Как настроить защиту от веб-угроз

Компонент Защита от веб-угроз позволяет проверять входящий трафик, передаваемый по протоколам HTTP, HTTPS и FTP, веб-сайты и IP-адреса, предотвращать загрузку вредоносных файлов из интернета, а также блокировать доступ к фишинговым, рекламным и прочим опасным веб-сайтам.

Текущие соединения для перехватываемых TCP-портов сбрасываются при включении защиты от веб-угроз.

По умолчанию защита от веб-угроз выключена. При этом она включается автоматически, если в системе обнаружен один из следующих исполняемых файлов браузеров, в том числе и SNAP-формата:

• chrome;
• chromium;
• chromium-browser;
• firefox;
• firefox-esr;
• google-chrome;
• opera;
• yandex-browser.

Вы можете включать и выключать компонент Защита от веб-угроз в любое время.

Изменяя параметры предустановленной задачи Защита от веб-угроз, вы можете:

• Выбирать действие, которое приложение будет выполнять над веб-ресурсом, на котором обнаружен опасный объект.
• Настраивать список доверенных веб-адресов.

  Приложение не проверяет содержание веб-сайтов, веб-адреса которых указаны в этом списке.

• Выбирать объекты, которые приложение будет обнаруживать во время проверки входящего трафика.
• Настраивать проверку защищенных соединений для проверки HTTPS-трафика.

  Для проверки FTP-трафика в параметрах проверки защищенных соединений должен быть настроен контроль всех сетевых портов.

При открытии веб-сайта приложение выполняет следующие действия:

1. Проверяет надежность веб-сайта с помощью загруженных баз приложения.
2. Проверяет надежность веб-сайта с помощью эвристического анализа, если он включен.

   Во время эвристического анализа приложение Kaspersky анализирует активность приложений в операционной системе. Эвристический анализ может обнаружить опасные объекты, о которых нет записей в базах приложения Kaspersky.

3. Проверяет надежность веб-сайта с помощью репутационных баз "Лаборатории Касперского".
4. Запрещает или разрешает открыть веб-сайт.

Компонент Защита от веб-угроз не выполняет проверку почтового трафика.

При попытке открытия опасного веб-сайта приложение выполняет следующие действия:

• Для HTTP‑ или FTP-трафика приложение блокирует доступ и показывает предупреждение.
• Для HTTPS-трафика в браузере отображается страница с ошибкой.

Удаление сертификатов приложения может привести к некорректной работе компонента Защита от веб-угроз.

Приложение Kaspersky добавляет в список таблицы mangle утилит iptables и ip6tables специальную разрешающую цепочку правил kfl_bypass, которая позволяет исключать трафик из проверки приложением. Если в цепочке настроены правила исключения трафика, они влияют на работу компонента Защита от веб-угроз.

В интерфейсе приложения вы можете управлять защитой от веб-угроз с помощью компонента Защита от веб-угроз.

Интерфейс приложения позволяет выполнять следующие действия:

• Включать и выключать компонент Защита от веб-угроз.
• Наблюдать за ходом работы компонента.
• Просматривать всплывающие уведомления об обнаруженных угрозах, из которых вы можете по ссылке Открыть отчеты переходить к отчетам о работе компонентов приложения и результатах выполнения задач проверки.
• Просматривать отчет о работе компонента Защита от веб-угроз.

  Результаты работы компонента Защита от веб-угроз отображаются в отчете в разделе Защита от веб-угроз.

В командной строке вы можете управлять защитой от веб-угроз с помощью предустановленной задачи Защита от веб-угроз (Web_Threat_Protection). Вы можете запускать и останавливать задачу вручную.

Задача запускается автоматически, если в системе обнаружен один из поддерживаемых браузеров.

В командной строке вы можете просматривать информацию об обнаруженных угрозах, а также проверять текущее состояние задачи.

Задача запускается со значениями параметров по умолчанию, указанными в Приложении 3. Вы можете изменять параметры задачи.

Изменять параметры задач нужно до их запуска.

Чтобы остановить задачу Защита от веб-угроз и включить вывод текущих событий, связанных с этой задачей, выполните следующую команду:

kfl-control --stop-task 14 -W

Чтобы запустить задачу Защита от веб-угроз, включить вывод текущих событий, связанных с этой задачей, и отображать ход выполнения задачи, выполните следующую команду:

kfl-control --start-task 14 [-W] [--progress]

Задача Защита от веб-угроз запускается со значениями параметров по умолчанию, указанными в Приложении 3.

Текущие значения параметров задачи вы можете вывести одним из следующих способов:

• в консоль с помощью команды вывода параметров задачи kfl-control --get-settings 14 [--json];
• в конфигурационный файл с помощью команды вывода параметров задачи kfl-control --get-settings 14 --file <путь к конфигурационному файлу> [--json].

При необходимости изменить параметры задачи Защита от веб-угроз вы можете:

• Изменять все параметры задачи при помощи конфигурационного файла. Для этого нужно выполнить следующие действия:
  1. Вывести параметры задачи в конфигурационный файл с помощью команды kfl-control --get-settings 14 [--json].

     Будет сформирован конфигурационный файл с текущими параметрами задачи.

  2. Внести изменения в параметры задачи в сформированном конфигурационном файле, выбрав значения из таблицы ниже.
  3. Сохранить конфигурационный файл.
  4. Выполнить команду kfl-control --set-settings 14 --file <путь к конфигурационному файлу> [--json].
• Изменять отдельные параметры задачи, с помощью команды kfl-control --set-settings 14 <имя параметра>=<значение параметра> [<имя параметра>=<значение параметра>].
• Восстанавливать заданные по умолчанию параметры задачи с помощью команды kfl-control --set-settings 14 --set-to-default.

Подробная инструкция по изменению параметров задач приложения приведена в разделе Как изменить параметры задачи в командной строке.

В таблице ниже описаны все параметры и значения параметров задачи Защита от веб-угроз.

Параметры задачи Защита от веб-угроз

Параметр	Описание	Значения
ActionOnDetect	Действия, выполняемые при обнаружении зараженного объекта в веб-трафике.	Notify – разрешить загрузку обнаруженного объекта, показать уведомление о заблокированной попытке доступа, записать в журнал информацию о зараженном объекте. Block (значение по умолчанию) – запретить доступ к обнаруженному объекту, показать уведомление о заблокированной попытке доступа, записать в журнал информацию о зараженном объекте.
CheckMalicious	Включает или выключает проверку ссылок по базе вредоносных веб-адресов.	Yes (значение по умолчанию) – проверять ссылки на вхождение в базу вредоносных веб-адресов. No – не проверять ссылки на вхождение в базу вредоносных веб-адресов.
CheckPhishing	Включает или выключает проверку ссылок по базе фишинговых веб-адресов.	Yes (значение по умолчанию) – проверять ссылки на вхождение в базу фишинговых веб-адресов. No – не проверять ссылки на вхождение в базу фишинговых веб-адресов.
UseHeuristicForPhishing	Включает или выключает использование эвристического анализа для проверки веб-страниц на наличие фишинговых ссылок.	Yes (значение по умолчанию) – использовать эвристический анализ для обнаружения фишинговых ссылок. Если выбрано это значение, используется поверхностный уровень эвристического анализа – Light (наименее тщательная проверка, минимальная загрузка системы). Для задачи Защита от веб-угроз невозможно изменить уровень эвристического анализа. No – не использовать эвристический анализ для обнаружения фишинговых ссылок.
CheckAdware	Включает или выключает проверку ссылок по базе рекламных веб-адресов.	Yes – проверять ссылки на вхождение в базу рекламных веб-адресов. No (значение по умолчанию) – не проверять ссылки на вхождение в базу рекламных веб-адресов.
CheckOther	Включает или выключает проверку ссылок по базе веб-адресов, содержащих легальные приложения, которые злоумышленники могут использовать для нанесения вреда устройствам или данным.	Yes – проверять ссылки на вхождение в базу веб-адресов, содержащих легальные приложения, которые могут использоваться злоумышленниками для нанесения вреда устройствам или данным. No (значение по умолчанию) – не проверять ссылки на вхождение в базу веб-адресов, содержащих легальные приложения, которые могут использоваться злоумышленниками для нанесения вреда устройствам или данным.
UseTrustedAddresses	Включает или выключает использование списка доверенных веб-адресов. Приложение не проверяет доверенные веб-адреса на вирусы и другие вредоносные объекты. Вы можете указать доверенные веб-адреса с помощью параметра TrustedAddresses.item_#.	Yes (значение по умолчанию) – использовать список доверенных веб-адресов. No – не использовать список доверенных веб-адресов.
TrustedAddresses.item_#	Доверенные веб-адреса.	Значение по умолчанию не задано. Для указания веб-адресов вы можете использовать маски. При создании маски адреса вы можете использовать символ звездочка (*) вместо одного или нескольких символов. Так, если вы укажете маску адреса *abc*, она будет применена ко всем веб-ресурсам, содержащим последовательность abc (например, www.virus.com/download_virus/page_0-9abcdef.html). Чтобы включить звездочку в маску адреса в качестве символа, а не в качестве маски, введите символ * дважды (например, маска www.virus.com/**/page_0-9abcdef.html означает www.virus.com/*/page_0-9abcdef.html). Использование масок для указания IP-адресов не поддерживается.

В начало