Касперский где находится настройка предотвращения вторжения
В ходе защиты виртуальных машин от вторжений Kaspersky Security может выполнять следующие действия:
-
Обнаруживать сетевые атаки на защищенные виртуальные машины.
Если обнаружение сетевых атак включено, при обнаружении попытки сетевой атаки на защищенную виртуальную машину Kaspersky Security выполняет действие, заданное в параметрах политики. Например, программа может прервать соединение между виртуальной машиной и IP-адресом, с которого произведена сетевая атака, или прервать соединение и заблокировать трафик с этого IP-адреса, чтобы автоматически защитить виртуальную машину от возможных будущих сетевых атак с этого IP-адреса.
Если контроль сетевой активности включен, при обнаружении подозрительной сетевой активности Kaspersky Security выполняет действие, заданное в параметрах политики. Например, программа может прервать соединение с IP-адресом, который проявляет подозрительную сетевую активность, или прервать соединение и заблокировать трафик с этого IP-адреса.
Если в соответствии с настроенными параметрами Kaspersky Security блокирует трафик с IP-адреса, который является источником сетевой атаки или подозрительной сетевой активности, то продолжительность блокировки по умолчанию составляет 60 минут. Вы можете изменить продолжительность блокировки трафика. По истечении указанного времени трафик автоматически разблокируется.
При определении источника сетевой атаки или подозрительной сетевой активности учитывается принадлежность трафика к виртуальной локальной сети (VLAN). Kaspersky Security блокирует трафик с IP-адреса только в той виртуальной локальной сети, в которой была обнаружена сетевая атака или подозрительная сетевая активность.
Список источников сетевых угроз, заблокированных в результате работы каждой SVM с компонентом Защита от сетевых угроз, отображается в свойствах программы, установленной на этой SVM. По истечении времени блокировки, заданного в параметрах программы, источник сетевых угроз автоматически удаляется из списка. При необходимости вы можете отменить блокировку трафика с выбранных IP-адресов, не дожидаясь автоматической разблокировки.
Вы можете настроить правила исключения из защиты от сетевых угроз, в соответствии с которыми Kaspersky Security исключает из проверки трафик определенных IP-адресов или применяет особые действия при обработке этого трафика.
В инфраструктуре под управлением VMware NSX-V Manager при обнаружении сетевой атаки или подозрительной сетевой активности Kaspersky Security назначает тег безопасности IDS_IPS.threat=high виртуальной машине, в трафике которой обнаружена активность, характерная для сетевых атак, или подозрительная сетевая активность.
В ходе защиты виртуальных машин от вторжений Kaspersky Security может выполнять следующие действия:
-
Обнаруживать сетевые атаки на защищенные виртуальные машины.
Если обнаружение сетевых атак включено, при обнаружении попытки сетевой атаки на защищенную виртуальную машину Kaspersky Security выполняет действие, заданное в параметрах политики. Например, программа может прервать соединение между виртуальной машиной и IP-адресом, с которого произведена сетевая атака, или прервать соединение и заблокировать трафик с этого IP-адреса, чтобы автоматически защитить виртуальную машину от возможных будущих сетевых атак с этого IP-адреса.
Если контроль сетевой активности включен, при обнаружении подозрительной сетевой активности Kaspersky Security выполняет действие, заданное в параметрах политики. Например, программа может прервать соединение с IP-адресом, который проявляет подозрительную сетевую активность, или прервать соединение и заблокировать трафик с этого IP-адреса.
Если в соответствии с настроенными параметрами Kaspersky Security блокирует трафик с IP-адреса, который является источником сетевой атаки или подозрительной сетевой активности, то продолжительность блокировки по умолчанию составляет 60 минут. Вы можете изменить продолжительность блокировки трафика. По истечении указанного времени трафик автоматически разблокируется.
При определении источника сетевой атаки или подозрительной сетевой активности учитывается принадлежность трафика к виртуальной локальной сети (VLAN). Kaspersky Security блокирует трафик с IP-адреса только в той виртуальной локальной сети, в которой была обнаружена сетевая атака или подозрительная сетевая активность.
Список источников сетевых угроз, заблокированных в результате работы каждой SVM с компонентом Защита от сетевых угроз, отображается в свойствах программы, установленной на этой SVM. По истечении времени блокировки, заданного в параметрах программы, источник сетевых угроз автоматически удаляется из списка. При необходимости вы можете отменить блокировку трафика с выбранных IP-адресов, не дожидаясь автоматической разблокировки.
Вы можете настроить правила исключения из защиты от сетевых угроз, в соответствии с которыми Kaspersky Security исключает из проверки трафик определенных IP-адресов или применяет особые действия при обработке этого трафика.
В инфраструктуре под управлением VMware NSX-V Manager при обнаружении сетевой атаки или подозрительной сетевой активности Kaspersky Security назначает тег безопасности IDS_IPS.threat=high виртуальной машине, в трафике которой обнаружена активность, характерная для сетевых атак, или подозрительная сетевая активность.
Эта функциональность недоступна в плане подписки Kaspersky Basic.
Компонент Предотвращение вторжений предотвращает выполнение приложениями опасных для операционной системы действий, а также обеспечивает контроль доступа к ресурсам операционной системы (в том числе файловым ресурсам, расположенным на удаленных компьютерах) и вашим персональным данным.
Предотвращение вторжений отслеживает действия, которые совершают в операционной системе приложения, установленные на компьютере, и регулирует их на основании правил. Эти правила регламентируют подозрительную активность приложений, в том числе доступ приложений к защищаемым ресурсам (например, к файлам, папкам, ключам реестра, сетевым адресам).
При работе на 64-разрядных операционных системах недоступны для настройки права приложений на выполнение следующих действий:
- прямой доступ к физической памяти;
- управление драйверами принтера;
- создание службы;
- открытие службы для чтения;
- открытие службы для изменения;
- изменение конфигурации службы;
- управление службой;
- запуск службы;
- удаление службы;
- доступ к внутренним данным браузера;
- доступ к критическим объектам операционной системы;
- доступ к хранилищу паролей;
- установка прав отладчика;
- использование программных интерфейсов операционной системы;
- использование программных интерфейсов операционной системы (DNS);
- использование программных интерфейсов других программ;
- изменение системных модулей (KnownDlls);
- запуск драйвера.
При работе на 64-разрядной Microsoft Windows 8 и Microsoft Windows 10 дополнительно недоступны для настройки права приложений на выполнение следующих действий:
Сетевую активность приложений контролирует компонент Сетевой экран.
При первом запуске приложения на компьютере Предотвращение вторжений проверяет безопасность этого приложения и помещает в одну из групп ("Доверенные", "Недоверенные", "Сильные ограничения" или "Слабые ограничения"). Группа определяет правила, которые Kaspersky применяет для контроля активности этого приложения.
Kaspersky помещает приложения в группы доверия ("Доверенные", "Недоверенные", "Сильные ограничения" или "Слабые ограничения"), только если включен компонент Предотвращение вторжений или Сетевой экран, а также когда включены оба эти компонента. Если оба эти компонента выключены, функциональность распределения приложений по группам доверия не работает.
Вы можете изменить правила контроля действий приложения вручную.
Правила, которые вы создаете для приложения, наследуются дочерними приложениями. Например, если вы запретили любую сетевую активность приложению cmd.exe, этот запрет будет распространятся на приложение notepad.exe, если оно было запущено с помощью cmd.exe. При опосредованном запуске приложения (если приложение не является дочерним по отношению к приложению, из которого оно запускается), правила унаследованы не будут.
Переключатель включает / выключает Предотвращение вторжений.
По ссылке открывается окно браузера на странице с более подробной информацией о компоненте.
Если флажок установлен, Предотвращение вторжений считает доверенными приложения, имеющие цифровую подпись. Предотвращение вторжений помещает такие приложения в группу Доверенные и не проверяет их активность.
Если флажок снят, Предотвращение вторжений не считает приложения с обычной цифровой подписью доверенными и проверяет их активность. Приложения доверенных поставщиков программного обеспечения (например, Microsoft) Предотвращение вторжений считает доверенными независимо от того, установлен флажок или снят.
Если флажок установлен, для определения группы доверия приложения Предотвращение вторжений отправляет запрос в базу Kaspersky Security Network.
Если флажок снят, Предотвращение вторжений не ищет информацию в базе Kaspersky Security Network для определения группы доверия, к которой относится приложение.
По ссылке открывается окно Группа доверия для приложений, которые не удалось распределить по другим группам . В окне можно выбрать группу доверия, в которую будут помещаться неизвестные приложения.
Группа, в которую Kaspersky помещает программу или процесс в зависимости от наличия электронной цифровой подписи программы, репутации программы в Kaspersky Security Network, доверия к источнику программы и потенциальной опасности действий, которые выполняет программа или процесс. На основании принадлежности программы к группе доверия Kaspersky может накладывать ограничения на действия этой программы в операционной системе.
В Kaspersky используются следующие группы доверия: "Доверенные", "Слабые ограничения", "Сильные ограничения", "Недоверенные".
Можно выбрать один из следующих вариантов:
- Доверенные;
- Слабые ограничения;
- Сильные ограничения;
- Недоверенные.
По ссылке открывается окно Группа доверия для приложений, запущенных до начала работы Kaspersky . В окне можно изменить группу доверия для приложений, запущенных до начала работы Kaspersky. Сетевая активность приложений, запущенных до начала работы Kaspersky, будет контролироваться в соответствии с правилами выбранной вами группы доверия.
По умолчанию приложений, запущенные до начала работы Kaspersky, помещаются в одну из групп доверия на основании правил, заданных специалистами "Лаборатории Касперского".
По ссылке открывается окно Управление приложениями . В нем вы можете отредактировать список правил для приложений.
По ссылке открывается окно Управление ресурсами . В нем вы можете сформировать список персональных данных, а также список настроек и ресурсов операционной системы, доступ к которым контролирует Предотвращение вторжений.
Компонент Предотвращение вторжений (англ. HIPS – Host Intrusion Prevention System) предотвращает выполнение программами опасных для системы действий, а также обеспечивает контроль доступа к ресурсам операционной системы и персональным данным. Компонент обеспечивает защиту компьютера с помощью антивирусных баз и облачной службы Kaspersky Security Network.
Компонент контролирует работу программ с помощью прав программ. Права программ включают в себя следующие параметры доступа:
- доступ к ресурсам операционной системы (например, параметры автозапуска, ключи реестра);
- доступ к персональным данным (например, к файлам, программам).
Сетевую активность программ контролирует Сетевой экран с помощью сетевых правил.
Во время первого запуска программы компонент Предотвращение вторжений выполняет следующие действия:
- Проверяет безопасность программы с помощью загруженных антивирусных баз.
- Проверяет безопасность программы в Kaspersky Security Network.
Для более эффективной работы компонента Предотвращение вторжений вам рекомендуется принять участие в Kaspersky Security Network.
Группа доверия определяет права, которые Kaspersky Endpoint Security использует для контроля сетевой активности программ. Kaspersky Endpoint Security помещает программу в группу доверия в зависимости от уровня опасности, которую эта программа может представлять для компьютера.
Kaspersky Endpoint Security помещает программу в группу доверия для компонентов Сетевой экран и Предотвращение вторжений. Изменить группу доверия только для Сетевого экрана или только для Предотвращения вторжений невозможно.
Если вы отказались принимать участие в KSN или отсутствует сеть, Kaspersky Endpoint Security помещает программу в группу доверия в зависимости от параметров компонента Предотвращение вторжений. После получения данных о репутации программы от KSN группа доверия может быть изменена автоматически.
При следующем запуске программы Kaspersky Endpoint Security проверяет целостность программы. Если программа не была изменена, компонент применяет к ней текущие права программ. Если программа была изменена, Kaspersky Endpoint Security исследует программу как при первом запуске.
Параметры компонента Предотвращение вторжений
Таблица программ, работу которых контролирует компонент Предотвращение вторжений. Программы распределены по группам доверия. Группа доверия определяет права, которые Kaspersky Endpoint Security использует для контроля активности программ.
Вы можете выбрать программу из единого списка всех программ, установленных на компьютерах под действием политики, и добавить программу в группу доверия.
Права доступа программы приведены в следующих таблицах:
- Файлы и системный реестр . Таблица, которая содержит права доступа программ, входящих в группу доверия, к ресурсам операционной системы и персональным данным.
- Права . Таблица, которая содержит права доступа программ, входящих в группу доверия, к процессам и ресурсам операционной системы.
- Сетевые правила . Таблица сетевых правил программ, входящих в группу доверия. В соответствии с этими правилами Сетевой экран регулирует сетевую активность для программ. В таблице отображаются предустановленные сетевые правила, которые рекомендованы специалистами "Лаборатории Касперского". Эти сетевые правила добавлены для оптимальной защиты сетевого трафика компьютеров под управлением операционных систем Windows. Удалить предустановленные сетевые правила невозможно.
Таблица содержит ресурсы компьютера, распределенные по категориям. Компонент Предотвращение вторжений контролирует доступ других программ к ресурсам из этой таблицы.
Ресурсом может быть категория реестра, файл или папка, ключ реестра.
Таблица программ, работу которых контролирует компонент Предотвращение вторжений, для выбранного ресурса. Программы распределены по группам доверия. Группа доверия определяет права, которые Kaspersky Endpoint Security использует для контроля активности программ.
Программы, запускаемые до Kaspersky Endpoint Security для Windows, автоматически помещаются в группу доверия
Группа доверия, в которую Kaspersky Endpoint Security будет помещать программы, запускаемые до Kaspersky Endpoint Security.
Обновлять права для ранее неизвестных программ из базы KSN
Если флажок установлен, то компонент Предотвращение вторжений обновляет права ранее неизвестных программ, используя базы Kaspersky Security Network.
Доверять программам, имеющим цифровую подпись
Если флажок установлен, то компонент Предотвращение вторжений помещает программы, имеющие цифровую подпись, в группу "Доверенные".
Если флажок снят, компонент Предотвращение вторжений не считает программы с цифровой подписью доверенными и распределяет их по группам доверия на основании других параметров.
Удалять права для программ, не запускавшихся более чем N дней
Если флажок установлен, то Kaspersky Endpoint Security автоматически удаляет информацию о программе (группа доверия, права доступа) при выполнении следующих условий:
- Вы вручную поместили программу в группу доверия или настроили права доступа.
- Программа не запускалась в течении заданного периода времени.
Если группа доверия и права программы определены автоматически, Kaspersky Endpoint Security удаляет информацию об этой программе через 30 дней. Изменить время хранения информации о программе или выключить автоматическое удаление невозможно.
При следующем запуске этой программы Kaspersky Endpoint Security исследует программу как при первом запуске.
Программы, для которых не удалось определить группу доверия, автоматически помещать в
Раскрывающийся список, элементы которого определяют, в какую группу доверия Kaspersky Endpoint Security будет помещать неизвестную программу.
Читайте также: