неизвестный вирус или новую модификацию известного вируса. Во время проверки файлов на наличие вредоносного кода эвристический анализатор выполняет инструкции в исполняемых файлах. Количество инструкций, которые выполняет эвристический анализатор, зависит от заданного уровня эвристического анализа. Уровень эвристического анализа обеспечивает баланс между тщательностью поиска новых угроз, степенью загрузки ресурсов операционной системы и длительностью эвристического анализа.
   Проверять только новые и измененные файлы	Включено	Проверка только новых файлов и тех файлов, которые изменились после предыдущей проверки. Это позволит сократить время выполнения проверки. Такой режим проверки распространяется как на простые, так и на составные файлы.
   Технология iSwift	Включено	Технология, позволяющая увеличить скорость проверки за счет исключения из нее некоторых файлов. Файлы исключаются из проверки по специальному алгоритму, учитывающему дату выпуска баз Kaspersky Endpoint Security, дату предыдущей проверки файла, а также изменение параметров проверки. Технология iSwift является развитием технологии iChecker для файловой системы NTFS.
   Технология iChecker	Включено	Технология, позволяющая увеличить скорость проверки за счет исключения из нее некоторых файлов. Файлы исключаются из проверки по специальному алгоритму, учитывающему дату выпуска баз Kaspersky Endpoint Security, дату предыдущей проверки файла, а также изменение настроек проверки. Технология iChecker имеет ограничение: она не работает с файлами больших размеров, а кроме того, применима только к файлам с известной программе структурой (например, к файлам формата EXE, DLL, LNK, TTF, INF, SYS, COM, CHM, ZIP, RAR).
   Проверять файлы офисных форматов	Включено	Проверка файлов Microsoft Office (DOC, DOCX, XLS, PPT и других). К файлам офисных форматов также относятся OLE-объекты.
   Режим проверки	Интеллектуальный	Режим проверки, при котором Защита от файловых угроз проверяет объект на основании анализа операций, выполняемых над объектом. Например, при работе с документом Microsoft Office Kaspersky Endpoint Security проверяет файл при первом открытии и при последнем закрытии. Все промежуточные операции перезаписи файла из проверки исключаются.
   Действие при обнаружении угрозы	Лечить; удалять, если лечение невозможно	Если выбран этот вариант действия, то Kaspersky Endpoint Security автоматически пытается вылечить все обнаруженные зараженные файлы. Если лечение невозможно, то Kaspersky Endpoint Security их удаляет.

Автоматическая приостановка Защиты от файловых угроз

Вы можете настроить автоматическую приостановку Защиты от файловых угроз в указанное время или во время работы с определенными программами.

Приостановка работы Защиты от файловых угроз при конфликте с определенными программами является экстренной мерой. Если во время работы компонента возникают какие-либо конфликты, рекомендуется обратиться в Службу технической поддержки "Лаборатории Касперского". Специалисты помогут вам наладить совместную работу компонента Защита от файловых угроз с другими программами на вашем компьютере.

Чтобы настроить автоматическую приостановку работы Защиты от файловых угроз, выполните следующие действия:

1. В главном окне программы нажмите на кнопку .
2. В окне параметров программы выберите раздел Базовая защита → Защита от файловых угроз.
3. Нажмите на кнопку Расширенная настройка.
4. В блоке Приостановка Защиты от файловых угроз перейдите по ссылке Приостановить Защиту от файловых угроз.
5. В открывшемся окне настройте параметры приостановки работы Защиты от файловых угроз:
   1. Настройте расписание автоматической приостановки Защиты от файловых угроз.
   2. Сформируйте список программ, во время работы которых Защиту от файловых угроз следует приостанавливать.
6. Сохраните внесенные изменения.

    

Изменение действия компонента Защита от файловых угроз над зараженными файлами

По умолчанию компонент Защита от файловых угроз автоматически пытается вылечить все обнаруженные зараженные файлы. Если лечение невозможно, то компонент Защита от файловых угроз удаляет эти файлы.

Чтобы изменить действие компонента Защита от файловых угроз над зараженными файлами, выполните следующие действия:

1. В главном окне программы нажмите на кнопку .
2. В окне параметров программы выберите раздел Базовая защита → Защита от файловых угроз.
3. В блоке Действие при обнаружении угрозы выберите нужный вариант:
   • Лечить; удалять, если лечение невозможно. Если выбран этот вариант действия, то Kaspersky Endpoint Security автоматически пытается вылечить все обнаруженные зараженные файлы. Если лечение невозможно, то Kaspersky Endpoint Security их удаляет.
   • Лечить; блокировать, если лечение невозможно. Если выбран этот вариант действия, то Kaspersky Endpoint Security автоматически пытается вылечить все обнаруженные зараженные файлы. Если лечение невозможно, то Kaspersky Endpoint Security добавляет информацию об обнаруженных зараженных файлах в список активных угроз.
   • Блокировать. Если выбран этот вариант действия, то компонент Защита от файловых угроз автоматически блокирует зараженные файлы без попытки их вылечить.

   Перед лечением или удалением зараженного файла Kaspersky Endpoint Security формирует его резервную копию на тот случай, если впоследствии понадобится восстановить файл или появится возможность его вылечить.

4. Сохраните внесенные изменения.

    

Формирование области защиты компонента Защита от файловых угроз

Под областью защиты подразумеваются объекты, которые проверяет компонент во время своей работы. Область защиты разных компонентов имеет разные свойства. Свойствами области защиты компонента Защита от файловых угроз являются местоположение и тип проверяемых файлов. По умолчанию компонент Защита от файловых угроз проверяет только потенциально заражаемые файлы, запускаемые со всех жестких, съемных и сетевых дисков компьютера.

Выбирая тип проверяемых файлов, нужно учитывать следующее:

1. Вероятность внедрения вредоносного кода в файлы некоторых форматов и его последующей активации низка (например, формат TXT). В то же время существуют форматы файлов, которые содержат исполняемый код (например, форматы EXE, DLL). Также исполняемый код могут содержать форматы файлов, которые для этого не предназначены (например, формат DOC). Риск внедрения в такие файлы вредоносного кода и его активации высок.
2. Злоумышленник может отправить вирус или другую программу, представляющую угрозу, на ваш компьютер в исполняемом файле, переименованном в файл с расширением txt. Если вы выбрали проверку файлов по расширению, то в процессе проверки программа пропускает такой файл. Если же выбрана проверка файлов по формату, то вне зависимости от расширения Kaspersky Endpoint Security анализирует заголовок файла. Если в результате выясняется, что файл имеет формат исполняемого файла (например, EXE), то программа проверяет его.

Чтобы сформировать область защиты, выполните следующие действия:

1. В главном окне программы нажмите на кнопку .
2. В окне параметров программы выберите раздел Базовая защита → Защита от файловых угроз.
3. Нажмите на кнопку Расширенная настройка.
4. В блоке Типы файлов укажите тип файлов, которые вы хотите проверять компонентом Защита от файловых угроз:
   • Все файлы. Если выбран этот параметр, Kaspersky Endpoint Security проверяет все файлы без исключения (любых форматов и расширений).
   • Файлы, проверяемые по формату. Если выбран этот параметр, Kaspersky Endpoint Security проверяет только потенциально заражаемые файлы. Перед началом поиска вредоносного кода в файле выполняется анализ его внутреннего заголовка на предмет формата файла (например, TXT, DOC, EXE). В процессе проверки учитывается также расширение файла.
   • Файлы, проверяемые по расширению. Если выбран этот параметр, Kaspersky Endpoint Security проверяет только потенциально заражаемые файлы. Формат файла определяется на основании его расширения.
5. Перейдите по ссылке Изменить область защиты.
6. В открывшемся окне выберите объекты, которые вы хотите добавить в область защиты или исключить из нее.

   Вы не можете удалить или изменить объекты, включенные в область защиты по умолчанию.

7. Если вы хотите добавить новый объект в область защиты, выполните следующие действия:
   1. Нажмите на кнопку Добавить.

      Откроется дерево папок.

   2. Выберите объект и нажмите на кнопку Выбрать.

   Вы можете исключить объект из проверки, не удаляя его из списка объектов области проверки. Для этого снимите флажок рядом с ним.

8. Сохраните внесенные изменения.

    

Использование методов проверки

Во время своей работы Kaspersky Endpoint Security использует метод проверки Машинное обучение и сигнатурный анализ. В процессе сигнатурного анализа Kaspersky Endpoint Security сравнивает найденный объект с записями в базах программы. В соответствии с рекомендациями специалистов "Лаборатории Касперского" метод проверки Машинное обучение и сигнатурный анализ всегда включен.

Чтобы повысить эффективность защиты, вы можете использовать эвристический анализ. Во время проверки файлов на наличие вредоносного кода эвристический анализатор выполняет инструкции в исполняемых файлах. Количество инструкций, которые выполняет эвристический анализатор, зависит от заданного уровня эвристического анализа. Уровень эвристического анализа обеспечивает баланс между тщательностью поиска новых угроз, степенью загрузки ресурсов операционной системы и длительностью эвристического анализа.

Чтобы настроить использование эвристического анализа в работе компонента Защита от файловых угроз, выполните следующие действия:

1. В главном окне программы нажмите на кнопку .
2. В окне параметров программы выберите раздел Базовая защита → Защита от файловых угроз.
3. Нажмите на кнопку Расширенная настройка.
4. В блоке Методы проверки установите флажок Эвристический анализ, если вы хотите, чтобы программа использовала эвристический анализ для защиты от файловых угроз. Далее при помощи ползунка задайте уровень эвристического анализа: Поверхностный, Средний или Глубокий.
5. Сохраните внесенные изменения.

    

Использование технологий проверки в работе компонента Защита от файловых угроз

Чтобы настроить использование технологий проверки в работе компонента Защита от файловых угроз, выполните следующие действия:

1. В главном окне программы нажмите на кнопку .
2. В окне параметров программы выберите раздел Базовая защита → Защита от файловых угроз.
3. Нажмите на кнопку Расширенная настройка.
4. В блоке Технологии проверки установите флажки около названий технологий, которые вы хотите использовать для защиты от файловых угроз:
   • Технология iSwift. Технология, позволяющая увеличить скорость проверки за счет исключения из нее некоторых файлов. Файлы исключаются из проверки по специальному алгоритму, учитывающему дату выпуска баз Kaspersky Endpoint Security, дату предыдущей проверки файла, а также изменение параметров проверки. Технология iSwift является развитием технологии iChecker для файловой системы NTFS.
   • Технология iChecker. Технология, позволяющая увеличить скорость проверки за счет исключения из нее некоторых файлов. Файлы исключаются из проверки по специальному алгоритму, учитывающему дату выпуска баз Kaspersky Endpoint Security, дату предыдущей проверки файла, а также изменение настроек проверки. Технология iChecker имеет ограничение: она не работает с файлами больших размеров, а кроме того, применима только к файлам с известной программе структурой (например, к файлам формата EXE, DLL, LNK, TTF, INF, SYS, COM, CHM, ZIP, RAR).
5. Сохраните внесенные изменения.

Оптимизация проверки файлов

Вы можете оптимизировать проверку файлов компонентом Защита от файловых угроз: сократить время проверки и увеличить скорость работы Kaspersky Endpoint Security. Этого можно достичь, если проверять только новые файлы и те файлы, которые изменились с момента их предыдущего анализа. Такой режим проверки распространяется как на простые, так и на составные файлы.

Вы также можете включить использование технологий iChecker и iSwift, которые позволяют оптимизировать скорость проверки файлов за счет исключения из проверки файлов, не измененных с момента их последней проверки.

Чтобы оптимизировать проверку файлов, выполните следующие действия:

1. В главном окне программы нажмите на кнопку .
2. В окне параметров программы выберите раздел Базовая защита → Защита от файловых угроз.
3. Нажмите на кнопку Расширенная настройка.
4. В блоке Оптимизация проверки установите флажок Проверять только новые и измененные файлы.
5. Сохраните внесенные изменения.

    

Проверка составных файлов

Распространенной практикой сокрытия вирусов и других программ, представляющих угрозу, является внедрение их в составные файлы, например, архивы или базы данных. Чтобы обнаружить скрытые таким образом вирусы и другие программы, представляющие угрозу, составной файл нужно распаковать, что может привести к снижению скорости проверки. Вы можете ограничить типы проверяемых составных файлов, таким образом увеличив скорость проверки.

Способ обработки зараженного составного файла (лечение или удаление) зависит от типа файла.

Компонент Защита от файловых угроз лечит составные файлы форматов RAR, ARJ, ZIP, CAB, LHA и удаляет файлы всех остальных форматов (кроме почтовых баз).

Чтобы настроить проверку составных файлов, выполните следующие действия:

1. В главном окне программы нажмите на кнопку .
2. В окне параметров программы выберите раздел Базовая защита → Защита от файловых угроз.
3. Нажмите на кнопку Расширенная настройка.
4. В блоке Проверка составных файлов укажите, какие составные файлы вы хотите проверять: архивы, установочные пакеты или файлы офисных форматов.
5. Если режим проверки только новых и измененных файлов выключен, настройте параметры проверки каждого типа составных файлов: проверка всех файлов этого типа или только новых файлов.

   Если режим проверки только новых и измененных файлов включен, Kaspersky Endpoint Security проверяет только новые и измененные файлы всех типов составных файлов.

6. Настройте дополнительные параметры проверки составных файлов:
   • Не распаковывать составные файлы большого размера.

     Если флажок установлен, то Kaspersky Endpoint Security не проверяет составные файлы, размеры которых больше заданного значения.

     Если флажок снят, Kaspersky Endpoint Security проверяет составные файлы любого размера.

     Kaspersky Endpoint Security проверяет файлы больших размеров, извлеченные из архивов, независимо от того, установлен ли флажок Не распаковывать составные файлы большого размера.

   • Распаковывать составные файлы в фоновом режиме.

     Если флажок установлен, Kaspersky Endpoint Security предоставляет доступ к составным файлам, размер которых превышает заданное значение, до проверки этих файлов. При этом Kaspersky Endpoint Security в фоновом режиме распаковывает и проверяет составные файлы.

     Kaspersky Endpoint Security предоставляет доступ к составным файлам, размер которых меньше данного значения, только после распаковки и проверки этих файлов.

     Если флажок снят, Kaspersky Endpoint Security предоставляет доступ к составным файлам только после распаковки и проверки файлов любого размера.

7. Сохраните внесенные изменения.

Изменение режима проверки файлов

Под режимом проверки подразумевается условие, при котором компонент Защита от файловых угроз начинает проверять файлы. По умолчанию Kaspersky Endpoint Security использует интеллектуальный режим проверки файлов. Работая в этом режиме проверки файлов, компонент Защита от файловых угроз принимает решение о проверке файлов на основании анализа операций, которые пользователь, программа от имени пользователя (под учетными данными которого был осуществлен вход в операционную систему или другого пользователя) или операционная система выполняет над файлами. Например, работая с документом Microsoft Office Word, Kaspersky Endpoint Security проверяет файл при первом открытии и при последнем закрытии. Все промежуточные операции перезаписи файла из проверки исключаются.

Чтобы изменить режим проверки файлов, выполните следующие действия:

1. В главном окне программы нажмите на кнопку .
2. В окне параметров программы выберите раздел Базовая защита → Защита от файловых угроз.
3. Нажмите на кнопку Расширенная настройка.
4. В блоке Режим проверки выберите нужный режим:
   • Интеллектуальный. Режим проверки, при котором Защита от файловых угроз проверяет объект на основании анализа операций, выполняемых над объектом. Например, при работе с документом Microsoft Office Kaspersky Endpoint Security проверяет файл при первом открытии и при последнем закрытии. Все промежуточные операции перезаписи файла из проверки исключаются.
   • При доступе и изменении. Режим проверки, при котором Защита от файловых угроз проверяет объекты при попытке их открыть или изменить.
   • При доступе. Режим проверки, при котором Защита от файловых угроз проверяет объекты только при попытке их открыть.
   • При выполнении. Режим проверки, при котором Защита от файловых угроз проверяет объекты только при попытке их запустить.
5. Сохраните внесенные изменения.

Защита от веб-угроз

Этот компонент доступен, если программа Kaspersky Endpoint Security установлена на компьютере под управлением операционной системы Windows для рабочих станций. Этот компонент недоступен, если программа Kaspersky Endpoint Security установлена на компьютере под управлением операционной системы Windows для серверов.

Компонент Защита от веб-угроз предотвращает загрузку вредоносных файлов из интернета, а также блокирует вредоносные и фишинговые веб-сайты. Компонент обеспечивает защиту компьютера с помощью антивирусных баз, облачной службы Kaspersky Security Network и эвристического анализа.

Kaspersky Endpoint Security проверяет HTTP-, HTTPS- и FTP-трафик. Kaspersky Endpoint Security проверяет URL- и IP-адреса. Вы можете задать порты, которые Kaspersky Endpoint Security будет контролировать, или выбрать все порты.

Для контроля HTTPS-трафика нужно включить проверку защищенных соединений.

При попытке пользователя открыть вредоносный или фишинговый веб-сайт, Kaspersky Endpoint Security заблокирует доступ и покажет предупреждение (см. рис. ниже).

Сообщение о запрете доступа к веб-сайту

Включение и выключение Защиты от веб-угроз

По умолчанию компонент Защита от веб-угроз включен и работает в рекомендованном специалистами "Лаборатории Касперского" режиме. Для работы Защиты от веб-угроз Kaspersky Endpoint Security применяет разные наборы настроек. Наборы настроек, сохраненные в программе, называются уровнями безопасности: Высокий, Рекомендуемый, Низкий. Параметры уровня безопасности веб-трафика Рекомендуемый считаются оптимальными, они рекомендованы специалистами "Лаборатории Касперского" (см. таблицу ниже). Вы можете выбрать один из предустановленных уровней безопасности веб-трафика, получаемых или передаваемых по протоколам HTTP и FTP, или настроить уровень безопасности веб-трафика самостоятельно. После того как вы изменили параметры уровня безопасности веб-трафика, вы всегда можете вернуться к рекомендуемым параметрам уровня безопасности веб-трафика.

Чтобы включить или выключить компонент Защита от веб-угроз выполните следующие действия:

1. В главном окне программы нажмите на кнопку .
2. В окне параметров программы выберите раздел Базовая защита → Защита от веб-угроз.
3. Используйте переключатель Защита от веб-угроз, чтобы включить или выключить компонент.
4. Если вы включили компонент, в блоке Уровень безопасности выполните одно из следующих действий:
   • Если вы хотите применить один из предустановленных уровней безопасности, выберите его при помощи ползунка:
     • Высокий. Уровень безопасности веб-трафика, при котором компонент Защита от веб-угроз максимально проверяет веб-трафик, поступающий на компьютер по HTTP- и FTP-протоколам. Защита от веб-угроз детально проверяет все объекты веб-трафика, используя полный набор баз программы, а также выполняет максимально глубокий 
       эвристический анализ

       Технология обнаружения угроз, которые невозможно определить с помощью текущей версии баз программ "Лаборатории Касперского". Позволяет находить файлы, которые могут содержать неизвестный вирус или новую модификацию известного вируса.

       .
     • Рекомендуемый. Уровень безопасности веб-трафика, обеспечивающий оптимальный баланс между производительностью Kaspersky Endpoint Security и безопасностью веб-трафика. Компонент Защита от веб-угроз выполняет эвристический анализ на уровне Средний. Этот уровень безопасности веб-трафика рекомендован для использования специалистами "Лаборатории Касперского". Значения параметров для рекомендуемого уровня безопасности см. в таблице ниже.
     • Низкий. Уровень безопасности веб-трафика, параметры которого обеспечивают максимальную скорость проверки веб-трафика. Компонент Защита от веб-угроз выполняет эвристический анализ на уровне Поверхностный.
   • Если вы хотите настроить уровень безопасности самостоятельно, нажмите на кнопку Расширенная настройка и задайте параметры работы компонента.

     Вы можете восстановить значения предустановленных уровней безопасности по кнопке Восстановить рекомендуемый уровень безопасности в верхней части окна.

5. Сохраните внесенные изменения.

   Параметры Защиты от веб-угроз, рекомендованные специалистами "Лаборатории Касперского", (рекомендованный уровень безопасности)

   Параметр	Значение	Описание
   Проверять веб-адрес по базе вредоносных веб-адресов	Включено	Проверка ссылок на принадлежность к базе вредоносных веб-адресов позволяет отследить веб-сайты, которые находятся в списке запрещенных веб-адресов. База вредоносных веб-адресов формируется специалистами "Лаборатории Касперского", входит в комплект поставки программы и пополняется при обновлении баз Kaspersky Endpoint Security.
   Проверять веб-адрес по базе фишинговых веб-адресов	Включено	В состав базы фишинговых веб-адресов включены веб-адреса известных на настоящее время веб-сайтов, которые используются для фишинг-атак. Базу фишинговых веб-адресов специалисты "Лаборатории Касперского" пополняют веб-адресами, предоставленными международной организацией по борьбе с фишингом The Anti-Phishing Working Group. База фишинговых веб-адресов входит в комплект поставки программы и пополняется при обновлении баз Kaspersky Endpoint Security.
   Использовать эвристический анализ (Защита от веб-угроз)	Средний	Технология обнаружения угроз, которые невозможно определить с помощью текущей версии баз программ "Лаборатории Касперского". Позволяет находить файлы, которые могут содержать неизвестный вирус или новую модификацию известного вируса. Во время проверки веб-трафика на наличие вирусов и других программ, представляющих угрозу эвристический анализатор выполняет инструкции в исполняемых файлах. Количество инструкций, которые выполняет эвристический анализатор, зависит от заданного уровня эвристического анализа. Уровень эвристического анализа обеспечивает баланс между тщательностью поиска новых угроз, степенью загрузки ресурсов операционной системы и длительностью эвристического анализа.
   Использовать эвристический анализ (Анти-Фишинг)	Включено	Технология обнаружения угроз, которые невозможно определить с помощью текущей версии баз программ "Лаборатории Касперского". Позволяет находить файлы, которые могут содержать неизвестный вирус или новую модификацию известного вируса.
   Действие при обнаружении угрозы	Запрещать загрузку	Если выбран этот вариант, то в случае обнаружения в веб-трафике зараженного объекта компонент Защита от веб-угроз блокирует доступ к объекту и показывает сообщение в браузере.

    

Изменение действия над вредоносными объектами веб-трафика

По умолчанию в случае обнаружения в веб-трафике зараженного объекта компонент Защита от веб-угроз блокирует доступ к объекту и выводит на экран окно уведомления о блокировке.

Чтобы изменить действие над вредоносными объектами веб-трафика, выполните следующие действия:

1. В главном окне программы нажмите на кнопку .
2. В окне параметров программы выберите раздел Базовая защита → Защита от веб-угроз.
3. В блоке Действие при обнаружении угрозы выберите вариант действия, которое Kaspersky Endpoint Security выполняет над вредоносными объектами веб-трафика:
   • Запрещать загрузку. Если выбран этот вариант, то в случае обнаружения в веб-трафике зараженного объекта компонент Защита от веб-угроз блокирует доступ к объекту и показывает сообщение в браузере.
   • Информировать. Если выбран этот вариант, то в случае обнаружения в веб-трафике зараженного объекта, Kaspersky Endpoint Security разрешает загрузку этого объекта на компьютер и добавляет информацию о зараженном объекте в список активных угроз.
4. Сохраните внесенные изменения.

    

Проверка ссылок по базам фишинговых и вредоносных веб-адресов

Проверка ссылок на принадлежность к фишинговым веб-адресам позволяет избежать фишинговых атак. Частным примером фишинговых атак может служить сообщение электронной почты якобы от банка, клиентом которого вы являетесь, со ссылкой на официальный веб-сайт банка в интернете. Воспользовавшись ссылкой, вы попадаете на точную копию веб-сайта банка и даже можете видеть его веб-адрес в браузере, однако находитесь на фиктивном веб-сайте. Все ваши дальнейшие действия на веб-сайте отслеживаются и могут быть использованы для кражи ваших денежных средств.

Поскольку ссылка на фишинговый веб-сайт может содержаться не только в сообщении электронной почты, но и, например, в тексте ICQ-сообщения, компонент Защита от веб-угроз отслеживает попытки перейти на фишинговый веб-сайт на уровне проверки веб-трафика и блокирует доступ к таким веб-сайтам. Списки фишинговых веб-адресов включены в комплект поставки Kaspersky Endpoint Security.

Чтобы настроить проверку компонентом Защита от веб-угроз ссылок по базам фишинговых и вредоносных веб-адресов, выполните следующие действия:

1. В главном окне программы нажмите на кнопку .
2. В окне параметров программы выберите раздел Базовая защита → Защита от веб-угроз.
3. Нажмите на кнопку Расширенная настройка.
4. Выполните следующие действия:
   • В блоке Методы проверки установите флажок Проверять веб-адрес по базе вредоносных веб-адресов, если вы хотите, чтобы компонент Защита от веб-угроз проверял ссылки по базам вредоносных веб-адресов. Проверка ссылок на принадлежность к базе вредоносных веб-адресов позволяет отследить веб-сайты, которые находятся в списке запрещенных веб-адресов. База вредоносных веб-адресов формируется специалистами "Лаборатории Касперского", входит в комплект поставки программы и пополняется при обновлении баз Kaspersky Endpoint Security.

     Kaspersky Endpoint Security проверяет все ссылки по базам вредоносных веб-адресов. Параметры проверки защищенных соединений программы не влияют на проверку ссылок. То есть, если проверка защищенных соединений выключена, Kaspersky Endpoint Security проверяет ссылки по базам вредоносных веб-адресов, даже если сетевой трафик передается по защищенному соединению.

   • В блоке Анти-Фишинг установите флажок Проверять веб-адрес по базе фишинговых веб-адресов, если вы хотите, чтобы компонент Защита от веб-угроз проверял ссылки по базам фишинговых веб-адресов. В состав базы фишинговых веб-адресов включены веб-адреса известных на настоящее время веб-сайтов, которые используются для фишинг-атак. Базу фишинговых веб-адресов специалисты "Лаборатории Касперского" пополняют веб-адресами, предоставленными международной организацией по борьбе с фишингом The Anti-Phishing Working Group. База фишинговых веб-адресов входит в комплект поставки программы и пополняется при обновлении баз Kaspersky Endpoint Security.

     Для проверки ссылок вы также можете использовать репутационные базы Kaspersky Security Network.

5. Сохраните внесенные изменения.

Использование эвристического анализа в работе компонента Защита от веб-угроз

Чтобы повысить эффективность защиты, вы можете использовать эвристический анализ. В процессе эвристического анализа Kaspersky Endpoint Security анализирует активность, которую программы производят в операционной системе. Эвристический анализ позволяет обнаруживать угрозы, записей о которых еще нет в базах Kaspersky Endpoint Security.

Чтобы настроить использование эвристического анализа, выполните следующие действия:

1. В главном окне программы нажмите на кнопку .
2. В окне параметров программы выберите раздел Базовая защита → Защита от веб-угроз.
3. Нажмите на кнопку Расширенная настройка.
4. В блоке Методы проверки установите флажок Использовать эвристический анализ, если вы хотите, чтобы программа использовала эвристический анализ при проверке веб-трафика на наличие вирусов и других программ, представляющих угрозу. Далее при помощи ползунка задайте уровень эвристического анализа: Поверхностный, Средний или Глубокий.
5. В блоке Анти-Фишинг установите флажок Использовать эвристический анализ, если вы хотите, чтобы программа использовала эвристический анализ при проверке веб-страниц на наличие фишинговых ссылок.
6. Сохраните внесенные изменения.

    

Формирование списка доверенных веб-адресов

Вы можете сформировать список веб-адресов, содержанию которых вы доверяете. Компонент Защита от веб-угроз не анализирует информацию, поступающую с доверенных веб-адресов, на присутствие вирусов и других программ, представляющих угрозу. Такая возможность может быть использована, например, в том случае, если компонент Защита от веб-угроз препятствует загрузке файла с известного вам веб-сайта.

Под веб-адресом подразумевается адрес как отдельной веб-страницы, так и веб-сайта.

Чтобы сформировать список доверенных веб-адресов, выполните следующие действия:

1. В главном окне программы нажмите на кнопку .
2. В окне параметров программы выберите раздел Базовая защита → Защита от веб-угроз.
3. Нажмите на кнопку Расширенная настройка.
4. Установите флажок Не проверять веб-трафик с доверенных веб-адресов.

   Если флажок установлен, компонент Защита от веб-угроз не проверяет содержимое веб-страниц / веб-сайтов, адреса которых включены в список доверенных веб-адресов. Вы можете добавить в список доверенных веб-адресов как конкретный адрес веб-страницы / веб-сайта, так и маску адреса веб-страницы / веб-сайта.

5. Сформируйте список адресов веб-сайтов / веб-страниц, содержимому которых вы доверяете.
6. Сохраните внесенные изменения.

Экспорт и импорт списка доверенных веб-адресов

Вы можете экспортировать список доверенных веб-адресов в файл в формате XML. Далее вы можете вносить изменения в файл, чтобы, например, добавить большое количество однотипных веб-адресов. Также вы можете использовать функцию экспорта / импорта для резервного копирования списка доверенных веб-адресов или для миграции списка на другой сервер.

Как экспортировать / импортировать список доверенных веб-адресов в Консоли администрирования (MMC)

Как экспортировать / импортировать список доверенных веб-адресов в Web Console и Cloud Console

Защита от почтовых угроз

Этот компонент доступен, если программа Kaspersky Endpoint Security установлена на компьютере под управлением операционной системы Windows для рабочих станций. Этот компонент недоступен, если программа Kaspersky Endpoint Security установлена на компьютере под управлением операционной системы Windows для серверов.

Компонент Защита от почтовых угроз проверяет вложения входящих и исходящих сообщений электронной почты на наличие в них вирусов и других программ, представляющих угрозу. Также компонент проверяет сообщения на наличие вредоносных и фишинговых ссылок. По умолчанию компонент Защита от почтовых угроз постоянно находится в оперативной памяти компьютера и проверяет все сообщения, получаемые или отправляемые по протоколам POP3, SMTP, IMAP, NNTP или в почтовом клиенте Microsoft Office Outlook (MAPI). Компонент обеспечивает защиту компьютера с помощью антивирусных баз, облачной службы Kaspersky Security Network и эвристического анализа.

Компонент Защита от почтовых угроз не проверяет сообщения, если почтовый клиент открыт в браузере.

При обнаружении вредоносного файла во вложении Kaspersky Endpoint Security меняет тему сообщения: [Сообщение заражено] <тема сообщения> или [Зараженный объект удален] <тема сообщения>.

Компонент взаимодействует с почтовыми клиентами, установленными на компьютере. Для почтового клиента Microsoft Office Outlook предусмотрено расширение с дополнительными параметрами. Расширение компонента Защита от почтовых угроз встраивается в почтовый клиент Microsoft Office Outlook во время установки Kaspersky Endpoint Security.

Включение и выключение Защиты от почтовых угроз

По умолчанию компонент Защита от почтовых угроз включен и работает в рекомендованном специалистами "Лаборатории Касперского" режиме. Для работы Защиты от почтовых угроз Kaspersky Endpoint Security применяет разные наборы настроек. Наборы настроек, сохраненные в программе, называются уровнями безопасности: Высокий, Рекомендуемый, Низкий. Параметры уровня безопасности почты Рекомендуемый считаются оптимальными, они рекомендованы специалистами "Лаборатории Касперского" (см. таблицу ниже). Вы можете выбрать один из предустановленных уровней безопасности почты или настроить уровень безопасности почты самостоятельно. После того как вы изменили параметры уровня безопасности почты, вы всегда можете вернуться к рекомендуемым параметрам уровня безопасности почты.

Чтобы включить или выключить компонент Защита от почтовых угроз выполните следующие действия:

1. В главном окне программы нажмите на кнопку .
2. В окне параметров программы выберите раздел Базовая защита → Защита от почтовых угроз.
3. Используйте переключатель Защита от почтовых угроз, чтобы включить или выключить компонент.
4. Если вы включили компонент, в блоке Уровень безопасности выполните одно из следующих действий:
   • Если вы хотите применить один из предустановленных уровней безопасности, выберите его при помощи ползунка:
     • Высокий. Уровень безопасности почты, при котором компонент Защита от почтовых угроз максимально контролирует сообщения. Компонент Защита от почтовых угроз проверяет входящие и исходящие сообщения электронной почты, а также выполняет глубокий эвристический анализ. Уровень безопасности почты Высокий рекомендуется применять для работы в опасной среде. Примером опасной среды может служить подключение к одному из бесплатных почтовых сервисов из домашней сети, не обеспечивающей централизованной защиты почты.
     • Рекомендуемый. Уровень безопасности почты, обеспечивающий оптимальный баланс между производительностью Kaspersky Endpoint Security и безопасностью почты. Компонент Защита от почтовых угроз проверяет входящие и исходящие сообщения электронной почты, а также выполняет эвристический анализ среднего уровня. Этот уровень безопасности почты рекомендован для использования специалистами "Лаборатории Касперского". Значения параметров для рекомендуемого уровня безопасности см. в таблице ниже.
     • Низкий. Уровень безопасности почты, при котором компонент Защита от почтовых угроз проверяет только входящие сообщения электронной почты, а также выполняет поверхностный эвристический анализ и не проверяет архивы, вложенные в сообщения. Если используется этот уровень безопасности почты, компонент Защита от почтовых угроз проверяет сообщения электронной почты максимально быстро и затрачивает минимум ресурсов операционной системы. Уровень безопасности почты Низкий рекомендуется применять для работы в хорошо защищенной среде. Примером такой среды может служить локальная сеть организации с централизованным обеспечением безопасности почты.
   • Если вы хотите настроить уровень безопасности самостоятельно, нажмите на кнопку Расширенная настройка и задайте параметры работы компонента.

     Вы можете восстановить значения предустановленных уровней безопасности по кнопке Восстановить рекомендуемый уровень безопасности в верхней части окна.

5. Сохраните внесенные изменения.

   Параметры Защиты от почтовых угроз, рекомендованные специалистами "Лаборатории Касперского", (рекомендованный уровень безопасности)

   Параметр	Значение	Описание
   Область защиты	Входящие и исходящие сообщения	Область защиты – это объекты, которые проверяет компонент во время своей работы: Входящие и исходящие сообщения или Только входящие сообщения. Для защиты компьютеров достаточно проверять только входящие сообщения. Вы можете включить проверку исходящих сообщений для предотвращения отправки зараженных файлов в архивах. Вы также можете включить проверку исходящих сообщений, если вы хотите запретить обмен файлами определенных форматов, например, аудио или видео.
   Подключить расширение для Microsoft Outlook	Включено	Если флажок установлен, включена проверка сообщений электронной почты, передающихся по протоколам POP3, SMTP, NNTP, IMAP на стороне расширения, интегрированного в Microsoft Outlook. В случае проверки почты с помощью расширения для Microsoft Outlook рекомендуется использовать режим кеширования Exchange (Cached Exchange Mode). Более подробную информацию о режиме кеширования Exchange и рекомендации по его использованию вы можете найти в базе знаний Microsoft.
   Проверять вложенные архивы	Включено	Проверка архивов форматов RAR, ARJ, ZIP, CAB, LHA, JAR, ICE.
   Проверять вложенные файлы офисных форматов	Включено	Проверка файлов Microsoft Office (DOC, DOCX, XLS, PPT и других). К файлам офисных форматов также относятся OLE-объекты.
   Фильтр вложений	Переименовывать вложения указанных типов	Если выбран этот вариант, компонент Защита от почтовых угроз заменяет последний символ расширения вложенных файлов указанных типов на символ подчеркивания (например, attachment.doc_). Таким образом, чтобы открыть файл, пользователю нужно переименовать файл.
   Эвристический анализ	Средний	Технология обнаружения угроз, которые невозможно определить с помощью текущей версии баз программ "Лаборатории Касперского". Позволяет находить файлы, которые могут содержать неизвестный вирус или новую модификацию известного вируса. Во время проверки файлов на наличие вредоносного кода эвристический анализатор выполняет инструкции в исполняемых файлах. Количество инструкций, которые выполняет эвристический анализатор, зависит от заданного уровня эвристического анализа. Уровень эвристического анализа обеспечивает баланс между тщательностью поиска новых угроз, степенью загрузки ресурсов операционной системы и длительностью эвристического анализа.
   Действие при обнаружении угрозы	Лечить; удалять, если лечение невозможно	При обнаружении зараженного объекта во входящем или исходящем сообщении Kaspersky Endpoint Security пытается вылечить обнаруженный объект. Пользователю будет доступно сообщение с безопасным вложением. Если вылечить объект не удалось, Kaspersky Endpoint Security удаляет зараженный объект. Kaspersky Endpoint Security добавит информацию о выполненном действии в тему сообщения: [Зараженный объект удален] <тема сообщения>.

Изменение действия над зараженными сообщениями электронной почты

По умолчанию компонент Защита от почтовых угроз автоматически пытается вылечить все обнаруженные зараженные сообщения электронной почты. Если лечение невозможно, то компонент Защита от почтовых угроз удаляет зараженные сообщения электронной почты.

Чтобы изменить действие над зараженными сообщениями электронной почты, выполните следующие действия:

1. В главном окне программы нажмите на кнопку .
2. В окне параметров программы выберите раздел Базовая защита → Защита от почтовых угроз.
3. В блоке Действие при обнаружении угрозы выберите вариант действия, которое выполняет Kaspersky Endpoint Security при обнаружении зараженного сообщения:
   • Лечить; удалять, если лечение невозможно. При обнаружении зараженного объекта во входящем или исходящем сообщении Kaspersky Endpoint Security пытается вылечить обнаруженный объект. Пользователю будет доступно сообщение с безопасным вложением. Если вылечить объект не удалось, Kaspersky Endpoint Security удаляет зараженный объект. Kaspersky Endpoint Security добавит информацию о выполненном действии в тему сообщения: [Зараженный объект удален] <тема сообщения>.
   • Лечить; блокировать, если лечение невозможно. При обнаружении зараженного объекта во входящем сообщении Kaspersky Endpoint Security пытается вылечить обнаруженный объект. Пользователю будет доступно сообщение с безопасным вложением. Если вылечить объект не удалось, Kaspersky Endpoint Security добавит предупреждение к теме сообщения: [Сообщение заражено] <тема сообщения>. Пользователю будет доступно сообщение с исходным вложением. При обнаружении зараженного объекта в исходящем сообщении Kaspersky Endpoint Security пытается вылечить обнаруженный объект. Если вылечить объект не удалось, Kaspersky Endpoint Security блокирует отправку сообщения, почтовый клиент показывает ошибку.
   • Блокировать. При обнаружении зараженного объекта во входящем сообщении Kaspersky Endpoint Security добавит предупреждение к теме сообщения: [Сообщение заражено] <тема сообщения>. Пользователю будет доступно сообщение с исходным вложением. При обнаружении зараженного объекта в исходящем сообщении Kaspersky Endpoint Security блокирует отправку сообщения, почтовый клиент показывает ошибку.
4. Сохраните внесенные изменения.

    

Формирование области защиты компонента Защита от почтовых угроз

Область защиты – это объекты, которые проверяет компонент во время своей работы. Область защиты разных компонентов имеет разные свойства. Свойствами области защиты компонента Защита от почтовых угроз являются параметры интеграции компонента Защита от почтовых угроз в почтовые клиенты, тип сообщений электронной почты и почтовые протоколы, трафик которых проверяет компонент Защита от почтовых угроз. По умолчанию Kaspersky Endpoint Security проверяет как входящие, так и исходящие сообщения электронной почты, трафик почтовых протоколов POP3, SMTP, NNTP и IMAP, а также интегрируется в почтовый клиент Microsoft Office Outlook.

Чтобы сформировать область защиты компонента Защита от почтовых угроз, выполните следующие действия:

1. В главном окне программы нажмите на кнопку .
2. В окне параметров программы выберите раздел Базовая защита → Защита от почтовых угроз.
3. Нажмите на кнопку Расширенная настройка.
4. В блоке Область защиты выберите сообщения для проверки:
   • Входящие и исходящие сообщения.
   • Только входящие.

   Для защиты компьютеров достаточно проверять только входящие сообщения. Вы можете включить проверку исходящих сообщений для предотвращения отправки зараженных файлов в архивах. Вы также можете включить проверку исходящих сообщений, если вы хотите запретить обмен файлами определенных форматов, например, аудио или видео.

   Если вы выбираете проверку только входящих сообщений, рекомендуется однократно проверить все исходящие сообщения, поскольку существует вероятность того, что на вашем компьютере есть почтовые черви, которые используют электронную почту в качестве канала распространения. Это позволит избежать проблем, связанных с неконтролируемой рассылкой зараженных сообщений с вашего компьютера.

5. В блоке Встраивание в операционную систему выполните следующие действия:
   • Установите флажок Проверять трафик POP3, SMTP, NNTP, IMAP, если вы хотите, чтобы компонент Защита от почтовых угроз проверял сообщения, передающиеся по протоколам POP3, SMTP, NNTP и IMAP, до их получения на компьютере пользователя.

     Снимите флажок Проверять трафик POP3, SMTP, NNTP, IMAP, если вы хотите, чтобы компонент Защита от почтовых угроз не проверял сообщения, передающиеся по протоколам POP3, SMTP, NNTP и IMAP, до их получения на компьютере пользователя. В этом случае сообщения проверяет расширение компонента Защита от почтовых угроз, встроенное в почтовый клиент Microsoft Office Outlook, после их получения на компьютере пользователя, если установлен флажок Подключить расширение для Microsoft Outlook.

     Если вы используете почтовый клиент, отличный от Microsoft Office Outlook, то при снятом флажке Проверять трафик POP3, SMTP, NNTP, IMAP компонент Защита от почтовых угроз не проверяет сообщения, передающиеся по почтовым протоколам POP3, SMTP, NNTP и IMAP.

   • Установите флажок Подключить расширение для Microsoft Outlook, если вы хотите открыть доступ к настройке параметров компонента Защита от почтовых угроз из программы Microsoft Office Outlook и включить проверку сообщений, передающихся по протоколам POP3, SMTP, NNTP, IMAP и MAPI, после их получения на компьютере пользователя с помощью расширения, интегрированного в программу Microsoft Office Outlook.

     Снимите флажок Подключить расширение для Microsoft Outlook, если вы хотите закрыть доступ к настройке параметров компонента Защита от почтовых угроз из программы Microsoft Office Outlook и выключить проверку сообщений, передающихся по протоколам POP3, SMTP, NNTP, IMAP и MAPI, после их получения на компьютере пользователя с помощью расширения, интегрированного в программу Microsoft Office Outlook.

     Расширение компонента Защита от почтовых угроз встраивается в почтовый клиент Microsoft Office Outlook во время установки Kaspersky Endpoint Security.

6. Сохраните внесенные изменения.

Проверка составных файлов, вложенных в сообщения электронной почты

Вы можете включить или выключить проверку объектов, вложенных в сообщения, ограничить максимальный размер проверяемых объектов, вложенных в сообщения, и максимальную длительность проверки объектов, вложенных в сообщения.

Чтобы настроить проверку составных файлов, вложенных в сообщения электронной почты, выполните следующие действия:

1. В главном окне программы нажмите на кнопку .
2. В окне параметров программы выберите раздел Базовая защита → Защита от почтовых угроз.
3. Нажмите на кнопку Расширенная настройка.
4. В блоке Проверка составных файлов настройте параметры проверки:
   • Проверять вложенные файлы офисных форматов. Проверка файлов Microsoft Office (DOC, DOCX, XLS, PPT и других). К файлам офисных форматов также относятся OLE-объекты.
   • Проверять вложенные архивы. Проверка архивов форматов RAR, ARJ, ZIP, CAB, LHA, JAR, ICE.

   Если во время проверки приложение Kaspersky Endpoint Security обнаружило в тексте сообщения пароль к архиву, пароль будет использован для проверки содержания этого архива на наличие вредоносных приложений. Пароль при этом не сохраняется. При проверке архива выполняется его распаковка. Если во время распаковки архива произошел сбой в работе приложения, вы можете вручную удалить файлы, которые при распаковке сохраняются по следующему пути: %systemroot%\temp. Файлы имеют префикс PR.

   • Не проверять архивы размером более N MБ. Если флажок установлен, компонент Защита от почтовых угроз исключает из проверки вложенные в сообщения электронной почты архивы, размер которых больше заданного. Если флажок снят, компонент Защита от почтовых угроз проверяет архивы любого размера, вложенные в сообщения электронной почты.
   • Ограничить время проверки архива до N сек. Если флажок установлен, то время проверки архивов, вложенных в сообщения электронной почты, ограничено указанным периодом.
5. Сохраните внесенные изменения.

    

Фильтрация вложений в сообщениях электронной почты

Функциональность фильтрации вложений не применяется для исходящих сообщений электронной почты.

Вредоносные программы могут распространяться в виде вложений в сообщениях электронной почты. Вы можете настроить фильтрацию по типу вложений в сообщениях, чтобы автоматически переименовывать или удалять файлы указанных типов. Переименовав вложение определенного типа, Kaspersky Endpoint Security может защитить ваш компьютер от автоматического запуска вредоносной программы.

Чтобы настроить фильтрацию вложений, выполните следующие действия:

1. В главном окне программы нажмите на кнопку .
2. В окне параметров программы выберите раздел Базовая защита → Защита от почтовых угроз.
3. Нажмите на кнопку Расширенная настройка.
4. В блоке Фильтр вложений выполните одно из следующих действий:
   • Не применять фильтр. Если выбран этот вариант, компонент Защита от почтовых угроз не фильтрует файлы, вложенные в сообщения электронной почты.
   • Переименовывать вложения указанных типов. Если выбран этот вариант, компонент Защита от почтовых угроз заменяет последний символ расширения вложенных файлов указанных типов на символ подчеркивания (например, attachment.doc_). Таким образом, чтобы открыть файл, пользователю нужно переименовать файл.
   • Удалять вложения указанных типов. Если выбран этот вариант, компонент Защита от почтовых угроз удаляет из сообщений электронной почты вложенные файлы указанных типов.
5. Если на предыдущем шаге инструкции вы выбрали вариант Переименовывать вложения указанных типов или вариант Удалять вложения указанных типов, установите флажки напротив нужных типов файлов.
6. Сохраните внесенные изменения.

    

Экспорт и импорт списка расширений для фильтра вложений

Вы можете экспортировать список расширений для работы фильтра вложений в файл в формате XML. Вы можете использовать функцию экспорта / импорта для резервного копирования списка расширений или для миграции списка на другой сервер.

Как экспортировать / импортировать список расширений для работы фильтра вложений в Консоли администрирования (MMC)

Как экспортировать / импортировать список расширений для работы фильтра вложений в Web Console и Cloud Console

Проверка почты в Microsoft Office Outlook

Во время установки Kaspersky Endpoint Security в программу Microsoft Office Outlook (далее также "Outlook") встраивается расширение компонента Защита от почтовых угроз. Оно позволяет перейти к настройке параметров компонента Защита от почтовых угроз из программы Outlook, а также указать, в какой момент проверять сообщения электронной почты на присутствие вирусов и других программ, представляющих угрозу. Расширение компонента Защита от почтовых угроз для Outlook может проверять входящие и исходящие сообщения, переданные по протоколам POP3, SMTP, NNTP, IMAP и MAPI. Также Kaspersky Endpoint Security поддерживает работу с другими почтовыми клиентами (в том числе с Microsoft Outlook Express, Windows Mail и Mozilla Thunderbird).

Расширение компонента Защита от почтовых угроз поддерживает работу с Outlook 2010, 2013, 2016, 2019.

Работая с почтовым клиентом Mozilla Thunderbird, компонент Защита от почтовых угроз не проверяет на вирусы и другие программы, представляющие угрозу, сообщения, передаваемые по протоколу IMAP, в случае если используются фильтры, перемещающие сообщения из папки Входящие.

В программе Outlook входящие сообщения сначала проверяет компонент Защита от почтовых угроз (если в интерфейсе программы Kaspersky Endpoint Security включена проверка трафика POP3 / SMTP / NNTP / IMAP), затем входящие сообщения проверяет расширение компонента Защита от почтовых угроз для Outlook. Если компонент Защита от почтовых угроз обнаруживает в сообщении вредоносный объект, он уведомляет вас об этом.

Настройка параметров компонента Защита от почтовых угроз из программы Outlook доступна в том случае, если в интерфейсе программы Kaspersky Endpoint Security подключено расширение для Microsoft Outlook.

Исходящие сообщения сначала проверяет расширение компонента Защита от почтовых угроз для Outlook, а затем проверяет компонент Защита от почтовых угроз.

В случае проверки почты с помощью расширения компонента Защита от почтовых угроз для Outlook рекомендуется использовать режим кеширования сервера Exchange (Use Cached Exchange Mode). Более подробную информацию о режиме кеширования Exchange и рекомендации по его использованию вы можете найти в базе знаний Microsoft.

Чтобы настроить режим работы расширения компонента Защита от почтовых угроз для Outlook с помощью Kaspersky Security Center, выполните следующие действия:

1. Откройте Консоль администрирования Kaspersky Security Center.
2. В папке Управляемые устройства дерева Консоли администрирования откройте папку с названием группы администрирования, в состав которой входят нужные клиентские компьютеры.
3. В рабочей области выберите закладку Политики.
4. Выберите нужную политику и откройте свойства политики двойным щелчком мыши.
5. В окне политики выберите Базовая защита → Защита от почтовых угроз.
6. В блоке Уровень безопасности нажмите на кнопку Настройка.
7. В открывшемся окне в блоке Встраивание в систему нажмите на кнопку Настройка.
8. В окне Защита почты выполните следующие действия:
   • Установите флажок Проверять при получении, если вы хотите, чтобы расширение компонента Защита от почтовых угроз для Outlook проверяло входящие сообщения в момент их поступления в почтовый ящик.
   • Установите флажок Проверять при прочтении, если вы хотите, чтобы расширение компонента Защита от почтовых угроз для Outlook проверяло входящие сообщения в тот момент, когда пользователь открывает их для чтения.
   • Установите флажок Проверять при отправке, если вы хотите, чтобы расширение компонента Защита от почтовых угроз для Outlook проверяло исходящие сообщения в момент их отправки.
9. Сохраните внесенные изменения.

Защита от сетевых угроз

Компонент Защита от сетевых угроз (англ. IDS – Intrusion Detection System) отслеживает во входящем сетевом трафике активность, характерную для сетевых атак. Обнаружив попытку сетевой атаки на компьютер пользователя, Kaspersky Endpoint Security блокирует сетевое соединение с атакующим компьютером. Описания известных в настоящее время видов сетевых атак и методов борьбы с ними содержатся в базах Kaspersky Endpoint Security. Список сетевых атак, которые обнаруживает компонент Защита от сетевых угроз, пополняется в процессе обновления баз и модулей программы.

Включение и выключение Защиты от сетевых угроз

По умолчанию Защита от сетевых угроз включена и работает в оптимальном режиме. При необходимости вы можете выключить Защиту от сетевых угроз.

Чтобы включить или выключить Защиту от сетевых угроз, выполните следующие действия:

1. В главном окне программы нажмите на кнопку .
2. В окне параметров программы выберите раздел Базовая защита → Защита от сетевых угроз.
3. Используйте переключатель Защита от сетевых угроз, чтобы включить или выключить компонент.
4. Сохраните внесенные изменения.

В результате, если Защита от сетевых угроз включена, Kaspersky Endpoint Security отслеживает во входящем сетевом трафике активность, характерную для сетевых атак. Обнаружив попытку сетевой атаки на компьютер пользователя, Kaspersky Endpoint Security блокирует сетевое соединение с атакующим компьютером.

Блокирование атакующего компьютера

Чтобы заблокировать атакующий компьютер, выполните следующие действия:

1. В главном окне программы нажмите на кнопку .
2. В окне параметров программы выберите раздел Базовая защита → Защита от сетевых угроз.
3. Установите флажок Добавлять атакующий компьютер в список блокирования на N мин.

   Если переключатель включен, компонент Защита от сетевых угроз добавляет атакующий компьютер в список блокирования. Это означает, что компонент Защита от сетевых угроз блокирует сетевое соединение с атакующим компьютером после первой попытки сетевой атаки в течение заданного времени, чтобы автоматически защитить компьютер пользователя от возможных будущих сетевых атак с этого адреса.

   Вы можете посмотреть список блокирования в окне инструмента Мониторинг сети.

   Kaspersky Endpoint Security очищает список блокирования при перезапуске программы и при изменении параметров Защиты от сетевых угроз.

4. Измените время блокирования атакующего компьютера в поле, расположенном справа от флажка Добавлять атакующий компьютер в список блокирования на N мин.
5. Сохраните внесенные изменения.

В результате Kaspersky Endpoint Security, обнаружив попытку сетевой атаки на компьютер пользователя, блокирует все соединения с атакующим компьютером.

Настройка адресов исключений из блокирования

Kaspersky Endpoint Security может распознать сетевую атаку и заблокировать безопасное сетевое соединение, по которому передается большое количество пакетов (например, от камер наблюдения). Для работы с доверенными устройствами вы можете добавить IP-адреса этих устройств в список исключений.

Чтобы настроить адреса исключений из блокирования, выполните следующие действия:

1. В главном окне программы нажмите на кнопку .
2. В окне параметров программы выберите раздел Базовая защита → Защита от сетевых угроз.
3. Нажмите на ссылку Настроить исключения.
4. В открывшемся окне нажмите на кнопку Добавить.
5. Введите IP-адрес компьютера, сетевые атаки с которого не должны блокироваться.
6. Сохраните внесенные изменения.

В результате Kaspersky Endpoint Security не отслеживает активность от устройств из списка исключений.

Экспорт и импорт списка исключений из блокирования

Вы можете экспортировать список исключений в файл в формате XML. Далее вы можете вносить изменения в файл, чтобы, например, добавить большое количество однотипных адресов. Также вы можете использовать функцию экспорта / импорта для резервного копирования списка исключений или для миграции списка на другой сервер.

Как экспортировать / импортировать список исключений в Консоли администрирования (MMC)

Как экспортировать / импортировать список исключений в Web Console и Cloud Console

Настройка защиты от сетевых атак по типам

Kaspersky Endpoint Security позволяет управлять защитой от следующих типов сетевых атак:

• Атака типа Интенсивные сетевые запросы (англ. Network Flooding) – атака на сетевые ресурсы организации (например, веб-серверы). Атака заключается в отправке большого количества запросов для превышения пропускной способности сетевых ресурсов. Таким образом пользователи не могут получить доступ к сетевым ресурсам организации.
• Атака типа Сканирование портов заключается в сканировании UDP- и TCP-портов, а также сетевых служб на компьютере. Атака позволяет определить степень уязвимости компьютера перед более опасными видами сетевых атак. Сканирование портов также позволяет злоумышленнику определить операционную систему на компьютере и выбрать подходящие для нее сетевые атаки.
• Атака типа MAC-спуфинг заключается в изменении MAC-адреса сетевого устройства (сетевой карты). В результате злоумышленник может перенаправить данные, отправленные на устройство, на другое устройство и получить доступ к этим данным. Kaspersky Endpoint Security позволяет блокировать атаки MAC-спуфинга и получать уведомления об атаках.

Вы можете выключить обнаружение этих типов атак, так как некоторые разрешенные программы выполняют действия, характерные для таких атак. Таким образом, вы можете избежать ложных срабатываний.

По умолчанию Kaspersky Endpoint Security не отслеживает атаки типа Интенсивные сетевые запросы, Сканирование портов и MAC-спуфинг.

Чтобы настроить защиту от сетевых атак по типам, выполните следующие действия:

1. В главном окне программы нажмите на кнопку .
2. В окне параметров программы выберите раздел Базовая защита → Защита от сетевых угроз.
3. Используйте переключатель Считать атаками сканирование портов и интенсивные сетевые запросы, чтобы включить или выключить обнаружение атак.
4. Используйте переключатель Защита от MAC-спуфинга.
5. В блоке При обнаружении атаки MAC-спуфинг выберите один из следующих вариантов:
   • Только уведомлять.
   • Уведомлять и блокировать.
6. Сохраните внесенные изменения.

Сетевой экран

Сетевой экран блокирует несанкционированные подключения к компьютеру во время работы в интернете или локальной сети. Также Сетевой экран контролирует сетевую активность программ на компьютере. Это позволяет защитить локальную сеть организации от кражи персональных данных и других атак. Компонент обеспечивает защиту компьютера с помощью антивирусных баз, облачной службы Kaspersky Security Network и предустановленных сетевых правил.

Для взаимодействия с Kaspersky Security Center программа использует Агент администрирования. При этом Сетевой экран автоматически создает сетевые правила, необходимые для работы Агента администрирования и программы. В результате Сетевой экран открывает некоторые порты на компьютере. Набор портов отличается в зависимости от роли компьютера (например, точка распространения). Подробнее о портах, которые будут открыты на компьютере, см. в справке Kaspersky Security Center.

Сетевые правила

Вы можете настроить сетевые правила на следующих уровнях:

• Сетевые пакетные правила. Используются для ввода ограничений на сетевые пакеты независимо от программы. Такие правила ограничивают входящую и исходящую сетевую активность по определенным портам выбранного протокола передачи данных. Kaspersky Endpoint Security имеет предустановленные сетевые пакетные правила с разрешениями, рекомендованными специалистами "Лаборатории Касперского".
• Сетевые правила программ. Используются для ограничения сетевой активности конкретной программы. Учитываются не только характеристики сетевого пакета, но и конкретная программа, которой адресован этот сетевой пакет, либо которая инициировала отправку этого сетевого пакета.

Контроль доступа программ к ресурсам операционной системы, процессам и персональным данным обеспечивает компонент Предотвращение вторжений с помощью прав программ.

Во время первого запуска программы Сетевой экран выполняет следующие действия:

1. Проверяет безопасность программы с помощью загруженных антивирусных баз.
2. Проверяет безопасность программы в Kaspersky Security Network.

   Для более эффективной работы Сетевого экрана вам рекомендуется принять участие в Kaspersky Security Network.

3. Помещает программу в одну из групп доверия: Доверенные, Слабые ограничения, Сильные ограничения, Недоверенные.

   Группа доверия определяет права, которые Kaspersky Endpoint Security использует для контроля активности программ. Kaspersky Endpoint Security помещает программу в группу доверия в зависимости от уровня опасности, которую эта программа может представлять для компьютера.

   Kaspersky Endpoint Security помещает программу в группу доверия для компонентов Сетевой экран и Предотвращение вторжений. Изменить группу доверия только для Сетевого экрана или только для Предотвращения вторжений невозможно.

   Если вы отказались принимать участие в KSN или отсутствует сеть, Kaspersky Endpoint Security помещает программу в группу доверия в зависимости от параметров компонента Предотвращение вторжений. После получения данных о репутации программы от KSN группа доверия может быть изменена автоматически.

4. Блокирует сетевую активность программы в зависимости от группы доверия. Например, программам из группы доверия "Сильные ограничения" запрещены любые сетевые соединения.

При следующем запуске программы Kaspersky Endpoint Security проверяет целостность программы. Если программа не была изменена, компонент применяет к ней текущие сетевые правила. Если программа была изменена, Kaspersky Endpoint Security исследует программу как при первом запуске.

Приоритеты сетевых правил

Каждое правило имеет приоритет. Чем выше правило в списке, тем выше его приоритет. Если сетевая активность добавлена в несколько правил, Сетевой экран регулирует сетевую активность по правилу с высшим приоритетом.

Сетевые пакетные правила имеют более высокий приоритет, чем сетевые правила программ. Если для одного и того же вида сетевой активности заданы и сетевые пакетные правила, и сетевые правила программ, то эта сетевая активность обрабатывается по сетевым пакетным правилам.

Сетевые правила программ имеют особенность. Сетевые правило программ включает в себя правила доступа по статусу сети: публичная, локальная, доверенная. Например, для группы доверия "Сильные ограничения" по умолчанию запрещена любая сетевая активность программы в сетях всех статусов. Если для отдельной программы (родительская программа) задано сетевое правило, то дочерние процессы других программ будут выполнены в соответствии с сетевым правилом родительской программы. Если сетевое правило для программы отсутствует, дочерние процессы будут выполнены в соответствии с правилом доступа к сетям группы доверия.

Например, вы запретили любую сетевую активность всех программ для сетей всех статусов, кроме браузера X. Если в браузере X (родительская программа) запустить установку браузера Y (дочерний процесс), то установщик браузера Y получит доступ к сети и загрузит необходимые файлы. После установки браузеру Y будут запрещены любые сетевые соединения в соответствии с параметрами Сетевого экрана. Чтобы запретить установщику браузера Y сетевую активность в качестве дочернего процесса, необходимо добавить сетевое правило для установщика браузера Y.

Статусы сетевых соединений

Сетевой экран позволяет контролировать сетевую активность в зависимости от статуса сетевого соединения. Kaspersky Endpoint Security получает статус сетевого соединения от операционной системы компьютера. Статус сетевого соединения в операционной системе задает пользователь при настройке подключения. Вы можете изменить статус сетевого соединения в параметрах Kaspersky Endpoint Security. Сетевой экран будет контролировать сетевую активность в зависимости от статуса сети в параметрах Kaspersky Endpoint Security, а не операционной системы.

Выделены следующие статусы сетевого соединения:

• Публичная сеть. Сеть не защищена антивирусными программами, сетевыми экранами, фильтрами (например, Wi-Fi в кафе). Пользователю компьютера, подключенного к такой сети, Сетевой экран закрывает доступ к файлам и принтерам этого компьютера. Сторонние пользователи также не могут получить доступ к информации через папки общего доступа и удаленный доступ к рабочему столу этого компьютера. Сетевой экран фильтрует сетевую активность каждой программы в соответствии с сетевыми правилами этой программы.

  Сетевой экран по умолчанию присваивает статус Публичная сеть сети Интернет. Вы не можете изменить статус сети Интернет.

• Локальная сеть. Сеть для пользователей, которым ограничен доступ к файлам и принтерам этого компьютера (например, для локальной сети организации или для домашней сети).
• Доверенная сеть. Безопасная сеть, во время работы в которой компьютер не подвергается атакам и попыткам несанкционированного доступа к данным. Для сетей с этим статусом Сетевой экран разрешает любую сетевую активность в рамках этой сети.

Включение и выключение Сетевого экрана

По умолчанию Сетевой экран включен и работает в оптимальном режиме.

Чтобы включить или выключить Сетевой экран выполните следующие действия:

1. В главном окне программы нажмите на кнопку .
2. В окне параметров программы выберите раздел Базовая защита → Сетевой экран.
3. Используйте переключатель Сетевой экран, чтобы включить или выключить компонент.
4. Сохраните внесенные изменения.

Изменение статуса сетевого соединения

Сетевой экран по умолчанию присваивает статус Публичная сеть сети Интернет. Вы не можете изменить статус сети Интернет.

Чтобы изменить статус сетевого соединения, выполните следующие действия:

1. В главном окне программы нажмите на кнопку .
2. В окне параметров программы выберите раздел Базовая защита → Сетевой экран.
3. Нажмите на кнопку Доступные сети.
4. Выберите сетевое соединение, статус которого вы хотите изменить.
5. В графе Тип сети выберите статус сетевого соединения:
   • Публичная сеть. Сеть не защищена антивирусными программами, сетевыми экранами, фильтрами (например, Wi-Fi в кафе). Пользователю компьютера, подключенного к такой сети, Сетевой экран закрывает доступ к файлам и принтерам этого компьютера. Сторонние пользователи также не могут получить доступ к информации через папки общего доступа и удаленный доступ к рабочему столу этого компьютера. Сетевой экран фильтрует сетевую активность каждой программы в соответствии с сетевыми правилами этой программы.
   • Локальная сеть. Сеть для пользователей, которым ограничен доступ к файлам и принтерам этого компьютера (например, для локальной сети организации или для домашней сети).
   • Доверенная сеть. Безопасная сеть, во время работы в которой компьютер не подвергается атакам и попыткам несанкционированного доступа к данным. Для сетей с этим статусом Сетевой экран разрешает любую сетевую активность в рамках этой сети.
6. Сохраните внесенные изменения.

Работа с сетевыми пакетными правилами

Вы можете выполнить следующие действия в процессе работы с сетевыми пакетными правилами:

• Создать новое сетевое пакетное правило.

  Вы можете создать новое сетевое пакетное правило, сформировав набор условий и действий над сетевыми пакетами и потоками данных.

• Включить и выключить сетевое пакетное правило.

  Все сетевые пакетные правила, созданные Сетевым экраном по умолчанию, имеют статус Включено. Если сетевое пакетное правило включено, Сетевой экран применяет это правило.

  Вы можете выключить любое сетевое пакетное правило, выбранное в списке сетевых пакетных правил. Если сетевое пакетное правило выключено, Сетевой экран временно не применяет это правило.

  Новое сетевое пакетное правило, созданное пользователем, по умолчанию добавляется в список сетевых пакетных правил со статусом Включено.

• Изменить параметры существующего сетевого пакетного правила.

  После того как вы создали новое сетевое пакетное правило, вы всегда можете вернуться к настройке его параметров и изменить нужные.

• Изменить действие Сетевого экрана для сетевого пакетного правила.

  В списке сетевых пакетных правил вы можете изменить действие, которое Сетевой экран выполняет, обнаружив сетевую активность указанного сетевого пакетного правила. 

• Изменить приоритет сетевого пакетного правила.

  Вы можете повысить или понизить приоритет выбранного в списке сетевого пакетного правила.

• Удалить сетевое пакетное правило.

  Вы можете удалить сетевое пакетное правило, если вы не хотите, чтобы Сетевой экран применял это правило при обнаружении сетевой активности, и чтобы оно отображалось в списке сетевых пакетных правил со статусом Выключено.

   

Создание сетевого пакетного правила

Вы можете создать сетевое пакетное правило следующими способами:

• С помощью инструмента Мониторинг сети.

  Мониторинг сети – это инструмент, предназначенный для просмотра информации о сетевой активности компьютера пользователя в реальном времени. Этот способ удобен, так как вам не нужно настраивать все параметры правила. Некоторые параметры Сетевой экран подставит автоматически из данных Мониторинга сети. Мониторинг сети доступен только в интерфейсе программы.

• В параметрах Сетевого экрана.

  Этот способ позволяет выполнить тонкую настройку параметров Сетевого экрана. Вы можете создать правила для любой сетевой активности, даже если сетевой активности нет в реальном времени.

Создавая сетевые пакетные правила, следует помнить, что они имеют приоритет над сетевыми правилами программ.

Как создать сетевое пакетное правило в интерфейсе программы с помощью инструмента Мониторинг сети

Как создать сетевое пакетное правило в интерфейсе программы в параметрах Сетевого экрана

Как создать сетевое пакетное правило в Консоли администрирования (MMC)

Как создать сетевое пакетное правило в Web Console и Cloud Console

Параметры сетевого пакетного правила

Включение и выключение сетевого пакетного правила

Чтобы включить или выключить сетевое пакетное правило, выполните следующие действия:

1. В главном окне программы нажмите на кнопку .
2. В окне параметров программы выберите раздел Базовая защита → Сетевой экран.
3. Нажмите на кнопку Пакетные правила.

   Откроется список сетевых пакетных правил, установленных Сетевым экраном по умолчанию.

4. Выберите в списке нужное сетевое пакетное правило.
5. Используйте переключатель в графе Статус, чтобы включить или выключить правило.
6. Сохраните внесенные изменения.

Изменение действия Сетевого экрана для сетевого пакетного правила

Чтобы изменить действие Сетевого экрана для сетевого пакетного правила, выполните следующие действия:

1. В главном окне программы нажмите на кнопку .
2. В окне параметров программы выберите раздел Базовая защита → Сетевой экран.
3. Нажмите на кнопку Пакетные правила.

   Откроется список сетевых пакетных правил, установленных Сетевым экраном по умолчанию.

4. Выберите его в списке сетевых пакетных правил и нажмите на кнопку Изменить.
5. В раскрывающемся списке Действие выберите действие, которое должен выполнять Сетевой экран, обнаружив этот вид сетевой активности:
   • Разрешать.
   • Запрещать.
   • По правилам программы.
6. Сохраните внесенные изменения.

Изменение приоритета сетевого пакетного правила

Приоритет выполнения сетевого пакетного правила определяется его положением в списке сетевых пакетных правил. Первое сетевое пакетное правило в списке сетевых пакетных правил обладает самым высоким приоритетом.

Каждое сетевое пакетное правило, которое вы создали вручную, добавляется в конец списка сетевых пакетных правил и имеет самый низкий приоритет.

Сетевой экран выполняет правила в порядке их расположения в списке сетевых пакетных правил, сверху вниз. Согласно каждому обрабатываемому сетевому пакетному правилу, применяемому к определенному сетевому соединению, Сетевой экран либо разрешает, либо блокирует сетевой доступ к адресу и порту, указанным в настройках этого сетевого соединения.

Чтобы изменить приоритет сетевого пакетного правила, выполните следующие действия:

1. В главном окне программы нажмите на кнопку .
2. В окне параметров программы выберите раздел Базовая защита → Сетевой экран.
3. Нажмите на кнопку Пакетные правила.

   Откроется список сетевых пакетных правил, установленных Сетевым экраном по умолчанию.

4. Выберите в списке сетевое пакетное правило, приоритет которого вы хотите изменить.
5. Кнопками Вверх / Вниз установите приоритет сетевого правила.
6. Сохраните внесенные изменения.

Экспорт и импорт сетевых пакетных правил

Вы можете экспортировать список сетевых пакетных правил в файл в формате XML. Далее вы можете вносить изменения в файл, чтобы, например, добавить большое количество однотипных правил. Вы можете использовать функцию экспорта / импорта для резервного копирования списка сетевых пакетных правил или для миграции списка на другой сервер.

Как экспортировать / импортировать список сетевых пакетных правил в Консоли администрирования (MMC)

Как экспортировать / импортировать список сетевых пакетных правил в Web Console и Console

Работа с сетевыми правилами программ

Kaspersky Endpoint Security по умолчанию группирует все программы, установленные на компьютере пользователя, по названию производителей программного обеспечения, файловую и сетевую активность которого он контролирует. Группы программ, в свою очередь, сгруппированы в группы доверия. Все программы и группы программ наследуют свойства своей родительской группы: правила контроля программ, сетевые правила программы, а также приоритет их выполнения.

Как и компонент Предотвращение вторжений, компонент Сетевой экран по умолчанию применяет сетевые правила группы программ для фильтрации сетевой активности всех помещенных в группу программ. Сетевые правила группы программ определяют, какими правами доступа к различным сетевым соединениям обладают программы, входящие в эту группу.

Сетевой экран по умолчанию создает набор сетевых правил для каждой группы программ, которые Kaspersky Endpoint Security обнаружил на компьютере. Вы можете изменить действие Сетевого экрана для сетевых правил группы программ, созданных по умолчанию. Вы не можете изменить, удалить или выключить сетевые правила группы программ, созданные по умолчанию, а также изменить их приоритет.

Вы также можете создать сетевое правило для отдельной программы. Такое правило будет иметь более высокий приоритет, чем сетевое правило группы, в которую входит эта программа.

Создание сетевого правила программы

По умолчанию для контроля работы программы применяются сетевые правила, определенные для той группы доверия, в которую Kaspersky Endpoint Security поместил программу при первом ее запуске. При необходимости вы можете создать сетевые правила для всей группы доверия, для отдельной программы или группы программ внутри группы доверия.

Сетевые правила, заданные вручную, имеют более высокий приоритет, чем сетевые правила, определенные для группы доверия. То есть, если правила программы, заданные вручную, отличаются от правил программ, определенных для группы доверия, Сетевой экран контролирует работу программы в соответствии с правилами программ, заданными вручную.

Сетевой экран по умолчанию создает следующие сетевые правила для каждой программы:

• Любая сетевая активность в Доверенных сетях.
• Любая сетевая активность в Локальных сетях.
• Любая сетевая активность в Публичных сетях.

Kaspersky Endpoint Security контролирует сетевую активность программ по предустановленным сетевым правилам следующим образом:

• "Доверенные" и "Слабые ограничения" – любая сетевая активность разрешена.
• "Сильные ограничения" и "Недоверенные" – любая сетевая активность запрещена.

Предустановленные правила программ невозможно изменить или удалить.

Вы можете создать сетевое правило программы следующими способами:

• С помощью инструмента Мониторинг сети.

  Мониторинг сети – это инструмент, предназначенный для просмотра информации о сетевой активности компьютера пользователя в реальном времени. Этот способ удобен, так как вам не нужно настраивать все параметры правила. Некоторые параметры Сетевой экран подставит автоматически из данных Мониторинга сети. Мониторинг сети доступен только в интерфейсе программы.

• В параметрах Сетевого экрана.

  Этот способ позволяет выполнить тонкую настройку параметров Сетевого экрана. Вы можете создать правила для любой сетевой активности, даже если сетевой активности нет в реальном времени.

Создавая сетевые правила программ, следует помнить, что сетевые пакетные правила имеют приоритет над сетевыми правилами программ.

Как создать сетевое правило программы в интерфейсе программы с помощью инструмента Мониторинг сети

Как создать сетевое правило программы в интерфейсе программы в параметрах Сетевого экрана

Как создать сетевое правило программы в Консоли администрирования (MMC)

Как создать сетевое правило программы в Web Console и Cloud Console

Параметры сетевого правила программы

Включение и выключение сетевого правила программ

Чтобы включить или выключить сетевое правило программ, выполните следующие действия:

1. В главном окне программы нажмите на кнопку .
2. В окне параметров программы выберите раздел Базовая защита → Сетевой экран.
3. Нажмите на кнопку Правила программ.

   Откроется список правил программ.

4. В списке программ выберите программу или группу программ, для которой вы хотите создать или изменить сетевое правило.
5. По правой клавише мыши откройте контекстное меню и выберите пункт Подробности и правила.

   Откроется окно свойств и правил программы.

6. Выберите закладку Сетевые правила.
7. В списке сетевых правил группы программ выберите нужное вам сетевое правило.

   Откроется окно свойств сетевого правила.

8. Установите статус сетевого правила Активно или Неактивно.

   Вы не можете выключить сетевое правило группы программ, если оно создано Сетевым экраном по умолчанию.

9. Сохраните внесенные изменения.

Изменение действия Сетевого экрана для сетевого правила программ

Вы можете изменить действие Сетевого экрана для всех сетевых правил программы или группы программ, которые были созданы по умолчанию, а также изменить действие Сетевого экрана для одного сетевого правила программы или группы программ, которое было создано вручную.

Чтобы изменить действие Сетевого экрана для всех сетевых правил программы или группы программ, выполните следующие действия:

1. В главном окне программы нажмите на кнопку .
2. В окне параметров программы выберите раздел Базовая защита → Сетевой экран.
3. Нажмите на кнопку Правила программ.

   Откроется список правил программ.

4. В списке выберите программу или группу программ, если вы хотите изменить действие Сетевого экрана для всех ее сетевых правил, созданных по умолчанию. Сетевые правила, созданные вручную, останутся без изменений.
5. По правой клавише мыши откройте контекстное меню и выберите пункт Сетевые правила и выберите действие, которое вы хотите назначить:
   • Наследовать.
   • Разрешать.
   • Запрещать.
6. Сохраните внесенные изменения.

Чтобы изменить действие Сетевого экрана для одного сетевого правила программы или группы программ, выполните следующие действия:

1. В главном окне программы нажмите на кнопку .
2. В окне параметров программы выберите раздел Базовая защита → Сетевой экран.
3. Нажмите на кнопку Правила программ.

   Откроется список правил программ.

4. В списке выберите программу или группу программ, для которой вы хотите изменить действие одного сетевого правила.
5. По правой клавише мыши откройте контекстное меню и выберите пункт Подробности и правила.

   Откроется окно свойств и правил программы.

6. Выберите закладку Сетевые правила.
7. Выберите сетевое правило, для которого вы хотите изменить действие Сетевого экрана.
8. В графе Разрешение по правой клавише мыши откройте контекстное меню и выберите действие, которое вы хотите назначить:
   • Наследовать.
   • Разрешать.
   • Запрещать.
   • Записывать в отчет.
9. Сохраните внесенные изменения.

Изменение приоритета сетевого правила программ

Приоритет выполнения сетевого правила определяется его положением в списке сетевых правил. Сетевой экран выполняет правила в порядке их расположения в списке сетевых правил, сверху вниз. Согласно каждому обрабатываемому сетевому правилу, применяемому к определенному сетевому соединению, Сетевой экран либо разрешает, либо блокирует сетевой доступ к адресу и порту, указанным в настройках этого сетевого соединения.

Созданные вручную сетевые правила имеют более высокий приоритет, чем сетевые правила, созданные по умолчанию.

Вы не можете изменить приоритет сетевых правил группы программ, созданных по умолчанию.

Чтобы изменить приоритет сетевого правила, выполните следующие действия:

1. В главном окне программы нажмите на кнопку .
2. В окне параметров программы выберите раздел Базовая защита → Сетевой экран.
3. Нажмите на кнопку Правила программ.

   Откроется список правил программ.

4. В списке программ выберите программу или группу программ, для которой вы хотите изменить приоритет сетевого правила.
5. По правой клавише мыши откройте контекстное меню и выберите пункт Подробности и правила.

   Откроется окно свойств и правил программы.

6. Выберите закладку Сетевые правила.
7. Выберите сетевое правило, приоритет которого вы хотите изменить.
8. С помощью кнопок Вверх и Вниз переместите сетевое правило на нужную позицию в списке сетевых правил.
9. Сохраните внесенные изменения.

Мониторинг сети

Мониторинг сети – это инструмент, предназначенный для просмотра информации о сетевой активности компьютера пользователя в реальном времени.

Чтобы запустить мониторинг сети,

в главном окне программы в разделе Мониторинг нажмите на плитку Мониторинг сети.

Откроется окно Мониторинг сети. В этом окне информация о сетевой активности компьютера пользователя представлена на четырех закладках:

• На закладке Сетевая активность отображаются все активные на текущий момент сетевые соединения с компьютером пользователя. Приводятся как сетевые соединения, инициированные компьютером пользователя, так и входящие сетевые соединения. На этой закладке вы также можете создавать сетевые пакетные правила для работы Сетевого экрана.
• На закладке Открытые порты перечислены все открытые сетевые порты на компьютере пользователя. На этой закладке вы также можете создавать сетевые пакетные правила и правила программ для работы Сетевого экрана.
• На закладке Сетевой трафик отображается объем входящего и исходящего сетевого трафика между компьютером пользователя и другими компьютерами сети, в которой пользователь работает в текущий момент.
• На закладке Заблокированные компьютеры представлен список IP-адресов удаленных компьютеров, сетевую активность которых компонент Защита от сетевых угроз заблокировал, обнаружив попытку сетевой атаки с этого IP-адреса.

Защита от атак BadUSB

Некоторые вирусы изменяют встроенное программное обеспечение USB-устройств так, чтобы операционная система определяла USB-устройство как клавиатуру. В результате вирус может выполнять команды под вашей учетной записью, например, загрузить вредоносную программу.

Компонент Защита от атак BadUSB позволяет предотвратить подключение к компьютеру зараженных USB-устройств, имитирующих клавиатуру.

Когда к компьютеру подключается USB-устройство, определенное операционной системой как клавиатура, программа предлагает пользователю ввести c этой клавиатуры или с помощью экранной клавиатуры (если она доступна) цифровой код, сформированный программой (см. рис. ниже). Эта процедура называется авторизацией клавиатуры.

Если код введен правильно, программа сохраняет идентификационные параметры – VID/PID клавиатуры и номер порта, по которому она подключена, в списке авторизованных клавиатур. Авторизация клавиатуры при ее повторном подключении или перезагрузке операционной системы не требуется.

При подключении авторизованной клавиатуры через другой USB-порт компьютера программа снова запрашивает ее авторизацию.

Если цифровой код введен неправильно, программа формирует новый. Вы можете настроить число попыток для ввода цифрового кода. Если цифровой код введен неправильно несколько раз или закрыто окно авторизации клавиатуры (см. рис. ниже), программа блокирует ввод с этой клавиатуры. По истечении времени блокировки USB-устройства или перезагрузке операционной системы программа снова предлагает пройти авторизацию клавиатуры.

Программа разрешает использование авторизованной клавиатуры и блокирует использование клавиатуры, не прошедшей авторизацию.

Компонент Защита от атак BadUSB не устанавливается по умолчанию. Если вам нужен компонент Защита от атак BadUSB, вы можете добавить компонент в свойствах инсталляционного пакета перед установкой программы или измените состав компонентов программы после установки программы.

Авторизация клавиатуры

Включение и выключение Защиты от атак BadUSB

USB-устройства, определенные операционной системой как клавиатуры и подключенные к компьютеру до установки компонента Защита от атак BadUSB, считаются авторизованными после его установки.

Чтобы включить или выключить Защиту от атак BadUSB, выполните следующие действия:

1. В главном окне программы нажмите на кнопку .
2. В окне параметров программы выберите раздел Базовая защита → Защита от атак BadUSB.
3. Используйте переключатель Защита от атак BadUSB, чтобы включить или выключить компонент.
4. В блоке Авторизация USB-устройств настройте параметры безопасности ввода кода авторизации:
   • Максимальное количество попыток авторизации USB-устройства. Автоматическое блокирование USB-устройства, если код авторизации введен неверно заданное количество раз. Доступны значения от 1 до 10. Например, если вы разрешили 5 попыток ввода кода авторизации, после пятой неудачной попытки программа заблокирует USB-устройство. Kaspersky Endpoint Security покажет время блокировки USB-устройства. По истечении указанного времени, вам будет доступно 5 попыток ввода кода авторизации.
   • Таймаут при достижении максимального количества попыток (минут). Время блокировки USB-устройства после заданного количества неудачных попыток ввода кода авторизации. Доступны значения от 1 до 180 (минут).
5. Сохраните внесенные изменения.

В результате, если Защита от атак BadUSB включена, Kaspersky Endpoint Security требует авторизацию подключенного USB-устройства, определенного операционной системой как клавиатура. Пользователь не может использовать неавторизованную клавиатуру до тех пор, пока она не будет авторизована.

Использовании экранной клавиатуры при авторизации USB-устройств

Возможность использовать экранную клавиатуру предназначена только для авторизации USB-устройств, не поддерживающих произвольный ввод символов (например, сканеров штрих-кодов). Не рекомендуется использовать экранную клавиатуру для авторизации неизвестных вам USB-устройств.

Чтобы разрешить или запретить использование экранной клавиатуры при авторизации, выполните следующие действия:

1. В главном окне программы нажмите на кнопку .
2. В окне параметров программы выберите раздел Базовая защита → Защита от атак BadUSB.
3. Используйте флажок Запретить использование экранной клавиатуры для авторизации USB-устройств, чтобы запретить или разрешить использование экранной клавиатуры для авторизации.
4. Сохраните внесенные изменения.

AMSI-защита

Компонент AMSI-защита предназначен для поддержки интерфейса Antimalware Scan Interface от Microsoft. Интерфейс Antimalware Scan Interface (AMSI) позволяет сторонним приложениям с поддержкой AMSI отправлять объекты (например, скрипты PowerShell) в Kaspersky Endpoint Security для дополнительной проверки и получать результаты проверки этих объектов. Сторонними приложениями могут быть, например, программы Microsoft Office (см. рис. ниже). Подробнее об интерфейсе AMSI см. в документации Microsoft.

AMSI-защита может только обнаруживать угрозу и уведомлять стороннее приложение об обнаруженной угрозе. Стороннее приложение после получения уведомления об угрозе не дает выполнить вредоносные действия (например, завершает работу).

Пример работы AMSI

Компонент AMSI-защита может отклонить запрос от стороннего приложения, например, если это приложение превысило максимальное количество запросов за промежуток времени. Kaspersky Endpoint Security отправляет информацию об отклонении запроса от стороннего приложения на Сервер администрирования. Компонент AMSI-защита не отклоняет запросы от тех сторонних приложений, для которых установлен флажок Не блокировать взаимодействие с компонентом AMSI-защита.

AMSI-защита доступна для следующих операционных систем рабочих станций и серверов:

• Windows 10 Home / Pro / Pro для рабочих станций / Education / Enterprise;
• Windows 11;
• Windows Server 2016 Essentials / Standard / Datacenter;
• Windows Server 2019 Essentials / Standard / Datacenter;
• Windows Server 2022.

Включение и выключение AMSI-защиты

По умолчанию AMSI-защита включена.

Чтобы включить или выключить AMSI-защиту, выполните следующие действия:

1. В главном окне программы нажмите на кнопку .
2. В окне параметров программы выберите раздел Базовая защита → AMSI-защита.
3. Используйте переключатель AMSI-защита, чтобы включить или выключить компонент.
4. Сохраните внесенные изменения.

Проверка составных файлов AMSI-защитой

Распространенной практикой сокрытия вирусов и других программ, представляющих угрозу, является внедрение их в составные файлы, например, архивы. Чтобы обнаружить скрытые таким образом вирусы и другие программы, представляющие угрозу, составной файл нужно распаковать, что может привести к снижению скорости проверки. Вы можете ограничить набор типов проверяемых составных файлов, таким образом увеличив скорость проверки.

Чтобы настроить проверку составных файлов AMSI-защитой, выполните следующие действия:

1. В главном окне программы нажмите на кнопку .
2. В окне параметров программы выберите раздел Базовая защита → AMSI-защита.
3. В блоке Проверка составных файлов укажите, какие составные файлы вы хотите проверять: архивы, дистрибутивы или файлы офисных форматов.
4. В блоке Ограничение по размеру выполните одно из следующих действий:
   • Чтобы запретить компоненту AMSI-защита распаковывать составные файлы большого размера, установите флажок Не распаковывать составные файлы большого размера и в поле Максимальный размер файла укажите нужное значение. Компонент AMSI-защита не будет распаковывать составные файлы больше указанного размера.
   • Чтобы разрешить компоненту AMSI-защита распаковывать составные файлы большого размера, снимите флажок Не распаковывать составные файлы большого размера.

   Компонент AMSI-защита проверяет файлы больших размеров, извлеченные из архивов, независимо от того, установлен ли флажок Не распаковывать составные файлы большого размера.

5. Сохраните внесенные изменения.

Защита от эксплойтов

Компонент Защита от эксплойтов отслеживает программный код, который использует уязвимости на компьютере для получения эксплойтом прав администратора или выполнения вредоносных действий. Эксплойты, например, используют атаку на переполнение буфера обмена. Для этого эксплойт отправляет большой объем данных в уязвимую программу. При обработке этих данных уязвимая программа выполняет вредоносный код. В результате этой атаки эксплойт может запустить несанкционированную установку вредоносного ПО. Если попытка запустить исполняемый файл из уязвимой программы не была произведена пользователем, то Kaspersky Endpoint Security блокирует запуск этого файла или информирует пользователя.

Включение и выключение Защиты от эксплойтов

По умолчанию Защита от эксплойтов включена и работает в режиме, рекомендованном специалистами "Лаборатории Касперского". Вы можете выключить Защиту от эксплойтов при необходимости.

Чтобы включить или выключить Защиту от эксплойтов, выполните следующие действия:

1. В главном окне программы нажмите на кнопку .
2. В окне параметров программы выберите раздел Продвинутая защита → Защита от эксплойтов.
3. Используйте переключатель Защита от эксплойтов, чтобы включить или выключить компонент.
4. Сохраните внесенные изменения.

В результате, если Защита от эксплойтов включена, Kaspersky Endpoint Security будет отслеживать исполняемые файлы, запускаемые уязвимыми программами. Если Kaspersky Endpoint Security обнаруживает, что исполняемый файл из уязвимой программы был запущен не пользователем, то Kaspersky Endpoint Security выполняет выбранное действие (например, блокирует операцию).

Выбор действия при обнаружении эксплойта

По умолчанию, обнаружив эксплойт, Kaspersky Endpoint Security блокирует операции этого эксплойта.

Чтобы выбрать действие при обнаружении эксплойта, выполните следующие действия:

1. В главном окне программы нажмите на кнопку .
2. В окне параметров программы выберите раздел Продвинутая защита → Защита от эксплойтов.
3. В блоке При обнаружении эксплойта выберите нужное действие:
   • Блокировать операцию. Если выбран этот элемент, то, обнаружив эксплойт, Kaspersky Endpoint Security блокирует операции этого эксплойта и создает в журнале запись, содержащую информацию об этом эксплойте.
   • Информировать. Если выбран этот элемент, то, обнаружив эксплойт, Kaspersky Endpoint Security создает в журнале запись, содержащую информацию об этом эксплойте, и добавляет информацию об этом эксплойте в список активных угроз.
4. Сохраните внесенные изменения.

Защита памяти системных процессов

По умолчанию защита памяти системных процессов включена.

Чтобы включить или выключить защиту памяти системных процессов, выполните следующие действия:

1. В главном окне программы нажмите на кнопку .
2. В окне параметров программы выберите раздел Продвинутая защита → Защита от эксплойтов.
3. Используйте переключатель Включить защиту памяти системных процессов, чтобы включить или выключить функцию.
4. Сохраните внесенные изменения.

В результате Kaspersky Endpoint Security будет блокировать сторонние процессы, осуществляющие попытки доступа к системным процессам.

Анализ поведения

Компонент Анализ поведения получает данные о действиях программ на вашем компьютере и предоставляет эту информацию другим компонентам защиты для повышения эффективности их работы. Компонент Анализ поведения использует шаблоны опасного поведения программ. Если активность программы совпадает с одним из шаблонов опасного поведения, Kaspersky Endpoint Security выполняет выбранное ответное действие. Функциональность Kaspersky Endpoint Security, основанная на шаблонах опасного поведения, обеспечивает проактивную защиту компьютера.

Включение и выключение Анализа поведения

По умолчанию Анализ поведения включен и работает в режиме, рекомендованном специалистами "Лаборатории Касперского". Вы можете выключить Анализ поведения при необходимости.

Не рекомендуется выключать Анализ поведения без необходимости, так как это снижает эффективность работы компонентов защиты. Компоненты защиты могут запрашивать данные, полученные компонентом Анализ поведения, для обнаружения угроз.

Чтобы включить или выключить Анализ поведения, выполните следующие действия:

1. В главном окне программы нажмите на кнопку .
2. В окне параметров программы выберите раздел Продвинутая защита → Анализ поведения.
3. Используйте переключатель Анализ поведения, чтобы включить или выключить компонент.
4. Сохраните внесенные изменения.

В результате, если Анализ поведения включен, Kaspersky Endpoint Security будет анализировать активность программ в операционной системе, используя шаблоны опасного поведения.

Выбор действия при обнаружении вредоносной активности программы

Чтобы выбрать действие при обнаружении вредоносной активности программы, выполните следующие действия:

1. В главном окне программы нажмите на кнопку .
2. В окне параметров программы выберите раздел Продвинутая защита → Анализ поведения.
3. В блоке При обнаружении вредоносной активности программы выберите нужное действие:
   • Удалять файл. Если выбран этот элемент, то, обнаружив вредоносную активность программы, Kaspersky Endpoint Security удаляет исполняемый файл вредоносной программы и создает резервную копию файла в резервном хранилище.
   • Завершать работу программы. Если выбран этот элемент, то, обнаружив вредоносную активность программы, Kaspersky Endpoint Security завершает работу этой программы.
   • Информировать. Если выбран этот элемент, то, обнаружив вредоносную активность программы, Kaspersky Endpoint Security добавляет информацию о вредоносной активности этой программы в список активных угроз.

4. Сохраните внесенные изменения.

Защита папок общего доступа от внешнего шифрования

Компонент обеспечивает отслеживание операций только над теми файлами, которые расположены на запоминающих устройствах с файловой системой NTFS и не зашифрованы системой EFS.

Функция защиты папок общего доступа от внешнего шифрования обеспечивает анализ активности в папках общего доступа. Если активность совпадает с одним из шаблонов поведения, характерного для внешнего шифрования, Kaspersky Endpoint Security выполняет выбранное действие.

По умолчанию защита папок общего доступа от внешнего шифрования выключена.

После установки Kaspersky Endpoint Security функция защиты папок общего доступа от внешнего шифрования будет ограничена до перезагрузки компьютера.

Включение и выключение защиты папок общего доступа от внешнего шифрования

После установки Kaspersky Endpoint Security функция защиты папок общего доступа от внешнего шифрования будет ограничена до перезагрузки компьютера.

Чтобы включить или выключить защиту папок общего доступа от внешнего шифрования, выполните следующие действия:

1. В главном окне программы нажмите на кнопку .
2. В окне параметров программы выберите раздел Продвинутая защита → Анализ поведения.
3. Используйте переключатель Включить защиту папок общего доступа от внешнего шифрования, чтобы включить или выключить анализ активности, характерную для внешнего шифрования.
4. Сохраните внесенные изменения.

Выбор действия при обнаружении внешнего шифрования папок общего доступа

Чтобы выбрать действие при обнаружении внешнего шифрования папок общего доступа, выполните следующие действия:

1. В главном окне программы нажмите на кнопку .
2. В окне параметров программы выберите раздел Продвинутая защита → Анализ поведения.
3. В блоке Защита папок общего доступа от внешнего шифрования выберите нужное действие:
   • Блокировать соединение на N мин. Если выбран этот вариант, то при обнаружении попытки изменения файлов в папках общего доступа, Kaspersky Endpoint Security выполняет следующие действия:
     • блокирует сетевую активность компьютера, осуществляющего изменение;
     • создает резервные копии подверженных изменению файлов;
     • добавляет запись в отчеты локального интерфейса программы;
     • отправляет в Kaspersky Security Center информацию об обнаружении вредоносной активности.

     Если при этом включен компонент Откат вредоносных действий, то выполняется восстановление измененных файлов из резервных копий.

   • Информировать. Если выбран этот вариант, то при обнаружении попытки изменения файлов в папках общего доступа, Kaspersky Endpoint Security выполняет следующие действия:
     • добавляет запись в отчеты локального интерфейса программы;
     • добавляет запись в список активных угроз;
     • отправляет в Kaspersky Security Center информацию об обнаружении вредоносной активности.
4. Сохраните внесенные изменения.

Создание исключения для защиты папок общего доступа от внешнего шифрования

Исключение папки позволит сократить количество ложных срабатываний, если в вашей организации используется шифрование данных при обмене файлами с помощью папок общего доступа. Например, Анализ поведения может создавать ложные срабатывания при работе пользователя с файлами с расширением ENC в папке общего доступа. Такая активность совпадает с шаблоном поведения, характерного для внешнего шифрования. Если вы зашифровали файлы в папке общего доступа для защиты данных, добавьте эту папку в исключения.

Как создать исключение для защиты папок общего доступа в Консоли администрирования (MMC)

Как создать исключение для защиты папок общего доступа в Web Console и Cloud Console

Как создать исключение для защиты папок общего доступа в интерфейсе приложения

Настройка адресов исключений из защиты папок общего доступа от внешнего шифрования

Для работы функциональности исключений адресов из защиты папок общего доступа от внешнего шифрования необходимо включить службу Аудит входа в систему. По умолчанию служба Аудит входа в систему выключена (подробную информацию о включении службы Аудит входа в систему см. на сайте корпорации Microsoft).

Функциональность исключений адресов из защиты папок общего доступа не работает на удаленном компьютере, если этот удаленный компьютер был включен до запуска Kaspersky Endpoint Security. Вы можете перезагрузить этот удаленный компьютер после запуска Kaspersky Endpoint Security, чтобы обеспечить работу функциональности исключений адресов из защиты папок общего доступа на этом удаленном компьютере.

Чтобы исключить из защиты удаленные компьютеры, осуществляющие внешнее шифрование папок общего доступа, выполните следующие действия:

1. В главном окне программы нажмите на кнопку .
2. В окне параметров программы выберите раздел Продвинутая защита → Анализ поведения.
3. В блоке Исключения перейдите по ссылке Настройка адресов исключений.
4. Если вы хотите добавить IP-адрес или имя компьютера в список исключений, нажмите на кнопку Добавить.
5. Введите IP-адрес компьютера или имя компьютера, попытки внешнего шифрования с которого не должны обрабатываться.
6. Сохраните внесенные изменения.

Экспорт и импорт списка исключений из защиты папок общего доступа от внешнего шифрования

Вы можете экспортировать список исключений в файл в формате XML. Далее вы можете вносить изменения в файл, чтобы, например, добавить большое количество однотипных адресов. Также вы можете использовать функцию экспорта / импорта для резервного копирования списка исключений или для миграции списка на другой сервер.

Как экспортировать / импортировать список исключений в Консоли администрирования (MMC)

Как экспортировать / импортировать список исключений в Web Console и Cloud Console

Предотвращение вторжений

Этот компонент доступен, если программа Kaspersky Endpoint Security установлена на компьютере под управлением операционной системы Windows для рабочих станций. Этот компонент недоступен, если программа Kaspersky Endpoint Security установлена на компьютере под управлением операционной системы Windows для серверов.

Компонент Предотвращение вторжений (англ. HIPS – Host Intrusion Prevention System) предотвращает выполнение программами опасных для системы действий, а также обеспечивает контроль доступа к ресурсам операционной системы и персональным данным. Компонент обеспечивает защиту компьютера с помощью антивирусных баз и облачной службы Kaspersky Security Network.

Компонент контролирует работу программ с помощью прав программ. Права программ включают в себя следующие параметры доступа:

• доступ к ресурсам операционной системы (например, параметры автозапуска, ключи реестра);
• доступ к персональным данным (например, к файлам, программам).

Сетевую активность программ контролирует Сетевой экран с помощью сетевых правил.

Во время первого запуска программы компонент Предотвращение вторжений выполняет следующие действия:

1. Проверяет безопасность программы с помощью загруженных антивирусных баз.
2. Проверяет безопасность программы в Kaspersky Security Network.

   Для более эффективной работы компонента Предотвращение вторжений вам рекомендуется принять участие в Kaspersky Security Network.

3. Помещает программу в одну из групп доверия: Доверенные, Слабые ограничения, Сильные ограничения, Недоверенные.

   Группа доверия определяет права, которые Kaspersky Endpoint Security использует для контроля активности программ. Kaspersky Endpoint Security помещает программу в группу доверия в зависимости от уровня опасности, которую эта программа может представлять для компьютера.

   Kaspersky Endpoint Security помещает программу в группу доверия для компонентов Сетевой экран и Предотвращение вторжений. Изменить группу доверия только для Сетевого экрана или только для Предотвращения вторжений невозможно.

   Если вы отказались принимать участие в KSN или отсутствует сеть, Kaspersky Endpoint Security помещает программу в группу доверия в зависимости от параметров компонента Предотвращение вторжений. После получения данных о репутации программы от KSN группа доверия может быть изменена автоматически.

4. Блокирует действия программы в зависимости от группы доверия. Например, программам из группы доверия "Сильные ограничения" запрещен доступ к модулям операционной системы.

При следующем запуске программы Kaspersky Endpoint Security проверяет целостность программы. Если программа не была изменена, компонент применяет к ней текущие права программ. Если программа была изменена, Kaspersky Endpoint Security исследует программу как при первом запуске.

Включение и выключение Предотвращения вторжений

По умолчанию компонент Предотвращение вторжений включен и работает в рекомендованном специалистами "Лаборатории Касперского" режиме.

Как включить или выключить компонент Предотвращение вторжений в Консоли администрирования (MMC)

Как включить или выключить компонент Предотвращение вторжений в Web Console и Cloud Console

Как включить или выключить компонент Предотвращение вторжений в интерфейсе программы

В результате, если компонент Предотвращение вторжений включен, Kaspersky Endpoint Security помещает программу в группу доверия в зависимости от уровня опасности, которую эта программа может представлять для компьютера. Далее Kaspersky Endpoint Security будет блокировать действия программы в зависимости от группы доверия.

Работа с группами доверия программ

Во время первого запуска каждой программы компонент Предотвращение вторжений проверяет безопасность программы и помещает программу в одну из групп доверия.

На первом этапе проверки программы Kaspersky Endpoint Security ищет запись о программе во внутренней базе известных программ и одновременно отправляет запрос в базу Kaspersky Security Network (при наличии подключения к интернету). По результатам проверки по внутренней базе и по базе Kaspersky Security Network программа помещается в группу доверия. При каждом повторном запуске программы Kaspersky Endpoint Security отправляет новый запрос в базу KSN и перемещает программу в другую группу доверия, если репутация программы в базе KSN изменилась.

Вы можете выбрать группу доверия, в которую Kaspersky Endpoint Security должен автоматически помещать все неизвестные программы. Программы, которые были запущены до Kaspersky Endpoint Security, автоматически помещаются в группу доверия, установленную в параметрах компонента Предотвращение вторжений.

Для программ, запущенных до Kaspersky Endpoint Security, контролируется только сетевая активность. Контроль осуществляется согласно сетевым правилам, установленным в параметрах Сетевого экрана.

Изменение группы доверия для программы

Во время первого запуска каждой программы компонент Предотвращение вторжений проверяет безопасность программы и помещает программу в одну из групп доверия.

Специалисты "Лаборатории Касперского" не рекомендуют перемещать программы из группы доверия, определенной автоматически, в другую группу доверия. Вместо этого при необходимости измените права отдельной программы.

Как изменить группу доверия для программы в Консоли администрирования (MMC)

Как изменить группу доверия для программы в Web Console и Cloud Console

Как изменить группу доверия для программы в интерфейсе программы

В результате программа будет перемещена в другую группу доверия. Далее Kaspersky Endpoint Security будет блокировать действия программы в зависимости от группы доверия. Программе будет присвоен статус (задано пользователем). При изменении репутации программы в Kaspersky Security Network компонент Предотвращение вторжений оставит группу доверия для этой программы без изменений.

Настройка прав группы доверия

По умолчанию для разных групп доверия созданы оптимальные права программ. Параметры прав групп программ, входящих в группу доверия, наследуют значения параметров прав групп доверия.

Как изменить права группы доверия в Консоли администрирования (MMC)

Как изменить права группы доверия в Web Console и Cloud Console

Как изменить права группы доверия в интерфейсе программы

В результате права группы доверия будут изменены. Далее Kaspersky Endpoint Security будет блокировать действия программы в зависимости от группы доверия. Группе доверия будет присвоен статус (Настройки пользователя).

Выбор группы доверия для программ, запускаемых до Kaspersky Endpoint Security

Для программ, запущенных до Kaspersky Endpoint Security, контролируется только сетевая активность. Контроль осуществляется согласно сетевым правилам, установленным в параметрах Сетевого экрана. Чтобы указать, какими сетевыми правилами должен регулироваться контроль сетевой активности таких программ, необходимо выбрать группу доверия.

Как выбрать группу доверия для программ, запускаемых до Kaspersky Endpoint Security, в Консоли администрирования (MMC)

Как выбрать группу доверия для программ, запускаемых до Kaspersky Endpoint Security, в Web Console и Cloud Console

Как выбрать группу доверия для программ, запускаемых до Kaspersky Endpoint Security, в интерфейсе программы

В результате программа, запускаемая до Kaspersky Endpoint Security, будет помещена в другую группу доверия. Далее Kaspersky Endpoint Security будет блокировать действия программы в зависимости от группы доверия.

Выбор группы доверия для неизвестных программ

Во время первого запуска программы компонент Предотвращение вторжений определяет группу доверия для программы. Если у вас отсутствует доступ в интернет или в Kaspersky Security Network нет информации об этой программе, то Kaspersky Endpoint Security по умолчанию помещает программу в группу "Слабые ограничения". При обнаружении в KSN информации о ранее неизвестной программе Kaspersky Endpoint Security обновит права программы. После этого вы можете изменить права программы вручную.

Как выбрать группу доверия для неизвестных программ в Консоли администрирования (MMC)

Как выбрать группу доверия для неизвестных программ в Web Console и Cloud Console

Как выбрать группу доверия для неизвестных программ в интерфейсе программы

Выбор группы доверия для программ с цифровой подписью

Kaspersky Endpoint Security всегда помещает программы, подписанные сертификатами Microsoft или сертификатами "Лаборатории Касперского", в группу доверия "Доверенные".

Как выбрать группу доверия для программ с цифровой подписью в Консоли администрирования (MMC)

Как выбрать группу доверия для программ с цифровой подписью в Web Console и Cloud Console

Как выбрать группу доверия для программ с цифровой подписью в интерфейсе программы

Работа с правами программ

По умолчанию для контроля работы программы применяются права программ, определенные для той группы доверия, в которую Kaspersky Endpoint Security поместил программу при первом ее запуске. При необходимости вы можете изменить права программ для всей группы доверия, для отдельной программы или группы программ внутри группы доверия.

Права программ, заданные вручную, имеют более высокий приоритет, чем права программ, определенные для группы доверия. То есть, если права программы, заданные вручную, отличаются от прав программ, определенных для группы доверия, компонент Предотвращение вторжения контролирует работу программы в соответствии с правами программ, заданными вручную.

Правила, которые вы создаете для программ, наследуются дочерними программами. Например, если вы запретили любую сетевую активность программе cmd.exe, этот запрет будет распространятся на программу notepad.exe, если она была запущена с помощью cmd.exe. При опосредованном запуске программы (если программа не является дочерней по отношению к программе, из которой она запускается), правила унаследованы не будут.

Как изменить права программы в Консоли администрирования (MMC)

Как изменить права программы в Web Console и Cloud Console

Как изменить права программы в интерфейсе программы

Защита ресурсов ОС и персональных данных

Компонент Предотвращение вторжений управляет правами программ на операции над различными категориями ресурсов операционной системы и персональных данных. Специалисты "Лаборатории Касперского" выделили предустановленные категории защищаемых ресурсов. Например, в категории Операционная система есть подкатегория Параметры автозапуска, где перечислены все ключи реестра, относящиеся к автозапуску программ. Вы не можете изменять или удалять предустановленные категории защищаемых ресурсов и относящиеся к ним защищаемые ресурсы.

Как добавить защищаемый ресурс в Консоли администрирования (MMC)

Как добавить защищаемый ресурс в Web Console и Cloud Console

Как добавить защищаемый ресурс в интерфейсе программы

В результате Kaspersky Endpoint Security будет контролировать доступ к добавленным ресурсам операционной системы и персональных данных. Kaspersky Endpoint Security контролирует доступ программы к ресурсам на основании присвоенной группы доверия. Вы также можете изменить группу доверия для программы.

Удаление информации о неиспользуемых программах

Kaspersky Endpoint Security контролирует работу программ с помощью прав программ. Права программы определены группой доверия. Kaspersky Endpoint Security помещает программу в группу доверия при первом запуске. Вы можете изменить группу доверия для программы вручную. Также вы можете настроить права для отдельной программы вручную. Таким образом, Kaspersky Endpoint Security хранит следующую информацию о программе: группа доверия и права программы.

Kaspersky Endpoint Security автоматически удаляет информацию о неиспользуемых программах для экономии ресурсов компьютера. Kaspersky Endpoint Security удаляет информацию о программах по следующим правилам:

• Если группа доверия и права программы определены автоматически, Kaspersky Endpoint Security удаляет информацию об этой программе через 30 дней. Изменить время хранения информации о программе или выключить автоматическое удаление невозможно.
• Если вы вручную поместили программу в группу доверия или настроили права доступа, Kaspersky Endpoint Security удаляет информацию об этой программе через 60 дней (значение по умолчанию). Вы можете изменить время хранения информации о программе или выключить автоматическое удаление (см. инструкцию ниже).

При запуске программы, информация о которой была удалена, Kaspersky Endpoint Security исследует программу как при первом запуске.

Как настроить автоматическое удаление информации о неиспользуемых программах в Консоли администрирования (MMC)

Как настроить автоматическое удаление информации о неиспользуемых программах в Web Console и Cloud Console

Как настроить автоматическое удаление информации о неиспользуемых программах в интерфейсе программы

Мониторинг работы Предотвращения вторжений

Вы можете получать отчеты о работе компонента Предотвращение вторжений. Отчеты содержат информацию о выполнении программой операций с ресурсами компьютера (разрешено или запрещено). Также отчеты содержат информацию о программах, которые используют каждый ресурс.

Для мониторинга работы Предотвращения вторжений вам нужно включить запись в отчет. Например, вы можете включить отправку отчетов для отдельных программ в параметрах компонента Предотвращение вторжений.

При настройке мониторинга работы Предотвращения вторжения учитывайте нагрузку на сеть при отправке событий в Kaspersky Security Center. Также вы можете включить сохранение отчетов только в локальном журнале Kaspersky Endpoint Security.

Защита доступа к аудио и видео

Злоумышленники могут с помощью специальных программ пытаться получить доступ к устройствам записи аудио и видео (например, микрофоны или веб-камеры). Kaspersky Endpoint Security контролирует получение программами аудиосигнала и видеосигнала и защищает данные от несанкционированного перехвата.

По умолчанию Kaspersky Endpoint Security контролирует доступ программ к аудиосигналу и видеосигналу следующим образом:

• "Доверенные" и "Слабые ограничения" – получение аудиосигнала и видеосигнала с устройств разрешено по умолчанию.
• "Сильные ограничения" и "Недоверенные" – получение аудиосигнала и видеосигнала с устройств запрещено по умолчанию.

Вы можете вручную разрешать программам получать аудиосигнал и видеосигнал.

Особенности защиты аудиосигнала

Функциональность защиты аудиосигнала имеет следующие особенности:

• Для работы функциональности необходимо, чтобы был включен компонент Предотвращение вторжений.
• Если программа начала получать аудиосигнал до запуска компонента Предотвращение вторжений, то Kaspersky Endpoint Security разрешает программе получение аудиосигнала и не показывает никаких уведомлений.
• Если вы поместили программу в группу "Недоверенные" или "Сильные ограничения" после того, как программа начала получать аудиосигнал, то Kaspersky Endpoint Security разрешает программе получение аудиосигнала и не показывает никаких уведомлений.
• При изменении параметров доступа программы к устройствам записи звука (например, программе было запрещено получение аудиосигнала) требуется перезапуск этой программы, чтобы она перестала получать аудиосигнал.
• Контроль получения аудиосигнала с устройств записи звука не зависит от параметров доступа программ к веб-камере.
• Kaspersky Endpoint Security защищает доступ только к встроенным и внешним микрофонам. Другие устройства передачи звука не поддерживаются.
• Kaspersky Endpoint Security не гарантирует защиту аудиосигнала, передаваемого с таких устройств, как DSLR-камеры, портативные видеокамеры, экшн-камеры.
• При первом запуске программы Kaspersky Endpoint Security с момента ее установки воспроизведение или запись аудио и видео могут быть прерваны в программах записи или воспроизведения аудио и видео. Это необходимо для того, чтобы включилась функциональность контроля доступа программ к устройствам записи звука. Системная служба управления средствами работы со звуком будет перезапущена при первом запуске программы Kaspersky Endpoint Security.

Особенности доступа программ к веб-камерам

Функциональность защиты доступа к веб-камере имеет следующие особенности и ограничения:

• Программа контролирует видео и статические изображения, полученные в результате обработки данных веб-камеры.
• Программа контролирует аудиосигнал, если он является частью видеопотока, получаемого с веб-камеры.
• Программа контролирует только веб-камеры, подключаемые по интерфейсу USB или IEEE1394 и отображаемые в Диспетчере устройств Windows как Устройства обработки изображений (англ. Imaging Device).
• Kaspersky Endpoint Security поддерживает следующие веб-камеры:
  • Logitech HD Webcam C270;
  • Logitech HD Webcam C310;
  • Logitech Webcam C210;
  • Logitech Webcam Pro 9000;
  • Logitech HD Webcam C525;
  • Microsoft LifeCam VX-1000;
  • Microsoft LifeCam VX-2000;
  • Microsoft LifeCam VX-3000;
  • Microsoft LifeCam VX-800;
  • Microsoft LifeCam Cinema.

  "Лаборатория Касперского" не гарантирует поддержку веб-камер, не указанных в этом списке.

Откат вредоносных действий

Компонент Откат вредоносных действий позволяет Kaspersky Endpoint Security выполнить откат действий, произведенных вредоносными программами в операционной системе.

Во время отката действий вредоносной программы в операционной системе Kaspersky Endpoint Security обрабатывает следующие типы активности вредоносной программы:

• Файловая активность

  Kaspersky Endpoint Security выполняет следующие действия:

  • удаляет исполняемые файлы, созданные вредоносной программой (на всех носителях, кроме сетевых дисков);
  • удаляет исполняемые файлы, созданные программами, в которые внедрилась вредоносная программа;
  • восстанавливает измененные или удаленные вредоносной программой файлы.

  Функциональность восстановления файлов имеет ряд ограничений.

• Реестровая активность

  Kaspersky Endpoint Security выполняет следующие действия:

  • удаляет разделы и ключи реестра, созданные вредоносной программой;
  • не восстанавливает измененные или удаленные вредоносной программой разделы и ключи реестра.
• Системная активность

  Kaspersky Endpoint Security выполняет следующие действия:

  • завершает процессы, которые запускала вредоносная программа;
  • завершает процессы, в которые внедрялась вредоносная программа;
  • не возобновляет процессы, которые остановила вредоносная программа.
• Сетевая активность

  Kaspersky Endpoint Security выполняет следующие действия:

  • запрещает сетевую активность вредоносной программы;
  • запрещает сетевую активность тех процессов, в которые внедрялась вредоносная программа.

Откат действий вредоносной программы может быть запущен компонентом Защита от файловых угроз, Анализ поведения или при антивирусной проверке.

Откат действий вредоносной программы затрагивает строго ограниченный набор данных. Откат не оказывает негативного влияния на работу операционной системы и целостность информации на вашем компьютере.

Как включить или выключить компонент Откат вредоносных действий в Консоли администрирования (MMC)

Как включить или выключить компонент Откат вредоносных действий в Web Console и Cloud Console

Как включить или выключить компонент Откат вредоносных действий в интерфейсе программы

В результате, если Откат вредоносных действий включен, Kaspersky Endpoint Security будет откатывать действия, которые вредоносные программы совершили в операционной системе.

Kaspersky Security Network

Чтобы повысить эффективность защиты компьютера пользователя, Kaspersky Endpoint Security использует данные, полученные от пользователей во всем мире. Для получения этих данных предназначена сеть Kaspersky Security Network.

Kaspersky Security Network (KSN) – это инфраструктура облачных служб, предоставляющая доступ к оперативной базе знаний "Лаборатории Касперского" о репутации файлов, интернет-ресурсов и программного обеспечения. Использование данных Kaspersky Security Network обеспечивает более высокую скорость реакции Kaspersky Endpoint Security на неизвестные угрозы, повышает эффективность работы некоторых компонентов защиты, а также снижает вероятность ложных срабатываний. Если вы участвуете в Kaspersky Security Network, программа Kaspersky Endpoint Security получает от служб KSN сведения о категории и репутации проверяемых файлов, а также сведения о репутации проверяемых веб-адресов.

Использование Kaspersky Security Network является добровольным. Программа предлагает использовать KSN во время первоначальной настройки программы. Начать или прекратить использование KSN можно в любой момент.

Более подробную информацию об отправке в "Лабораторию Касперского", хранении и уничтожении статистической информации, полученной во время использования KSN, вы можете прочитать в Положении о Kaspersky Security Network и на веб-сайте "Лаборатории Касперского". Файл ksn_<ID языка>.txt с текстом Положения о Kaspersky Security Network входит в комплект поставки программы.

Для снижения нагрузки на серверы KSN специалисты "Лаборатории Касперского" могут выпускать обновления для программы, которые временно выключают или частично ограничивают обращения в Kaspersky Security Network. В этом случае статус подключения к KSN в локальном интерфейсе программы – Включено с ограничениями.

Инфраструктура KSN

Kaspersky Endpoint Security поддерживает следующие инфраструктурные решения KSN:

• Глобальный KSN – это решение, которое используют большинство программ "Лаборатории Касперского". Участники KSN получают информацию от Kaspersky Security Network, а также отправляют в "Лабораторию Касперского" данные об объектах, обнаруженных на компьютере пользователя, для дополнительной проверки аналитиками "Лаборатории Касперского" и пополнения репутационных и статистических баз Kaspersky Security Network.
• Локальный KSN – это решение, позволяющее пользователям компьютеров, на которые установлена программа Kaspersky Endpoint Security или другие программы "Лаборатории Касперского", получать доступ к репутационным базам Kaspersky Security Network, а также другим статистическим данным, не отправляя данные в KSN со своих компьютеров. Локальный KSN разработан для корпоративных клиентов, не имеющих возможности участвовать в Kaspersky Security Network, например, по следующим причинам:
  • отсутствие подключения локальных рабочих мест к сети Интернет;
  • законодательный запрет или ограничение корпоративной безопасности на отправку любых данных за пределы страны или за пределы локальной сети организации.

По умолчанию Kaspersky Security Center использует Глобальный KSN. Вы можете настроить использование Локального KSN в Консоли администрирования (MMC), Kaspersky Security Center Web Console, а также с помощью командной строки. Настроить использование Локального KSN в Kaspersky Security Center Cloud Console невозможно.

Подробнее о работе Локального KSN см. в документации для Kaspersky Private Security Network.

KSN Proxy

Компьютеры пользователей, работающие под управлением Сервера администрирования Kaspersky Security Center, могут взаимодействовать с KSN при помощи службы KSN Proxy.

Служба KSN Proxy предоставляет следующие возможности:

• Компьютер пользователя может выполнять запросы к KSN и передавать в KSN информацию, даже если он не имеет прямого доступа в интернет.
• Служба KSN Proxy кеширует обработанные данные, снижая тем самым нагрузку на канал связи с внешней сетью и ускоряя получение компьютером пользователя запрошенной информации.

Подробную информацию о службе KSN Proxy см. в справке Kaspersky Security Center.

Включение и выключение использования Kaspersky Security Network

Чтобы включить или выключить использование Kaspersky Security Network, выполните следующие действия:

1. В главном окне программы нажмите на кнопку .
2. В окне параметров программы выберите раздел Продвинутая защита → Kaspersky Security Network.
3. Используйте переключатель Kaspersky Security Network, чтобы включить или выключить компонент.

   Если вы включили использование KSN, Kaspersky Endpoint Security покажет Положение о Kaspersky Security Network. Если вы согласны, примите условия использования KSN.

   По умолчанию Kaspersky Endpoint Security использует расширенный режим KSN. Расширенный режим KSN – режим работы программы, при котором Kaspersky Endpoint Security передает в "Лабораторию Касперского" дополнительные данные.

4. Если требуется, выключите переключатель Включить расширенный режим KSN.
5. Сохраните внесенные изменения.

В результате, если использование KSN включено, Kaspersky Endpoint Security использует информацию о репутации файлов, веб-ресурсов и программ, полученную из Kaspersky Security Network.

Ограничения работы с Локальным KSN

Локальный KSN (далее также "KPSN") позволяет использовать собственную базу данных репутаций объектов (файлов или веб-адресов) с помощью локальной репутационной базы. Репутация объекта, добавленного в локальную репутационную базу, имеет приоритет выше, чем в KSN / KPSN. То есть, если Kaspersky Endpoint Security при проверке компьютера запросит репутацию файла в KSN / KPSN, и в локальной репутационной базе файл имеет репутацию "недоверенный", а в KSN / KPSN объект имеет репутацию "доверенный", то Kaspersky Endpoint Security обнаружит файл как "недоверенный" и выполнит действие, заданное для обнаруженных угроз.

Однако в некоторых случаях Kaspersky Endpoint Security может не запрашивать репутацию объекта в KSN / KPSN. В результате Kaspersky Endpoint Security не получит данные из локальной репутационной базы KPSN. Kaspersky Endpoint Security может не запрашивать репутацию объекта в KSN / KPSN, например, по следующим причинам:

• Программы "Лаборатории Касперского" используют офлайн репутационные базы. Офлайн репутационные базы предназначены для оптимизации ресурсов при работе программ "Лаборатории Касперского" и защите критически важных объектов компьютера. Офлайн репутационные базы формируют специалисты "Лаборатории Касперского" на основании данных Kaspersky Security Network. Программы "Лаборатории Касперского" обновляют офлайн репутационные базы с антивирусными базами программы. Если информация о проверяемом объекте содержится в офлайн репутационных базах, программа не запрашивает репутацию этого объекта в KSN / KPSN.
• В параметрах программы настроены исключения из проверки (доверенная зона). В этом случае программа не учитывает репутацию объекта в локальной репутационной базе.
• Программа использует технологии оптимизации проверки, например, технологии iSwift, iChecker или кеширование запросов репутации в KSN / KPSN. В этом случае программа может не запрашивать репутацию ранее проверенных объектов.
• Для оптимизации нагрузки программа проверяет файлы определенного формата и размера. Список форматов и ограничения по размеру определяют специалисты "Лаборатории Касперского". Этот список обновляется с антивирусными базами программы. Также вы можете настроить параметры оптимизации проверки в интерфейсе программы, например, для компонента Защита от файловых угроз.

Включение и выключение облачного режима для компонентов защиты

Облачный режим – режим работы программы, при котором Kaspersky Endpoint Security использует облегченную версию антивирусных баз. Работу программы с облегченными антивирусными базами обеспечивает Kaspersky Security Network. Облегченная версия антивирусных баз позволяет снизить нагрузку на оперативную память компьютера примерно в два раза. Если вы не участвуете в Kaspersky Security Network или облачный режим выключен, Kaspersky Endpoint Security загружает полную версию антивирусных баз с серверов "Лаборатории Касперского".

При использовании Kaspersky Private Security Network функциональность облачного режима доступна начиная с версии Kaspersky Private Security Network 3.0.

Чтобы включить или выключить облачный режим для компонентов защиты, выполните следующие действия:

1. В главном окне программы нажмите на кнопку .
2. В окне параметров программы выберите раздел Продвинутая защита → Kaspersky Security Network.
3. Используйте переключатель Включить облачный режим, чтобы включить или выключить компонент.
4. Сохраните внесенные изменения.

В результате Kaspersky Endpoint Security загружает облегченную или полную версию антивирусных баз в ходе ближайшего обновления.

Если облегченная версия антивирусных баз недоступна для использования, Kaspersky Endpoint Security автоматически переключается на использование полной версии антивирусных баз.

Проверка репутации файла в Kaspersky Security Network

Если вы сомневаетесь в безопасности файла, вы можете проверить его репутацию в Kaspersky Security Network.

Проверка репутации файла доступна, если вы приняли условия Положения о Kaspersky Security Network.

Чтобы проверить репутацию файла в Kaspersky Security Network,

откройте контекстное меню файла и выберите пункт Проверить репутацию в KSN (см. рис. ниже).

Контекстное меню файла

Kaspersky Endpoint Security отображает репутацию файла:

Доверенный. Большинство пользователей Kaspersky Security Network подтвердили, что файл доверенный.

Легальная программа, которая может быть использована злоумышленником для нанесения вреда компьютеру или данным пользователя. Такие программы сами по себе не имеют вредоносных функций, но эти программы могут быть использованы злоумышленниками. Подробную информацию о легальных программах, которые могут быть использованы злоумышленниками для нанесения вреда компьютеру или данным пользователя, вы можете получить на сайте Вирусной энциклопедии "Лаборатории Касперского". Вы можете добавить эти программы в список доверенных.

Недоверенный. Вирус или другая программа, представляющая угрозу.

Неизвестный. В Kaspersky Security Network отсутствует информация о файле. Вы можете проверить файл с помощью антивирусных баз (пункт контекстного меню Проверить на вирусы).

Kaspersky Endpoint Security отображает решение KSN, которое было использовано для определения репутации файла: Глобальный KSN или Локальный KSN.

Также Kaspersky Endpoint Security отображает дополнительную информацию о файле (см. рис. ниже).

Репутация файла в Kaspersky Security Network

Проверка защищенных соединений

Этот компонент доступен, если программа Kaspersky Endpoint Security установлена на компьютере под управлением операционной системы Windows для рабочих станций. Этот компонент недоступен, если программа Kaspersky Endpoint Security установлена на компьютере под управлением операционной системы Windows для серверов.

После установки Kaspersky Endpoint Security добавляет сертификат "Лаборатории Касперского" в системное хранилище доверенных сертификатов (хранилище сертификатов Windows). Также Kaspersky Endpoint Security включает использование системного хранилища доверенных сертификатов в программах Firefox и Thunderbird для проверки трафика этих программ.

Компоненты Веб-Контроль, Защита от почтовых угроз, Защита от веб-угроз могут расшифровывать и проверять сетевой трафик, передаваемый по защищенным соединениям с использованием следующих протоколов:

• SSL 3.0;
• TLS 1.0, TLS 1.1, TLS 1.2, TLS 1.3.

Настройка параметров проверки защищенных соединений

Чтобы настроить параметры проверки защищенных соединений, выполните следующие действия:

1. В главном окне программы нажмите на кнопку .
2. В окне параметров программы выберите раздел Расширенные настройки → Настройки сети.
3. В блоке Проверка защищенных соединений выберите режим проверки защищенных соединений:
   • Не проверять защищенные соединения. Kaspersky Endpoint Security не имеет доступ к содержанию сайтов, адрес которых начинается с https://.
   • Проверять защищенные соединения по запросу компонентов защиты. Kaspersky Endpoint Security проверяет зашифрованный трафик только по запросу компонентов Защита от файловых угроз, Защита от почтовых угроз и Веб-Контроль.
   • Всегда проверять защищенные соединения. Kaspersky Endpoint Security проверяет зашифрованный сетевой трафик, даже если компоненты защиты выключены.

   Kaspersky Endpoint Security не проверяет защищенные соединения, установленные доверенными программами, для которых выключена проверка трафика. Также Kaspersky Endpoint Security не проверяет защищенные соединения из предустановленного списка доверенных сайтов. Предустановленный список доверенных сайтов составляют специалисты "Лаборатории Касперского". Этот список обновляется с антивирусными базами программы. Вы можете просмотреть предустановленный список доверенных сайтов только в интерфейсе Kaspersky Endpoint Security. В консоли Kaspersky Security Center просмотреть список невозможно.

4. Если требуется, добавьте исключения из проверки: доверенные адреса и программы.
5. Настройте параметры проверки защищенных соединений (см. таблицу ниже).
6. Сохраните внесенные изменения.

   Параметры проверки защищенных соединений

   Параметр	Описание
   При переходе на домен с недоверенным сертификатом	Разрешать. Если выбран этот вариант, то при переходе на домен с недоверенным сертификатом Kaspersky Endpoint Security разрешает установку сетевого соединения. При переходе на домен с недоверенным сертификатом в браузере, Kaspersky Endpoint Security отображает HTML-страницу с предупреждением и информацией о причине, по которой этот домен не рекомендован для посещения. По ссылке из HTML-страницы с предупреждением пользователь может получить доступ к запрошенному веб-ресурсу. После перехода по этой ссылке Kaspersky Endpoint Security в течение часа не будет отображать предупреждения о недоверенном сертификате при переходе на другие веб-ресурсы в том же домене. Блокировать соединение. Если выбран этот вариант, то при переходе на домен с недоверенным сертификатом Kaspersky Endpoint Security блокирует сетевое соединение. При переходе на домен с недоверенным сертификатом в браузере, Kaspersky Endpoint Security отображает HTML-страницу с информацией о причине, по которой переход на этот домен заблокирован.
   В случае возникновения ошибки при проверке защищенного соединения	Блокировать соединение. Если выбран этот элемент, то при возникновении ошибки проверки защищенного соединения Kaspersky Endpoint Security блокирует это сетевое соединение. Добавить домен в исключения. Если выбран этот элемент, то при возникновении ошибки проверки защищенного соединения Kaspersky Endpoint Security добавляет домен, при переходе на который возникла ошибка, в список доменов с ошибками проверки и не контролирует зашифрованный сетевой трафик при переходе на этот домен. Вы можете просмотреть список доменов с ошибками проверки защищенных соединений только в локальном интерфейсе программы. Чтобы сбросить содержание списка, нужно выбрать элемент Блокировать соединение.
   Блокировать соединения по протоколу SSL 2.0 (рекомендуется)	Если флажок установлен, то Kaspersky Endpoint Security блокирует сетевые соединения, устанавливаемые по протоколу SSL 2.0. Если флажок снят, то Kaspersky Endpoint Security не блокирует сетевые соединения, устанавливаемые по протоколу SSL 2.0, и не контролирует сетевой трафик, передаваемый по этим соединениям.
   Расшифровать защищенное соединение с сайтом, использующим EV-сертификат	EV-сертификаты (англ. Extended Validation Certificate) подтверждают подлинность веб-сайтов и повышают безопасность соединения. Браузеры сообщают о наличии на веб-сайте EV-сертификата с помощью значка замка в адресной строке браузера. Также браузеры могут полностью или частично окрашивать адресную строку в зеленый цвет. Если флажок установлен, Kaspersky Endpoint Security расшифровывает и контролирует защищенные соединения с EV-сертификатом. Если флажок снят, Kaspersky Endpoint Security не имеет доступа к содержанию HTTPS-трафика. Поэтому программа контролирует HTTPS-трафик только по адресу веб-сайта, например, https://google.com. Если вы впервые открываете веб-сайт с EV-сертификатом, защищенное соединение будет расшифровано независимо от того, установлен флажок или нет.

Проверка защищенных соединений в Firefox и Thunderbird

После установки Kaspersky Endpoint Security добавляет сертификат "Лаборатории Касперского" в системное хранилище доверенных сертификатов (хранилище сертификатов Windows). Firefox и Thunderbird по умолчанию используют собственное хранилище сертификатов Mozilla, а не хранилище сертификатов Windows. Если в вашей организации развернуто решение Kaspersky Security Center и к компьютеру применена политика, Kaspersky Endpoint Security автоматически включает использование хранилища сертификатов Windows в программах Firefox и Thunderbird для проверки трафика этих программ. Если к компьютеру не применена политика, вы можете выбрать хранилище сертификатов, которое будут использовать программы Mozilla. Если вы выбрали хранилище сертификатов Mozilla, добавьте сертификат "Лаборатории Касперского" в хранилище вручную. Это позволит избежать ошибок при работе с HTTPS-трафиком.

Для проверки трафика в браузере Mozilla Firefox и почтовом клиенте Thunderbird должна быть включена проверка защищенных соединений. Если проверка защищенных соединений выключена, Kaspersky Endpoint Security не проверяет трафик в браузере Mozilla Firefox и почтовом клиенте Thunderbird.

Перед добавлением сертификата в хранилище Mozilla экспортируйте сертификат "Лаборатории Касперского" из Панели управления Windows (свойства браузера). Подробнее об экспорте сертификата "Лаборатории Касперского" вы можете узнать в базе знаний Службы технической поддержки. Подробнее о добавлении сертификата в хранилище см. на сайте Службы технической поддержки Mozilla.

Вы можете выбрать хранилище сертификатов только в локальном интерфейсе программы.

Чтобы выбрать хранилище сертификатов для проверки защищенных соединений в Firefox и Thunderbird, выполните следующие действия:

1. В главном окне программы нажмите на кнопку .
2. В окне параметров программы выберите раздел Расширенные настройки → Настройки сети.
3. В блоке Mozilla Firefox и Thunderbird установите флажок Проверять защищенный трафик в продуктах Mozilla.
4. Выберите хранилище сертификатов:
   • Использовать хранилище сертификатов Windows. Это хранилище, в которое корневой сертификат "Лаборатории Касперского" добавляется при установке Kaspersky Endpoint Security.
   • Использовать хранилище сертификатов Mozilla. Программы Mozilla Firefox и Thunderbird используют собственное хранилище сертификатов. Если выбрано хранилище сертификатов Mozilla, корневой сертификат "Лаборатории Касперского" нужно добавить в это хранилище вручную через свойства браузера.
5. Сохраните внесенные изменения.

Исключение защищенных соединений из проверки

Большинство веб-ресурсов используют защищенное соединение. Специалисты "Лаборатории Касперского" рекомендуют включить проверку защищенных соединений. Если проверка защищенных соединений мешает работе, вы можете добавить веб-сайт в исключения, – доверенные адреса. Если доверенная программа использует защищенное соединение, вы можете выключить проверку защищенных соединений для этой программы. Например, вы можете выключить проверку защищенных соединений для программ облачных хранилищ, так как эти программы используют двухфакторную аутентификацию с собственным сертификатом.

Чтобы исключить веб-адрес из проверки защищенных соединений, выполните следующие действия:

1. В главном окне программы нажмите на кнопку .
2. В окне параметров программы выберите раздел Расширенные настройки → Настройки сети.
3. В блоке Проверка защищенных соединений нажмите на кнопку Доверенные адреса.
4. Нажмите на кнопку Добавить.
5. Введите имя домена или IP-адрес, если вы хотите, чтобы программа Kaspersky Endpoint Security не проверяла защищенные соединения, устанавливаемые при переходе на эту веб-страницу.

   Kaspersky Endpoint Security поддерживает символ * для ввода маски в имени домена.

   Kaspersky Endpoint Security не поддерживает маски для IP-адресов. Вы можете ввести диапазон IP-адресов в локальном интерфейсе программы (например, 198.51.100.0/24). Ввести диапазон IP-адресов в консоли Kaspersky Security Center невозможно.

   Примеры:

   • domain.com – запись включает в себя следующие адреса: https://domain.com, https://www.domain.com, https://domain.com/page123. Запись исключает поддомены (например, subdomain.domain.com).
   • subdomain.domain.com – запись включает в себя следующие адреса: https://subdomain.domain.com, https://subdomain.domain.com/page123. Запись исключает домен domain.com.
   • *.domain.com – запись включает в себя следующие адреса: https://movies.domain.com, https://images.domain.com/page123. Запись исключает домен domain.com.
6. Сохраните внесенные изменения.

По умолчанию Kaspersky Endpoint Security не проверяет защищенные соединения при возникновении ошибок и добавляет веб-сайт в специальный список – домены с ошибками проверки. Kaspersky Endpoint Security составляет список для каждого пользователя отдельно и не передает данные в Kaspersky Security Center. Вы можете включить блокирование соединения при возникновении ошибки. Вы можете просмотреть список доменов с ошибками проверки защищенных соединений только в локальном интерфейсе программы.

Чтобы просмотреть список доменов с ошибками проверки, выполните следующие действия:

1. В главном окне программы нажмите на кнопку .
2. В окне параметров программы выберите раздел Расширенные настройки → Настройки сети.
3. В блоке Проверка защищенных соединений нажмите на кнопку Домены с ошибками проверки.

Откроется список доменов с ошибками проверки. Чтобы сбросить список вам нужно включить блокирование соединения при возникновении ошибки в политике, применить политику, вернуть параметр в исходное состояние и снова применить политику.

Специалисты "Лаборатории Касперского" составляют список доверенных веб-сайтов, которые Kaspersky Endpoint Security не проверяет независимо от параметров программы, – глобальные исключения.

Чтобы просмотреть глобальные исключения из проверки защищенного трафика, выполните следующие действия:

1. В главном окне программы нажмите на кнопку .
2. В окне параметров программы выберите раздел Расширенные настройки → Настройки сети.
3. В блоке Проверка защищенных соединений нажмите на ссылку сайтах.

Откроется список веб-сайтов, составленный специалистами "Лаборатории Касперского". Kaspersky Endpoint Security не проверяет защищенные соединения для сайтов из списка. Список может быть обновлен при обновлении баз и модулей Kaspersky Endpoint Security.