Касперский где находится настройка предотвращения вторжения

Обновлено: 06.07.2024

Первый шаг к безопасному путешествию по бескрайним просторам всевозможных сетей это конечно же установка надежного средства защиты. Одним из немногих таких средств является комплексный продукт Kaspersky Internet Security.

Первый шаг к безопасному путешествию по бескрайним просторам всевозможных сетей это конечно же установка надежного средства защиты. Одним из немногих таких средств является комплексный продукт Kaspersky Internet Security. Несмотря на то, что KIS продукт достаточно сложный, он сразу после установки готов выполнять все возложенные на него обязанности. Необходимость в дополнительных настойках возникает крайне редко, и это очень большой плюс разработчикам. Но необходимо понимать, что эта возможность базируется на острой грани компромиссных решений. В чем они заключаются рассмотрим на примере сетевого экрана.

Настройки сетевого экрана состоят из двух частей: правила для программ и пакетные правила. При помощи правил программ можно разрешать или запрещать определенным программам или группам программ посылать или принимать пакеты или устанавливать сетевые соединения. При помощи пакетных правил разрешается или запрещается устанавливать входящие или исходящие соединения, и передача или прием пакетов.

Посмотрим, что представляют собой правила для программ.


Все программы имеется четыре категории:

  1. Доверенные – им разрешено все без исключения.
  2. Слабые ограничения – установлено правило “запрос действия”, позволяющее пользователю по самостоятельно принимать решение о целесообразности сетевого общения программ этой группы.
  3. Сильные ограничения – в части разрешения работы с сетью, то же, что и слабые.
  4. Не доверенные – по умолчанию этим программам запрещено любое сетевое общение (по человечески очень жаль их).

В группу “доверенные” по умолчанию помещены все программы от Микрософт, собственно сам KIS и другие программы известных производителей. Для настроек по умолчанию выбор хороший, но лично я не стал бы всем программам, пусть даже и именитых производителей, так безраздельно доверять.

Как же попадают программы в ту или иную группу? Здесь все не так просто. Решение о помещении конкретной программы в одну из четырех групп принимается на основе нескольких критериев:

  1. Наличие сведений о программе в KSN (Kaspersky Security Network).
  2. Наличие у программы цифровой подписи (уже проходили).
  3. Эвристический анализ для неизвестных программ (что то типа гадания).
  4. Автоматически помещать программу в заранее выбранную пользователем группу.

Все эти опции находится в настройках “Контроль программ”. По умолчанию установлены первые три опции, использование которых и приводит к большому количеству “доверенных” программ. Четвертую опцию можно выбрать самостоятельно как альтернативу первым трем.

Проведем эксперимент. Поместим какую либо программу (например, браузер “Opera”) в список программ со слабыми ограничениями и посмотрим как работает правило “запрос действия”. Для вступления правил программ в действие нужно закрыть и снова открыть программу, правила для которой были изменены. Если теперь попробовать зайти на любой сайт, то никакого запроса действия не произойдет, а программа спокойно установит сетевое соединение. Как оказалось, правило “запрос действия” работает только если в основных параметрах защиты снят флажок с опции “Выбирать действие автоматически”.

Еще один сюрприз ожидает пользователей сетевых утилит типа ping, tracert (если правило “запрос действия” распространить на доверенные программы), putty (ssh клиент) и, возможно, им подобных. Для них KIS упорно не хочет выводить экран запроса действия. Здесь выход может быть только один – устанавливать разрешения для конкретной программы вручную.

Прежде, чем перейти к пакетным правилам, позволю себе один совет: создавайте для каждой группы программ свои подгруппы. Например: “Сетевые утилиты”, “Офисные программы”, “Программы для Интернета”, и т.д. Во первых, всегда можно будет быстро найти нужную программу, и, во вторых, можно будет устанавливать правила на определенные группы, вместо установки правил для отдельных программ.


В пакетных правилах определяются отдельные признаки пакетов: протокол, направление, локальный или удаленный порт, сетевой адрес. Пакетные правила могут действовать как “разрешающие”, “запрещающие” и “по правилам программ”. Правила просматриваются сверху вниз пока не будет найдено разрешающее или запрещающее правило по совокупности признаков. Если правило для пакета не найдено, то применяется правило по умолчанию (последнее). Обычно в сетевых экранах последним правилом устанавливают запрет на прием и передачу любых пакетов, но для KIS это правило разрешающее.


Область действия правил охватывает определенную область: “любой адрес” (все адреса), “адрес подсети” – здесь можно выбрать тип подсети “доверенные”, “локальные” или “публичные”, и “адреса из списка” – указать IP адреса или доменные имена вручную. Отношение конкретной подсети к “доверенной”, “локальной” или “публичной” устанавливается в общих нстройках сетевого экрана.


Пакетные правила KIS, в отличие от большинства сетевых экранов, перегружены большим числом направлений: “входящее”, “входящее (поток)”, “исходящее”, “исходящее (поток)”, и “входящее/исходящее”. Причем, правила с некоторыми сочетаниями протокола и направления не работают. Например, правило запрета ICMP в сочетании с потоковыми направлениями работать не будет, т.е. запрещенные пакеты будут проходить. К UDP пакетам почему то применяются потоковые направления, хотя UDP протокол по своей природе как такового “потока” не создает, в отличии от TCP.

Еще один, не совсем приятный момент заключается в том, что в пакетных правилах отсутствует возможность указать реакцию на запрет входящего пакета: запретить прием пакета с уведомлением отправившей его стороны или просто отбросить пакет. Это так называемый режим “невидимости”, который раньше в сетевом экране присутствовал.

Теперь обратимся к собственно правилам.

1 и 2 правила разрешают по правилам программ отправлять DNS запросы по протоколам TCP и UDP. Безусловно, оба правила полезны, но в основном такие сетевые программы как почтовые и браузеры запрашивают адреса сайтов через системную службу DNS, за работу которой отвечает системная программа “svchost.exe”. В свою очередь, сама служба использует вполне конкретные адреса DNS серверов, указываемые вручную или через DHCP. Адреса DNS серверов меняются редко, так что вполне хватило бы разрешения отправки DNS запросов для системной службы “svchost.exe” на фиксированные сервера доменных имен.

3 правило разрешает программам отправку электронной почты по протоколу TCP. Здесь также, как и для первых двух правил, достаточно было бы создать правило для конкретной программы работы с электронной почтой указав на какой порт и сервер производить отправку.

4 правило разрешает любую сетевую активность для доверенных сетей. Будьте очень внимательны при включении этого правила, не перепутайте случайно тип сети. Это правило фактически отключает функции сетевого экрана в доверенных сетях.

5 правило разрешает любую сетевую активность по правилам программ для локальных сетей. Это правило хоть и не отключает полностью сетевой экран, но в значительной степени ослабляет его контрольные функции. По логике 4 и 5 правила нужно было бы разместить в самом верху, чтобы предотвратить обработку пакетов правилами 1 – 3 при нахождении компьютера в доверенной или локальной сети.

6 правило запрещает удаленное управление компьютером по протоколу RDP. Хотя область действия правила “все адреса”, но фактически оно действует только в “публичных сетях”.

7 и 8 правило запрещает доступ из сети к сетевым службам компьютера по протоколам TCP и UDP. Фактически правило действует только в “публичных сетях”.

9 и 10 правила разрешают всем без исключения подключаться к компьютеру из любых сетей, конечно исключая службы, запрещенные правилами 6 – 8. Действует правило только для программ с разрешенной сетевой активностью. Но будьте очень внимательны, сетевая активность по умолчанию разрешена практически всем программам за исключением не доверенных.

11 – 13 правила разрешают прием входящих ICMP пакетов для всех программ. Смысла в этих правилах не больше, чем в 1 – 3, потому, что ICMP в подавляющем большинстве случаев использует программа ping и tracert.

14 правилом запрещается прием всех типов ICMP пакетов, разумеется за исключением разрешенных правилами 11 – 13.

16 правило запрещает входящий ICMP v6 эхо запрос. ICMP v6 в подавляющем большинстве случаев не нужен. Можно было бы запретить его полностью.

17 правило разрешает все, что явно не разрешено или запрещено предыдущими правилами. Это правило хотя и не отображается на экране, но помнить о его существовании безусловно необходимо.

Настройки сетевого экрана KIS по умолчанию безусловно хороши и подходят большинству пользователей домашних компьютеров, на которых, собственно, и ориентирован этот продукт. Но гибкость и нетребовательность к дополнительным настройкам, о которой упоминалось в начале статьи, к сожалению достигается за счет безопасности самих же пользователей, делая эту самую безопасность очень сильно зависимой от человеческого фактора: знаний и безошибочных действий самого пользователя.

В ходе защиты виртуальных машин от вторжений Kaspersky Security может выполнять следующие действия:

    Обнаруживать сетевые атаки на защищенные виртуальные машины.

Если обнаружение сетевых атак включено, при обнаружении попытки сетевой атаки на защищенную виртуальную машину Kaspersky Security выполняет действие, заданное в параметрах политики. Например, программа может прервать соединение между виртуальной машиной и IP-адресом, с которого произведена сетевая атака, или прервать соединение и заблокировать трафик с этого IP-адреса, чтобы автоматически защитить виртуальную машину от возможных будущих сетевых атак с этого IP-адреса.

Если контроль сетевой активности включен, при обнаружении подозрительной сетевой активности Kaspersky Security выполняет действие, заданное в параметрах политики. Например, программа может прервать соединение с IP-адресом, который проявляет подозрительную сетевую активность, или прервать соединение и заблокировать трафик с этого IP-адреса.

Если в соответствии с настроенными параметрами Kaspersky Security блокирует трафик с IP-адреса, который является источником сетевой атаки или подозрительной сетевой активности, то продолжительность блокировки по умолчанию составляет 60 минут. Вы можете изменить продолжительность блокировки трафика. По истечении указанного времени трафик автоматически разблокируется.

При определении источника сетевой атаки или подозрительной сетевой активности учитывается принадлежность трафика к виртуальной локальной сети (VLAN). Kaspersky Security блокирует трафик с IP-адреса только в той виртуальной локальной сети, в которой была обнаружена сетевая атака или подозрительная сетевая активность.

Список источников сетевых угроз, заблокированных в результате работы каждой SVM с компонентом Защита от сетевых угроз, отображается в свойствах программы, установленной на этой SVM. По истечении времени блокировки, заданного в параметрах программы, источник сетевых угроз автоматически удаляется из списка. При необходимости вы можете отменить блокировку трафика с выбранных IP-адресов, не дожидаясь автоматической разблокировки.

Вы можете настроить правила исключения из защиты от сетевых угроз, в соответствии с которыми Kaspersky Security исключает из проверки трафик определенных IP-адресов или применяет особые действия при обработке этого трафика.

Kaspersky Internet Security

Комплексный антивирус Kaspersky Internet Security защищает от вирусов и сетевых атак, блокирует вымогателей и другие угрозы. Наше руководство поможет настроить антивирус на максимальную защиту, повысить уровень обнаружения и безопасности компьютера.

Kaspersky Internet Security настроен по дефолту оптимально, но если вам необходимо повысить планку безопасности, настройте антивирус максимально. Это снизит риски заражения системы и поможет действовать уверенней в сети Интернет. Но не забываете, что повышение защиты может повлиять на производительность компьютера.

Как настроить Kaspersky Internet Security на максимальную защиту

Откройте Kaspersky Internet Security и нажмите в левом нижнем углу кнопку "Настройка".

Открыть настройки Kaspersky Internet Security

В разделе "Интерфейс" установите защиту паролем, чтобы запретить доступ к антивирусу, изменению настроек, завершению его работы или удалению.

Защита Kaspersky Internet Security паролем

Перейдите в меню "Защита" и зайдите в "Файловый антивирус".

Открыть файловый антивирус

  • Поставьте "Уровень безопасности" — Высокий.
  • Выберите "Действие при обнаружении угрозы" — Лечить; удалять, если лечение не возможно.
  • После чего, зайдите в "Расширенная настройка".

Найдите "Проверка составных файлов", поставьте галочки "Проверять архивы" и "Проверять дистрибутивы", отметив в каждом пункте "Все". Чуть ниже в "Режиме проверки" отметьте "При доступе и изменении" и сохраните параметры.

Дополнительные параметры файлового антивируса

Режим проверки

Вернитесь в раздел "Защита" и выберите "Веб-антивирус".

Открыть веб-антивирус

Установите уровень "Высокий" и действие "Запрещать загрузку".

Настройка веб-антивируса

Если вам необходима полная конфиденциальность используйте "Kaspersky Secure Connection", а когда вы без него и подключение через Wi-Fi, зайдите в "Сетевой экран".

Зайти в сетевой экран

И активируйте пункт "Запрещать передачу пароля в интернете в незащищенном виде и показывать уведомления".

Настройки сетевого экрана

Откройте категорию "Защита от сбора данных".

Защита от сбора данных

И запретите сбор.

Запретить сбор данных

Когда это необходимо, используйте запрет на доступ к веб-камере для всех программ.

Настройки защиты веб-камеры

Включите "Анти-Спам" и "Анти-Баннер".

Включить Анти-Спам и Анти-Баннер

Зайдите в "Настройки сети" и установите контроль всех сетевых портов, чтобы снизить риск проникновения в компьютер хакеров.

Включить контроль всех сетевых портов

Используйте родительский контроль для защиты детей в интернете.

Защита детей

И не отключайте "Kaspersky Security Network" ведь облачная защита в разы усиливает безопасность.

Kaspersky Security Network

Используя данные настройки, можно значительно повысить защиту компьютера комплексным антивирусом Kaspersky Internet Security.

Совет . Несмотря на установленный и настроенный антивирус по максимуму. Выполняйте проверку компьютера антивирусными сканерами примерно раз в неделю. Это позволит обнаружить и устранить по-тихому проникшую вредоносную программу, если ваш антивирус все таки пропустит угрозу. Стопроцентной защиты не бывает.

Как настроить Kaspersky Security

Убедитесь, что компоненты «Анализ поведения», «Откат вредоносных действий» и «Защита от Эксплойтов» включены в настройках программы.

1. Откройте KES для Windows.

2. Нажмите Настройка.

3. Следуйте по пути: Продвинутая защита / Предотвращение вторжений / Ресурсы.

1.jpg

4. Выберите Персональные данные. Нажмите Добавить / Категорию

2.jpg

5. Задайте имя для категории

3.jpg

6. В поле Защищаемые типы файлов создайте подкатегорию для файлов и папок на ПК. Для этого повторите шаги 4 и 5.

7. Выберите подходящую категорию для защищаемого типа файлов. Например, для файлов типа .doc или .docx выберите категорию Документы. Добавить / Файл или папку.

8. Заполните поле Название и нажмите Обзор. Далее, кажите маску типа файла в виде: *.<расширение>. Сохраните прогресс.

4.jpg

9. Добавьте необходимые типы файлов. Для этого требуется повторить шаги 7 и 8.

10. Настройте правила доступа программ из групп с сильными и слабыми ограничениями. Обозначьте категорию Защищаемые типы файлов. Установите запрет на запись, удаление и создание файлов. Нажмите Записывать в отчет.

5.jpg

11. Необходимые программы должны быть в доверенной группе. Нажмите ОК / Сохранить.

Компонент Предотвращения вторжений готов к защите файлов от программ-шифровальщиков.

Удаленная настройка защиты от программ-шифровальщиков

Убедитесь, что компоненты «Анализ поведения», «Откат вредоносных действий» и «Защита от Эксплойтов» включены в настройках программы.

1. Вам потребуется Kaspersky Security Center, скачать который можно на нашем сайте. Установите и откройте приложение.

2. Перейдите в Управляемые устройства / Политики / Продвинутая защита / Предотвращение вторжений / настройка

11.jpg

12.jpg

3. Добавите категорию во вкладке Персональные данные.

4. Задайте имя для категории. Ок.

13.jpg

5. Выберите Защищаемые типы файлов и создайте дополнительные подкатегории, например, Изображения, или Документы. Для этого требуется повторить шаги 3 и 4.

6. Выберите подходящую категорию для защищаемого типа файлов. Например, для файлов типа .jpg или .jpg выберите категорию Изображения. Добавить / Файл или папку.

7. Заполните поле Название и нажмите Обзор. Далее, кажите маску типа файла в виде: *.<расширение>. Сохраните прогресс.

14.jpg

8. Добавьте остальные типы файлов, требующих защиты. Повторите шаги 6 и 7.

9. Настройте правила доступа программ из групп с сильными и слабыми ограничениями. Обозначьте категорию Защищаемые типы файлов. Установите запрет на запись, удаление и создание файлов. Нажмите Записывать в отчет.

15.jpg

10. Необходимые программы должны быть в доверенной группе. Нажмите ОК / Сохранить.

16.jpg

12. Установите флажок На Сервере администрирования в течение (сут). При необходимости настройте отправку уведомлений о событиях на электронную почту. Нажмите OK.

13. Компонент Предотвращение вторжений будет настроен для защиты от программ-шифровальщиков. Если на клиентском компьютере будет запущен вредоносных файл, Kaspersky Security Center 10 зарегистрируется событие. Чтобы следить за событиями, перейдите в Сервер администрирования → События.

17.jpg

Если на сервере регистрируется много событий – устаревшие будут удаляться.

Без-имени-4.jpg


Продлить Вашу текущую лицензию Kaspersky Endpoint Security для бизнеса можно на нашем сайте. Скидка на продление лицензии до 35%. Продукты: Расширенный, Универсальный и Total для бизнеса дополнительно участвуют в акции "Подарок за покупку". Благодаря акции, Вы получите подарочные сертификаты OZON на 10% от суммы покупки.

Читайте также: