Voorgedefinieerde regels configureren

• Er zijn patronen van een mogelijke brute-force aanval in het systeem.
• Er is een ongewone activiteit gedetecteerd tijdens een netwerk aanmeldsessie.
• Er zijn patronen van mogelijk misbruik van Windows-gebeurtenislogboek.
• Ongewone acties gedetecteerd in naam van een nieuwe geïnstalleerde service.
• Ongewone aanmelding die expliciete referenties gebruikt gedetecteerd.
• Er zijn patronen van een mogelijke Kerberos vervalste PAC (MS14-068) aanval in het systeem.
• Verdachte wijzigingen gedetecteerd in de bevoorrechte ingebouwde Beheerders groep.

1. Klik op de knop Instellingen onder de regel.
2. Geef in het geopende venster het aantal pogingen en een tijdsperiode waarbinnen pogingen om een wachtwoord in te voeren moeten worden uitgevoerd om de regel te activeren.
3. Klik op OK.

1. Klik op de knop Instellingen onder de regel.
2. Specificeer in het blok Netwerk aanmeld detectie het begin en het einde van het tijdsinterval.

   Kaspersky Endpoint Security beschouwt aanmeldingspogingen die tijdens dit gedefinieerde interval worden uitgevoerd als abnormale activiteit.

   Het interval is standaard niet ingesteld en het programma controleert de aanmeldingspogingen niet. Stel het interval in op 12:00 - 23:59 zodat het programma voortdurend aanmeldingspogingen controleert. Het begin en het einde van het interval mogen niet samenvallen. Als ze hetzelfde zijn, controleert de toepassing de aanmeldingspogingen niet.

3. Maak de lijst met vertrouwde gebruikers en vertrouwde IP-adressen (IPv4 en IPv6).

   U kunt gebruikers selecteren in Active Directory, in de lijst van accounts in Kaspersky Security Center, of door handmatig een lokale gebruikersnaam in te voeren. Kaspersky raadt aan om locale gebruikersaccounts alleen in speciale gevallen te gebruiken, wanneer het niet mogelijk is om domeingebruikersaccounts te gebruiken. Kaspersky Endpoint Security controleert geen aanmeldingspogingen van deze gebruikers en computers.

4. Klik op OK.

U ziet nu het venster met de beleidseigenschappen.

• There are patterns of a possible brute-force attack in the system.
• There is an atypical activity detected during a network logon session.
• There are patterns of a possible Windows Event Log abuse.
• Atypical actions detected on behalf of a new service installed.
• Atypical logon that uses explicit credentials detected.
• There are patterns of a possible Kerberos forged PAC (MS14-068) attack in the system.

1. Suspicious changes detected in the privileged built-in Administrators group.

1. Klik op Settings onder de regel.
2. Geef in het geopende venster het aantal pogingen en een tijdsperiode waarbinnen pogingen om een wachtwoord in te voeren moeten worden uitgevoerd om de regel te activeren.
3. Klik op OK.

1. Klik op Settings onder de regel.
2. Specificeer in het blok Network logon detection het begin en het einde van het tijdsinterval.

   Kaspersky Endpoint Security beschouwt aanmeldingspogingen die tijdens dit gedefinieerde interval worden uitgevoerd als abnormale activiteit.

   Het interval is standaard niet ingesteld en het programma controleert de aanmeldingspogingen niet. Stel het interval in op 12:00 - 23:59 zodat het programma voortdurend aanmeldingspogingen controleert. Het begin en het einde van het interval mogen niet samenvallen. Als ze hetzelfde zijn, controleert de toepassing de aanmeldingspogingen niet.

3. In het blok Exclusions, voeg vertrouwde gebruikers en vertrouwde IP-adressen toe (IPv4 en IPv6).

   U kunt gebruikers selecteren in Active Directory, in de lijst van accounts in Kaspersky Security Center, of door handmatig een lokale gebruikersnaam in te voeren. Kaspersky raadt aan om locale gebruikersaccounts alleen in speciale gevallen te gebruiken, wanneer het niet mogelijk is om domeingebruikersaccounts te gebruiken. Kaspersky Endpoint Security controleert geen aanmeldingspogingen van deze gebruikers en computers.

4. Klik op OK.

• Er zijn patronen van een mogelijke brute-force aanval in het systeem.
• Er is een ongewone activiteit gedetecteerd tijdens een netwerk aanmeldsessie.
• Er zijn patronen van mogelijk misbruik van Windows-gebeurtenislogboek.
• Ongewone acties gedetecteerd in naam van een nieuwe geïnstalleerde service.
• Ongewone aanmelding die expliciete referenties gebruikt gedetecteerd.
• Er zijn patronen van een mogelijke Kerberos vervalste PAC (MS14-068) aanval in het systeem.

1. Verdachte wijzigingen gedetecteerd in de bevoorrechte ingebouwde Beheerders groep.

1. Klik op Instellingen onder de regel.
2. Geef in het geopende venster het aantal pogingen en een tijdsperiode waarbinnen pogingen om een wachtwoord in te voeren moeten worden uitgevoerd om de regel te activeren.

1. Klik op Instellingen onder de regel.
2. Specificeer in het blok Netwerk logon detectie het begin en het einde van het tijdsinterval.

   Kaspersky Endpoint Security beschouwt aanmeldingspogingen die tijdens dit gedefinieerde interval worden uitgevoerd als abnormale activiteit.

   Het interval is standaard niet ingesteld en het programma controleert de aanmeldingspogingen niet. Stel het interval in op 12:00 - 23:59 zodat het programma voortdurend aanmeldingspogingen controleert. Het begin en het einde van het interval mogen niet samenvallen. Als ze hetzelfde zijn, controleert de toepassing de aanmeldingspogingen niet.

3. In het blok Uitzonderingen, voeg vertrouwde gebruikers en vertrouwde IP-adressen toe (IPv4 en IPv6).

   U kunt gebruikers selecteren in Active Directory, in de lijst van accounts in Kaspersky Security Center, of door handmatig een lokale gebruikersnaam in te voeren. Kaspersky raadt aan om locale gebruikersaccounts alleen in speciale gevallen te gebruiken, wanneer het niet mogelijk is om domeingebruikersaccounts te gebruiken. Kaspersky Endpoint Security controleert geen aanmeldingspogingen van deze gebruikers en computers.