Некоторые действия обычных программ могут классифицироваться Kaspersky Total Security как опасные. Если Kaspersky Total Security блокирует работу программы, а вы уверены в ее безопасности, добавьте программу в список доверенных или создайте для нее правило исключений .
После добавления программы в список доверенных Kaspersky Total Security прекращает контролировать файловую и сетевую активность этой программы, а также ее обращения к реестру. При этом исполняемый файл программы по-прежнему продолжает проверятьсяна вирусы. Если вы хотите полностью исключить программу из проверки, создайте для нее правило исключений.
Чтобы добавить программу в список доверенных, выполните следующие действия:
В Kaspersky Total Security по умолчанию в доверенные программы с параметром Не проверять зашифрованный сетевой трафик добавлен файл %SystemRoot%\system32\svchost.exe - исполняемый файл системного сервиса Microsoft Windows Update . Защищенный трафик этого сервиса недоступен для проверки любому антивирусному ПО. В случае, если для этого сервиса не будет создано разрешающее правило, работа этого сервиса будет завершена с ошибкой.
Если паранойя подсказывает, что вы недостаточно защищены, а под рукой имеются только бесплатные инструменты для безопасности, то нужно это чувство удовлетворить! Под катом будем создавать белый список программ для выхода в сеть с помощью стандартного брандмауэра Windows, в том числе и на PowerShell.
Скриншоты
Скриншоты
Скриншоты
Скриншот
Свойства уже созданного правила для ping
Set-ExecutionPolicy Unrestricted
Set-ExecutionPolicy Default # Отмена
Блокировка всех исходящих соединений брандмауэром выглядит так:
Set-NetFirewallProfile -All -DefaultOutboundAction Block
Команда для добавления правила для всех профилей и исходящего направления для explorer.exe - обновление плиток на Windows 8.1. Полагаю, что и на 10-ке используется:
New-NetFirewallRule -Program "C:\Windows\explorer.exe" -Action Allow -Profile Any -DisplayName "Доступ для explorer.exe" -Direction Outbound
Пусть у нас первая ячейка содержит название правила, а вторая ячейка хранит путь до программы. И у нас будет N таких двухячеечных строк - сколько штук правил. Все это будем хранить в $programs . Начнем с простого: Internet Explorer, Google Chrome, Tor Browser, Yandex.Browser, Notepad++, Visual Studio 2015, qBittorrent, HWMonitor, OneDrive, PowerShell, PowerShell ISE, Steam, CS GO, TeamViewer и так далее - все более-менее простые приложения, которым для выхода в сеть нужен доступ из 1-2 файлов exe.
Заполнение таблицы $programs
# $env - системные переменные %USERPROFILE%, %SystemRoot% и т.д.
$programs =
("Доступ для Internet Explorer (x86)",
(${env:ProgramFiles(x86)}+"\Internet Explorer\iexplore.exe")),
("Доступ для Internet Explorer",
($env:ProgramFiles+"\Internet Explorer\iexplore.exe")),
("Доступ для Google Chrome",
(${env:ProgramFiles(x86)}+"\Google\Chrome\Application\chrome.exe")),
("Доступ для Google Update",
(${env:ProgramFiles(x86)}+"\Google\Update\GoogleUpdate.exe")),
("Доступ для Tor Browser",
($env:USERPROFILE+"\AppData\Local\Tor Browser\Browser\firefox.exe")),
("Доступ для Tor Browser updater",
($env:USERPROFILE+"\AppData\Local\Tor Browser\Browser\updater.exe")),
("Доступ для Yandex.Browser",
($env:USERPROFILE+"\AppData\Local\Yandex\YandexBrowser\Application\browser.exe")),
("Доступ для Notepad++ (GUP)",
(${env:ProgramFiles(x86)}+"\Notepad++\updater\GUP.exe")),
("Доступ для Visual Studio 2015",
(${env:ProgramFiles(x86)}+"\Microsoft Visual Studio 14.0\Common7\IDE\devenv.exe")),
("Доступ для Blend (Visual Studio)",
(${env:ProgramFiles(x86)}+"\Microsoft Visual Studio 14.0\Common7\IDE\Blend.exe")),
("Доступ для qBittorrent",
(${env:ProgramFiles(x86)}+"\qBittorrent\qbittorrent.exe")),
("Доступ для HWMonitor",
($env:ProgramFiles+"\CPUID\HWMonitor\HWMonitor.exe")),
("Доступ для OneDrive",
($env:USERPROFILE+"\AppData\Local\Microsoft\OneDrive\OneDrive.exe")),
("Доступ для PowerShell (выключить для безопасности)",
($env:SystemRoot+"\System32\WindowsPowerShell\v1.0\powershell.exe")),
("Доступ для PowerShell ISE (выключить для безопасности)",
($env:SystemRoot+"\System32\WindowsPowerShell\v1.0\powershell_ise.exe")),
("Доступ для Steam",
(${env:ProgramFiles(x86)}+"\Steam\Steam.exe")),
("Доступ для steamwebhelper",
(${env:ProgramFiles(x86)}+"\Steam\bin\steamwebhelper.exe")),
("Доступ для Steam CS GO",
("D:\Games\SteamLibrary\steamapps\common\Counter-Strike Global Offensive\csgo.exe")),
("Доступ для TeamViewer",
(${env:ProgramFiles(x86)}+"\TeamViewer\TeamViewer.exe")),
("Доступ для TeamViewer_Service",
(${env:ProgramFiles(x86)}+"\TeamViewer\TeamViewer_Service.exe"))
Добавляем в $programs
("Доступ для AvastUI+",
($env:ProgramFiles+"\AVAST Software\Avast\AvastUI.exe")),
("Доступ для AvastSvc",
($env:ProgramFiles+"\AVAST Software\Avast\AvastSvc.exe")),
("Доступ для Avast планировщик (AvastEmUpdate)",
($env:ProgramFiles+"\AVAST Software\Avast\AvastEmUpdate.exe")),
("Доступ для Avast обновления (instup)",
($env:ProgramFiles+"\AVAST Software\Avast\setup\instup.exe")),
("Доступ для Mozilla Firefox",
(${env:ProgramFiles(x86)}+"\Mozilla Firefox\firefox.exe"))
Try
{
$i = "Доступ для Windows Update/Modern Apps"
New-NetFirewallRule -Program ($env:SystemRoot+"\System32\svchost.exe") -Protocol TCP -RemotePort 80, 443 -Action Allow -Profile Any -DisplayName $i -Direction Outbound
$i = "Доступ для Avast (служба)"
New-NetFirewallRule -Service "avast! Antivirus" -Action Allow -Profile Any -DisplayName $i -Direction Outbound
$i = "Доступ для Mozilla Maintenance Service"
New-NetFirewallRule -Service "MozillaMaintenance" -Action Allow -Profile Any -DisplayName $i -Direction Outbound
$i = "Доступ для ping (v4)"
New-NetFirewallRule -Profile Any -Action Allow -DisplayName $i -Protocol ICMPv4 -IcmpType 8 -Direction Outbound
$i = "Доступ для ping (v6)"
New-NetFirewallRule -Profile Any -Action Allow -DisplayName $i -Protocol ICMPv6 -IcmpType 8 -Direction Outbound
$i = "Доступ для Службы Магазина Windows"
New-NetFirewallRule -Service "WSService" -Action Allow -Profile Any -DisplayName $i -Direction Outbound
# На редкие исключения, когда огненную стену надо приопустить (при установке программ, например)
$i = "Доступ для Частного профиля (выключить)"
New-NetFirewallRule -Enabled False -Action Allow -Profile Private -DisplayName $i -Direction Outbound
Write-Host "Успех при применении особых правил"
}
catch
{
Write-Host "Ошибка при применении особых правил на шаге:" $i
}
Write-Host
Вот и, пожалуй, все. На этом повествование можно заканчивать. Передаю инициативу теперь в ваши руки, дерзайте! Надеюсь, Вы узнали что-то новое или хотя бы вспомнили хорошо забытое старое. Итоговый скрипт (.ps1) можно обнаружить под спойлером ниже.
Итоговый скрипт
Set-NetFirewallProfile -All -DefaultOutboundAction Block
$programs =
("Доступ для Internet Explorer (x86)",
(${env:ProgramFiles(x86)}+"\Internet Explorer\iexplore.exe")),
("Доступ для Internet Explorer",
($env:ProgramFiles+"\Internet Explorer\iexplore.exe")),
("Доступ для Google Chrome",
(${env:ProgramFiles(x86)}+"\Google\Chrome\Application\chrome.exe")),
("Доступ для Google Update",
(${env:ProgramFiles(x86)}+"\Google\Update\GoogleUpdate.exe")),
("Доступ для Tor Browser",
($env:USERPROFILE+"\AppData\Local\Tor Browser\Browser\firefox.exe")),
("Доступ для Tor Browser updater",
($env:USERPROFILE+"\AppData\Local\Tor Browser\Browser\updater.exe")),
("Доступ для Yandex.Browser",
($env:USERPROFILE+"\AppData\Local\Yandex\YandexBrowser\Application\browser.exe")),
("Доступ для Notepad++ (GUP)",
(${env:ProgramFiles(x86)}+"\Notepad++\updater\GUP.exe")),
("Доступ для Visual Studio 2015",
(${env:ProgramFiles(x86)}+"\Microsoft Visual Studio 14.0\Common7\IDE\devenv.exe")),
("Доступ для Blend (Visual Studio)",
(${env:ProgramFiles(x86)}+"\Microsoft Visual Studio 14.0\Common7\IDE\Blend.exe")),
("Доступ для qBittorrent",
(${env:ProgramFiles(x86)}+"\qBittorrent\qbittorrent.exe")),
("Доступ для HWMonitor",
($env:ProgramFiles+"\CPUID\HWMonitor\HWMonitor.exe")),
("Доступ для OneDrive",
($env:USERPROFILE+"\AppData\Local\Microsoft\OneDrive\OneDrive.exe")),
("Доступ для PowerShell (выключить для безопасности)",
($env:SystemRoot+"\System32\WindowsPowerShell\v1.0\powershell.exe")),
("Доступ для PowerShell ISE (выключить для безопасности)",
($env:SystemRoot+"\System32\WindowsPowerShell\v1.0\powershell_ise.exe")),
("Доступ для Steam",
(${env:ProgramFiles(x86)}+"\Steam\Steam.exe")),
("Доступ для steamwebhelper",
(${env:ProgramFiles(x86)}+"\Steam\bin\steamwebhelper.exe")),
("Доступ для Steam CS GO",
("D:\Games\SteamLibrary\steamapps\common\Counter-Strike Global Offensive\csgo.exe")),
("Доступ для TeamViewer",
(${env:ProgramFiles(x86)}+"\TeamViewer\TeamViewer.exe")),
("Доступ для TeamViewer_Service",
(${env:ProgramFiles(x86)}+"\TeamViewer\TeamViewer_Service.exe")),
("Доступ для explorer.exe",
($env:SystemRoot+"\explorer.exe")),
("Доступ для AvastUI+",
($env:ProgramFiles+"\AVAST Software\Avast\AvastUI.exe")),
("Доступ для AvastSvc",
($env:ProgramFiles+"\AVAST Software\Avast\AvastSvc.exe")),
("Доступ для Avast планировщик (AvastEmUpdate)",
($env:ProgramFiles+"\AVAST Software\Avast\AvastEmUpdate.exe")),
("Доступ для Avast обновления (instup)",
($env:ProgramFiles+"\AVAST Software\Avast\setup\instup.exe")),
("Доступ для Mozilla Firefox",
(${env:ProgramFiles(x86)}+"\Mozilla Firefox\firefox.exe"))
foreach($prog in $programs)
{
try
{
New-NetFirewallRule -Program $prog -Action Allow -Profile Any -DisplayName $prog -Direction Outbound
Write-Host "Успех: "$prog
}
catch
{
Write-Host "Ошибка: "$prog
}
Write-Host
}
try
{
$i = "Доступ для Windows Update/Modern Apps"
New-NetFirewallRule -Program ($env:SystemRoot+"\System32\svchost.exe") -Protocol TCP -RemotePort 80, 443 -Action Allow -Profile Any -DisplayName $i -Direction Outbound
$i = "Доступ для Avast (служба)"
New-NetFirewallRule -Service "avast! Antivirus" -Action Allow -Profile Any -DisplayName $i -Direction Outbound
$i = "Доступ для Mozilla Maintenance Service"
New-NetFirewallRule -Service "MozillaMaintenance" -Action Allow -Profile Any -DisplayName $i -Direction Outbound
$i = "Доступ для ping (v4)"
New-NetFirewallRule -Profile Any -Action Allow -DisplayName $i -Protocol ICMPv4 -IcmpType 8 -Direction Outbound
$i = "Доступ для ping (v6)"
New-NetFirewallRule -Profile Any -Action Allow -DisplayName $i -Protocol ICMPv6 -IcmpType 8 -Direction Outbound
$i = "Доступ для Службы Магазина Windows"
New-NetFirewallRule -Service "WSService" -Action Allow -Profile Any -DisplayName $i -Direction Outbound
# На редкие исключения, когда огненную стену надо приопустить (при установке программ, например)
$i = "Доступ для Частного профиля (выключить)"
New-NetFirewallRule -Enabled False -Action Allow -Profile Private -DisplayName $i -Direction Outbound
Write-Host "Успех при применении особых правил"
}
catch
{
Write-Host "Ошибка при применении особых правил на шаге:" $i
}
Write-Host
21.06.2011 Орин Томас
Спомощью решений, ограничивающих круг выполняемых приложений (создание белых списков), администраторы могут настроить клиентские компьютеры на запуск только явно разрешенных прикладных программ. Чтобы не беспокоиться о запуске пользователями вредоносных программ или опасных сценариев, администраторы составляют список доступных сотрудникам приложений. Выполнение приложений, отсутствующих в списке, просто блокируется. В зависимости от сложности технологии, используемой при подготовке белых списков, приложения можно утверждать по сертификату издателя, хешированному значению (цифровому отпечатку) или просто по пути и имени файла
Как правило, самый простой способ - идентификация по сертификату издателя. При использовании этого метода нетрудно предусмотреть в любом правиле все будущие версии приложения. Недостаток сертификатов издателя - наличие большого количества программ без цифровых подписей, которые нельзя идентифицировать таким методом. В одних случаях реализации метода в белые списки вносится только имя издателя, а в других можно указать имя, назначенное приложению, и его версию.
При использовании хешированного значения формируется цифровой хеш, нечто вроде цифрового отпечатка, идентифицирующий исполняемый файл целевого приложения. Недостаток цифровых хешей заключается в том, что при каждом изменении файла (в результате установки программных исправлений или новой версии приложения) значение хеша необходимо пересчитывать, так как «цифровой отпечаток» изменяется. Если в основе белого списка лежит хешированное значение, необходимо предусмотреть способ своевременного пересчета обновлений программ в регулярном цикле управления.
Идентификация на основе пути - самый простой, но одновременно и самый уязвимый способ идентификации файлов. Преимущество сертификатов издателя и хешированного значения заключается в том, что в случае изменения исполняемого файла вредоносной программой он исключается из белого списка, как не соответствующий идентифицирующим свойствам издателя или хеша. А зараженный исполняемый файл, идентифицируемый по пути, остается в белом списке и воспринимается как безопасный.
Политики ограничения приложений появились в Windows со времени XP. С помощью политик ограничения программ Software Restriction Policies (SRP) можно создать правила хешей и правила путей. Политики SRP имеют следующие преимущества и недостатки.
Утилита AppLocker в составе Windows 7 расширяет функциональность SRP. В AppLocker появился целый ряд улучшений.
Централизованное решение для подготовки отчетов по-прежнему отсутствует.
Если в рамках стратегии безопасности компании нужно применять белые списки приложений и требуется продукт с более широкими возможностями, чем у SRP и AppLocker, подумайте об использовании Lumension Application Control, Endpoint Security and Data Protection компании Sophos или Bit9 Parity. Функциональность всех этих продуктов выходит далеко за рамки подготовки белых списков приложений. Прочие функции упоминаются в данной статье, но акцент сделан на белых списках.
Lumension Application Control
ЗА:
простое обнаружение приложений; легко строить белые списки.
ПРОТИВ:
сложная процедура установки; трудности настройки.
ОЦЕНКА:
4 из 5.
ЦЕНА:
лицензия 45 долл.; обслуживание 9 долл./год.
РЕКОМЕНДАЦИИ
: продукт может понравиться администраторам, которые нуждаются в более широкой функциональности, чем AppLocker. Однако процедура установки излишне сложна.
КОНТАКТНАЯ ИНФОМАЦИЯ:
Lumension Security, www.lumension.com
Lumension Application Control - специализированный продукт для подготовки белых списков с функциями автоматического обнаружения прикладных программ, авторизации обновлений программного обеспечения, защиты от сценариев и макросов, просмотра приложений, локальной авторизации приложений и эвристического анализа для обнаружения вредоносного кода, локально авторизованного на определенном числе компьютеров. В Lumension используются правила на основе хеша и пути для идентификации файлов, а администраторы могут дистанционно проверять клиентов, составляя списки идентификации файлов.
Развертывание клиента. Вместе с программой поставляется установщик для Windows x64 и x86 в формате MSI. Администраторы могут развертывать программный продукт на клиентах через групповую политику или с использованием более мощного инструмента, такого как Microsoft System Center Configuration Manager (SCCM).
С помощью программы Lumension Application Control можно обнаружить приложения, развернутые в компании. Результаты обнаружения используются при подготовке политик белых списков.
Обнаруженные файлы можно распределить по группам в консоли Lumension Application Control. На основе групп файлов принимаются решения о разрешении или запрете программ. Белые списки приложений можно применять к различным пользователям, назначая учетные записи пользователей разным группам файлов. Группы файлов определяют, какие приложения доступны для данного пользователя, как показано на экране 1.
Экран 1. Lumension Application Control |
Главное преимущество перед AppLocker - мощные функции дистанционного обнаружения. С помощью AppLocker можно запустить мастер локально на эталонном компьютере и создать список приложений. В Lumension достаточно указать мастеру целевой компьютер, чтобы проверить его и сформировать список.
Более эффективны и функции мониторинга с централизованными отчетами Lumension. Для подготовки отчетов используются возможности баз данных SQL Server.
И наконец, в Lumension предусмотрены функции проверки распространения для автоматического блокирования подозрительных исполняемых файлов.
Дополнительные замечания. Установка Lumension - очень трудоемкий процесс. Установка Endpoint Security and Data Protection и Bit9 Parity сводится в основном к нескольким щелчкам мыши, по указаниям мастера. Однако для установки Lumension Application Control необходимо выполнить подробные инструкции, изложенные на нескольких страницах. Хотя для опытного администратора это не составит труда, при усложнении процесса установки возрастает вероятность ошибки.
В Lumension Application Control предусмотрен быстрый и простой способ генерации идентификационных данных файлов для использования в белых списках, но в документации продукта рекомендуется применять пути для регулярно обновляемых приложений. Как отмечалось выше, правила пути уязвимы, так как не препятствуют выполнению зараженных файлов, Такая угроза исключена при использовании правил сертификатов или хеша.
Endpoint Security and Data Protection 9.5
ЗА:
благодаря автоматическому обслуживанию сокращается трудоемкость обновления правил для администраторов. Совместимость с платформами Mac, Windows и Linux.
ПРОТИВ:
неясно, как добавить пользовательские программы и программы, которых нет в списках Sophos.
ОЦЕНКА:
3 из 5.
ЦЕНА:
11 долл./год для одного пользователя (до 99 пользователей).
РЕКОМЕНДАЦИИ:
продукт - часть комплекса безопасности с более широкими возможностями; он может подойти компаниям, нуждающимся в развертывании широко известных клиентов, но не собственных программ.
КОНТАКТНАЯ ИНФОРМАЦИЯ:
Sophos, www.sophos.com
Endpoint Security and Data Protection 9.5 компании Sophos - передовое решение для защиты компьютеров конечных пользователей. В нем есть брандмауэр, антивирус, функции контроля приложений и устройств, предотвращения потерь данных, шифрования и управления доступом к сети для клиентов Windows, Linux, Mac и UNIX. Как и в Bit9 Parity и Lumension Application Control, информация о приложениях хранится в SQL Server 2008 Express.
Развертывание клиентов. Bit9 и Lumension располагают отдельными установщиками клиентов, но в Sophos применяется установщик с принудительным распространением, который «проталкивает» клиента из консоли на защищаемый компьютер. Файл клиента можно загрузить непосредственно из сайта Sophos, но изначально он в пакет поставки не входит.
Перед развертыванием клиента из консоли Sophos необходимо подготовить клиентские компьютеры. При этом требуется изменить стандартные настройки сети и общего доступа, статус запуска службы Remote Registry, настройки контроля пользовательских учетных записей UAC и параметры брандмауэра.
Создание и обновление политик. Чтобы создать политики для приложений, нужно выбрать узел Application Control в разделе Policies в главной консоли. Можно создать новую политику или изменить стандартную. Политики применяются к группам компьютеров; в каждый момент времени компьютер может принадлежать только одной организованной администратором группе.
Компания Sophos предоставляет обширный список приложений, сортированный по функциональности. Администратор строит политику, проходя по списку и указывая приложения, которые нужно разрешить и запретить. Sophos регулярно обновляет список, и если администратор разрешил определенное приложение, то теоретически все последующие версии данной программы распознаются компанией Sophos, и эти сведения передаются на компьютеры конечных пользователей. Кроме того, Sophos постоянно пополняет список новыми приложениями. Однако не совсем ясно, как обрабатываются пользовательские приложения.
Политикой по умолчанию разрешены все приложения, хотя не составит особого труда блокировать все программы, а затем ввести в белый список приложения, используемые в компании. На экране 2 показан инструмент архивации, добавленный к белому списку. Похоже, в продукте нет средства для автоматического поиска приложений, установленных на компьютере. Поэтому, если предварительно не проведена инвентаризация программного обеспечения, следует действовать очень осмотрительно, составляя белый список приложений.
Экран 2. Endpoint Security and Data Protection |
Политики управления приложениями применяются к группам компьютеров. Можно импортировать существующие группы компьютеров из Active Directory (AD) или создать собственную иерархию групп. Учетные записи компьютеров можно импортировать из AD или обнаруживать в сети. К группе можно применить только одну политику управления приложениями, хотя одна политика может воздействовать на несколько групп.
Из документации и интерфейса Sophos не удалось понять, как подготовить белые списки для продуктов, не входящих в список идентифицируемых продуктов. Неясно, какой механизм идентификации использует компания Sophos: на основе сертификатов, хеша или пути. Главное преимущество механизма идентификации на основе сертификатов перед механизмом на основе хеша заключается в том, что правила не устаревают после внесения изменений в приложения. Однако определения правил загружаются вместе с регулярными обновлениями, рассылаемыми компанией Sophos, поэтому данное различие несущественно.
Мониторинг. Из особой консоли можно отслеживать все события, относящиеся к управлению приложениями. Можно увидеть события, произошедшие в указанный период времени, относящиеся к определенному пользователю, компьютеру или типу приложений.
Преимущества перед AppLocker. У Endpoint Security есть несколько преимуществ перед AppLocker. Прежде всего, Endpoint Security создает эвристический механизм идентификации для определенных приложений, поэтому администраторам не нужно строить их вручную. Кроме того, Endpoint Security обновляет базу данных идентификации приложений. Недостаток продукта заключается в том, что, похоже, невозможно блокировать определенную версию приложения (например, Adobe Acrobat 9), но разрешить более новую версию той же программы.
Дополнительные замечания. Перед развертыванием Endpoint Security and Data Protection администратору требуется применить политики, чтобы задать нужные параметры и запустить службы. Без установщика MSI развертывание производится через консоль Sophos. Администраторам некоторых компаний не понравится, что метод развертывания клиентов через консоль плохо масштабируется. Но Sophos хорошо подходит для разнородной среды благодаря поддержке клиентов Mac, Unix и Linux, а также совместимости со всеми клиентскими операционными системами Windows.
Подходу, при котором правила создает поставщик, свойственны как достоинства, так и недостатки. С одной стороны, сложно распространить действие правил на пользовательские приложения. Однако преимущество в том, что передав компании Sophos обязанность обновлять правила, администратор может внести приложение в белый список и уже не задумываться о правилах для этого приложения.
Bit9 Parity
ЗА:
обширный набор функций.
ПРОТИВ:
интерфейс нуждается в доработке, чтобы облегчить освоение мощной функциональности.
ОЦЕНКА
: 4 из 5.
ЦЕНА:
39 долл. за неограниченную лицензию.
РЕКОМЕНДАЦИИ:
продукт будет очень эффективным средством подготовки белых списков для администраторов, нуждающихся в более продуманной функциональности, чем имеется в AppLocker, и располагающих временем для освоения Bit9 Parity.
КОНТАКТНАЯ ИНФОРМАЦИЯ:
Bit9, www.bit9.com
Наряду с белыми списками приложений, Bit9 Parity располагает функциями защиты реестра, мониторинга конфигурации, управления уходом параметров и инвентаризации файлов.
Развертывание клиентов. Развертывание клиентов Bit9 Parity производится через файлы MSI, которые можно развернуть традиционно с помощью групповой политики, или с использованием такого инструмента, как SCCM 2007 R3. Пользователи также могут установить клиентскую программу Bit9 из общих папок на сервере управления.
Создание и обновление политик. Политики Bit9 Parity используются для распределения компьютеров по группам с похожими требованиями к безопасности. Клиентская программа блокирует или разрешает исполняемые файлы на основе параметров, заданных в политике. Создавая политику, администратор указывает, как поступать с разрешенными и неутвержденными исполняемыми файлами, в том числе блокировать ли непроверенные или неодобренные скрипты и исполняемые файлы, и блокировать ли определенные имена файлов и хеши. На экране 3 показана политика Bit9 Parity.
|
Экран 3. Bit9 Parity |
Можно подписаться на базу данных, размещенную на сервере Bit9, которая автоматически обновляет белый список, чтобы пользователи могли запускать приложения, безопасность которых удостоверена. Опасные или сомнительные приложения блокируются автоматически.
Мониторинг. Bit9 Parity обеспечивает мониторинг и автоматическое обнаружение новых приложений, а также оповещение администраторов. Благодаря этой функции администраторы могут быстро определить новые приложения, появившиеся в компании, и принять решение об их авторизации. Неизвестные приложения блокируются по умолчанию. Посмотрев приложение, администратор может утвердить его.
Преимущества перед AppLocker. У Bit9 Parity есть несколько преимуществ перед AppLocker. Прежде всего, продукт работает на клиентах Windows Vista и XP. Кроме того, благодаря оперативной идентификации файлов можно получить дополнительные сведения о блокированном приложении, в частности узнать, относится ли оно к опасным по классификации Bit9. Блокированные приложения можно переслать в компанию Bit9 для анализа. Функции подготовки отчетов Bit9 Parity существенно лучше, чем у AppLocker. И наконец, из консоли мониторинга Bit9 Parity на основе Web администраторы могут подключаться ко многим клиентам, не устанавливая отдельной консоли управления.
Дополнительные замечания. В настоящее время для функционирования Bit9 Parity необходимо отключить IPv6 на сервере управления. Подавляющее большинство компаний не использует IPv6 во внутренних сетях, но это вызовет неудобства у некоторых компаний, совершивших переход на инфраструктуру IPv6.
Bit9 Parity отличается широтой функций управления приложениями. Единственный недостаток продукта заключается в том, что обширную функциональность трудно освоить администраторам, незнакомым с интерфейсом.
Выбор продукта для подготовки белого списка приложений или собственной функциональности групповой политики зависит от особенностей инфраструктуры компании и ее нужд. С помощью специализированного продукта можно существенно уменьшить ущерб от вирусных заражений и неавторизованных приложений, блокируя приложения, отсутствующие в белом списке. Продукты для подготовки белого списка с расширенной функциональностью, выходящей за рамки возможностей операционных систем Windows Server, необходимы большинству компаний, поскольку, если клиенты не представлены лишь компьютерами Windows 7, администраторам придется тратить неоправданно много времени на своевременное обновление политик SRP.
Крайне важно правильно организовать обслуживание. Основные затраты при развертывании белых списков связаны не собственно с продуктами, а со временем, потраченным системными администраторами на установку и обслуживание белых списков приложений. Bit9 Parity и Lumension Application Control обеспечивают автоматическое обнаружение измененных файлов, позволяя администраторам быстро реагировать на изменения в экосистеме приложений. Подход Sophos основан на центральном списке приложений, из которых можно формировать белые списки, но возникает вопрос, охватывает ли список Sophos все приложения компании.
Важно отметить, что рассмотренные продукты входят в состав более широких комплексов безопасности. В данном обзоре показан лишь один аспект этих комплексов и не делается попытки сравнить все их функции. В зависимости от индивидуальных предпочтений, администратору может быть проще выполнять важные задачи обслуживания и управления белым списком из интерфейса Bit9 Parity, а не интерфейса Lumension Application Control или Endpoint Security and Data Protection компании Sophos.
Орин Томас ([email protected]) - редактор Windows IT Pro
Большинство пользователей активно используют антивирусы, чтобы обеспечить безопасность системы, паролей, файлов. Хорошее антивирусное ПО всегда может обеспечить защиту на высоком уровне, вот только многое зависит еще и от действий юзера. Многие приложения дают возможность выбора, что сделать с вредоносной, по их мнению, программой или файлами. Но некоторые не церемонятся и сразу удаляют подозрительные объекты и потенциальные угрозы.
Проблема в том, что каждая защита может сработать впустую, посчитав опасной безвредную программу. Если пользователь уверен в безопасности файла, то ему стоит попытаться поставить его в исключение. Во многих антивирусных программах это делается по-разному.
Чтобы добавить папку в исключения антивируса, нужно немного покопаться в настройках. Также, стоит учитывать, что у каждой защиты свой интерфейс, а это значит, что путь добавления файла может отличатся от других популярных антивирусов.
Антивирус 360 Total Security многим отличается от других популярных защит. Гибкий интерфейс, поддержка русского языка и большое количество полезных инструментов доступны вместе с эффективной защитой, которую можно настроить под свой вкус.
Так же делается и с папкой, но для этого выбирается «Добавить папку» .
Вы выбираете в окне то, что вам нужно и подтверждаете. Так можно поступить и с приложением, которое вы хотите исключить. Просто укажите его папку и она не будет проверяться.
Стандартный для десятой версии антивирус по большинству параметров и функциональных возможностей не уступает решениям от сторонних разработчиков. Как и все рассмотренные выше продукты, он тоже позволяет создавать исключения, причем внести в этот список можно не только файлы и папки, но и процессы, а также конкретные расширения.
либо введите имя процесса или расширение, после чего нажмите по кноке, подтверждающей выбор или добавление.
Администраторы могут управлять корпоративными приложениями на устройствах Android пользователей, не затрагивая их личные данные. Например, вы можете:
Вы выбираете приложения из Play Маркета в консоли администратора Google и заносите их в белый список, который пользователи видят на своих устройствах.
Приложениями из белого списка управляет организация, поэтому когда сотрудник увольняется, эти приложения удаляются с его устройства вместе с корпоративным аккаунтом. Их также можно удалить, если устройство потеряно или украдено. Некоторые мобильные приложения Google, например Gmail и Google Диск, уже добавлены в белый список.
Рабочие профили доступны в .
Приложение появится в белом списке почти сразу, но пользователи смогут установить его из корпоративного Google Play или с вкладки "Для работы" в Play Маркете только после следующей синхронизации с системой управления мобильными устройствами Google. Приложениями, установленными не из корпоративного Google Play и не с вкладки "Для работы", управлять нельзя.
Как удалить приложениеПосле удаления приложения из белого списка оно станет недоступным для пользователей в корпоративном Google Play и на вкладке "Для работы" в Play Маркете. Если пользователь уже установил приложение, оно не удаляется с его устройства. Пользователи, которые ещё не установили удаленное из белого списка приложение, все равно могут скачать его из Play Маркета, но в таком случае оно не будет управляемым.
Вы получите подтверждение, что выбранное приложение удалено из белого списка.
Примечание. Удалить Google Apps Device Policy из белого списка невозможно.
Примечание.
Как подтвердить новые разрешенияДобавив в белый список приложение для Android, вы можете управлять его доступом к данным от имени пользователей в организации, то есть предоставить ему определенные разрешения. Например, приложению может потребоваться доступ к контактам или местонахождению устройства. Пользователи могут менять предоставленные вами разрешения после установки приложения на своем устройстве.
После обновления приложения из белого списка ему могут потребоваться новые разрешения. Приложения, для которых необходимо обновить разрешения, отмечены в консоли администратора значком . Чтобы одобрить запрос на обновление разрешений:
Как управлять динамическими разрешениями
Некоторые приложения для устройств Android запрашивают у пользователя разрешения во время выполнения. Например, приложение может запросить доступ к календарю или местонахождению устройства. Вы можете указать, как будут обрабатываться запросы отдельных приложений на получение таких разрешений. Эти параметры имеют приоритет над заданными для устройства настройками динамических разрешений .
Как создать управляемые конфигурацииДля использования этой функции требуется включить .
С помощью управляемых конфигураций можно автоматически настраивать приложения для организационного подразделения или группы пользователей. Вы можете создать несколько управляемых конфигураций для одного приложения и применить их к разным группам и подразделениям. Чтобы создать управляемую конфигурацию, выполните следующие действия:
Сравнение версий
Нажмите Продолжить .
Примечание.
Как удалить пользователей из списка распространения приложенияЭта функция доступна в пакетах G Suite Business и G Suite Enterprise. Сравнение версий
Примечание. Изменения на устройствах пользователей обычно вступают в силу через несколько минут, но иногда это занимает до 24 часов. Если не указать подразделение или группу, приложение станет доступно всем пользователям организации верхнего уровня.
Для использования этой функции требуется включить .
Пользователи могут скачивать приложения из Play Маркета. При этом добавленные в белый список приложения доступны на вкладке "Для работы". Чтобы запретить пользователям устанавливать приложения, не входящие в этот список:
Примечание. Изменения на устройствах пользователей обычно вступают в силу через несколько минут, но иногда это занимает до 24 часов.
Была ли эта статья полезна?
Как можно улучшить эту статью?