22.05.2015 Владимир Безмалый

Запрет запуска приложений со сменных носителей с помощью установленного корпоративного решения «Лаборатории Касперского»

На небольших предприятиях, использующих защитные решения без единого центра управления, периодически встает вопрос проверки запуска программ. Что имеется в виду? Запуск конкретных программ и приложений тем или иным пользователем, необходимость блокирования игр, несанкционированно установленных браузеров и т. д. Одной из подобных задач, в первую очередь касающихся соблюдения режима безопасности, является запрет запуска приложений со сменных носителей. Для этого предусмотрен целый ряд решений. Мы рассмотрим решение данной задачи с помощью установленного корпоративного решения «Лаборатории Касперского».

Запрет запуска приложений со сменных носителей для всех пользователей

Откройте основное окно программы Kaspersky Endpoint Security 10 для Windows (KES 10) и перейдите на вкладку «Настройка» (см. экран 1).

Выберите слева раздел «Контроль запуска программ». На вкладке «Настройка» не забудьте установить флажок «Включить контроль запуска программ». В противном случае по умолчанию функция будет отключена. Чтобы добавить правило контроля, выполните следующие действия:

1. Нажмите кнопку «Добавить». Откроется окно «Правило контроля запуска программ».
2. Создайте параметры правила:

а) в поле «Название» введите название правила, например «Сменные носители»;

б) в таблице «Включающие условия» сформируйте список включающих условий срабатывания правила контроля запуска программ (в нашем случае включите «Условие по носителю файла» (см. экран 2);

в) задайте список пользователей или групп пользователей, которым разрешено запускать программы, удовлетворяющие включающим условиям срабатывания правилам. В нашем случае удалите список «Все», нажав на кнопку «Удалить»;

г) задайте список пользователей, которым запрещено запускать программы, удовлетворяющие включающим условиям срабатывания правила. В нашем случае «Все». Если хотите, предоставьте разрешение на запуск локальному администратору.

Учтите, что правило не контролирует запуск программ пользователями или группами пользователей, которые не указаны в полях для разрешения и запрета запуска программ.

После выполнения перечисленных выше действий при попытке запуска пользователем программы со сменного носителя появится предупреждение, показанное на экране 3.ё

Если вы хотите запретить использование игр, это правило можно задать с помощью так называемых KL-категорий.

Однако больше всего хлопот вызывает применение различных браузеров и особенно их обновление. Так как проще всего, на мой взгляд, в корпоративной среде обновить Internet Explorer, создадим правило, которое будет разрешать запуск Internet Explorer, но запрещать применение всех остальных браузеров. Для этого сформируем правило, выполнив следующие шаги:

1. Выберем категорию Запрет всех браузеров (из списка KL-катего­рия) (см. экран 4).
2. Исключение составляет Internet Explorer (см. экран 5).

Итак, нам без труда удалось запретить нежелательные браузеры в организации. Ну и напоследок закроем доступ к играм.

Запрет доступа к играм

Создадим по аналогии с браузерами запрет на использование игровых программ в организации. Выбираем программы из категории «Развлечения», подкатегория «Игры» (см. экран 7).

Как видите, создание запрета на игры аналогично предыдущему запрету на браузеры.

Безусловно, существует немало программ для контроля запуска тех или иных продуктов, и бездумное их применение может не только не улучшить, а даже ухудшить защиту вашей сети и уж тем более микроклимат в коллективе.

Перед тем как создавать те или иные правила контроля запуска программ, я бы рекомендовал вначале составить «матрицу ролей» ваших пользователей (то есть какой пользователь выполняет ту или иную задачу и, соответственно, нуждается в том или ином программном обеспечении). Исходя из этого следует определить необходимый минимум программного обеспечения и уже затем закрывать все остальное. Почему минимум? Во-первых, программное обеспечение стоит денег. Во-вторых, чем больше сторонних программ установлено на рабочем месте, тем выше вероятность ошибок пользователя. Ну и, наконец, чем больше на рабочем месте сторонних программ, тем выше риск проникновения в систему через уязвимые места в той или иной программе. А все это будет отрицательно сказываться как на производительности ваших сотрудников, так и на общем уровне безопасности организации.

О уебанских логах в Касперском. Совершенно верно на эту тему высказался ra1aie : "Ящетаю, к KSC/KES должен прилагаться толкователь логов, ну, наподобие сонника, что ли... "Если вам приснилась дохлая рыба - это к большой беде. Если в логах установки отказ пользователя - это к восьмой винде"

Но вот последний выкрутас меня добил.
Народ, скажите я сильно придираюсь?

В нашей инфраструктуре развернут Security Center 9. На неделе развернула у соседей 10. Нет, я в принципе ещё могу понять, зачем инсталляционные пакеты переместили из "хранилищ" в "удалённую установку". Наверное так и правда удобно, хотя возможности выкачивать пакеты напрямую из консоли по-прежнему нет.

Но объясните ради бога, почему окно свойств политики в 9-ке выглядит так:

Если кто не понял - всё есть, контроль активности программ - вот она, как наяву.

А то же самое окно в 10 - вот так:

Скажите, это нормально и интуитивно понятно, что по дефолту в политике контроль рабочего места включен, а между тем в политике он не отображается?
А для того, чтобы вернуть всё отображение, надо установить курсор на "Сервер администрирования", зайти в вид (!), запустить настройки интерфейса и проставить все нужные галки?

К слову, то же самое в 9-й версии security center выглядит так:

Да, на мой взгляд это тоже уебанство - невозможность увидеть и настроить иерархию серверов, потому что вид по дефолту кастрированный. Но ладно, это я могу понять, подчиненные сервера есть далеко не у всех. Но вашу ж машу, изменения политики, да ещё и выставленной по дефолту на "вкл", критичны для всех!

Уважаемые коллеги! Сегодня я хочу вам поведать о Системе администрирования Антивируса Касперского. Вещь, я вам скажу, очень занятная.

С помощью неё вы можете взять под свой контроль все компьютеры своей организации в плане разрешения/запрета открытия сайтов, разрешения/запрета запуска программ, в том числе по определенным категориям (например, можно запретить запуск всех браузеров, кроме определенных), разрешения/запрета подключения какого-либо оборудования – флэшек, жестких дисков и прочее (например, чтобы исключить слив информации пользователями), также автоматизировать обновление ключей для антивируса Касперского, минимизировать расход трафика при обновлении антивирусов (после установки KSC и настройки на него антивирусов, установленных на рабочих станциях, они будут обновляться именно с этого сервера, а не из сети Интернет). Для установки KSC 10 версии, со слов технического консультанта лаборатории Касперского в Приволжском федеральном округе – Павла Александрова, подходит ОС Windows (не обязательно серверная) хотя бы с 2-4 Гб оперативной памяти. Недавно компания “Умные решения” проводила Практический мастер-класс на ноутбуках , где ваш покорный слуга смог воочию ознакомиться с этим творением лаборатории Касперского. Kaspersky Security Center 10, как сказал Павел, предоставляется бесплатно для тех, кто владеет корпоративной лицензией для KES (Kaspersky Endpoint Security) 10. К счастью, нам, коллеги – программисты/системные администраторы бюджетных учреждений Республики Татарстан, не нужно ничего покупать – весь необходимый инструментарий доступен из сети ГИСТ по адресу kav.tatar.ru . А также, для вашего удобства, коллеги, я размещаю видеоуроки любезно предоставленные Игорем Александровичем, специалистом компании НоваИнТех -> Ссылка на видеоуроки на сайте Youtube . Если после просмотра видео у вас останутся какие-то вопросы, то я, с радостью, помогу вам в скайпе (lisischko).

P.S. Вы можете сделать свой сервер управления Антивирусом Касперского подчиненным ЦИТовскому KSC, какие это даёт преимущества не скажу – сам этого делать не стал, но это описано на сайте kav.tatar.ru

Примечание1: Список исполняемых файлов не пополнялся на сервере, даже созданной вновь задачей “Инвентаризация”, пока не была поставлена галочка в разделе “Дополнительные параметры” – “Отчёты и хранилища” – Информировать сервер администрирования “О запускаемых программах” в политике Антивируса.

Примечание4: Время от времени на компьютерах подвластных KSC всё начинает зависать. Диспетчер задач показал, что систему грузит процесс “Kaspersky Security Center Vulnerability Assessment & Patch Management Component” (исполняемый файл vapm.exe). Анализ проблемы показал, что в момент тормозов системы выполнялась задача “Поиск уязвимостей и требуемых обновлений”, перевод этой задачи в ручной запуск и остановка решил проблему. Также, есть вариант со снятием галочки “запускать пропущенные задачи” в расписании задачи (без перевода запуска в ручной режим), но испытывать этот вариант я не стал, в виду решения о ненадобности для нас этой функции. UPD: не прошло и получаса после остановки задачи и перевода режима её запуска в ручной, как её, снова, запустил какой-то триггер. Разбираться нет времени. Удалил задачу “Поиск уязвимостей и требуемых обновлений”, добавить её всегда можно впоследствии.