Настройка kaspersky endpoint security 11
Являясь параноиком (в хорошем смысле этого слова) в области компьютерной безопасности, я большое внимание уделяю настройке сетевого экрана, без которого в Интернет лучше не ходить. Уже многие годы я пользуюсь корпоративными продуктами АО «Лаборатория Касперского», которые считаю лучшими на рынке антивирусного программного обеспечения. На Windows XP ранее использовал Kaspersky Anti-Virus 6.0 for Windows Workstations (KAV WKS 6.0.3.837), а на Windows 10 установил Kaspersky Endpoint Security 11 (KES 11.1.1.126), о сетевом экране которого и пойдёт речь.
Вторая линия защиты: Kaspersky Endpoint Security 11
В сетевом экране Kaspersky Endpoint Security (как и Kaspersky Internet Security) используются пакетные правила и правила программ. Первые имеют преимущество над вторыми. В настройках по умолчанию уже установлены пакетные правила (для домохозяек), которые можно отключить или удалить (предварительно сохранив резервную копию), поскольку они не обеспечивают желаемый уровень защиты. Логика максимальной защиты KES 11 заключается в том, что и в правилах программ (для всех групп доверия), и в пакетных правилах запрещается любая сетевая активность (за исключением программ, которым будут разрешены инициированные ими исходящие потоки на заданные порты).
How to get a GUID of the patch
Удаленная настройка защиты от программ-шифровальщиков
Убедитесь, что компоненты «Анализ поведения», «Откат вредоносных действий» и «Защита от Эксплойтов» включены в настройках программы.
1. Вам потребуется Kaspersky Security Center, скачать который можно на нашем сайте. Установите и откройте приложение.
2. Перейдите в Управляемые устройства / Политики / Продвинутая защита / Предотвращение вторжений / настройка
3. Добавите категорию во вкладке Персональные данные.
4. Задайте имя для категории. Ок.
5. Выберите Защищаемые типы файлов и создайте дополнительные подкатегории, например, Изображения, или Документы. Для этого требуется повторить шаги 3 и 4.
6. Выберите подходящую категорию для защищаемого типа файлов. Например, для файлов типа .jpg или .jpg выберите категорию Изображения. Добавить / Файл или папку.
7. Заполните поле Название и нажмите Обзор. Далее, кажите маску типа файла в виде: *.. Сохраните прогресс.
8. Добавьте остальные типы файлов, требующих защиты. Повторите шаги 6 и 7.
9. Настройте правила доступа программ из групп с сильными и слабыми ограничениями. Обозначьте категорию Защищаемые типы файлов. Установите запрет на запись, удаление и создание файлов. Нажмите Записывать в отчет.
10. Необходимые программы должны быть в доверенной группе. Нажмите ОК / Сохранить.
12. Установите флажок На Сервере администрирования в течение (сут). При необходимости настройте отправку уведомлений о событиях на электронную почту. Нажмите OK.
13. Компонент Предотвращение вторжений будет настроен для защиты от программ-шифровальщиков. Если на клиентском компьютере будет запущен вредоносных файл, Kaspersky Security Center 10 зарегистрируется событие. Чтобы следить за событиями, перейдите в Сервер администрирования → События.
Если на сервере регистрируется много событий – устаревшие будут удаляться.
Продлить Вашу текущую лицензию Kaspersky Endpoint Security для бизнеса можно на нашем сайте. Скидка на продление лицензии до 35%. Продукты: Расширенный, Универсальный и Total для бизнеса дополнительно участвуют в акции "Подарок за покупку". Благодаря акции, Вы получите подарочные сертификаты OZON на 10% от суммы покупки.
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.
Locally through the command line
- Open the command line on the client device.
- Run the following command:
- To uninstall the patch:
Сетевые пакетные правила
Ниже представлены настройки, которые я использую (это неполный список):
В первую очередь я запретил исходящую активность в доверенные и локальные сети, которых у меня нет. Почему только исходящую? Если запретить в пакетных правилах любую сетевую активность, то в правилах программ автоматически удалятся правила по умолчанию для доверенной, локальной и публичной сетей (изначально разрешающие любую сетевую активность в группах «Доверенные» и «Слабые ограничения»). Ничего критичного в этом нет, но у всех программ не будет никаких правил, а выход в сеть им будет запрещён.
Третье правило разрешает подключения к DHCP-серверу для назначения компьютеру IP-адреса (с локального порта UDP 68 на удалённый порт UDP 67). Сейчас я использую Интернет 3G, и данное правило у меня отключено.
Далее следуют правила для избранных программ, разрешающие инициированные ими исходящие потоки с локальных портов 49152-65535 (диапазон динамических портов Windows 10 ), которые обязательно указывайте (тем самым будут закрыты локальные порты 1-49151):
- DNS-серверы — удалённый порт TCP/UDP 53, локальные порты TCP/UDP 49152-65535, удалённые IP-адреса 77.88.8.2, 77.88.8.88;
- FTP-клиент WinSCP — удалённые порты TCP 21, 1024-6659, 7001-65535 (порты 6660-7000 используются для исходящей IRC-активности, которую нужно запретить), локальные порты TCP 49152-65535, удалённый IP-адрес хостинг-провайдера;
- SSH-клиент WinSCP — удалённый порт TCP 22, локальные порты TCP 49152-65535, удалённый IP-адрес хостинг-провайдера;
- браузеры — удалённые порты TCP 80, 443 (если используются порты PROXY и SOCKS, их нужно добавить), локальные порты TCP 49152-65535;
- почтовый клиент The Bat! — удалённые порты TCP 465, 995 (для защищённых подключений), локальные порты TCP 49152-65535.
- последнее правило запрещает любую исходящую сетевую активность, блокируя все неиспользуемые протоколы и порты.
Решение
Все шаги инструкции выполняются последовательно:
- Установлен ли пароль на удаление. Если защита установлена, убедитесь, что Вам известен корректный пароль. Подробнее в справке.
- Установлена и активна Служба базовой фильтрации (Base Filtering Engine).
- Установка или удаление происходит под учетной записью с правами администратора.
- На устройстве установлено стороннее ПО, ограничивающее права или запрещающее установку/удаление программ.
- Что вы корректно выполнили шаги установки программы. Использовали обязательные параметры EULA=1 и PRIVACYPOLICY=1 для принятия условий Лицензионного соглашения и Политики конфиденциальности. Подробнее в справке и статье.
- Возможно ли удалить программу локально без использования задачи Kaspersky Security Center.
- Настройки групповых политик (GPO). Или перенесите устройство в контейнер (OU) без действующих политик и форсируйте применение настроек. Подробнее в статье.
- Используемые в библиотеках шифрования алгоритмы. Они должны быть одинаковыми. Установочный пакет Kaspersky Endpoint Security. Если в нем присутствует файл первоначальной конфигурации install.cfg, попробуйте выполнить установку без него.
3. При наличии стороннего программного обеспечения, имеющего отношение к защите хранимой и передаваемой информации (например, КриптоПро CSP), установите последние версии этих программ.
4. Скачайте самую новую версию дистрибутива программы «Лаборатории Касперского», перезагрузите устройство и повторите попытку установки или удаления.
5. Скачайте и запустите kavremover в безопасном режиме. Перезагрузите устройство и повторите попытку установки.
6. Если программа Kaspersky Endpoint Security для Windows повреждена и вы хотите восстановить ее, запустите в командной строке команду восстановления в соответствии с версией программы:
Заполните поля KLLOGIN и KLPASSWD и уточните путь к файлу логов.
7. Если на момент установки на компьютере присутствует Kaspersky Endpoint Security для Windows или выполняется удаление программы, воспользуйтесь рекомендациями ниже и повторите попытку установки или удаления:
Рекомендации носят временный характер и необходимы только в процессе очередной попытки установить или удалить программу.
Убедитесь, что компоненты «Анализ поведения», «Откат вредоносных действий» и «Защита от Эксплойтов» включены в настройках программы.
1. Откройте KES для Windows.
2. Нажмите Настройка.
3. Следуйте по пути: Продвинутая защита / Предотвращение вторжений / Ресурсы.
4. Выберите Персональные данные. Нажмите Добавить / Категорию
5. Задайте имя для категории
6. В поле Защищаемые типы файлов создайте подкатегорию для файлов и папок на ПК. Для этого повторите шаги 4 и 5.
7. Выберите подходящую категорию для защищаемого типа файлов. Например, для файлов типа .doc или .docx выберите категорию Документы. Добавить / Файл или папку.
8. Заполните поле Название и нажмите Обзор. Далее, кажите маску типа файла в виде: *.. Сохраните прогресс.
9. Добавьте необходимые типы файлов. Для этого требуется повторить шаги 7 и 8.
10. Настройте правила доступа программ из групп с сильными и слабыми ограничениями. Обозначьте категорию Защищаемые типы файлов. Установите запрет на запись, удаление и создание файлов. Нажмите Записывать в отчет.
11. Необходимые программы должны быть в доверенной группе. Нажмите ОК / Сохранить.
Компонент Предотвращения вторжений готов к защите файлов от программ-шифровальщиков.
Похожий контент
Здравствуйте.
У нас стоит KSC13.2 и в "обновление программного обеспечение " неправильно назначаются обновления на KES11. Пишет что надо поставить на "Kaspersky Endpoint Security 10 Service Pack 2 Maintenance Release 4 для Windows" на 140 компьютеров, хотя у меня стоит KES 11.1. Как назначить обновления для KES11?
Что ловят модули "Защита от сетевых угроз" и "Предотвращение вторжений"? Развернул тестовый стенд с Windows 7 и KES 11.8.0.384. Попробовал из Kali Linux сбрутить пароль локального админа с помощью crackmapexec, у каспера 0 реакции. Попробовал ARP-spoofing, абсолютно также ничего. От каких сетевых угроз тогда защищает модуль? Только от более-менее известных эксплоитов на сетевые службы и все?
Добрый день.
Прилетело вот такое неизвестное счастье, как на скриншотах.
Запускал отчет о сетевых атаках на KSC 13.2. На одно устройство приходится порядка 50-60 таких атак. Причем на другие устройства приходит сетевая атака Mac Spoofing Attatck.
Связанная ли данная сетевая атака с Mac Spoofing Attatck и можно ли как-то идентифицировать устройство, с которого это рассылается? Так как адрес 192.168.0.1. не используется в сети.
Здравствуйте, подскажите что может быть не так, после установки KES 11.6.0.394 AES56 и Агента администрирования 11.0.0.1131 к антивирусу не происходит применение политик. Обычно после установки агента политики подхватываются автоматически, но на этом компьютере ничего не происходит, сам агент запущен. Если выбрать "Поддержка", то видно что Сервер администрирования прописан и указан верный.
P.S. Администратором этого сервера я не являюсь
To check the version of list of patches installed on a device:
- Click the Kaspersky Endpoint Security 11 icon on Windows taskbar.
- In the context menu, select About.
- Go to Control Panel → Programs and Features and click View installed updates in the upper-left corner.
KES GUID
To learn Kaspersky Endpoint Security GUID, run the command below on the device with Kaspersky Endpoint Security installed:
Порты TCP и UDP
Ниже представлена таблица портов TCP и UDP, которые нужно открыть для работы некоторых программ. Каждая из них (за исключением клиента FTP/SSH, который подключается к IP-адресу хостинг-провайдера напрямую) требует также разрешения на исходящие DNS-запросы (служба DNS отключена за ненадобностью, так как любая программа может выполнять DNS-запрос).
Запрещается републикация статьи без указания активной прямой ссылки на источник.
За помощью в решении различных задач по программированию на языках PHP, JavaScript (включая jQuery) обращайтесь через раздел «Контакты» .
Установка и удаление корпоративной версии Лаборатории Касперского может пройти не так гладко, как это запланировал пользователь. Разберем основные ошибки системы и дадим рекомендации к их устранению.
Сетевые правила программ
В правилах программ для групп «Доверенные» и «Слабые ограничения» я изменил настройки, разрешавшие любую сетевую активность в доверенной, локальной и публичной сетях (запретив её). И дополнительно добавил запрет на исходящие потоки, включив запись в отчёты (чтобы отслеживать программы, которые без ведома пользователя лезут в Интернет):
Таким образом, подключиться к публичной сети (Интернет) могут только программы, в настройках которых заданы перечисленные на снимке № 1 разрешающие правила:
Patch GUID
To view the GUID from the patch file:
- Open the properties of the installation file of the patch.
- Go to the Details tab.
Information about GUID will be displayed in the Edition line.
To view GUID on the device:
- Go to Control Panel → Programs and Features.
- Click View installed updates in the upper-left corner.
- Press Alt.
- Go to View → Choose details.
- Select the checkbox for Update ID and click OK.
Information about GUID will be displayed in the list.
How to remove the patch
Remotely through Kaspersky Security Center
To remove a patch from all devices in the network:
- In the Administration Console, go to Advanced → Application management → Software updates.
- Open the properties of the patch to remove.
- Select the status Declined in the Update approval drop-down list.
After running an update task, the patch will be removed from all devices in the network.
To remove a patch from a specific device or a group of devices:
- In the Administration Console, go to Advanced → Remote installation → Installation packages.
- In the right frame, click Create installation package.
- Select Create an installation package for the specified executable file.
- Enter the name for the package and click Next.
- Click Select and specify the path to the MSP file with the patch. The file must be located in the folder with MSP and MSI files of the major application version.
- In the Executable file command line field enter the following:
- To uninstall the patch:
Remotely through Kaspersky Security Center
To get the list of patches installed in the network:
- Open Kaspersky Security Center.
- Open the Reports tab.
- Right-click Kaspersky Lab software version report and select Properties.
- Select one of the following sections:
- Fields if you are using Kaspersky Security Center 13.
- Fields for report if you are using Kaspersky Security Center 12.
- Select the checkbox for Updates installed in the Details fields and click OK.
- Right-click Kaspersky Lab software version report and select Show report.
In the report, you will see the list of patches installed on the computers in the network.
To get the list of patches installed on a managed computer:
- Open Kaspersky Security Center and go to Managed devices.
- Open the properties of the device.
- Open Applications registry.
- Select the checkbox Show updates.
- Click OK.
Information about installed patches will be displayed in the list.
To view the list of devices on which a specific patch is installed:
- Open Kaspersky Security Center and go to Device selections.
- Click Advanced → Create a selection.
- Enter a name for the selection and click OK.
- Click Selection properties.
- Go to Conditions, choose the created selection and click Properties.
- Open Applications registry.
- In the Application name field, set the parameter .
- Select the checkbox Find by update.
The search results will appear in the list of devices.
Первая линия защиты: Яндекс.DNS
Первая линия защиты, которую нужно обязательно использовать, — безопасные публичные DNS-серверы. Отличное решение, обеспечивающее защиту компьютера от ботов и опасных сайтов (в режиме «Безопасный» — IP 77.88.8.2, 77.88.8.88), а также материалов для взрослых и прочего виртуального шлака (в режиме «Семейный» — IP 77.88.8.3, 77.88.8.7), — Яндекс.DNS . Бесплатный рекурсивный DNS-сервис ограждает компьютер от ботнетов, заражённых и мошеннических сайтов, в чём я не раз убеждался.
Locally through the installation wizard
- Go to Control Panel → Programs and Features.
- Click View installed updates in the upper-left corner.
- In the context menu of the patch, click Delete.
Основные ошибки
- Ошибка 27200. Невозможно выгрузить программу из оперативной памяти.
- Ошибка 27300. Ошибка при установке драйвера.
- Ошибка 27320. Ошибка при настройке службы.
- Ошибка 1603. Ошибка процесса установки.
- Ошибка 1723. Обнаружена проблема в пакете мастере установки программы.
- Ошибка 27460. Ошибка при создании дескрипторов защиты.
- Ошибка: Пароль или имя пользователя для удаления программы не заданы либо заданы неверно.
- Удаленная установка на устройстве завершена с ошибкой: В процессе установки произошла неисправимая ошибка.
- Удаленная установка на устройстве завершена с ошибкой: Для установки необходимо принять условия Лицензионного соглашения.
- Удаленная деинсталляция на устройстве завершена с ошибкой: Не удалось определить строку для автоматического удаления программы.
- После установки продукта его компоненты находятся в состоянии ошибки и не запускаются.
Читайте также: