Некоторые действия обычных программ могут классифицироваться Kaspersky Total Security как опасные. Если Kaspersky Total Security блокирует работу программы, а вы уверены в ее безопасности, добавьте программу в список доверенных или создайте для нее правило исключений .
После добавления программы в список доверенных Kaspersky Total Security прекращает контролировать файловую и сетевую активность этой программы, а также ее обращения к реестру. При этом исполняемый файл программы по-прежнему продолжает проверятьсяна вирусы. Если вы хотите полностью исключить программу из проверки, создайте для нее правило исключений.
Чтобы добавить программу в список доверенных, выполните следующие действия:
- В окне Настройка перейдите в раздел Защита и выберите Угрозы и исключения .
- В окне Параметры угроз и исключений нажмите на ссылку Указать доверенные программы .
- В окне Доверенные программы нажмите на кнопку Добавить .
- Укажите исполняемый файл доверенного приложения, нажав на ссылку Обзор или выбрав программу из списка (отображаются запущенные в данный момент программы).
- В окне Исключения для программы
определите параметры применения правила, установив необходимые флажки:
- Не проверять открываемые файлы - исключать из проверки все файлы, которые открываются процессом доверенного приложения.
- Не контролировать активность программы Мониторинг активности любую активность (в том числе и подозрительную), которую выполняет доверенное приложение.
- Не наследовать ограничения родительского процесса (программы) - активность программы контролируется согласно правилам, заданным пользователем. Если флажок снят, программа подчиняется правилам программы, которая ее запустила.
- Не контролировать активность дочерних программ - исключать из проверки в рамках работы компонента Мониторинг активности любую активность (в том числе и подозрительную), которую выполняют дочерние процессы доверенного приложения.
- Разрешить взаимодействия с интерфейсом Kaspersky Total Security .
- Не проверять весь трафик - исключать из проверки на вирусы и спам сетевой трафик, инициируемый доверенным приложением. При установленном флажке Не проверять весь трафик НЕ проверяется трафик указанного приложения только на вирусы и спам . Однако это не влияет на проверку трафика компонентом Сетевой экран , в соответствии с параметрами которого анализируется сетевая активность данной программы.
- Для исключения из проверки только зашифрованного сетевого трафика нажмите на ссылку Не проверять весь трафик и выберите Не проверять зашифрованный трафик , таким образом будет выбран только зашифрованный трафик (с использованием протокола SSL/TSL )
- Кроме того, вы можете ограничить исключение конкретным удаленным IP-адресом / портом:
- Чтобы не проверять определенный IP-адрес, установите флажок Только для указанных IP-адресов , а затем введите в поле IP-адрес.
- Чтобы не проверять определенные порты, установите флажок Только для указанных портов ивведите в поле порты через запятую.
- В окне Исключения для программы нажмите на кнопку Добавить .
- Закройте окна программы.
В Kaspersky Total Security по умолчанию в доверенные программы с параметром Не проверять зашифрованный сетевой трафик добавлен файл %SystemRoot%\system32\svchost.exe - исполняемый файл системного сервиса Microsoft Windows Update . Защищенный трафик этого сервиса недоступен для проверки любому антивирусному ПО. В случае, если для этого сервиса не будет создано разрешающее правило, работа этого сервиса будет завершена с ошибкой.
Чтобы как-то уменьшить вероятность заражения вирусами нужно разрешить запуск исполняемых файлов определенным пользователям только из определенных мест, а именно
c:\program files
c:\windows
с сетевых дисков, в моем случае к этим дискам у этих пользователей права только на чтение, поэтому эти файл проверенны.
Возможность определения политики ограничения программного обеспечения (Software Restriction Policies SRP) для своих клиентских компьютеров, чтобы контролировать разрешенные и запрещенные для запуска программы
Делаю через групповую политику.
1. Создал GPO (Group Policy Object)
рис. 1
2. Добавил пользователей к к которым будет применяться эта политика.
рис.2
3. Редактирую созданную политику. Политики применяю к User, поэтому изменяю в User Configuration.
Открываем User Configuration - Windows Settings - Security Setting - Software Restrictions Polices
Сначала выдает что нужно сначала ее создать.
рис.3
Создаем ее, правой кнопкой мыши
рис.4
4. По умолчанию эта политика разрешает запускать без ограничений, поэтому идем в
Security Level и устанавливаем политику по умолчанию запрещающую запуск с любого места.
рис.6
Правда она запрещает не все, а добавляет пару правил, которые изменять не рекомендуется, если не понимаете что это такое, иначе будут проблемы. и эти правила создаются в папке Additional Rules
рис.7
5. В папке Additional Rules добавляем свои правила, откуда можно запускать исполняемые файлы. Правой кнопкой, создаем новый путь
рис.8
Я добавил %PROGRAMFILES%\* (это путь к папке Program Files)
рис. 9
рис.10
Теперь проверяем.
Заходим под учетной записью пользователя которому мы назначили эту политику.
Или если уже вы зашли на компьютер под этой учеткой, то можно просто обновить групповую политику: из командной строки
gpupdate /Force
Проверил, выясняется что приложения запускаются из указанных папок, но тут оказалось, что если пытаться запускать программу с ярлыка (пуск - программы - microsoft office) а сам ярлык находиться в папке которая из которой нельзя запускать программы, то программа тоже не запускается, поэтому разрешаю еще и папки
%ALLUSERSPROFILE%\* (размещение Пуск -> Программы в профиле «All Users»)
C:\Documents and Settings\Default User\Start Menu\* (размещение Пуск ->
C:\Documents and Settings\Default User\Desktop\* (размещение Рабочего стола в профиле «Default User»)
C:\Documents and Settings\Default User\Главное меню\* (размещение Пуск -> Программы в профиле «Default User»)
C:\Documents and Settings\Default User\Рабочий стол\* (размещение Рабочего стола в профиле «Default User»)
%USERPROFILE%\Start Menu\* (размещение Пуск ->
%USERPROFILE%\Главное меню\* (размещение Пуск -> Программы в профиле залогиневшегося пользователя)
%USERPROFILE%\Desktop\* (размещение Рабочего стола в профиле залогиневшегося пользователя)
%USERPROFILE%\Рабочий стол\* (размещение Рабочего стола в профиле залогиневшегося пользователя)
Еще разрешаю сетевые места откуда можно запускать
\\nameserver\folder\*
Вобщем здесь есть недостатки:
если файл скопировать файл в папку где можно запускать, то он естественно запуститься. Но этот метод я использую для того, чтобы вирус сам не запускался, например, флешки или домашней сетевой папки пользователя.
Ограничения SRP
Необходимо также учесть некоторые ограничения SRP. Область действия политики ограничения программного обеспечения (Software Restriction Policies) – это не вся операционная система, как вы могли ожидать. SRP не применяется для следующего кода:
* Драйвера или другое установленное программное обеспечение в режиме ядра
* Любая программа, выполняемая под учетной записью SYSTEM
* Макрос внутри документов Microsoft Office (у нас есть другие способы для их блокировки с использованием политик групп)
* Программы, написанные для common language runtime (эти программы используют политику Code Access Security Policy)
Я загорелся такой идеей обеспечения безопасности и решил попробовать сделать у себя так же.
Поскольку у меня стоит Windows 7 Professional, первой идеей оказалось использование AppLocker"a, однако быстро выяснилось, что работать в моей редакции винды он не хочет, и требует Ultimate или Enterprise. В силу лицензионности моей винды и пустоты моего кошелька, вариант с AppLocker"ом отпал.
Следующей попыткой стала настройка групповых политик ограниченного использования программ. Поскольку AppLocker является «прокачанной» версией данного механизма, логично попробовать именно политики, тем более они бесплатны для пользователей Windows:)
Заходим в настройки:
gpedit.msc -> Конфигурация компьютера -> Конфигурация Windows -> Параметры безопасности -> Политики ограниченного использования программ
В случае, если правил нет, система предложит сгенерировать автоматические правила, разрешающие запуск программ из папки Windows и Program Files. Так же добавим запрещающее правило для пути * (любой путь). В результате мы хотим получить возможность запуска программ только из защищенных системных папок. И что же?
Да, это мы и получим, но вот только маленькая незадача - не работают ярлыки и http ссылки. На ссылки еще можно забить, а без ярлыков жить плоховато.
Если разрешить запуск файлов по маске *.lnk - мы получим возможность создать ярлык для любого исполняемого файла, и по ярлыку запустить его, даже если он лежит не в системной папке. Паршиво.
Запрос в гугл приводит к таким решениям: или разрешить запуск ярлыков из пользовательской папки, либо пользовать сторонние бары с ярлычками. Иначе никак. Лично мне такой вариант не нравится.
В итоге мы сталкиваемся с ситуацией, что *.lnk является с точки зрения винды не ссылкой на исполняемый файл, а исполняемым файлом. Бредово, но что ж поделать… Хотелось бы, чтобы винда проверяла не местонахождение ярлычка, а местонахождение файла, на который он ссылается.
И тут я нечаянно натолкнулся на настройки списка расширений, являщихся исполняемыми с точки зрения винды (gpedit.msc -> Конфигурация компьютера -> Конфигурация Windows -> Параметры безопасности -> Назначенные типы файлов). Удаляем оттуда LNK и заодно HTTP и релогинимся. Получаем полностью рабочие ярлычки и проверку на местонахождение исполняемого файла.
Было сомнение, можно ли будет передавать через ярлыки параметры - можно, так что все ок.
В результате мы получили реализацию идеи, описанной в статье «Windows-компьютер без антивирусов» без каких либо неудобств для пользователя.
Также для любителей стрелять себе в ногу, можно создать папку в Program Files и кинуть ярлык для нее на рабочий стол, назвав, например «Песочницей». Это позволит запускать оттуда программы без отключения политик, пользуясь защищенным хранилищем (защита через UAC).
Надеюсь описанный метод окажется для кого-то полезным и новым. По крайней мере я о таком ни от кого не слышал и нигде не видел.
