[Czech] KES for Windows [Application Privilege Control] – Jak změnit kategorii pro specifikou aplikaci

Modul Application Privilege Control potřebuje dodat informace z koncových stanic do centrální konzole Kaspersky Security Center, aby bylo možné s těmito daty pracovat. Není tedy nezbytně nutné povolit nastavení pro všechny stanice, pokud se software vyskytuje na všech stanicích. Můžete předejít zbytečnému plnění databáze.

Modul Application Privilege Control je možné použít také jako dodatečnou ochranu proti ransomware typu „CryptoLocker“, který má za cíl zašifrovat data. Více informací v tomto článku – How to protect against cryptoviruses in Kaspersky Endpoint Security 10 for Windows Workstations.

  • V policy pro produkt Kaspersky Endpoint Security je zapotřebí zapnout sběr informací v sekci > Report and Storages > Inform Administration Server > About started applications
  • Vytvořit nový task pro produkt Kaspersky Endpoint Security > Inventory Task a spustit jej na stanici, kde se vyskytuje software, se kterým chcete nadále pracovat v rámci modulu Application Privilege Control. Tento task oskenuje předefinované složky (%SystemRoot%, %ProgramFiles%, %ProgramFiles(x86)%), popřípadě můžete přidat další umístění, nebo rovnou celý disk.
  • Jakmile Inventory Task dokončí skenování, data budou přenesena do centrální správy Kaspersky Security Center. Naskenovaný software lze zobrazit v sekci Advanced > Application Management > Executable files
  • V sekci Executable files je možné použít filtry a ověřit si, zda specifický software není zařazen například do skupiny „High restricted“, ačkoliv se jedná o interní legitimní software. Tato skupina zakazuje například síťovou komunikaci dané aplikaci. Více informací přes tlačítko „Edit“ na dané skupině.Nastavení filteru: Advanced > Application Management > Executable files > Filter setup

    Vybrat možnost „Trust level“ > OK.
    Jakmile bude filter dostupný, je možné jej použít a filtrovat software, který byl kategorizován na koncových stanicích produktem KES. Především je vhodné překontrolovat skupiny „High Restricted“ a „Untrusted“, zda v těchto kategoriích není interní software!
  • Software lze zařadit do jiné skupiny přímo v policy pro Kaspersky Endpoint Security (KES > Endpoint Control > Application Privilege Control > Application rules > Settings), nebo si můžete vytvořit skupinu vlastní.Pro příklad vytvoříme podskupinu v sekci Untrusted (Pravé tlačítko na myší na skupině Untrusted > Create subgroup > pojmenovat novou skupinu> ABC domain blocked > OK)
  • Pro přidání softwaru do určité skupiny použijte tlačítko „+ Add“ > Vyberte specifický software (je možné použít filtery (bod 1) > použijte tlačítko „Refresh“ pro zobrazení softwaru (bod 2) > vyberte specifický spustitelný soubor, který bude použit v modulu Application Privilege Control (bod 3) > Vyberte jednu ze skupin, do které chcete software zařadit (bod 4) > OK
  • Přesunout software do Vámi vytvořené skupiny je možné pomocí metody Drag&Drop
  • Jakmile uložíte nastavení a policy pro KES bude doručena na koncové stanice, můžete otestovat například zablokování aplikace „notepad“.
  • Informace o zablokovaném softwaru na koncové stanici je možné zobrazit v centrální konzoli KSC, zasílat emailem, přes SMS, nebo přes SNMP.V policy pro KES je zapotřebí zapnout „Event“ > Application Privilege Control rule triggered.V sekci „Properties“ zapnout > On Administration Server for (days), popřípadě povolit možnost „Notify by email“, pokud je žádoucí tyto informace zasílat e-mailem.
  • Vytvoření nové selekce pro určitou událost se vytváří v sekci > Reports and notifications > Events > New > New selection > Název – Application placed in restricted group


    Vybrat pouze event – Application Privilege Control rule triggered
  • V případě testování je možné a doporučené si zapnout v policy pro KES notifikační zobrazení i na koncové stanici > KES > Advanced Settings > Interface > Notifications > Settings