Оглавление:
Общие сведения и принципы работы
Контроль приложений в Kaspersky Internet Security 2009 - это локальная система предотвращения вторжений (Host Intrusion Prevention System, далее по тексту HIPS), которая объединяет в себе функционал проактивной защиты и сетевого экрана. HIPS позволяет гибко манипулировать разрешениями на доступ к файлам и реестру, системным правам и сетям различных типов. Это помогает существенно снизить количество обращений к пользователю Kaspersky Internet Security 2009 за счет предоставления полной свободы действий доверенным приложениям и полного ограничения в правах недоверенных приложений.
.gif)
Основу любой HIPS составляет таблица правил. HIPS в Kaspersky Internet Security 2009 использует таблицу, большинство правил которой сгруппировано по приложениям.
HIPS контролирует определенные системные события (например, такие, как создание или удаление файлов), и каждый раз, когда эти события должны произойти, система сверяется со своей таблицей правил, после чего действует в соответствии с заданными в таблице настройками: действие либо разрешается, либо запрещается, либо HIPS задает пользователю вопрос о том, что ей следует предпринять в данном конкретном случае.
Не следует ожидать от HIPS того, чего Вы не сказали ей делать. Под защитой HIPS будут находиться только те объекты, которые обозначены в ее таблице правил. Если Вы захотите защитить какой-то дополнительный объект, то Вам необходимо создать соответствующее правило.
Вернуться к оглавлению
Групповая политика
Важной особенностью HIPS является групповая политика, которая позволяет применять одни и те же разрешения для всех приложений, внесенных в определенную группу. По умолчанию в Kaspersky Internet Security 2009 подготовлены четыре группы, по которым продукт будет автоматически распределять запускаемые на компьютере приложения. К этим группам относятся:
- Доверенные
- Слабо ограниченные
- Сильно ограниченные
- Недоверенные
.gif)
Для каждой группы уже заданы определенные разрешения, которые, по мнению экспертов Лаборатории Касперского, являются оптимальными. В частности, Доверенные приложения никоим образом не ограничены в своих правах и возможностях, Слабо ограниченным запрещаются наиболее опасные для системы действия, Сильно ограниченным разрешены лишь те действия, которые не могут нанести существенного ущерба, а Недоверенные не могут выполнять практически никаких системных действий.
Вернуться к оглавлению
Правила для приложений
Основная таблица Контроля приложений позволяет быстро задавать однотипные разрешения для групп и отдельных приложений. В этой таблице пять колонок - Приложения, Операционная система, Конфиденциальные данные, Права и Сети.
.gif)
Правила HIPS обычно содержат три базовых компонента: субъект (т.е. приложение или группа, которое вызывает определенное событие), действие (разрешить, запретить или спрашивать пользователя) и объект (то, к чему приложение или группа пытается получить доступ). HIPS в Kaspersky Internet Security 2009 работает по тому же принципу. В зависимости от типа объекта правила разделяются на три группы:
-
Файлы и системный реестр
-
Системные права
-
Сети
У первой группы объектом являются файлы, ключи реестра. У второй группы объект - это системные права на выполнение тех или иных действий (например, на запуск или остановку процессов). У третьей группы - это сетевые объекты (IP-адреса и их группы, порты и направления).
Объекты для правил первого и третьего типа Вы можете создавать и редактировать на вкладке Ресурсы. На вкладке Ресурсы они распределены на несколько подгрупп для удобства работы с ними. Например, группа ресурсов Операционная система - это файлы и ключи реестра, обеспечивающие нормальную работу операционной системы Windows, а подгруппа Параметры автозапуска - это полный набор ключей, которые обеспечивают автоматический старт компонентов системы; туда может прописаться вредоносное ПО для скрытого запуска. При желании Вы можете создавать свои ресурсы и таким образом определять права доступа приложений к вашим собственным объектам.
.gif)
Некоторые правила можно настроить очень тонко: например, для файлов и реестра можно отдельно определять разрешения на чтение, запись, удаление и перечисление. Из главной таблицы такую тонкую настройку выполнить невозможно - это необходимо делать с помощью расширенного редактирования правил. Выделение приложения или группы и щелчок по ссылке Редактировать вызывает расширенный редактор. Здесь Вы можете определить разрешения отдельно для каждого возможного объекта - скажем, в разделе Права перечислены все виды системных прав, которые контролирует приложение Kaspersky Internet Security 2009.
.gif)
Если Вы определяете разрешения для группы (положим, Доверенные), то эти настройки будут автоматически скопированы на все приложения, входящие в эту группу. Так же Вы имеете возможность назначить отдельному приложению свои, индивидуальные права, отличающиеся от групповых.
Вернуться к оглавлению
Наследование прав
В приложении Kaspersky Internet Security 2009 реализован механизм наследования прав. Когда одно приложение запускает другое, разрешения для первого автоматически передаются на второе. Если бы этого механизма не было, недоверенное приложение могло бы использовать доверенное в своих целях и, пользуясь его неограниченными привилегиями, осуществлять любую активность.
Вместе с тем этот механизм имеет свои недостатки. Могут возникать ситуации, когда Вы создали разрешающее правило по определенному действию для такого-то приложения, но это правило не срабатывает. В этом случае Вы можете либо дать соответствующее разрешение родительскому процессу, либо в окне расширенного редактора правил снять галочку, определяющую автоматическую передачу этому приложению прав родительского процесса.
.gif)
Вернуться к оглавлению
Сетевой экран
Правила Сетевого экрана являются теперь частью таблицы HIPS. Они устроены так же, как и другие правила HIPS: субъект - действие - объект.
Наиболее общие настройки Сетевого экрана находятся в колонке Сети главной таблицы Контроля приложений. Если задать действие Разрешить для всех групп приложений, то Сетевой экран будет работать в режиме, эквивалентном режиму "Разрешить все" в предыдущих версиях Kaspersky Internet Security (версии 6.0 и 7.0). Задание вердикта Запрос действия равнозначно включению Режима обучения. Действие Запретить для всех групп переводит Сетевой экран в режим Блокировать все.
.gif)
Вы можете, к примеру, установить режим обучения для слабо и сильно ограниченных приложений, разрешить всё доверенным и блокировать всё для недоверенных.
Детальная настройка правил для конкретных приложений доступна Вам либо в таблице Сети расширенного редактора правил, либо на вкладке Сетевые пакеты. Здесь перечислены пакетные правила, определяющие доступ приложения к сетевым ресурсам.
.gif)
В списке пакетных правил для каждого приложения Вы увидите три неактивных правила, затененных серым и неизменяемых. Эти три правила отражают разрешения, заданные в главной таблице Контроля приложений (т.е. если в главной таблице в колонке Сети для этого приложения стоит вердикт Запрос действия, то и в этих серых правилах будет обозначен вердикт Запрос действия). Это правила самого низкого приоритета, и они работают только в том случае, если нет никаких противоречащих им правил более высокого приоритета. Не обращайте на них особенного внимания, на этой вкладке они играют роль индикаторов.
.gif)
Очень разнообразны объекты правил для Сетевого экрана. Их несколько типов, от более глобальных до более узких, но все они являются ресурсами, то есть доступны на вкладке Ресурсы, и все они могут быть объектами правил.
Наиболее глобальный объект - это сеть. Продукт различает три типа сетей: доверенные, локальные и публичные, и каждый раз при активизации незнакомого подключения Kaspersky Internet Security 2009 спросит Вас, к какому типу отнести эту сеть. Обратите внимание, что, если развернуть колонку Сети в главной таблице, можно задать отдельные общие разрешения для каждого типа сетей. Поэтому и неактивных пакетных правил для каждого приложения три: первое отражает настройки для доверенных сетей, второе - для локальных, третье - для публичных.
Если Вы определили свое подключение как публичную сеть, иначе Интернет, то абсолютно любая активность приложения по отношению к этой сети будет считаться обращением к ресурсу Публичные сети и обрабатываться по третьему неактивному пакетному правилу, если нет противоречащих этому правил.
Допустим, Вы определили приложению application.exe Запрос действия при работе с Публичными сетями. Обучение для этого приложения еще не началось, и список правил пуст (за исключением упомянутых выше неактивных правил). Поэтому при обращении application.exe к ресурсу в сети Интернет (например, IP-адресу 123.456.789.0) продукт предъявит вам вопрос режима обучения - что делать с этой попыткой соединения?
С помощью мастера создания детального правила Вы можете создать разрешающее правило для application.exe, которое позволит ему без вопросов в дальнейшем соединяться с указанным IP. На первой странице мастера вы выбираете вердикт Разрешить и переходите на вторую страницу.
Здесь Вы встречаетесь со следующим типом объекта для правила Сетевого экрана - сетевым сервисом. В этом типе ресурса собрано значительное количество шаблонов определенной сетевой активности - например, DNS-запрос. Сетевой сервис Исходящая DNS-активность будет, таким образом, содержать данные о направлении (исходящее), протоколе (UDP) и удаленном порте (53). Продукт автоматически подбирает Вам подходящие сетевые сервисы из своей базы; Вы можете также просмотреть весь список или создать свой сетевой сервис (потом его можно будет найти на вкладке Ресурсы).
.gif)
Шаблон правила практически закончен: она содержит субъект (application.exe), действие (Разрешить) и объект (сетевой сервис Исходящая DNS-активность). Остался последний компонент сетевого правила - можно назвать его вторичным объектом. Это IP-адрес.
IP-адрес также может входить в ресурс, то есть быть объектом. В один ресурс можно собрать и группу адресов, и диапазон, и несколько диапазонов, после чего назначить все это вторичным объектом правила. В мастере Вы можете создать ресурс (куда автоматически будет добавлен IP-адрес, на которое приложение обращалось изначально) или выбрать его из списка уже созданных.
В результате в списке пакетных правил образовалось новое, уже активное правило, которое разрешает приложению application.exe доступ к объекту Исходящая DNS-активность со вторичным объектом IP-адрес 123.456.789.0. Это правило более приоритетно, чем серые неактивные правила, и теперь, когда application.exe будет отсылать исходящий UDP-пакет на адрес 123.456.789.0 и порт 53, продукт обнаружит данное правило в списке и будет действовать в соответствии с ним. Но, если application.exe обратится уже по протоколу TCP на адрес 12.34.56.78 и порт 80, соответствующего правила обнаружено не будет, и вновь сработает серое неактивное правило запроса действия при обращении к публичным сетям.
Обратите внимание: активные пакетные правила неравноправны. Список пакетных правил устроен иерархически, то есть правило, расположенное выше, приоритетнее правила, расположенного ниже. К неактивным правилам это не относится.
Например, Вам требуется разрешить приложению посещать два конкретных IP-адреса из диапазона, а доступ ко всем прочим IP этого диапазона запретить. Теперь процедура такой настройки проста. Создайте ресурс, куда впишите требуемые адреса; создайте приложению пакетное правило, разрешающее ему любую сетевую активность на созданный вами ресурс. Теперь создайте другой ресурс, содержащий требуемый диапазон; создайте второе правило, запрещающее приложению любую сетевую активность на этот ресурс. С помощью расширенного редактора поднимите первое правило выше второго.
Теперь, если обращение приложения подпадает под действие первого правила, доступ будет разрешен. Если же нет, продукт проверит, не подпадает ли оно под действие второго правила. Подпадает - действие будет запрещено. Не подпадает - продукт перейдет к следующему правилу по списку, и так будет сверять, пока правила не закончатся. Если никакое из активных правил не соответствует обращению приложения к сети, решение будет принято в соответствии с неактивными правилами.
Вернуться к оглавлению
Статьи по продукту
Информация о продукте 
Системные требования
96 
08.04.2009 09:57
