Содержание
Настройка Сетевого экрана на Windows-устройствах
Сетевой экран защищает компьютер пользователя от сетевых угроз при работе в интернете или в локальной сети. Сетевой экран блокирует несанкционированные сетевые подключения к компьютеру, снижая возможность его заражения. Сетевой экран также контролирует сетевую активность программ на клиентском компьютере. Это снижает риск распространения вредоносных программ в сети, а также ограничивает действия пользователей, случайно или сознательно нарушающих политику безопасности, принятую в компании.
На Windows-устройствах, подключенных к Kaspersky Endpoint Security Cloud, Сетевой экран включен по умолчанию. Он работает с параметрами, рекомендованными экспертами "Лаборатории Касперского". При необходимости вы можете выключить Сетевой экран или изменить его параметры.
Настройка сетевых правил Сетевого экрана
Сетевой экран фильтрует всю сетевую активность на Windows-устройстве в соответствии с сетевыми правилами. Сетевые правила содержат условия, в соответствии с которыми Сетевой экран контролирует сетевые соединения на устройстве (например, направление соединения, протокол). В сетевых правилах также указано действие Сетевого экрана с соединением, удовлетворяющим условиям правила (разрешить соединение или запретить соединение).
Чтобы настроить сетевые правила Сетевого экрана, выполните следующие действия:
- Запустите Консоль Управления Kaspersky Endpoint Security Cloud.
- Выберите раздел Управление безопасностью → Профили безопасности.
В разделе Профили безопасности содержится список профилей безопасности, настроенных в Kaspersky Endpoint Security Cloud.
- Выберите в списке профиль безопасности для устройств, на которых вы хотите настроить сетевой экран.
- По ссылке с именем профиля откройте окно свойств профиля безопасности.
В окне свойств профиля безопасности отобразятся параметры, доступные для всех устройств.
- В группе Windows выберите раздел Параметры безопасности.
- Установите переключатель в положение Сетевой экран включен.
- Перейдите по ссылке Параметры под переключателем Сетевой экран включен.
Откроется страница настройки параметров Сетевого экрана.
- Перейдите по ссылке Параметры под надписью Правила для обработки сетевых пакетов и потоков данных.
Откроется страница Правила для обработки сетевых пакетов и потоков данных.
- Чтобы добавить новое сетевое правило, нажмите на кнопку Добавить.
Откроется страница Новая запись.
- В раскрывающемся списке Действие выберите, будет ли Kaspersky Endpoint Security Cloud разрешать или запрещать сетевую активность программ, удовлетворяющих заданным в правиле условиям.
- В поле Название введите название сетевого правила.
- В раскрывающемся списке Направление выберите, к какому потоку данных применимо это сетевое правило.
- В разделе Протокол выполните одно из следующих действий:
- Чтобы правило распространялось на сетевые пакеты и потоки данных, передаваемые по всем протоколам, выберите вариант Любой.
- Чтобы правило распространялось только на определенные протоколы, выберите пункт Выбрать протокол и настройте следующие параметры:
- В раскрывающемся списке Выбрать протокол выберите нужное значение.
- Перейдите по ссылке Параметры в разделе Выбрать протокол.
- В зависимости от значения, выбранного в раскрывающемся списке Выбрать протокол, укажите локальный и удаленный порты или выберите соответствующие значения ICMP-типа и ICMP-кода.
- В раскрывающемся списке Адреса удаленной сети выберите группу адресов, сетевая активность которых будет контролироваться компонентом Сетевой экран.
- Если на предыдущем шаге вы выбрали пункт Адреса из списка, перейдите по ссылке Параметры под раскрывающимся списком Адреса удаленной сети.
Откроется страница Новая запись.
- Сформируйте список адресов устройств, сетевую активность которых должен контролировать Сетевой экран:
- Если вы хотите добавить новый адрес, нажмите на кнопку Добавить и в открывшемся окне IP-адрес или DNS-имя компьютера укажите адрес в поле ввода. Нажмите на кнопку OК.
- Если вы хотите изменить добавленный ранее адрес, установите флажок слева от него и нажмите на кнопку Редактировать. Внесите необходимые изменения и нажмите на кнопку OК.
- Если вы хотите удалить добавленный ранее адрес, установите флажок слева от него и нажмите на кнопку Удалить.
- Нажмите на кнопку OК.
Добавленное правило отобразится в списке правил для сетевых пакетов и потоков данных.
После применения профиля безопасности на Windows-устройствах пользователей будет включен Сетевой экран. Сетевая активность программ на этих устройствах будет контролироваться согласно настроенным сетевым правилам.
В началоНастройка статусов сетей
Вы можете указать статусы сетей, к которым подключены устройства пользователей (локальная сеть, общедоступная сеть или доверенная сеть). Сетевой экран определяет параметры защиты устройств пользователей от сетевых угроз в зависимости от статуса сети.
Сеть указывается с помощью диапазона IP-адресов. Если IP-адрес устройства пользователя входит в диапазон IP-адресов сети, Сетевой экран защищает устройство в соответствии со статусом этой сети. Если IP-адрес устройства не входит ни в один из диапазонов IP-адресов, указанных на этой странице, Сетевой экран определяет статус сети устройства на основе статуса сети в операционной системе устройства. Все IP-адреса, кроме указанных на этой странице и в операционной системе устройств, считаются IP-адресами общедоступных сетей.
По умолчанию в качестве локальных сетей указаны три диапазона IP-адресов: 172.16.0.0/12, 192.168.0.0/16 и 10.0.0.0/8.
Пример.
Вы удалили все заданные по умолчанию сети и указали сеть 172.16.0.0/16 как локальную. Устройство пользователя имеет два сетевых адаптера, которые получают IP-адреса из диапазонов 172.16.55.0/24 и 192.168.5.0/24 соответственно. Обе сети в операционной системе устройства определены как общедоступные. Поскольку IP-адреса 172.16.55.0/24 входят в диапазон 172.16.0.0/16, статус сети 172.16.55.0/24 определяется в соответствии с заданными параметрами и сеть является локальной. Поскольку заданные параметры не содержат диапазона для сети 192.168.5.0/24, ее статус определяется на основе операционной системы устройства и сеть является общедоступной.
Чтобы настроить статусы сетей, выполните следующие действия:
- Запустите Консоль Управления Kaspersky Endpoint Security Cloud.
- Выберите раздел Управление безопасностью → Профили безопасности.
В разделе Профили безопасности содержится список профилей безопасности, настроенных в Kaspersky Endpoint Security Cloud.
- Выберите в списке профиль безопасности для устройств, на которых вы хотите настроить статусы сетей.
- По ссылке с именем профиля откройте окно свойств профиля безопасности.
В окне свойств профиля безопасности отобразятся параметры, доступные для всех устройств.
- В группе Windows выберите раздел Параметры безопасности.
- Перейдите по ссылке Параметры под переключателем Сетевой экран включен.
Откроется страница настройки параметров Сетевого экрана.
- Перейдите по ссылке Параметры в разделе Доступные сети.
Откроется страница Доступные сети.
- Выполните любое из следующих действий:
- Чтобы указать статус новой сети, выполните следующие действия:
- Нажмите на кнопку Добавить.
Откроется окно Сетевое соединение.
- В поле Название укажите название новой сети.
- В раскрывающемся списке Статус выберите одно из следующих значений:
- Локальные сети.
Этот статус присваивается сетям, пользователям которых разрешен доступ к файлам и принтерам этого компьютера (например, для локальной сети организации или для домашней сети). - Публичные сети.
Этот статус присваивается сетям, не защищенным средствами защиты от вредоносного ПО, сетевыми экранами, фильтрами (например, сетям интернет-кафе). Пользователям компьютеров, подключенных к такой сети, сетевой экран блокирует доступ к файлам и принтерам этого компьютера. Сторонние пользователи также не могут получить доступ к информации через папки общего доступа и удаленный доступ к рабочему столу этого компьютера. Сетевой экран фильтрует сетевую активность каждой программы в соответствии с сетевыми правилами этой программы. - Доверенные сети.
Этот статус присваивается безопасным сетям, при работе в которых компьютер не подвергается атакам и попыткам несанкционированного доступа к данным. Для сетей с этим статусом Сетевой экран разрешает любую сетевую активность в рамках этой сети.
- Локальные сети.
- В поле IP-адрес укажите диапазон IP-адресов сети.
- Нажмите на кнопку OК, чтобы закрыть окно Сетевое соединение.
Добавленная запись появится в списке сетей в окне Доступные сети.
- Нажмите на кнопку Добавить.
- Чтобы изменить запись в списке сетей, выполните следующие действия:
- Установите флажок рядом с требуемой записью.
- Нажмите на кнопку Редактировать.
Откроется окно Сетевое соединение. Оно содержит сведения о выбранной сети.
- Внесите необходимые изменения.
- Нажмите на кнопку OК, чтобы закрыть окно Новая запись.
Измененная запись появится в списке сетей в окне Доступные сети.
- Чтобы удалить запись из списка сетей, выполните следующие действия:
- Установите флажок рядом с требуемой записью.
- Нажмите на кнопку Удалить.
Удаленная запись исчезнет из списка сетей в окне Доступные сети.
- Чтобы указать статус новой сети, выполните следующие действия:
- Нажмите Сохранить, чтобы сохранить изменения.
Список сетей будет обновлен.
После применения профиля безопасности устройства пользователей будут защищены от сетевых угроз в соответствии с правилами для указанных статусов сети.
В начало