Kaspersky
Question

Правила для задачи контроля запуска программ на KSWS

  • 5 February 2020
  • 3 replies
  • 72 views

Здравствуйте!
После запроса в CA обнаружил одну не закономерную, на мой взгляд, особенность. Возникла потребность в контроле запуском (КЗ) исполняемых файлов на KSWS 10.1.2. 996. (Белые списки)
Посмотрел маны, понял что на КЗ в KSWS природа отдохнула. Логика разительно отличается от KES. Более того, для включения КЗ в боевой режим необходимо предварительно оттестировать правило которые на 90% состоят из исполняемых файлов ОС и системных приложений. 
У администратора отсутствует возможность использовать так называемые доверенные списки приложений, которые есть в KL-категориях для KES, но и в плане формирования  разрешённых приложений нет возможности создать подобие доверенной зоны, как это сделано в рекомендуемых исключениях. (Политика KSWS - Дополнительные возможности - Доверенная зона)
Выхода видится два:
1. Создание белого списка руками из массива собранного в режиме “только статистика”
2. Использование доверенной зоны загружаемой из XML файла
3. …  

Обнаружилось что в LK нет такого файла с рекомендуемыми исключениями для КЗ в KSWS.

Для задач сканирования фалов, защиты хранилищ он есть но не совместим с задачей КЗ.

В итоге обращаюсь с вопросом может ли кто поделится xml-фалом с включенными путями для разрешения запуска типовых фалов ОС и основных компонентов.
 


3 replies

Userlevel 2
Badge

Обычно хватает первых двух дефолтных правил.
У меня не терминальном 2008R2 включены только они и дополнительный установленный софт, этого для интернет-серфинга достаточно. За несколько лет эксплуатации в KSWS всего порядка 10 правил.
Ну и какое-то время после запуска задаем режим только статистики, мониторим KSWS на предмет блокировки программ и добавляем необходимые правила, если KSWS блокирует что-то нужное.
А ненужного на терминальных серверах в принципе не должно быть.
 

Userlevel 2
Badge

Разработчики уже внесли в ПО (KES и KSWS) список путей и файлов ПО, устанавливаемого по умолчанию, в исключения, Вам нет необходимости задавать их еще раз.

Исключение составляет лишь нестандартная установка ПО в другие папки, отличные от дефолтных путей - тут придется добавлять “ручками”.

Userlevel 5
Badge +2

@Dejavu72 , Вы говорите про исключения для Доверенной зоны, а в теме обсуждают настройку компонента Контроль запуска программ.

Reply / Ответить