Налаштування Касперського для локальної мережі. Додавання і зміна правила доступу до веб-ресурсів Що робити, якщо касперский блокує локальну мережу

Нерідко трапляється, що антивірус Касперського, який повинен забезпечувати безпеку локальної мережі, Навпаки всіляко заважає доступу до мережевих ресурсів.

Тому тут ми розберемо, що робити, якщо касперский блокує локальну мережу, і які налаштування необхідні, якщо доступ до комп'ютера обмежений.

Перш ніж приступати до діагностики проблеми, переконайтеся, що

• - у вас встановлена свіжа версія антивіруса;
• - на комп'ютері оновлений драйвер на мережеву карту.

Що робити, якщо касперский блокує локальну мережу?

Для перевірки слід тимчасово відключити захист. Для цього правою кнопкою миші клікніть по значку антивірусу в системному треї і виберіть пункт «призупинити захист».

Також необхідно відключити брандмауер windows - Касперський сам виконає завдання мережевого екрану, присвоїть статуси і контролюватиме мережеве з'єднання. Якщо ж залишити брандмауер включеним, то антивірус буде періодично відключати мережу.

Необхідно відразу запам'ятати назву мережі і.

Для цього треба зайти «Пуск» - «Панель управління» - «Мережа та інтернет» - «Центр управління мережами і загальним доступом»-« Зміна параметрів адаптера »-« Підключення по локальній мережі »(ім'я локальної мережі за замовчуванням - модель мережевої карти: Realtek RTL8102E ..., Atheros і інші).

Налаштування Касперського для локальної мережі:

1) відкрийте головне вікно антивіруса;
2) внизу зліва клікніть знак настройки (шестерня);
3) в лівій колонці натисніть «захист»;
4) далі в правому вікні - «мережевий екран»;

5) внизу - кнопку «мережі»;
6) виберіть свою мережу (назва якої ви запам'ятали раніше)

Подвійним кліком відкрийте властивості мережі і виберіть тип мережі «довірена мережа».
Далі по необхідності можна відключити драйвер NDIS filter (швидкість обміну по мережі значно збільшиться). Відключається він в налаштуваннях локальної мережі і налаштування не підлягає.

Включати і перезавантажувати комп'ютер необхідно з включеною локальною мережею і підключеним до мережевої карти комп'ютера кабелем, тому що Касперський починає конфліктувати зі службою «Оглядач комп'ютерів».

Також можна забороняти або обмежувати певним програмам вихід в локальну мережу. Для цього виконайте пункти з першого по четвертий і виберіть «Налаштувати правила програм».

Тут є на вибір чотири групи: довірені, слабкі обмеження, сильні обмеження і недовірених. За допомогою правої кнопки миші виберіть відповідний пріоритет для роботи програм, після чого додайте нові групи і програми. Для цього виберіть:

1) подробиці і правила
2) мережеві правила
3) обмеження
4) скинути параметри
5) видалити зі списку
6) відкрити папку програми

Правила програм за замовчуванням «успадковуються» від встановленої програми, Але їх можна поміняти на необхідні. Для цього правою кнопкою миші клікніть потрібну програму (Або підгрупу) і виберіть відповідний пункт в меню.

Межовий екран Kaspersky Internet Security, Розбираємося з настройками за замовчуванням

Alexander Antipov

Перший крок до безпечного подорожі по безкрайніх просторах всіляких мереж це звичайно ж установка надійного засобу захисту. Одним з небагатьох таких засобів є комплексний продукт Kaspersky Internet Security.

Перший крок до безпечного подорожі по безкрайніх просторах всіляких мереж це звичайно ж установка надійного засобу захисту. Одним з небагатьох таких засобів є комплексний продукт Kaspersky Internet Security. Незважаючи на те, що KIS продукт досить складний, він відразу після установки готовий виконувати всі покладені на нього обов'язки. Необхідність в додаткових настойках виникає вкрай рідко, і це дуже великий плюс розробникам. Але необхідно розуміти, що ця можливість базується на гострій грані компромісних рішень. У чому вони полягають розглянемо на прикладі мережевого екрану.

Налаштування мережевого екрану складаються з двох частин: правила для програм і пакетні правила. За допомогою правил програм можна дозволяти або забороняти певним програмам або групам програм посилати або приймати пакети або встановлювати мережеві з'єднання. За допомогою пакетних правил дозволяється або забороняється встановлювати вхідні або вихідні сполуки, і передача або прийом пакетів.

Подивимося, що представляють собою правила для програм.

Всі програми є чотири категорії:

1. Довірені - їм дозволено все без винятку.
2. Слабкі обмеження - встановлено правило "запит дії", що дозволяє користувачеві по самостійно приймати рішення про доцільність мережевого спілкування програм цієї групи.
3. Сильні обмеження - в частині дозволу роботи з мережею, то ж, що і слабкі.
4. Чи не довірені - за замовчуванням цими програмами заборонено будь-яке мережеве спілкування (по людськи дуже шкода їх).

До групи "довірені" за замовчуванням поміщені всі програми від Мікрософт, власне сам KIS і інші програми відомих виробників. Для налаштувань за замовчуванням вибір хороший, але особисто я не став би всім програмам, нехай навіть і іменитих виробників, так безроздільно довіряти.

Як же потрапляють програми в ту чи іншу групу? Тут все не так просто. Рішення про приміщенні конкретної програми в одну з чотирьох груп приймається на основі декількох критеріїв:

1. Наявність відомостей про програму в KSN (Kaspersky Security Network).
2. Наявність у програми цифрового підпису (Вже проходили).
3. евристичний аналіз для невідомих програм (що то типу ворожіння).
4. Автоматично поміщати програму в заздалегідь обрану користувачем групу.

Всі ці опції знаходиться в настройках "Контроль програм". За замовчуванням встановлено перші три опції, використання яких і призводить до великій кількості "Довірених" програм. Четверту опцію можна вибрати самостійно як альтернативу першим трьом.

Проведемо експеримент. Помістимо якусь програму (наприклад, браузер "Opera") в список програм зі слабкими обмеженнями і подивимося як працює правило "запит дії". Для вступу правил програм в дію потрібно закрити і знову відкрити програму, правила для якої були змінені. Якщо тепер спробувати зайти на будь-який сайт, то ніякого запиту дії не відбудеться, а програма спокійно встановить з'єднання з мережею. Як виявилося, правило "запит дії" працює тільки якщо в основних параметрах захисту знятий прапорець з опції "Вибирати дія автоматично".

Ще один сюрприз чекає користувачів мережевих утиліт типу ping, tracert (якщо правило "запит дії" поширити на довірені програми), putty (ssh клієнт) і, можливо, їм подібних. Для них KIS вперто не хоче виводити екран запиту дії. Тут вихід може бути тільки один - встановлювати дозволу для конкретної програми вручну.

Перш, ніж перейти до пакетним правилами, дозволю собі одну пораду: створюйте для кожної групи програм свої підгрупи. Наприклад: "Мережеві утиліти", " Офісні програми"," Програми для Інтернету ", і т.д. По-перше, завжди можна буде швидко знайти потрібну програму, і, по-друге, можна буде встановлювати правила на певні групи, замість установки правил для окремих програм.

Пакетні правила.

У пакетних правилах визначаються окремі ознаки пакетів: протокол, напрямок, локальний або віддалений порт, мережеву адресу. Пакетні правила можуть діяти як "дозволяють", "забороняють" і "по правилам програм". Правила проглядаються зверху вниз поки не буде знайдено дозволяє або забороняє правило за сукупністю ознак. Якщо правило для пакета не знайдено, то застосовується правило за замовчуванням (останнє). Зазвичай в мережевих екранах останнім правилом встановлюють заборону на прийом і передачу будь-яких пакетів, але для KIS це правило дозволяє.

Дія "за правилом програм" є за своєю природою "вікном" для власне дій правил програм. Це зручно, оскільки можна визначати черговість виконання правил. Наприклад, програма намагається відправити пакет на 53 порт DNS сервера. Якщо є пакетне правило з дією "за правилами програм", напрямком "вихідне", віддалений порт 53 (або не визначений), і для програми встановлено дозволяє правило для відправки пакета на 53 порт, то пакет буде відправлений, якщо програмі заборонено відправляти пакети на 53 порт, то цей пакет відправлений не буде.

Область дії правил охоплює певну область: "будь-яку адресу" (всі адреси), "адреса підмережі" - тут можна вибрати тип підмережі "довірені", "локальні" або "публічні", і "адреси зі списку" - вказати IP адреси або доменні імена вручну. Ставлення конкретної подсети до "довіреної", "локальної" або "публічною" встановлюється в загальних нстройках мережевого екрану.

Пакетні правила KIS, на відміну від більшості мережевих екранів, перевантажені великим числом напрямів: "входить", "входить (потік)", "виходить", "виходить (потік)", і "входить / виходить". Причому, правила з деякими поєднаннями протоколу та направлення не працюють. Наприклад, правило заборони ICMP в поєднанні з потоковими напрямками працювати не буде, тобто заборонені пакети будуть проходити. До UDP пакетів чому то застосовуються потокові напрямки, хоча UDP протокол за своєю природою як такого "потоку" не створює, на відміну від TCP.

Ще один, не зовсім приємний момент полягає в тому, що в пакетних правилах відсутня можливість вказати реакцію на заборону вхідного пакету: запобігти отриманню пакету з повідомленням відправила його боку або просто відкинути пакет. Це так званий режим "невидимості", який раніше в мережевому екрані присутній.

Тепер звернемося до власне правилам.

1 і 2 правила дозволяють за правилами програм відправляти DNS запити по протоколам TCP і UDP. Безумовно, обидва правила корисні, але в основному такі мережеві програми як поштові та браузери запитують адреси сайтів через системну службу DNS, за роботу якої відповідає системна програма "Svchost.exe". У свою чергу, сама служба використовує цілком конкретні адреси DNS серверів, які вказуються вручну або через DHCP. адреси DNS серверів змінюються рідко, так що цілком вистачило б дозволу відправки DNS запитів для системної служби "svchost.exe" на фіксовані сервера доменних імен.

3 правило дозволяє програмам відправку електронної пошти по протоколу TCP. Тут також, як і для перших двох правил, досить було б створити правило для конкретної програми роботи з електронною поштою вказавши на який порт і сервер виробляти відправку.

4 правило дозволяє будь-яку мережеву активність для довірених мереж. Будьте дуже уважні при включенні цього правила, не переплутайте випадково тип мережі. Це правило фактично відключає функції мережевого екрану в довірених мережах.

5 правило дозволяє будь-яку мережеву активність за правилами програм для локальних мереж. Це правило хоч і не відключає повністю мережевий екран, але в значній мірі послаблює його контрольні функції. За логікою 4 і 5 правила потрібно було б розмістити в самому верху, щоб запобігти обробку пакетів правилами 1 - 3 під час перебування комп'ютера в довіреної або локальної мережі.

6 правило забороняє віддалене управління комп'ютером по протоколу RDP. Хоча область дії правила "все адреси", але фактично воно діє тільки в "публічних мережах".

7 і 8 правило забороняє доступ з мережі до мережних служб комп'ютера за протоколами TCP і UDP. Фактично правило діє тільки в "публічних мережах".

9 і 10 правила дозволяють всім без винятку підключатися до комп'ютера з будь-яких мереж, звичайно виключаючи служби, заборонені правилами 6 - 8. Діє правило тільки для програм з дозволеною мережевою активністю. Але будьте дуже уважні, мережева активність за замовчуванням дозволена практично всіма програмами за виключенням не довірених.

11 - 13 правила дозволяють прийом вхідних ICMP пакетів для всіх програм. Сенсу в цих правилах не більше, ніж в 1 - 3, тому, що ICMP в переважній більшості випадків використовує програма ping і tracert.

14 правилом забороняється прийом всіх типів ICMP пакетів, зрозуміло за винятком дозволених правилами 11 - 13.

16 правило забороняє входить ICMP v6 відлуння запит. ICMP v6 в переважній більшості випадків не потрібний. Можна було б заборонити його повністю.

17 правило дозволяє все, що явно не дозволено або заборонено попередніми правилами. Це правило хоча і не відображається на екрані, але пам'ятати про його існування безумовно необхідно.

Налаштування мережевого екрану KIS за замовчуванням безумовно хороші і підходять більшості користувачів домашніх комп'ютерів, на яких, власне, і орієнтований цей продукт. Але гнучкість і невимогливість до додаткових налаштувань, Про яку згадувалося на початку статті, на жаль досягається за рахунок безпеки самих же користувачів, роблячи цю саму безпеку дуже сильно залежною від людського фактора: знань і безпомилкових дій самого користувача.

Переслідувані цілі - безпека і ще раз безпеку

Давайте уявимо дуже поширену ситуацію: у вас в мережі безліч серверів, які надають якісь послуги. Дуже ймовірно, що деякі з них мають зовнішній інтерфейс, Який дивиться в WAN, тобто в глобальну мережу. Зазвичай це Проксі-сервер, Web-сервер, поштовий і т.д. Ні для кого не секрет, що вже сам цей факт змушує замислитися вас, як грамотного системного адміністратора про безпеку вашої мережевої інфраструктури. Не має сенсу розповідати, чим може загрожувати проникнення хакера в вашу мережу. Є безліч варіантів убезпечитися від атак зловмисник. Серед них - побудова у себе так звану демілітаризовану зону або опублікувати сервер через свій проксі, який вже точно (адже так?) У вас налаштований дуже жорстко і серйозно. Перший варіант (ДМЗ) поки не "піднято" через будь-яких причин. Нехай це буде нестача часу і обладнання у системного адміністратора. Другий (опублікувати через інший сервер) вельми спірне, його поки опустимо. А поки для початку давайте налаштуємо мережевий екран, він же брандмауер, він же фаєрвол. Основна функція будь-якого firewall - убезпечити доступ до нашого комп'ютера ззовні. Я спеціально написав слово "комп'ютер", з огляду на те, що домашні комп'ютери і робочі станції теж можна убезпечити за допомогою екрану. Природно, немає 100% -Захист при програмному брандмауері, але краще так, ніж нічого. До того ж, у мене таке відчуття, що після сьогоднішніх моїх маніпуляцій сервер вже не буде схильний до ризику Приступимо.

лабораторний стенд

Є сервер на базі Windows Server 2008 R2, що надає сервіс VPN за допомогою служби Microsoft RAS. Брандмауер Windows налаштований за замовчуванням. У ньому я не копався, хоча варто було б. Але тому що є корпоративна ліцензія Kaspersky Enterprise Space Security, чому б їй не скористатися і не встановити Kaspersky Endpoint Security 8, до складу якого входить програмний брандмауер.

Налаштування мережевого екрану Kaspersky

Мережевий екран Kaspersky Endpoint Security 8 ідентичний багатьом екранам даного виробника, включаючи домашню версію Kaspersky Internet Security 2013, тому якщо у когось буде інша версія антивіруса, то швидше за все дана стаття йому також допоможе. А тепер почнемо.

Налаштування - антивірусний захист - мережевий екран. Кількома кнопку "Мережеві пакетні правила". Отримуємо список правил, які в наразі працюють. Якісь із них щось забороняють, інші - дозволяють. В даний момент все виглядає приблизно так:

Якщо ви помітили, скріншот нерідний. Я його взяв із іншого продукту - KIS2013, але повірте на слово - в KES8 все було так само. І це сервер, де захист повинен бути на вищому рівні! Як ми бачимо, тут багато є і все приблизно зрозуміло: запити DNS (TCP / UDP), відправлення повідомлень, будь-яка активність з довірених мереж повністю вирішена, з локальних - частково, відключено порт, який відповідає за віддалений робочий стіл, відключені різні порти TCP / UDP, а ось активність ззовні - частково, в кінці 5 правил протоколу ICMP. Да уж, половина правил незрозуміла, половина зайві. Давайте створимо лист з нуля і створимо свої власні правила.

Перше, що я зробив, створив своє улюблене правило - Deny All (Заборонити всі)

і помістив його вниз. Потім за допомогою пошуку в інтернеті я з'ясував, які порти використовує технологія VPN. це Protocol 47, Який має ще назву GRE:

Правило з GRE я помістив вище забороняє правила. Ще один порт, який треба відкрити для VPN - 1723 . Тому я створив правило VPN_IN:

Правило з портом 1723 я помістив на самий верх. Решта правила я трохи видозмінив, деякі залишив. Вийшов такий список (Firewall List):

Прокоментую кожне.

Відразу обмовлюся, що повністю покладатися на цю статтю не варто. Можливо, щось я випустив з уваги. У питаннях безпеки я не гуру, тому заздалегідь прошу вибачення, якщо допустив будь-які помилки. Критика, побажання і похвали вітається, пишіть коментарі внизу.

Вам так само сподобається:

Моніторимо навантаження сервера з Munin

Розширені функції адміністрування у
дозволяють віддалено централізувати і автоматизувати моніторинг вразливостей, поширення виправлень і оновлень, ведення обліку та розгортання програм, що не тільки економить час адміністраторів, а й підвищує безпеку організації.

Розширені можливості системного адміністрування мають на увазі повний контроль адміністратора над підконтрольними пристроями через єдину консоль управління. Завдяки даній функції, адміністратор може в будь-який час:

1. Дізнатися про появу нового пристрою або програми, в тому числі гостьового пристрої. Ця функція дозволяє централізовано керувати доступом користувачів і пристроїв до корпоративних даних і додатків відповідно до політики компанії.

2. Самостійно завантажувати, встановлювати, тестувати, оновлювати додатки. Адміністратор може налаштувати автоматичне завантаження оновлень і виправлень з серверів «Лабораторії Касперського». Перед установкою програми, адміністратор має право протестувати додаток на навантаження продуктивності системи.

3. Перевіряти мережу для обліку програмного і апаратного забезпечення. При перевірці мережі, адміністратор може отримати повну картину корпоративної мережі з усіма пристроями і визначити застарілі версії ПО, які необхідно оновити, для підвищення безпеки системи.

4. Виявляти вразливості. Пошук вразливостей може виконуватися не тільки автоматично, але і за розкладом, який задано адміністратором.

На даний момент мережева інфраструктура підприємства вимагає посиленого захисту кожного елемента мережі. Одним з найбільш вразливих місць для атаки шкідливого ПЗ є файловий сервер. Щоб захистити сервер потрібне спеціалізоване рішення, яке здатне забезпечити його належним рівнем безпеки.

володіє великою кількістю функцій ніж. Одне з головних переваг цієї програми є те, що вона здатна захистити файлові сервери від атаки шифрувальників.

функція	Kaspersky Endpoint Security 10 для Windows (для файлових серверів)	Kaspersky Security 10 для Windows Server
Єдина консоль Kaspersky Security Center 10
захист термінальних серверів	Terminal Services (Remote Desktop Services) Windows Server 2008 R2	Terminal Services Windows Server 2008 R2 / 2012/2012 R2 Citrix XenApp 6.0, 6.5, 7.0, 7.5, 7.6 Citrix XenDesktop 7.0, 7.1, 7.5, 7.6
Розподіл навантаження на сервер
Визначення серверів, що працюють з високим навантаженням
Підтримка конфігурації Cluster mode
Підтримка конфігурації Core mode
підтримка локальної операційної системи ReFS, використовуваної в Windows Server
підтримка мережевого протоколу управління SNMP пристроями в мережах TCP / UDP
Персоналізація захисних властивостей для кожної захищається області
Контроль запуску додатків
Мережевий екран
Захист від шифрувальників

Щоб додати або змінити правило доступу до веб-ресурсів, виконайте наступні дії:

1. Відкрийте вікно налаштування параметрів програми.
2. У лівій частині вікна в розділі Контроль робочого місцявиберіть підрозділ Веб-Контроль.

   У правій частині вікна відображаються пункти компонента Веб-Контроль.

3. Виконайте одну з таких дій:
   • Якщо ви хочете додати правило, натисніть на кнопку Додати.
   • Якщо ви хочете змінити правило, виберіть правило в таблиці і натисніть на кнопку Змінити.

   Відкриється вікно.

4. Задайте або змініть параметри правила. Для цього виконайте такі дії:
   1. В поле Назва Змініть або введіть назву правила.
   2. У списку Фільтрувати зміствиберіть потрібний елемент:
      • Будь-який зміст.
      • За категоріями змісту.
      • За типами даних.
      • За категоріями змісту і типам даних.
   3. Якщо обраний елемент, відмінний від Будь-який зміст, Відкриються блоки для вибору категорій змісту і / або типів даних. Встановіть прапорці навпроти назв бажаних категорій змісту і / або типів даних.

      Установка прапорця навпроти назви категорії змісту і / або типу даних означає, що Kaspersky Endpoint Security, відповідно до правила, контролює доступ до веб-ресурсів, що належить до обраних категоріях змісту і / або типам даних.

   4. У списку Застосовувати до адрес виберіть потрібний елемент:
      • До всіх адресах.
      • До окремими адресами.
   5. Якщо обраний елемент До окремими адресами, Відкриється блок, в якому потрібно створити список адрес веб-ресурсів. Ви можете додавати або змінювати адреси веб-ресурсів, використовуючи кнопки Додати, Змінити, Видалити.
   6. встановіть прапорець Вкажіть користувачів і / або групи.
   7. Натисніть на кнопку Вибрати.

      відкриється вікно Microsoft Windows Вибір користувачів або груп.

   8. Задайте або змініть список користувачів і / або груп користувачів, для яких дозволений або обмежений доступ до веб-ресурсів, описаним в правилі.
   9. Із списку Дія виберіть потрібний елемент:
      • Дозволяти. Якщо ви оберете цю значення, то Kaspersky Endpoint Security дозволяє доступ до веб-ресурсів, що задовольняє параметрам правила.
      • Забороняти. Якщо ви оберете цю значення, то Kaspersky Endpoint Security забороняє доступ до веб-ресурсів, що задовольняє параметрам правила.
      • Попереджати. Якщо ви оберете цю значення, то при спробі доступу до веб-ресурсів, що задовольняє правилу, Kaspersky Endpoint Security виводить попередження про те, що веб-ресурс не рекомендований для відвідування. За посиланнями з повідомлення-попередження користувач може отримати доступ до запрошенням веб-ресурсу.
   10. Виберіть із списку Розклад роботи правила назва потрібного розкладу або сформуйте новий розклад на основі обраного розкладу роботи правила. Для цього виконайте такі дії:
       1. Натисніть на кнопку Налаштування навпаки списку Розклад роботи правила.

          відкриється вікно Розклад роботи правила.

       2. Щоб додати в розклад роботи правила інтервал часу, протягом якого правило не працює, в таблиці з зображенням розкладу роботи правила лівою клавішею миші виберіть елементи таблиці, відповідні потрібного вам часу і дня тижня.

          Колір осередків зміниться на сірий.

       3. Щоб в розкладі роботи правила змінити інтервал часу, протягом якого правило працює, на інтервал часу, протягом якого правило не працює, лівою клавішею миші виберіть сірі елементи таблиці, відповідні потрібного вам часу і дня тижня.

          Колір осередків зміниться на зелений.

       4. Натисніть на кнопку Зберегти як.

          відкриється вікно Назва розкладу роботи правила.

       5. Введіть назву розкладу роботи правила або залиште назву, запропоноване за замовчуванням.
       6. Натисніть на кнопку OK.
5. У вікні Правило доступу до веб-ресурсів натисніть на кнопку OK.
6. Натисніть на кнопку Зберегти, щоб зберегти внесені зміни.