О формировании правил контроля запуска программ

Вы можете создать списки правил контроля запуска программ с помощью задач и политик Kaspersky Security Center одновременно для всех защищаемых устройств и групп защищаемых устройств в сети организации. Рекомендуется использовать перечисленные сценарии, если в сети организации нет эталонной машины и вы не можете сформировать список разрешающих правил на основе программ, установленным на такой эталонной машине.

Можно запустить задачу Формирование правил контроля запуска программ локально с помощью Консоли программы для создания списка правил на основе программ, запущенных на отдельном защищаемом устройстве.

По умолчанию компонент Контроль запуска программ устанавливается с двумя разрешающими правилами:

• Разрешающее правило для скриптов и пакетов установщика Windows с сертификатом, доверенным в операционной системе.
• Разрешающее правило для исполняемых файлов с сертификатом, доверенным в операционной системе.

Вы можете создавать списки правил контроля запуска программ на стороне Kaspersky Security Center двумя способами:

• С помощью групповой задачи Формирование правил контроля запуска программ.

  В рамках этого сценария групповая задача формирует собственный список правил контроля запуска программ для каждого защищаемого устройства в сети и сохраняет эти списки в XML-файл в указанной папке общего доступа. XML-файл, созданный задачей Формирование правил контроля запуска программ, содержит разрешающие правила, указанные при настройке параметров задачи, до ее запуска. Для программ, запуск которых не разрешен в параметрах указанной задачи, не будет создано ни одного правила. Запуск таких программ будет заблокирован по умолчанию. Затем вы можете вручную импортировать сформированные списки правил в задачу Контроль запуска программ для политики Kaspersky Security Center.

  Вы можете настроить автоматический импорт сформированных правил в список правил задачи Контроль запуска программ.

  Рекомендуется использовать этот сценарий, если требуется быстро сформировать списки правил контроля запуска программ. Запуск задачи Формирование правил контроля запуска программ по расписанию рекомендуется настраивать, только если область применения разрешающих правил включает папки, содержащие заведомо безопасные файлы.

  Перед запуском задачи Контроль запуска программ в сети убедитесь, что для всех защищаемых устройств настроен доступ к папке общего доступа. Если применение папки общего доступа не предусмотрено политикой организации, рекомендуется запустить задачу Формирование правил контроля запуска программ на защищаемом устройстве в тестовой группе защищаемых устройств или на эталонной машине.

• На основе отчета о событиях в работе задачи Контроль запуска программ в режиме Только статистика, сформированного в Kaspersky Security Center.

  В рамках этого сценария Kaspersky Embedded Systems Security не блокирует запуск программ. Когда задача Контроль запуска программ работает в режиме Только статистика, все разрешенные и запрещенные запуски программ на всех защищаемых устройствах сети регистрируются на закладке События в рабочей области узла Сервера администрирования в Kaspersky Security Center. С помощью отчетов в Kaspersky Security Center формируется единый список событий о заблокированных запусках программ.

  Вам нужно настроить период выполнения задачи так, чтобы за указанный промежуток времени выполнились все возможные сценарии работы защищаемых устройств и групп защищаемых устройств и хотя бы одна перезагрузка. После завершения выполнения задачи можно импортировать данные о запусках программ из сохраненного отчета о событиях Kaspersky Security Center (файла в формате TXT) и сформировать на основе этих данных разрешающие правила контроля запуска таких программ.

  Рекомендуется использовать этот сценарий, если в сети организации имеется большое количество защищаемых устройств разных типов с различным набором установленных программ.

• На основе событий блокировки запуска программ, полученных через Kaspersky Security Center, без создания и импорта конфигурационного файла.

  Чтобы воспользоваться данной возможностью, задача Контроль запуска программ на защищаемом устройстве должна находиться под управлением активной политики Kaspersky Security Center. При этом все события на защищаемом устройстве передаются на Сервер администрирования.

Рекомендуется обновить список правил при изменении состава программ, установленных на управляемых устройствах в сети (например, при установке обновлений или переустановке операционной системы). Рекомендуется сформировать обновленный список правил, запустив задачу Формирование правил контроля запуска программ или задачу Контроль запуска программ в режиме Только статистика на защищаемых устройствах тестовой группы администрирования. Тестовая группа администрирования включает защищаемые устройства, необходимые для тестового запуска новых программ перед их установкой на остальные защищаемые устройства сети.

XML-файлы, содержащие списки разрешающих правил, создаются на основе анализа задач, запускаемых на защищаемом устройстве. Чтобы при формировании списка правил учесть все используемые в сети программы, рекомендуется запускать задачи Формирование правил контроля запуска программ и Контроль запуска программ в режиме Только статистика на эталонной машине.

Перед формированием разрешающих правил на основе программ, запущенных на эталонной машине организации, убедитесь, что эталонная машина защищена и на ней нет вредоносных программ.

Перед добавлением разрешающих правил выберите один из доступных режимов применения правил. В списке правил политики Kaspersky Security Center отображаются только правила, заданные в этой политике, вне зависимости от режима применения правил. Список локальных правил включает все применимые правила: локальные и добавленные через политику.