Řízení spouštění programů Kaspersky Security Center 10

Řízení spouštění programů Kaspersky Security Center 10

O zasraných protokolech v Kaspersky. Na toto téma se vyjádřil naprosto správně. ra1aie : „Říkám, že KSC/KES by měl přijít s tlumočníkem log, no, jako kniha snů nebo tak něco... „Pokud se vám zdálo o mrtvé rybě, je to velká katastrofa. Pokud je v instalačních protokolech odmítnuto uživatelem, znamená to Windows 8"

Ale poslední trik mě ukončil.
Lidé, řekněte mi, jsem příliš vybíravý?

Security Center 9 je nasazeno v naší infrastruktuře Minulý týden jsem nasadil 10 u svých sousedů. Ne, v zásadě stále chápu proč instalační balíčky přesunuto z „úložišť“ do „ vzdálená instalace To je pravděpodobně opravdu pohodlné, i když stále neexistuje způsob, jak stahovat balíčky přímo z konzole.

Ale proboha vysvětlete, proč okno vlastností zásad v 9 vypadá takto:

Pokud někdo nerozumí - všechno je tam, řízení činnosti programu - tady to je, jako ve skutečnosti.

A stejné okno v 10 - takto:

Řekněte mi, je normální a intuitivní, že ovládání na pracovišti je ve výchozím nastavení povoleno v zásadách, ale mezitím se v zásadách nezobrazuje?
A abyste mohli vrátit celý displej, musíte umístit kurzor na „Administrační server“, přejít do zobrazení (!), spustit nastavení rozhraní a zaškrtnout všechna potřebná políčka?

Mimochodem, to samé ve verzi 9 bezpečnostní centrum vypadá takto:

Ano, podle mě je to taky kravina - nemožnost vidět a konfigurovat hierarchii serveru, protože pohled je standardně kastrovaný. Ale dobře, rozumím tomu, ne každý má podřízené servery. Ale mávám vám, změny zásad, a dokonce i ta, která je ve výchozím nastavení nastavena na „zapnuto“, jsou zásadní pro všechny!

Úkol: Nezbytný pro klíčový počítač organizaci nakonfigurovat politiku pro spouštění programů podle bílé listiny, tzn. spouštění všech programů je zakázáno kromě „ whitelist”.
Hned řeknu, že bez tance s tamburínou nebylo možné problém vyřešit. A v zásadě ještě nejsem úplně rozhodnutý.
Na v této fázi Zatím vidím dvě nevýhody:
První je při načítáníWindowsKaspersky se nenačte okamžitě a existuje interval, během kterého můžete spustit software, který není na „bílé listině“.
Druhým je přidání softwaru na „bílou listinu“. Přidání se provádí pomocí hash souboru nebo jednoduše zadáním povoleného adresáře. Jen podle názvu souboru to nefunguje, nevím proč. V momentálně Komunikuji o tom s Kaspersky TP, ale zatím neexistuje žádné řešení.
Tak začněme
Máme na klientský stroj Kaspersky Koncový bod Zabezpečení 10.
1. Spusťte Kaspersky Security Center na serveru, přejděte do vytvořené skupiny „Řízení spouštění aplikací“, přejděte na kartu zásad
2. Otevření zásad
3. Vyberte Workplace Control - Program Launch Control. Na pravé straně zaškrtněte políčko vedle položky Řízení spouštění programu

4. Dále zavřete zásady
5. Přejděte do sekce „Správa programů“ – Kategorie programů

6. V horní části „Vytvořit kategorii“ – Typ kategorie (ručně aktualizovaná kategorie)
7. Zadejte název kategorie
8. Přidat - Z vlastností souboru
9. Získat data - Ze souboru10. Vyberte souborexe(vzal jsem jako příkladVynikat. exe)
11. Nastavte přepínač na File Hash a OK.
P.S. Pokud to necháte na metadatech a napíšete pouze název souboru, nebude to fungovat. Problém dosud nebyl vyřešen.12. Naše kategorie se objeví v sekci Programové kategorietest
13. Dále přejděte do vytvořené skupiny „Řízení spouštění aplikací“, přejděte na kartu Zásady
14. Otevření zásad
15. Vyberte Workplace Control - Program Launch Control
16. Povolit vše nastaveno na VYPNUTO
17. Klikněte na +Přidat a přidejte naši kategoriitest, Uživatelé - Všichni, zaškrtnutí - Důvěryhodné programy aktualizace aOK.
18. Aby se politika aktivovala, je vhodné restartovat klientský počítač. Nemusíte se přetěžovat, pak musíte počkat. Ale abych si byl 100% jistý, přetížil jsem se.

Závěry: V zásadě je to vše. Rozhodnout tento problém Můžete také použít zásady skupinyINZERÁT, což je s největší pravděpodobností rozumnější, protože filtrovat podleexesoubor v Kaspersky zatím nefunguje. A pokud vyloučíte podle hash souboru, použijte Kaspersky. Musel jsem provést aktualizaci na klientském počítači Kaspersky nejnovější verzi aby alespoň nějaká kontrola fungovala. Bez aktualizace to vůbec nefungovalo.

P.S. po aktualizaci na klientském počítači musíte spustit nástroj

Nová etapa vývoje Řízení aplikací

Použití výchozího režimu odmítnutí znamená změnu priorit při výběru bezpečnostní politiky: od svobody jednání k pohodlí koncoví uživatelé směrem k provedení hlavním úkolem jakýkoli systém zabezpečení informací – minimalizuje riziko úniku a/nebo ztráty důležitých obchodních dat.

Nicméně dřívější realizace tvrdý režim kontrola spouštění a provádění aplikací vedla k vážným funkčním omezením, která téměř znemožňovala použití tohoto režimu. Vyžaduje vysoce kvalitní podporu pro režim Výchozí deny další funkce, bez jejichž implementace může přechod do tohoto režimu narušit normální práce firemní síť.

Systémoví administrátoři se při přechodu na Default Deny potýkají s řadou výzev, a aby jim řešení těchto problémů usnadnilo, musela kontrola aplikací jako hlavní komponenta, která spravuje aplikace v podnikové síti, projít výraznými změnami.

Použití režimu Default Deny tedy bylo možné až po implementaci následující funkce:

  • Inventář- shromažďování informací o veškerém softwaru nainstalovaném v podnikové síti - na všech počítačích a síťových prostředcích.
  • Kategorizace- rozdělení softwaru identifikovaného v síti na funkční skupiny: Komponenty OS, prohlížeče, multimédia, hry atd.
  • Konfigurace nebo Správa aplikací- zavedení omezení pro uživatele/skupiny uživatelů na spouštění a provádění aplikací určitých kategorií (ve skutečnosti definice bezpečnostních politik).
  • Dynamický seznam povolených- znalostní základnu o celé řadě softwaru vyráběného ve světě. Aktuální a pravidelně aktualizované informace o aplikacích, jejich reputaci, kategoriích a oblíbených/doporučených analogech. Jedná se o expertní data dodávaná výrobci bezpečnostních řešení.
  • Bezpečné mechanismy aktualizace softwaru- autonomní prostředky pro podporu pravidelných aktualizací oblíbeného softwaru, zbavující administrátory nutnosti opakovaně provádět únavnou proceduru identifikace a legalizace aplikací aktualizovaných v síti.
  • Podpora seznamů důvěryhodných uživatelů, zdrojů softwaru- sada nástrojů, která poskytuje správcům sítě, inženýrům informační bezpečnost jednoduché a pohodlnými způsoby legalizace softwaru. Zejména vytváření seznamů důvěryhodných síťové zdroje na internetu a v lokální podnikové síti (HTTP/FTP/Sdílené složky/atd.) - zdroje čistých aplikací, které je povoleno instalovat a používat.
  • - prostředky statické nebo dynamické detekce systémových kolizí, které vznikají při implementaci určitých bezpečnostních politik (nekompatibilita/nefunkčnost různé aplikace), v důsledku čehož může dojít k narušení obchodních procesů.
  • - nástroje pro řízení vznikajících incidentů, aby byl proces uživatelské údržby a podpory co nejjednodušší.
  • Monitoring a audit- vyvinuté nástroje pro shromažďování, agregaci a systematizaci zpráv.

Podívejme se na klíčovou součást Whitelist Security Approach – dynamickou databázi čisté soubory(Dynamický seznam povolených). Zájem o Dynamický Whitelist je dán nejen jeho technickými, ale i organizačními složkami, bez kterých nelze zajistit maximální efektivitu Whitelistové báze.

Dynamic Whitelist: dynamická softwarová znalostní báze

Co je základ dynamické bílé listiny? Toto je znalostní báze o celé řadě legitimního softwaru. S technický bod Dynamický Whitelist je obrovská databáze „čistých“ software, který je neustále aktualizován o nové distribuce, různé druhy souborů a hlavně - znalosti o těchto objektech. Kvalita a úplnost dat v těchto typech expertních datových zdrojů závisí na jejich dodavatelích. Přední společnosti, které samy vyrábějí bezpečnostní řešení, vytvářejí databáze Dynamic Whitelist.

Dynamický Whitelist je komponenta, která je vyžadována pro řešení ze tří ze sedmi úkolů, kterým čelí implementace Default Deny (viz tabulka výše). Je zřejmé, že kvalita řešení nabízeného dodavatelem bude přímo záviset na kvalitě znalostní báze v něm použité.

K vyřešení výše uvedených problémů musí databáze obsahovat:

  1. Základní informace o softwaru: výrobce, název produktu, nejnovější verze, další informace získané především z atributů samotných objektů.
  2. Rozšířené informace (odborné znalosti):
    • údaje o míře rizika - klasifikace softwaru, jeho reputace: důvěryhodný, nedůvěryhodný, pochybný atd.;
    • kategorie softwaru: systémový software, prohlížeče, hry, kancelářské aplikace atd.;
    • obchodně orientované aplikace: účetnictví a finance, marketing, HR, CRM, logistika atd.;
    • alternativní software - informace o softwarových analogech;
    • statistické údaje – například oblíbenost softwaru, jeho distribuce podle regionů atd.

Jaké další požadavky, kromě složení dat, jsou na takovéto znalostní báze kladeny?

Databáze Dynamic Whitelist musí být především dynamická, což se ostatně odráží i v jejím názvu. Každý den je vydáváno mnoho nových legitimních aplikací a aktualizací stávajícího softwaru, což znamená, že poskytovatelé bezpečnostních řešení musí okamžitě reagovat na jakékoli změny ve světě softwaru rychlou aktualizací svých znalostních bází. A za tímto účelem je nutné zajistit pravidelné a včasné doplňování čisté softwarové databáze z mnoha zdrojů různé regiony mír. A tato aktualizace musí proběhnout v automatický režim, koneckonců mluvíme o o gigantických objemech informací (terabajty dat za den). Pro tyto účely poskytovatelé databází Dynamic Whitelist nasazují na internetu tzv. crawlery – vyhledávací agenty, kteří sledují nový software a v případě potřeby stahují nové aplikace.

Pro zachování relevance databáze je také nutné vyvinout technologické partnerství prodejce s hlavních výrobců a distributoři softwaru (nezávislí dodavatelé softwaru). Účelem takového partnerství je přijímat, zpracovávat a analyzovat (klasifikovat a kategorizovat) nový software před jeho veřejným vydáním, aby se minimalizoval falešně pozitivní: případy nekompatibility mezi bezpečnostními řešeními a softwarem partnerského dodavatele.

Další možný zdroj doplňování databáze je globální informační síť vytvořená dodavatelem na základě komunity jeho uživatelů. Všimněte si, že taková informační síť je vážná konkurenční výhodu. Umožňuje vám sledovat metadata o softwaru běžícím na počítačích uživatelů a poskytuje znalostní bázi s informacemi o nových aplikacích a vydáních. různé aktualizace PODLE.

Společnost Kaspersky Lab má všechny uvedené součásti pro doplnění databáze Dynamic Whitelist. V současné době vyvinutý affiliate program, čítající několik stovek mezinárodních partnerů, desítky milionů účastníků po celém světě informační síť Kaspersky Bezpečnostní síť po celém světě, stejně jako rozsáhlá síť automatické vyhledávací agenty zajišťují průběžné doplňování dynamické znalostní báze společnosti Kaspersky Lab – v průměru o více než 1 milion nových souborů denně.

Kvalita dynamické databáze Whitelist společnosti Kaspersky Lab byla prokázána v nezávislém testu provedeném společností West Coast Labs. Podle výsledků testování naše databáze obsahuje informace o 94 % veškerého čistého softwaru vydaného na světě.

Všechny objekty vstupující do databáze Dynamic Whitelist je nutné pečlivě sledovat a hlavně udržovat jejich reputaci aktuální. Software, který lze dnes, zítra po bližší analýze označit za „čistý“, se totiž může ukázat jako nosič nebezpečného škodlivého kódu.

Je třeba poznamenat, že pravidelné skenování databáze Dynamic Whitelist je velmi netriviální úkol. Chcete-li to vyřešit, kromě automatickými prostředky pro zpracování a analýzu informací je nutný tým specializovaných odborníků schopných analyzovat v případě možných logických kolizí programový kód a učinit konečný verdikt. Malé společnosti nebo výrobci „zdarma“ antivirové produkty dovolit si takový oddaný antivirová laboratoř nemohou. Specifika zpracování malwaru a čistého softwaru se navíc liší. V ideálním případě by společnost měla mít nejen antivirovou laboratoř, ale také specializovanou laboratoř Whitelisting, která bude sledovat příchozí informační toky a zapojí se do školení inteligentní systémy a také okamžitě reagovat v případě nouze(Kaspersky Lab má takovou Whitelisting laboratoř).

Od teorie k praxi: Endpoint 10 Kaspersky Lab

Správci firemní sítě Provádějte složité, vysoce opakující se úkoly pro údržbu více pracovních stanic pro různé účely. Použití Whitelist Security Approach (výchozí režim Deny) zaručuje podstatně více vysoká úroveň zabezpečení v podnikové síti. Zároveň zavedení režimu Default Deny s jeho tuhý systém omezení vyžaduje implementaci v příslušných produktech seriózních automatizačních nástrojů pro úkoly, kterým správce čelí.

Zvažme, jak se provádí přechod od teorie k praxi na příkladu produktů této třídy Zabezpečení koncového bodu Kaspersky Lab, postupně po všech fázích životní cyklus od inventarizace softwaru po podnikovou síťovou podporu (po implementaci produktu).

Whitelist Security Approach byl poprvé implementován v Kaspersky Endpoint Security 8 pro Windows v roce 2011. V roce 2013 ročník Kaspersky Endpoint Security 10 pro Windows zavede ještě lepší funkce, včetně oblasti kontroly aplikací.


Fáze životního cyklu (výchozí odmítnutí)

  • Inventář. Na samém začátku, po instalaci produktu, musí správce provést automatickou inventuru veškerého softwaru nainstalovaného v podnikové síti. V rámci této úlohy Kaspersky Endpoint Security shromažďuje informace o veškerém softwaru nainstalovaném na síťových počítačích a síťových prostředcích.


    Výsledek inventarizace aplikací v zadaném adresáři

  • Kategorizace (automatická, na základě dynamické bílé listiny). Po dokončení inventury je veškerý software automaticky kategorizován - rozdělen do příslušných skupin podle pravidel obsažených v produktu (OS, multimédia, periferie, hry, prohlížeče atd.). Upozorňujeme, že ne všichni dodavatelé, kteří implementovali Řízení aplikací, mají tuto funkci. Cítili jsme však, že je to prostě nezbytné pro pohodlí správy obrovského množství softwaru nainstalovaného v podnikové síti. Proto jsme naši databázi Whitelist rozdělili do 16 kategorií nejvyšší úroveň a 96 kategorií listů (viz náš adresář kategorií).


    Katalog kategorií Kaspersky Lab

    K určení kritického důležité komponenty OS a ovladače Kaspersky Endpoint Security implementuje speciální kategorii souborů OS – Golden Image. Zahrnuje vše potřebné komponenty pro Win XP, Vista, Win7, Win8 (32 a 64) a více než 15 lokalizací pro každý (celkem více než 100 verzí a lokalizací). Administrátorovi stačí přidat do kategorie Golden Soubory obrázků z lokální databáze Whitelist - a konfigurace Default Deny je připravena.

  • Kategorizace (manuální). Je důležité vzít v úvahu, že bílý seznam jakéhokoli výrobce ochranné roztoky nemůže obsahovat informace o veškerém softwaru nainstalovaném v síti konkrétní společnosti. Společnosti si například často nechávají vyvíjet specializovaný proprietární software přímo na místě nebo na zakázku. V nový Kaspersky Endpoint Security 10 v Řízení aplikací má správce možnost vytvořit místní seznam povolených.

    Do Kaspersky Endpoint Security 10 byla přidána také funkce vícevektorové kategorizace. Tito. jedna aplikace může současně patřit do několika kategorií.


    Vlastní možnosti kategorizace souborů

  • Konfigurace. Kaspersky Endpoint Security vám umožňuje spravovat kategorizovaný software v závislosti na uživatelích a skupinách uživatelů. Můžete například povolit pouze účetnímu oddělení používat software v kategorii Účetnictví, takže nikdo jiný nebude mít přístup k finančním informacím společnosti.
    Právě v této fázi můžete omezit používání nelicencovaného a nesouvisejícího softwaru. To znamená například zakázat používání jakéhokoli softwaru, na který společnost nemá licence, nebo zakázat veškeré IM, kromě například Skype. Můžete také zakázat používání konkrétní verze Software například zakazuje všechny prohlížeče kromě specifikovaná verze Internet Explorer.
  • Bezpečné mechanismy aktualizace softwaru. Režim automatická aktualizace Software v Kaspersky Endpoint Security je poskytován technologií Trusted Updaters. Umožňuje vám implementovat zabezpečenou proceduru aktualizace produktu, která bere v úvahu složité řetězce programových volání prováděných během procesu aktualizace.
  • Testování a podpora zkušebního provozu. Vzhledem k tomu, že implementace přísných zásad v síti je docela zodpovědná záležitost, poskytli jsme speciální režim Testovací režim, který může správce použít k simulaci a vyhodnocení fungování libovolného pravidla. Skutečné blokování aplikace se nevyskytují v testovacím režimu, ale správce ze systémových zpráv vidí, co by se stalo, kdyby tento režim pracoval. To vám umožní provést příslušné úpravy pravidel před implementací boje, aniž by to vyvolalo negativní reakci uživatelů a aniž by došlo k narušení podnikových procesů společnosti. nesprávný provoz odladěná pravidla.
  • Zpětná vazba a podpora uživatelů. IT prostředí společnosti je dynamické, takže uživatel by měl mít vždy možnost požádat správce o povolení ke spuštění nového softwaru a správce by měl mít vždy možnost jednoduchým kliknutím tlačítka dovnitř pohodlné rozhraní odmítnout nebo povolit odpovídající požadavek. Náš produkt implementuje obě možnosti. Abychom zajistili flexibilitu i v režimu Default Deny, zavedli jsme možnost vyřizovat stížnosti uživatelů ze strany administrátora. Pokud je nějaká aplikace zablokována a uživatel se domnívá, že ji potřebuje, aby fungovala, stačí kliknout na tlačítko „Odeslat žádost“ a příslušné upozornění bude automaticky odesláno správci.


    Příklad zprávy, která je automaticky odeslána správce systému v případě zablokování spouštění aplikace

    Loni nezávislá zkušební laboratoře zintenzivnil novým směrem testování kontroly aplikací. Dvě společnosti okamžitě testovaly účinnost technologie Application Control pro ochranu před cílenými útoky a správu neoprávněného softwaru.
    Na začátku roku 2012 West Coast Labs zveřejnila zprávu o výsledcích prvního odvětví nezávislý test, kde technologie Kaspersky Lab obsadila první místo.
    Později také dirigoval Dennis Labs srovnávací testování a začátkem roku 2013 představila výsledek veřejnosti. Naše řešení získalo již podruhé za sebou nejvyšší hodnocení.

Závěr

Nárůst počtu a hlavně složitosti hrozeb nutí výrobce antivirového softwaru hledat nová řešení účinná ochrana firemní sítě. Nový přístup— Whitelist Security Approach — umožňuje spouštět a spouštět v systému pouze ověřený software z whitelistů. V souladu s tím je zakázáno spouštět jakýkoli neznámý nebo neautorizovaný software. V důsledku toho jakýkoli malware v systému to prostě nejde spustit. Tento přístup umožňuje poskytnout ochranu proti složitým a neznámé hrozby včetně cílených útoků.

Whitelist Security Approach je nová etapa ve vývoji technologie Application Control, doplněná implementací pokročilé podpory pro režim Default Deny, stejně jako inovativní technologie bílé seznamy (Dynamic Whitelist).

Implementace režimu zvýšená bezpečnost Default Deny vyžaduje implementaci dalších funkcí. Operační scénář Řízení aplikací by měl zahrnovat několik jednoduchých mechanismů, jako je inventář, kategorizace, konfigurace (Správa aplikací), flexibilní řízení místní zásady whitelistu a schopnost používat cloudová základna Dynamický Whitelist, který je schopen okamžitě reagovat na pravidelné změny ve světě softwaru. A taková funkčnost, jako je testování a podpora režimu zkušebního provozu, je nezbytná pro kompetentní přechod do režimu Default Deny.

Whitelist Security Approach pomáhá správci systému provádět řadu úkolů:

  • Řídit (povolit, zakázat, flexibilně omezit a auditovat) spouštění na pracovních stanicích čisté programy v souladu s bezpečnostní politikou společnosti.
  • Získejte odborné znalosti od poskytovatele řešení ohledně čistoty souborů z databáze Dynamic Whitelist.
  • Zajistěte normální provoz čistého a schváleného softwaru.
  • Spravujte kategorie softwaru, nikoli jednotlivé programy.
  • Ve fázi průmyslového provozu monitorujte, kontrolujte a reagujte na problémy vzniklé v důsledku zablokování jednoho nebo druhého softwaru.
  • Optimalizujte využití firemních IT zdrojů a zvyšte jejich produktivitu řízením používání softwaru třetích stran a nelicencovaného softwaru v síti.

Řízení aplikací v kombinaci s podporou Default Deny je výkonné a pohodlný nástroj, který správci systému zjednodušuje údržbu pracovních stanic v podnikové síti a zajišťuje její bezpečnost.

My ve společnosti Kaspersky Lab považujeme Whitelist Security Approach za jeden z klíčových nástrojů pro ochranu podnikových sítí budoucnosti. Zároveň věříme, že neexistuje žádný všelék ani jediná technologie, která by mohla poskytnout ochranu proti všem hrozbám. Proto je pro podnikové sítě vhodné použít výkonný koncový produkt, který kombinuje různé technologie ochrana. Pouze víceúrovňový systém ochrany a řízení může zajistit nejvyšší možnou úroveň ochrany podnikové sítě.
Autoři vyjadřují vděčnost Vladislavu Martyněnkovi za pomoc při přípravě kapitoly „Složení komponentů moderních bezpečnostních produktů“.



Oblíbené v kategorii:
Jak zkombinovat vrstvy ve Photoshopu do jedné nebo je spojit do skupiny Jak zkombinovat několik vrstev ve Photoshopu
Jak sloučit vrstvy ve Photoshopu do jedné nebo je spojit do skupiny...
číst
Přenos kontaktů do nového telefonu Android
Přenos kontaktů do nového telefonu Android
číst
Samsung Galaxy se restartuje sám – Solutions Galaxy note 4 se restartuje sám
Samsung Galaxy se sám restartuje – řešení Galaxy Note...
číst
Klíčové vlastnosti Kaspersky Rescue Disk
Klíčové vlastnosti Kaspersky Rescue Disk
číst

Nejnovější články
MacBook se nepřipojí k wifi MacBook nevidí...
číst
Jak vydělat peníze na WebMoney
číst
Tablet "Supra": recenze zákazníků
číst
Umístění lodí v reálném čase
číst
Nejlepší programy pro Android Záznam hovorů z...
číst
Odebírání nesledujících na Twitteru
číst
Připojení k internetu na notebooku: všechny možné...
číst
Samsung Galaxy S IV je nová vlajková loď...
číst
Nahoru