Использование компонента Контроль приложений для управления исполняемыми файлами

Вы можете использовать компонент Контроль приложений, чтобы разрешить или запретить запуск исполняемых файлов на пользовательских устройствах. Компонент Контроль приложений поддерживает операционные системы Windows и Linux.

Для операционных систем Linux компонент Контроль приложений доступен, начиная с Kaspersky Endpoint Security 11.2 для Linux. Также компонент доступен для Kaspersky Embedded Systems Security для Windows 3.0 и выше.

Предварительные требования

• Kaspersky Security Center развернут в вашей организации.
• Политика Kaspersky Endpoint Security для Windows или Kaspersky Endpoint Security для Linux создана и активна.
• Политика Kaspersky Embedded Systems Security для Windows или Kaspersky Embedded Systems Security для Linux создана и активна.

Этапы

Сценарий использования компонента Контроль приложений состоит из следующих этапов:

1. Формирование и просмотр списка исполняемых файлов на клиентских устройствах

   Этот этап помогает вам определить, какие исполняемые файлы обнаружены на управляемых устройствах. Просмотрите список исполняемых файлов и сравните его со списками разрешенных и запрещенных исполняемых файлов. Ограничения использования исполняемых файлов могут быть связаны с политиками информационной безопасности в вашей организации.

   Инструкции:

   • Консоль администрирования: Инвентаризация исполняемых файлов.
   • Kaspersky Security Center Web Console: Получение и просмотр списка исполняемых файлов, хранящихся на клиентских устройствах.
2. Создание категорий для исполняемых файлов, используемых в вашей организации

   Проанализируйте списки исполняемых файлов, хранящихся на управляемых устройствах. На основе анализа сформируйте категории для исполняемых файлов. Рекомендуется создать категорию "Рабочие приложения", которая охватывает стандартный набор исполняемых файлов, используемых в вашей организации. Если разные группы безопасности используют свои наборы исполняемых файлов в своей работе, для каждой группы безопасности можно создать отдельную категорию.

   Инструкции:

   • Консоль администрирования: Создание пополняемой вручную категории приложений, Создание категории приложений, в которую входят исполняемые файлы с выбранных устройств, Создание категории приложений, в которую входят исполняемые файлы из указанных папок.
   • Kaspersky Security Center Web Console: Создание пополняемой вручную категории приложений, Создание категории приложений, в которую входят исполняемые файлы с выбранных устройств, Создание категории приложений, в которую входят исполняемые файлы из указанных папок.
3. Настройка компонента Контроль приложений в политике Kaspersky Endpoint Security

   Настройте компонент Контроль приложений в политике Kaspersky Endpoint Security с использованием категорий, которые вы создали на предыдущем этапе.

   Инструкции:

   • Консоль администрирования: Настройка управления запуском приложений на клиентских устройствах.
   • Kaspersky Security Center Web Console: Настройка компонента Контроль приложений в политике Kaspersky Endpoint Security для Windows.
4. Настройка компонента Контроль приложений в политике Kaspersky Embedded Systems Security

   Настройте компонент Контроль приложений в политике Kaspersky Embedded Systems Security для Windows, используя созданные вами категории. Подробную информацию о компоненте Контроль приложений см. в справке Kaspersky Embedded Systems Security для Windows или в справке Kaspersky Embedded Systems Security для Linux.

   При использовании большого количества правил может возникнуть ошибка при загрузке политики. Вы можете увеличить максимальный размер запроса в байтах, используя следующие команды:

   • Для JSON-запроса:

     klscflag -fset -pv ".core/.independent" -s KLLIM -n LP_KLOAPI_MaxSizeOfJsonRequestInBytes -v <max_request_size> -t d

   • Для HTTP-запроса:

     klscflag -fset -pv ".core/.independent" -s KLLIM -n LP_KLOAPI_MaxSizeOfHttpRequestInBytes -v <max_request_size> -t d

     Где <max_request_size> это максимальный размер запроса в байтах (например, 200000000).

5. Включение компонента Контроль приложений в тестовом режиме

   Чтобы правила Контроля приложений не блокировали исполняемые файлы, необходимые для работы пользователей, рекомендуется включить тестирование правил Контроля приложений и проанализировать их работу после создания правил. Когда тестирование включено, Kaspersky Endpoint Security для Windows или Kaspersky Embedded Systems Security не будет блокировать исполняемые файлы, запуск которых запрещен правилами Контроля приложений, а вместо этого будет отправлять уведомления об их запуске на Сервер администрирования.

   При тестировании правил Контроля приложений рекомендуется выполнить следующие действия:

   • Определите период тестирования. Период тестирования может варьироваться от нескольких дней до двух месяцев.
   • Изучите события, возникающие в результате тестирования работы компонента Контроль приложений.

   Инструкции для Kaspersky Security Center Web Console: Настройка компонента Контроль приложений в политике Kaspersky Endpoint Security для Windows. Следуйте этой инструкции и включите параметр Тестовый режим в процессе настройки.

6. Изменение параметров категорий компонента Контроль приложений

   Если требуется, измените параметры компонента Контроль приложений. На основании результатов тестирования вы можете добавить исполняемые файлы, связанные с событиями компонента Контроль приложений, в категорию пополняемую вручную.

   Инструкции:

   • Консоль администрирования: Добавление исполняемых файлов, связанных с событием, в категорию приложений.
   • Kaspersky Security Center Web Console: Добавление исполняемых файлов, связанных с событием, в категорию приложений.
7. Применение правил Контроля приложений в рабочем режиме

   После проверки правил Контроля приложений и завершения настройки категорий вы можете применить правила Контроль приложений в рабочем режиме.

   Инструкции для Kaspersky Security Center Web Console: Настройка компонента Контроль приложений в политике Kaspersky Endpoint Security для Windows. Следуйте этой инструкции и выключите параметр Тестовый режим в процессе настройки.

8. Проверка конфигурации Контроля приложений

   Убедитесь, что вы выполнили следующее:

   • Создали категории для исполняемых файлов.
   • Настроили Контроль приложений с использованием категорий.
   • Применили правила Контроля приложений в рабочем режиме.

Результаты

После завершения сценария, запуск исполняемых файлов на управляемых устройствах контролируется. Пользователи могут запускать только те исполняемые файлы, которые разрешены в вашей организации, и не могут запускать исполняемые файлы, запрещенные в вашей организации.

Подробную информацию о Контроле приложений см. в следующих разделах справки:

• Справка Kaspersky Endpoint Security для Windows
• Справка Kaspersky Endpoint Security для Linux
• Kaspersky Security для виртуальных сред Легкий агент
• Справка Kaspersky Embedded Systems Security для Windows
• Справка Kaspersky Embedded Systems Security для Linux

Режимы и категории компонента Контроль приложений

Компонент Контроль приложений контролирует попытки пользователей запуска приложений. Вы можете использовать правила компонента Контроль приложений для контроля приложений.

Компонент Контроль приложений доступен для Kaspersky Endpoint Security для Windows, Kaspersky Endpoint Security 11.2 для Linux и выше, для Kaspersky Security для виртуальных сред Легкий агент. Все инструкции в этом разделе описывают настройку Контроля приложений для приложения Kaspersky Endpoint Security для Windows.

Запуск исполняемых файлов, параметры которых не соответствуют ни одному из правил Контроля приложений, регулируется выбранным режимом работы компонента:

• Список запрещенных. Режим используется, если вы хотите разрешить запуск всех исполняемых файлов, кроме тех, которые указаны в запрещающих правилах. По умолчанию выбран этот режим.
• Список разрешенных. Режим используется, если вы хотите запретить запуск всех исполняемых файлов, кроме тех, которые указаны в разрешающих правилах.

Правила Контроля приложений реализованы в категориях для исполняемых файлов. В Kaspersky Security Center существует три типа категорий:

• Пополняемая вручную категория. Вы определяете условия, например, метаданные файла, хеш файла, сертификат файла, KL-категория, путь к файлу, чтобы включить исполняемые файлы в категорию.
• Категория, в которую входят исполняемые файлы с выбранных устройств. Вы указываете устройство, исполняемые файлы которого автоматически включаются в категорию.
• Категория, в которую входят исполняемые файлы из выбранных папок. Вы указываете папку, исполняемые файлы из которой автоматически попадают в категорию.

Подробную информацию о Контроле приложений см. в следующих разделах справки:

• Справка Kaspersky Endpoint Security для Windows
• Справка Kaspersky Endpoint Security для Linux
• Kaspersky Security для виртуальных сред Легкий агент
• Справка Kaspersky Embedded Systems Security для Windows
• Справка Kaspersky Embedded Systems Security для Linux

Получение и просмотр списка исполняемых файлов, хранящихся на клиентских устройствах

Вы можете получить список исполняемых файлов, хранящихся на клиентских устройствах, одним из следующих способов:

• Включив уведомление о запуске приложений в политике Kaspersky Endpoint Security.
• Создав задачу инвентаризации.

Включение уведомлений о запуске приложений в политике Kaspersky Endpoint Security

Чтобы включить уведомления о запуске приложения:

1. Откройте параметры политики Kaspersky Endpoint Security и перейдите на вкладку Общие параметры → Отчеты и хранилища.
2. В группе параметров Передача данных на Сервер администрирования установите флажок О запущенных приложениях и сохраните изменения.

Когда пользователь пытается запустить исполняемые файлы, информация об этих файлах добавляется в список исполняемых файлов на клиентском устройстве. Kaspersky Endpoint Security отправляет эту информацию Агенту администрирования, а затем Агент администрирования отправляет ее на Сервер администрирования.

Создание задачи инвентаризации

Функция инвентаризации исполняемых файлов доступна для следующих приложений:

• Kaspersky Endpoint Security для Windows
• Kaspersky Endpoint Security для Linux версии 11.2 и выше
• Kaspersky Security для виртуальных сред 4.0 Легкий агент и выше

Вы можете снизить нагрузку на базу данных при получении информации об установленных приложениях. Для того чтобы сохранить место в базе данных, вам нужно запустить задачу инвентаризации на нескольких эталонных устройствах, на которых установлен стандартный набор приложений. Предпочтительное количество устройств равно 1–3.

Настоятельно не рекомендуется выполнять задачу инвентаризации при использовании следующих баз данных: MySQL, PostgreSQL, SQL Server Express Edition, MariaDB (все версии).

Чтобы создать задачу инвентаризации исполняемых файлов на клиентских устройствах:

1. В главном окне приложения перейдите в раздел Активы (Устройства) → Задачи.

   Отобразится список задач.

2. Нажмите на кнопку Добавить.

   Запустится мастер создания задачи. Следуйте далее указаниям мастера.

3. На странице Параметры новой задачи в раскрывающемся списке Приложение выберите Kaspersky Endpoint Security для Windows или Kaspersky Endpoint Security для Linux в зависимости от типа операционной системы клиентских устройств.
4. В раскрывающемся списке Тип задачи выберите Инвентаризация.
5. На странице Завершение создания задачи нажмите на кнопку Готово.

После того как мастер создания задачи завершит свою работу, задача Инвентаризация создана и настроена. Вы можете изменить параметры созданной задачи. В результате созданная задача отобразится в списке задач.

Подробное описание задачи инвентаризации см. в следующих справках:

• Справка Kaspersky Endpoint Security для Windows
• Справка Kaspersky Endpoint Security для Linux
• Kaspersky Security для виртуальных сред Легкий агент

После выполнения задачи Инвентаризация формируется список исполняемых файлов, хранящихся на управляемых устройствах, и вы можете просмотреть этот список.

Во время инвентаризации могут быть обнаружены исполняемые файлы в следующих форматах (в зависимости от выбранного вами параметра в свойствах задачи инвентаризации): MZ, COM, PE, NE, SYS, CMD, BAT, PS1, JS, VBS, REG, MSI, CPL, DLL, JAR и HTML.

Просмотр списка приложений и исполняемых файлов, хранящихся на управляемых устройствах

Чтобы просмотреть список исполняемых файлов, хранящихся на клиентских устройствах,

В главном окне приложения перейдите в раздел Операции → Приложения сторонних производителей → Исполняемые файлы.

На странице отобразится список исполняемых файлов, хранящихся на клиентских устройствах.

При необходимости вы можете отправить исполняемый файл управляемого устройства на устройство, где открыто приложение Kaspersky Security Center Web Console.

Чтобы отправить исполняемый файл:

1. В главном окне приложения перейдите в раздел Операции → Приложения сторонних производителей → Исполняемые файлы.
2. Перейдите по ссылке исполняемого файла, который вы хотите отправить.
3. В открывшемся окне перейдите в раздел Устройства и установите флажок рядом с управляемым устройством, с которого вы хотите отправить исполняемый файл.

   Перед отправкой исполняемого файла убедитесь, что управляемое устройство имеет прямое подключение к Серверу администрирования, установив флажок Не разрывать соединение с Сервером администрирования.

4. Нажмите на кнопку Отправить.

Выбранный исполняемый файл будет загружен для дальнейшей отправки на устройство, на котором открыто приложение Kaspersky Security Center Web Console.

Создание пополняемой вручную категории приложений

Развернуть все | Свернуть все

Вы можете указать набор критериев в качестве шаблона для исполняемых файлов, запуск которых вы хотите разрешить или запретить в своей организации. На основе исполняемых файлов, соответствующих критериям, вы можете создать категорию приложений и использовать ее в настройке компонента Контроль приложений.

Чтобы создать пополняемую вручную категорию приложений:

1. В главном окне приложения перейдите в раздел Операции → Приложения сторонних производителей → Категории приложений.

   Откроется страница со списком категорий приложений.

2. Нажмите на кнопку Добавить.

   Запустится мастер создания категории. Для продолжения работы мастера нажмите на кнопку Далее.

3. На шаге Выбор способа создания категории выберите параметр Пополняемая вручную категория. Данные об исполняемых файлах добавляются в категорию вручную.
4. На шаге Условия нажмите на кнопку Добавить, чтобы добавить критерий условия для включения файлов в создаваемую категорию.
5. На шаге Критерии условия выберите тип правила для создания категории из списка:
   • Из KL-категории

     Если выбран этот вариант, в качестве условия добавления приложений в пользовательскую категорию можно указать категорию приложений "Лаборатории Касперского". Приложения, входящие в указанную KL-категорию, будут добавлены в пользовательскую категорию приложений.

   • Выберите сертификат из хранилища сертификатов

     Если выбран этот вариант, можно указать сертификаты из хранилища. Исполняемые файлы, подписанные в соответствии с указанными сертификатами, будут добавлены в пользовательскую категорию.

   • Задайте путь к приложению (поддерживаются маски)

     Если выбран этот вариант, можно указать файл или папку на клиентском устройстве, исполняемые файлы из которой будут добавлены в пользовательскую категорию приложений. Вы можете использовать регулярные выражения, такие как C:\path_to_exe\*, например: C:\Program Files\Internet Explorer\*.

   • Съемный диск

     Если выбран этот вариант, можно указать тип носителя (любой или съемный диск), на котором выполняется запуск приложения. Приложения, запускаемые на носителе выбранного типа, будут добавлены в пользовательскую категорию приложений.

   • Хеши файлов папки, метаданные файлов папки или сертификаты из папки:
     • Выберите из списка исполняемых файлов

       Если выбран этот вариант, приложения для добавления в категорию можно выбрать из списка исполняемых файлов на клиентском устройстве.

     • Выберите из реестра приложений

       Если выбран этот параметр, отображается реестр приложений. Вы можете выбрать приложения из реестра и указать следующие метаданные файла:

       • Имя файла.
       • Версия файла. Вы можете указать точное значение версии или написать условие, например, "больше, чем 5.0".
       • Название приложения.
       • Версия приложения. Вы можете указать точное значение версии или написать условие, например, "больше, чем 5.0".
       • Производитель.
     • Задайте вручную

       Если выбран этот вариант, вам нужно указать хеш файла, метаданные или сертификат в качестве условия добавления приложений в пользовательскую категорию.

       Хеш файла

       В зависимости от версии приложения безопасности, установленного на устройствах в вашей сети, необходимо выбрать алгоритм вычисления хеш-функции приложением Kaspersky Security Center для файлов категории. Информация о вычисленных хеш-функциях хранится в базе данных Сервера администрирования. Хранение хеш-функций увеличивает размер базы данных незначительно.

       SHA256 – криптографическая хеш-функция, в алгоритме которой не найдено уязвимости, и она считается наиболее надежной криптографической функцией в настоящее время. Kaspersky Endpoint Security 10 Service Pack 2 для Windows и выше поддерживают вычисление хеш-функции SHA256. Вычисление хеш-функции MD5 поддерживается для версий ниже Kaspersky Endpoint Security 10 Service Pack 2 для Windows.

       Выберите один из вариантов вычисления хеш-функции приложением Kaspersky Security Center для файлов категории:

       • Если все экземпляры приложений безопасности, установленных в вашей сети, являются версиями приложения Kaspersky Endpoint Security 10 Service Pack 2 для Windows и выше, установите флажок SHA256. Не рекомендуется добавлять категорию, созданную по критерию SHA256 исполняемого файла, для версий приложений ниже Kaspersky Endpoint Security 10 Service Pack 2 для Windows. Это может привести к сбою приложения безопасности. В этом случае вы можете использовать криптографическую хеш-функцию MD5 для файлов категории.
       • Если в вашей сети установлены более ранние версии, чем Kaspersky Endpoint Security 10 Service Pack 2 для Windows, выберите MD5-хеш. Добавить категорию, созданную по критерию контрольной суммы MD5 исполняемого файла, для Kaspersky Endpoint Security 10 Service Pack 2 для Windows и выше, невозможно. В этом случае вы можете использовать криптографическую хеш-функцию SHA256 для файлов категории.
       • Если разные устройства в вашей сети используют как более ранние, так и более поздние версии Kaspersky Endpoint Security 10, установите флажок SHA256 и флажок MD5-хеш.

       Метаданные

       Если этот параметр выбран, вы можете указать метаданные файла такие как имя файла, версию файла и поставщика. Метаданные будут передаваться на Сервер администрирования. Исполняемые файлы, имеющие такие же метаданные, будут добавлены в категорию приложений.

       Сертификат

       Если выбран этот вариант, можно указать сертификаты из хранилища. Исполняемые файлы, подписанные в соответствии с указанными сертификатами, будут добавлены в пользовательскую категорию.

     • Из файла MSI-пакета/архивной папки

       Если выбран этот вариант, в качестве условия добавления приложений в пользовательскую категорию можно указать файл установщика MSI. Метаданные установщика приложения будут передаваться на Сервер администрирования. Приложения, у которых метаданные установщика совпадают с указанным установщиком MSI, будут добавлены в пользовательскую категорию приложений.

   Выбранный критерий добавлен в список условий.

   Вы можете добавить столько критериев для создания категории приложений, сколько вам нужно.

6. На шаге Исключения нажмите на кнопку Добавить, чтобы добавить критерий в область исключений и исключить файлы из создаваемой категории.
7. На шаге Критерии условия, выберите тип правила из списка, так же, как вы выбрали тип правила для создания категории.

После завершения мастера создается категория приложений. Оно появится в списке категорий приложений. Вы можете создать категорию приложений при настройке компонента Контроль приложений.

Подробную информацию о Контроле приложений см. в следующих разделах справки:

• Справка Kaspersky Endpoint Security для Windows
• Справка Kaspersky Endpoint Security для Linux
• Kaspersky Security для виртуальных сред Легкий агент
• Справка Kaspersky Embedded Systems Security для Windows
• Справка Kaspersky Embedded Systems Security для Linux

Создание категории приложений, в которую входят исполняемые файлы с выбранных устройств

Развернуть все | Свернуть все

Вы можете использовать исполняемые файлы с устройства как шаблон исполняемых файлов, запуск которых вы хотите разрешить или запретить. На основе исполняемых файлов с выбранных устройств вы можете создать категорию и использовать ее для настройки компонента Контроль приложений.

Чтобы получить список исполняемых файлов с устройств:

1. Убедитесь, что политика Kaspersky Endpoint Security для Windows или Kaspersky Endpoint Security для Linux создана и активна. Включите в политике компонент Контроль приложений.
2. Получение списка исполняемых файлов, хранящихся на клиентских устройствах.

Чтобы создать категорию, в которую входят исполняемые файлы с выбранных устройств:

1. В главном окне приложения перейдите в раздел Операции → Приложения сторонних производителей → Категории приложений.

   Откроется страница со списком категорий.

2. Нажмите на кнопку Добавить.

   Запустится мастер создания категории. Для продолжения работы мастера нажмите на кнопку Далее.

3. На шаге Выбор способа создания категории, укажите имя категории и выберите параметр Категория, в которую входят исполняемые файлы с выбранных устройств. Исполняемые файлы обрабатываются автоматически, их метрики заносятся в категорию.
4. Нажмите на кнопку Добавить.
5. В открывшемся окне выберите устройство или устройства, чьи исполняемые файлы будут использоваться для создания категории.
6. Задайте следующие параметры:
   • Алгоритм вычисления хеш-функции

     В зависимости от версии приложения безопасности, установленного на устройствах в вашей сети, необходимо выбрать алгоритм вычисления хеш-функции приложением Kaspersky Security Center для файлов категории. Информация о вычисленных хеш-функциях хранится в базе данных Сервера администрирования. Хранение хеш-функций увеличивает размер базы данных незначительно.

     SHA256 – криптографическая хеш-функция, в алгоритме которой не найдено уязвимости, и она считается наиболее надежной криптографической функцией в настоящее время. Kaspersky Endpoint Security 10 Service Pack 2 для Windows и выше поддерживают вычисление хеш-функции SHA256. Вычисление хеш-функции MD5 поддерживается для версий ниже Kaspersky Endpoint Security 10 Service Pack 2 для Windows.

     Выберите один из вариантов вычисления хеш-функции приложением Kaspersky Security Center для файлов категории:

     • Если все экземпляры приложений безопасности, установленных в вашей сети, являются версиями приложения Kaspersky Endpoint Security 10 Service Pack 2 для Windows и выше, установите флажок SHA256. Не рекомендуется добавлять категорию, созданную по критерию SHA256 исполняемого файла, для версий приложений ниже Kaspersky Endpoint Security 10 Service Pack 2 для Windows. Это может привести к сбою приложения безопасности. В этом случае вы можете использовать криптографическую хеш-функцию MD5 для файлов категории.
     • Если в вашей сети установлены более ранние версии, чем Kaspersky Endpoint Security 10 Service Pack 2 для Windows, выберите MD5-хеш. Добавить категорию, созданную по критерию контрольной суммы MD5 исполняемого файла, для Kaspersky Endpoint Security 10 Service Pack 2 для Windows и выше, невозможно. В этом случае вы можете использовать криптографическую хеш-функцию SHA256 для файлов категории.

     Если разные устройства в вашей сети используют как более ранние, так и более поздние версии Kaspersky Endpoint Security 10, установите флажок SHA256 и флажок MD5-хеш.

     По умолчанию флажок Вычислять SHA256 для файлов в категории (поддерживается для Kaspersky Endpoint Security 10 Service Pack 2 для Windows и выше) установлен.

     По умолчанию флажок Вычислять MD5 для файлов в категории (поддерживается для версий ниже Kaspersky Endpoint Security 10 Service Pack 2 для Windows) снят.

   • Синхронизировать данные с хранилищем Сервера администрирования

     Выберите этот параметр, если вы хотите, чтобы Сервер администрирования периодически выполнял проверку изменений в указанной папке (или папках).

     По умолчанию параметр выключен.

     Если вы включите этот параметр, укажите период (в часах), чтобы проверять изменения в указанной папке (папках). По умолчанию период проверки равен 24 часам.

   • Тип файла

     В этом разделе вы можете указать тип файла, который используется для создания категории приложений.

     Все файлы. Для создаваемой категории учитываются все файлы. По умолчанию выбран этот вариант.

     Только файлы вне категорий приложений. Для создаваемой категории учитываются только файлы вне категорий приложений.

   • Папки

     В этом разделе вы можете указать папки выбранных устройств, содержащие файлы, которые используются для создания категории приложений.

     Все папки. Для создаваемой категории учитываются все папки. По умолчанию выбран этот вариант.

     Указанная папка. Для создаваемой категории учитывается только указанная папка. Если вы выбирали этот параметр, вам нужно указать путь к папке.

По завершении работы мастера создается категория исполняемых файлов. Она появится в списке категорий. Вы можете создать категорию при настройке компонента Контроль приложений.

Создание категории приложений, в которую входят исполняемые файлы из выбранных папок

Развернуть все | Свернуть все

Вы можете использовать исполняемые файлы выбранных папок как эталонный набор исполняемых файлов, запуск которых вы хотите разрешить или запретить в своей организации. На основе исполняемых файлов из выбранных папок вы можете создать категорию приложений и использовать ее для настройки компонента Контроль приложений.

Чтобы создать категорию, в которую входят исполняемые файлы из выбранных папок:

1. В главном окне приложения перейдите в раздел Операции → Приложения сторонних производителей → Категории приложений.

   Откроется страница со списком категорий.

2. Нажмите на кнопку Добавить.

   Запустится мастер создания категории. Для продолжения работы мастера нажмите на кнопку Далее.

3. На шаге Выбор способа создания категории, укажите имя категории и выберите параметр Категория, в которую входят исполняемые файлы из указанной папки. Исполняемые файлы приложений, копируемых в указанную папку, обрабатываются автоматически, и их метрики заносятся в категорию.
4. Укажите папку, исполняемые файлы которой будут использоваться для создания категории.
5. Настройте следующие параметры:
   • Включать в категорию динамически подключаемые библиотеки (DLL)

     В категорию приложений включаются динамически подключаемые библиотеки (файлы формата DLL), и компонент Контроль приложений регистрирует действия таких библиотек, запущенных в системе. При включении файлов формата DLL в категорию возможно снижение производительности работы Kaspersky Security Center.

     По умолчанию флажок снят.

   • Включать в категорию данные о скриптах

     В категорию приложений включаются данные о скриптах, и скрипты не блокируются компонентом Защита от веб-угроз. При включении данных о скриптах в категорию возможно снижение производительности работы Kaspersky Security Center.

     По умолчанию флажок снят.

   • Алгоритм вычисления хеш-функции: Вычислять SHA256 для файлов в категории (поддерживается для версии Kaspersky Endpoint Security 10 Service Pack 2 для Windows и выше) / Вычислять MD5 для файлов в категории (поддерживается для версий ниже Kaspersky Endpoint Security 10 Service Pack 2 для Windows)

     В зависимости от версии приложения безопасности, установленного на устройствах в вашей сети, необходимо выбрать алгоритм вычисления хеш-функции приложением Kaspersky Security Center для файлов категории. Информация о вычисленных хеш-функциях хранится в базе данных Сервера администрирования. Хранение хеш-функций увеличивает размер базы данных незначительно.

     SHA256 – криптографическая хеш-функция, в алгоритме которой не найдено уязвимости, и она считается наиболее надежной криптографической функцией в настоящее время. Kaspersky Endpoint Security 10 Service Pack 2 для Windows и выше поддерживают вычисление хеш-функции SHA256. Вычисление хеш-функции MD5 поддерживается для версий ниже Kaspersky Endpoint Security 10 Service Pack 2 для Windows.

     Выберите один из вариантов вычисления хеш-функции приложением Kaspersky Security Center для файлов категории:

     • Если все экземпляры приложений безопасности, установленных в вашей сети, являются версиями приложения Kaspersky Endpoint Security 10 Service Pack 2 для Windows и выше, установите флажок SHA256. Не рекомендуется добавлять категорию, созданную по критерию SHA256 исполняемого файла, для версий приложений ниже Kaspersky Endpoint Security 10 Service Pack 2 для Windows. Это может привести к сбою приложения безопасности. В этом случае вы можете использовать криптографическую хеш-функцию MD5 для файлов категории.
     • Если в вашей сети установлены более ранние версии, чем Kaspersky Endpoint Security 10 Service Pack 2 для Windows, выберите MD5-хеш. Добавить категорию, созданную по критерию контрольной суммы MD5 исполняемого файла, для Kaspersky Endpoint Security 10 Service Pack 2 для Windows и выше, невозможно. В этом случае вы можете использовать криптографическую хеш-функцию SHA256 для файлов категории.

     Если разные устройства в вашей сети используют как более ранние, так и более поздние версии Kaspersky Endpoint Security 10, установите флажок SHA256 и флажок MD5-хеш.

     По умолчанию флажок Вычислять SHA256 для файлов в категории (поддерживается для Kaspersky Endpoint Security 10 Service Pack 2 для Windows и выше) установлен.

     По умолчанию флажок Вычислять MD5 для файлов в категории (поддерживается для версий ниже Kaspersky Endpoint Security 10 Service Pack 2 для Windows) снят.

   • Принудительно проверять папку на наличие изменений

     Если этот параметр включен, приложение периодически принудительно проверяет папку пополнения категорий на наличие изменений. Периодичность проверки в часах можно указать в поле ввода рядом с флажком. По умолчанию период принудительной проверки равен 24 часам.

     Если этот параметр выключен, принудительная проверка папки не выполняется. Сервер обращается к файлам в папке в случае их изменения, добавления или удаления.

     По умолчанию параметр выключен.

По завершении работы мастера создается категория исполняемых файлов. Она появится в списке категорий. Вы можете использовать категорию для настройки компонента Контроль приложений.

Подробную информацию о Контроле приложений см. в следующих разделах справки:

• Справка Kaspersky Endpoint Security для Windows
• Справка Kaspersky Endpoint Security для Linux
• Kaspersky Security для виртуальных сред Легкий агент
• Справка Kaspersky Embedded Systems Security для Windows
• Справка Kaspersky Embedded Systems Security для Linux

Просмотр списка категорий приложений

Вы можете просмотреть список настроенных категорий исполняемых файлов и параметры каждой категории.

Чтобы просмотреть список категорий приложений,

В главном окне приложения перейдите в раздел Операции → Приложения сторонних производителей → Категории приложений.

Откроется страница со списком категорий.

Чтобы просмотреть свойства категории приложений,

нажмите на имя категории.

Откроется окно свойств выбранной категории. Параметры сгруппированы на нескольких вкладках.

Добавление исполняемых файлов, связанных с событием, в категорию приложения

Развернуть все | Свернуть все

После настройки компонента Компонента Контроль приложений в политиках Kaspersky Endpoint Security для Windows в списке событий могут отображаться следующие события:

• Запуск приложения запрещен (Критическое событие). Это событие отображается, если вы настроили Контроль приложений для применения правил.
• Запуск приложения запрещен в тестовом режиме (Информационное событие). Это событие отображается, если вы настроили Контроль приложений для применения правил в тестовом режиме.
• Сообщение администратору о запрете запуска приложения (сообщение с уровнем важности Предупреждение). Это событие отображается, если вы настроили Контроль приложений для применения правил, а пользователь запросил доступ к приложению, которое заблокировано для запуска.

Рекомендуется создавать выборки событий для просмотра событий, связанных с компонентом Контроль приложений.

Вы можете добавить исполняемые файлы, связанные с событиями Контроля приложений, в существующую категорию приложений или в новую категорию приложений. Вы можете добавлять исполняемые файлы только в категорию приложений пополняемую вручную.

Чтобы добавить исполняемые файлы, связанные с событиями компонента Контроль приложений, в категорию приложений:

1. В главном окне приложения перейдите в раздел Мониторинг и отчеты → Выборки событий.

   Отобразится список выборок событий.

2. Выберите выборку событий, чтобы просмотреть события, связанные с Контролем приложений, и запустите формирование этой выборки событий.

   Если вы не создали выборку событий, связанную с Контролем приложений, вы можете выбрать и запустить предопределенную выборку, например, Последние события.

   Отобразится список событий.

3. Выберите события, связанные исполняемые файлы которых, вы хотите добавить в категорию приложений, и нажмите на кнопку Назначить категорию.

   Запустится мастер создания категории. Для продолжения работы мастера нажмите на кнопку Далее.

4. На странице мастера укажите необходимые параметры:
   • В разделе Действие с исполняемым файлом, связанным с событием выберите один из следующих вариантов:
     • Добавить в новую категорию приложений

       Выберите этот параметр, если вы хотите создать категорию приложений на основе исполняемых файлов, связанных с событиями.

       По умолчанию выбран этот вариант.

       Если вы выбрали этот параметр, укажите имя новой категории.

     • Добавить в существующую категорию

       Выберите этот параметр, если вы хотите добавить исполняемые файлы, связанные с событиями, в существующую категорию приложений.

       По умолчанию вариант не выбран.

       Если вы выбрали этот параметр, выберите категорию приложений, пополняемую вручную, в которую вы хотите добавить исполняемые файлы.

   • В разделе Тип правила выберите следующие параметры:
     • Правила для добавления в область действия
     • Правила для добавления в исключения
   • В разделе Параметр, используемый в качестве условия выберите один из следующих вариантов:
     • Данные сертификата (или SHA256 для файлов без сертификата)

       Файлы могут быть подписаны сертификатом. При этом одним сертификатом могут быть подписаны несколько файлов. Например, разные версии одного приложения могут быть подписаны одним сертификатом или несколько разных приложений одного производителя могут быть подписаны одним сертификатом. При выборе сертификата в категорию может попасть несколько версий приложения или несколько приложений одного производителя.

       Каждый файл имеет свою уникальную хеш-функцию SHA256. При выборе хеш-функции SHA256 в категорию попадает только один соответствующий файл, например, заданная версия приложения.

       Выберите этот вариант, если в правила категории необходимо добавить данные сертификата исполняемого файла или хеш-функцию SHA256 для файлов без сертификата.

       По умолчанию выбран этот вариант.

     • Данные сертификата (файлы без сертификата пропускаются)

       Файлы могут быть подписаны сертификатом. При этом одним сертификатом могут быть подписаны несколько файлов. Например, разные версии одного приложения могут быть подписаны одним сертификатом или несколько разных приложений одного производителя могут быть подписаны одним сертификатом. При выборе сертификата в категорию может попасть несколько версий приложения или несколько приложений одного производителя.

       Выберите этот вариант, если в правила категории необходимо добавить данные сертификата исполняемого файла. Если у исполняемого файла нет сертификата, то такой файл будет пропущен. Информация о нем не будет добавлена в категорию.

     • Только SHA256 (файлы без хеша пропускаются)

       Каждый файл имеет свою уникальную хеш-функцию SHA256. При выборе хеш-функции SHA256 в категорию попадает только один соответствующий файл, например, заданная версия приложения.

       Выберите этот вариант, если в правила категории необходимо добавить только данные хеш-функции SHA256 исполняемого файла.

     • Только MD5 (для совместимости с Kaspersky Endpoint Security 10 Service Pack 1)

       Каждый файл имеет свою уникальную хеш-функцию MD5. При выборе хеш-функции MD5 в категорию попадает только один соответствующий файл, например, заданная версия приложения.

       Выберите этот вариант, если в правила категории необходимо добавить только данные хеш-функции MD5 исполняемого файла. Вычисление хеш-функции MD5 поддерживается для версий Kaspersky Endpoint Security 10 Service Pack 1 для Windows и ниже.

5. Нажмите на кнопку ОК.

После завершения работы мастера исполняемые файлы, связанные с событиями Контроля приложений, добавляются в существующую категорию приложений или в новую категорию приложений. Вы можете просмотреть параметры категории приложений, которую вы изменили или создали.

Подробную информацию о Контроле приложений см. в следующих разделах справки:

• Справка Kaspersky Endpoint Security для Windows
• Справка Kaspersky Endpoint Security для Linux
• Kaspersky Security для виртуальных сред Легкий агент
• Справка Kaspersky Embedded Systems Security для Windows
• Справка Kaspersky Embedded Systems Security для Linux

Настройка компонента Контроль приложений в политике Kaspersky Endpoint Security для Windows

После создания категорий для Контроля приложений, вы можете использовать их для настройки Контроля приложений в политиках Kaspersky Endpoint Security для Windows.

Чтобы настроить компонент Контроль приложений в политике Kaspersky Endpoint Security для Windows:

1. В главном окне приложения перейдите в раздел Активы (Устройства) → Политики и профили политик.

   Отобразится страница со списком политик.

2. Нажмите на политику Kaspersky Endpoint Security для Windows.

   Откроется окно свойств политики.

3. Перейдите в раздел Параметры приложения → Контроль безопасности → Контроль приложений.

   Отобразится окно Контроль приложений с параметрами компонента Контроль приложений.

4. Параметр Контроль приложений включен по умолчанию. Убедитесь, что переключатель Контроль приложений Выключен переведен в неактивное положение.
5. В блоке Параметры Контроля приложений включите режим работы с применением правил Контроля приложений и разрешите Kaspersky Endpoint Security для Windows блокировку запуска приложений.

   Если вы хотите протестировать правила Контроля приложений, в разделе Параметры Контроля приложений, включите тестовый режим. В тестовом режиме Kaspersky Endpoint Security для Windows не блокирует запуск приложений, но фиксирует информацию о сработавших правилах в отчете. Перейдите по ссылке Просмотреть отчет для просмотра этой информации.

6. Включите параметр Управление загрузкой модулей DLL, если вы хотите, чтобы приложение Kaspersky Endpoint Security для Windows контролировало загрузку модулей DLL при запуске приложений пользователями.

   Информация о модуле и приложении, которое загрузило модуль, будет сохранена в отчете.

   Kaspersky Endpoint Security для Windows контролирует только DLL модули и драйверы, которые были загружены после того, как параметр Управление загрузкой модулей DLL был включен. Перезагрузите устройство после выбора параметра Управление загрузкой модулей DLL, если вы хотите, чтобы приложение Kaspersky Endpoint Security для Windows контролировало все модули и драйверы DLL, включая те, которые были загружены до запуска Kaspersky Endpoint Security для Windows.

7. (Если требуется.) В блоке Шаблоны сообщений измените шаблон сообщения, которое отображается, когда приложение заблокировано для запуска, и шаблон сообщения электронной почты, которое отправляется вам.
8. В блоке параметров Режим Контроля приложений выберите режим Список запрещенных или Список разрешенных.

   По умолчанию выбран режим Список запрещенных.

9. Перейдите по ссылке Параметры списков правил.

   Откроется окно Списки запрещенных и разрешенных, в котором можно добавить категорию приложений. По умолчанию отображается вкладка Список запрещенных, если выбран режим Список запрещенных или отображается вкладка Список разрешенных, если выбран режим Список разрешенных.

10. В окне Списки запрещенных и разрешенных нажмите на кнопку Добавить.

    Откроется окно Правило Контроля приложений.

11. Перейдите по ссылке Пожалуйста, выберите категорию.

    Откроется окно Категории приложений.

12. Добавьте категорию приложений (или категории), которые вы создали ранее.

    Вы можете изменить параметры категории, нажав на кнопку Изменить.

    Вы можете создать категорию, нажав на кнопку Добавить.

    Вы можете удалить категорию, нажав на кнопку Удалить.

13. После того как формирование списка категорий приложений завершено, нажмите на кнопку ОК.

    Окно Категории приложений закрывается.

14. В окне правил Контроль приложений в разделе Субъекты и их права создайте список пользователей и групп пользователей, чтобы применить к ним правила Контроля приложений.
15. Нажмите на кнопку ОК, чтобы сохранить параметры и закрыть окно Правило Контроля приложений.
16. Нажмите на кнопку ОК, чтобы сохранить параметры и закрыть окно Списки запрещенных и разрешенных.
17. Нажмите на кнопку ОК, чтобы сохранить параметры и закрыть окно Контроль приложений.
18. Закройте окно с параметрами политики Kaspersky Endpoint Security для Windows.

Компонент Контроль приложений настроен. После распространения политики на клиентские устройства запуск исполняемых файлов контролируется.

Подробную информацию о Контроле приложений см. в следующих разделах справки:

• Справка Kaspersky Endpoint Security для Windows
• Справка Kaspersky Endpoint Security для Linux
• Kaspersky Security для виртуальных сред Легкий агент
• Справка Kaspersky Embedded Systems Security для Windows
• Справка Kaspersky Embedded Systems Security для Linux