Local services tcp касперский что это
Сетевой экран блокирует несанкционированные подключения к компьютеру во время работы в интернете или локальной сети. Также Сетевой экран контролирует сетевую активность программ на компьютере. Это позволяет защитить локальную сеть организации от кражи персональных данных и других атак. Компонент обеспечивает защиту компьютера с помощью антивирусных баз, облачной службы Kaspersky Security Network и предустановленных сетевых правил.
Вы можете настроить сетевые правила на следующих уровнях:
- Сетевые пакетные правила. Используются для ввода ограничений на сетевые пакеты независимо от программы. Такие правила ограничивают входящую и исходящую сетевую активность по определенным портам выбранного протокола передачи данных. Kaspersky Endpoint Security имеет предустановленные сетевые пакетные правила с разрешениями, рекомендованными специалистами "Лаборатории Касперского".
- Сетевые правила программ. Используются для ограничения сетевой активности конкретной программы. Учитываются не только характеристики сетевого пакета, но и конкретная программа, которой адресован этот сетевой пакет, либо которая инициировала отправку этого сетевого пакета.
Контроль доступа программ к ресурсам операционной системы, процессам и персональным данным обеспечивает компонент Предотвращение вторжений с помощью прав программ.
Во время первого запуска программы Сетевой экран выполняет следующие действия:
- Проверяет безопасность программы с помощью загруженных антивирусных баз.
- Проверяет безопасность программы в Kaspersky Security Network.
Для более эффективной работы Сетевого экрана вам рекомендуется принять участие в Kaspersky Security Network.
Группа доверия определяет права, которые Kaspersky Endpoint Security использует для контроля сетевой активности программ. Kaspersky Endpoint Security помещает программу в группу доверия в зависимости от уровня опасности, которую эта программа может представлять для компьютера.
Kaspersky Endpoint Security помещает программу в группу доверия для компонентов Сетевой экран и Предотвращение вторжений. Изменить группу доверия только для Сетевого экрана или только для Предотвращения вторжений невозможно.
Если вы отказались принимать участие в KSN или отсутствует сеть, Kaspersky Endpoint Security помещает программу в группу доверия в зависимости от параметров компонента Предотвращение вторжений. После получения данных о репутации программы от KSN группа доверия может быть изменена автоматически.
При следующем запуске программы Kaspersky Endpoint Security проверяет целостность программы. Если программа не была изменена, компонент применяет к ней текущие сетевые правила. Если программа была изменена, Kaspersky Endpoint Security исследует программу как при первом запуске.
Приоритеты сетевых правил
Каждое правило имеет приоритет. Чем выше правило в списке, тем выше его приоритет. Если сетевая активность добавлена в несколько правил, Сетевой экран регулирует сетевую активность по правилу с высшим приоритетом.
Сетевые пакетные правила имеют более высокий приоритет, чем сетевые правила программ. Если для одного и того же вида сетевой активности заданы и сетевые пакетные правила, и сетевые правила программ, то эта сетевая активность обрабатывается по сетевым пакетным правилам.
Сетевые правила программ имеют особенность. Сетевые правило программ включает в себя правила доступа по статусу сети: публичная, локальная, доверенная. Например, для группы доверия "Сильные ограничения" по умолчанию запрещена любая сетевая активность программы в сетях всех статусов. Если для отдельной программы (родительская программа) задано сетевое правило, то дочерние процессы других программ будут выполнены в соответствии с сетевым правилом родительской программы. Если сетевое правило для программы отсутствует, дочерние процессы будут выполнены в соответствии с правилом доступа к сетям группы доверия.
Например, вы запретили любую сетевую активность всех программ для сетей всех статусов, кроме браузера X. Если в браузере X (родительская программа) запустить установку браузера Y (дочерний процесс), то установщик браузера Y получит доступ к сети и загрузит необходимые файлы. После установки браузеру Y будут запрещены любые сетевые соединения в соответствии с параметрами Сетевого экрана. Чтобы запретить установщику браузера Y сетевую активность в качестве дочернего процесса, необходимо добавить сетевое правило для установщика браузера Y.
Статусы сетевых соединений
Сетевой экран позволяет контролировать сетевую активность в зависимости от статуса сетевого соединения. Kaspersky Endpoint Security получает статус сетевого соединения от операционной системы компьютера. Статус сетевого соединения в операционной системе задает пользователь при настройке подключения. Вы можете изменить статус сетевого соединения в параметрах Kaspersky Endpoint Security. Сетевой экран будет контролировать сетевую активность в зависимости от статуса сети в параметрах Kaspersky Endpoint Security, а не операционной системы.
Выделены следующие статусы сетевого соединения:
-
Публичная сеть . Сеть не защищена антивирусными программами, сетевыми экранами, фильтрами (например, Wi-Fi в кафе). Пользователю компьютера, подключенного к такой сети, Сетевой экран закрывает доступ к файлам и принтерам этого компьютера. Сторонние пользователи также не могут получить доступ к информации через папки общего доступа и удаленный доступ к рабочему столу этого компьютера. Сетевой экран фильтрует сетевую активность каждой программы в соответствии с сетевыми правилами этой программы.
Сетевой экран по умолчанию присваивает статус Публичная сеть сети Интернет. Вы не можете изменить статус сети Интернет.
Параметры компонента Сетевой экран
Сетевые пакетные правила
Таблица сетевых пакетных правил. Сетевые пакетные правила используются для ввода ограничений на сетевые пакеты независимо от программы. Такие правила ограничивают входящую и исходящую сетевую активность по определенным портам выбранного протокола передачи данных.
В таблице представлены предустановленные сетевые пакетные правила, которые рекомендованы специалистами "Лаборатории Касперского" для оптимальной защиты сетевого трафика компьютеров под управлением операционных систем Microsoft Windows.
Сетевой экран устанавливает приоритет выполнения для каждого сетевого пакетного правила. Сетевой экран обрабатывает сетевые пакетные правила в порядке их расположения в списке сетевых пакетных правил, сверху вниз. Сетевой экран находит первое по порядку подходящее для сетевого соединения сетевое пакетное правило и выполняет его действие: либо разрешает, либо блокирует сетевую активность. Далее Сетевой экран игнорирует все последующие сетевые пакетные правила для данного сетевого соединения.
Сетевые пакетные правила имеют приоритет над сетевыми правилами программ.
Таблица, содержащая информацию о сетевых соединениях, которые Сетевой экран обнаружил на компьютере пользователя.
Сети Интернет по умолчанию присвоен статус Публичная сеть. Вы не можете изменить статус сети Интернет.
Таблица программ, работу которых контролирует компонент Сетевой экран. Программы распределены по группам доверия. Группа доверия определяет права, которые Kaspersky Endpoint Security использует для контроля сетевой активности программ.
Вы можете выбрать программу из единого списка всех программ, установленных на компьютерах под действием политики, и добавить программу в группу доверия.
Таблица сетевых правил программ, входящих в группу доверия. В соответствии с этими правилами Сетевой экран регулирует сетевую активность для программ.
В таблице отображаются предустановленные сетевые правила, которые рекомендованы специалистами "Лаборатории Касперского". Эти сетевые правила добавлены для оптимальной защиты сетевого трафика компьютеров под управлением операционных систем Windows. Удалить предустановленные сетевые правила невозможно.
Нередко случается, что антивирус касперского, который должен обеспечивать безопасность локальной сети, наоборот всячески мешает доступу к сетевым ресурсам.
Поэтому здесь мы разберем, что делать, если касперский блокирует локальную сеть, и какие настройки необходимы, если доступ к компьютеру ограничен.
Прежде чем приступать к диагностике проблемы, убедитесь, что
- – у вас установлена свежая версия антивируса;
- – на компьютере обновлен драйвер на сетевую карту.
Контроль приложений в KIS 8.0 (2009), или Что такое HIPS и как с ней работать
Вашему вниманию предлагается статья, содержащая необходимую информацию по работе с новым модулем Kaspersky Internet Security – «Контроль приложений». Смею надеяться, что она поможет вам лучше понять этот модуль и снять большинство вопросов, возникающих при знакомстве с ним.
Контроль приложений KIS 2009 – это классическая локальная система предотвращения вторжений (Host Intrusion Prevention System, HIPS), объединяющая в себе функционал проактивной защиты и сетевого экрана. HIPS позволяет гибко манипулировать разрешениями на доступ к файлам и реестру, системным правам и сетям различных типов, что, в свою очередь, помогает существенно снизить количество обращений к пользователю за счет предоставления полной свободы действий доверенным приложениям и полного ограничения в правах недоверенных приложений.
Основу любой HIPS составляет таблица правил. В одних продуктах она никак не разделяется, в других – разбивается на промежуточные таблицы в соответствии с характером правил (например, правила для файлов, правила для сетей, правила для системных привилегий и так далее), в третьих разделение таблицы происходит по приложениям и их группам. HIPS в KIS 2009 относится преимущественно к третьему типу, и большинство ее правил сгруппировано по приложениям.
Суть HIPS проста, но эффективна. Эти охранные системы контролируют определенные системные события (например, такие, как создание или удаление файлов), и каждый раз, когда эти события должны произойти, HIPS сверяется со своей таблицей правил, после чего действует в соответствии с заданными в таблице настройками. Сообразно действие либо разрешается, либо запрещается, либо HIPS задает пользователю вопрос о том, что ей следует предпринять в данном конкретном случае.
Из описанной выше сущности HIPS непосредственно вытекает первое правило, которое следует помнить при работе с такими системами: не следует ожидать от HIPS того, чего вы не сказали ей делать. Под защитой HIPS будут находиться только те объекты, которые обозначены в ее правилах, и, если вы, положим, захотите защитить от изменений корень системного диска, то, естественно, HIPS не догадается этого сделать только потому, что вы этого захотели. Для этого потребуется создание соответствующего правила.
Важной особенностью HIPS является групповая политика, которая позволяет применять одни и те же разрешения для всех приложений, внесенных в определенную группу. По умолчанию в KIS 2009 подготовлены четыре группы, по которым продукт будет автоматически распределять запускаемые на компьютере приложения. Это Доверенные, Слабо ограниченные, Сильно ограниченные и Недоверенные. Для каждой группы уже заданы определенные разрешения, которые, по мнению экспертов Лаборатории Касперского, являются оптимальными. В частности, Доверенные приложения никоим образом не ограничены в своих правах и возможностях, Слабо ограниченным запрещаются наиболее опасные для системы действия, Сильно ограниченным разрешены лишь те действия, которые не могут нанести существенного ущерба, а Недоверенные не могут выполнять практически никаких системных действий.
Основная таблица Контроля приложений позволяет быстро задавать однотипные разрешения для групп и отдельных приложений. В этой таблице четыре колонки – Операционная система, Конфиденциальные данные, Права и Сети. Сделаем очередной экскурс в идеологию HIPS, а затем вернемся к этим колонкам и работе с таблицами.
Правила HIPS обычно содержат три базовых компонента: субъект (т.е. приложение или группа, которое вызывает определенное событие), действие (разрешить, запретить или спрашивать пользователя) и объект (то, к чему приложение или группа пытается получить доступ). HIPS в KIS 2009 работает по тому же принципу. В зависимости от типа объекта правила разделяются на три группы:
- Файлы и системный реестр
- Системные права
- Сети
У первой и третьей группы объектом являются файлы, ключи реестра, а также сетевые объекты (IP-адреса и их группы, порты и направления).
У второй группы объект – это системные права на выполнение тех или иных действий (например, на запуск или остановку процессов).
Объекты для правил первого и третьего типа вы можете создавать и редактировать на вкладке Ресурсы. Там они распределены на несколько подгрупп для удобства работы с ними. Например, группа ресурсов Операционная система – это файлы и ключи реестра, обеспечивающие нормальную работу Windows, а ее подгруппа Параметры автозапуска – это полный набор ключей, которые обеспечивают автоматический старт компонентов системы; туда может прописаться вредоносное ПО для скрытого запуска. При желании вы можете создавать свои ресурсы и таким образом определять права доступа приложений к вашим собственным объектам.
Очевидно, что основные группы ресурсов, а также системные права и представлены в колонках основной таблицы Контроля приложений. Вы можете быстро задавать доступ к ним для групп и отдельных приложений.
Следует, однако, помнить, что некоторые правила неоднородны: например, для файлов и реестра можно отдельно определять разрешения на чтение, запись, удаление и перечисление. Из главной таблицы такую тонкую настройку выполнить невозможно – это делается с помощью расширенного редактирования правил. Выделение приложения или группы и щелчок по ссылке Редактировать вызывает упомянутый расширенный редактор. Здесь вы можете определить разрешения отдельно для каждого возможного объекта – скажем, в разделе Права перечислены все виды системных прав, которые контролирует KIS 2009.
Имейте в виду, что, если вы определяете разрешения для группы (положим, Доверенные), то эти настройки будут автоматически скопированы на все приложения, входящие в эту группу. Вместе с тем вы имеете возможность назначить отдельному приложению свои, индивидуальные права, отличающиеся от групповых.
Наследование прав
В KIS 2009 реализован механизм наследования прав. Когда одно приложение запускает другое, разрешения для первого автоматически передаются на второе. Если бы этого механизма не было, недоверенное приложение могло бы использовать доверенное в своих целях и, пользуясь его неограниченными привилегиями, творить что угодно. Теперь же, даже если доверенное будет запущено недоверенным, ему будут переданы настройки для недоверенных приложений, и система не будет повреждена.
Вместе с тем этот механизм имеет свои недостатки. В реальной работе довольно часто получается, что приложение обрабатывается не по своим правилам, а по правилам запустившего его процесса. Соответственно могут возникать ситуации, когда вы создали разрешающее правило по определенному действию для такого-то приложения, но это правило не срабатывает. В этом случае вы можете либо дать соответствующее разрешение родительскому процессу, либо в самом низу окна расширенного редактора правил снять галочку, определяющую автоматическую передачу этому приложению прав родительского процесса.
Сетевой экран
Правила, определяющие сетевую активность приложений, то есть правила Сетевого экрана, являются теперь частью таблицы HIPS. Работайте с ними, как со всеми прочими правилами HIPS, поскольку они устроены точно так же: субъект – действие – объект.
Наиболее общие настройки Сетевого экрана находятся в колонке Сети главной таблицы Контроля приложений. Если задать действие Разрешить для всех групп приложений, то Сетевой экран будет работать в режиме, эквивалентном прежнему «Разрешать все». Задание вердикта Запрос действия равнозначно включению Режима обучения. Действие Запретить для всех групп переводит Сетевой экран в режим Блокировать все.
Вы можете, к примеру, установить режим обучения для слабо и сильно ограниченных приложений, разрешить все доверенным и блокировать все для недоверенных.
Детальная настройка правил доступна вам либо в таблице Сети расширенного редактора правил, либо на вкладке Сетевые пакеты. Здесь перечислены так называемые пакетные правила, определяющие доступ приложений к сетевым ресурсам. В самом верху списка, под заголовком "Пакетные правила", собраны правила без приложения, т.е. без субъекта; они применяются ко всем приложениям на компьютере. Ниже, сгруппированные по субъекту, размещаются правила для конкретных приложений.
В списке пакетных правил для каждого приложения вы увидите три неактивных правила, затененных серым и неизменяемых. Эти три правила отражают разрешения, заданные в главной таблице Контроля приложений (т.е. если в главной таблице в колонке Сети для этого приложения стоит вердикт Запрос действия, то и в этих серых правилах будет обозначен вердикт Запрос действия). Это правила самого низкого приоритета, и они работают только в том случае, если нет никаких противоречащих им правил более высокого приоритета. Не обращайте на них особенного внимания, на этой вкладке они играют только роль индикаторов.
Очень разнообразны объекты правил для Сетевого экрана. Их несколько типов, от более глобальных до более узких, но все они являются ресурсами, то есть доступны на вкладке Ресурсы, и все они могут быть объектами правил. Давайте остановимся на этом более подробно.
Наиболее глобальный объект – это сеть. Продукт различает три типа сетей: доверенные, локальные и публичные, и каждый раз при активизации незнакомого подключения KIS 2009 спросит вас, к какому типу отнести эту сеть. Обратите внимание, что, если развернуть колонку Сети в главной таблице, можно задать отдельные общие разрешения для каждого типа сетей. Поэтому и неактивных пакетных правил для каждого приложения три: первое отражает настройки для доверенных сетей, второе – для локальных, третье – для публичных.
Если вы определили свое подключение как публичную сеть, иначе Интернет, то абсолютно любая активность приложения по отношению к этой сети будет считаться обращением к ресурсу «Публичные сети» и обрабатываться по третьему неактивному пакетному правилу, если нет противоречащих этому правил.
Итак, допустим, вы определили приложению application.exe Запрос действия при работе с Публичными сетями. Обучение для этого приложения еще не началось, и список правил пуст (за исключением упомянутых выше неактивных правил). Поэтому при обращении application.exe к ресурсу в сети Интернет (например, IP-адресу 123.456.789.0) продукт предъявит вам вопрос режима обучения – что делать с этой попыткой соединения?
С помощью мастера создания детального правила вы можете создать разрешающее правило для application.exe, которое позволит ему без вопросов в дальнейшем соединяться с указанным IP. На первой странице мастера вы выбираете вердикт Разрешить и переходите на вторую страницу.
Здесь вы встречаетесь со следующим типом объекта для правила Сетевого экрана – сетевым сервисом. В этом типе ресурса собрано значительное количество шаблонов определенной сетевой активности – например, DNS-запрос. Сетевой сервис «Исходящая DNS-активность» будет, таким образом, содержать данные о направлении (исходящее), протоколе (UDP) и удаленном порте (53). Продукт автоматически подбирает вам подходящие сетевые сервисы из своей базы; вы можете также просмотреть весь список или создать свой сетевой сервис (потом его можно будет найти на вкладке Ресурсы).
Теперь заготовка правила почти готова: она содержит субъект (application.exe), действие (Разрешить) и объект (сетевой сервис «Исходящая DNS-активность»). Остался последний компонент сетевого правила – можно назвать его вторичным объектом. Это IP-адрес.
IP-адрес также может входить в ресурс, то есть быть объектом. В один ресурс можно собрать и группу адресов, и диапазон, и несколько диапазонов, после чего назначить все это вторичным объектом правила. В мастере вы можете создать ресурс (куда автоматически будет добавлен IP-адрес, на которое приложение обращалось изначально) или выбрать его из списка уже созданных.
В результате в списке пакетных правил образовалось новое, уже активное правило, которое разрешает приложению application.exe доступ к объекту «Исходящая DNS-активность» со вторичным объектом «IP-адрес 123.456.789.0». Это правило более приоритетно, чем серые неактивные правила, и теперь, когда application.exe будет отсылать исходящий UDP-пакет на адрес 123.456.789.0 и порт 53, продукт обнаружит данное правило в списке и будет действовать в соответствии с ним. Но, если application.exe обратится уже по протоколу TCP на адрес 12.34.56.78 и порт 80, соответствующего правила обнаружено не будет, и вновь сработает серое неактивное правило запроса действия при обращении к публичным сетям.
Обратите внимание: активные пакетные правила неравноправны. Список пакетных правил устроен иерархически, то есть правило, расположенное выше, приоритетнее правила, расположенного ниже. К неактивным правилам это не относится.
Например, вам требуется разрешить приложению посещать два конкретных IP-адреса из диапазона, а доступ ко всем прочим IP этого диапазона запретить. Теперь процедура такой настройки проста. Создайте ресурс, куда впишите требуемые адреса; на вкладке Сетевые пакеты создайте приложению пакетное правило, разрешающее ему любую сетевую активность на созданный вами ресурс. Теперь создайте другой ресурс, содержащий требуемый диапазон; создайте второе правило, запрещающее приложению любую сетевую активность на этот ресурс. С помощью расширенного редактора поднимите первое правило выше второго.
Теперь, если обращение приложения подпадает под действие первого правила, доступ будет разрешен. Если же нет, продукт проверит, не подпадает ли оно под действие второго правила. Подпадает – действие будет запрещено. Не подпадает – продукт перейдет к следующему правилу по списку, и так будет сверять, пока правила не закончатся. Если никакое из активных правил не соответствует обращению приложения к сети, решение будет принято в соответствии с неактивными правилами.
Приложение. Перевод англоязычных названий сетевых ресурсов
DNS over TCP / UDP - запрос к серверу доменных имен DNS по протоколу TCP или UDP
Sending / Receiving E-mails - отправка / прием электронной почты
Web-Browsing - просмотр страниц Интернета с помощью обозревателя
IRC-Activity (out) - исходящая активность интернет-чатов IRC
DHCP Address Assignment (UDP) - обращение к сервису присвоения IP-адресов DHCP по протоколу UDP
Any outgoing TCP / UDP stream - любая исходящая активность по протоколу TCP или UDP
Any incoming TCP / UDP stream - любая входящая активность по протоколу TCP или UDP
Any incoming ICMP - любая входящая активность по протоколу ICMP
Local Services (TCP / UDP) - входящие соединения по протоколу TCP или UDP с локальными портами, которые открывают службы операционной системы
ICMP Echo Request (in / out) - исходящие или входящие эхо-запросы по протоколу ICMP
ICMP Echo Reply (in) - входящий эхо-ответ по протоколу ICMP
ICMP Destination Unreachable (in) - входящий ответ "компьютер назначения недоступен" по протоколу ICMP
ICMP Time Exceeded (in) - входящий ответ "время ожидания истекло" по протоколу ICMP
Any network activity - любая сетевая активность
ActiveSync - сетевая активность, необходимая для работы технологии ActiveSync
Remote Desktop - сетевая активность, необходимая для работы технологии удаленного рабочего стола
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.
Похожий контент
случилось это примерно 2 недели назад, я что-то скачал, не помню что и началось это. у меня не устанавливался ни один антивирус, вирус их закрывал. файл хостс тоже был переполнен блокировками против сайтов. я еле-еле установил антивирус Malwarebytes и drweb и вроде почистил все, но с каждым запуском компа файлы вируса появляются, а удалить я их не могу, тк восстанавливаются при перезапуска. автозагрузка в диспетчере задач тоже не работает, пишет что нет элементов. сегодня хотел переустановить виндоус, но файл просто закрывается и ничего не происходит. не знаю что делать. при том заметил что криптокошельки которые скопировал меняются на неизвестный мне кошелек, я понял что у меня в компе сидит куча троянов которые мешают жить и скорее всего воруют мои денные. помогите пожалуйста!
Словил шифровальщик.
Похоже что зашли на сервер по RDP.
Зашифровано всё, в том числе и бэкапы.
Файлы имеют вид - [WinLock@keemail.me][код]имя файла.Loki
Есть способ расшифровать такие файлы ?
[mod]Не надо выкладывать вирусы на форуме[/mod]
FRST.zip files.zip
Скрытно нагружает видеокарту на 100%, это наблюдается в MSI Afterburner, но не наблюдается в диспетчере задач. Пытался почистить при помощи UnHackMe, помогает только до первой перезагрузки, после майнер устанавливается заново.
CollectionLog-2022.05.01-01.22 (1).zip
Потом, постоянно стало выскакивать вот это:
Что за беда приключилась, чего делать-то.
На вирусы проверял, ничего не нашлось.
Что делать, если касперский блокирует локальную сеть?
Для проверки следует временно отключить защиту. Для этого правой кнопкой мыши кликните по значку антивируса в системном трее и выберите пункт «приостановить защиту».
Также необходимо отключить брандмауэр windows – Касперский сам выполнит задачу сетевого экрана, присвоит статусы и будет контролировать сетевое соединение. Если же оставить брандмауэр включённым, то антивирус будет периодически отключать сеть.
Необходимо сразу запомнить название сети и проверить её настройки.
Для этого зайдите «Пуск» – «Панель управления» – «Сеть и интернет» – «Центр управления сетями и общим доступом» – «Изменение параметров адаптера» – «Подключение по локальной сети» (имя локальной сети по умолчанию – модель сетевой карты: Realtek RTL8102E…, Atheros и другие).
Также рекомендуется отключить DHCP на сетевом оборудовании. Теперь потребуется перезагрузить компьютер. Если всё ОК включите защиту касперского обратно.
Настройка касперского для локальной сети:
1) откройте главное окно антивируса;
2) внизу слева кликните знак настройки (шестерёнка);
3) в левой колонке нажмите “защита”;
4) далее в правом окне – “сетевой экран”;
5) внизу – кнопку “сети”;
6) выберите свою сеть (название которой вы запомнили ранее)
Двойным кликом откройте свойства сети и выберите тип сети “доверенная сеть”. Далее по необходимости можно отключить драйвер NDIS filter (скорость обмена по сети значительно увеличится). Отключается он в настройках локальной сети и настройке не подлежит.
Включать и перезагружать компьютер необходимо с включенной локальной сетью и подключенным к сетевой карте компьютера кабелем, т.к. Касперский начинает конфликтовать со службой “Обозреватель компьютеров”.
Также можно запрещать или ограничивать определённым программам выход в локальную сеть. Для этого выполните пункты с первого по четвёртый и выберите “Настроить правила программ”.
Здесь есть на выбор четыре группы: доверенные, слабые ограничения, сильные ограничения и недоверенные. С помощью правой кнопки мыши выберите подходящий приоритет для работы программ, после чего добавьте новые группы и программы. Для этого выберите:
- подробности и правила
- сетевые правила
- ограничения
- сбросить параметры
- удалить из списка
- открыть папку программы
Правила программ по умолчанию “наследуются” от установленной программы, но их можно поменять на необходимые. Для этого правой кнопкой мыши кликните нужную программу (или подгруппу) и выберите соответствующий пункт в меню.
Первый шаг к безопасному путешествию по бескрайним просторам всевозможных сетей это конечно же установка надежного средства защиты. Одним из немногих таких средств является комплексный продукт Kaspersky Internet Security.
Первый шаг к безопасному путешествию по бескрайним просторам всевозможных сетей это конечно же установка надежного средства защиты. Одним из немногих таких средств является комплексный продукт Kaspersky Internet Security. Несмотря на то, что KIS продукт достаточно сложный, он сразу после установки готов выполнять все возложенные на него обязанности. Необходимость в дополнительных настойках возникает крайне редко, и это очень большой плюс разработчикам. Но необходимо понимать, что эта возможность базируется на острой грани компромиссных решений. В чем они заключаются рассмотрим на примере сетевого экрана.
Настройки сетевого экрана состоят из двух частей: правила для программ и пакетные правила. При помощи правил программ можно разрешать или запрещать определенным программам или группам программ посылать или принимать пакеты или устанавливать сетевые соединения. При помощи пакетных правил разрешается или запрещается устанавливать входящие или исходящие соединения, и передача или прием пакетов.
Посмотрим, что представляют собой правила для программ.
Все программы имеется четыре категории:
- Доверенные – им разрешено все без исключения.
- Слабые ограничения – установлено правило “запрос действия”, позволяющее пользователю по самостоятельно принимать решение о целесообразности сетевого общения программ этой группы.
- Сильные ограничения – в части разрешения работы с сетью, то же, что и слабые.
- Не доверенные – по умолчанию этим программам запрещено любое сетевое общение (по человечески очень жаль их).
В группу “доверенные” по умолчанию помещены все программы от Микрософт, собственно сам KIS и другие программы известных производителей. Для настроек по умолчанию выбор хороший, но лично я не стал бы всем программам, пусть даже и именитых производителей, так безраздельно доверять.
Как же попадают программы в ту или иную группу? Здесь все не так просто. Решение о помещении конкретной программы в одну из четырех групп принимается на основе нескольких критериев:
- Наличие сведений о программе в KSN (Kaspersky Security Network).
- Наличие у программы цифровой подписи (уже проходили).
- Эвристический анализ для неизвестных программ (что то типа гадания).
- Автоматически помещать программу в заранее выбранную пользователем группу.
Все эти опции находится в настройках “Контроль программ”. По умолчанию установлены первые три опции, использование которых и приводит к большому количеству “доверенных” программ. Четвертую опцию можно выбрать самостоятельно как альтернативу первым трем.
Проведем эксперимент. Поместим какую либо программу (например, браузер “Opera”) в список программ со слабыми ограничениями и посмотрим как работает правило “запрос действия”. Для вступления правил программ в действие нужно закрыть и снова открыть программу, правила для которой были изменены. Если теперь попробовать зайти на любой сайт, то никакого запроса действия не произойдет, а программа спокойно установит сетевое соединение. Как оказалось, правило “запрос действия” работает только если в основных параметрах защиты снят флажок с опции “Выбирать действие автоматически”.
Еще один сюрприз ожидает пользователей сетевых утилит типа ping, tracert (если правило “запрос действия” распространить на доверенные программы), putty (ssh клиент) и, возможно, им подобных. Для них KIS упорно не хочет выводить экран запроса действия. Здесь выход может быть только один – устанавливать разрешения для конкретной программы вручную.
Прежде, чем перейти к пакетным правилам, позволю себе один совет: создавайте для каждой группы программ свои подгруппы. Например: “Сетевые утилиты”, “Офисные программы”, “Программы для Интернета”, и т.д. Во первых, всегда можно будет быстро найти нужную программу, и, во вторых, можно будет устанавливать правила на определенные группы, вместо установки правил для отдельных программ.
В пакетных правилах определяются отдельные признаки пакетов: протокол, направление, локальный или удаленный порт, сетевой адрес. Пакетные правила могут действовать как “разрешающие”, “запрещающие” и “по правилам программ”. Правила просматриваются сверху вниз пока не будет найдено разрешающее или запрещающее правило по совокупности признаков. Если правило для пакета не найдено, то применяется правило по умолчанию (последнее). Обычно в сетевых экранах последним правилом устанавливают запрет на прием и передачу любых пакетов, но для KIS это правило разрешающее.
Область действия правил охватывает определенную область: “любой адрес” (все адреса), “адрес подсети” – здесь можно выбрать тип подсети “доверенные”, “локальные” или “публичные”, и “адреса из списка” – указать IP адреса или доменные имена вручную. Отношение конкретной подсети к “доверенной”, “локальной” или “публичной” устанавливается в общих нстройках сетевого экрана.
Пакетные правила KIS, в отличие от большинства сетевых экранов, перегружены большим числом направлений: “входящее”, “входящее (поток)”, “исходящее”, “исходящее (поток)”, и “входящее/исходящее”. Причем, правила с некоторыми сочетаниями протокола и направления не работают. Например, правило запрета ICMP в сочетании с потоковыми направлениями работать не будет, т.е. запрещенные пакеты будут проходить. К UDP пакетам почему то применяются потоковые направления, хотя UDP протокол по своей природе как такового “потока” не создает, в отличии от TCP.
Еще один, не совсем приятный момент заключается в том, что в пакетных правилах отсутствует возможность указать реакцию на запрет входящего пакета: запретить прием пакета с уведомлением отправившей его стороны или просто отбросить пакет. Это так называемый режим “невидимости”, который раньше в сетевом экране присутствовал.
Теперь обратимся к собственно правилам.
1 и 2 правила разрешают по правилам программ отправлять DNS запросы по протоколам TCP и UDP. Безусловно, оба правила полезны, но в основном такие сетевые программы как почтовые и браузеры запрашивают адреса сайтов через системную службу DNS, за работу которой отвечает системная программа “svchost.exe”. В свою очередь, сама служба использует вполне конкретные адреса DNS серверов, указываемые вручную или через DHCP. Адреса DNS серверов меняются редко, так что вполне хватило бы разрешения отправки DNS запросов для системной службы “svchost.exe” на фиксированные сервера доменных имен.
3 правило разрешает программам отправку электронной почты по протоколу TCP. Здесь также, как и для первых двух правил, достаточно было бы создать правило для конкретной программы работы с электронной почтой указав на какой порт и сервер производить отправку.
4 правило разрешает любую сетевую активность для доверенных сетей. Будьте очень внимательны при включении этого правила, не перепутайте случайно тип сети. Это правило фактически отключает функции сетевого экрана в доверенных сетях.
5 правило разрешает любую сетевую активность по правилам программ для локальных сетей. Это правило хоть и не отключает полностью сетевой экран, но в значительной степени ослабляет его контрольные функции. По логике 4 и 5 правила нужно было бы разместить в самом верху, чтобы предотвратить обработку пакетов правилами 1 – 3 при нахождении компьютера в доверенной или локальной сети.
6 правило запрещает удаленное управление компьютером по протоколу RDP. Хотя область действия правила “все адреса”, но фактически оно действует только в “публичных сетях”.
7 и 8 правило запрещает доступ из сети к сетевым службам компьютера по протоколам TCP и UDP. Фактически правило действует только в “публичных сетях”.
9 и 10 правила разрешают всем без исключения подключаться к компьютеру из любых сетей, конечно исключая службы, запрещенные правилами 6 – 8. Действует правило только для программ с разрешенной сетевой активностью. Но будьте очень внимательны, сетевая активность по умолчанию разрешена практически всем программам за исключением не доверенных.
11 – 13 правила разрешают прием входящих ICMP пакетов для всех программ. Смысла в этих правилах не больше, чем в 1 – 3, потому, что ICMP в подавляющем большинстве случаев использует программа ping и tracert.
14 правилом запрещается прием всех типов ICMP пакетов, разумеется за исключением разрешенных правилами 11 – 13.
16 правило запрещает входящий ICMP v6 эхо запрос. ICMP v6 в подавляющем большинстве случаев не нужен. Можно было бы запретить его полностью.
17 правило разрешает все, что явно не разрешено или запрещено предыдущими правилами. Это правило хотя и не отображается на экране, но помнить о его существовании безусловно необходимо.
Настройки сетевого экрана KIS по умолчанию безусловно хороши и подходят большинству пользователей домашних компьютеров, на которых, собственно, и ориентирован этот продукт. Но гибкость и нетребовательность к дополнительным настройкам, о которой упоминалось в начале статьи, к сожалению достигается за счет безопасности самих же пользователей, делая эту самую безопасность очень сильно зависимой от человеческого фактора: знаний и безошибочных действий самого пользователя.
Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!
Читайте также: