Управление запуском программ на клиентских устройствах

В этом разделе описаны возможности Kaspersky Security Center связанные с управлением программ, запущенных на клиентских устройствах.

Использование компонента Контроль программ для управления исполняемыми файлами

Вы можете использовать компонент Контроль программ, чтобы разрешить или запретить запуск исполняемых файлов на пользовательских устройствах. Компонент Контроль программ поддерживает операционные системы Windows и Linux.

Для операционных систем Linux компонент Контроль приложений доступен, начиная с Kaspersky Endpoint Security 11.2 для Linux. Также компонент доступен для Kaspersky Embedded Systems Security для Windows 3.0 и выше.

Предварительные требования

• Kaspersky Security Center развернут в вашей организации.
• Политика Kaspersky Endpoint Security для Windows или Kaspersky Endpoint Security для Linux создана и активна.

Этапы

Сценарий использования компонента Контроль программ состоит из следующих этапов:

1. Формирование и просмотр списка исполняемых файлов на клиентских устройствах

   Этот этап помогает вам определить, какие исполняемые файлы обнаружены на управляемых устройствах. Просмотрите список исполняемых файлов и сравните его со списками разрешенных и запрещенных исполняемых файлов. Ограничения использования исполняемых файлов могут быть связаны с политиками информационной безопасности в вашей организации.

   Инструкции:

   • Консоль администрирования: Инвентаризация исполняемых файлов.
   • Kaspersky Security Center Web Console: Получение и просмотр списка исполняемых файлов, хранящихся на клиентских устройствах.
2. Создание категорий для исполняемых файлов, используемых в вашей организации

   Проанализируйте списки исполняемых файлов, хранящихся на управляемых устройствах. На основе анализа сформируйте категории для исполняемых файлов. Рекомендуется создать категорию "Рабочие программы", которая охватывает стандартный набор исполняемых файлов, используемых в вашей организации. Если разные группы безопасности используют свои наборы исполняемых файлов в своей работе, для каждой группы безопасности можно создать отдельную категорию.

   Инструкции:

   • Консоль администрирования: Создание пополняемой вручную категории программ, Создание категории программ, в которую входят исполняемые файлы с выбранных устройств, Создание категории программ, в которую входят исполняемые файлы из указанных папок.
   • Kaspersky Security Center Web Console: Создание пополняемой вручную категории программ, Создание категории программ, в которую входят исполняемые файлы с выбранных устройств, Создание категории программ, в которую входят исполняемые файлы из указанных папок.
3. Настройка компонента Контроль программ в политике Kaspersky Endpoint Security

   Настройте компонент Контроль программ в политике Kaspersky Endpoint Security с использованием категорий, которые вы создали на предыдущем этапе.

   Инструкции:

   • Консоль администрирования: Настройка управления запуском программ на клиентских устройствах.
   • Kaspersky Security Center Web Console: Настройка компонента Контроль программ в политике Kaspersky Endpoint Security для Windows.
4. Включение компонента Контроль программ в тестовом режиме

   Чтобы правила Контроля программ не блокировали исполняемые файлы, необходимые для работы пользователей, рекомендуется включить тестирование правил Контроля приложений и проанализировать их работу после создания правил. Когда тестирование включено, Kaspersky Endpoint Security для Windows не будет блокировать исполняемые файлы, запуск которых запрещен правилами Контроля программ, а вместо этого будет отправлять уведомления об их запуске на Сервер администрирования.

   При тестировании правил Контроля программ рекомендуется выполнить следующие действия:

   • Определите период тестирования. Период тестирования может варьироваться от нескольких дней до двух месяцев.
   • Изучите события, возникающие в результате тестирования работы компонента Контроль программ.

   Инструкции для Kaspersky Security Center Web Console: Настройка компонента Контроль программ в политике Kaspersky Endpoint Security для Windows. Следуйте этой инструкции и включите параметр Тестовый режим в процессе настройки.

5. Изменение параметров категорий компонента Контроль программ

   Если требуется, измените параметры компонента Контроль программ. На основании результатов тестирования вы можете добавить исполняемые файлы, связанные с событиями компонента Контроль программ, в категорию пополняемую вручную.

   Инструкции:

   • Консоль администрирования: Добавление исполняемых файлов, связанных с событием, в категорию программы.
   • Kaspersky Security Center Web Console: Добавление исполняемых файлов, связанных с событием, в категорию программы.
6. Применение правил Контроля программ в рабочем режиме

   После проверки правил Контроля программ и завершения настройки категорий вы можете применить правила Контроль программ в рабочем режиме.

   Инструкции для Kaspersky Security Center Web Console: Настройка компонента Контроль программ в политике Kaspersky Endpoint Security для Windows. Следуйте этой инструкции и выключите параметр Тестовый режим в процессе настройки.

7. Проверка конфигурации Контроля программ

   Убедитесь, что вы выполнили следующее:

   • Создали категории для исполняемых файлов.
   • Настроили Контроль программ с использованием категорий.
   • Применили правила Контроля программ в рабочем режиме.

Результаты

После завершения сценария, запуск исполняемых файлов на управляемых устройствах контролируется. Пользователи могут запускать только те исполняемые файлы, которые разрешены в вашей организации, и не могут запускать исполняемые файлы, запрещенные в вашей организации.

Подробную информацию о Контроле программ см. в следующих разделах справки:

• Онлайн-справка Kaspersky Endpoint Security для Windows
• Онлайн-справка Kaspersky Endpoint Security для Linux
• Kaspersky Security для виртуальных сред Легкий агент
• Справка Kaspersky Embedded Systems Security для Windows
• Справка Kaspersky Embedded Systems Security для Linux

Режимы и категории компонента Контроль программ

Компонент Контроль программ контролирует попытки пользователей запуска программ. Вы можете использовать правила компонента Контроль программ для контроля запуска программ.

Компонент Контроль программ доступен для Kaspersky Endpoint Security для Windows, Kaspersky Endpoint Security 11.2 для Linux и выше, для Kaspersky Security для виртуальных сред Легкий агент. Все инструкции в этом разделе описывают настройку Контроля программ для программы Kaspersky Endpoint Security для Windows.

Запуск исполняемых файлов, параметры которых не соответствуют ни одному из правил Контроля программ, регулируется выбранным режимом работы компонента:

• Список запрещенных. Режим используется, если вы хотите разрешить запуск всех исполняемых файлов, кроме тех, которые указаны в запрещающих правилах. По умолчанию выбран этот режим.
• Список разрешенных. Режим используется, если вы хотите запретить запуск всех исполняемых файлов, кроме тех, которые указаны в разрешающих правилах.

Правила Контроля программ реализованы в категориях для исполняемых файлов. В Kaspersky Security Center существует три типа категорий:

• Пополняемая вручную категория. Вы определяете условия, например, метаданные файла, хеш файла, сертификат файла, KL-категория, путь к файлу, чтобы включить исполняемые файлы в категорию.
• Категория, в которую входят исполняемые файлы с выбранных устройств. Вы указываете устройство, исполняемые файлы которого автоматически включаются в категорию.
• Категория, в которую входят исполняемые файлы из выбранных папок. Вы указываете папку, исполняемые файлы из которой автоматически попадают в категорию.

Подробную информацию о Контроле программ см. в следующих разделах справки:

• Онлайн-справка Kaspersky Endpoint Security для Windows
• Онлайн-справка Kaspersky Endpoint Security для Linux
• Kaspersky Security для виртуальных сред Легкий агент
• Справка Kaspersky Embedded Systems Security для Windows
• Справка Kaspersky Embedded Systems Security для Linux

Получение и просмотр списка программ, установленных на клиентских устройствах

Kaspersky Security Center выполняет инвентаризацию программного обеспечения, которое установлено на управляемых клиентских устройствах, работающих под управлением операционной системы Linux и Windows.

Агент администрирования составляет список программ, установленных на устройстве, и передает список Серверу администрирования. Агенту администрирования требуется около 10–15 минут для обновления списка программ.

Для клиентских устройств с операционной системой Windows Агент администрирования получает большую часть информации об установленных программах из реестра Windows. Для клиентских устройств с операционной системой Linux информацию об установленных программах Агент администрирования получает от диспетчеров пакетов.

Если на устройстве с операционной системной Linux обнаружена программа из раздела Реестр программ, в свойствах программы отсутствует информация о связанных с ней исполняемых файлах.

Чтобы просмотреть список программ, установленных на управляемых устройствах,

1. В главном окне программы перейдите в раздел Операции → Программы сторонних производителей → Реестр программ.

   На странице отображается таблица с программами, установленными на управляемых устройствах. Выберите программу, чтобы просмотреть свойства этой программы, например: имя производителя, номер версии, список исполняемых файлов, список устройств, на которых установлена программа, список доступных обновлений программного обеспечения или список обнаруженных уязвимостей программного обеспечения.

2. Вы можете группировать и фильтровать данные таблицы с установленными программами следующим образом:
   • Нажмите на значок параметров () в правом верхнем углу таблицы.

     В открывшемся меню Параметры граф выберите столбцы, которые будут отображаться в таблице. Чтобы просмотреть тип операционной системы клиентских устройств, на которых установлена программа, выберите столбец Тип операционной системы.

   • Нажмите на значок фильтрации () в правом верхнем углу таблицы, укажите и примените критерий фильтрации в открывшемся меню.

     Отобразится отфильтрованная таблица установленных программ.

Чтобы просмотреть список программ, установленных на выбранном управляемом устройстве,

В главном окне программы перейдите в раздел Устройства → Управляемые устройства → <имя устройства> → Дополнительно → Реестр программ. В этом меню можно экспортировать список программ в файлы форматов CSV или TXT.

Подробную информацию о Контроле программ см. в следующих разделах справки:

• Онлайн-справка Kaspersky Endpoint Security для Windows
• Онлайн-справка Kaspersky Endpoint Security для Linux
• Kaspersky Security для виртуальных сред Легкий агент
• Справка Kaspersky Embedded Systems Security для Windows
• Справка Kaspersky Embedded Systems Security для Linux

Получение и просмотр списка исполняемых файлов, хранящихся на клиентских устройствах

Вы можете получить список исполняемых файлов, хранящихся на клиентских устройствах, одним из следующих способов:

• Включив уведомление о запуске программ в политике Kaspersky Endpoint Security.
• Создав задачу инвентаризации.

Включение уведомлений о запуске программ в политике Kaspersky Endpoint Security

Чтобы включить уведомления о запуске программ:

1. Откройте параметры политики Kaspersky Endpoint Security и перейдите на вкладку Общие параметры → Отчеты и хранилища.
2. В группе параметров Передача данных на Сервер администрирования установите флажок О запущенных программах и сохраните изменения.

Когда пользователь пытается запустить исполняемые файлы, информация об этих файлах добавляется в список исполняемых файлов на клиентском устройстве. Kaspersky Endpoint Security отправляет эту информацию Агенту администрирования, а затем Агент администрирования отправляет ее на Сервер администрирования.

Создание задачи инвентаризации

Функция инвентаризации исполняемых файлов доступна для следующих программ:

• Kaspersky Endpoint Security для Windows.
• Kaspersky Endpoint Security для Linux версии 11.2 и выше.
• Kaspersky Security для виртуальных сред 4.0 Легкий агент и выше.

Вы можете снизить нагрузку на базу данных при получении информации об установленных программах. Для того чтобы сохранить место в базе данных, вам нужно запустить задачу инвентаризации на нескольких эталонных устройствах, на которых установлен стандартный набор программ. Предпочтительное количество устройств равно 1–3.

Настоятельно не рекомендуется выполнять задачу инвентаризации при использовании следующих баз данных: MySQL, PostgreSQL, SQL Server Express Edition, MariaDB (все версии).

Чтобы создать задачу инвентаризации исполняемых файлов на клиентских устройствах:

1. В главном окне программы перейдите в раздел Устройства → Задачи.

   Отобразится список задач.

2. Нажмите на кнопку Добавить.

   Запустится мастер создания задачи. Следуйте далее указаниям мастера.

3. На странице Новая задача в раскрывающемся списке Программа выберите Kaspersky Endpoint Security для Windows или Kaspersky Endpoint Security для Linux в зависимости от типа операционной системы клиентских устройств.
4. В раскрывающемся списке Тип задачи выберите Инвентаризация.
5. На странице Завершение создания задачи нажмите на кнопку Готово.

После того как мастер создания задачи завершит свою работу, задача Инвентаризация создана и настроена. Вы можете изменить параметры созданной задачи. В результате созданная задача отобразится в списке задач.

Подробное описание задачи инвентаризации см. в следующих справках:

• Онлайн-справка Kaspersky Endpoint Security для Windows
• Онлайн-справка Kaspersky Endpoint Security для Linux
• Kaspersky Security для виртуальных сред Легкий агент

После выполнения задачи Инвентаризация формируется список исполняемых файлов, хранящихся на управляемых устройствах, и вы можете просмотреть этот список.

Во время инвентаризации могут быть обнаружены исполняемые файлы в следующих форматах (в зависимости от выбранного вами параметра в свойствах задачи инвентаризации): MZ, COM, PE, NE, SYS, CMD, BAT, PS1, JS, VBS, REG, MSI, CPL, DLL, JAR и HTML.

Просмотр списка программ и исполняемых файлов, хранящихся на управляемых устройствах

Чтобы просмотреть список исполняемых файлов, хранящихся на клиентских устройствах,

В главном окне программы перейдите в раздел Операции → Программы сторонних производителей → Исполняемые файлы.

На странице отобразится список исполняемых файлов, хранящихся на клиентских устройствах.

При необходимости вы можете отправить исполняемый файл управляемого устройства на устройство, где открыто приложение Kaspersky Security Center Web Console.

Чтобы отправить исполняемый файл:

1. В главном окне программы перейдите в раздел Операции → Программы сторонних производителей → Исполняемые файлы.
2. Перейдите по ссылке исполняемого файла, который вы хотите отправить.
3. В открывшемся окне перейдите в раздел Устройства и установите флажок рядом с управляемым устройством, с которого вы хотите отправить исполняемый файл.

   Перед отправкой исполняемого файла убедитесь, что управляемое устройство имеет прямое подключение к Серверу администрирования, установив флажок Не разрывать соединение с Сервером администрирования.

4. Нажмите на кнопку Отправить.

Выбранный исполняемый файл будет загружен для дальнейшей отправки на устройство, на котором открыта программа Kaspersky Security Center Web Console.

Создание пополняемой вручную категории программ

Развернуть все | Свернуть все

Вы можете указать набор критериев в качестве шаблона для исполняемых файлов, запуск которых вы хотите разрешить или запретить в своей организации. На основе исполняемых файлов, соответствующих критериям, вы можете создать категорию программ и использовать ее в настройке компонента Контроль программ.

Чтобы создать пополняемую вручную категорию программ:

1. В главном окне программы перейдите в раздел Операции → Программы сторонних производителей → Категории программ.

   Откроется страница со списком категорий программ.

2. Нажмите на кнопку Добавить.

   Запустится мастер создания категории. Для продолжения работы мастера нажмите на кнопку Далее.

3. На шаге Выбор способа создания категории выберите параметр Пополняемая вручную категория. Данные об исполняемых файлах добавляются в категорию вручную.
4. На шаге Условия нажмите на кнопку Добавить, чтобы добавить критерий условия для включения файлов в создаваемую категорию.
5. На шаге Критерии условия выберите тип правила для создания категории из списка:
   • Из KL-категории

     Если выбран этот вариант, в качестве условия добавления программ в пользовательскую категорию можно указать категорию программ "Лаборатории Касперского". Программы, входящие в указанную KL-категорию, будут добавлены в пользовательскую категорию программ.

   • Выберите сертификат из хранилища сертификатов

     Если выбран этот вариант, можно указать сертификаты из хранилища. Исполняемые файлы, подписанные в соответствии с указанными сертификатами, будут добавлены в пользовательскую категорию.

   • Задайте путь к программе (поддерживаются маски)

     Если выбран этот вариант, можно указать файл или папку на клиентском устройстве, исполняемые файлы из которой будут добавлены в пользовательскую категорию программ. Вы можете использовать регулярные выражения, такие как C:\path_to_exe\*, например: C:\Program Files\Internet Explorer\*.

   • Съемный диск

     Если выбран этот вариант, можно указать тип носителя (любой или съемный диск), на котором выполняется запуск программы. Программы, запускаемые на носителе выбранного типа, будут добавлены в пользовательскую категорию программ.

   • Хеши файлов папки, метаданные файлов папки или сертификаты из папки:
     • Выберите из списка исполняемых файлов

       Если выбран этот вариант, программы для добавления в категорию можно выбрать из списка исполняемых файлов на клиентском устройстве.

     • Выберите из реестра программ

       Если выбран этот параметр, отображается реестр программ. Вы можете выбрать программы из реестра и указать следующие метаданные файла:

       • Имя файла.
       • Версия файла. Вы можете указать точное значение версии или написать условие, например, "больше, чем 5.0".
       • Название программы.
       • Версия программы. Вы можете указать точное значение версии или написать условие, например, "больше, чем 5.0".
       • Производитель.
     • Задайте вручную

       Если выбран этот вариант, вы должны указать хеш файла, метаданные или сертификат в качестве условия добавления программ в пользовательскую категорию.

       Хеш файла

       В зависимости от версии программы безопасности, установленной на устройствах в вашей сети, необходимо выбрать алгоритм вычисления хеш-функции программой Kaspersky Security Center для файлов категории. Информация о вычисленных хеш-функциях хранится в базе данных Сервера администрирования. Хранение хеш-функций увеличивает размер базы данных незначительно.

       SHA256 – криптографическая хеш-функция, в алгоритме которой не найдено уязвимости, и она считается наиболее надежной криптографической функцией в настоящее время. Kaspersky Endpoint Security 10 Service Pack 2 для Windows и выше поддерживают вычисление хеш-функции SHA256. Вычисление хеш-функции MD5 поддерживается для версий ниже Kaspersky Endpoint Security 10 Service Pack 2 для Windows.

       Выберите один из вариантов вычисления хеш-функции программой Kaspersky Security Center для файлов категории:

       • Если все экземпляры программ безопасности, установленных в вашей сети, являются версиями программы Kaspersky Endpoint Security 10 Service Pack 2 для Windows и выше, установите флажок SHA-256. Не рекомендуется добавлять категорию, созданную по критерию SHA256 исполняемого файла, для версий программ ниже Kaspersky Endpoint Security 10 Service Pack 2 для Windows. Это может привести к сбою программы безопасности. В этом случае вы можете использовать криптографическую хеш-функцию MD5 для файлов категории.
       • Если в вашей сети установлены более ранние версии, чем Kaspersky Endpoint Security 10 Service Pack 2 для Windows, выберите MD5-хеш. Добавить категорию, созданную по критерию контрольной суммы MD5 исполняемого файла, для Kaspersky Endpoint Security 10 Service Pack 2 для Windows и выше, нельзя. В этом случае вы можете использовать криптографическую хеш-функцию SHA256 для файлов категории.
       • Если разные устройства в вашей сети используют как более ранние, так и более поздние версии Kaspersky Endpoint Security 10, установите флажок SHA-256 и флажок MD5-хеш.

       Метаданные

       Если этот параметр выбран, вы можете указать метаданные файла такие как имя файла, версию файла и поставщика. Метаданные будут передаваться на Сервер администрирования. Исполняемые файлы, имеющие такие же метаданные, будут добавлены в категорию программ.

       Сертификат

       Если выбран этот вариант, можно указать сертификаты из хранилища. Исполняемые файлы, подписанные в соответствии с указанными сертификатами, будут добавлены в пользовательскую категорию.

     • Из файла MSI-пакета / архивной папки

       Если выбран этот вариант, в качестве условия добавления программ в пользовательскую категорию можно указать файл установщика MSI. Метаданные установщика программы будут передаваться на Сервер администрирования. Программы, у которых метаданные установщика совпадают с указанным установщиком MSI, будут добавлены в пользовательскую категорию программ.

   Выбранный критерий добавлен в список условий.

   Вы можете добавить столько критериев для создания категории программ, сколько вам нужно.

6. На шаге Исключения нажмите на кнопку Добавить, чтобы добавить критерий в область исключений и исключить файлы из создаваемой категории.
7. На шаге Критерии условия, выберите тип правила из списка, так же, как вы выбрали тип правила для создания категории.

После завершения мастера создается категория программ. Оно появится в списке категорий программ. Вы можете создать категорию программ при настройке компонента Контроль программ.

Подробную информацию о Контроле программ см. в следующих разделах справки:

• Онлайн-справка Kaspersky Endpoint Security для Windows
• Онлайн-справка Kaspersky Endpoint Security для Linux
• Kaspersky Security для виртуальных сред Легкий агент
• Справка Kaspersky Embedded Systems Security для Windows
• Справка Kaspersky Embedded Systems Security для Linux

Создание категории программ, в которую входят исполняемые файлы с выбранных устройств

Развернуть все | Свернуть все

Вы можете использовать исполняемые файлы с устройства как шаблон исполняемых файлов, запуск которых вы хотите разрешить или запретить. На основе исполняемых файлов с выбранных устройств вы можете создать категорию и использовать ее для настройки компонента Контроль программ.

Чтобы получить список исполняемых файлов с устройств:

1. Убедитесь, что политика Kaspersky Endpoint Security для Windows или Kaspersky Endpoint Security для Linux создана и активна. Включите в политике компонент Контроль программ.
2. Получение списка исполняемых файлов, хранящихся на клиентских устройствах.

Чтобы создать категорию, в которую входят исполняемые файлы с выбранных устройств:

1. В главном окне программы перейдите в раздел Операции → Программы сторонних производителей → Категории программ.

   Откроется страница со списком категорий.

2. Нажмите на кнопку Добавить.

   Запустится мастер создания категории. Для продолжения работы мастера нажмите на кнопку Далее.

3. На шаге Выбор способа создания категории, укажите имя категории и выберите параметр Категория, в которую входят исполняемые файлы с выбранных устройств. Исполняемые файлы обрабатываются автоматически, их метрики заносятся в категорию.
4. Нажмите на кнопку Добавить.
5. В открывшемся окне выберите устройство или устройства, чьи исполняемые файлы будут использоваться для создания категории.
6. Задайте следующие параметры:
   • Алгоритм вычисления хеш-функции

     В зависимости от версии программы безопасности, установленной на устройствах в вашей сети, необходимо выбрать алгоритм вычисления хеш-функции программой Kaspersky Security Center для файлов категории. Информация о вычисленных хеш-функциях хранится в базе данных Сервера администрирования. Хранение хеш-функций увеличивает размер базы данных незначительно.

     SHA256 – криптографическая хеш-функция, в алгоритме которой не найдено уязвимости, и она считается наиболее надежной криптографической функцией в настоящее время. Kaspersky Endpoint Security 10 Service Pack 2 для Windows и выше поддерживают вычисление хеш-функции SHA256. Вычисление хеш-функции MD5 поддерживается для версий ниже Kaspersky Endpoint Security 10 Service Pack 2 для Windows.

     Выберите один из вариантов вычисления хеш-функции программой Kaspersky Security Center для файлов категории:

     • Если все экземпляры программ безопасности, установленных в вашей сети, являются версиями программы Kaspersky Endpoint Security 10 Service Pack 2 для Windows и выше, установите флажок SHA-256. Не рекомендуется добавлять категорию, созданную по критерию SHA256 исполняемого файла, для версий программ ниже Kaspersky Endpoint Security 10 Service Pack 2 для Windows. Это может привести к сбою программы безопасности. В этом случае вы можете использовать криптографическую хеш-функцию MD5 для файлов категории.
     • Если в вашей сети установлены более ранние версии, чем Kaspersky Endpoint Security 10 Service Pack 2 для Windows, выберите MD5-хеш. Добавить категорию, созданную по критерию контрольной суммы MD5 исполняемого файла, для Kaspersky Endpoint Security 10 Service Pack 2 для Windows и выше, нельзя. В этом случае вы можете использовать криптографическую хеш-функцию SHA256 для файлов категории.

     Если разные устройства в вашей сети используют как более ранние, так и более поздние версии Kaspersky Endpoint Security 10, установите флажок SHA-256 и флажок MD5-хеш.

     По умолчанию флажок Вычислять SHA256 для файлов в категории (поддерживается для Kaspersky Endpoint Security 10 Service Pack 2 для Windows и выше) установлен.

     По умолчанию флажок Вычислять MD5 для файлов в категории (поддерживается для версий ниже Kaspersky Endpoint Security 10 Service Pack 2 для Windows) снят.

   • Синхронизировать данные с хранилищем Сервера администрирования

     Выберите этот параметр, если вы хотите, чтобы Сервер администрирования периодически выполнял проверку изменений в указанной папке (или папках).

     По умолчанию параметр выключен.

     Если вы включите этот параметр, укажите период (в часах), чтобы проверять изменения в указанной папке (папках). По умолчанию период проверки равен 24 часам.

   • Тип файла

     В этом разделе вы можете указать тип файла, который используется для создания категории программ.

     Все файлы. Для создаваемой категории учитываются все файлы. По умолчанию выбран этот вариант.

     Только файлы вне категорий программ. Для создаваемой категории учитываются только файлы вне категорий программ.

   • Папки

     В этом разделе вы можете указать папки выбранных устройств, содержащие файлы, которые используются для создания категории программ.

     Все папки. Для создаваемой категории учитываются все папки. По умолчанию выбран этот вариант.

     Указанная папка. Для создаваемой категории учитывается только указанная папка. Если вы выбирали этот параметр, вы должны указать путь к папке.

По завершении работы мастера создается категория исполняемых файлов. Она появится в списке категорий. Вы можете создать категорию при настройке компонента Контроль программ.

Создание категории программ, в которую входят исполняемые файлы из выбранных папок

Развернуть все | Свернуть все

Вы можете использовать исполняемые файлы выбранных папок как эталонный набор исполняемых файлов, запуск которых вы хотите разрешить или запретить в своей организации. На основе исполняемых файлов из выбранных папок вы можете создать категорию программ и использовать ее для настройки компонента Контроль программ.

Чтобы создать категорию, в которую входят исполняемые файлы из выбранных папок:

1. В главном окне программы перейдите в раздел Операции → Программы сторонних производителей → Категории программ.

   Откроется страница со списком категорий.

2. Нажмите на кнопку Добавить.

   Запустится мастер создания категории. Для продолжения работы мастера нажмите на кнопку Далее.

3. На шаге Выбор способа создания категории, укажите имя категории и выберите параметр Категория, в которую входят исполняемые файлы из указанной папки. Исполняемые файлы программ, копируемых в указанную папку, обрабатываются автоматически, и их метрики заносятся в категорию.
4. Укажите папку, исполняемые файлы которой будут использоваться для создания категории.
5. Настройте следующие параметры:
   • Включать в категорию динамически подключаемые библиотеки (DLL)

     В категорию программ включаются динамически подключаемые библиотеки (файлы формата DLL), и компонент Контроль программ регистрирует действия таких библиотек, запущенных в системе. При включении файлов формата DLL в категорию возможно снижение производительности работы Kaspersky Security Center.

     По умолчанию флажок снят.

   • Включать в категорию данные о скриптах

     В категорию программ включаются данные о скриптах, и скрипты не блокируются компонентом Защита от веб-угроз. При включении данных о скриптах в категорию возможно снижение производительности работы Kaspersky Security Center.

     По умолчанию флажок снят.

   • Алгоритм вычисления хеш-функции: Вычислять SHA-256 для файлов в категории (поддерживается для версии Kaspersky Endpoint Security 10 Service Pack 2 для Windows и выше) / Вычислять MD5 для файлов в категории (поддерживается для версий ниже Kaspersky Endpoint Security 10 Service Pack 2 для Windows)

     В зависимости от версии программы безопасности, установленной на устройствах в вашей сети, необходимо выбрать алгоритм вычисления хеш-функции программой Kaspersky Security Center для файлов категории. Информация о вычисленных хеш-функциях хранится в базе данных Сервера администрирования. Хранение хеш-функций увеличивает размер базы данных незначительно.

     SHA256 – криптографическая хеш-функция, в алгоритме которой не найдено уязвимости, и она считается наиболее надежной криптографической функцией в настоящее время. Kaspersky Endpoint Security 10 Service Pack 2 для Windows и выше поддерживают вычисление хеш-функции SHA256. Вычисление хеш-функции MD5 поддерживается для версий ниже Kaspersky Endpoint Security 10 Service Pack 2 для Windows.

     Выберите один из вариантов вычисления хеш-функции программой Kaspersky Security Center для файлов категории:

     • Если все экземпляры программ безопасности, установленных в вашей сети, являются версиями программы Kaspersky Endpoint Security 10 Service Pack 2 для Windows и выше, установите флажок SHA-256. Не рекомендуется добавлять категорию, созданную по критерию SHA256 исполняемого файла, для версий программ ниже Kaspersky Endpoint Security 10 Service Pack 2 для Windows. Это может привести к сбою программы безопасности. В этом случае вы можете использовать криптографическую хеш-функцию MD5 для файлов категории.
     • Если в вашей сети установлены более ранние версии, чем Kaspersky Endpoint Security 10 Service Pack 2 для Windows, выберите MD5-хеш. Добавить категорию, созданную по критерию контрольной суммы MD5 исполняемого файла, для Kaspersky Endpoint Security 10 Service Pack 2 для Windows и выше, нельзя. В этом случае вы можете использовать криптографическую хеш-функцию SHA256 для файлов категории.

     Если разные устройства в вашей сети используют как более ранние, так и более поздние версии Kaspersky Endpoint Security 10, установите флажок SHA-256 и флажок MD5-хеш.

     По умолчанию флажок Вычислять SHA256 для файлов в категории (поддерживается для Kaspersky Endpoint Security 10 Service Pack 2 для Windows и выше) установлен.

     По умолчанию флажок Вычислять MD5 для файлов в категории (поддерживается для версий ниже Kaspersky Endpoint Security 10 Service Pack 2 для Windows) снят.

   • Принудительно проверять папку на наличие изменений

     Если этот параметр включен, программа периодически принудительно проверяет папку пополнения категорий на наличие изменений. Периодичность проверки в часах можно указать в поле ввода рядом с флажком. По умолчанию период принудительной проверки равен 24 часам.

     Если этот параметр выключен, принудительная проверка папки не выполняется. Сервер обращается к файлам в папке в случае их изменения, добавления или удаления.

     По умолчанию параметр выключен.

По завершении работы мастера создается категория исполняемых файлов. Она появится в списке категорий. Вы можете использовать категорию для настройки компонента Контроль программ.

Подробную информацию о Контроле программ см. в следующих разделах справки:

• Онлайн-справка Kaspersky Endpoint Security для Windows
• Онлайн-справка Kaspersky Endpoint Security для Linux
• Kaspersky Security для виртуальных сред Легкий агент
• Справка Kaspersky Embedded Systems Security для Windows
• Справка Kaspersky Embedded Systems Security для Linux

Просмотр списка категорий программ

Вы можете просмотреть список настроенных категорий исполняемых файлов и параметры каждой категории.

Чтобы просмотреть список категорий программ,

В главном окне программы перейдите в раздел Операции → Программы сторонних производителей → Категории программ.

Откроется страница со списком категорий.

Чтобы просмотреть свойства категории программ,

нажмите на имя категории.

Откроется окно свойств выбранной категории. Параметры сгруппированы на нескольких закладках.

Настройка компонента Контроль программ в политике Kaspersky Endpoint Security для Windows

После создания категорий для Контроля программ, вы можете использовать их для настройки Контроля программ в политиках Kaspersky Endpoint Security для Windows.

Чтобы настроить компонент Контроль программ в политике Kaspersky Endpoint Security для Windows:

1. В главном окне программы перейдите в раздел Устройства → Политики и профили политик.

   Отобразится страница со списком политик.

2. Нажмите на политику Kaspersky Endpoint Security для Windows.

   Откроется окно свойств политики.

3. Перейдите в раздел Параметры программы → Контроль безопасности → Контроль программ.

   Отобразится окно Контроль программ с параметрами компонента Контроль программ.

4. Параметр Контроль программ включен по умолчанию. Убедитесь, что переключатель Контроль программ Выключен переведен в неактивное положение.
5. В блоке Параметры Контроля программ включите режим работы с применением правил Контроля программ и разрешите Kaspersky Endpoint Security для Windows блокировку запуска программ.

   Если вы хотите протестировать правила Контроля программ, в разделе Параметры Контроля программ, включите тестовый режим. В тестовом режиме Kaspersky Endpoint Security для Windows не блокирует запуск программ, но фиксирует информацию о сработавших правилах в отчете. Перейдите по ссылке Просмотреть отчет для просмотра этой информации.

6. Включите параметр Управление загрузкой модулей DLL, если вы хотите, чтобы программа Kaspersky Endpoint Security для Windows контролировала загрузку модулей DLL при запуске программ пользователями.

   Информация о модуле и программе, которая загрузила модуль, будет сохранена в отчете.

   Kaspersky Endpoint Security для Windows контролирует только DLL модули и драйверы, которые были загружены после того, как параметр Управление загрузкой модулей DLL был включен. Перезагрузите устройство после выбора параметра Управление загрузкой модулей DLL, если вы хотите, чтобы программа Kaspersky Endpoint Security для Windows контролировала все модули и драйверы DLL, включая те, которые были загружены до запуска Kaspersky Endpoint Security для Windows.

7. (Если требуется.) В блоке Шаблоны сообщений измените шаблон сообщения, которое отображается, когда программа заблокирована для запуска, и шаблон сообщения электронной почты, которое отправляется вам.
8. В блоке параметров Режим Контроля программ выберите режим Список запрещенных или Список разрешенных.

   По умолчанию выбран режим Список запрещенных.

9. Перейдите по ссылке Параметры списков правил.

   Откроется окно Списки запрещенных и разрешенных, в котором можно добавить категорию программ. По умолчанию отображается закладка Список запрещенных, если выбран режим Список запрещенных или отображается закладка Список разрешенных, если выбран режим Список разрешенных.

10. В окне Списки запрещенных и разрешенных нажмите на кнопку Добавить.

    Откроется окно Правило Контроля программ.

11. Перейдите по ссылке Пожалуйста, выберите категорию.

    Откроется окно Категории программ.

12. Добавьте категорию программ (или категории), которые вы создали ранее.

    Вы можете изменить параметры категории, нажав на кнопку Изменить.

    Вы можете создать категорию, нажав на кнопку Добавить.

    Вы можете удалить категорию, нажав на кнопку Удалить.

13. После того как формирование списка категорий программ завершено, нажмите кнопку ОК.

    Окно Категории программ закрывается.

14. В окне правил Контроль программ в разделе Субъекты и их права создайте список пользователей и групп пользователей, чтобы применить к ним правила Контроля программ.
15. Нажмите на кнопку ОК, чтобы сохранить параметры и закрыть окно Правило Контроля программ.
16. Нажмите на кнопку ОК, чтобы сохранить параметры и закрыть окно Списки запрещенных и разрешенных.
17. Нажмите на кнопку ОК, чтобы сохранить параметры и закрыть окно Контроль программ.
18. Закройте окно с параметрами политики Kaspersky Endpoint Security для Windows.

Компонент Контроль программ настроен. После распространения политики на клиентские устройства запуск исполняемых файлов контролируется.

Подробную информацию о Контроле программ см. в следующих разделах справки:

• Онлайн-справка Kaspersky Endpoint Security для Windows
• Онлайн-справка Kaspersky Endpoint Security для Linux
• Kaspersky Security для виртуальных сред Легкий агент
• Справка Kaspersky Embedded Systems Security для Windows
• Справка Kaspersky Embedded Systems Security для Linux

Добавление исполняемых файлов, связанных с событием, в категорию программы

Развернуть все | Свернуть все

После настройки компонента Контроль программ в политиках Kaspersky Endpoint Security для Windows в списке событий могут отображаться следующие события:

• Запуск программы запрещен (Критическое событие). Это событие отображается, если вы настроили Контроль программ для применения правил.
• Запуск программы запрещен в тестовом режиме (Информационное событие). Это событие отображается, если вы настроили Контроль программ для применения правил в тестовом режиме.
• Сообщение администратору о запрете запуска программы (сообщение с уровнем важности Предупреждение). Это событие отображается, если вы настроили Контроль программ для применения правил, а пользователь запросил доступ к программе, которая заблокирована для запуска.

Рекомендуется создавать выборки событий для просмотра событий, связанных с компонентом Контроль программ.

Вы можете добавить исполняемые файлы, связанные с событиями Контроля программ, в существующую категорию программ или в новую категорию программ. Вы можете добавлять исполняемые файлы только в категорию программ пополняемую вручную.

Чтобы добавить исполняемые файлы, связанные с событиями компонента Контроль программ, в категорию программ:

1. В главном окне программы перейдите в раздел Мониторинг и отчеты → Выборки событий.

   Отобразится список выборок событий.

2. Выберите выборку событий, чтобы просмотреть события, связанные с Контролем программ, и запустите формирование этой выборки событий.

   Если вы не создали выборку событий, связанную с Контролем программ, вы можете выбрать и запустить предопределенную выборку, например, Последние события.

   Отобразится список событий.

3. Выберите события, связанные исполняемые файлы которых, вы хотите добавить в категорию программ, и нажмите на кнопку Назначить категорию.

   Запустится мастер создания категории. Для продолжения работы мастера нажмите на кнопку Далее.

4. На странице мастера укажите необходимые параметры:
   • В разделе Действие с исполняемым файлом, связанным с событием выберите один из следующих вариантов:
     • Добавить в новую категорию программ

       Выберите этот параметр, если вы хотите создать категорию программ на основе исполняемых файлов, связанных с событиями.

       По умолчанию выбран этот вариант.

       Если вы выбрали этот параметр, укажите имя новой категории.

     • Добавить в существующую категорию

       Выберите этот параметр, если вы хотите добавить исполняемые файлы, связанные с событиями, в существующую категорию программ.

       По умолчанию вариант не выбран.

       Если вы выбрали этот параметр, выберите категорию программ, пополняемую вручную, в которую вы хотите добавить исполняемые файлы.

   • В разделе Тип правила выберите один из следующих вариантов:
     • Правила для добавления в область действия
     • Правила для добавления в исключения
   • В разделе Параметр, используемый в качестве условия выберите один из следующих вариантов:
     • Данные сертификата (или SHA-256 для файлов без сертификата)

       Файлы могут быть подписаны сертификатом. При этом одним сертификатом могут быть подписаны несколько файлов. Например, разные версии одной программы могут быть подписаны одним сертификатом или несколько разных программ одного производителя могут быть подписаны одним сертификатом. При выборе сертификата в категорию может попасть несколько версий программы или несколько программ одного производителя.

       Каждый файл имеет свою уникальную хеш-функцию SHA256. При выборе хеш-функции SHA256 в категорию попадает только один соответствующий файл, например, заданная версия программы.

       Выберите этот вариант, если в правила категории необходимо добавить данные сертификата исполняемого файла или хеш-функцию SHA256 для файлов без сертификата.

       По умолчанию выбран этот вариант.

     • Данные сертификата (файлы без сертификата пропускаются)

       Файлы могут быть подписаны сертификатом. При этом одним сертификатом могут быть подписаны несколько файлов. Например, разные версии одной программы могут быть подписаны одним сертификатом или несколько разных программ одного производителя могут быть подписаны одним сертификатом. При выборе сертификата в категорию может попасть несколько версий программы или несколько программ одного производителя.

       Выберите этот вариант, если в правила категории необходимо добавить данные сертификата исполняемого файла. Если у исполняемого файла нет сертификата, то такой файл будет пропущен. Информация о нем не будет добавлена в категорию.

     • Только SHA-256 (файлы без хеша пропускаются)

       Каждый файл имеет свою уникальную хеш-функцию SHA256. При выборе хеш-функции SHA256 в категорию попадает только один соответствующий файл, например, заданная версия программы.

       Выберите этот вариант, если в правила категории необходимо добавить только данные хеш-функции SHA256 исполняемого файла.

     • Только MD5 (для совместимости с Kaspersky Endpoint Security 10 Service Pack 1)

       Каждый файл имеет свою уникальную хеш-функцию MD5. При выборе хеш-функции MD5 в категорию попадает только один соответствующий файл, например, заданная версия программы.

       Выберите этот вариант, если в правила категории необходимо добавить только данные хеш-функции MD5 исполняемого файла. Вычисление хеш-функции MD5 поддерживается для версий Kaspersky Endpoint Security 10 Service Pack 1 для Windows и ниже.

5. Нажмите на кнопку ОК.

После завершения работы мастера исполняемые файлы, связанные с событиями Контроля программ, добавляются в существующую категорию программ или в новую категорию программ. Вы можете просмотреть параметры категории программ, которую вы изменили или создали.

Подробную информацию о Контроле программ см. в следующих разделах справки:

• Онлайн-справка Kaspersky Endpoint Security для Windows
• Онлайн-справка Kaspersky Endpoint Security для Linux
• Kaspersky Security для виртуальных сред Легкий агент
• Справка Kaspersky Embedded Systems Security для Windows
• Справка Kaspersky Embedded Systems Security для Linux