Зачем нужен касперский агент
Во время установки драйверов для Kaspersky Endpoint Security может возникнуть ряд ошибок:
InstallDriversDeferred: Failed to add a catalog file. Error 0x8000ffff.
***
MSI (s) (14!30) [11:07:22:451]: Product: Kaspersky Endpoint Security 10 for Windows – Error 27300.Error installing driver kl1.sys_X86. Error: -2147418113.
InstallDriversDeferred: InstallDriversDeferred: finished. Return value 1603.
InstallDriversRollback (1b38:20b8) [15:46:19:896]: Failed to execute driver package 'mklif.sys_x64'. Failed to remove a catalog file. Error 0x8000ffff.
***
MSI (s) (60!E8) [15:46:19:688]: Программа: Kaspersky Endpoint Security для Windows – Ошибка 27300. Ошибка при установке драйвера mklif.sys_x64. Ошибка: -2147418113
Ошибки будут отображены в логе установки ПО.
Endpoint-агент как элемент экосистемы
Как можно видеть, endpoint-агенты значительно расширяют возможности службы информационной безопасности и помогают навести в компании порядок. Однако они являются лишь частью экосистемы решений для защиты компании от внутренних угроз. Многие аспекты контролируются на уровне серверов, и правильное использование агентов позволяет найти баланс между безопасностью и оптимальными затратами.
Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!
Предоставляете ли вы специальные условия для учебных / медицинских / научных учреждений?
Да, предоставляем. Корпоративные лицензии для государственных учреждений предоставляются по специальным ценам.
Учебные учреждения могут принять участие в акции: Защита образования.
В рамках которой образовательным государственным учреждениям предоставляется:
- скидки до 80%;
- «Первая помощь» для государственных школьных и дошкольных учреждений 188 рублей;
- приобретение решений для защиты рабочих станций, файловых серверов, почтовых систем и интернет-шлюзов учреждения;
- продление подписки на приобретенный продукт на льготных условиях;
- дозакупка лицензий - согласно установленных правил лицензирования;
- техническая поддержка.
- поставка продуктов Kaspersky Security для бизнеса и Kaspersky Security для почтовых серверов, интернет-шлюзов и серверов совместной работы с 30% скидкой от стоимости, указанной в официальном прайс-листе;
- продление подписки на приобретенный продукт на льготных условиях (с 30% скидкой от стандартной стоимости продления, указанной в официальном прайс-листе);
- техническая поддержка.
- научно-исследовательской;
- подготовки и переподготовки кадров;
- дополнительного образования и повышения квалификации;
- институты РАН;
- поставка продуктов Kaspersky Security для бизнеса и Kaspersky Security для почтовых серверов, интернет-шлюзов и серверов совместной работы с 30% скидкой от стоимости, указанной в официальном прайс-листе;
- продление подписки на приобретенный продукт с 30% скидкой от стандартной стоимости продления, указанной в официальном прайс-листе;
- техническая поддержка.
Решение
Если вы обнаружили вышеописанные ошибки в журнале Application:
- Решите проблему с ОС самостоятельно или с помощью службы поддержки Microsoft.
- Повторите установку ПО.
Основные причины
Нарушение целостности ОС, проблемы: с сервисами криптографии, с хранилищем каталогов для драйверов CryptoAPI (CAT) и с проверкой подписи каталогов.
3. Установка и настройка Виртуальной машины безопасности
Для установки новой SVM активируйте соответствующий пункт меню и следуйте указаниям мастера установки. Предварительно необходимо скачать с сайта вендора образ, соответствующий производителю развернутой среды виртуализации в компании.
Рисунок 9. Мастер установки SVM Kaspersky Security для виртуальных сред. Легкий агент 5.1
Для завершения процесса установки SVM выберите целей ESX-хост и настройте сетевые параметры.
Рисунок 10. Конфигурирование SVM Kaspersky Security для виртуальных сред. Легкий агент 5.1
После окончания работы мастера установки KSC появится новый сервер защиты.
Рисунок 11. Управление SVM в KSC Kaspersky Security для виртуальных сред. Легкий агент 5.1
Интересный факт. Интерфейс гипервизора построен на базе Red Hat Enterprise Linux, в современном мире сложно подобрать сценарий, при котором к нему потребовался бы прямой доступ из консоли управления.
Рисунок 12. Виртуальная машина SVM в интерфейсе гипервизора Kaspersky Security для виртуальных сред. Легкий агент 5.1
Для возвращения к более привычному пользовательскому интерфейсу, необходимо закончить процедуру организации сетевой связности путем настройки подключения SVM к Серверу интеграции через создание новой политики в соответствующей оснастке KSC.
Рисунок 13. Настройка подключения SVM к Серверу интеграции в KSC Kaspersky Security для виртуальных сред. Легкий агент 5.1
На этом первичное конфигурирующее SVM завершено, далее необходимо создать первоочередные задачи: активировать лицензию и запустить обновление антивирусных баз. После чего Вы можете переходить к развёртыванию Легких агентов на виртуальные машины пользователей.
Рисунок 14. Создание задач для SVM Kaspersky Security для виртуальных сред. Легкий агент 5.1
Создайте пакет инсталляционный пакет, выбрав образ агента для соответствующей гостевой операционной системы., например, Windows.
Рисунок 15. Создание инсталляционного пакета агентов Kaspersky Security для виртуальных сред. Легкий агент 5.1
Гибкая настройка параметров инталяционного пакета, позволяет пользователю легко настроить необходимые функции. Например, во избежание конфликтов и для повышения надежности работы агентов на критичных серверах рекомендуется ограничить файловым антивирусом и сетевым экраном. Для максимальной оценки возможностей продукта, рекомендуем включать все функции продукта.
Рисунок 16. Настройка инсталляционного пакета Kaspersky Security для виртуальных сред | Легкий агент
Единоразовая настройка агента сохраняется и применяется на всех целевых виртуальных машинах в сети. Важной особенностью является то, что процесс поиска таких машин и установку возможно автоматизировать.
Помимо оперативной технической сводки о защищенной машине, пользователь может получить данные по необработанным объектам и угрозам в виде журнала событий. Также доступен режим функционирования, который настраивается во вкладке «Политика» и во многом повторяет аналогичные параметры и функции в семействе продуктов KES. Отличительной особенностью являются параметры подключения к SVM, которые можно настроить в зависимости от выбранного способа интеграции.
Особенности лицензирования и сертификаты
Kaspersky Security для виртуальных сред. Легкий агент 5.1 в рамках единой лицензии входит в состав комплексного решения Kaspersky Security для виртуальных и облачных сред (Kaspersky Hybrid Cloud Security — KHCS).
Кроме него KHCS включает в себя также:
- Kaspersky Security для виртуальных сред | Защита без агента;
- Kaspersky Endpoint Security для Linux;
- Kaspersky Security для Windows Server;
- Kaspersky Security для виртуальных и облачных сред для AWS;
- Kaspersky Security для виртуальных и облачных сред для Microsoft Azure.
Данный подход позволяет шибко управлять защитой большой инфраструктуры на базе унифицированной точки контроля из единой консоли. Администратор получает контроль над всеми корпоративными устройствами, включая облачные серверы и физические рабочие станции.
Для получения детальной информации о лицензировании, рекомендуем ознакомиться с нашей статьей.
2. Установка и настройка Сервера интеграции
Перед началом установки Kaspersky Security для виртуальных сред. Легкий агент 5.1, Вам необходимо развернуть Сервер интеграции. В качестве наиболее оптимального способа установки мы рекомендуем проинсталлировать специальный exe-файл, который добавляет и запускает соответствующую службу в операционной системе на уже развернутом KSC. После успешной установки файла, в интерфейс KSC добавились новые разделы меню, а в список сервисов Windows – новая служба. Первоначальная настройка параметров Сервера интеграции также не занимает длительного времени, все стандартно: имена, адреса, порты.
Рисунок 7. Настройка параметров Сервера интеграции Kaspersky Security для виртуальных сред. Легкий агент 5.1
Для управления Сервером интеграции используется служебная учетная запись admin. Администратор также может настроить пароль или другие данные для подключения.
Рисунок 8. Настройка учетных записей Сервера интеграции Kaspersky Security для виртуальных сред. Легкий агент 5.1
При успешной установке Сервера интеграции в разделе «Дополнительно» появятся новые плагины управления:
- Kaspersky Security для виртуальных сред 5.0 Легкий агент — Сервер защиты;
- Kaspersky Security для виртуальных сред 5.0 Легкий агент для Linux;
- Kaspersky Security для виртуальных сред 5.0 Легкий агент для Windows.
3. Механизм отказоустойчивости
Рисунок 4. Реализация отказоустойчивости в Kaspersky Security для виртуальных сред. Легкий агент 5.1
Крупные компании, чаще всего, обладают множеством SVM и проверка файлов на угрозу заражения занимает достаточно длительное время. Легкий агент позволяет инициировать подключение к указанному устройству автоматически. Однако если оно оказывается недоступно, агент пробует подключение к другой такой в сети, при этом время ожидания не превышает 30 секунд.
Что делать, если решения не помогли?
Если описанные нами решения не помогли, отправьте запрос с подробным описанием проблемы в техническую поддержку:
Через личный кабинет My Kaspersky, если используете Kaspersky Security Cloud, Kaspersky Internet Security, Kaspersky Anti-Virus, Kaspersky Total Security. Подробная инструкция в справке.
Если используете Kaspersky Small Office Security, войдите в Центр управления. Инструкция в справке.
Чем отличается Strong Encryption от Lite Encryption?
Kaspersky Endpoint Security Strong Encryption от Lite отличается битностью шифрования. Но разница заметна только для обладателей лицензии Расширенный и Total для бизнеса, а для обладателей лицензий пакетов Стандартный или Cloud разницы в дистрибутивах нет. В Lite версии шифрование 56-битное, а в Strong - 256-битное. Но для российских организаций необходимо использовать 56-битное шифрование согласно закону 2012 года.
Kaspersky Virus Removal Tool
Бесплатная утилита Kaspersky Virus Removal Tool позволяет удалить рутквиты и бутквиты, предназначена для удаления вредоносных программ семейства Rootkit.Win32.TDSS. Утилита способна работать в обычном, безопасном и тихом режиме.
Работа в обычном и безопасном режиме
-
и установите утилиту на зараженном или потенциально зараженном устройстве;
- Прочтите Лицензионное соглашение и нажмите Принять, если согласны со всеми пунктами;
- Изучите положение об использовании Kaspersky Security Network. Нажмите Принять, если согласны со всеми пунктами.
- Начните проверку.
- Дождитесь окончания сканирования и лечения. После чего перезагрузите устройство.
1. Кэш вердикт
При обращении к файлу на виртуальной машине, Легкий агент автоматически проверяет данный файл на отсутствие скрытой угрозы. После чего, результат проверки сохраняется в централизованной базе вердиктов (Shared Cache), каждая запись о проверенном файле преобразовывается в уникальный образец файла. И если данный файл будет использован на другом устройстве внутри сети, то проверка файла производиться не будет. Файл проходит повторную проверку только в случае своего изменения или при ручном запуске проверки. Кроме того, в память виртуальной машины автоматически подгружается дополнительный локальный КЭШ, для сокращения нагрузки на сеть.
Выявление компромата в общедоступных файлообменниках
С помощью поиска по нажатию клавиш ИБ-специалисты заметили присвоение имён папкам «Корпоратив официально» и «Корпоратив неофициально». Затем они проверили дальнейшие действия с файлами в папках и обнаружили что сотрудники бухгалтерии разместили архив с фото на Яндекс.Диске и активно делятся ссылками друг с другом. В общей массе фото оказались не самые пристойные кадры с участием ключевых сотрудников компании, и их утечки удалось избежать. С учетом слабого уровня защищенности общедоступных файлообменных ресурсов и несоблюдения некоторыми сотрудниками правил корпоративной культуры репутационные риски для компании были весьма высоки.
Kaspersky Rescue Disk
Если вышеуказанные действия не помогли, воспользуйтесь программой Kaspersky Rescue Disk.
Бесплатная программа, предназначенная для проверки и лечения зараженных операционных систем без их загрузки.
-
ПО;
- Запишите Kaspersky Rescue Disk на любой из доступных носителей (CD/DVD/USB) и загрузите с него компьютер.
2. Очередь отложенной проверки
Рисунок 3. Очередь отложенной проверки в Kaspersky Security для виртуальных сред. Легкий агент 5.1
Установленный агент отправляет файлы для анализа на SVM, которая в случае недоступности формирует очередь отложенной проверки. Данный принцип работы сканирования позволяет проводить анализ файлов в любое время, не смотря на какие-либо ситуации, не завесившие от системы.
Новейшие технологии в Kaspersky Security для виртуальных сред
Проблема при установке Kaspersky Endpoint Security на Windows 10 после обновления операционной системы
Для решения этой проблемы необходимо установить свежий дистрибутив Kaspersky Endpoint Security 11, который будет совместим с новой сборкой Windows 10, пройдя по ссылке.
Начало работы с Kaspersky Security для виртуальных сред. Легкий агент 5.1
Подходит ли ключ от домашней версии к корпоративной?
Нет, ключом корпоративного продукта Лаборатории Касперского не получится активировать антивирусный продукт, предназначенный для дома.
Как обновить антивирусные базы Kaspersky Endpoint Security 6.0 после 1 февраля 2017 года? Как приобрести сертификат ФСТЭК для KES версии 6.0?
Бесплатный выпуск обновлений баз для 6.0 прекращается с 1 февраля 2017 года.
Для получения обновлений для версии 6.0 необходимо в дополнение к лицензии приобрести позицию «Kaspersky Продление лицензии для предыдущих версий приложений *» на необходимое число узлов. Дата окончания этой лицензии будет 31.12.2017 или выровнена с датой окончания лицензии KES (если они заканчивается в 2017 году).
С 1 января 2018 года поддержка версии 6.0 будет окончательно прекращена, также ФСТЭК выпустил официальное письмо про необходимость миграции с KAV6 на другие продукты. Ознакомится с письмом Вы можете по ссылке
Поэтому мы настоятельно рекомендуем перейти на всех машинах на актуальные версии KES 10 для Windows.
На данный момент по запросу в медиа-паке Customized есть возможность заказать дистрибутивы с формулярами для 6.0, но сертификаты ФСТЭК там только до 01.01.2018 и продлеваться не будут:
Что такое Сервер администрирования Kaspersky Security Center?
Компьютеры, на которых установлен компонент Сервер администрирования, называются Серверами администрирования (далее также Серверами).
Сервер администрирования устанавливается на компьютер в качестве службы со следующим набором атрибутов:
- под именем «Сервер администрирования Kaspersky Security Center»;
- с автоматическим типом запуска при старте операционной системы;
- с учетной записью Локальная система либо учетной записью пользователя в соответствии с выбором, сделанным при установке Сервера администрирования.
Сервер администрирования выполняет следующие функции:
- хранение структуры групп администрирования;
- хранение информации о конфигурации клиентских компьютеров;
- организация хранилищ дистрибутивов программ;
- удаленная установка программ на клиентские устройства и удаление программ;
- обновление баз и модулей программ «Лаборатории Касперского»;
- управление политиками и задачами на клиентских компьютерах;
- хранение информации о событиях, произошедших на клиентских устройствах;
- формирование отчетов о работе программ «Лаборатории Касперского»;
- распространение ключей на клиентские устройства, хранение информации о ключах;
- отправка уведомлений о ходе выполнения задач (например, об обнаружении вирусов на клиентском компьютере).
В сети предприятия можно установить несколько Серверов администрирования, которые могут образовывать иерархию вида «главный сервер – подчиненный сервер». При этом каждый Сервер администрирования может иметь несколько подчиненных Серверов.
Управление Сервером администрирования осуществляется через Консоль администрирования, установленную на любом компьютере сети.
Специалисты Лаборатории Касперского не рекомендуют устанавливать две версии Консоли на Сервер Администрирования. Например, если вы установили новые версии Сервера Администрирования и Консоли, но по какой-либо причине также оставили предыдущую версию Консоли, то совместная работа Консолей разных версий может привести к возникновению проблем в работе.
1. Установка консоли управления Kaspersky Security Center
Каждый корпоративный продукт «Лаборатории Касперского» удобнее и лучше всего разворачивать через единый Центр управления безопасностью (Kaspersky Security Center – KSC), который предоставляется пользователю бесплатно в комплекте с приобретённым решением. Чаще всего пользователи пренебрегают установкой и пользуются приобретенным решением отдельно. Важно, в случае с Kaspersky Security для виртуальных сред. Легкий агент 5.1 это не рекомендация к установке, а обязательное требование так как все серверные компоненты необходимые для его функционирования, инсталлируются с помощью KSC, который состоит из двух базовых компонентов:
- Сервер администрирования – центральный компонент, ответственный за управление устройствами организации и хранение данных в СУБД;
- Консоль администрирования – основной инструмент администратора. Консоль администрирования поставляется вместе с Сервером администрирования, но может быть также установленная отдельно на несколько устройств пользователей.
Подведем итоги
Главная особенность продукта заключается в близкой к идеальному балансу ресурсных требований и функциональности. В отличие от устоявшихся на рынке «тяжелых» решений, требующих установки полноценного антивируса на каждую из виртуальных машин, весь движок разворачивается лишь на выделенной SVM, а гостевые на системы разворачивается малое ПО – Легкий агент. Файловая проверка выполняется локально, но вынесена на новый уровень функционирования в отдельно выделенной SVM. Помимо сканирования на вирусы в продукте доступен весь набор защитных технологий «Лаборатории Касперского», который доступен в корпоративных десктопных антивирусах – KES.
Установка и настройка не вызывают сложностей у пользователя, все действия интуитивны и происходят в привычном для постоянных пользователей «Лаборатории Касперского».
Как установить и настроить Агент администрирования Kaspersky Security Center
Агент администрирования можно установить и настроить следующим образом:
- Локально, запустив файл установки (по умолчанию располагается: \\\KLSHARE\Packages\NetAgent_10.1.249). После запуска необходимо проследовать всем шагам мастера установки.
- Удаленно, через Консоль администрирования используя инсталляционный пакет.
- Используя групповые политики.
Ошибка «Активное заражение: Не удалось установить продукт «Лаборатории Касперского». Возможно, ваш компьютер заражен».
При установке продуктов Лаборатории Касперского может возникнуть проблема, информирующая о невозможности дальнейшей установки, из-за заражения компьютера.
На данный момент, Вы можете использовать три способа решения проблемы, рассмотрим их:
Особенности работы Kaspersky Security для виртуальных сред. Легкий агент 5.1
Для работы продукта потребуется установка специального ПО на каждую рабочую станцию – Легкого агента. Как понятно из названия, Легкий агент не нагружает систему. Вся нагрузка уходит для установки в отдельную специализированную виртуальную машину на базе Linux (Security Virtual Machine — SVM).
Kaspersky Security для виртуальных сред включает в себя все новейшие технологии из полноценных антивирусных решений:
- Система предотвращения вторжений;
- Персональный межсетевой экран;
- Система мониторинга приложений;
- Контроль web-трафика;
- Контроль устройств;
- Автоматическая блокировка эксплойтов;
- Самозащита и самоконтроль;
- Полноценное антивирусное решение для проверки файлов;
- Полный набор антивирусных баз;
- Инструмент «Общий кэш вердиктов» (Shared Cache) для оптимизации проверок на одном хосте;
- Сканирование системы;
- Механизм распределения лицензий;
Для работы и управлений всего решений необходимо установить особый компонент – Сервер интеграции.
Рисунок 1. Компонент Сервер интеграции Kaspersky Security для виртуальных сред. Легкий агент 5.1
Сервер интеграции собирает и актуализирует данные о всех SVM, обмениваясь с ним сведениями каждые 5 минут. Собранные данные перенаправляются на установленные агенты с целью оптимизации выбора подключения к одной из SVM доступных в сети, для запуска проверки на заражения.
Нужно ли дополнительно устанавливать на сервер антивирус, если уже установлен Kaspersky Security Center?
Kaspersky Security Center - это лишь пульт управления безопасностью корпоративной сети, но если на этот компьютер не установлено антивирусов, то он уязвим для вредоносных атак, поэтому необходимо в любом случае установить на него антивирус.
Для этого есть следующие типы решений Kaspersky Endpoint Security (Стандартный, Расширенный).
Инструкция для установки Kaspersky Security Center
Рисунок 5. Инструкция к установке
KSC включает в себя плагины для управления защитными решениями для всех типов платформ: физических, виртуальных, облачных – из единой консоли управления.
Рисунок 6. Конфигурирование управляемых устройств в Kaspersky Security Center
TDSSKiller
-
TDSSKiller;
- Запустите файл TDSSKiller.exe на зараженном устройстве;
- Дождитесь завершения сканирования и лечения. После чего, перезагрузите устройство.
Управление безопасностью виртуальных сред
Kaspersky Security Center также управляет защитными решениями «Лаборатории Касперского» для виртуальных серверов и виртуальных рабочих столов. Предлагаются оптимизированные решения для платформ виртуализации VMware, Citrix и Microsoft, в которых эффективная защита сочетается с высокой степенью консолидации.
Выбор технологий защиты виртуальной среды
В зависимости от используемого в компании гипервизора и необходимых функций безопасности «Лаборатория Касперского» предлагает защитные приложения без установки агента и с легким агентом:
Оба приложения полностью управляются через Kaspersky Security Center.
Управление мобильными устройствами и их защита
Kaspersky Security Center позволяет настраивать защиту любых моделей популярных мобильных устройств, включая Android, iOS и Windows Phone, точно так же, как защиту других рабочих мест.
Защита от вредоносного ПО
Комплексные технологии безопасности мобильных устройств управляются посредством той же единой консоли:
Управление мобильными приложениями
Инструменты контроля «Лаборатории Касперского» в сочетании с контейнеризацией защищают корпоративные приложения и данные:
- Корпоративные приложения и данные помещаются в защищенные контейнеры, чтобы отделить их от пользовательских приложений и данных.
- К содержимому каждого контейнера можно применять дополнительные средства защиты, в том числе шифрование.
- Удаленно активируемая выборочная очистка полностью уничтожает корпоративные контейнеры.
- Контроль программ позволяет определять приложения, которые разрешено запускать.
- Безопасный браузер защищает данные во время использования интернета.
Управление мобильными устройствами (MDM)
Позволяя управлять мобильными устройствами на базе различных платформ через единый интерфейс, Kaspersky Security Center помогает развертывать универсальные политики безопасности мобильных устройств:
- Удаленная установка агента безопасности на каждом устройстве.
- Политики MDM применяются к устройствам Microsoft Exchange ActiveSync и iOS MDM по единому шаблону:
- обязательное использование сложных паролей;
- шифрование данных;
- отключение камеры;
- получение подробной информации об устройстве и установленных на нем приложениях.
Управление защитой рабочих мест
Многоуровневая защита
Гибкий контроль всех функций защиты рабочих мест:- Создание централизованных политик безопасности для различных платформ, включая Windows, Linux и Mac.
- Управление системой предотвращения вторжений (HIPS) и сетевым экраном.
- Настройка параметров безопасности для отдельных устройств, так и для групп.
- Управление параметрами облачной защиты с использованием сети Kaspersky Security Network (KSN).
Мощные инструменты контроля
Централизованное управление функциями Контроля программ Контроля устройств и Веб-Контроля позволяет значительно усилить защиту сети:- Возможность создания собственных политик контроля, предотвращающие запуск нежелательных программ.
- Управление правами доступа всех устройств, подключаемых пользователями к сети.
- Контроль доступа к интернету: ограничение или запрет доступа к определенным сайтам или категориям сайтов
Шифрование данных
Настройка шифрования с помощью интегрированных политик безопасности, обеспечивающих защиту данных в случае утери или кражи устройства или файлов:- Централизованное управление всеми параметрами шифрования данных для:
- жестких дисков (шифрование файлов и папок или полное шифрование диска);
- съемных устройств (шифрование файлов и папок или полное шифрование диска).
Преимущества
Хорошая оптимизация потребления виртуальных ресурсов агентом;
Поддержка всех популярных платформ виртуализации;
Поддержка широкой линейки гостевых операционных систем;
Функциональность полноценного EPP решения;
Гибкая конкурентная система распределения лицензий;
Единый стиль и система управления с иными продуктами «Лаборатории Касперского»;
Ниже мы расскажем о типичных сценариях применения систем мониторинга рабочих станций на примерах из практики.
Автор: Виталий Петросян, аналитик внедрения Solar Dozor компании «Ростелеком-Солар»
Служба безопасности любой компании нацелена на защиту от внутренних угроз. Рынок ИБ предлагает широчайший набор инструментов, которые решают эту большую задачу различными путями, применяя те или иные технологии для отдельных подзадач. Так, системы DLP (Data Leak Prevention) отслеживают трафик, выходящий за пределы организации, модуль UBA (User Behaviour Analysis) анализирует отклонения в типовом поведении сотрудников. Технологии мониторинга конечных точек сети контролируют действия сотрудников на рабочих компьютерах, где бы ни находился персонал — в офисе, дома, в командировке.
Ниже мы расскажем о типичных сценариях применения систем мониторинга рабочих станций на примерах из практики использования Dozor Endpoint Agent нашими заказчиками.
Кейлоггинг для выявления дискредитации паролей
Endpoint-агенты имеют целый набор разных функций, которые позволяют обнаруживать нелегитимные действия сотрудников в отношении компании. С их помощью можно выявлять следы нарушений ИБ-политики компании, утечек конфиденциальных документов, различных мошеннических сговоров, финансовой нечистоплотности персонала и многих других инцидентов. Одной из таких полезных функций является кейлоггинг или отслеживание нажатия клавиш на клавиатуре. Система собирает и хранит длительное время всю историю набора информации с клавиатуры для каждого агента. А это значит, что можно восстановить дату и время, а главное — факт ввода каких-либо важных данных. В нашей практике чаще всего кейлоггинг помогает узнать, как пользователи применяют свои пароли.
Проблема заключается в том, что практически любая организация сталкивается с проблемой дискредитации паролей. Масштабы этого неприятного явления могут быть разными, но нужно помнить, что пользователи склонны делиться паролями друг с другом. Иногда пароль дают коллеге, чтобы он в отсутствие сотрудника переслал важные документы. Однажды в ходе пилотного проекта мы выяснили, что системный администратор поделился с одним из сотрудников, которому просто не имел возможности отказать, паролем на установку дополнительного ПО в Kaspersky Security Suite. После поиска по базе оказалось, что этим паролем пользуются 70% сотрудников, и на компьютерах организации давно уже установлено какое попало ПО, в том числе опасное и вредоносное.
Иногда пароли передают специально, например, чтобы сбить с толку службу безопасности. Ведь если сотрудника не было на месте, его невозможно будет обвинить в инциденте. Он просто скажет: «Да, видимо, утечка была с моей рабочей станции, но меня-то здесь не было!»
На самом деле, современные развитые DLP-системы обладают широчайшим инструментарием для расследования подобных инцидентов. Если говорить только о возможностях endpoint агента, то можно просто воспользоваться полнотекстовым поиском в системе и моментально узнать, кто еще из сотрудников компании использовал искомый пароль (см. скриншот ниже).
Создавать сложные запросы уже нет необходимости. Если же endpoint-агент ведет запись с веб-камер рабочих станций сотрудников, то можно получить визуальное подтверждение, кто именно был за компьютером в момент ввода пароля.
Более детальное расследование можно провести, применяя систему анализа поведения пользователей (UBA): с ее помощью служба безопасности сразу узнает, что пароль вводит человек, которого не должно быть в офисе. Так, в модуле Dozor UBA имеются паттерны (характерные особенности) поведения «Работа ночью» или «Работа в выходные дни», в которых отдельно отмечается прирост числа включенных в них сотрудников. В списке включенных в паттерн лиц всегда бросаются в глаза работники, для которых попадание в список не является нормальным: например, их должности не подразумевают подобный график работы. И когда офицер безопасности понимает, что на компьютере такого сотрудника зафиксирована какая-либо активность, а по данным СКУДа этот работник покинул помещение, – это веский повод проверить версию дискредитации пароля от рабочей станции и служебных программ. Работа на опережение позволяет выявить негативные явления на ранних стадиях.
Кроме того, модуль UBA зафиксирует несвойственную конкретному работнику активность, например, отправку конфиденцильных файлов вовне. А модуль мониторинга электронной почты и мессенджеров DLP-системы поможет определить, кому пересылались учетные данные и когда.
Еще один типичный пример дискредитации паролей связан с передачей дел при увольнении сотрудников. В нашей практике встречались случаи, когда покидающие компанию работники передавали работодателю зашифрованные архивы и… неверные пароли от них! В этом случае кейлоггинг позволяет восстановить историю нажатия клавиш и найти правильный пароль.
Поиск по ключевым словам
В одной из компаний мы проводили проверку использования при общении сотрудников в мессенджерах слова «вытянуть», потому что его часто применяют в коммуникациях при подготовке к совершению различных неправомерных действий. В результате удалось выявить сотрудника, который обсуждал, как «посильнее нагреть начальство» на очередной сделкем (см. скриншоты ниже).
Диагностика
- Проверьте системный журнал Application на устройстве, куда устанавливалось ПО. В журнале могут содержаться события вида: «The Cryptographic Services service failed to initialize the Catalog Database. The error was: -2147418113 (0x8000ffff) : Catastrophic failure».
- Проверьте файл %WINDIR%\System32\catroot2\dberr.txt на наличие строк с ошибкой «encountered JET error -583».
- Проверьте файл %WINDIR%\INF\setupapi.dev.log на наличие ошибок с кодом 0x8000ffff. Например: «Error 0x8000ffff: Catastrophic failure».
Как установить DLP
Решение DLP для почты и SharePoint это новый функционал, который уже встроен в новые версии программ для защиты почтовых серверов и серверов совместной работы. Активируется этот функционал специальным кодом активации или ключевым файлом, который приобретается отдельно от решения для защиты самого почтового сервера или сервера совместной работы. Кнопка активации DLP решения появляется после активации основного решения.
Скриншоты для расследования случаев мошенничества
Агентский модуль для конечных точек имеет функциональность снятия снимков с экранов рабочих компьютеров пользователей. Эти данные помогают восстановить картину событий, когда возникает подозрение, что произошел ИБ-инцидент или имело место мошенничество.
Например, в одной компании сотрудник срочно отпросился с работы, потому что у него «умерла бабушка». Не верить человеку в такой ситуации некрасиво, но у службы безопасности возникли сомнения. При анализе скриншотов с рабочего ноутбука сотрудника выяснилось, что за несколько минут до печального известия он общался в мессенджере с девушкой, оказывающей платные интимные услуги (см. скриншот ниже).
С помощью endpoint-агента удалось выяснить, что сотрудник вместо похорон бабушки побежал на свидание. В результате удалось изобличить обманщика, а также не допустить, чтобы участливый коллектив скидывался на похороны бабуле.
В другом случае наличие endpoint-агента помогло обнаружить сотрудника, который отказывался от выполнения заказов, отправляя их «налево». Он настроил пересылку информации о заказах через одного из руководителей финансового блока компании в надежде, что того не будут подозревать. Впрочем, endpoint-агент вместе с модулем UBA помогли службе безопасности выявить нестандартное поведение сотрудника (см. скриншот ниже).
А после анализа скриншотов с рабочих компьютеров участников аферы удалось установить, куда бухгалтер сохранял «левые заказы», и узнать все подробности этого сговора.
Печать на принтере
Анализ документов, уходящих на печать, — один из классических способов обнаружения нечистоплотных сотрудников. Например, в одной региональной компании выяснилось, что менеджер по закупкам получает «рибейты» (по сути откаты) от контрагентов за то, что в закупках отдается предпочтение определенному вендору. Инцидент был замечен после того, как девушка решила распечатать на офисном принтере документ на получение денежного перевода от фирмы-однодневки. Это заинтересовало службу безопасности, которая по нажатию клавиш на рабочем компьютере сотрудницы обнаружила запросы в поисковиках по слову рибейт (см. скриншот ниже).
Примечательно, что трехнедельный мониторинг активности менеджера показал, что в течение этого времени сотрудница ничего кроме данного документа на офисном принтере не распечатывала.
Мы рекомендуем нашим клиентам вести мониторинг печати по ключевым словам, таким как извещение, повестка, договор (в особенности, если это не свойственно сотруднику по его должностной деятельности) и тому подобным. Кроме того, наша рекомендация компаниям – устанавливать агенты на компьютеры всех работников со схожими должностными полномочиями (участники тендеров, ключевых сделок, участники формирования бюджета вплоть до рядовых сотрудников, формирующих ТЗ, определяющих начальную максимальную цену).
Перевод денег, конечно, может приходить от частного лица или от фирмы-посредника. Но очень часто договоренности о подобных активностях одновременно присутствуют и в электронной переписке, социальных сетях, мессенджерах. Дополненная печатью документов на принтере, эта активность позволяет весьма эффективно выявлять подобные инциденты.
Системное администрирование (Systems Management)
Kaspersky Security Center обеспечивает контроль всех параметров IT-безопасности, а также дает централизованный доступ к широкому спектру функций управления системами.
Мониторинг уязвимостей и управление установкой исправлений
Kaspersky Security Center упрощает выявление и устранение уязвимостей в операционных системах и приложениях, позволяя быстрее устанавливать исправления:- При сканировании всей корпоративной сети автоматически обнаруживаются уязвимости и назначаются приоритеты их устранения.
- Исправления и обновления (для продуктов компании Microsoft и другого ПО) распространяются автоматически.
- Удаленная рабочая станция может быть назначена агентом обновления, что сокращает объем трафика при передаче обновлений в удаленные офисы.
- Состояние установки исправлений можно отслеживать по отчетам.
- Удаленное устранение неполадок с обновлением.
Учет и управление IT-ресурсами
Все аппаратное и программное обеспечение в сети автоматически обнаруживается и заносится в реестры, что дает администратору полное представление обо всех ресурсах, которые нуждаются в защите и управлении:- Автоматический учет аппаратного обеспечения, в том числе обнаружение гостевых устройств.
- Автоматический учет программного обеспечения упрощает контроль использования программ и управление лицензиями.
Развертывание программного обеспечения (ПО)
Автоматическое развертывание ПО, а также проверяемый удаленный доступ и устранение неполадок сокращают затраты времени и ресурсов на настройку новых рабочих станций и установку новых приложений.- Развертывание ПО можно выполнять по запросу администратора и запланировать на нерабочее время.
- Можно задавать дополнительные параметры для настройки устанавливаемого программного пакета.
- Поддерживается удаленное устранение неполадок, в том числе механизм авторизации, а также журналы сеансов удаленного доступа.
- Оптимизация трафика при передаче обновлений в удаленные офисы. Одна из удаленных рабочих станций служит агентом обновления для всех остальных рабочих станций в удаленном офисе.
Развертывание операционных систем (ОС)
Kaspersky Security Center предоставляет централизованный контроль за созданием, хранением и копированием защищенных образов систем, чтобы оптимизировать и ускорить развертывание ОС. Поддерживается интерфейс UEFI.- Образы находятся в специальном хранилище, и к ним всегда можно получить доступ во время развертывания.
- Отправляя сигналы Wake-on-LAN, можно распространять образы в нерабочее время.
- Возможность внесения изменений в образ ОС:
- Выполнение сценария или установка дополнительных программ после установки ОС
- Создание загрузочного флеш-накопителя со средой Windows PE
- Импорт образов ОС из распространяемых пакетов в формате WIM
Управление на уровне предприятия
Разграничение прав администраторов по ролям и поддержка популярных SIEM-систем помогают упростить управление сложными IT-средами.- Ролевое управление доступом позволяет назначать разным администраторам различные обязанности по управлению безопасностью и системами.
- Консоль управления легко настраивается, и каждый администратор будет иметь доступ только к тем инструментам и той информации, которые необходимы для выполнения его обязанностей.
- Консоль интегрируется с системами управления данными и инцидентами безопасности (SIEM) – HP ArcSight и IBM QRadar
Как получить коммерческое предложение?
Как получить сувениры от Лаборатории Касперского?
Для получения брендированных подарков от «Лаборатории Касперского» покупайте лицензионные продукты для бизнеса и дома, участвующие в акции SpaceLab. Принять участие в акции может каждый желающий. Если вы сисадмин в одной или нескольких организациях и ежегодно обновляете защиту серверов и рабочих станций, то не следует упускать возможность получения подарков.
Где скачать агент администрирования kaspersky security center
Как установить Kaspersky System Management
Если Вы приобрели только Kaspersky System Managment для системного администрирования, то вам необходимо установить Kaspersky Security Center.
Если у вас уже есть лицензия на корпоративный антивирус "Лаборатории Касперского" и вы используете решение Kaspersky Security Center для централизованного управления, то ничего устанавливать не нужно.
Kaspersky System Managment - это набор функций системного администрирования, который входит в состав приложения Kaspersky Security Center.
Данный функционал доступен при активации лицензий для решений Kaspersky Endpoint Security для бизнеса Расширенный, Kaspersky Total Security для бизнеса и отдельного решения Kaspersky System Managment, которое можно использовать без антивируса или дополнительно к основной лицензии Kaspersky Endpoint Security для бизнеса Стартовый или Стандартный.
Программа Kaspersky Endpoint Agent устанавливается на отдельные устройства в ИТ-инфраструктуре организации. Программа осуществляет постоянный контроль процессов, запущенных на этих устройствах, открытых сетевых соединений и изменяемых файлов. Kaspersky Endpoint Agent поддерживает взаимодействие со следующими решениями "Лаборатории Касперского" для обнаружения сложных угроз (например, целевых атак):
-
. (Поддерживается Kaspersky Endpoint Agent 3.9 и выше.)
Kaspersky Endpoint Detection and Response Optimum – это решение, предназначенное для защиты ИТ-инфраструктуры организации от сложных кибер-угроз. Функционал решения сочетает автоматическое обнаружение угроз с возможностью реагирования на эти угрозы для противостояния сложным атакам, в том числе новым эксплойтам, программам-вымогателям, бесфайловым атакам, а также атакам с использованием законных системных инструментов. Решение предназначено для корпоративных пользователей. Дополнительная информация приведена в онлайн справке Kaspersky Endpoint Detection and Response Optimum.
Kaspersky Anti Targeted Attack Platform – это решение, предназначенное для защиты корпоративной ИТ-инфраструктуры и своевременного обнаружения таких угроз, как атаки нулевого дня, целевые атаки и сложные целевые атаки, известные как продвинутые постоянные угрозы. Решение предназначено для корпоративных пользователей. Дополнительная информация приведена в онлайн справке Kaspersky Anti Targeted Attack Platform.
Kaspersky Sandbox – это решение для обнаружения и блокировки комплексных угроз. Виртуальные образы операционных систем разворачиваются на серверах Kaspersky Sandbox, а проверяемые объекты исполняются внутри этих операционных систем. Kaspersky Sandbox анализирует поведение этих объектов, чтобы выявить вредоносную активность и признаки таргетированных атак. Дополнительная информация приведена в онлайн справке Kaspersky Sandbox.
Kaspersky Security 11 для Windows Server поддерживает следующие версии Kaspersky Endpoint Agent: 3.7, 3.8, 3.9.
Дистрибутив Kaspersky Security 11 для Windows Server включает файлы установки для Kaspersky Endpoint Agent 3.9. Kaspersky Endpoint Agent 3.9 можно установить во время установки Kaspersky Security для Windows Server.
Kaspersky Security Center – это единая консоль для управления решениями «Лаборатории Касперского» для защиты рабочих мест и управления всеми защитными продуктами. В Kaspersky Security Center всегда будут включены только те средства управления, которые необходимы для работы с выбранным вами продуктом «Лаборатории Касперского». Если вы решите перейти на продукт Kaspersky Endpoint Security для бизнеса более высокого уровня или на самое полное решение Kaspersky TOTAL Security для бизнеса, то в консоли управления Kaspersky Security Center автоматически появятся дополнительные средства управления.
Системные требования
Общие требования
Внимание! Ниже представлены минимальные требования к процессору и размеру оперативной памяти, необходимые для установки компонентов решения. Рекомендуется использовать оборудование с большим размером оперативной памяти и более высокой частотой процессора.
Сервер администрирования
Аппаратные требования:
- Процессор: с частотой 1 ГГц или выше. При работе с 64-разрядной операционной системой минимальная частота 1.4 ГГц.
- Оперативная память: 4 Гб.
- Объем свободного места на диске: 10Гб. При использовании функционала Системного Администрирования объем свободного места на диске должен быть не меньше 100 Гб.
Аппаратные требования:
- Microsoft Data Access Components (MDAC) 2.8 или выше
- Windows DAC 6.0.
- Microsoft Windows Installer 4.5
- Поддерживаются следующие виртуальные платформы:
- VMware (Workstation 9.x, Workstation 10.x, ESXi 4.x, ESXi 5.5)
- Microsoft Hyper-V (2008, 2008 R2, 2012, 2012 R2)
- KVM, интегрированный с RHEL 5.4 и 5.x и выше, SLES 11 SPx, Ubuntu 10.10 LTS
- Microsoft Virtual PC 6.0.156.0
- Parallels Desktop 7 и выше
- Oracle VM VirtualBox 4.0.4-70112 (только в режиме Windows guest login)
- Citrix XenServer 5.6.1 FP1
- Microsoft SQL 2005 Express
- Microsoft SQL 2008 Express
- Microsoft SQL 2008 R2 Express
- Microsoft SQL 2012 Express
- Microsoft SQL 2014 Express
- Microsoft SQL Server 2005
- Microsoft SQL Server 2008
- Microsoft SQL Server 2008 R2
- Microsoft SQL Server 2008 R2 SP 2
- Microsoft SQL Server 2012
- Microsoft SQL Server 2014
- MySQL 5.0.67, 5.0.77, 5.0.85, 5.0.87(SP1), 5.0.91
- MySQL Enterprise 5.0.60(SP1), 5.0.70, 5.0.82(SP1), 5.0.90
- Microsoft Windows Server 2003 SP2 (все редакции);
- Microsoft Windows Server 2003 х64 SP2 (все редакции);
- Microsoft Windows Server 2008 (все редакции);
- Microsoft Windows Server 2008 (х64) (все редакции);
- Microsoft Windows Server 2008 х64 SP1 (все редакции);
- Microsoft Windows Server 2008 R2 (все редакции);
- Microsoft Windows Server 2012 (все редакции);
- Microsoft Windows Server 2012 R2 (все редакции);
- Microsoft Windows Small Business Server 2003 SP2 (все редакции);
- Microsoft Windows Small Business Server 2008 (все редакции);
- Microsoft Windows Small Business Server 2011 (все редакции);
- Microsoft Windows XP Professional SP2 и выше;
- Microsoft Windows XP Professional x64 SP2 и выше;
- Microsoft Windows Vista Business / Enterprise / Ultimate SP1 и выше;
- Microsoft Windows Vista Business / Enterprise / Ultimate SP1 и выше x64;
- Microsoft Windows 7 Professional / Enterprise / Ultimate;
- Microsoft Windows 7 Professional / Enterprise / Ultimate x64;
- Microsoft Windows 8 Professional / Enterprise;
- Microsoft Windows 8 Professional / Enterprise x64;
- Microsoft Windows 8.1 Professional / Enterprise;
- Microsoft Windows 8.1 Professional / Enterprise x64;
Консоль администрирования
Аппаратные требования:
- Процессор: с частотой 1 ГГц или выше. При работе с 64-разрядной операционной системой минимальная частота 1.4 ГГц.
- Оперативная память: 512МБ.
- Объем свободного места на диске: 1ГБ.
Программные требования:
- Операционные системы: Microsoft Windows (версия поддерживаемой операционной системы определяется требованиями Сервера администрирования).
- Microsoft Management Console 2.0 и выше.
- Microsoft Internet Explorer 7.0 и выше при работе c Microsoft Windows XP, Microsoft Windows Server 2003, Microsoft Windows Server 2008, Microsoft Windows Server 2008 R2 или Microsoft Windows Vista.
- Microsoft Internet Explorer 8.0 и выше при работе c Microsoft Windows 7.
- Microsoft Internet Explorer 10.0 и выше при работе c Microsoft Windows 8.
- Microsoft Windows Installer 4.5.
Веб-Консоль (Kaspersky Security Center Web Console)
Сервер администрирования
- Процессор: 1.4 ГГц или выше
- Оперативная память: 512 Мб
- Объем свободного места на диске: 1 Гб
- Веб сервер:
- Apache 2.4.10 и выше, 32 bit (для Windows);
- Apache 2.4.10 и выше, 32/64 bit (для Linux).
- Microsoft Windows Server 2003 SP2 (все редакции);
- Windows Small Business Server 2003 SP2 (все редакции);
- Microsoft Windows Server 2003 x64 SP2 (все редакции);
- Microsoft Windows Server 2008 (все редакции);
- Microsoft Windows Server 2008 x64 SP1 (все редакции);
- Microsoft Windows Server 2008 x64 R2 SP1 (все редакции);
- Windows Small Business Server 2008 (все редакции);
- Microsoft Windows Server 2008 (все редакции);
- Microsoft Windows Server 2008 x64 R2 (все редакции);
- Microsoft Windows Server 2012 (все редакции);
- Microsoft Windows Server 2012 R2 (все редакции);
- Windows Small Business Server 2011 (все редакции);
- Microsoft Windows XP Professional SP2;
- Microsoft Windows XP Professional x64;
- Microsoft Windows Vista SP1 (все редакции);
- Microsoft Windows Vista SP1 x64 (все редакции);
- Microsoft Windows 7 SP1 (все редакции);
- Microsoft Windows 7 x 64 SP1 (все редакции);
- Microsoft Windows 8 Professional / Enterprise;
- Microsoft Windows 8 Professional / Enterprise x64;
- Microsoft Windows 8.1 Professional / Enterprise;
- Microsoft Windows 8.1 Professional / Enterprise x64;
Работа с Kaspersky Security Center Web Console осуществляется через веб-браузер.
Ниже перечислены типы и версии веб-браузеров, а также типы и версии операционных систем, которые вы можете использовать для работы с программой:- Microsoft Internet Explorer 7.0 или выше под управлением одной из следующих операционных систем:
- Microsoft Windows XP Professional SP2 или выше
- Microsoft Windows 7 (все редакции)
- Microsoft Windows 8 (все редакции)
- Операционные системы Windows:
- Microsoft Windows XP Professional SP2 или выше
- Microsoft Windows 7 (все редакции)
- Microsoft Windows 8 (все редакции)
- Fedora 16
- SUSE Linux Enterprise Desktop 11 SP2
- Debian GNU/Linux 6.0.5
- Mandriva Linux 2011
- Ubuntu 10.04 Server Edition
- Ubuntu 12.04 Desktop Edition
- Red Hat Enterprise Linux 6.2 Server
- SUSE Linux Enterprise Server 11 SP2
- SUSE Linux Enterprise Server 11 SP2
- OpenSUSE Linux 12.2
- Ubuntu 12.04 Server Edition
- Mac OS X 10.4 (Tiger)
- Mac OS X 10.5 (Leopard)
- Mac OS X 10.6 (Snow leopard)
Агент администрирования
Данные требования относятся к компьютерам, на которые устанавливается Агент администрирования:
Аппаратные требования:
- Процессор: с частотой 1 ГГц или выше. При работе с 64-разрядной операционной системой минимальная частота 1.4 ГГц.
- Оперативная память: 512 МБ.
- Объем свободного места на диске: 1ГБ.
Компьютер, на котором установлен Агент администрирования, который будет дополнительно выполнять роль Агента обновлений, должен удовлетворять следующим требованиям:
В составе комплексного решения Kaspersky Security для виртуальных сред находится Легкий Агент 5.1, решение сочетает в себе основные функции для защиты рабочих станций, серверов и мобильных устройств. Kaspersky Security для виртуальных сред обладает функционалом полноценного EPP-решения, поддерживая все популярные платформы виртуализации и функционируя с множеством гостевых операционных систем.
Можно ли использовать KIS для защиты организации?
Да, использование домашних лицензий для защиты организации возможно. Но если данная организация имеет 2-3 устройства. Если количество рабочих станций, серверов и мобильных устройств более 5, то рекомендуется использовать продукт для малого бизнеса – Kaspersky Small Office Security. Использование домашних версий в учебных заведениях возможно.
Как установить Kaspersky Endpoint Security на Windows XP?
Поддержка Windows 10 для продуктов линейки Kaspersky Security для бизнеса будет прекращена 22.07.2020. Дальнейшее использование невозможно.
Установка Kaspersky Endpoint Security для Windows XP возможна локально и удаленно:
- С помощью мастера установки;
- С помощью командной строки в тихом или интерактивном режиме.
Удаленно. С рабочего места администратора:
- С помощью Kaspersky Security Center 10;
- С помощью групповых политик Active Directory;
- С помощью групповых политик Active Directory, используя Kaspersky Security Center 10.
Для установки лицензии Вам потребуется дистрибутив, который можно бесплатно загрузить на нашем сайте.
Читайте также: