Kaspersky
Question

Правила для задачи контроля запуска программ на KSWS

  • 5 February 2020
  • 4 replies
  • 120 views

Здравствуйте!
После запроса в CA обнаружил одну не закономерную, на мой взгляд, особенность. Возникла потребность в контроле запуском (КЗ) исполняемых файлов на KSWS 10.1.2. 996. (Белые списки)
Посмотрел маны, понял что на КЗ в KSWS природа отдохнула. Логика разительно отличается от KES. Более того, для включения КЗ в боевой режим необходимо предварительно оттестировать правило которые на 90% состоят из исполняемых файлов ОС и системных приложений. 
У администратора отсутствует возможность использовать так называемые доверенные списки приложений, которые есть в KL-категориях для KES, но и в плане формирования  разрешённых приложений нет возможности создать подобие доверенной зоны, как это сделано в рекомендуемых исключениях. (Политика KSWS - Дополнительные возможности - Доверенная зона)
Выхода видится два:
1. Создание белого списка руками из массива собранного в режиме “только статистика”
2. Использование доверенной зоны загружаемой из XML файла
3. …  

Обнаружилось что в LK нет такого файла с рекомендуемыми исключениями для КЗ в KSWS.

Для задач сканирования фалов, защиты хранилищ он есть но не совместим с задачей КЗ.

В итоге обращаюсь с вопросом может ли кто поделится xml-фалом с включенными путями для разрешения запуска типовых фалов ОС и основных компонентов.
 


4 replies

Userlevel 3
Badge

Обычно хватает первых двух дефолтных правил.
У меня не терминальном 2008R2 включены только они и дополнительный установленный софт, этого для интернет-серфинга достаточно. За несколько лет эксплуатации в KSWS всего порядка 10 правил.
Ну и какое-то время после запуска задаем режим только статистики, мониторим KSWS на предмет блокировки программ и добавляем необходимые правила, если KSWS блокирует что-то нужное.
А ненужного на терминальных серверах в принципе не должно быть.
 

Userlevel 2
Badge

Разработчики уже внесли в ПО (KES и KSWS) список путей и файлов ПО, устанавливаемого по умолчанию, в исключения, Вам нет необходимости задавать их еще раз.

Исключение составляет лишь нестандартная установка ПО в другие папки, отличные от дефолтных путей - тут придется добавлять “ручками”.

Userlevel 6
Badge +3

@Dejavu72 , Вы говорите про исключения для Доверенной зоны, а в теме обсуждают настройку компонента Контроль запуска программ.

“на КЗ в KSWS природа отдохнула” - давайте переформулируем немного: “КЗ в KSWS развивается не так активно, как другие компоненты”. Это будет ближе к истине. :)   Его действительно можно сделать удобнее, и мы будем обязательно к этому стремиться в следующих релизах (если таковые ещё последуют). И хорошие идеи, и юношеский задор у нас ещё никуда не делись, хотя первому чекину в KSWS скоро исполнится 15 лет. Вот со временем большая проблема...

Основная претензия к текущей реализации AppControl в KSWS (и справедливая претензия) - необходимость вручную формировать список разрешённых программ. При реализации мы рассчитывали, что пользователи будут сначала сканировать сервер (чтобы на нём гарантированно не было вирусов), а потом запускать там задачу автоматического формирования правил AppControl. Либо включат AppControl в режим статистики и пару недель понабирают статистику запусков в виде событий в журнале задачи - потом по этим событиям можно по команде пользователя сгенерировать разрешающие правила.

Мы сделали два разрешающих правила по умолчанию - “Разрешать все подписанные любой подписью EXE-файлы” и “Разрешать все подписанные скрипты/инсталляторы”. Делать разрешающие правила по пути к файлу мы посчитали недостаточно надёжным, поэтому хотели, чтобы пользователи добавляли по возможности разрешения на сертификаты или хэши файлов (что не так просто преднастроить из коробки). Но Вы можете правило по пути добавить сами - например, сделать разрешающее правило на путь C:\Windows. Или воспользоваться сценариями полуавтоматической генерации правил, которые я описал выше.

Reply / Ответить