Обзор Kaspersky Endpoint Security 8 для Windows

Обзор Kaspersky Endpoint Security 8 для Windows



«Лаборатория Касперского» представила новое решение для комплексной многоуровневой защиты рабочих станций и серверов под управлением Windows - Kaspersky Endpoint Security 8 и инструмент централизованного управления системой защиты - Kaspersky Security Center. В первой части нашего обзора мы рассмотрим Kaspersky Endpoint Security 8, который устанавливается на рабочие станции и файловые серверы в корпоративной сети.

 

Сертификат AM Test Lab

Номер сертификата: 93

Дата выдачи: 02.11.2011

Срок действия: 02.11.2016

Реестр сертифицированных продуктов »

 

1. Введение

2. Системные требования

3. Функциональные возможности

4. Подготовка к использованию

5. Работа с продуктом

6. Выводы

 

 

Введение

В данном обзоре мы рассмотрим корпоративное решение Kaspersky Endpoint Security 8 для рабочих станций и файловых серверов, работающих под управлением операционной системы Windows. Данное решение устанавливается в локальной сети на рабочие станции и файловые серверы. Набор инсталляций Kaspersky Endpoint Security 8 в локальной сети управляется системным администратором из специального средства администрирования – Kaspersky Security Center, который позволяет «гибко» настраивать работу каждого компонента защиты на каждой защищаемой конечной точке. При этом, параметры работы Kaspersky Endpoint Security 8 можно настраивать непосредственно и на локальной машине в случае предоставления администратором таких прав отдельным пользователям в сети.

Решение Kaspersky Endpoint Security 8 построено на идеологии, в соответствии с которой все компоненты разбиты на два больших класса – компоненты защиты (антивирусные технологии) и компоненты контроля (контроль рабочего места). «Компоненты защиты» обеспечивают защиту от вредоносных программ и безопасность работы в сети. А компоненты контроля регулируют работу пользователя с программами, подключаемыми устройствами и работу в Интернете. Все это позволяет говорить об обеспечении комплексной защиты компьютеров в локальной сети предприятия.

В Kaspersky Endpoint Security 8 реализована так называемая «гибридная» защита, при которой традиционные антивирусные технологии работают одновременно с «облачными», что существенно увеличивает скорость реагирования на новые угрозы. «Облачные» технологии реализованы в виде репутационного сервиса Kaspersky Security Network (KSN), который представляет собой набор онлайн-служб и сервисов, обеспечивающих возможность использования  базы знаний «Лаборатории Касперского» о репутации файлов, интернет-ресурсов и программного обеспечения.

Kaspersky Security Network позволяет провести оценку репутации файлов и URL и, на основании полученной информации, заблокировать доступ к вредоносному контенту или ограничить действия подозрительных приложений. По сравнению с персональными продуктами в корпоративных продуктах доступна расширенная функциональность для работы с «облаком». Во-первых, данные из Kaspersky Security Network используются для создания белых списков приложений. С их помощью можно распределять известные приложения по категориям и настраивать правила для работы с каждой категорией программ в соответствии с корпоративной политикой безопасности. Во-вторых, Kaspersky Security Center позволяет проводить «тонкую» настройку использования «облачных» технологий в каждом конкретном компоненте обеспечения безопасности.

По сравнению с предыдущими корпоративными решениями в Kaspersky Endpoint Security 8 были добавлены новые и получили развитие уже задействованные компоненты. Были добавлены компоненты «Контроль программ» и «Веб-контроль», стали использоваться «облачные» технологии, переработан пользовательский интерфейс. Также были расширены возможности проактивной защиты, сетевого экрана и компонента контроля устройств.

В данной работе мы проведем обзор функциональных возможностей, пользовательского интерфейса и особенностей работы продукта Kaspersky Endpoint Security 8, который в начале октября был выпущен на рынок.

 

Системные требования

Для работы с Kaspersky Endpoint Security 8 компьютер должен удовлетворять следующим общим системным требованиям:

  • 1 Гб свободного дискового пространства;
  • CD/DVD-ROM (для установки программы с загрузочного диска);
  • подключение к сети Интернет (для активации продукта и получения регулярных обновлений);
  • Microsoft Internet Explorer 7.0 или выше;
  • Microsoft Windows Installer 2.0 или выше.

Минимальные требования к компьютеру зависят от операционной системы, под управлением которой он работает. Подробная таблица приведена ниже.

 

Таблица 1. Требования к аппаратуре для работы на разных операционных системах

Версия операционной системыАппаратные требования
Аппаратные требования для рабочих станций
Microsoft Windows XP Professional x32 (SP3 и выше),
Professional x64 (SP2 и выше).
  • процессор Intel Pentium 1 ГГц и выше;
  • 256 МБ свободной оперативной памяти.
Microsoft Windows Vista x32/х64 (SP2 и выше).
Microsoft Windows 7 x32/х64 Professional/Enterprise/Ultimate (SP1 и выше).
  • процессор Intel Pentium 2 ГГц (x86/x64) и выше;
  • 512 МБ свободной оперативной памяти.
Microsoft Windows Embedded Standard 7 (SP1),
Embedded POSReady 2009,
Embedded POSReady 7.
  • процессор Intel Pentium 800 МГц и выше;
  • 256 МБ свободной оперативной памяти.
Аппаратные требования для файловых серверов

Microsoft Windows Small Business Server 2011 Standard/Essentials,
Microsoft Windows Small Business Server 2008 Standard/Premium,
Microsoft Windows Server 2008 R2 Standard/ Enterprise,
Microsoft Windows Server 2003 R2 Standard/ Enterprise.

  • процессор Intel Pentium 2 ГГц и выше;
  • 512 МБ свободной оперативной памяти.

 

Функциональные возможности

В Kaspersky Endpoint Security 8 реализованные следующие основные возможности.

Компоненты защиты:

  1. Файловый антивирус. Защищает файловую систему компьютера от проникновения вредоносных программ. Проверяет всю активность программ в режиме реального времени и по требованию.
  2. Почтовый антивирус. Проверяет входящие и исходящие почтовые сообщения на наличие в них вирусов и других вредоносных программ.
  3. Веб-антивирус. Перехватывает и блокирует выполнение скрипта, расположенного на веб-сайте, если он представляет угрозу. Защищает информацию, поступающую на компьютер и отправляемую с него по протоколам HTTP и FTP, а также устанавливает принадлежность ссылок к подозрительным или фишинговым веб-адресам.
  4. IM-антивирус. Защищает информацию при использовании программ для мгновенного обмена сообщениями.
  5. Сетевой экран. Осуществляет фильтрацию и контроль входящего на компьютер трафика в соответствии с заданными сетевыми правилами.
  6. Защита от сетевых атак. Отслеживает во входящем сетевом трафике активность, характерную для сетевых атак.
  7. Мониторинг сети. Предоставляет информацию о текущей сетевой активности компьютера.
  8. Мониторинг системы. Собирает данные о действиях программ на компьютере и предоставляет эту информацию другим компонентам для более эффективной защиты компьютера.

Компоненты контроля:

  1. Контроль запуска программ. Компонент отслеживает попытки запуска программ пользователями и регулирует запуск программ в соответствии с установленными корпоративными политиками.
  2. Контроль активности программ. Компонент регистрирует действия, совершаемые программами в операционной системе, и ограничивает их деятельность в соответствии с правилами для групп доверия, к которым относятся программы.
  3. Мониторинг уязвимостей. В режиме реального времени проверяет программы, запущенные на компьютере пользователя, а также проверяет программы в момент их запуска на наличие уязвимостей. Также проводится проверка на наличие уязвимостей в операционной системе. Для всех этих задач используется Сигнатурный поиск, производящийся на основе регулярно обновляемых баз данных уязвимостей компании Secunia.
  4. Контроль устройств. Компонент позволяет установить гибкие ограничения доступа к устройствам хранения и передачи информации, а также к внешним аппаратным интерфейсам компьютера.
  5. Веб-Контроль. Позволяет установить гибкие ограничения доступа к веб-ресурсам для разных групп пользователей.

Неотъемлемой частью многих перечисленных компонент являются «облачные» технологии. Результаты работы «облака» используются в таких компонентах как файловый антивирус, веб-антивирус, контроль запуска программ, контроль активности программ, а также в работе проактивной защиты.

Компоненты, входящие в Kaspersky Endpoint Security 8 для установки на рабочие станции и файловые серверы, различаются. Инсталлятор сам определяет операционную систему на которую устанавливается и устанавливает необходимые компоненты. Также следует упомянуть, что для установки на рабочие станции и файловые серверы используются различные лицензии.

 

Таблица 2. Различия компонентов при установке Kaspersky Endpoint Security 8 на разные рабочие станции и файловые серверы

КомпонентыРабочие станцииФайловые серверы
Файловый Антивирус++
Почтовый Антивирус+-
Веб-Антивирус+-
IM-Антивирус+-
Сетевой экран++
Защита от сетевых атак++
Контроль запуска программ+-
Контроль активности программ++
Мониторинг уязвимостей+-
Контроль устройств+-
Веб-контроль+-
Задачи проверки, обновления и поиска уязвимостей++
Коннектор к Агенту администрирования Kaspersky Security Center++

 

Подготовка к использованию

Kaspersky Endpoint Security 8 можно установить как локально, так и удаленно. Локальная установка производится непосредственно на компьютере двумя способами. Первый – это установка в интерактивном режиме, с использованием мастера установки программы. Второй способ – «тихая установка», запускается с использованием командной строки и не требует активного участия пользователя. Удаленная установка может быть произведена с рабочего места администратора при помощи средства управления Kaspersky Security Center или с помощью групповых доменных политик Microsoft Windows Server.

Для локальной установки нужно запустить инсталляционный файл программы, после чего появится приветственное окно мастера установки.

 

Рисунок 1. Начальное окно мастера установки Kaspersky Endpoint Security 8

Обзор Kaspersky Endpoint Security 8 для Windows

 

Далее нам нужно ознакомиться с лицензионным соглашением и согласиться с участием в репутационном сервисе Kaspersky Security Network (KSN), который позволяет обеспечивать защиту компьютера при помощи «облачных» технологий. В корпоративных продуктах «Лаборатории Касперского», в отличие от персональных, не ведётся сбор пользовательских данных, передаётся исключительно MD5 файлов, поэтому данную технологию можно включать даже скептикам использования «облака».

 

Рисунок 2. Подтверждение участия в программе Kaspersky Security Network

Обзор Kaspersky Endpoint Security 8 для Windows

 

Далее предъявляется окно выбора типа установки: полной или выборочной. При выборочной установке необходимо отметить желаемые для установки компоненты и указать папку на одном из разделов жесткого диска, в которую будет установлена программа.

 

Рисунок 3. Выбор компонентов для установки

Обзор Kaspersky Endpoint Security 8 для Windows

 

На последнем этапе установки можно защитить процесс установки, что позволит корректно установить Kaspersky Endpoint Security 8 в случае, если компьютер уже заражен, и вредоносные программы пытаются препятствовать установке антивируса. Также можно добавить путь к исполняемому файлу антивируса в системную переменную %PATH%, что позволит легко запускать его при помощи командной строки в любом рабочем каталоге. Рекомендуется установить оба флажка. После этого запускам процесс установки.

 

Рисунок 4. Дополнительные настройки установки Kaspersky Endpoint Security 8

Обзор Kaspersky Endpoint Security 8 для Windows

 

После установки нужно зарегистрировать Kaspersky Endpoint Security 8. Это можно сделать при помощи ключа активации, кода активации, автоматически (через Интернет) или просто отложить активацию.

 

Рисунок 5. Активация Kaspersky Endpoint Security 8

Обзор Kaspersky Endpoint Security 8 для Windows

 

После этого нужно перезагрузить операционную системы. На этом установка закончена.

 

Рисунок 6. Завершение установки

Обзор Kaspersky Endpoint Security 8 для Windows

 

Работа с продуктом

Основное окно программы состоит из двух инструментальных панелей «Центр защиты» и «Настройки».

 

Рисунок 7. Главное окно Kaspersky Endpoint Security 8

Обзор Kaspersky Endpoint Security 8 для Windows

 

При помощи инструментальной панели «Центр защиты» можно управлять запуском различных компонентов защиты, получать информацию об их работе, а также запускать процессы проверки компьютера на наличие вредоносных программ. Для пользователей локального компьютера «Центр защиты» является основным инструментом для работы. В «Центре защиты» все компоненты программы разделены на три группы: компоненты контроля, компоненты защиты и функции управления задачами. Разделение на группы отражает сквозную для программы модель разделения её компонентов на два больших класса — контроль и защита. Предложенная иерархия позволяет пользователю достаточно быстро сформировать для себя «ментальную» модель продукта, что увеличивает продуктивность работы с программой и уменьшает количество совершаемых непроизвольных ошибок.

 

Рисунок 8. Структура инструментальной панели «Центр защиты»

Обзор Kaspersky Endpoint Security 8 для Windows

 

Доступ к основной функциональности программы осуществляется через инструментальную панель «Настройки», которая позволяет задавать параметры работы всех компонентов защиты, а также параметры проверок, отчетов, хранилища и т. д. Настройка может осуществляться как непосредственно пользователем, так и системным администратором при помощи специальной консоли Kaspersky Security Center.

 

Рисунок 9. Структура инструментальной панели «Настройки»

Обзор Kaspersky Endpoint Security 8 для Windows

 

В верхней части окна находится кнопка «Репутационный сервис KSN», открывающая окно, в котором можно включить работу «облачных» технологий и просмотреть статистику их работы. Собственно, работа с «облаком» происходит автоматически, и не требует от пользователя никаких решений, кроме как решения о включении или отключении работы данной технологии.

 

Рисунок 10. Программное окно для включения работы «облачных» технологий

Обзор Kaspersky Endpoint Security 8 для Windows

 

Доступ к отчетам, карантину, справке и поддержке работы программы можно получить при помощи соответствующих команд, расположенных по окантовке главного окна.

Последовательно рассмотрим основные компоненты Kaspersky Endpoint Security 8.

Контроль рабочего места

Компоненты контроля рабочего места позволяют настраивать правила доступа к приложениям, отслеживать работу приложений, а также контролировать доступ к устройствам и веб-ресурсам.

Контроль запуска программ позволяет производить аудит использования приложений и разрешать/блокировать их запуск. Контроль запуска осуществляется при помощи набора правил, которые можно создать на основе локального списка программ или категорий программ, получаемых из «облака».

 

Рисунок 11. Настройка контроля запуска программ

Обзор Kaspersky Endpoint Security 8 для Windows

 

Можно добавлять новые, а также изменять и удалять уже существующие правила. Каждое правило включает в себя набор условий для его срабатывания, а также группы пользователей, для которых данное правило необходимо применять. Условием, по которому правило может сработать, может быть путь к директории с исполняемым файлом программы, метаданные (например, имя исполняемого файла или его производитель), хеш исполняемого файла или принадлежность к заранее созданным спискам программ, обладающих общими признаками (например, браузеры). Условия могут быть как исключающие, так и разрешающие, в зависимости от цели создания правила. Интеграция с Active Directory позволяет применять созданные правила как для отдельных пользователей, так и для уже существующих групп пользователей. Это касается не только правил для контроля программ, но и правил во всех остальных компонентах Kaspersky Endpoint Security 8.

 

Рисунок 12. Создание правила контроля запуска программ

Обзор Kaspersky Endpoint Security 8 для Windows

 

По умолчанию созданы три правила контроля: разрешить все, разрешить доверенные программы и разрешить программы из «золотой категории». К доверенным относятся программы наиболее известных производителей программного обеспечения (например, Microsoft, Adobe), а к «золотой категории» относятся программы, которые необходимы для запуска и нормальной работы операционной системы.

Контроль активности программ позволяет регистрировать действия, совершаемые программами в системе, и накладывать на действия программ ограничения на основе их принадлежности к одной из групп доверия. Для каждой группы доверия задан набор правил, которые регламентируют доступ программ к персональным данным пользователя, ресурсам операционной системы, а также ресурсам сети. Применение данного компонента позволяет предотвратить действия программ, опасные для операционной системы.

 

Рисунок 13. Настройка контроля активности программ

Обзор Kaspersky Endpoint Security 8 для Windows

 

Существуют четыре группы программ: «доверенные», «слабые ограничения», «сильные ограничения», «недоверенные». Критериям для отнесения программы к одной из групп является - наличие цифровой подписи и/или наличие записи в базе доверенных программ Kaspersky Security Network. Для программ из доверенной группы практически нет ограничений, при уменьшении уровня доверия к программам на их действия накладывается все большее число ограничений. При первом запуске программы начинает работать сигнатурный и эвристический анализ, а также «облачные» технологии. По результатам их работы и происходит отнесение к одной из групп. При этом группа, к которой относится программа, может быть в любой момент изменена.

 

Рисунок 14. Правила контроля программ

Обзор Kaspersky Endpoint Security 8 для Windows

 

Контроль активности программ позволяет управлять правами программ для доступа к различным системным и пользовательским ресурсам (например, к файлам и папкам, ключам реестра, сетевым адресам и т. д.). «По умолчанию» задан набор защищаемых категорий ресурсов и самих ресурсов, который может быть дополнен администратором.

 

Рисунок 15. Защищаемые ресурсы

Обзор Kaspersky Endpoint Security 8 для Windows

 

Мониторинг уязвимостей позволяет проверять на наличие уязвимостей программы в режиме реального времени, а также при их запуске. Задача поиска уязвимостей состоит в диагностике безопасности операционной системы и поиске в программном обеспечении уязвимостей, которые могут быть использованы для распространения вредоносных объектов или кражи персональных данных. Поиск уязвимостей может быть включен всегда (установка флажка «Включить мониторинг уязвимостей» в соответствующей ветке), запускаться по расписанию или вручную (ветка «Поиск уязвимости» в категории «Задачи по расписанию»).

Найденные уязвимости отражаются в мониторе активности программ, который можно вызвать из окна настройки компонента «Контроль активности программ».

 

Рисунок 16. Монитор активности программ

Обзор Kaspersky Endpoint Security 8 для Windows

 

В нем можно получить информацию об источнике уязвимости, уровне ее важности (критичная, важная или предупреждение) и рекомендации по ее устранению. После выполнения рекомендованных действий соответствующей уязвимости присваивается статус «Исправленная». В зависимости от типа проблемы может потребоваться установка обновлений для операционной системы, изменение настроек программ или установка дополнительных патчей на программы.

 

Рисунок 17. Найденные уязвимости в окне «Отчеты и хранилища»

Обзор Kaspersky Endpoint Security 8 для Windows

 

Контроль устройств позволяет регулировать доступ к устройствам хранения информации (жесткие диски, съемные носители информации, CD/DVD-диски), передачи информации (например, модемы), перевода информации из цифровой в материальную форму (например, принтеры), а также к интерфейсам, с помощью которых внешние устройства подключаются к компьютеру (например, USB, FireWire). Также регулирование прав доступа к тем или иным устройствам можно настраивать на уровне ID и серийных номеров устройств.

 

Рисунок 18. Контроль устройств

Обзор Kaspersky Endpoint Security 8 для Windows

 

Можно создать список доверенных устройств, доступ к которым разрешен в любое время.

 

Рисунок 19. Добавления доверенных устройств

Обзор Kaspersky Endpoint Security 8 для Windows

 

Как для блокируемых, так и для доверенных устройств можно указать пользователей/группы пользователей, на которых распространяются правила, и временные интервалы использования правил. Временные интервалы можно независимо задавать для чтения с устройства и для записи на него.

 

Рисунок 20. Настройка правил доступа к устройствам

Обзор Kaspersky Endpoint Security 8 для Windows

 

Использование данного компонента позволяет организовать учет аппаратных средств хранения/приема/передачи информации, а также уменьшить риски несанкционированного копирования и перемещения данных за пределы компании.

Веб-контроль позволяет установить ограничения на доступ к веб-ресурсам для разных групп пользователей. По сути, веб-контроль выполняет функции фильтрации контента при работе в Интернете. Это позволяет уменьшать расход трафика в организации и рабочее время сотрудников, которое они тратят на личные цели в рабочее время (например, общение в социальных сетях, скачивание фильмов и т. д.).

 

Рисунок 21. Настройка веб-контроля

Обзор Kaspersky Endpoint Security 8 для Windows

 

Для настройки доступа к веб-ресурсам нужно создать набор необходимых правил. Для формирования правил доступны следующие инструменты:

  • создание «белых» и «черных» списков сайтов;
  • ограничение по сформированным «Лабораторий Касперского» категориям сайтов (порнография, нецензурная лексика, форумы и чаты и т. д.);
  • ограничение на типы загружаемых фалов (видео, архивы и т. д.).

 

Рисунок 22. Создание правила доступа к веб-ресурсам

Обзор Kaspersky Endpoint Security 8 для Windows

 

Рисунок 23. Наложение ограничений для типов посещаемых сайтов и загружаемых файлов

Обзор Kaspersky Endpoint Security 8 для Windows

 

Для каждого правила указываются пользователи, на которых оно распространяется, действие правила (разрешающее, запрещающее или предупреждающее) и расписание работы правила (всегда или в определенные промежутки времени). Если пользователь не согласен с результатом блокировки, то он может сформулировать жалобу для системного администратора.

Текст жалоб, сообщений о блокировки и предупреждений можно настроить самостоятельно, для этого нужно нажать кнопку «Шаблоны...» и задать шаблон сообщения с объяснением причин блокировки или текстом жалобы. Например, несоответствие посещаемой страницы корпоративной этике или запрещение использование Интернета в рабочее время в личных целях.

 

Рисунок 24. Пример окна предупреждения

Обзор Kaspersky Endpoint Security 8 для Windows

 

Прежде чем применять созданные правила, можно предварительно протестировать результат их работы. Для этого используется окно «Диагностика правил», которое можно вызвать из окна компонента нажатием на кнопку «Диагностика...».

Антивирусная защита

Антивирусные компоненты позволяют проверять файловую систему компьютера, почтовые сообщения, работу в Интернете и передачу мгновенных сообщений на наличие вредоносных программ.

Файловый антивирус предназначен для проверки файловой системы на наличие вредоносных программ. Компонент отслеживает любые обращения к файлам, и после этого начинает проверку файлов на наличие вирусов и иных программ, представляющих угрозу для системы. Файловый антивирус может работать в режиме монитора или проводить проверку как всей файловой системы, так и ее компонентов при запуске в ручную и по расписанию.

На панели «Центр защиты» доступ к файловому антивирусу осуществляется в группе «Управления защитой». Контекстное меню данного компонента позволяет производить следующие действия: включить/выключить работу, проводить настройку, просмотреть отчеты о работе; просмотреть файлы, помещенные в карантин и в «резервное хранилище», получить справку по использованию компонента.

 

Рисунок 25. Контекстное меню с действиями над файловым антивирусом

Обзор Kaspersky Endpoint Security 8 для Windows

 

Настройки файлового антивируса позволяют выбрать уровень безопасности (низкий, рекомендуемый, высокий) и настроить различные параметры работы: действия при обнаружении угроз, типы проверяемых файлов, использование эвристического анализа, использование методов оптимизации проверки (например, при повторной проверке проверять только новые или измененные файлы).

 

Рисунок 26. Окно для настроек файлового антивируса

Обзор Kaspersky Endpoint Security 8 для Windows

 

Почтовый антивирус проверяет все входящие и исходящие почтовые сообщения на наличие в них вирусов и иных программ, представляющих угрозу системе. Компонент может проверять сообщения, отправляемые по протоколам POP3, SMTP, IMAP, MAPI и NNTP. Для удобства работы пользователей предусмотрены специальные «плагины», которые позволяют встраивать функцию проверки почты в наиболее распространенные почтовые клиенты - «MS Outlook» и «The Bat!».

 

Рисунок 27. Окно для настроек почтового антивируса

Обзор Kaspersky Endpoint Security 8 для Windows

 

Веб-антивирус проверяет входящий и исходящий трафик по протоколам HTTP и FTP на наличие вирусов или иных вредоносных программ, а также проверяет ссылки на принадлежность к подозрительным или фишинговым веб-адресам. В зависимости от уровня угрозы программа может заблокировать веб-страницу или выдать предупреждение о ее опасности. При настройке веб-антивируса можно выбрать уровень безопасности, «глубину» эвристического анализа для различных типов проверок и задать набор доверенных сайтов, которые не нужно проверять.

 

Рисунок 28. Настройка веб-антивируса

Обзор Kaspersky Endpoint Security 8 для Windows

 

IM-антивирус проверяет трафик, передаваемый программами для мгновенного обмена сообщениями (интернет-пейджерами). При обнаружении в сообщениях ссылок на вредоносные программы, а также опасные или фишинговые сайты, компонент заменяет такие ссылки сообщениями об обнаруженной угрозе. Следует обратить внимание, что проверка проводится только для следующих систем обмена сообщениями - ICQ, MSN, AIM, Mail.Ru Агент и IRC.

Защита сети

Для защиты сети используются компоненты «Сетевой экран» и «Защита от сетевых атак».

Сетевой экран обеспечивает защиту личных данных пользователя от угроз, которые возникают при работе в локальной сети или сети Интернет. Данный компонент фильтрует всю сетевую активность согласно заданным сетевым правилам.

 

Рисунок 29. Программное окно для настройки сетевого экрана

Обзор Kaspersky Endpoint Security 8 для Windows

 

Настройка сетевого экрана заключается в задании сетевых правил двух типов (сетевых правил программ и сетевых пакетных правил), а также определения типа доступных сетей. Таким образом, сетевой экран обеспечивает защиту как на сетевом, так и на прикладном уровне. Все сетевые правила представляют собой набор разрешающих или запрещающих действий, которые должны быть выполнены при обнаружении попытки сетевого соединения.

Сетевые правила программ позволяют ограничивать сетевую активность программ по определенным портам выбранного протокола передачи данных. Все запускаемые программы автоматически разделяются на четыре группы доверия, по тем же принципам, что и в компоненте «Контроль активности программ». С уменьшением уровня доверия на сетевые операции программ налагается все большее количество ограничений.

 

Рисунок 30. Программное окно для работы с сетевыми правилами контроля программ

Обзор Kaspersky Endpoint Security 8 для Windows

 

Для каждой группы доверия или программы можно изменить имеющиеся правила или создать новые. Создавая новое правило можно задавать совершаемое действие (разрешить или заблокировать), контролируемый протокол (TCP, UDP, ICMP, ICMPv6, IGMP или GRE), направление контроля (входящий или исходящий трафик), сетевой адрес, а для TCP и UDP протоколов задавать контролируемый порт.

 

Рисунок 31. Создание сетевого правила программ

Обзор Kaspersky Endpoint Security 8 для Windows

 

Сетевые пакетные правила предназначены для задания ограничений на сетевые пакеты независимо от программ, которые их передают. Ограничения накладываются на сетевую активность по определенным портам выбранного протокола передачи данных. Сетевые пакетные правила имеют более высокий приоритет, чем сетевые правила программ. При пересечении области действия различных правил выполняться будут именно сетевые пакетные правила. При этом приоритеты любых правил могут быть изменены.

 

Рисунок 32. Программное окно для работы с сетевыми правилами контроля программ

Обзор Kaspersky Endpoint Security 8 для Windows

 

Также сетевой экран контролирует все сетевые соединения. Каждому сетевому соединению автоматически присваивается один из трех статусов: публичная, локальная или доверенная сеть. В зависимости от уровня доверия сети на действия в ней накладываются соответствующие ограничения.

 

Рисунок 33. Задание статуса сети

Обзор Kaspersky Endpoint Security 8 для Windows

 

Помимо указанных инструментов в сетевой экран входит монитор сети, доступ к которому можно получить из контекстного меню данного модуля в панели «Центр защиты». Монитор позволяет получать информацию об активности приложений в сети (как основного процесса, так и его потоков), открытых портах, количестве трафика и IP-адресах удаленных компьютеров, заблокированных компонентом «Защита от сетевых атак».

 

Рисунок 34. Мониторинг сетевой активности

Обзор Kaspersky Endpoint Security 8 для Windows

 

Рисунок 35. Использование сетевого трафика

Обзор Kaspersky Endpoint Security 8 для Windows

 

Компонент «Защита от сетевых атак» позволяет отслеживать во входном трафике активность, характерную для сетевых атак. При обнаружении сетевой атаки Kaspersky Endpoint Security 8 блокирует сетевую активность атакующего компьютера. Для данного компонента можно настраивать только время блокирования атакующего компьютера (по умолчанию это 60 минут) и задать список исключений (по IP-адресам).

 

Рисунок 36. Задание исключений для компонента «Защита от сетевых атак»

Обзор Kaspersky Endpoint Security 8 для Windows

 

Компонент «Мониторинг системы» обеспечивает проактивную защиту и отслеживает активность программ в операционной системе, для использования этих данных в других компонентах Kaspersky Endpoint Security 8. Работа данного компонента основывается на сравнении действий в шаблонах опасного поведения (BBS, Behavior Stream Signatures) с действиями программ. Если обнаруживается совпадение, то данная программа помещается на карантин. При необходимости пользователь может изменить действие «по умолчанию» –  вместо помещения в карантин работа подозрительной программы либо будет блокироваться, либо пользователь даст разрешение ее работы, несмотря на предупреждение. Данные мониторинга также могут использоваться для отката действий, произведенных вредоносными программами.

 

Рисунок 37. Настройка мониторинга системы

Обзор Kaspersky Endpoint Security 8 для Windows

 

Отчеты и хранилища

Информация о работе как Kaspersky Endpoint Security 8, так и каждого его компонента регистрируется и доступна в окне «Отчеты и хранилища» на вкладке «Отчеты». Можно просмотреть системный аудит, в котором представлены все события, и события каждого компонента.

 

Рисунок 38. Программное окно для работ с отчетами

Обзор Kaspersky Endpoint Security 8 для Windows

 

Все события, в зависимости от важности разделены на три большие группы: информационные, важные и критические. События можно отсортировать по важности или времени их возникновения.

В Kaspersky Endpoint Security 8 реализованы три типа хранилищ:

  • «необработанные объекты». В данное хранилище попадают файлы, в которых был обнаружен вирус, но по каким-то причинам он был не обработан. Такие файлы могут быть повторно проверены после обновления антивирусных баз;
  • «карантин». На карантин пользователь или программа помещают подозрительные файлы. Для программы поводом поместить файл или приложение на карантин является частичное сходство его кода или действий с кодом или действиями вредоносной программы;
  • «резервное хранилище». Сюда попадают копии зараженных файлов, которые не удалось вылечить.

 

Рисунок 39. Карантин

Обзор Kaspersky Endpoint Security 8 для Windows

 

Если файл не может быть обработан или вылечен, то его можно послать сотрудникам «Лаборатории Касперского» на исследование.

Поддержка

Kaspersky Endpoint Security 8 сопровождается многоуровневой системой обучения и поддержки. Программа снабжена программной справкой и дублирующим ее бумажным руководством с подробным описанием всех компонентов программы и действий по работе с ними. Единственным минусом справки и руководства является отсутствие иллюстраций, что несколько затрудняет работу.

При нажатии на кнопку «Поддержка» в главном окне Kaspersky Endpoint Security 8 появляется соответствующее окно, из которого можно перейти к базе часто задаваемых вопросов (интерактивная справка), базе знаний по программе или форуму пользователей. При возникновении сложной проблемы, решение которой не удалось найти при помощи предыдущих способов, можно записать трассировку работы программы и загрузить ее на сервер технической поддержки. Окно для настройки и записи трассировки можно вызвать из окна поддержки.

 

Рисунок 40. Программное окно «Поддержка»

Обзор Kaspersky Endpoint Security 8 для Windows

 

Рассмотрев в данном обзоре компоненты Kaspersky Endpoint Security 8 и их настройки, в следующем обзоре рассмотрим средство управления Kaspersky Security Center и управление с его помощью Kaspersky Endpoint Security 8 .

 

Выводы

Одной из главных особенностей Kaspersky Endpoint Security 8 является применение так называемой «гибридной» защиты, в которой традиционные антивирусные технологии работают одновременно с «облачными». Помимо традиционного набора антивирусных компонентов в Kaspersky Endpoint Security 8 включены компоненты контроля рабочего места – контроль программ, контроль устройств и веб-контроль. В зависимости от стоящих перед системным администратором задач, для всех компьютеров в локальной сети могут быть применены как общие, так и индивидуальные настройки каждого из компонентов защиты.

Положительно можно оценить «сквозную» для всего пользовательского интерфейса идеологию доступа к компонентам защиты. Однако отнесение компонентов «Сетевой экран» и «Защита от сетевых атак» в группу «Антивирусных технологий» вызывает вопросы. Все компоненты можно было бы выделить в отдельную группу «Защита сети».

Плюсы:

  1. «Гибридная» защита. Применение «облачных» технологий позволяет увеличить скорость реагирования на новые угрозы за счет использования данных из «облака», что увеличивает защиту от новых сложных угроз. А параллельная работа традиционных антивирусных технологий позволяет обеспечить защиту компьютеров даже при отсутствии подключения к Интернету.
  2. В Kaspersky Endpoint Security 8 реализованы компоненты, которые чаще всего выпускаются в виде отдельных продуктов – контроль устройств, контроль программ и веб-фильтрация.
  3. Режим работы только по «белым» спискам  разрешенных приложений, реализуемый при помощи компонента «Контроль программ», позволяет отказаться от использования классического и ресурсоемкого антивирусный монитора (актуально для систем, в которых программное обеспечение практически не меняется).
  4. Защищаемые объекты. В Kaspersky Endpoint Security 8 реализована поддержка, как рабочих станций, так и файловых серверов. Это позволяет использовать для защиты локальной сети один инструмент, экономя на стоимости и времени сопровождения защиты.
  5. Защищаемые платформы. Помимо Kaspersky Endpoint Security 8 для Windows существует ряд одноименных решений для защиты систем под управлением MacOS и Linux, а также для защиты смартфонов.
  6. Пользовательский интерфейс. Организация доступа к компонентам Kaspersky Endpoint Security 8 выполнена в единой идеологии разделения всех компонентов на две больших группы – «антивирусные технологии» и «контроль рабочего места». Это позволяет быстро разобраться с логикой работы с интерфейсом. Также применяются оригинальные графические компоненты и пиктограммы, что делает интерфейс визуально привлекательным.
  7. Сервисные функции. Все события в программе регистрируются и могут быть просмотрены как в целом, так и отдельно для каждого компонента. Также для изучения работы с программой предоставляются большой набор источников информации - справка, база знаний, форум, возможность обращения в службу поддержки.
  8. Тесная интеграция с Active Directory позволяет отдельно настраивать правила работы различных компонентов защиты для каждого пользователя.

Минусы:

  1. Логика работы с программой. Доступ к некоторым функциям осуществляется нестандартно. Например, вызов окна для мониторинга сети возможен только из контекстного меню компонента «Сетевой экран» на панели «Центр защиты», что может быть неочевидно для пользователей.
  2. Дополнительные компоненты защиты. Было бы полезным расширение инструментов для настройки компонента «Контроль устройств».

Пожелания:

  1. Работа со справкой и руководством пользователя была бы более удобной и простой, если бы они содержали иллюстрации. Отсутствие иллюстраций затрудняет работу.
  2. Добавление модуля шифрования могло бы обеспечивать дополнительную защиту конфиденциальных данных на рабочих станциях и файловых серверах в случае попытки несанкционированного доступа к ним. Также при дальнейшем развитии продукта была бы полезной постепенная интеграция в него дополнительных функций контроля над использованием и распространением конфиденциальных данных (DLP).

Обзор Kaspersky Security Center 9

 

Для читателей Anti-Malware.ru  в магазине Softline действует скидка 5%, для ее получения укажите название купона ANTIMALWARE при оформлении заказа на: 
- Kaspersky Work Space Security
- Kaspersky Business Space Security
- Kaspersky Enterprise Space Security


Реестр сертифицированных продуктов »

Записаться на демонстрацию

Нажимая "Запросить", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

Запросить пробную версию

Нажимая "Получить", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

Запросить цены

Нажимая "Отправить", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

Задать вопрос

Нажимая "Задать", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Лаборатория AM Test Lab готова провести независимую экспертизу и добровольную сертификацию любого продукта или сервиса по информационной безопасности и подготовить его профессиональный обзор. Для получения дополнительной информации необходимо оформить запрос.