Управление локальными репутационными базами
Kaspersky Private Security Network позволяет гибко использовать данные сервисов File Reputation и URL Reputation с помощью локальных репутационных баз.
Локальная репутационная база – база данных репутаций объектов (файлов или веб-адресов), которая хранится на сервере с установленными компонентами Kaspersky Private Security Network, а не на серверах Kaspersky Security Network. Управление локальными репутационными базами осуществляется администратором Kaspersky Private Security Network. Данные локальных репутационных баз доступны только для компьютеров организации.
Репутация объекта в локальной репутационной базе имеет более высокий приоритет, чем репутация в Kaspersky Security Network. Например, если в локальной репутационной базе объект имеет репутацию Недоверенный, а в Kaspersky Security Network объект имеет репутацию Доверенный, то для пользователей сети организации объект будет иметь репутацию Недоверенный (см. рис. ниже).
Порядок работы с локальными репутационными базами
Управление локальными репутационными базами должно осуществляется одновременно не более чем одним администратором по следующему алгоритму:
- Администратор Kaspersky Private Security Network выбирает файл или веб-сайт, данные о которых требуется добавить или изменить в локальной репутационной базе.
- Администратор Kaspersky Private Security Network присваивает объекту одно из следующих значений репутации: Доверенный или Недоверенный.
- Kaspersky Private Security Network отображает данные, полученные о репутации объекта, в базах Kaspersky Security Network, если они есть. Также отображаются сведения о репутации объекта, которую администратор Kaspersky Private Security Network назначил ранее.
- Администратор Kaspersky Private Security Network принимает окончательное решение о репутации объекта и добавляет или изменяет данные в локальной репутационной базе.
- Приложения "Лаборатории Касперского", использующиеся в вашей организации, получают обновленные данные о репутации объекта.
Лучшие практики присвоения репутации приложениям
Обычно для запрещения или разрешения запуска приложений достаточно функций приложений "Лаборатории Касперского" – Контроль приложений. Контроль приложений позволяет настроить доступ к категориям приложений (например, играм) или отдельным приложениям по метаданным или другим данным. В результате запуск приложения будет заблокирован. Подробную информацию о работе Контроля приложений см. в документации к приложениям "Лаборатории Касперского".
Вы также можете использовать локальные репутационные базы Kaspersky Private Security Network, чтобы запретить или разрешить запуск приложений. Если вы используете Kaspersky Private Security Network, приложения с репутацией Недоверенный будут удалены, а не заблокированы. Также использование локальных репутационных баз имеет ряд особенностей (см. ниже). Например, приложения "Лаборатории Касперского" не запрашивают в Kaspersky Security Network или Kaspersky Private Security Network репутацию приложений, подписанных доверенным сертификатом Microsoft. Таким образом, репутация приложений, которую вы задали в Kaspersky Private Security Network, не влияет на их работу.
Если вы используете собственные приложения, не подписанные доверенным сертификатом, вам нужно присвоить таким приложениям репутацию Доверенный. Присвоение приложению репутации Доверенный состоит из следующих этапов:
- Добавьте сведения о собственном приложении в локальную репутационную базу.
- В параметрах приложений "Лаборатории Касперского" добавьте категорию приложений: KL-категория / Другие приложения / Приложения, доверенные согласно репутации в KSN.
- В параметрах Контроля приложений разрешите запуск приложений из новой категории.
Особенности использования локальных репутационных баз
Kaspersky Private Security Network может использоваться с разными приложениями "Лаборатории Касперского". Определение репутации объектов из локальных репутационных баз может отличаться в зависимости от приложения "Лаборатории Касперского", установленного на компьютерах организации. Например, определение репутации объекта приложением может отличаться по следующим причинам:
- Приложения "Лаборатории Касперского" используют репутационные офлайн-базы (далее также офлайн-базы). Репутационные офлайн-базы включают в себя базы доверенных программ (Microsoft System Critical Application), доверенных сертификатов (Trusted Certificate) и другие данные. Офлайн-базы предназначены для оптимизации ресурсов при работе приложений "Лаборатории Касперского" и защите критически важных объектов компьютера. Офлайн-базы формируют специалисты "Лаборатории Касперского" на основании данных Kaspersky Security Network. Приложения "Лаборатории Касперского" обновляют репутационные офлайн-базы вредоносного ПО в приложении. Если информация об объекте содержится в офлайн-базах, то приложение не запрашивает репутацию этого объекта в Kaspersky Security Network или Kaspersky Private Security Network.
- В параметрах приложения настроены исключения из проверки (доверенная зона). В этом случае приложение не учитывает репутацию объекта в Kaspersky Private Security Network.
- Приложение использует технологии оптимизации проверки, например технологии iSwift, iChecker или кеширование запросов репутации в Kaspersky Security Network или Kaspersky Private Security Network. В этом случае приложение может не запрашивать репутацию проверенных объектов.
- Приложение запрашивает репутацию файлов только определенных форматов.
- Приложение не запрашивает репутацию файлов больших размеров.
- Приложение запрашивает репутацию объекта в определенных случаях. Например, приложение запрашивает репутацию исполнительных файлов при запуске и не запрашивает при проверке файла по расписанию.
Подробную информацию об особенностях использования локальных репутационных баз с корпоративными приложениями "Лаборатории Касперского" см. в документации к этим приложениям.
Схема работы администратора Kaspersky Private Security Network с локальными репутационными базами