Закрываем доступ к usb kaspersky security center

23.04.2019

22.05.2015 Владимир Безмалый

Запрет запуска приложений со сменных носителей с помощью установленного корпоративного решения «Лаборатории Касперского»

На небольших предприятиях, использующих защитные решения без единого центра управления, периодически встает вопрос проверки запуска программ. Что имеется в виду? Запуск конкретных программ и приложений тем или иным пользователем, необходимость блокирования игр, несанкционированно установленных браузеров и т. д. Одной из подобных задач, в первую очередь касающихся соблюдения режима безопасности, является запрет запуска приложений со сменных носителей. Для этого предусмотрен целый ряд решений. Мы рассмотрим решение данной задачи с помощью установленного корпоративного решения «Лаборатории Касперского».

Запрет запуска приложений со сменных носителей для всех пользователей

Откройте основное окно программы Kaspersky Endpoint Security 10 для Windows (KES 10) и перейдите на вкладку «Настройка» (см. экран 1).

Экран 1. Окно настройки параметров KES 10

Выберите слева раздел «Контроль запуска программ». На вкладке «Настройка» не забудьте установить флажок «Включить контроль запуска программ». В противном случае по умолчанию функция будет отключена. Чтобы добавить правило контроля, выполните следующие действия:

Нажмите кнопку «Добавить». Откроется окно «Правило контроля запуска программ».
Создайте параметры правила:

а) в поле «Название» введите название правила, например «Сменные носители»;

б) в таблице «Включающие условия» сформируйте список включающих условий срабатывания правила контроля запуска программ (в нашем случае включите «Условие по носителю файла» (см. экран 2);

в) задайте список пользователей или групп пользователей, которым разрешено запускать программы, удовлетворяющие включающим условиям срабатывания правилам. В нашем случае удалите список «Все», нажав на кнопку «Удалить»;

г) задайте список пользователей, которым запрещено запускать программы, удовлетворяющие включающим условиям срабатывания правила. В нашем случае «Все». Если хотите, предоставьте разрешение на запуск локальному администратору.

Учтите, что правило не контролирует запуск программ пользователями или группами пользователей, которые не указаны в полях для разрешения и запрета запуска программ.

После выполнения перечисленных выше действий при попытке запуска пользователем программы со сменного носителя появится предупреждение, показанное на экране 3.ё

Если вы хотите запретить использование игр, это правило можно задать с помощью так называемых KL-категорий.

Однако больше всего хлопот вызывает применение различных браузеров и особенно их обновление. Так как проще всего, на мой взгляд, в корпоративной среде обновить Internet Explorer, создадим правило, которое будет разрешать запуск Internet Explorer, но запрещать применение всех остальных браузеров. Для этого сформируем правило, выполнив следующие шаги:

Выберем категорию Запрет всех браузеров (из списка KL-категория) (см. экран 4).
Исключение составляет Internet Explorer (см. экран 5).

Итак, нам без труда удалось запретить нежелательные браузеры в организации. Ну и напоследок закроем доступ к играм.

Запрет доступа к играм

Создадим по аналогии с браузерами запрет на использование игровых программ в организации. Выбираем программы из категории «Развлечения», подкатегория «Игры» (см. экран 7).

Как видите, создание запрета на игры аналогично предыдущему запрету на браузеры.

Безусловно, существует немало программ для контроля запуска тех или иных продуктов, и бездумное их применение может не только не улучшить, а даже ухудшить защиту вашей сети и уж тем более микроклимат в коллективе.

Перед тем как создавать те или иные правила контроля запуска программ, я бы рекомендовал вначале составить «матрицу ролей» ваших пользователей (то есть какой пользователь выполняет ту или иную задачу и, соответственно, нуждается в том или ином программном обеспечении). Исходя из этого следует определить необходимый минимум программного обеспечения и уже затем закрывать все остальное. Почему минимум? Во-первых, программное обеспечение стоит денег. Во-вторых, чем больше сторонних программ установлено на рабочем месте, тем выше вероятность ошибок пользователя. Ну и, наконец, чем больше на рабочем месте сторонних программ, тем выше риск проникновения в систему через уязвимые места в той или иной программе. А все это будет отрицательно сказываться как на производительности ваших сотрудников, так и на общем уровне безопасности организации.

Задача: Необходимо на ключевом компьютере организации настроить политику запуска программ по белому списку, т.е. запуск всех программ запрещен кроме “белого списка”.
Сразу скажу, что без танцев с бубном решить проблему не удавалось. Да и в принципе до конца так и не решилась.
На данном этапе пока вижу два минуса:
Первый- при загрузке Windows Касперский грузиться не сразу и есть интервал в течении которого можно запустить ПО, которое не в “белом списке”.
Второй - добавление ПО в “белый список”. Добавление происходит по хешу файла или просто указывается разрешенный каталог. Просто по имени файла не работает, не знаю почему. В данный момент общаюсь по этому поводу с ТП Касперского, решение пока никакого нет.
Итак, начнем
Имеем на клиентской машине Kaspersky Endpoint Security 10.
1. Запускаем Kaspersky Security Center на Сервере, заходим в созданную группу “Контроль запуска программ”, переходим на закладку политики
2. Открываем политику
3. Выбираем Контроль рабочего места - Контроль запуска программ. В правой части ставим галку напротив Контроль запуска программ

4. Далее закрываем политику
5. Идем в раздел “Управление программами” - Категории программ

6. Сверху “Создать категорию” - Тип категории (пополняемая вручную категория)
7. Вводим название категории
8. Добавить - Из свойства файла
9. Получить данные - Из файла 10. Выбираем файл exe (я взял для примера Excel . exe )
11. Ставим переключатель на Хеш файла и ОК.
П.С. Если оставить на метаданных и прописать просто имя файла, то не работает. Проблема пока не решена. 12. В разделе Категории программ появится наша категория test
13. Далее заходим в созданную группу “Контроль запуска программ”, переходим на закладку политики
14. Открываем политику
15. Выбираем Контроль рабочего места - Контроль запуска программ
16. Разрешить Все ставим ВЫКЛ
17. Нажимаем +Добавить и добавляем нашу категорию test , Пользователи- Все, галочка - Доверенные программы обновления и OK .
18. Желательно перегрузить клиентский ПК, чтоб политика активировалась. Можно и не перегружать, тогда необходимо подождать. Но для 100% уверенности я перегружал.

Выводы: В принципе на этом все. Решить данную проблему можно и через групповые политики AD , что скорее всего более разумно т.к. фильтр по exe файлу в Касперском не работает пока. А если исключать по хешу файла, то тогда использовать Касперский. Ну и пришлось обновить на клиентской машине Касперского до последней версии чтоб хоть как то контроль заработал. Без обновления вообще не работало никак.

П.С. после обновления на клиентской машине необходимо запустить утилиту

Данный материал, был подготовлен для специалистов, занимающихся управлением антивирусной защиты и безопасности на предприятии.

На этой странице описан и разобран наиболее интересный функционал последних версий Kaspersky Endpoint Security 10 и центральной консоли управления Kaspersky Security Center 10.

Информация была подобрана исходя из опыта общения специалистами компании НоваИнТех, с системными администраторами, начальниками ИТ-отделов и отделов безопасности организаций, которые только переходят на антивирусную защиту Касперского, либо проходят процесс перехода с использования 6-ой версии антивируса на клиентских компьютерах и консоли управления Administration Kit 8. В последнем случае, когда антивирусная защита от Лаборатории Касперского уже используется, так же часто встречается не знание ИТ-специалистами самых интересных моментов в работе новых версий продуктов, которые реально помогают облегчить жизнь этим же ИТ-специалистам, и одновременно с этим повысить уровень безопасности и надежности.

Прочитав эту статью, и посмотрев видеоролики, Вы сможете кратко ознакомиться с наиболее интересным функционалом, который предоставляет последняя версия консоли управления Kaseprky Security Center и Kaspersky Endpoint Security и увидеть, как это работает.

1. Установка сервера администрирования Kaspersky Security Center 10.

Необходимые дистрибутивы Вы сможете найти на официальном сайте Лаборатории Касперского:

ВНИМАНИЕ! В дистрибутив полной версии Kaspersky Security Center уже входит дистрибутив Kaspersky Endpoint Security последней версии.

В первую очередь хотелось бы рассказать о том, с чего же начать установку антивирусной защиты от Лаборатории Касперского: Не с самих антивирусов на клиентских компьютерах, как это может показаться с первого взгляда, а с установки сервера администрирования и центральной консоли управления Kaspesky Security Center (KSC). С помощью этой консоли, Вы сможете развернуть антивирусную защиту на всех компьютерах Вашего учреждения значительно быстрее. В этом видео Вы увидите, что после установки и минимальной настройки сервера администрирования KSC, появляется возможность создать установщик антивирусного решения для клиентских компьютеров, который сможет поставить даже совсем неподготовленный пользователь (я думаю у каждого администратора есть такие "пользователи") - интерфейс установки содержит всего 2 кнопки - "Установить" и "Закрыть".

Сам сервер администрирования можно поставить на любой компьютер, который включен всегда или же максимально доступен, этот компьютер должен быть виден другими компьютерами в сети, и для него очень важно наличие доступа в Интернет (для скачивания баз и синхронизации с облаком KSN).

Посмотрите видео, даже если раньше Вы устанавливали центральную консоль, но предыдущих версий - возможно Вы услышите и увидите что-то новое для себя...

ПОНРАВИЛОСЬ ВИДЕО?
Мы так же занимаемся поставкой продуктов Касперского . И даже больше - осуществляем техническую поддержку. Мы заботимся о наших клиентах.

2. Настройка централизованного управления на компьютерах с уже установленным Касперским.

Часто встречается, что в небольших организациях, системные администраторы устанавливают и настраивают антивирусную защиту на каждый компьютер вручную. Таким образом время, которое они тратят на обслуживание антивирусной защиты, увеличивается и им не хватает время для каких-то более важных задач. Встречаются случаи, когда администраторы, просто из-за нехватки времени, элементарно не знают о том, что в корпоративных версиях антивирусной защиты от Лаборатории Касперского, вообще есть централизованное управление, и не знают того, что за это чудо цивилизации, ничего не нужно платить.

Для того, что бы "связать" уже установленные клиентские антивирусы с сервером администрирования, нужно совсем немногое:

Установить сервер администрирования (Первый раздел данной статьи).
Установить на все компьютеры агент сервера администрирования (NetAgent) - о вариантах установки, я расскажу в ниже приложенном видео.
После установки агента сервера администрирования, компьютеры, в зависимости от Ваших настроек, будут либо в разделе "Не распределенные компьютеры", либо в разделе "Управляемые компьютеры". Если компьютеры будут в "Не распределенных компьютерах" - их нужно будет перенести в "Управляемые компьютеры" и настроить политику, которая будет на них распространяться.

После этих действий Ваши компьютеры будут видны Вам из центральной консоли, пользователи уже не смогут хозяйничать с установленными на их машинах антивирусами и как следствие - меньше заражений и меньше головной боли администратору.

В ниже приведенном видео, я постараюсь описать сценарии установки NetAgent-ов на клиентские компьютеры, в зависимости от того, как устроена Ваша сеть.

– это «нерадивый юзер» (пользователь). И одна из наиболее распространённых проблем - это использование на рабочих компьютерах сторонних носителей информации, которые могут содержать вредоносные файлы, фишинговые программы и т.п. Вред, наносимый корпоративной сети и организации в целом, - трудно предугадать (это же относиться и к небольшим домашним локальным сетям).

Большинство организаций успешно борются с этим «злом», используя сторонние программные обеспечения, и в этой статье речь пойдёт как раз о подобной программе от Лаборатории Касперского - «Kaspersky Endpoint Security 8». Функционал программы не ограничивается только контролем внешних устройств, но здесь мы рассматриваем именно данный аспект.

Итак, что же можно заблокировать с помощью данной программы:

- внешние usb носители;
- мобильные телефоны;
- жесткие диски;
- модемы;
- принтеры;
- Bluetooth устройства;
- картридеры ;
- смарт–часы и многое другое.

Как и для любого ограничения возможностей пользователя, требуется наличие учётной записи администратора, в которой и будут проходить все необходимые изменения и настройки.

Как настроить контроль устройств на компьютере?

Запустите «Kaspersky Endpoint Security » и перейдите в раздел «Контроль рабочего места», далее «Контроль устройств» и поставьте галочку на пункте «Включить контроль устройств».

Блокировать подключаемые устройства можно следующим путем:

Блокировка по «Типу устройств», сюда входят: жесткие диски, съёмные диски, принтеры, устройства для чтения смарт-карт и т.д.
или по «Шине подключения»: «USB », «FireWire », «Infra Red », «Serial Port », «Parallel Port ».

Остановимся на примере контроля и блокировки съемных usb устройств, так называемых флешек :

Напротив строки «Съёмные диски» в столбце «Доступ» нажмите на кнопку «Параметры контроля устройств», выберите «Запрещать» и нажмите «ОК»;

Теперь при попытке открыть какой–либо съёмный носитель, будет открываться окно с уведомлением об отсутствии доступа к данному диску.

Аналогично проводится настройка по блокировке всех остальных типов подключаемых устройств.

Блокировка может быть временной и для определённых пользователей: настраивается это в том же разделе, однако требуется внести следующие изменения:

Выделите кликом строку «Съёмные диски» и нажмите на кнопку «Изменить»;

В открывшемся окне «Настройка правила доступа к устройствам типа Съёмные диски» можно добавить пользователя или группу пользователей, для которых применяется данное правило, установить расписание на блокировку чтения или записи (или и того и другого).

Теперь - в зависимости от выбранного правила - при нарушении будет появляться уведомление о запрете противоправных действий.

Стоит повторить, что учётные записи пользователей не должны обладать правом на запуск и внесение изменений в программу. Всё необходимые манипуляции можно произвести с помощью «Локальной политики безопасности».

При соблюдении всех правил корпоративная сеть (или домашняя - не важно) будет в относительной безопасности от угроз, переносимых с помощью сторонних устройств.

Как оказалось, далеко не все читатели хотят, а главное, умеют читать и понимать документацию на продукты, более того, большая часть из них устанавливает Kaspersky Endpoint Security с настройками по умолчанию и в дальнейшем использует данный продукт исключительно как антивирус. Я уже писал неоднократно, что данный продукт на самом деле гораздо шире и мощнее.

Сегодня мы с вами попробуем поговорить о блокировании сайтов по категориям, то есть, например, как заблокировать социальные сети.

Поставлена задача блокировать определенные типы сайтов.

Эта задача относится к категории Веб-контроль, поэтому в данной статье мы и будем говорить исключительно о данной технологии.

Задача Веб-контроля - фильтровать доступ пользователей к ресурсам Интернет согласно внутренней политике организации. Обычно это означает блокирование сайтов социальных сетей, музыки и видео, некорпоративной веб-почты, и т.п. в рабочее время. Если пользователь захочет обратиться к такому серверу, он получит уведомление о блокировке, или предупреждение о нежелательности доступа к нему - в зависимости от настроек политики.

Принцип работы Веб-контроля аналогичен принципу работы многих сетевых экранов. Администратор создает набор правил, которые могут быть блокирующими или разрешающими. В правилах указываются пользователи, расписание, тип содержимого и выполняемое действие. Применяются правила в заданном администратором порядке, и срабатывает первое, применимое к запрошенной странице. На самом последнем месте стоит универсальное правило разрешать всем все.

Проверяется только HTTP и HTTPS-трафик.

Критерии блокирования

Запрещать или разрешать доступ можно непосредственно по URL. При этом можно использовать маски.

Кроме этого, KES умеет анализировать содержимое веб-страниц (при работе по HTTP). В результате сайт относится к одной из существующих категорий:

Для взрослых
Программное обеспечение, аудио, видео
Алкоголь, табак, наркотические и психотропные вещества
Насилие
Нецензурная лексика
Оружие, взрывчатые вещества, пиротехника
Азартные игры, лотереи, тотализаторы
Средства интернет-коммуникации
Электронная коммерция
Поиск работы
Переадресация HTTP-запросов
Компьютерные игры
Религии, религиозные объединения
Новостные ресурсы
Баннеры

или определен как:

Видео
Звуковые данные
Файлы офисных программ
Исполняемые файлы
Архивы
Графические файлы

В случае защищенных соединений (HTTPS) Kaspersky Endpoint Security не имеет доступа к содержимому трафика. Следовательно, HTTPs-трафик фильтруется только по адресам. Но это не мешает при блокировке социальных сетей, например, и запрещать https://facebook.com - этот адрес внесен в базы сигнатур как относящийся к социальным сетям.

Администратор может ограничить показ любой из перечисленных категорий или типов данных, но редактировать их или добавлять новые нельзя.

Создавая правило, можно комбинировать фильтрацию по категориям и типам данных: например, блокировать файлы офисных программ и архивы, полученные только через веб-почту.

Для определения принадлежности к категориям используется база известных адресов (в папке с обновлениями это файлы pc*.dat), и эвристический анализ содержимого страниц (только для незащищенных соединений). Кроме того, репутация страницы может быть получена из KSN.