Контейнер – это изолированная среда, где приложение может работать без прямого взаимодействия с операционной системой. Использование контейнеров включает в себя следующие риски:
Уязвимости в процессе контейнеризации могут быть использованы злоумышленниками для компрометации приложений внутри контейнера.
Небезопасная конфигурация контейнерной среды может быть использована злоумышленниками для получения несанкционированного доступа к данным компьютера или нарушения целостности системы.
Взлом контейнера может позволить злоумышленнику получить доступ к данным компьютера.
Сетевые уязвимости могут быть использованы злоумышленниками для перехвата сетевого трафика.
Kaspersky Endpoint Security проверяет файлы не только на дисках, то и внутри контейнеров. То есть Kaspersky Endpoint Security является внешним инструментом для обнаружения вредоносной активности внутри контейнеров. Это позволяет сохранить производительность контейнеров и избежать конфликтов с другими приложениями внутри контейнера. Установка приложения Kaspersky Endpoint Security внутрь контейнера не поддерживается.
Кроме обеспечения безопасности контейнеров, Kaspersky Endpoint Security позволяет управлять работой приложений внутри контейнеров с помощью Контроля приложений. Настройка Контроля приложения для контейнеров не отличается от настройки компонента для приложений, установленных на компьютере. Контроль целостности системы также поддерживает контейнеры.
Требования к контейнерам
Контейнер создан на платформе Docker. Другие средства контейнеризации не поддерживаются.
Контейнер запущен в режиме изоляции процессов. Режим изоляции Hyper-V не поддерживается.
Контейнер расположен на сервере под управлением Windows Server 2016, 2019 или 2022 (Docker Host).
Контейнер включает в себя образ Windows (Docker Image). ОС Windows 10 и 11 не поддерживаются. Образы Linux не поддерживаются.
Действие при обнаружении угрозы
При обнаружении угрозы внутри контейнера, приложение применяет действие, выбранное для компонента Защита от файловых угроз. Также проверка контейнеров имеет дополнительные параметры (см. инструкцию ниже). При обнаружении угрозы, приложение блокирует вредоносную активность и выполняет выбранное действие (например, пытается вылечить объект). Kaspersky Endpoint Security может остановить контейнер, если вылечить обнаруженный объект не удалось. По умолчанию функция остановки контейнеров выключена.
Выберите нужную политику и откройте свойства политики двойным щелчком мыши.
В окне политики выберите Базовая защита → Защита от файловых угроз.
Нажмите на кнопку Настройка.
В открывшемся окне выберите закладку Дополнительно.
В блоке Проверка файловых операций, исполняемых в контейнерах Windows настройте параметры проверки контейнеров:
Останавливать контейнер, если лечение невозможно. У приложения может не быть прав на чтение и запись обнаруженного объекта. В этом случае вылечить или удалить обнаруженный объект невозможно. Если флажок установлен, приложение блокирует обнаруженный объект и останавливает контейнер. Если флажок снят, приложение только блокирует обнаруженный объект.
Не проверять файловые операции, исполняемые в контейнерах Windows. Если флажок установлен, приложение проверяет контейнер только при запуске контейнера. Если флажок снят, приложение проверяет контейнер постоянно в режиме реального времени.
В главном окне Web Console выберите Активы (Устройства) → Политики и профили политик.
Нажмите на название политики Kaspersky Endpoint Security.
Откроется окно свойств политики.
Выберите закладку Параметры приложения.
Перейдите в раздел Базовая защита → Защита от файловых угроз.
В блоке Проверка файловых операций, исполняемых в контейнерах Windows настройте параметры проверки контейнеров:
Останавливать контейнер, если лечение невозможно. У приложения может не быть прав на чтение и запись обнаруженного объекта. В этом случае вылечить или удалить обнаруженный объект невозможно. Если флажок установлен, приложение блокирует обнаруженный объект и останавливает контейнер. Если флажок снят, приложение только блокирует обнаруженный объект.
Не проверять файловые операции, исполняемые в контейнерах Windows. Если флажок установлен, приложение проверяет контейнер только при запуске контейнера. Если флажок снят, приложение проверяет контейнер постоянно в режиме реального времени.
В окне параметров приложения в блоке Базовая защита и нажмите на плитку Защита от файловых угроз.
В блоке Проверка файловых операций, исполняемых в контейнерах Windows настройте параметры проверки контейнеров:
Останавливать контейнер, если лечение невозможно. У приложения может не быть прав на чтение и запись обнаруженного объекта. В этом случае вылечить или удалить обнаруженный объект невозможно. Если флажок установлен, приложение блокирует обнаруженный объект и останавливает контейнер. Если флажок снят, приложение только блокирует обнаруженный объект.
Не проверять файловые операции, исполняемые в контейнерах Windows. Если флажок установлен, приложение проверяет контейнер только при запуске контейнера. Если флажок снят, приложение проверяет контейнер постоянно в режиме реального времени.