Политики
- Политика KES 12.2 для Linux Servers
- Политика KES для Windows 12.8 - Standard
- Политика KES для Windows Server
- Политика агента администрирования 12.8 Windows - Standard
Политика KES 12.2 для Linux Servers
Название политики:
Политика KES 12.2 Linux - Сервера (Linux)
Применение:
- Группа устройств: Сервера (Linix)
- Тип ОС: Linux
- Применение политики: Принудительно с наследованием параметров
Для кого эта политика:
- Серверная часть
Компоненты
|
Kaspersky Security Network |
Включен |
Проверка по облачной базе Kaspersky |
|
Защита от файловых угроз |
Включен |
Проверка файловой системы |
|
Защита от веб-угроз |
Включен |
Зашита от веб-угроз, как бы это не звучало. |
|
Защита от сетевых угроз |
Включен |
Firewall |
|
Защита от шифрования |
Включен |
Защита файлов в локальных директориях с сетевым доступом по протоколам SMB/NFS от удаленного вредоносного шифрования |
|
Поведенческий анализ |
Включен |
Анализ поведения |
|
Detection and Response (KATA) |
Выключен |
EDR, MDR |
|
Контроль приложений |
Выключен |
Контроль запускаемых приложений (черный и белый списки) |
|
Контроль целостности системы |
Включен |
Контроль изменений файлов в системе, реестра и подключения к компьютеру внешних устройств |
|
Контроль устройств |
Выключен |
Контроль подключенных и внешних устройств |
|
Веб-контроль |
Включен |
Контроль доступа к веб-ресурсам |
|
Проверка контейнеров |
Включен |
Проверка пространств имен и контейнеров в реальном времени |
|
Интеграция с KUMA |
Выключен |
Интеграция с SIEM системой |
|
Легкий агент |
Выключен |
Серверный вариант использования, с выносом активных компонентов на SVM сервер |
Общие
- Активная политика - включить
- Наследовать параметры родительской политики - выключить
- Обеспечить принудительное наследование параметров для дочерних политик - выключить
Настройка событий
Настройка событий
- Регистрация событий
- Хранить в базе данных Сервера администрирования в течении (сут) - до 60
- Экспортировать в SIEM-систему по протоколу Syslog
- События, которые стоит отправлять в SIEM
|
Тип события |
Время хранения на KSC |
Отправка в SIEM |
|
:drop_of_blood: Критические события |
Да :tick: / Нет :cross: |
|
|
Нарушено лицензионное соглашение |
30 дней |
|
Базовая защита
Защита от файловых угроз
- Включить защиту от файловых угроз - включить
- Режим защиты - Интеллектуальный режим
- Проверка областей:
- Основная область "/"
- Параметры проверки
- Проверять архивы - включить
- Проверять почтовые базы - выключить
- Проверять файлы почтовых форматов - выключить
- Пропускать текстовые файлы - выключить
- Пропускать файл, если его проверка длится более (сек) - 60
- Пропускать файл, если его размер более (МБ) - 200
- Сообщать о незараженных объектах - выключить
- Сообщать о необработанных объектах - выключить
- Сообщать об упакованных объектах - выключить
- Использовать технологию iChecker - включить
- Использовать эвристический анализ - включить (Рекомендованный)
- Действия при обнаружении угрозы
- Первое - Выполнять рекомендованное действие
- Второе действие - Блокировать
Выполнять рекомендованное действие над объектом на основе данных об уровне опасности угрозы, обнаруженной в файле, и возможности его лечения
Исключения защиты от файловых угроз
- Директории\Файлы
|
Название области исключения |
Путь |
Комментарий |
|
Данные PG |
/var/lib/postgresql/**/main/ |
|
|
WAL-файлы |
/var/lib/postgresql/**/main/pg_wal/ |
|
|
Исполняемые файлы PG |
/usr/lib/postgresql/**/bin/ |
|
|
Данные MySQL |
/var/lib/mysql/ |
|
|
Сокет MySQL |
/var/run/mysqld/mysql.sock |
|
|
Сокет PG |
/var/run/postgresql/.s.PGSQL.* |
|
|
Данные Redis |
/var/lib/redis/ |
|
|
RDB-файлы Redis |
/var/lib/redis/dump.rdb |
|
|
AOF-файлы Redis |
/var/lib/redis/appendonly.aof |
|
|
Сокет Redis |
/var/run/redis/redis.sock |
|
|
Данные RabbitMQ |
/var/lib/rabbitmq/ |
|
|
Сокет RabbitMQ |
/var/run/rabbitmq/ |
|
|
Данные Kafka |
/var/lib/kafka/ |
|
Управление сетевым экраном
- Включить управление сетевым экраном - выключить
На серверах используется ufw, нет смысла дублировать его работу в Касперском
Защита от веб-угроз
- Включить защиту от веб-угроз - включить
- Действие при обнаружении угрозы - Блокировать
- Доверенные веб-адреса - *.serbsky.ru, *.serbsky.lan.
- Параметры защиты от веб-угроз
- Использовать эвристический анализ для обнаружения фишинговых ссылок - включить
- Обнаруживать вредоносные объекты - включить
- Обнаруживать фишинговые ссылки - включить
- Обнаруживать рекламные приложения - выключить
- Обнаруживать легальные приложения, которые злоумышленники могут использовать для нанесения вреда устройствам или данным - выключить
Защита от сетевых угроз
- Включить защиту от сетевых угроз - включить
- Действие при обнаружении угрозы - Блокировать
- Блокировать атакующие устройства - включить
- Блокировать атакующее устройство на (мин) - 60
- Исключения
- Scaner -RedCHeck
Продвинутая защита
Kaspersky Security Network
- Включить облачный режим - включить
- Расширенный режим KSN
- Использовать серверы KSN, если прокси-сервер KSN недоступен - включить
Защита от шифрования
- Включить защиту от шифрования - включить
- Области защиты - Все общие директории
- Параметры защиты
- Действие при обнаружении шифрования - Блокировать
- Блокировать недоверенное устройство на (мин) - 30
- Исключения - Пока нет
- Исключения по маске - Пока нет
Анализ поведения
- Включить анализ поведения - включить
- Действие при обнаружении вредоносной активности - Информировать
- Исключения по процессам - Пока нет
Detection and Response
Managed Detection and Response
- Нет лицензии
Endpoint Detection and Response (KATA)
- Нет лицензии
Network Detection and Response (KATA)
- Нет лицензии
Контроль безопасности
Контроль приложений
- Включить контроль приложений - выключить
Контроль Целостности системы
- Включить контроль целостности системы - включить
- Области мониторинга
- /opt/kaspersky/kesl
- /etc/ssh/sshd_config
- /etc/passwd
- /etc/shadow
- /etc/sudoers
- /boot
- /etc/redis/redis.conf
- /etc/rabbitmq/rabbitmq.conf
- /etc/kafka/servcer.properties
- /etc/postgresql/**/pg_hba.conf
- /etc/postgresql/**/postgresql.conf
- Исключения по маске - Пока нет
Контроль устройств
- Включить контроль устройств - выключить
Веб-Контроль
- Включить Веб-контроль - включить
- Правила Веб-контроля
- Торренты
- Криптовалюты, майнинг
- Блокировка по категориям
- Фильтровать адреса - Любой адрес
- Применять к пользователям - Ко всем пользователям
- Расписание работы правила - Всегда
- Действие правила - Запретить
- Правило по умолчанию - Разрешить
Локальные задачи
Управление задачами
- Разрешить пользователям просмотр и управление локальными задачами - выключить
- Разрешить пользователям просмотр и управление задачами, созданными через KSC - выключит
Проверка съемных дисков
- Включить проверку съемных дисков при подключении к устройству - выключить
- Блокировать доступ к съемному диску во время проверки - выключить
Общие параметры
Параметры прокси-сервера
- Параметры подключения - Не использовать прокси-сервер
- Использовать Kaspersky Security Center в качестве прокси-сервера для активации приложения - выключить
Параметры приложения
- Обнаруживать легальные приложения, которые злоумышленники могут использовать для нанесения вреда устройствам или данным - выключить
- Показывать всплывающие уведомления в графическом пользовательском интерфейсе - выключить
- Производительность
- Ограничить потребление ресурсов процессора для задач проверки (%) - 80
- Ограничение на использование памяти для задач проверки (МБ) - 2048
- Максимальное количество задач выборочной проверки: 5
- Параметры запуска приложения
- Максимальное количество неудачных последовательных попыток запуска приложения - 5
- Максимальное время ожидания запуска приложения (мин) - 3
- Параметры трассировки
- Путь к директории трассировки - /var/log/kaspersky/kesl
- Максимальный размер файла трассировки (МБ) - 500
- Максимальное количество файлов трассировки - 10
- Создавать файл дампа при сбое в работе приложения - выключить
- Дополнительные параметры приложения
- Включить мониторинг стабильности работы приложения - выключить
- Использование памяти приложением - Ограничивается автоматически
- Режим перехвата файловых операций
- Блокировать доступ к файлам во время проверки - включить
Параметры проверки контейнеров
- Включить проверку пространств имен и контейнеров - включить
- Действие с контейнером при обнаружении угрозы - Остановить, если не удалось вылечить
- Параметры проверки контейнеров
- Использовать Docker /var/run/docker.sock
- Использовать CRI-O - выключить
- Использовать Podman - выключить
- Использовать runc - выключить
Параметры сети
- Включить проверку защищенных соединений - включить
- Переход на домен с недоверенным сертификатом - Разрешать
- Переход на домен с ошибкой проверки защищенных соединений - Добавлять домен в исключения
- Политика проверки сертификатов - Полная проверка
- Доверенные домены
- *.serbsky.ru
- *.serbsky.lan
- Доверенные корневые сертификаты - Пока нет
- Параметры сетевых портов
- 80
- 81
- 82
- 83
- 443
- 868
- 1080
- 3128
- 5000
- 7900
- 8000
- 8080
- 8088
- 8888
- 11523
- Контролировать только выбранные сетевые порты
Глобальные исключения
- Пока нет исключенных точек монтирования
Исключение памяти процессов
- Пока нет процессов для исключения
Параметры хранилищ
- Хранить объекты не более (дней) - 60
- Ограничить размер резервного хранилища до (МБ) - выключить
- Ограничить размер карантина до (МБ) - 200
- Уведомлять при заполнении карантина на (%) - 90
- Передача данных на Сервер администрирования
- Информировать о файлах карантина - включить
- Информировать о файлах резервного хранилища - включить
- Информировать о необработанных файлах - включить
- Информировать об установленных устройствах - включить
Интеграция с KUMA
- Включить интеграцию с KUMA - выключить
- Использовать защищенное соединение - выключить
- Сервер: нет
- Параметры подключения к серверам KUMA
- Максимальное время ожидания соединения с сервером (сек) - 10
- Использовать двустороннюю аутентификацию - выключить
- Параметры передачи данных - Максимальная задержка отправки событий (сек) - 30
Режим легкого агента
- Не используется
Профили политик
- Пока не используется
Политика KES для Windows 12.8 - Standard
Название политики:
Политика KES 12.8 - Рабочие станции Windows (Standard)
Применение:
- Группа устройств: Рабочие станции пользователей (Windows)
- Тип ОС: Windows
Для кого эта политика:
- Для всех сотрудников
Компоненты
|
Компонент |
Статус |
Описание |
|
Kaspersky Security Network |
Включен |
Проверка по облачной базе Kaspersky |
|
Поведенческий анализ |
Включен |
Анализ поведения приложений для обнаружения сложных угроз |
|
Защита от экспплойтов |
Включен |
Защита от приложений, эксплуатирующих уязвимости в ПО |
|
Предотвращение вторжений |
Включен |
Регулятор активности, совершаемую приложениями в системе |
|
Откат вредоносных действий |
Включен |
Сбор информации о подозрительных действиях ПО, в рамках текущей и предыдущих сессий. Для возможности отмены совершенных приложением действий |
|
Файловый антивирус |
Включен |
Проверка файловой системы |
|
Веб Антивирус |
Включен |
Проверка HTTP/HTTPS-трафика |
|
Почтовый антивирус |
Включен |
Анализ почтового трафика |
|
Сетевой экран |
Включен |
Firewall |
|
Защита от сетевых угроз |
Включен |
Защита от подозрительной сетевой активности |
|
Защита от атак BadUSB |
Выключен |
Защита от использования USB-устройств, имитирующих поведение клавиатур |
|
AMSI-защита |
Включен |
Antimalware Scan Interface от Microsoft (проверка скриптов PS и макросов MS Office) |
|
Endpoint Detection and Response (KATA) |
Выключен |
EDR |
|
Контроль приложений |
Включен |
Контроль запускаемых приложений (черный и белый списки) |
|
Контроль устройств |
Включен |
Контроль подключенных и внешних устройств |
|
Веб-контроль |
Включен |
Контроль доступа пользователей к веб-ресурсам |
|
Контроль аномалий |
Включен |
Контроль действий, не характерных для компьютеров в сети на основе типичных сценариев вредоносной активности |
|
Контроль целостности системы |
Включен |
Контроль изменений файлов в системе, реестра и подключения к компьютеру внешних устройств |
|
Шифрование данных |
Выключен |
Общие настройки шифрования, полное шифрование дисков, внешних устройств и файлов |
|
Интеграция с KUMA |
Выключен |
Интеграция с SIEM системой |
|
Режим легкого агента |
Выключен |
Серверный вариант использования, с выносом активных компонентов на SVM сервер |
|
Профили политики |
Обсуждаемое |
Привязка политики к компьютерам в соответствии с группами в AD |
Общие
- Состояние политики: Активная
- Наследование параметров: Наследовать параметры родительской политики - снять галку
Настройка событий
- Регистрация событий
- Хранить в базе данных Сервера администрирования в течении (сут) - до 30
- Экспортировать в SIEM-систему по протоколу Syslog - выключить
- События политики
|
Тип события |
Время хранения на KSC |
Отправка в SIEM |
|
:drop_of_blood: Критические события |
Да :tick: / Нет :cross: |
|
|
Нарушено лицензионное соглашение |
30 дней |
:cross: |
|
Срок действия лицензии почти истек |
Не хранить |
:cross: |
|
Базы повреждены или отсутствуют |
Не хранить |
:cross: |
|
Базы сильно устарели |
Не хранить |
:cross: |
|
Авто запуск приложения выключен |
30 дней |
:cross: |
|
Ошибка активации |
30 дней |
:cross: |
|
Обнаружена активная угроза. Требуется запуск процедуры лечения активного заражения. |
30 дней |
:cross: |
|
Серверы KSN недоступны |
30 дней |
:cross: |
|
Недостаточно места в хранилище карантина |
30 дней |
:cross: |
|
Объект не восстановлен из карантина |
30 дней |
:cross: |
|
Объект не удален из карантина |
30 дней |
:cross: |
|
Приложение установило соединение с сайтом с недоверенным сертификатом |
30 дней |
:cross: |
|
Возникла ошибка проверки зашифрованного соединения. Домен добавлен в список исключений |
30 дней |
:cross: |
|
Достигнуто ограничение на количество событий, отправляемых в Kaspersky Security Center |
15 дней |
:cross: |
|
Обнаружен вредоносный объект (локальные базы) |
30 дней |
:cross: |
|
Обнаружен вредоносный объект (KSN) |
30 дней |
:cross: |
|
Лечение невозможно |
30 дней |
:cross: |
|
Невозможно удалить |
30 дней |
:cross: |
|
Ошибка обработки |
Не хранить |
:cross: |
|
Процесс завершен |
30 дней |
:cross: |
|
Невозможно завершить процесс |
Не хранить |
:cross: |
|
Остановлен переход на сайт |
30 дней |
:cross: |
|
Открыта опасная ссылка |
30 дней |
:cross: |
|
Обнаружена ранее открытая опасная ссылка |
30 дней |
:cross: |
|
Действие процесса заблокировано |
30 дней |
:cross: |
|
Адаптивный контроль аномалий: отключено срабатывание правил для учетных записей с неустановленным идентификатором безопасности (SID) |
30 дней |
:cross: |
|
Клавиатура не авторизована |
5 дней |
:cross: |
|
AMSI-запрос заблокирован |
30 дней |
:cross: |
|
Сетевая активность запрещена |
30 дней |
:cross: |
|
Обнаружена сетевая атака |
30 дней |
:cross: |
|
Запуск приложения запрещен |
30 дней |
:cross: |
|
Запрещенный процесс был запущен до старта KES |
30 дней |
:cross: |
|
Контроль приложений: отключено срабатывание правил для учетных записей с неустановленным идентификатором безопасности (SID) |
30 дней |
:cross: |
|
Доступ запрещен (локальные базы) |
30 дней |
:cross: |
|
Доступ запрещен (KSN) |
30 дней |
:cross: |
|
Веб-контроль: отключено срабатывание правил для учетных записей с неустановленным идентификатором безопасности (SID) |
30 дней |
:cross: |
|
Операция с устройством запрещена |
30 дней |
:cross: |
|
Сетевое соединение заблокировано |
30 дней |
:cross: |
|
Контроль устройств: отключено срабатывание правил для учетных записей с неустановленным идентификатором безопасности (SID) |
30 дней |
:cross: |
|
Ошибка обновления компонента |
Не хранить |
:cross: |
|
Ошибка копирования обновлений компонента |
Не хранить |
:cross: |
|
Локальная ошибка обновлений |
Не хранить |
:cross: |
|
Сетевая ошибка обновлений |
Не хранить |
:cross: |
|
Невозможен запуск двух задач одновременно |
5 дней |
:cross: |
|
Ошибка проверки баз и модулей приложения |
30 дней |
:cross: |
|
Ошибка взаимодействия с Kaspersky Security Center |
30 дней |
:cross: |
|
Обновлены не все компоненты |
30 дней |
:cross: |
|
Обновление завершено успешно, а копирование обновлений закончено с ошибкой |
Не хранить |
:cross: |
|
Внутренняя ошибка задачи |
Не хранить |
:cross: |
|
Ошибка установки патча |
30 дней |
:cross: |
|
Ошибка отката патча |
30 дней |
:cross: |
|
Ошибка применения правил шифрования / расшифровки файлов |
Не хранить |
:cross: |
|
Ошибка шифрования / расшифровки файлов |
Не хранить |
:cross: |
|
Заблокирован доступ к файлу |
Не хранить |
:cross: |
|
Ошибка активации портативного режима |
30 дней |
:cross: |
|
Ошибка деактивации портативного режима |
30 дней |
:cross: |
|
Ошибка создания зашифрованного архива |
30 дней |
:cross: |
|
Ошибка шифрования / расшифровки устройства |
Не хранить |
:cross: |
|
Не удалось загрузить модуль шифрования |
Не хранить |
:cross: |
|
Задача управления учетными записями Агента аутентификации завершилась с ошибкой |
30 дней |
:cross: |
|
Политика не может быть применена |
30 дней |
:cross: |
|
Обновление функциональности шифрования завершено с ошибкой |
Не хранить |
:cross: |
|
Откат обновления функциональности шифрования завершен с ошибкой |
Не хранить |
:cross: |
|
Сервер Kaspersky Anti Targeted Attack Platform недоступен |
Не хранить |
:cross: |
|
Ошибка удаления объекта |
30 дней |
:cross: |
|
Объект не помещен на карантин (Sandbox) |
Не хранить |
:cross: |
|
Возникла внутренняя ошибка |
30 дней |
:cross: |
|
Ошибка отправки задачи проверки в Sandbox пользователем |
Не хранить |
:cross: |
|
Сертификат сервера Sandbox не действителен |
Не хранить |
:cross: |
|
Узел Sandbox не доступен |
Не хранить |
:cross: |
|
Обработка объекта в Sandbox завершилась ошибкой |
Не хранить |
:cross: |
|
Превышена допустимая нагрузка на Sandbox |
Не хранить |
:cross: |
|
IOC обнаружен |
Не хранить |
:cross: |
|
Возникла ошибка при проверке лицензии Sandbox |
Не хранить |
:cross: |
|
Ошибка создания задачи Sandbox |
Не хранить |
:cross: |
|
Сертификат клиента Sandbox не действителен |
Не хранить |
:cross: |
|
Не удалось сконвертировать сертификат клиента Sandbox |
Не хранить |
:cross: |
|
Запрещен запуск объекта |
30 дней |
:cross: |
|
Объект не заблокирован |
30 дней |
:cross: |
|
Запуск объекта не заблокирован |
30 дней |
:cross: |
|
Запуск процесса не заблокирован |
30 дней |
:cross: |
|
Выполнение скрипта не заблокировано |
30 дней |
:cross: |
|
Объект не помещен на карантин (EDR) |
Не хранить |
:cross: |
|
Обнаружена возможная попытка взлома пароля с помощью подбора |
30 дней |
:cross: |
|
Обнаружены признаки компрометации журналов Windows |
30 дней |
:cross: |
|
Обнаружена подозрительная активность со стороны новой установленной службы |
30 дней |
:cross: |
|
Обнаружена подозрительная аутентификация с явным указанием учетных записей |
30 дней |
:cross: |
|
Обнаружены признаки атаки Kerberos forged PAC (MS14-068) |
30 дней |
:cross: |
|
Обнаружены подозрительные изменения привилегированной группы Администраторы |
30 дней |
:cross: |
|
Обнаружена подозрительная активность во время сетевого сеанса входа |
30 дней |
:cross: |
|
Сработало правило Анализа журналов |
30 дней |
:cross: |
|
Подозрительное событие повторяется слишком часто. Запущено формирование агрегированных событий. |
30 дней |
:cross: |
|
Отчет о подозрительном событии за период агрегации |
30 дней |
:cross: |
|
Анализ журналов: отключено срабатывание правил для учетных записей с неустановленным идентификатором безопасности (SID) |
30 дней |
:cross: |
|
Ошибка подключения к серверу Kaspersky Anti Targeted Attack Platform |
Не хранить |
:cross: |
|
Некорректный сертификат сервера Kaspersky Anti Targeted Attack Platform |
Не хранить |
:cross: |
|
Некорректный сертификат агента на сервере Kaspersky Anti Targeted Attack Platform |
Не хранить |
:cross: |
|
Обнаружено изменение файла или папки |
30 дней |
:cross: |
|
Объект изменяется слишком часто. Запущено формирование агрегированных событий |
30 дней |
:cross: |
|
Отчет об изменениях объекта за период агрегации |
30 дней |
:cross: |
|
Область мониторинга содержит некорректные объекты |
30 дней |
:cross: |
|
Попыток выполнения запрещенных действий с объектом слишком много. Запущено формирование агрегированных событий |
30 дней |
:cross: |
|
Контроль целостности системы: отключено срабатывание правил для учетных записей с неустановленным идентификатором безопасности (SID) |
30 дней |
:cross: |
|
Ошибка подключения к серверу NDR |
Не хранить |
:cross: |
|
Некорректный сертификат сервера NDR |
Не хранить |
:cross: |
|
Некорректный сертификат агента на сервере NDR |
Не хранить |
:cross: |
|
Не удалось получить данные о проекте ПЛК |
Не хранить |
:cross: |
|
Не удалось сравнить проект ПЛК с эталонным |
Не хранить |
:cross: |
|
Отсутствуют доступные для подключения SVM |
Не хранить |
:cross: |
|
Обнаружен вредоносный объект. Требуется запуск процедуры лечения активного заражения на шаблоне виртуальной машины |
30 дней |
:cross: |
|
Ошибка подключения к серверу KUMA |
Не хранить |
:cross: |
|
Некорректный сертификат сервера KUMA |
Не хранить |
:cross: |
|
Некорректный сертификат агента на сервере KUMA |
Не хранить |
:cross: |
|
Ваше устройство подключено к недоверенному Серверу администрирования. Обратитесь к администратору вашей организации |
30 дней |
:cross: |
|
:cross: Отказ функционирования |
Да :tick: / Нет :cross: |
|
|
Не удалось выполнить задачу |
Не хранить |
:cross: |
|
Ошибка в настройках задачи. Настройки задачи не применены |
30 дней |
:cross: |
|
Ошибка обработки (Контроль целостности системы) |
30 дней |
:cross: |
|
:warning: Предупреждение |
Да :tick: / Нет :cross: |
|
|
Срок действия лицензии скоро истекает |
Не хранить |
:cross: |
|
Базы устарели |
Не хранить |
:cross: |
|
Автоматическое обновление выключено |
30 дней |
:cross: |
|
Самозащита приложения выключена |
30 дней |
:cross: |
|
Компоненты защиты выключены |
Не хранить |
:cross: |
|
Компьютер работает в безопасном режиме |
Не хранить |
:cross: |
|
Есть необработанные файлы |
Не хранить |
:cross: |
|
Применена групповая политика |
Не хранить |
:cross: |
|
Задача остановлена |
Не хранить |
:cross: |
|
Для завершения обновления необходимо перезапустить приложение |
30 дней |
:cross: |
|
Необходима перезагрузка компьютера |
30 дней |
:cross: |
|
Установлены не все компоненты приложения, которые позволяет использовать лицензия |
10 дней |
:cross: |
|
Запущена процедура лечения активного заражения |
30 дней |
:cross: |
|
Процедура лечения активного заражения завершена |
30 дней |
:cross: |
|
Некорректный резервный ключ |
10 дней |
:cross: |
|
Подписка скоро истекает |
10 дней |
:cross: |
|
Объект не восстановлен из резервного хранилища |
10 дней |
:cross: |
|
Обнаружена подозрительная сетевая активность |
30 дней |
:cross: |
|
Защищенное соединение разорвано |
10 дней |
:cross: |
|
Установлено соединение с сайтом с недоверенным сертификатом по решению пользователя |
30 дней |
:cross: |
|
Участие в KSN выключено |
30 дней |
:cross: |
|
Обработка приложением некоторых функций ОС отключена |
30 дней |
:cross: |
|
В хранилище карантина скоро закончится место |
30 дней |
:cross: |
|
Соединение разблокировано |
10 дней |
:cross: |
|
Ошибка при удалении предыдущей версии приложения |
10 дней |
:cross: |
|
Настройки операционной системы не позволяют контролировать доступ к сетям Wi-Fi |
10 дней |
:cross: |
|
Не удалось установить обновление приложения |
30 дней |
:cross: |
|
Невозможно создать резервную копию объекта |
10 дней |
:cross: |
|
Объект не обработан |
30 дней |
:cross: |
|
Объект зашифрован |
30 дней |
:cross: |
|
Объект поврежден |
30 дней |
:cross: |
|
Обнаружено легальное приложение, которое может быть использовано злоумышленниками для нанесения вреда компьютеру или данным пользователям (локальная база) |
30 дней |
:cross: |
|
Обнаружено легальное приложение, которое может быть использовано злоумышленниками для нанесения вреда компьютеру или данным пользователям (KSN) |
30 дней |
:cross: |
|
Объект удален |
30 дней |
:cross: |
|
Объект вылечен |
30 дней |
:cross: |
|
Откат выполнен |
30 дней |
:cross: |
|
Запрещено |
30 дней |
:cross: |
|
Ошибка авторизации клавиатуры |
30 дней |
:cross: |
|
:information: Информационное сообщение |
Да :tick: / Нет :cross: |
|
|
Самозащита ограничила доступ к защищаемому ресурсу |
Не хранить |
:cross: |
|
Отчет очищен |
Не хранить |
:cross: |
|
Групповая политика деактивированна |
Не хранить |
:cross: |
|
Изменены настройки приложения |
Не хранить |
:cross: |
|
Задача запущена |
Не хранить |
:cross: |
|
Задача приостановлена |
Не хранить |
:cross: |
|
Задача завершена |
Не хранить |
:cross: |
|
Все компоненты приложения, которые допускает лицензия, установлены и работают в нормальном режиме |
Не хранить |
:cross: |
|
Параметры подписки были изменены |
Не хранить |
:cross: |
|
Подписка была продлена |
Не хранить |
:cross: |
|
Объект восстановлен из резервного хранилища |
Не хранить |
:cross: |
|
Ввод имени пользователя и пароля |
Не хранить |
:cross: |
|
Получен доступ к защищаемой области |
Не хранить |
:cross: |
|
Участие в KSN включено |
Не хранить |
:cross: |
|
Серверы KSN недоступны |
10 дней |
:cross: |
|
Приложение работает и обрабатывает данные в соответствии с местным законодательством и использует локальную инфраструктуру |
Не хранить |
:cross: |
|
Объект восстановлен из карантина |
10 дней |
:cross: |
|
Объект удален из карантина |
10 дней |
:cross: |
|
Создана резервная копия объекта |
10 дней |
:cross: |
|
Объект перезаписан вылеченной ранее копией |
10 дней |
:cross: |
|
Обнаружен защищенный паролем архив |
10 дней |
:cross: |
|
Информация об обнаруженном объекте |
Не хранить |
:cross: |
|
Объект находится в списке разрешенных в Kaspersky Private Security Network |
Не хранить |
:cross: |
|
Объект переименован |
Не хранить |
:cross: |
|
Ссылка находится в списке разрешенных в Kaspersky Private Security Network |
Не хранить |
:cross: |
|
Приложение помещено в группу доверенных приложений |
10 дней |
:cross: |
|
Приложение помещено в группу с ограничениями |
10 дней |
:cross: |
|
Сработал компонент Предотвращение вторжений |
30 дней |
:cross: |
|
Файл восстановлен |
10 дней |
:cross: |
|
Значение реестра восстановлено |
10 дней |
:cross: |
|
Значение реестра удалено |
10 дней |
:cross: |
|
Действие процесса пропущено |
10 дней |
:cross: |
|
Клавиатура авторизована |
Не хранить |
:cross: |
|
Сетевая активность разрешена |
Не хранить |
:cross: |
|
Запуск приложения запрещен в тестовом режиме |
Не хранить |
:cross: |
|
Запуск приложения разрешен в тестовом режиме |
Не хранить |
:cross: |
|
Открыта разрешенная страница |
Не хранить |
:cross: |
|
Операция с устройством разрешена |
Не хранить |
:cross: |
|
Выполнена операция с файлом |
Не хранить |
:cross: |
|
Выбран источник обновления |
Не хранить |
:cross: |
|
Нет доступных обновлений |
Не хранить |
:cross: |
|
Копирование обновлений успешно завершено |
Не хранить |
:cross: |
|
Началось применение правил шифрования / расшифровки файлов |
Не хранить |
:cross: |
|
Завершено применение правил шифрования / расшифровки файлов |
Не хранить |
:cross: |
|
Загружен модуль шифрования |
Не хранить |
:cross: |
|
Создана новая учетная запись Агента утентификации |
Не хранить |
:cross: |
|
Удалена учетная запись Агента аутентификации |
Не хранить |
:cross: |
|
Изменен пароль для учетной записи Агента аутентификации |
Не хранить |
:cross: |
|
Успешная аутентификация в Агенте аутентификации |
Не хранить |
:cross: |
|
Аутентификация в Агенте аутентификации завершилась с ошибкой |
Не хранить |
:cross: |
|
Получен доступ к жесткому диску с помощью процедуры запроса доступа к зашифрованным устройствам |
Не хранить |
:cross: |
|
Попытка получения доступа к жесткому диску с помощью процедуры запроса доступа к зашифрованным устройствам завершилась с ошибкой |
Не хранить |
:cross: |
|
Учетная запись не добавлена. Такая учетная запись уже существует |
Не хранить |
:cross: |
|
Учетная запись не изменена. Такая учетная запись не существует |
Не хранить |
:cross: |
|
Учетная запись не удалена. Такая учетная запись не существует |
Не хранить |
:cross: |
|
Обновление функциональности шифрования завершено успешно |
Не хранить |
:cross: |
|
Откат обновления функциональности шифрования завершен успешно |
Не хранить |
:cross: |
|
Не удалось удалить драйверы для компонента Шифрование диска Kaspersky из образа среды восстановления Windows |
Не хранить |
:cross: |
|
Ключ восстановления для BitLocker изменен |
Не хранить |
:cross: |
|
Пароль / PIN-код для BitLocker изменен |
Не хранить |
:cross: |
|
Ключ восстановления BitLocker был сохранен на съемный диск |
Не хранить |
:cross: |
|
Задачи с сервера Kaspersky Anti Targeted Attack Platform не обрабатываются |
Не хранить |
:cross: |
|
Компонент Endpoint Sensor подключен к серверу |
Не хранить |
:cross: |
|
Связь с сервером Kaspersky Anti Targeted Attack Platform восстановлена |
Не хранить |
:cross: |
|
Задачи с сервера Kaspersky Anti Targeted Attack Platform обрабатываются |
Не хранить |
:cross: |
|
Запуск клиентского приложения облачной службы разрешен |
10 дней |
:cross: |
|
Доступ к облачной службе разрешен |
10 дней |
:cross: |
|
Объект удален |
30 дней |
:cross: |
|
Статистика задачи удаления |
10 дней |
:cross: |
|
Объект помещен на карантин (Sandbox) |
Не хранить |
:cross: |
|
Объект удален (Sandbox) |
Не хранить |
:cross: |
|
Задача проверки успешно отправлена в Sandbox пользователем |
Не хранить |
:cross: |
|
Запущен поиск IOC |
Не хранить |
:cross: |
|
Завершен поиск IOC |
Не хранить |
:cross: |
|
Объект помещен на карантин (Endpoint Detection and Response) |
Не хранить |
:cross: |
|
Объект удален (Endpoint Detection and Response) |
Не хранить |
:cross: |
|
Успешное подключение к серверу Kaspersky Anti Targeted Attack Platform |
Не хранить |
:cross: |
|
Обнаружено изменение файла или папки |
Не хранить |
:cross: |
|
Объект изменяется слишком часто. Запущено формирование агрегированных событий |
15 дней |
:cross: |
|
Отчет об изменениях объекта за период агрегации |
15 дней |
:cross: |
|
Область мониторинга содержит некорректные объекты |
15 дней |
:cross: |
|
Снимок состояния системы создан |
10 дней |
:cross: |
|
Снимок состояния системы обновлен |
10 дней |
:cross: |
|
Успешное подключение к серверу NDR |
Не хранить |
:cross: |
|
Подключение к Серверу интеграции было восстановлено |
10 дней |
:cross: |
|
Соединение с SVM установлено |
Не хранить |
:cross: |
|
Успешное подключение к серверу KUMA |
10 дней |
:cross: |
|
Сервер администрирования, к которому подключено ваше устройство, стал доверенным |
10 дней |
:cross: |
|
Ваше устройство подключено к новому доверенному Серверу Администрирования |
10 дней |
:cross: |
|
Сервер администрирования, к которому подключено ваше устройство, перестал быть доверенным |
10 дней |
:cross: |
|
Состав приложения успешно изменен |
Не хранить |
:cross: |
|
Асинхронное обнаружение Sandbox |
Не хранить |
:cross: |
|
Отчет о событиях облачной службы за период агрегации |
10 дней |
:cross: |
|
Устройство подключено |
Не хранить |
:cross: |
|
Устройство отключено |
Не хранить |
:cross: |
Продвинутая защита
Kaspersky Security Network
Описание: Репутационная облачная база Лаборатории Касперского. В базе содержится информация о репутации файлов, интернет ресурсов, ПО.
- Kaspersky Security Network - включено
- Расширенный режим KSM - включено
Настройка KSN:
- Включить облачный режим - включено
- Статус компьютера при недоступности серверов KSN - Предупреждение
- При выключенном облачном режиме: Предупреждение
Настройки KSN Proxy
- Использовать Сервер администрирования как прокси-сервер KSN - включено
- Использовать серверы Kaspersky Securoty Network, если прокси-сервер KSN недоступен - включено
Анализ поведения
Описание: Анализ поведения приложений, и обнаружение сложных угроз, таких как приложения-вымогатели.
Действие при обнаружении вредоносной активности: Удалить
Защита папок общего доступа от внешнего шифрования:
- Защита папки общего доступа - включено
- Блокировать соединение - 60 мин.
Области защиты:
- Папки общего доступа - Все общие сетевые папки защищаемого устройства
- Исключения по имени или IP адресу - по необходимости
- Исключения по маске - по необходимости
Защита от эксплойтов
Описание: Блокировка действий вредоносных приложений, которые используют уязвимости ПО
Защита от эксплойтов - включено
При обнаружении эксплойта
- Блокировать
Защита памяти системных процессов
- Включить защиту памяти системных процессов - включено
Предотвращение вторжений
Описание: Регистрация активности, совершаемой приложениями в системе, и регулировка деятельности приложений в зависимости от их статуса.
Предотвращение вторжений - включено
Права приложений и защищаемые ресурсы
Настройка прав приложений для политики (по умолчанию)
|
Приложение |
Ограничения |
||||||||||||||||||||||||||||||||||||||||
|
Доверенные |
Файлы и системный реестр - разрешено все Права доступа к процессам и изменению системы - разрешено все Сетевые правила - разрешено все |
||||||||||||||||||||||||||||||||||||||||
|
Слабые ограничения |
Файлы и системный реестр - разрешено все Права: (запрещено)
Сетевые правила - разрешено все |
||||||||||||||||||||||||||||||||||||||||
|
Сильные ограничения |
Файлы и системный реестр:
Запрещены права:
Сетевые правила: Запрещено все |
||||||||||||||||||||||||||||||||||||||||
|
Не доверенные |
Файлы и системный реестр - запрещено все Права доступа к процессам и изменению системы - запрещено все Сетевые правила - запрещено все |
Защищаемые ресурсы
По умолчанию
Правила обработки приложений:
- Обновлять правила для ранее неизвестных приложений из базы KSN - включено
- Доверять приложениям, имеющим цифровую подпись - включено
- Удалять правила приложений, не запускавшихся более 60 дней - включено
- Группа доверия для приложений, которые не удалось распределить по другим группам - Слабые ограничения
Откат вредоносных действий: включено
Базовая защита
Защита от файловых угроз
Описание: Проверка всех открываемых, запускаемых и сохраняемых файлов
- Уровень безопасности: Рекомендуемый
- Машинное обучение и сигнатурный анализ - включено
- Эвристический анализ - включено (Поверхностный)
- Оптимизация - Проверять только новые и измененные файлы - включено
- Проверка составных файлов
- Распаковывать составные файлы в фоновом режиме - выключено
- Не распаковывать составные файлы большего размера - 8 Мб
- Проверять архивы - выключено
- Проверять дистрибутивы - выключено
- Проверять файлы офисных форматов - включено
- Проверять файлы почтовых форматов - включено
- Дополнительно:
- Дополнительно
- По расписанию - выключено
- При запуске приложений - выключено
- Останавливать контейнеры, если лечение невозможно - выключено
- Не проверять файловые операции, исполняемые в контейнерах Windows - выключено
- Режим проверки: Интеллектуальный
- Технологии проверки: iSwift - включено
- Технологии проверки: iChecker - включено
- Приостановка защиты от файловых угроз
- Проверка файловых операций, исполняемых в контейнерах Windows
- Общие - Файлы, проверяемые по формату
- Области защиты - все диски
- Производительность
- Лечить. Удалять, если лечение невозможно
Защита от веб-угроз
Описание: Проверяет входящий веб-трафик и предотвращает запуск опасных скриптов
·
- Уроверь безопасности: Рекомендуемый
- Общие - Проверять веб-адрес по базе вредоносных веб-адресов - включено
- Общие - Использовать эвристический анализ - включено (средний)
- Анти-Фишинг - Проверять веб-адреса по базе фишинговых веб-адресов - включено
- Анти-Фишинг - Использовать эвристический анализ - включено
- Доверенные веб-адреса:
- Не проверять веб-трафик с доверенных веб-адресов: *.serbsky.lan, *.serbsky.ru
- Действия при обнаружении угрозы: Блокировать
Защита от почтовых угроз
Описание: Проверка почты на наличие опасных объектов
- Уровень безопасности: Рекомендуемый
- Проверять трафик POP3, SMTP, NNTP, IMAP - включено
- Подключать расширение для Microsoft Outlook - включено
- Проверять вложенные архивы - включено
- Проверять вложенные файлы офисных форматов - включено
- Не проверять архивы размером более - 8Мб
- Переименовывать вложения указанных типов
- *.cmd
- *.com
- *.exe
- *.js
- *.jse
- *.msi
- *.scr
- *.vbe
- *.vbs
- Эвристический анализ - включено (средний)
- Общие - Область защиты - Входящие и исходящие сообщения
- Общие - Встраивание в систему
- Проверка составных файлов
- Фильтр вложений
- Дополнительно
- Действия при обнаружении угрозы: Лечить. Удалять, если лечение невозможно.
Сетевой экран
Описание: Компонент фильтрует всю сетевую активность в соответствии с правилами
- Сетевые правила приложений (по умолчанию)
|
Приложение |
Сеть |
Группа |
Разрешения |
||||||||||||||||||||||||||||||||||||||||
|
Доверенные |
:tick: |
Доверенные |
Файлы и системный реестр - разрешено все Права доступа к процессам и изменению системы - разрешено все Сетевые правила - разрешено все |
||||||||||||||||||||||||||||||||||||||||
|
Слабые ограничения |
:tick: |
Слабые ограничения |
Файлы и системный реестр - разрешено все Права: (запрещено)
Сетевые правила - разрешено все |
||||||||||||||||||||||||||||||||||||||||
|
Сильные ограничения |
:cross: |
Сильные ограничения |
Файлы и системный реестр:
Запрещены права:
Сетевые правила: Запрещено все |
||||||||||||||||||||||||||||||||||||||||
|
Не доверенные |
:cross: |
Не доверенные |
Файлы и системный реестр - запрещено все Права доступа к процессам и изменению системы - запрещено все Сетевые правила - запрещено все |
- Сетевые пакетные правила
|
Включено |
Сетевая служба |
Настройки |
Разрешение |
Адрес |
|
Включено |
Запросы к серверу DNS по TCP |
Исходящее TCP/53 |
:tick: |
Любые |
|
Включено |
Запросы к серверу DNS по UDP |
Исходящее UDP/53 |
:tick: |
Любые |
|
Включено |
Отправка электронных писем |
Исходящие TCP/25,465,143,993 |
:tick: |
Любые |
|
Включено |
Любая сетевая активность |
any |
:tick: |
Локальные сети |
|
Включено |
Любая сетевая активность |
any |
:tick: |
Доверенные сети |
|
Включено |
Сетевая активность для работы технологии удаленного рабочего стола |
Входящие TCP/3389 |
:tick: |
Доверенные сети |
|
Включено |
Соединения по протоколу TCP через локальные порты |
Входящие TCP/135, 137, 138, 139, 445, 1110, 2869, 19780 |
:cross: |
Любые |
|
Включено |
Соединения по протоколу UDP через локальные порты |
Входящие UDP/123, 135, 137, 138, 139, 445 |
:cross: |
Любые |
|
Включено |
Входящая активность по протоколу TCP |
Входящие TCP |
:tick: |
Любые |
|
Включено |
Входящая активность по протоколу UDP |
Входящие UDP |
:tick: |
Любые |
|
Включено |
Входящие ответы ICMP Destination Unreachable |
Входящие ICMP |
:tick: |
Любые |
|
Включено |
Входящие пакеты ICMP Echo Reply |
Входящие ICMP |
:tick: |
Любые |
|
Включено |
Входящие ответы ICMP Time Exceeded |
Входящие ICMP |
:tick: |
Любые |
|
Включено |
Входящая активность по протоколу ICMP |
Входящие ICMP |
:cross: |
Любые |
|
Включено |
Входящие пакеты ICMPv6 Echo Request |
Входящие ICMPv6 |
:cross: |
Любые |
|
Включено |
Входящие подключения на 445 SMB |
Входящее TCP/445 |
:cross: |
Любые |
|
Включено |
Входящие подключения на 445 SMB |
Входящее UDP/445 |
:cross: |
Любые |
- Сети
Важно заполнить!
|
Название |
Статус |
IP-адрес/Сеть |
|
Локальная сеть |
||
|
Публичная сеть |
||
|
Доверенная сеть |
Защита от сетевых угроз
Описание: Защита от опасной сетевой активности
- Настройка защиты от сетевых угроз
- Считать атаками сканирование портов и интенсивные сетевые запросы - выключить
- Блокировать атакующие устройства на 60 мин - включить
- Исключения - RedCheck
- Режим защиты от MAC-спуффинга: Не отслеживать MAC-спуфинг
Защита от атак BadUSB
Выключить
AMSI-защита
Описание: Проверка других приложений, таких как макросы Microsoft Office или скрипты PowerShell через интерфейс AMSI
- Проверка составных файлов
- Проверять архивы - выключить
- Проверять дистрибутивы - выключить
- Проверять файлы офисных форматов - включить
- Не распаковывать составные файлы большого размера - включить
- Максимальный размер файла: 8 Мб
Detection And Response
Endpoint Sensor
Выключено
Managed Detection and Response
Выключено
Endpoint Detection and Response (KATA)
Выключено
Network Detection and Response (KATA)
Выключено
Контроль безопасности
Анализ журналов
Описание: Мониторинг журналов Windows на предмет подозрительной активности
- Предустановленные правила: включить все
- Пользовательские правила:
- Application popup detection 26
- Служба была установлена в системе 7045
- Создана задача в планировщике событий 4696, 602
- Создание новой учетной записи 4720
- Добавление пользователя в привилегированную группу 4728
- Добавление в локальную группу 4732
- Изменение имени учетной записи 4781
- Очистка журнала событий 1102
Контроль приложений - Нужен список
- Режим контроля: Список запрещенных
·
- Действие: Тестировать правила
- Использовать строгую проверку цифровой подписи - включить
Создать сетевую шару, исключительно для доступа KSC
Создать категорию приложений. Выбрать вариант "Категория, в которую входят исполняемые файлы приложений, копируемых в указанную папку, обрабатываются автоматически, и их метрики заносятся в категорию"
Указать это "Хранилище"
- Включать в категорию динамически подключаемые библиотеки DLL - выключить
- Включать в категорию данные о скриптах - выключить
- Вычислять SHA256 для файлов категории - включить
- Вычислять MD5 для файлов категории - выключить
- Принудительно проверять папку на наличие изменений - 12ч.
Положить в папку ПО :
- AnyDesk
- TeamViewer
- Ammyy Admin
- UltraVNC
- AeroAdmin
- Radmin Server
- uTorrent
- qBittorrent
- BitTorrent
- DC++
- Cheat Engine
- KMSpico
- RatiborusKMS
- KMSAuto
- Discord
- Steam
Контроль устройств
|
Устройство |
Доступ |
|
Жесткие диски |
:tick: |
|
Съемные диски |
:tick: |
|
Локальные принтеры |
:tick: |
|
Дискеты |
:cross: |
|
CD/DVD-приводы |
:cross: |
|
Модемы |
:cross: |
|
Стримеры |
:cross: |
|
Многофункциональные устройства |
:tick: |
|
Устройства чтения смарт-карт |
:tick: |
|
Widows CE USB ActiveSync устройства |
:cross: |
|
Wi-Fi |
:tick: |
|
Внешние сетевые адаптеры |
:tick: |
|
Портативные устройства MTP |
:tick: |
|
Bluetooth |
:tick: |
|
Камеры и сканеры |
:tick: |
|
Сетевые принтеры |
:tick: |
|
Шины подключения |
|
|
Инфракрасный порт |
:cross: |
|
Последовательный порт |
:tick: |
|
Параллельный порт |
:tick: |
|
USB (Кроме мышей и клавиатур) |
:tick: |
|
FireWire |
:cross: |
|
PCMCIA |
:cross: |
- Разрешить запрашивать временный доступ - включить
- Анти-Бриджинг - выключить
Веб-Контроль
- Настройки веб-контроля
- Криптовалюты, майнинг
- Торренты
- Для взрослых
- Запрещено законодательством Российской Федерации
- Фильтр по категориям: запретить
Адаптивный контроль аномалий: Включить
Контроль целостности системы
- Режим работы блокирующих правил: Информировать
- Контролировать целостность системы в режиме реального времени - включить
- Мониторинг файла hosts
- Следить за устройствами - включить
- Уровень важности событий: Предупреждение (надо смотреть логи после включения)
- Следить за файлами и реестром - включить
- Как пример:
Шифрование данных
Не используется
Локальные задачи
Управление задачами
- Разрешить использование локальных задач - включено
- Разрешить отображение групповых задач - включено
- Разрешить управление групповыми задачами - выключено
Проверка из контекстного меню
- Уровень безопасности: Рекомендуемый
- Типы файлов: Файлы, проверяемые по формату
- Проверять только новые и измененные файлы - включить
- Пропускать файлы, если их проверка длится более - 30с
- Проверять все архивы - включить
- Проверять все дистрибутивы - выключено
- Проверять все файлы офисных форматов - включить
- Проверять файлы почтовых форматов - включить
- Проверять архивы, защищенные паролем - выключено
- Дополнительно - Не распаковывать составные файлы большого размера - 100МБ
- Дополнительно
- Эвристический анализ: средний
- Технология проверки iSwift - включить
- Технология проверки iChecker - включить
- Действие при обнаружении угроз: Лечить. Удалят, если лечение невозможно
Проверка съемных дисков
- Действие при подключении съемного диска: Быстрая проверка
- Максимальный размер съемного диска: 16384
- Отображать ход проверки - включить
- Запретить остановку задачи проверки - выключено
Фоновая проверка
- Включить фоновую проверку - включить
Режим легкого агента
Не используется
Интеграция с KUMA
Выключить
Общие настройки
Настройки приложения
- Общие
- Запускать приложение при включении компьютера - включить
- Применять технологию лечения активного заражения - выключить
- Использовать Kaspersky Security Center в качестве прокси-сервера для активации - выключить
- Самозащита
- Включить самозащиту - включить
- Блокировать внешнее управление службами приложения - включить
- Производительность
- Откладывать задачи по расписанию при работе от аккумулятора - включить
- Уступать ресурсы другим приложениям - включить
- Ограничить потребление ресурсов процессора для задачи проверки - выключить
- Отладочная информация
- Включить запись дампов - включить
- Включить защиту файлов дампов и файлов трассировки - включить
- Статус компьютера при применении настроек
- При ошибке применения политики: Критический
- При ошибке выполнения задачи: Предупреждение
- Дополнительные настройки
- Устанавливать обновления приложения без перезагрузки - включить
- Настройки совместимости
- Совместимость с приложениями для удаленного администрирования - выключить
Настройки сети
- Прокси сервер: по умолчанию
- Контролируемые порты: Контролировать только выбранные сетевые порты
- Проверка защищенных соединений:
- Проверять защищенные соединения - включить
- Проверять защищенные соединения по запросу компонентов защиты - включить
- Ограничивать трафик при лимитном подключении - включить
- Внедрять в трафик скрипт взаимодействия с веб-страницами - выключить
- Доверенные адреса
- .serbsky.lan, *.serbsky.ru
- Доверенные приложения
- Пока пусто
- Дополнительные настройки
- Переход на домен с не доверенным сертификатом - Разрешать
- Переход на домен с ошибкой проверки защищенного соединения - Разрешать и добавлять домен в исключения
- Блокировать соединения по протоколу SSL 2.0 - включить
- Блокировать соединения по протоколу TLS 1.0 - включить
- Расшифровывать защищенное соединение с сайтом, использующим EV-сертификат - выключить
Исключения и типы объектов
- Типы обнаруживаемых объектов - включить
- Вирусы и черви - включить
- Троянские приложения - включить
- Вредоносные утилиты - включить
- Рекламные приложения - включить
- Приложения автодозвона - включить
- Упакованные объекты, способ упаковки которых может использоваться для защиты вредоносного кода - включить
- Многократно упакованные объекты - включить
- Легальные приложения, которые могут быть использованы злоумышленниками - выключить
- Исключения из проверки и доверенные приложения - пока нет списка
Отчеты и хранилище
- Отчеты
- Хранить отчеты не более 30 дней
- Ограничить размер файла отчетов до 1024 МБ
- Резервное хранилище
- Хранить объекты не более 30 дней
- Ограничить размер хранилища до - выключить
- Карантин
- Ограничить размер карантина до 200 МБ
- Уведомлять при заполнении карантина на 90%
- Передача данных на Сервер администрирования
- Включить все
Интерфейс
- Взаимодействие с пользователем
- Скрыть раздел Мониторинг активности - выключить
- Отправлять уведомления "Базы устарели", если базы не обновлялись 3 дня
- Отправлять уведомление "Базы сильно устарели", если базы не обновлялись 7 дней
- Отображать пользовательский интерфейс - включить
- Уведомления (надо разбираться с Полиной)
- Статусы: Включить все
- Уведомления о состоянии локальных антивирусных баз
- Защита паролем: Включить (настроить на группу в AD)
- Поддержка пользователей: "В случае возникновения проблем с работой антивируса, просьба обратиться в сервис деск по адресу https://help.serbsky.ru или по телефону хххх)
Профили политик
Нужно обсудить, будем-ли мы мапить группы AD на политики касперского, или просто будем пользоваться структурой Касперского.
Политика KES для Windows Server
Общие
Состояние политики - Активная политика
Наследование параметров
- Наследовать параметры родительской политики - выключить
- Обеспечить принудительное наследование параметров для дочерних политик - выключить
Настройка событий
- Регистрация событий
- Хранить в базе данных Сервера администрирования в течении (сут) - до 30
- Экспортировать в SIEM-систему по протоколу Syslog
- События, которые стоит отправлять в SIEM
|
Тип события |
Время хранения на KSC |
Отправка в SIEM |
|
:drop_of_blood: Критические события |
Да :tick: / Нет :cross: |
|
|
Обнаружен зараженный объект или объект другого типа |
30 дней |
|
|
Обнаружен объект, недоверенный в KSN |
30 дней |
|
|
Обнаружен возможно зараженный объект |
30 дней |
|
|
Обнаружена попытка шифрования |
30 дней |
|
|
Объект не вылечен |
30 дней |
|
|
Объект не удален |
30 дней |
|
|
Объект не обработан |
30 дней |
|
|
Ошибка установки объекта на удаление при перезагрузке |
30 дней |
|
|
Базы программы сильно устарели |
30 дней |
|
|
Срок действия лицензии истек |
30 дней |
|
|
Превышен максимальный размер резервного хранилища |
30 дней |
|
|
Превышен максимальный размер карантина |
30 дней |
|
|
Не применено обновление модулей |
30 дней |
|
|
Не удалось отозвать обновление модулей программы |
30 дней |
|
|
Не удалось выполнить откат последнего обновления баз программы |
30 дней |
|
|
Задача не запущена под указанной учетной записью |
30 дней |
|
|
Заблокировано соединение / Обнаружена почтовая угроза |
30 дней |
|
|
Ошибка подключения интерфейса управления к службам защиты |
30 дней |
|
|
Ошибка создания обработчика запросов на проверку объектов от сетевых хранилищ |
30 дней |
|
|
Ошибка регистрации устройства с Kaspersky Security 11.0.1 для Windows Server в качестве сервера антивирусной защиты для сетевого хранилища |
30 дней |
|
|
Превышено максимальное количество попыток восстановления соединения с сетевым хранилищем |
30 дней |
|
|
Сетевое хранилище разорвало связь с программой |
30 дней |
|
|
Ошибка соединения с сетевым хранилищем |
30 дней |
|
|
Запуск программы запрещен |
30 дней |
|
|
Обнаружено и запрещено недоверенное устройство |
30 дней |
|
|
Сетевой экран заблокировал соединение |
30 дней |
|
|
Сработало правило анализа журналов |
30 дней |
|
|
Обнаружена возможная попытка взлома пароля |
30 дней |
|
|
Обнаружены признаки компрометации журналов Windows |
30 дней |
|
|
В системе установлена новая служба |
30 дней |
|
|
Обнаружена подозрительная аутентификация с явным указанием учетных данных |
30 дней |
|
|
Обнаружены признаки атаки Kerberos forged PAC (MS14-068) |
30 дней |
|
|
Ищменена политика брандмауэра Windows |
30 дней |
|
|
Обнаружены подозрительные изменения привелигерованной группы Администраторы |
30 дней |
|
|
Обнаружена подозрительная активность во время сетевого сеанса входа |
30 дней |
|
|
Запрещенная файловая операция в контролируемой области |
30 дней |
|
|
Обнаружена и заблокирована попытка компрометации журнала USN |
30 дней |
|
|
Файловая система на указанном томе не поддерживается |
30 дней |
|
|
Ошибка модификации хранилища эталонов задачи Мониторинг целостности файлов |
30 дней |
|
|
Несовпадение хеша файлов с эталоном |
30 дней |
|
|
Файл, присутствующий в эталоне, удален |
30 дней |
|
|
Процесс терминирован: обнаружена попытка эксплуатации уязвимости |
30 дней |
|
|
Выполняется уязвимый процесс: обнаружен факт эксплуатации уязвимости |
30 дней |
|
|
:cross: Отказ функционирования |
Да :tick: / Нет :cross: |
|
|
Внутренняя ошибка |
30 дней |
|
|
Не обновлено |
30 дней |
|
|
Нарушено Лицензионное соглашение |
30 дней |
|
|
Нарушено Лицензионное соглашение для задачи |
30 дней |
|
|
Базы программы повреждены |
30 дней |
|
|
Невозможно запустить задачу, область защиты пуста |
30 дней |
|
|
Ошибка сброса статуса устройства с Kaspersky Security 11.0.1 для Windows Server |
30 дней |
|
|
Запуск программы не обработан |
Не хранить |
|
|
Правило для файла не сформировано |
30 дней |
|
|
Не создан XML файл по сформированным правилам |
30 дней |
|
|
Не удалось отправить запрос в KSN |
Не хранить |
|
|
Целостность модулей программы нарушена |
30 дней |
|
|
Подключение устройства не обработано |
30 дней |
|
|
Мониторинг отключен для тома |
30 дней |
|
|
Ошибка соединения с сервером Syslog |
30 дней |
|
|
Ошибка отсылки события на сервер Syslog |
30 дней |
|
|
:warning: Предупреждение |
Да :tick: / Нет :cross: |
|
|
Объект не проверен |
Не хранить |
|
|
Объект не помещен на карантин |
30 дней |
|
|
Объект не помещен в резервное хранилище |
30 дней |
|
|
Обнаружен объект |
30 дней |
|
|
Объект будет удален при перезагрузке |
30 дней |
|
|
Обнаружен возможно зараженный объект |
30 дней |
|
|
Проверка важных областей защищаемого устройства давно не выполнялась |
30 дней |
|
|
Базы программы устарели |
30 дней |
|
|
Срок действия лицензии скоро истечет |
30 дней |
|
|
Доступно плановое обновление модулей |
30 дней |
|
|
Доступно критическое обновление модулей программы |
30 дней |
|
|
Обновление модулей программы должно быть отозвано |
30 дней |
|
|
Для завершения обновления требуется перезагрузить защищаемое устройство |
30 дней |
|
|
Превышен порог доступного пространства в резервном хранилище |
30 дней |
|
|
Превышен порог доступного пространства карантина |
30 дней |
|
|
Присоединенное сетевое хранилище дало команду завершить работу сервера антивирусной защиты |
30 дней |
|
|
Все присоединенные сетевые хранилища завершили работу, задача защиты сетевых хранилищ по протоколу RPC будет остановлена |
30 дней |
|
|
Только статистика: запуск программы запрещен |
30 дней |
|
|
Формирование правила по файлу не поддерживается |
30 дней |
|
|
Компьютер добавлен в список недоверенных |
30 дней |
|
|
Компьютер не добавлен в список недоверенных |
30 дней |
|
|
Ошибка регистрации в качестве FPolicy-сервера |
30 дней |
|
|
Только статистика: обнаружено недоверенное устройство |
30 дней |
|
|
Не запущена задача проверки по требованию для подключенного устройства |
30 дней |
|
|
Программа остановлена |
30 дней |
|
|
Не установлено соединение с KSN |
30 дней |
|
|
Подозрительная файловая операция в контролируемой области |
30 дней |
|
|
Появился файл, отсутствующий в эталоне |
30 дней |
|
|
Отсутствует соединение с клиентом Outlook |
Не хранить |
|
|
:information: Информационное сообщение |
Да :tick: / Нет :cross: |
|
|
Объект вылечен |
30 дней |
|
|
Объект удален |
30 дней |
|
|
Объект помещен на карантин |
30 дней |
|
|
Объект заблокирован (Процесс терминирован) |
30 дней |
|
|
Объект обнаружен (выполняется уязвимый процесс) |
30 дней |
|
|
Объект помещен в резервное хранилище |
30 дней |
|
|
Уровень безопасности постоянной защиты изменен |
30 дней |
|
|
Проверка важных областей защищаемого устройства успешно завершена |
30 дней |
|
|
Программа запущена |
Не хранить |
|
|
Объект не проверен |
Не хранить |
|
|
Доступ к объекту разрешен |
Не хранить |
|
|
Доступ к объекту заблокирован |
30 дней |
|
|
Соединение разрешено / Письмо разрешено к загрузке |
Не хранить |
|
|
Инициирована сессия управления службами защиты через интерфейс |
Не хранить |
|
|
Установлено соединение с сетевым хранилищем |
30 дней |
|
|
Только статистика: обнаружено доверенное устройство |
Не хранить |
|
|
Только статистика: запоминающее устройство извлечено |
Не хранить |
|
|
Сетевой экран разрешил соединение |
Не хранить |
|
|
Программа будет разрешена к запуску как часть доверенного пакета установки |
Не хранить |
|
|
Обнаружено устройство |
30 дней |
|
|
Обнаружено устройство, подключенное к защищаемому устройству |
30 дней |
|
|
Разрешена файловая операция в контролируемой области |
Не хранить |
|
|
Хранилище эталонов задачи Мониторинг целостности файлов создано |
30 дней |
|
|
Отправлен запрос в KSN |
Не хранить |
|
|
Установлено соединение с KSN |
Не хранить |
|
|
Сформирован пакет статистики KSN |
Не хранить |
|
|
Компьютер исключен из списка недоверенных |
Не хранить |
|
|
Выполнена регистрация в качестве FPolicy-сервера |
Не хранить |
|
Параметры программы
- Масштабируемость, интерфейс и настройки сканирования
- Общие
- Определять параметры масштибмруемости ватоматически - включить
- Показывать значет в области уведомлений - включить
- Сканирование
- Восстанавливать атрибуты файлов после сканирования - включить
- Ограничить сканирующий поток в использовании CPU 80% - включить
- Иерархическое хранилище
- Не HSM-система - включить
- Безопасность и надежность
- Самозащита - Защищать процессы программы от внешних угроз - включить
- Параметры применения пароля - Использовать защиту паролем - включить
- Параметры надежности - выполнять восстановление задач проверки по требованию не более (раз) 2 - включить
- Действия при переходе на ИБП - выключить все
- Параметры соединения
- Не использовать прокси-сервер - включить
- Не использовать прокси-сервер для локальных адресов - включить
- Не использовать аутентификацию
- Использовать KSC в качестве прокси-сервера для активации программы - включить
- Запуск локальных системных задач
- Задачи проверки по требованию - включить
- Задачи обновления и копирования обновлений - выключить
Дополнительные возможности
- Доверенная зона
- Исключения - по умолчанию
Возможно имеет смысл убрать исключения для продуктов которые мы не используем, вроде MS Lync или MCMS
- Доверенные процессы
- Не проверять файловые операции резервного копирования - включить
- Не проверять файловую активность указанных процессов - выключить
- Проверка съемных дисков
- Проверять съемные диски при подключении к USB
- Проверять если объем содержащихся на диске данных не превышает порог - 32768 МБ
- Запускать проверку с уровнем безопасности - Рекомендуемый
- Права пользователей на управление программой
- Права пользователей на управление службой Kaspersky Security Service
- Хранилища
- Резервное хранилище - по умолчанию
- Карантин - по умолчанию
- Заблокированные узлы
- Автоматически разблокировать через - 2 ч
Постоянная защита сервера
Постоянная защита файлов
- Общие
- Режим защиты объектов - При открытии и изменении
- Углубленный анализ запускаемых процессов (запуск процессов блокируется до окончания анализа) - включить
- Использовать эвристический анализ - включить (Средний)
- Интеграция - Применять доверенную зону - включить
- Интеграция - Использовать KSN для защиты - включить
- Интеграция - Блокировать доступ к сетевым файловым ресурсам для узлов, с которых ведется вредоносная активность - включить
- Запустить сканирование важных областей при обнаружении активного заражения - включить
- Отарпалять объекты в Kaspersky Sandbox - выключить
- Области защиты
- Мой компьютер - уровень Рекомендуемый
- Управление задачей
- Запускать задачу по расписанию - включить
- Частота запуска - При запуске программы
Использование KSN
- Обработка данных - Службы - Принять условия положения Kaspersky Security Network - включить
- Обработка данных - Статистика - Разрешить отправку статистики Kaspersky Security Network - включить
- Обработка данных - Kaspersky Managerd Protection - Принять условия Предложения о KMP - выключить
- Настройка
- Общее
- Действия над объектом, недоверенным KSN - удалять
- Не рассчитывать контрольную сумму для отправки в KSN, если размер файла превышает 10 Мб - включить
- Использовать Kaspersky KSC в качестве прокси-сервера KSN - включить
- Управление задачей
- Запускать задачу по расписанию - При запуске программы
Защита трафика
·
- Список правил
- Веб-контроль - по умолчанию
- Категоризация
- Применять правила категоризации ресурсов - включить
- Разрешать загрузку веб-страниц, если не удалось присвоить категорию - включить
- Разрешать загрузку легальных веб-ресурсов, которые могут быть использованы для нанесения вреда защищаемому устройству - включить
- Разрешать загрузку легальных рекламных веб-ресурсов - включить
- Настройка
- Режим работы
- Режим работы - Драйверный перехват
- Параметры соединения с ICAP-службой - по умолчанию
- Параметры режима работы
- Проверять безопасное соединение по протоколу HTTPS - включить
- Использовать версию крипто-протокола TLS: 1.0, 1.1, 1.2 - включить
- Не доверять веб-сервису с невалидным сертификатом - включить (если много внутренних сервисов с самоподписанным сертификатом, то лучше выключить)
- Настроить области перехвата - индивидуальная настройка для групп серверов.
- Обработка веб-ресурсов
- Проверять ссылки по базе вредоносных веб-ресурсов - включить
- Проверять ссылки по базе фишинговых веб-адресов - включить
- Использовать KSN для защиты - включить
- Использовать Доверенную зону - включить
- Управление задачей
- Запускать задачу по расписанию - При запуске программы
- Защита от почтовых угроз
- Защита устройства от почтовых угроз - выключить
- Антивирусная защита
- Использовать эвристический анализ - включить (Средний)
- Уровень безопасности - Рекомендуемый
Защита от эксплойтов
- Параметры защиты от эксплойтов
- Защищать процессы от эксплуатации уязвимостей в режиме - включить
- Завершать скомпрометированный процессы
- Сообщать о скомпрометированных процессах посредством службы терминалов - включить
- Защищать процессы от эксплуатации уязвимостей вне зависимости от статуса службы KSS - включить
- Защищаемые процессы - по умолчанию
Защита от сетевых угроз
- Общие
- Блокировать соединение при обнаружении атаки - включить
- Не останавливать анализ трафика, если задача не исполняется - выключить
- Исключения
- Не контролировать IP-адреса, указанные в исключениях - выключить (Можно добавить серверную подсеть)
- Управление задачей
- Запускать задачу по расписанию - включить
- Частота запуска: При запуске программы
Проверка скриптов
- Общее
- Действие над опасными скриптами: Блокировать выполнение
- Эвристический анализ - включить (Средний)
- Применять доверенную зону - включить
- Управление задачей
- Запускать задачу по расписанию - выключить
Контроль активности на серверах
Контроль запуска программ
- Режим работы - Только статистика
- Обрабатывать повторные запуски контролируемых программ по схеме обработки первого запуска - включить
- Запрещать запуск командных интерпретаторов без команды к исполнению - выключить
- Список правил - по умолчанию (Можно согласовать с админами запуск скриптов только из доверенной папки, например C:\Scripts, у которой будут права доступа только для администраторов сервера
- Применение правил - Заменить правилами политики локальные правила
- Область применения правио
- Использовать правила для исполняемых файлов - включить
- Контролировать загрузку DLL-модулей - выключить
- Использовать правила для скриптов и пакетов MSI - включить
- Использование KSN
- Запрещать запуск программ, недоверенных в KSN - включить
- Разрешать запуск программ, доверенных в KSN - выключить
- Контроль пакетов установки
- По умолчанию
- Управление задачей
- Запускать задачу по расписанию - выключить
- Частота запуска - При запуске программы
Контроль устройств
- Режим работы - только статистика
- Разрешать использование всех запоминающих устройств, если задача Контроль устройств не выполняется - выключено
- Управление задачей
- Запускать задачу по расписанию - выключить
- Частота запуска - При запуске программы
Защита сетевых хранилищ
Защита RPC-подключаемых сетевых хранилищ
- Не актуально, выключить
Защита ICAP-подключаемых сетевых хранилищ
- Не актуально, выключить
Защита от шифрования для NetApp
- Не актуально, выключить
Контроль активности в сети
Управление сетевым экраном
- Слишком индивидуальная задача, возможно стоит разделять политику на группы серверов (Файловые шары, AD и т.д)
Защита от шифрования
- Общие
- Режим работы - Активный
- Эвристический анализатор - включить (Средний)
- Область защиты
- Все общие сетевые папки защищаемого устройства
- Исключения
- Учитывать список исключений - включить
- Управление задачей
- Запускать задачу по расписанию - включить
- Частота запуска - При запуске программы
Диагностика системы
Мониторинг файловых операций
- Параметры мониторинга файловых операций
- Фиксировать события о файловых операциях, выполненных в период обрыва мониторинга - включить
- Блокировать попытки компрометации журналов USN - включить
- Управление задачей
- Запускать задачу по расписанию - включить
- Частота запуска - При запуске программы
Анализ журналов
- Пользовательские правила
- Обнаружено всплывающее окно приложения 26
- В системе установлена служба 7045
- Создана задача, выполняемая по расписанию 4696, 602
- Создание новой учетной записи 4720
- Добавление пользователя в привилегированную группу 4728
- Добавление в локальную группу 4732
- Изменение имени учетной записи 4781
- Очищен журнал событий 1102
- Предзаданные правила
- Использовать предзаданные правила для анализа журналов - включить
- Обнаружена возможная попытка взлома пароля с помощью подбора - включить
- Обнаружены признаки компрометации журналов Windows - включить
- Обнаружена подозрительная активность со стороны новой установленной службы - включить
- Обнаружена подозрительная аутентификация с явным указанием учетных данных - включить
- Обнаружены признаки атаки Kerberos forged PAC (MS14-068) - включить
- Обнаружены подозрительные изменения привелигерованной группы Администраторы - включить
- Обнаружена подозрительная активность во время сетевого сеанса входа - включить
- Управление задачей
- Запускать задачу по расписанию - включить
- Частота запуска - При запуске программы
Журналы уведомления
Журналы выполнения задач
- Интеграция с SIEM
- Отправлять события по протоколу syslog на внешний syslog-сервер - выключить
- Конвертировать события в формат структурированных данных - выключить
- Параметры подключения
- Адрес: нет
Уведомления о событиях
- Уведомления
- Уведомление пользователей - Средствами службы терминалов
- Пороги формирования
- Базы программы устарели (сут) - 7
- Базы программы сильно устарели (сут) - 14
- Проверка важных областей защищаемого устройства давно не выполнялись (сут) - 30
Взаимодействие с сервером администрирования
- Данные об объектах карантина - включить
- Данные об объектах резервного хранилища - включить
- Данные о блокированных хостах - включить
Профили политики
Политика агента администрирования 12.8 Windows - Standard
Общие
- Состояние политики - Активная
- Наследовать параметры родительской политики - выключить
- Обеспечить принудительное наследование параметров для дочерних политик - выключить
Настройка событий
- Свойства - Экспортировать в SIEM-систему по протоколу Syslog - выключить
|
Тип события |
Время хранения на KSC |
Отправка в SIEM |
|
:cross: Отказ функционирования |
Да :tick: / Нет :cross: |
|
|
Ошибка при установке обновления |
20 дней |
|
|
Не удалось установить обновление стороннего производителя |
20 дней |
|
|
Не удалось установить обновления Центра обновления Windows |
20 дней |
|
|
:warning: Предупреждение |
Да :tick: / Нет :cross: |
|
|
Возвращено предупреждение во время установки обновления модулей приложений |
20 дней |
|
|
Установка обновления стороннего ПО завершено с предупреждением |
20 дней |
|
|
Установка обновления стороннего программного обеспечения отложена |
20 дней |
|
|
Произошла проблема безопасности |
20 дней |
|
|
Прокси-сервер KSN был запущен. Не удалось проверить доступность KSN |
20 дней |
|
|
Информационное сообщение |
Да :tick: / Нет :cross: |
|
|
Обновление модулей приложений успешно установлено |
Не хранить |
|
|
Запущена установка обновления модулей приложений |
Не хранить |
|
|
Установлено приложение |
20 дней |
|
|
Приложение удалено |
20 дней |
|
|
Установлено наблюдаемое приложение |
Не хранить |
|
|
Удалено наблюдаемое приложение |
Не хранить |
|
|
Установлено стороннее приложение |
Не хранить |
|
|
Новое устройство добавлено |
20 дней |
|
|
Устройство удалено |
Не хранить |
|
|
Обнаружено новое устройство |
Не хранить |
|
|
Устройство авторизовано |
Не хранить |
|
|
Совместный доступ к рабочему столу Windows: файл был прочитан |
Не хранить |
|
|
Совместный доступ к рабочему столу Windows: файл был изменен |
Не хранить |
|
|
Совместный доступ к рабочему столу Windows: приложение было запущено |
Не хранить |
|
|
Совместный доступ к удаленному рабочему столу Windows: предоставлен |
20 дней |
|
|
Совместный доступ к рабочему столу Windows: завершен |
20 дней |
|
|
Обновление для приложений стороннего производителя установлено успешно |
Не хранить |
|
|
Запущена установка обновления стороннего ПО |
20 дней |
|
|
Прокси-сервер KSN был запущен. Проверка доступности KSN прошла успешно |
Не хранить |
|
|
Прокси-сервер KSN остановлен. |
20 дней |
|
Параметры
- Распространять файлы только через точки распространения - выключено
- Максимальный размер очереди событий - 5 МБ
- Приложение может получать расширенные данные политики на устройстве - включить
- Защитить службу Агента администрирования от не авторизованного удаления, остановки, или изменения параметров работы - включить
- Использовать пароль деинсталляции - включить
Хранилища
- Информация об обновлениях Центра обновления Windows - включить
- Информация об уязвимостях в приложениях и соответствующих обновлениях - включить
- Информация о реестре оборудования - включить
- Информация об установленных приложениях - включить
- Включить информацию о патчах - включить
Обновления и уязвимости в приложениях
- Использовать Сервер администрирования в роли WSUS-сервера - выключить
- Устанавливать все применимые обновления Центра обновления Windows - включить
- Режим поиска Центра обновления Windows - Активный
- Проверять исполняемые файлы на наличие уязвимостей при запуске - включить
Управление перезагрузкой
- Действие при необходимости перезагрузки системы - Не перезагружать операционную систему
Совместный доступ к рабочему столу Windows
- Включить аудит - включить
Управление патчами и обновлениями
- Автоматически устанавливать применимые обновления и патчи для компонентов со статусом "Не определено" - включено
- Загружать обновления и антивирусные базы с Сервера администрирования заранее (рекомендуется) - включено
Подключения
Профили соединений - выключить
Расписание соединений
- Подключиться по необходимости - выключено
Точки распространения
- Опросы сети - выключено все
- Параметры подключения к интернету - выключено
- Прокси-сервер KSN - Пересылать KSN запросы Серверу администрирования
- Обновления - Загрузить файлы различий - включено