Деякі дії звичайних програм можуть класифікуватись Kaspersky Total Securityяк небезпечні. Якщо Kaspersky Total Security блокує роботу програми, а ви впевнені у її безпеці, додайте програму до списку довірених або створіть для неї правило винятків.

Після додавання програми до списку довірених Kaspersky Total Securityприпиняє контролювати файлову та мережеву активність цієї програми, а також її звернення до реєстру. При цьому виконуваний файл програми, як і раніше, продовжує перевірятися на віруси. Якщо ви бажаєте повністю виключити програму з перевірки, створіть для неї правило винятків.

Щоб додати програму до списку довірених, виконайте такі дії:

1. У вікні Налаштуванняперейдіть до розділу Захистта виберіть Загрози та винятки.

1. У вікні Параметри загроз та винятківнатисніть на посилання Вказати довірені програми.

1. У вікні Довірені програмиНатисніть на кнопку Додати.

1. Вкажіть файл довіреної програми, що виконується, натиснувши на посилання Оглядабо вибравши програму зі списку (відображаються запущені на даний момент програми).

1. У вікні Винятки для програмивизначте параметри застосування правила, встановивши необхідні прапорці:
   • Не перевіряти файли, що відкриваються.- виключати з перевірки всі файли, що відкриваються процесом довіреної програми.
   • Не контролювати активність програми Моніторинг активностібудь-яку активність (у тому числі й підозрілу), яку виконує довірений додаток.
   • Не успадковувати обмеження батьківського процесу (програми) -активність програми контролюється згідно з правилами, заданими користувачем. Якщо прапорець знято, програма підкоряється правилам програми, яка її запустила.
   • Не контролювати активність дочірніх програм- виключати з перевірки у межах роботи компонента Моніторинг активностібудь-яку активність (у тому числі й підозрілі), яку виконують дочірні процеси довіреної програми.
   • Дозволити взаємодії з інтерфейсом Kaspersky Total Security.
   • Не перевіряти весь трафік- виключати з перевірки на віруси та спам мережевий трафік, що ініційується довіреним додатком. При встановленому прапорці Не перевіряти весь трафікНЕ перевіряється трафік зазначеної програми лише на вірусиі спам. Однак це не впливає на перевірку трафіку компонентом Мережевий екран, відповідно до параметрів якого аналізується мережна активністьцієї програми.
   • Щоб виключити з перевірки лише зашифрованого мережевого трафіку, натисніть на посилання Не перевіряти весь трафікта виберіть Не перевіряти зашифрований трафік, таким чином буде обрано лише зашифрований трафік (з використанням протоколу SSL/TSL)
   • Крім того, ви можете обмежити виключення конкретною віддаленою IP-адресою / портом:
     • Щоб не перевіряти певну IP-адресу, встановіть прапорець Тільки для вказаних IP-адрес, а потім введіть у поле IP-адресу.
     • Щоб не перевіряти певні порти, встановіть прапорець Тільки для вказаних портівІ введіть в поле порти через кому.
2. У вікні Винятки для програмиНатисніть на кнопку Додати.

1. Закрийте вікна програми.

У Kaspersky Total Securityза замовчуванням довірені програми з параметром Не перевіряти зашифрований мережевий трафікдоданий файл %SystemRoot%\system32\svchost.exe- Виконуваний файл системного сервісу Microsoft Windows Update. Захищений трафік цього сервісу недоступний для перевірки будь-якого антивірусного програмного забезпечення. Якщо для цього сервісу не буде створено дозвільне правило, робота цього сервісу буде завершена з помилкою.

Щоб якось зменшити ймовірність зараження вірусами, потрібно дозволити запуск виконуваних файлів певним користувачам тільки з певних місць, а саме
c:\program files
c:\windows
з мережевих дисків, в моєму випадку до цих дисків у цих користувачів мають право лише на читання, тому ці файл перевірені.

Можливість визначення політики обмеження програмного забезпечення (Software Restriction Policies SRP) для своїх клієнтських комп'ютерів, щоб контролювати дозволені та заборонені для запуску програми

Роблю через групову політику.

1. Створив GPO (Group Policy Object)

Мал. 1

2. Додав користувачів до яких застосовуватиметься ця політика.

рис.2

3. Редагую створену політику. Політики застосовую до User, тому змінюю у User Configuration.
Відкриваємо User Configuration - Windows Settings - Security Setting - Software Restrictions Polices
Спочатку видає, що потрібно спочатку її створити.

рис.3

Створюємо її правою кнопкою миші

рис.4

4. За умовчанням ця політика дозволяє запускати без обмежень, тому йдемо в
Security Level і встановлюємо політику за замовчуванням, що забороняє запуск з будь-якого місця.

рис.6

Щоправда, вона забороняє не все, а додає пару правил, які змінювати не рекомендується, якщо не розумієте що це таке, інакше будуть проблеми. і ці правила створюються в папці Additional Rules

рис.7

5. У папці Additional Rules додаємо свої правила, звідки можна запускати виконувані файли. Правою кнопкою, створюємо новий шлях

рис.8

Я додав %PROGRAMFILES%\* (це шлях до папки Program Files)

Мал. 9

рис.10

Тепер перевіряємо.
Заходимо під обліковим записом користувача, якому ми призначили цю політику.
Або якщо ви вже зайшли на комп'ютер під цим обліком, то можна просто оновити групову політику: з командного рядка
gpupdate /Force

Перевірив, чи з'ясовується, що програми запускаються із зазначених папок, але тут виявилося, що якщо намагатися запускати програму з ярлика (пуск - програми - microsoft office) а сам ярлик перебувати в папці яка з якої не можна запускати програми, то програма теж не запускається, тому дозволяю ще й папки

%ALLUSERSPROFILE%\* (розміщення Пуск -> Програми у профілі «All Users»)
C:\Documents and Settings\Default User\Start Menu\* (розміщення Пуск ->
C:\Documents and Settings\Default User\Desktop\* (розміщення Робочого столу у профілі "Default User")
C:\Documents and Settings\Default User\Головне меню\* (розміщення Пуск -> Програми в профілі "Default User")
C:\Documents and Settings\Default User\Робочий стіл\* (розміщення Робочого столу у профілі "Default User")
%USERPROFILE%\Start Menu\* (розміщення Пуск ->
%USERPROFILE%\Головне меню\* (розміщення Пуск -> Програми в профілі користувача)
%USERPROFILE%\Desktop\* (розміщення Робочого столу в профілі користувача)
%USERPROFILE%\Робочий стіл\* (розміщення Робочого столу в профілі користувача користувача)

Ще дозволяю мережеві місця, звідки можна запускати
\\nameserver\folder\*

Втім тут є недоліки:
якщо файл скопіювати файл у папку де можна запускати, він природно запуститися. Але цей метод я використовую для того, щоб вірус сам не запускався, наприклад, флешки або домашньої папки мережі користувача.

Обмеження SRP

Необхідно також врахувати деякі обмеження SRP. Область дії політики обмеження програмного забезпечення (Software Restriction Policies) – це не вся операційна система, як ви могли очікувати. SRP не застосовується для наступного коду:

* Драйвера або інше встановлене програмне забезпечення в режимі ядра
* Будь-яка програма, що виконується під обліковим записом SYSTEM
* Макрос всередині документів Microsoft Office (у нас є інші способи їх блокування з використанням політик груп)
* Програми, написані для common language runtime (ці програми використовують політику Code Access Security Policy)

Я спалахнув такою ідеєю забезпечення безпеки і вирішив спробувати зробити в себе так само.

Оскільки у мене стоїть Windows 7 Professional, першою ідеєю виявилося використання AppLocker"a, проте швидко з'ясувалося, що працювати в моїй редакції вінди він не хоче, і вимагає Ultimate або Enterprise. В силу ліцензійності моєї вінди та порожнечі мого гаманця, варіант з AppLocker" ом відпав.

Наступною спробою стало налаштування групових політик обмеженого використання програм. Оскільки AppLocker є «прокачаною» версією даного механізму, логічно спробувати саме політики, тим більше вони безкоштовні для користувачів Windows:)

Заходимо в налаштування:
gpedit.msc -> Конфігурація комп'ютера -> Конфігурація Windows -> Параметри безпеки -> Політики обмеженого використання програм

У випадку, якщо правил немає, система запропонує згенерувати автоматичні правила, які дозволяють запуск програм із папки Windows та Program Files. Також додамо заборонне правило для шляху * (будь-який шлях). В результаті ми хочемо отримати можливість запуску програм лише із захищених системних папок. І що ж?
Так, це ми і отримаємо, але тільки маленька невдача - не працюють ярлики і http посилання. На посилання ще можна забити, а без ярликів жити погано.
Якщо дозволити запуск файлів по масці *.lnk - ми матимемо можливість створити ярлик будь-якого виконуваного файла, і з ярлику запустити його, навіть якщо він лежить над системної папці. Паршиво.
Запит у гугл призводить до таких рішень: або дозволити запуск ярликів з папки користувача, або користуватися сторонні бари з ярликами. Інакше ніяк. Особисто мені такий варіант не подобається.

У результаті ми стикаємося з ситуацією, що *.lnk є з погляду вінди не посиланням виконуваний файл, а виконуваним файлом. Мабуть, але що ж вдієш… Хотілося б, щоб вінда перевіряла не місцезнаходження ярличка, а місцезнаходження файлу, на який він посилається.

І тут я ненароком натрапив на налаштування списку розширень, що виконуються з точки зору вінди (gpedit.msc -> Конфігурація комп'ютера -> Конфігурація Windows -> Параметри безпеки -> Призначені типи файлів). Видаляємо звідти LNK і заразом HTTP і релогінімся. Отримуємо повністю робочі ярлички та перевірку на місцезнаходження файлу, що виконується.
Було сумніву, чи можна буде передавати через ярлики параметри - можна, так що всі ок.

В результаті ми отримали реалізацію ідеї, описаної в статті Windows-комп'ютер без антивірусів без будь-яких незручностей для користувача.

Також для любителів стріляти собі в ногу можна створити папку в Program Files і кинути ярлик для неї на робочий стіл, назвавши, наприклад, «Пісочницею». Це дозволить запускати звідти програми без відключення політик, використовуючи захищене сховище (захист через UAC).

Сподіваюся описаний метод виявиться для когось корисним та новим. Принаймні я про це ні від кого не чув і ніде не бачив.