Исключения

Доверенная зона – это сформированный администратором системы список объектов и приложений, которые Kaspersky Endpoint Security не контролирует в процессе работы.

Доверенную зону администратор системы формирует самостоятельно в зависимости от особенностей объектов, с которыми требуется работать, а также от приложений, установленных на компьютере. Включение объектов и приложений в доверенную зону может потребоваться, например, если Kaspersky Endpoint Security блокирует доступ к какому-либо объекту или приложению, в то время как вы уверены, что этот объект или приложение безвредны. Также администратор может разрешить пользователю формировать собственную локальную доверенную зону для отдельного компьютера. Таким образом, кроме общей доверенной зоны, сформированной в политике, пользователь может создавать собственные локальные списки исключений и доверенных приложений.

Начиная с версии Kaspersky Endpoint Security для Windows 12.5 вы можете добавить EDR-телеметрию в доверенную зону. Это позволяет оптимизировать данные, которые приложение отправляет на Сервер сбора телеметрии для решения Kaspersky Anti Targeted Attack Platform (EDR).

Начиная с версии Kaspersky Endpoint Security для Windows 12.6 в доверенную зону добавлены предустановленные исключения из проверки и доверенные приложения. Предустановленные исключения из проверки и доверенные приложения предназначены для быстрой настройки работы приложения Kaspersky Endpoint Security на SQL-серверах, Microsoft Exchange-серверах и System Center Configuration Manager. То есть вам не нужно формировать доверенную зону вручную для работы приложения на серверах.

Исключения из проверки

Исключение из проверки – это совокупность условий, при выполнении которых Kaspersky Endpoint Security не проверяет объект на вирусы и другие приложения, представляющие угрозу.

Исключения из проверки позволяют работать с легальными приложениями, которые могут быть использованы злоумышленниками для нанесения вреда компьютеру или данным пользователя. Такие приложения сами по себе не имеют вредоносных функций, но эти приложения могут быть использованы злоумышленниками. Подробную информацию о легальных приложениях, которые могут быть использованы злоумышленниками для нанесения вреда компьютеру или данным пользователя, вы можете получить на сайте Вирусной энциклопедии "Лаборатории Касперского".

В результате работы Kaspersky Endpoint Security такие приложения могут быть заблокированы. Чтобы избежать блокирования, для используемых приложений вы можете настроить исключения из проверки. Для этого нужно добавить в доверенную зону название или маску названия по классификации Вирусной энциклопедии "Лаборатории Касперского". Например, вы часто используете в своей работе приложение Radmin, предназначенное для удаленного управления компьютерами. Такая активность приложения рассматривается Kaspersky Endpoint Security как подозрительная и может быть заблокирована. Чтобы исключить блокировку приложения, нужно сформировать исключение из проверки, где указать название или маску названия по классификации Вирусной энциклопедии "Лаборатории Касперского".

Если у вас на компьютере установлено приложение, выполняющее сбор и отправку информации на обработку, приложение Kaspersky Endpoint Security может классифицировать такое приложение как вредоносное. Чтобы избежать этого, вы можете исключить приложение из проверки, настроив приложение Kaspersky Endpoint Security способом, описанным в этом документе.

Исключения из проверки могут использоваться в ходе работы следующих компонентов и задач приложения, заданных администратором системы:

Список доверенных приложений

Список доверенных приложений – это список приложений, у которых Kaspersky Endpoint Security не контролирует файловую и сетевую активности (в том числе и вредоносную), а также обращения этих приложений к системному реестру. По умолчанию Kaspersky Endpoint Security контролирует объекты, открываемые, запускаемые или сохраняемые любым программным процессом, а также контролирует активность всех приложений и создаваемый ими сетевой трафик. После добавления приложения в список доверенных приложений Kaspersky Endpoint Security перестает контролировать активность приложения.

Отличие исключений из проверки от доверенных приложений заключается в том, что для исключений Kaspersky Endpoint Security не проверяет файлы, а для доверенных приложений инициируемые процессы. То есть, если доверенное приложение создаст вредоносный файл в папке, которая не включена в исключения, Kaspersky Endpoint Security обнаружит этот файл и устранит угрозу. Если папка добавлена в исключения, Kaspersky Endpoint Security пропустит этот файл.

Например, если вы считаете объекты, используемые приложением Microsoft Windows Блокнот, безопасными, то есть доверяете этому приложению, вам следует добавить приложение Microsoft Windows Блокнот в список доверенных приложений, чтобы не контролировать объекты, используемые этим приложением. Это позволит увеличить производительность компьютера, что особенно важно при использовании серверных приложений.

Кроме того, некоторые действия, которые Kaspersky Endpoint Security классифицирует как подозрительные, могут быть безопасны в рамках функциональности ряда приложений. Например, перехват текста, который вы вводите с клавиатуры, является штатным действием приложения автоматического переключения раскладок клавиатуры (например, Punto Switcher). Чтобы учесть специфику таких приложений и отключить контроль их активности, рекомендуется добавить их в список доверенных приложений.

Доверенные приложения позволяют избежать проблемы совместимости Kaspersky Endpoint Security с другими приложениями (например, проблемы двойной проверки сетевого трафика стороннего компьютера Kaspersky Endpoint Security и другого антивирусного приложения).

В то же время исполняемый файл и процесс доверенного приложения по-прежнему проверяются на наличие в них вирусов и других приложений, представляющих угрозу. Для полного исключения приложения из проверки Kaspersky Endpoint Security следует пользоваться исключениями из проверки.

Параметры исключений

Параметр

Описание

Типы обнаруживаемых объектов

Вне зависимости от настроенных параметров приложения Kaspersky Endpoint Security всегда обнаруживает и блокирует вирусы, черви и троянские приложения. Эти приложения могут нанести значительный вред компьютеру.

  • Вирусы и черви
  • Троянские приложения (в том числе приложения-вымогатели)
  • Вредоносные утилиты
  • Рекламные приложения
  • Приложения автодозвона
  • Легальные приложения, которые могут быть использованы злоумышленниками для нанесения вреда компьютеру или данным пользователя
  • Упакованные объекты, способ упаковки которых может использоваться для защиты вредоносного кода
  • Многократно упакованные объекты

Исключения

Таблица содержит информацию об исключениях из проверки.

Вы можете исключать из проверки объекты следующими способами:

  • Укажите путь к файлу или папке.
  • Введите хеш объекта.
  • Используйте маски:
    • Символ *, который заменяет любой набор символов, в том числе пустой, кроме символов \ и / (разделители имен файлов и папок в путях к файлам и папкам). Например, маска C:\*\*.txt будет включать все пути к файлам с расширением txt, расположенным в папках на диске (C:), но не в подпапках.
    • Два введенных подряд символа * заменяют любой набор символов, в том числе пустой, в имени файла или папки, включая символы \ и / (разделители имен файлов и папок в путях к файлам и папкам). Например, маска C:\Folder\**\*.txt будет включать все пути к файлам с расширением txt в папках, вложенных в папку Folder, кроме самой папки Folder. Маска должна включать хотя бы один уровень вложенности. Маска C:\**\*.txt не работает.
    • Символ ?, который заменяет любой один символ, кроме символов \ и / (разделители имен файлов и папок в путях к файлам и папкам). Например, маска C:\Folder\???.txt будет включать пути ко всем расположенным в папке Folder файлам с расширением txt и именем, состоящим из трех символов.

      Вы можете использовать маски в любом месте пути к файлу или папке. Например, если вы хотите включить в область проверки папку Загрузки для всех учетных записей пользователей компьютера, введите маску C:\Users\*\Downloads\.

      Kaspersky Endpoint Security поддерживает переменные среды.

      Kaspersky Endpoint Security не поддерживает переменную среды %userprofile% при формировании списка исключений через консоль Kaspersky Security Center. Чтобы применить запись ко всем учетным записям, вы можете использовать символ * (например, C:\Users\*\Documents\File.exe). При добавлении новой переменной среды нужно перезапустить приложение.

  • Введите название типа объекта по классификации Энциклопедии "Касперского" (например, Email-Worm, Rootkit или RemoteAdmin). Вы можете использовать маски с символами ? (заменяет любой символ) и * (заменяет любые несколько символов). Например, если указана маска Client*, приложение исключает из проверки объекты типов Client-IRC, Client-P2P и Client-SMTP.

Kaspersky Endpoint Security скрывает для просмотра список исключений из проверки в интерфейсе приложения, если администратор в консоли запретил настройку исключений из проверки ("замок" закрыт) и запретил использование локальных исключений из проверки (флажок Разрешить использование локальных исключений снят).

Доверенные приложения

Таблица доверенных приложений, активность которых Kaspersky Endpoint Security не проверяет в процессе своей работы.

Kaspersky Endpoint Security поддерживает переменные среды и символы * и ? для ввода маски.

Kaspersky Endpoint Security не поддерживает переменную среды %userprofile% при формировании списка доверенных приложений через консоль Kaspersky Security Center. Чтобы применить запись ко всем учетным записям, вы можете использовать символ * (например, C:\Users\*\Documents\File.exe). При добавлении новой переменной среды нужно перезапустить приложение.

Компонент Контроль приложений регулирует запуск каждого из приложений независимо от того, указано ли это приложение в таблице доверенных приложений или нет.

Kaspersky Endpoint Security скрывает для просмотра список доверенных приложений в интерфейсе приложения, если администратор в консоли запретил настройку доверенных приложений ("замок" закрыт) и запретил использование локальных доверенных приложений (флажок Разрешить использование локальных доверенных приложений снят).

Объединять значения при наследовании

(доступен только в консоли Kaspersky Security Center)

Объединение списка исключений из проверки и списка доверенных приложений в родительских и дочерних политиках Kaspersky Security Center. Для объединения списков необходимо в дочерней политике включить наследование параметров родительской политики Kaspersky Security Center.

Если флажок установлен, элементы списка родительской политики Kaspersky Security Center отображаются в дочерних политиках и доступны для просмотра. Таким образом, вы можете, например, создать общий список доверенных приложений для всей организации.

Удалить или изменить унаследованные элементы списка в дочерней политике невозможно. Элементы списка исключений из проверки и списка доверенных приложений, объединенные при наследовании, доступны для удаления и изменения только в родительской политике. Добавление, изменение и удаление элементов списка возможно на нижестоящих уровнях.

Если элементы списков дочерней и родительской политик совпадают, эти элементы отображаются как один элемент родительской политики.

Если флажок снят, то элементы списков не объединяются при наследовании параметров политик Kaspersky Security Center.

Разрешить использование локальных исключений / Разрешить использование локальных доверенных приложений

(доступен только в консоли Kaspersky Security Center)

Локальные исключения и локальные доверенные приложения (локальная доверенная зона) – список объектов и приложений, сформированные пользователем в Kaspersky Endpoint Security для отдельного компьютера. Kaspersky Endpoint Security в процессе работы не контролирует объекты и приложения из локальной доверенной зоны. Таким образом, кроме общей доверенной зоны, сформированной в политике, пользователь может создавать собственные локальные списки исключений и доверенных приложений.

Если флажок установлен, пользователь может сформировать локальный список исключений из проверки и локальный список доверенных приложений. Администратор с помощью Kaspersky Security Center может просматривать, добавлять, изменять или удалять элементы списка в свойствах компьютера.

Если флажок снят, пользователю доступны только общие списки исключений из проверки и доверенных приложений, сформированные в политике.

EDR-телеметрия

(доступен только в консоли Kaspersky Security Center)

Таблица содержит информацию об исключениях из EDR-телеметрии.

Доверенное системное хранилище сертификатов

Если выбрано одно из доверенных системных хранилищ сертификатов, приложение Kaspersky Endpoint Security исключает из проверки приложения, подписанные доверенной цифровой подписью. Kaspersky Endpoint Security автоматически помещает такие приложения в группу Доверенные.

Если выбрано Не использовать, то Kaspersky Endpoint Security проверяет приложения независимо от наличия цифровой подписи. Приложение Kaspersky Endpoint Security помещает приложение в группу доверия в зависимости от уровня опасности, которую это приложение может представлять для компьютера.

См. также об управлении программой через локальный интерфейс

Создание исключения из проверки

Управление приложением на сервере в режиме Server Core

Формирование списка доверенных приложений

Создание локальной доверенной зоны

Использование доверенного системного хранилища сертификатов

В начало