Формирование правил контроля запуска программ может усложниться, если вы хотите контролировать распространение программ. Например, на защищаемых устройствах, где происходит регулярное автоматическое обновление установленных программ. В этом случае требуется обновлять списки разрешающих правил после каждого обновления программ, чтобы в параметрах задачи Контроль запуска программ учитывались новые файлы, созданные в процессе обновления. Для упрощения контроля запуска файлов в сценариях распространения программ можно использовать Контроль пакетов установки.
Пакет установки (далее также "пакет") представляет собой одну или несколько программ, устанавливаемых на защищаемое устройство. В пакете установки также могут содержаться обновления и отдельные команды.
Модуль Контроль пакетов установки реализован в виде дополнительного списка исключений. После добавления пакета установки в список он становится доверенным. Для доверенных пакетов разрешается распаковка, а для программ, установленных или обновленных из доверенных пакетов, разрешается автоматический запуск. Извлеченные файлы могут наследовать признак доверенности от основного пакета установки. Основной пакет установки – это пакет, добавленный в список исключений контроля пакетов установки и ставший доверенным пакетом.
Kaspersky Industrial CyberSecurity for Nodes контролирует только полный цикл распространения программ и не может корректно обработать запуск файлов, измененных доверенным пакетом, если при первом запуске пакета был выключен Контроль пакетов установки или не был установлен Контроль запуска программ.
Для использования Контроля пакетов установки в общих настройках задачи Контроль запуска программ необходимо включить функцию Использовать правила для исполняемых файлов.
Кеш распространения программ
Kaspersky Industrial CyberSecurity for Nodes использует динамически формируемый кеш распространения программ (далее также "кеш распространения") для связи между доверенными пакетами и файлами, созданными во время распространения программ. При первом запуске пакета Kaspersky Industrial CyberSecurity for Nodes обнаруживает все файлы, созданные этим пакетом во время распространения программ, и сохраняет контрольные суммы и пути файлов в кеше распространения. Затем по умолчанию разрешается запуск всех файлов, данные о которых сохранены в кеше распространения.
Кеш распространения нельзя просматривать, удалять и изменять вручную через пользовательский интерфейс. Kaspersky Industrial CyberSecurity for Nodes самостоятельно наполняет его, а также контролирует его актуальность.
Кеш распространения можно экспортировать в конфигурационный файл (в формате XML) и удалять с помощью командной строки.
Чтобы экспортировать кеш распространения в конфигурационный файл, выполните команду:
kavshell appcontrol /config /savetofile:<full path> /sdc
Чтобы удалить кеш распространения, выполните команду:
kavshell appcontrol /config /clearsdc
Kaspersky Industrial CyberSecurity for Nodes обновляет кеш распространения раз в сутки. При изменении контрольной суммы разрешенного ранее файла приложение удаляет запись для этого файла из кеша распространения. При активном режиме работы задачи Контроль запуска программ дальнейшие попытки запуска этого файла будут заблокированы. При изменении полного пути к разрешенному ранее файлу последующие попытки запустить этот файл не блокируются, поскольку контрольная сумма хранится в кеше распространения.
Обработка извлеченных файлов
Извлеченные файлы и пакеты, созданные основным доверенным пакетом установки (первого уровня вложенности), наследуют признак доверенности, поскольку их контрольные суммы добавляются в кеш распространения, когда пакет установки из списка исключений открывается в первый раз. Таким образом, сам пакет установки и все извлеченные из него файлы являются доверенными.
Например, если пакет test.msi, содержащий несколько пакетов и программ, добавлен в список исключений и включена функция Присвоить признак доверенного пакета установки дочерним исполняемым файлам, то все пакеты и приложения, содержащиеся в пакете test.msi, можно распаковать и запустить, даже если они содержат другие вложенные файлы. Это соблюдается для всех уровней вложенности.
Если пакет test.msi добавлен в список исключений, а функция Присвоить признак доверенного пакета установки дочерним исполняемым файлам выключена, приложение присваивает признак доверенности только пакетам и исполняемым файлам, извлеченным непосредственно из основного доверенного пакета (первого уровня вложенности). Контрольные суммы этих файлов хранятся в кеше распространения. Все файлы второго и следующих уровней вложенности блокируются согласно принципу запрета по умолчанию.
Извлеченные файлы сохраняют признак доверенности при перезагрузке операционной системы.
Чтобы отменить признак наследования для всех извлеченных файлов, необходимо удалить кеш распространения и выключить функцию Присвоить признак доверенного пакета установки дочерним исполняемым файлам перед следующим запуском доверенного пакета установки.
Работа со списком правил контроля запуска программ
Список доверенных пакетов Контроля пакетов установки – это список исключений, который дополняет, но не заменяет основной список правил контроля запуска программ.
Запрещающие правила контроля запуска программ имеют абсолютный приоритет: распаковка доверенного пакета или запуск созданных и измененных им файлов будут заблокированы, если такие пакеты и файлы подпадают под запрещающие правила контроля запуска программ.
Исключения Контроля пакетов установки учитываются и для доверенных пакетов, и для созданных и измененных ими файлов, если к таким пакетам и файлам не применяются запрещающие правила из списка правил контроля запуска программ.
В начало