Sommige acties van gewone programma's kunnen worden geclassificeerd Kaspersky Total Security als gevaarlijk. Als Kaspersky Total Security blokkeert de werking van het programma en u bent zeker van de veiligheid ervan, voeg het programma toe aan de lijst met vertrouwde programma's of maak er een uitzonderingsregel voor.

Na het toevoegen van een programma aan de lijst met vertrouwde Kaspersky Total Security stopt met het monitoren van de bestands- en netwerkactiviteit van dit programma, evenals de toegang tot het register. Tegelijkertijd wordt het uitvoerbare bestand van het programma nog steeds gescand op virussen. Als u een programma volledig wilt uitsluiten van scannen, maakt u er een uitsluitingsregel voor.

Volg deze stappen om een ​​programma aan de vertrouwde lijst toe te voegen:

1. In het raam Instellingen ga naar sectie Bescherming en selecteer Bedreigingen en uitzonderingen.

1. In het raam Instellingen voor bedreigingen en uitsluitingen klik op de link Geef vertrouwde programma's op.

1. In het raam Vertrouwde programma's klik op de knop Toevoegen.

1. Geef het uitvoerbare bestand van de vertrouwde toepassing op door op de link te klikken Beoordeling of door een programma uit de lijst te selecteren (momenteel actieve programma's worden weergegeven).

1. In het raam Programma-uitzonderingen definieer de parameters voor het toepassen van de regel door de vereiste vakjes aan te vinken:
   • Controleer geopende bestanden niet- sluit alle bestanden uit die zijn geopend door een vertrouwd applicatieproces van het scannen.
   • Controleer de programma-activiteit niet Activiteitenmonitoring elke activiteit (inclusief verdachte) uitgevoerd door een vertrouwde applicatie.
   • Erf de beperkingen van het bovenliggende proces (programma) niet - programma-activiteit wordt gecontroleerd volgens de regels die door de gebruiker zijn gespecificeerd. Als het selectievakje is uitgeschakeld, volgt het programma de regels van het programma dat het heeft gestart.
   • Controleer de activiteit van kinderprogramma's niet- uitsluiten van testen binnen de werking van het onderdeel Activiteitenmonitoring elke activiteit (inclusief verdachte) die wordt uitgevoerd door onderliggende processen van een vertrouwde applicatie.
   • Sta interface-interacties toe Kaspersky Total Security.
   • Controleer niet al het verkeer- sluit netwerkverkeer geïnitieerd door een vertrouwde applicatie uit van het scannen op virussen en spam. Wanneer aangevinkt Controleer niet al het verkeer Het verkeer van de opgegeven applicatie wordt NIET alleen gecontroleerd virussen En spam. Dit heeft echter geen invloed op de verkeersinspectie door de component Firewall, in overeenstemming met de parameters waarvan het wordt geanalyseerd netwerk activiteit van dit programma.
   • Om alleen gecodeerd netwerkverkeer uit te sluiten van het scannen, klikt u op de link Controleer niet al het verkeer en selecteer Controleer het niet gecodeerd verkeer, op deze manier wordt alleen het verkeer versleuteld (met behulp van het protocol SSL/TSL)
   • Bovendien kunt u de uitzondering beperken tot een specifiek extern IP-adres/poort:
     • Als u een specifiek IP-adres niet wilt controleren, schakelt u het selectievakje in Alleen voor gespecificeerde IP-adressen, en voer vervolgens het IP-adres in het veld in.
     • Als u bepaalde poorten niet wilt scannen, selecteert u het selectievakje Alleen voor gespecificeerde poorten en voer de poorten in het veld in, gescheiden door komma's.
2. In het raam Programma-uitzonderingen klik op de knop Toevoegen.

1. Sluit de programmavensters.

IN Kaspersky Total Security standaard naar vertrouwde programma's met de parameter Scan geen gecodeerd netwerkverkeer bestand toegevoegd %SystemRoot%\system32\svchost.exe- uitvoerbaar bestand van de systeemservice Microsoft Windows-update. Het beveiligde verkeer van deze service kan door geen enkele antivirussoftware worden gescand. Als er geen toestemmingsregel is gemaakt voor deze service, wordt de werking van deze service beëindigd met een fout.

Om op de een of andere manier de kans op een virusinfectie te verkleinen, moet u bepaalde gebruikers toestaan ​​uitvoerbare bestanden alleen vanaf bepaalde plaatsen uit te voeren, namelijk
c:\programmabestanden
c:\windows
vanaf netwerkschijven, in mijn geval hebben deze gebruikers alleen-lezenrechten voor deze schijven, dus deze bestanden worden geverifieerd.

Mogelijkheid om Software Restriction Policy SRP te definiëren voor uw clientcomputers om te bepalen welke programma's wel en niet mogen worden uitgevoerd

Ik doe het via groepsbeleid.

1. Een GPO (Groepsbeleidsobject) gemaakt

rijst. 1

2. Gebruikers toegevoegd op wie dit beleid wordt toegepast.

Afb.2

3. Ik bewerk het gemaakte beleid. Ik pas beleid toe op Gebruiker, dus ik wijzig dit in Gebruikersconfiguratie.
Open Gebruikersconfiguratie - Windows-instellingen - Beveiligingsinstelling - Softwarebeperkingsbeleid
Eerst staat er dat je het eerst moet aanmaken.

Afb.3

Maak het aan met de rechtermuisknop

Afb.4

4. Met dit beleid kun je standaard zonder beperkingen werken, dus ga naar
Beveiligingsniveau en stel het standaardbeleid in om starten vanaf elke locatie te verbieden.

Afb.6

Het is waar dat het niet alles verbiedt, maar voegt een aantal regels toe die niet worden aanbevolen om te worden gewijzigd als je niet begrijpt wat het is, anders zullen er problemen zijn. en deze regels worden gemaakt in de map Aanvullende regels

Afb.7

5. Voeg in de map Extra regels uw eigen regels toe van waaruit u uitvoerbare bestanden kunt uitvoeren. Klik met de rechtermuisknop om een ​​nieuw pad te maken

Afb.8

Ik heb %PROGRAMFILES%\* toegevoegd (dit is het pad naar de map Program Files)

rijst. 9

Afb.10

Laten we nu eens kijken.
Wij loggen in onder het gebruikersaccount waaraan wij dit beleid hebben toegewezen.
Of als u al onder dit account op de computer bent ingelogd, kunt u Groepsbeleid eenvoudig bijwerken: vanaf de opdrachtregel
gpupdate /Force

Ik heb het gecontroleerd, het blijkt dat applicaties worden gestart vanuit de opgegeven mappen, maar het bleek dat als je een programma probeert te starten via een snelkoppeling (start - programma's - microsoft office) en de snelkoppeling zelf zich in een map bevindt van waaruit programma's kan niet worden gestart, dan start het programma ook niet, dus ik sta ook mappen toe

%ALLUSERSPROFILE%\* (locatie Start -> Programma's in het profiel “Alle gebruikers”)
C:\Documenten en instellingen\Standaardgebruiker\Startmenu\* (locatie Start ->
C:\Documents and Settings\Standaardgebruiker\Bureaublad\* (locatie van het bureaublad in het profiel “Standaardgebruiker”)
C:\Documents and Settings\Standaardgebruiker\Hoofdmenu\* (bevindt zich in Start -> Programma's in het profiel "Standaardgebruiker")
C:\Documents and Settings\Standaardgebruiker\Bureaublad\* (locatie van het bureaublad in het profiel “Standaardgebruiker”)
%USERPROFILE%\Startmenu\* (locatie Start ->
%USERPROFILE%\Hoofdmenu\* (locatie Start -> Programma's in het profiel van de ingelogde gebruiker)
%USERPROFILE%\Desktop\* (locatie van het bureaublad in het profiel van de ingelogde gebruiker)
%USERPROFILE%\Desktop\* (locatie van het bureaublad in het profiel van de ingelogde gebruiker)

Ik sta ook netwerklocaties toe van waaruit kan worden uitgevoerd
\\naamserver\map\*

Over het algemeen zijn hier nadelen:
Als u het bestand kopieert naar de map waar u het kunt uitvoeren, wordt het uiteraard uitgevoerd. Maar ik gebruik deze methode om te voorkomen dat het virus zichzelf opstart, bijvoorbeeld op een flashstation of in de thuisnetwerkmap van de gebruiker.

SRP-beperkingen

Er zijn ook enkele SRP-beperkingen waarmee u rekening moet houden. De reikwijdte van het softwarebeperkingsbeleid bestrijkt niet het gehele besturingssysteem, zoals u zou verwachten. SRP is niet van toepassing op de volgende code:

* Stuurprogramma's of andere geïnstalleerde software in kernelmodus
* Elk programma dat onder het SYSTEM-account draait
* Macro's in Microsoft Office-documenten (we hebben andere manieren om ze te blokkeren met behulp van groepsbeleid)
* Programma's geschreven voor de runtime van de gemeenschappelijke taal (deze programma's gebruiken het Code Access Security Policy)

Ik raakte enthousiast over dit idee om de veiligheid te garanderen en besloot hetzelfde voor mezelf te proberen.

Omdat ik Windows 7 Professional heb, was het eerste idee om AppLocker te gebruiken, maar het werd al snel duidelijk dat het niet wil werken in mijn editie van Windows en Ultimate of Enterprise vereist vanwege de licentieverlening van mijn Windows en de leegte van mijn portemonnee, de optie met AppLocker"om is verdwenen.

De volgende poging was om groepsbeleid te configureren voor softwarebeperking. Omdat AppLocker een “opgepompte” versie van dit mechanisme is, is het logisch om het beleid uit te proberen, vooral omdat het gratis is voor Windows-gebruikers :)

Ga naar instellingen:
gpedit.msc -> Computerconfiguratie -> Windows-configuratie -> Beveiligingsinstellingen -> Softwarebeperkingsbeleid

Als er geen regels zijn, biedt het systeem aan om automatische regels te genereren waarmee programma's kunnen worden gestart vanuit de map Windows en Program Files. We zullen ook een weigeringsregel toevoegen voor het pad * (elk pad). Als gevolg hiervan willen we programma's alleen vanuit beveiligde systeemmappen kunnen uitvoeren. Dus wat?
Ja, dat is wat we krijgen, maar er is slechts een klein probleem: de snelkoppelingen en http-links werken niet. Je kunt links nog steeds vergeten, maar het leven zonder snelkoppelingen is behoorlijk slecht.
Als we het starten van bestanden met behulp van het *.lnk-masker toestaan, kunnen we voor elk uitvoerbaar bestand een snelkoppeling maken en deze uitvoeren met behulp van de snelkoppeling, zelfs als deze niet in de systeemmap staat. Beroerd.
Een Google-zoekopdracht leidt tot de volgende beslissingen: ofwel toestaan ​​dat snelkoppelingen worden gestart vanuit een gebruikersmap, ofwel gebruik maken van balken van derden met snelkoppelingen. Er is geen andere manier. Persoonlijk houd ik niet van deze optie.

Als gevolg hiervan worden we geconfronteerd met de situatie dat *.lnk, vanuit het oogpunt van Windows, geen link is naar een uitvoerbaar bestand, maar een uitvoerbaar bestand. Het is gek, maar wat kun je doen... Ik zou graag willen dat Windows niet de locatie van de snelkoppeling controleert, maar de locatie van het bestand waarnaar deze verwijst.

En toen kwam ik per ongeluk de instellingen tegen voor de lijst met extensies die uitvoerbaar zijn vanuit het oogpunt van Windows (gpedit.msc -> Computerconfiguratie -> Windows-configuratie -> Beveiligingsinstellingen -> Toegewezen bestandstypen). We verwijderen daar LNK en tegelijkertijd HTTP en log in. We krijgen volledig werkende snelkoppelingen en een controle op de locatie van het uitvoerbare bestand.
Er was twijfel of het mogelijk zou zijn om parameters via snelkoppelingen door te geven - het is mogelijk, dus alles is in orde.

Als gevolg hiervan kregen we de implementatie van het idee beschreven in het artikel “Windows-computer zonder antivirussen” zonder enig ongemak voor de gebruiker.

En voor degenen die zichzelf graag in de voet schieten, kun je een map maken in Program Files en daar een snelkoppeling naar op het bureaublad plaatsen, bijvoorbeeld 'Sandbox' noemen. Hierdoor kunt u van daaruit programma's uitvoeren zonder het beleid uit te schakelen, met behulp van beveiligde opslag (bescherming via UAC).

Ik hoop dat de beschreven methode nuttig en nieuw voor iemand zal zijn. Ik heb er in ieder geval van niemand over gehoord en het nergens gezien.