Контроль запуску програм
Принцип роботи
Контрольну суму або метадані файлу для зручності адміністратора можна вибирати кількома способами:- Перший спосіб. З реєстру програм - дозволяє вибрати програму зі списку встановлених на клієнтських комп'ютерах. Інформацію про встановлені програми збирають агенти оновлень з системного реєстру і передають на Сервер адміністрування. Список вже виявлених додатків відображається в контейнері Реєстр програм. Програму з цього списку можна вибрати в якості джерела даних, тільки якщо в списку виконуваних файлів на Сервері адміністрування присутній відповідний програмі файл.
- Другий спосіб. Зі списку виконуваних файлів - список файлів, які коли-небудь були запущені на клієнтських комп'ютерах. Інформацію про ці файли збирає сам компонент Контроль запуску програм і передає на Сервер адміністрування під час синхронізації. Список вже виявлених файлів відображається в контейнері Виконувані файли
- Третій спосіб. З властивостей файлу або файлів папки - в список умов можна додати контрольну суму або метадані окремого файлу, або ж всіх файлів розташованих зазначеній папці
- Четвертий спосіб. З властивостей MSI-файлу - дозволяє додати в список умов контрольні суми або метадані файлів, зазначених у властивостях установчого пакета MSI
інвентаризація
Це завдання належить до завдань Kaspersky Endpoint Security, і може бути як груповий, так і для наборів комп'ютера. При стандартних налаштуваннях завдання виконує пошук виконуваних файлів в каталогах:- SystemRoot
- ProgramFiles
- ProgramFiles (x86)
Список перевіряються папок можна змінити або доповнити. Інформація про знайдені файлах надходить на Сервер адміністрування і доступна в контейнері Виконувані файли.
Правила контролю запуску
Крім статусів правила Включений і Виключений є ще статус Тест. В цьому режимі правило не впливатиме на запуск програм, але при його застосуванні будуть генеруватися події Запуск програми заборонений в тестовому режимі або Запуск програми дозволений в тестовому режимі.
Шаблони повідомлень і запитів
Коли на клієнтському комп'ютері блокується запуск програми, Kaspersky Endpoint Security відкриває спливаюче вікно, з повідомленням про те, що програма була заблокована. Це робиться, щоб у користувача не виникло помилки щодо причин, за якими програму можна запустити.
Якщо програма необхідна користувачеві для виконання роботи, він може використовувати спливаюче повідомлення, щоб відправити адміністратору запит про дозвіл запуску програми. Для цього потрібно натиснути у вікні повідомлення посилання Поскаржитись та натиснути кнопку Надіслати.
Текст шаблонів повідомлення про заборону і запиту про дозвіл запуску програми можна змінити в політиці Kaspersky Endpoint Security. У тексті допускається використання змінних, що передають інформацію про конкретну подію. Наприклад, ім'я заблокованої програми, комп'ютер на якому відбулася подія і т.п.
Результати застосування контролю запуску
Робота Контролю запуску програм описується всього п'ятьма типами подій:- Запуск програми заборонений
- Скарга на заборону запуску програми
- Запуск програми дозволений
- Запуск програми заборонений в тестовому режимі
- Запуск програми дозволений в тестовому режимі
За замовчуванням всі події, крім Запуск програми дозволений. передаються на Сервер адміністрування
Звіт про заборонених запусках
На основі подій Запуск програми заборонений Kaspersky Security Center будує звіт про заборонених запусках, в якому показано розподіл кількості заблокованих запусків на клієнтських комп'ютерах із програмою. Якщо натиснути на посилання в вигляді імені програми в зведеній таблиці звіту, в браузері відкриється ще один звіт, що містить інформацію про всі комп'ютерах, на яких був заблокований запуск програми.
Вибірка Запити від користувачів
Стандартна вибірка подій Запити від користувачів містить події Скарга на заборону запуску програми. зареєстровані за останні 7 днів. Подія Скарга на заборону запуску програми реєструється, коли користувач відправляє запит про дозвіл запуску, і містить в собі текст самого запиту. Таким чином, подія містить інформацію про комп'ютер, імені користувача та програмою, яку потрібно вирішити - т. Е. Всю інформацію, необхідну адміністратору для прийняття рішення.
Цілком може виявитися, що програма потрібна користувачеві терміново. Тому, якщо адміністратор заглядає в вибірку Запити від користувачів не часто, має сенс налаштувати поштове повідомлення для події Скарга на заборону запуску програм. Це дозволить адміністратору відреагувати на запит, відразу після того, як він буде відправлений.
Посилення режиму контролю запуску
У більшості випадків описаний підхід є оптимальним і дозволяє усунути небажану активність, не створюючи незручностей користувачам. Але в деяких сегментах мережі, або навіть в деяких компаніях цілком, політика безпеки вимагає заборонити запуск будь-яких програм, крім деякого списку, визначеного заздалегідь. У такому випадку потрібно налаштувати дозволяють правила, згідно з політикою безпеки і відключити правило Дозволити все. Після цього запуск програм, для яких немає дозвільних правил, буде блокуватися.
Головною складністю при роботі в режимі, коли запуск нових програм за замовчуванням заборонений, є забезпечення нормальної роботи операційної системи, оскільки системний файли, для яких не встановлені дозволу, будуть блокуватися так само, як звичайні програми.
Крім того, на операційних системах Windows Vista і більш старших версіях, можна дозволити запуск будь-яких програм від імені системної облікового запису, оскільки звичайна програма отримати права системної служби в цих ОС не може.