计算机网络隔离
计算机网络隔离允许自动将计算机与网络隔离,以响应检测到的妥协的指标(IOC) – 这是自动模式。当您调查检测到的威胁时,您可以手动打开网络隔离 – 这是手动模式。
打开网络隔离后,应用程序将断开所有活动连接并阻止计算机上的所有新 TCP/IP 网络连接,除了以下连接:
- 网络隔离排除中列出的连接。
- 由 Kaspersky Endpoint Security 服务启动的连接。
- 由 Kaspersky Security Center 网络代理发起的连接。
您仅可以在 Web Console 中配置组件设置。
自动网络隔离模式
您可以将网络隔离配置为自动打开以响应 IOC 检测。您可以使用组策略配置自动网络隔离模式。
如何将网络隔离配置为自动打开以响应 IOC 检测
- 在 Web Console 的主窗口中,选择“设备” → “任务”。
任务列表打开。
- 单击 Kaspersky Endpoint Security 的“IOC 扫描”任务。
任务属性窗口将打开。
如果必要,请创建“IOC 扫描”任务。
- 选择应用程序设置选项卡。
- 在“检测到 IOC 后的操作”块,选择“在发现 IOC 后采取响应操作”和“从网络隔离计算机”复选框。
- 保存更改。
结果,当检测到 IOC 时,应用程序从网络隔离计算机以防止威胁扩散。
您可以将网络隔离配置为在经过指定时间后自动关闭。默认情况下,应用程序在打开时已过 8 小时后关闭网络隔离。您还可以手动关闭网络隔离(请参阅下面的说明)。关闭网络隔离后,计算机可以不受限制地使用网络。
如何配置在自动模式下关闭计算机网络隔离的延迟
- 在 Web Console 的主窗口中,选择“设备” → “策略和配置文件”。
- 单击 Kaspersky Endpoint Security 策略的名称。
策略属性窗口将打开。
- 选择应用程序设置选项卡。
- 选择 Detection and Response → Endpoint Detection and Response。
- 在网络隔离块,单击配置计算机解锁设置。
- 这将打开一个窗口,在此窗口中,选择“自动解锁隔离的计算机于 N 小时”复选框并输入自动关闭网络隔离的延时。
- 保存更改。
手动网络隔离模式
您可以手动打开和关闭网络隔离。您可以使用 Kaspersky Security Center 控制台中的计算机属性配置手动网络隔离模式。
您可以打开网络隔离:
如何手动开启计算机网络隔离
- 在 Web Console 的主窗口中,选择“设备” → “受管理设备”。
- 选择要为其配置本地应用程序设置的计算机。
这将打开计算机属性。
- 选择“应用程序”选项卡。
- 单击“Kaspersky Endpoint Security for Windows”。
这将打开本地应用程序设置。
- 选择“应用程序设置”选项卡。
- 选择 Detection and Response → Endpoint Detection and Response。
- 在网络隔离块,单击从网络隔离计算机。
您可以将网络隔离配置为在经过指定时间后自动关闭。默认情况下,应用程序在打开时已过 8 小时后关闭网络隔离。关闭网络隔离后,计算机可以不受限制地使用网络。
如何配置在手动模式下关闭计算机网络隔离的延迟
- 在 Web Console 的主窗口中,选择“设备” → “受管理设备”。
- 选择要为其配置本地应用程序设置的计算机。
这将打开计算机属性。
- 选择“任务”选项卡。
这将显示计算机上可用的任务列表。
- 选择“网络隔离”任务。
- 选择“应用程序设置”选项卡。
- 这将打开一个窗口;在此窗口中,选择关闭网络隔离的延迟。
- 保存更改。
如何手动关闭计算机网络隔离
- 在 Web Console 的主窗口中,选择“设备” → “受管理设备”。
- 选择要为其配置本地应用程序设置的计算机。
这将打开计算机属性。
- 选择“应用程序”选项卡。
- 单击“Kaspersky Endpoint Security for Windows”。
这将打开本地应用程序设置。
- 选择“应用程序设置”选项卡。
- 选择 Detection and Response → Endpoint Detection and Response。
- 在网络隔离块,单击解除阻止从网络隔离的计算机。
您还可以使用命令行在本地禁用网络隔离。
网络隔离排除项
您可以配置网络隔离排除项。当网络隔离打开时,符合规则的网络连接不会在计算机上被阻止。
要配置网络隔离排除项,您可以使用标准网络配置文件列表。默认情况下,排除项包括网络配置文件,其中包含确保具有 DNS/DHCP 服务器和 DNS/DHCP 客户端角色的设备不间断运行的规则。您还可以修改标准网络配置文件的设置或手动定义排除项(参见以下说明)。
只有在网络隔离自动打开以响应检测到的威胁时,才会应用策略属性中指定的排除项。仅当在 Kaspersky Security Center 控制台的“计算机属性”中或警报详情中手动打开网络隔离时,才会应用“计算机属性”中指定的排除项。
活动策略不会阻止应用计算机属性中配置的网络隔离排除项,因为这些参数具有不同的使用场景。
如何在自动模式下添加网络隔离排除项
- 在 Web Console 的主窗口中,选择“设备” → “策略和配置文件”。
- 单击 Kaspersky Endpoint Security 策略的名称。
策略属性窗口将打开。
- 选择应用程序设置选项卡。
- 选择 Detection and Response → Endpoint Detection and Response。
- 在网络隔离排除项块,单击排除项。
- 这将打开一个窗户,在此窗口中,单击从配置文件添加,然后选择用于配置排除项的标准网络配置文件。
配置文件中的网络隔离排除项将被添加到网络隔离排除项列表中。您可以查看网络连接的属性。如有必要,您可以修改网络连接设置。
- 如有必要,请手动添加网络隔离排除项。为此,在包含排除项列表的窗口中,单击添加并手动编辑网络连接设置。
- 保存更改。
如何在手动模式下添加网络隔离排除项
- 在 Web Console 的主窗口中,选择“设备” → “受管理设备”。
- 选择要为其配置本地应用程序设置的计算机。
这将打开计算机属性。
- 选择“任务”选项卡。
这将显示计算机上可用的任务列表。
- 选择“网络隔离”任务。
- 选择“应用程序设置”选项卡。
- 这将打开一个窗口;在此窗口中,单击“排除项”。
- 这将打开一个窗户,在此窗口中,单击从配置文件添加,然后选择用于配置排除项的标准网络配置文件。
配置文件中的网络隔离排除项将被添加到网络隔离排除项列表中。您可以查看网络连接的属性。如有必要,您可以修改网络连接设置。
- 如有必要,请手动添加网络隔离排除项。为此,在包含排除项列表的窗口中,单击添加并手动编辑网络连接设置。
- 保存更改。
您还可以使用命令行在本地查看网络隔离排除项列表。在这种情况下,计算机必须被隔离。
页面顶部