Данные Kaspersky Endpoint Agent для Windows

Вы можете посмотреть подробную информацию о данных Kaspersky Endpoint Agent, которые хранятся и обрабатываются локально, в справке приложения:

• Данные в запросах к компоненту KATA Central Node.
• Служебные данные.
• Данные в файлах трассировки и дампов.
• Данные о принятии условий Положения о KSN.
• Данные о событиях Журнала событий Windows.

Данные, получаемые от компонента Central Node

Приложение Kaspersky Endpoint Agent сохраняет на жестком диске компьютера значения параметров, получаемые от компонента Central Node. Данные сохраняются в открытом незашифрованном виде в папке C:\ProgramData\Kaspersky Lab\Endpoint Agent\protected\data.

По умолчанию при включенной самозащите доступ к файлам на чтение имеют только пользователи с правами System и Administrator. При выключенной самозащите пользователи с правами System и Administrator могут также удалять файлы, изменять их содержимое и изменять права доступа к ним. Приложение Kaspersky Endpoint Agent не управляет правами доступа к данной папке и ее файлам. Доступ определяет системный администратор.

Данные удаляются при удалении приложения Kaspersky Endpoint Agent.

Данные, получаемые от компонента Central Node, могут содержать следующую информацию:

• О сетевых соединениях.
• Об операционной системе, установленной на сервере с компонентом Central Node.
• Об учетных записях пользователей операционной системы.
• О пользовательских сессиях в операционной системе.
• О журнале событий Windows.
• О ресурсе типа RT_VERSION.
• О содержимом PE-файла.
• О службах операционной системы.
• Сертификат сервера с компонентом Central Node.
• URL- и IP-адреса посещенных веб-сайтов.
• Заголовки протокола HTTP.
• Имя компьютера.
• MD5-хеши файлов.
• Уникальный идентификатор компьютера с Kaspersky Endpoint Agent.
• Имена и значения ключей реестра Windows.
• Пути к ключам реестра Windows.
• Имена переменных реестра Windows.
• Имя записи локального DNS-кеша.
• Адрес из записи локального DNS-кеша в формате IPv4.
• IP-адрес или имя запрашиваемого хоста из локального DNS-кеша.
• Хост элемента локального DNS-кеша.
• Доменное имя элемента локального DNS-кеша.
• Адрес элемента ARP-кеша в формате IPv4.
• Физический адрес элемента APR-кеша.
• Серийный номер логического диска.
• Домашняя директория локального пользователя.
• Имя учетной записи пользователя, запустившего процесс.
• Путь к скрипту, запускаемому при входе пользователя в систему.
• Имя пользователя, под учетной записью которого произошло событие.
• Имя компьютера, на котором произошло событие.
• Полные пути к файлам компьютеров с Kaspersky Endpoint Agent.
• Имена файлов компьютеров с Kaspersky Endpoint Agent.
• Маски файлов компьютеров с Kaspersky Endpoint Agent.
• Полные имена папок компьютеров с Kaspersky Endpoint Agent.
• Комментарии поставщика файла.
• Маска файла-образа процесса.
• Путь к файлу-образу процесса, открывшего порт.
• Имя процесса, открывшего порт.
• Локальный IP-адрес порта.
• Доверенный публичный ключ цифровой подписи исполняемых модулей.
• Имя процесса.
• Имя сегмента процесса.
• Параметры командной строки.

Данные в обнаружениях и событиях

Данные о событиях хранятся в бинарном виде в папке C:\ProgramData\Kaspersky Lab\Endpoint Agent\protected\kata в открытом незашифрованном виде.

По умолчанию при включенной самозащите доступ к файлам на чтение имеют только пользователи с правами System и Administrator. При выключенной самозащите пользователи с правами System и Administrator могут также удалять файлы, изменять их содержимое и изменять права доступа к ним. Приложение Kaspersky Endpoint Agent не управляет правами доступа к данной папке и ее файлам. Доступ определяет системный администратор.

Данные о событиях могут содержать следующую информацию:

• Об исполняемых модулях.
• О сетевых соединениях.
• Об операционной системе, установленной на компьютере с Kaspersky Endpoint Agent.
• О пользовательских сессиях в операционной системе.
• Об учетных записях пользователей операционной системы.
• О журнале событий Windows.
• Об обнаружениях Kaspersky Endpoint Security для Windows.
• Об организационных подразделениях (OU) Active Directory.
• Заголовки протокола HTTP.
• Полное доменное имя компьютера.
• MD5-, SHA256-хеш файлов и их фрагментов.
• Уникальный идентификатор компьютера с Kaspersky Endpoint Agent.
• Уникальные идентификаторы сертификатов.
• Издатель сертификата.
• Субъект сертификата.
• Название алгоритма, при помощи которого выполнен отпечаток сертификата.
• Адрес и порт локального сетевого интерфейса.
• Адрес и порт удаленного сетевого интерфейса.
• Поставщик приложения.
• Название приложения.
• Имя переменной реестра Windows.
• Путь к ключу реестра Windows.
• Данные переменной реестра Windows.
• Имя обнаруженного объекта.
• Идентификатор Агента администрирования Kaspersky Security Center.
• Содержимое файла hosts.
• Командная строка запуска процесса.

Данные в отчетах о выполнении задач

Перед отправкой на компонент Central Node отчеты, а также сопутствующие файлы временно сохраняются на жестком диске компьютера с приложением Kaspersky Endpoint Agent. Отчеты о выполнении задач сохраняются в архивированном незашифрованном виде в папке C:\ProgramData\Kaspersky Lab\Endpoint Agent\protected\kata\data_queue.

По умолчанию при включенной самозащите доступ к файлам на чтение имеют только пользователи с правами System и Administrator. При выключенной самозащите пользователи с правами System и Administrator могут также удалять файлы, изменять их содержимое и изменять права доступа к ним. Приложение Kaspersky Endpoint Agent не управляет правами доступа к данной папке и ее файлам. Доступ определяет системный администратор.

Отчеты о выполнении задач содержат следующую информацию:

• О результатах выполнения задач.
• Об исполняемых модулях.
• О процессах операционной системы.
• Об учетных записях пользователей.
• О пользовательских сессиях.
• Полное доменное имя компьютера.
• Уникальный идентификатор компьютера с Kaspersky Endpoint Agent.
• Файлы компьютера с Kaspersky Endpoint Agent.
• Имена
  альтернативных потоков NTFS

  Потоки данных файловой системы NTFS (alternate data streams), предназначенные для размещения дополнительных атрибутов или информации к файлу.

  Каждый файл в файловой системе NTFS представляет собой набор потоков (streams). В одном из них находится содержимое файла, которое мы сможем увидеть, открыв файл, остальные (альтернативные) предназначены для размещения метаинформации и обеспечивают, например, совместимость системы NTFS с другими системами, такими как старая файловая система Macintosh – Hierarchical File System (HFS). Потоки можно создавать, удалять, сохранять отдельно, переименовывать и даже запускать как процесс.

  Альтернативные потоки могут использоваться злоумышленниками для скрытой передачи или получения данных с компьютера.

  .
• Полные пути к файлам компьютера с Kaspersky Endpoint Agent.
• Полные имена папок компьютера с Kaspersky Endpoint Agent.
• Содержимое стандартного потока вывода процесса.
• Содержимое стандартного потока ошибок процесса.

Данные в журнале установки

Администратор может включить запись журнала установки приложения Kaspersky Endpoint Agent (стандартными средствами msiexec) при установке с помощью командной строки. Администратор указывает путь к файлу, в котором будет сохраняться журнал установки.

В журнал записываются шаги процесса установки, а также командная строка вызова msiexec, которая содержит адрес сервера с компонентом Central Node и путь к файлу журнала установки.

Данные о файлах, запрещенных к запуску

Данные о файлах, запрещенных к запуску, хранятся в папке C:\ProgramData\Kaspersky Lab\Endpoint Agent\protected\kata в открытом незашифрованном виде.

По умолчанию при включенной самозащите доступ к файлам на чтение имеют только пользователи с правами System и Administrator. При выключенной самозащите пользователи с правами System и Administrator могут также удалять файлы, изменять их содержимое и изменять права доступа к ним. Приложение Kaspersky Endpoint Agent не управляет правами доступа к данной папке и ее файлам. Доступ определяет системный администратор.

Данные о файлах, запрещенных к запуску, могут содержать следующую информацию:

• Полный путь к запрещенному файлу.
• MD5-хеш файла.
• SHA256-хеш файла.
• Команда запуска процесса.

Данные, связанные с выполнением задач

При выполнении задачи помещения файла на карантин архив, содержащий этот файл, временно сохраняется в незашифрованном виде в одной из следующих папок:

• для приложения Kaspersky Endpoint Agent, входящего в состав приложения Kaspersky Endpoint Security, в папке C:\ProgramData\Kaspersky Lab\Endpoint Agent\protected\kata\temp;
• для приложения Kaspersky Endpoint Agent, установленного из пакета Kaspersky Anti Targeted Attack Platform, в папке C:\ProgramData\Kaspersky Lab\Endpoint Agent\protected\data\kata\temp.

При выполнении задачи запуска программы на хосте приложение Kaspersky Endpoint Agent локально хранит содержимое стандартных потоков вывода и ошибок запущенного процесса в открытом незашифрованном виде до тех пор, пока отчет о выполнении задачи не будет отправлен на компонент Central Node. Файлы хранятся в одной из следующих папок:

• для приложения Kaspersky Endpoint Agent, входящего в состав приложения Kaspersky Endpoint Security, в папке C:\ProgramData\Kaspersky Lab\Endpoint Agent\protected\kata\temp;
• для приложения Kaspersky Endpoint Agent, установленного из пакета Kaspersky Anti Targeted Attack Platform, в папке C:\ProgramData\Kaspersky Lab\Endpoint Agent\protected\data\kata\temp.

По умолчанию при включенной самозащите доступ к файлам на чтение имеют только пользователи с правами System и Administrator. При выключенной самозащите пользователи с правами System и Administrator могут также удалять файлы, изменять их содержимое и изменять права доступа к ним. Приложение Kaspersky Endpoint Agent не управляет правами доступа к данной папке и ее файлам. Доступ определяет системный администратор.