Найдено много вирусов ksc

Kaspersky Security Center позволяет настроить автоматическое переключение статуса устройства в группе администрирования при выполнении заданных условий. При выполнении заданных условий клиентскому устройству присваивается один из статусов: Критический или Предупреждение.

Чтобы изменить статус устройства на Критический:

1. Откройте окно свойств одним из следующих способов:
   • В папке Политики в контекстном меню политики Сервера администрирования выберите пункт Свойства .
   • В контекстном меню группы администрирования выберите пункт Свойства .
2. В окне свойств группы администрирования выберите раздел Статус устройства .
3. В блоке Установить статус "Критический" установите флажок для условия из списка.
4. Для выбранного условия установите необходимое вам значение.

Не для всех условий можно задать значения.

Чтобы изменить статус устройства на Предупреждение:

1. Откройте окно свойств одним из следующих способов:
   • В папке Политики в контекстном меню политики Сервера администрирования выберите пункт Свойства .
   • В контекстном меню группы администрирования выберите пункт Свойства .
2. В окне свойств группы администрирования выберите раздел Статус устройства .
3. В блоке Установить статус "Предупреждение" установите флажок для условия из списка.
4. Для выбранного условия установите необходимое вам значение.

Не для всех условий можно задать значения.

Разным значениям одного условия могут соответствовать разные статусы. Например, при соблюдении условия Базы устарели со значением Более 7 дней клиентскому устройству присваивается статус Предупреждение, а со значением Более 14 дней – статус Критический.

В таблице приведены условия для присвоения устройству статуса Критический или Предупреждение и их возможные значения

Условия присвоения статусов устройству

Не установлена программа безопасности

Агент администрирования установлен на устройстве, но не установлена программа безопасности.

• Флажок установлен.
• Флажок снят.

Найдено много вирусов

В результате работы задач поиска вирусов, например, задачи Поиск вирусов, на устройстве найдены вирусы, и количество обнаруженных вирусов превышает указанное значение.

Уровень постоянной защиты отличается от уровня, установленного администратором

Устройство видимо в сети, но уровень постоянной защиты отличается от уровня, установленного администратором в условии для статуса устройства.

• Остановлена.
• Приостановлена.
• Выполняется.

Давно не выполнялся поиск вирусов

Устройство видимо в сети и на устройстве установлена программа безопасности, но задача поиска вирусов не выполнялась больше указанного времени. Условие применимо только к устройствам, которые были добавлены в базу данных Сервера администрирования семь дней назад или ранее.

Устройство видимо в сети и на устройстве установлена программа безопасности, но антивирусные базы не обновлялись на этом устройстве больше указанного времени. Условие применимо только к устройствам, которые были добавлены в базу данных Сервера администрирования день назад или ранее.

Давно не подключался

Агент администрирования установлен на устройстве, но устройство не подключалось к Серверу администрирования больше указанного времени, так как устройство выключено.

Обнаружены активные угрозы

Количество необработанных объектов в папке Необработанные файлы превышает указанное значение.

Более чем 0 штук

Устройство видимо в сети, но программа требует перезагрузки устройства дольше указанного времени, по одной из выбранных причин.

Более чем 0 минут

Установлены несовместимые программы

Устройство видимо в сети, но при инвентаризации программного обеспечения, выполненной Агентом администрирования, на устройстве были обнаружены установленные несовместимые программы.

• Флажок снят.
• Флажок установлен.

Обнаружены уязвимости в программах

Устройство видимо в сети, и на нем установлен Агент администрирования, но в результате выполнения задачи Поиск уязвимостей и требуемых обновлений на устройстве обнаружены уязвимости в программах с заданным уровнем критичности.

• Предельный.
• Высокий.
• Средний.
• Игнорировать, если нельзя закрыть уязвимость.
• Игнорировать, если обновление назначено к установке.

Срок действия лицензии истек

Устройство видимо в сети, но срок действия лицензии истек.

• Флажок снят.
• Флажок установлен.

Срок действия лицензии скоро истечет

Устройство видимо в сети, но срок действия лицензии истекает менее чем через указанное количество дней.

Более чем 0 дней

Давно не выполнялась проверка обновлений Центра обновления Windows

Не выполнялась задача Поиск уязвимостей и требуемых обновлений больше указанного времени.

Указанный статус шифрования

Агент администрирования установлен на устройстве, но результат шифрования устройства равен указанному значению.

• Не соответствует политике из-за отказа пользователя (только для внешних устройств).
• Не соответствует политике из-за ошибки.
• В процессе применения политики – требуется перезагрузка.
• Не задана политика шифрования.
• Не поддерживается.
• В процессе применения политики.

Параметры мобильного устройства не соответствуют политике

Параметры мобильного устройства отличаются от параметров, заданных в политике Kaspersky Endpoint Security для Android при выполнении проверки правил соответствия.

• Флажок снят.
• Флажок установлен.

Есть необработанные инциденты

На устройстве есть необработанные инциденты. Инциденты могут быть созданы как автоматически, с помощью установленных на клиентском устройстве управляемых программ "Лаборатории Касперского", так и вручную администратором.

• Флажок снят.
• Флажок установлен.

Статус устройства определен программой

Статус устройства определяется управляемой программой.

• Флажок снят.
• Флажок установлен.

На устройстве заканчивается дисковое пространство

Свободное дисковое пространство устройства меньше указанного значения или устройство не может быть синхронизировано с Сервером администрирования. Статусы Критический или Предупреждение меняются на статус ОК, когда устройство успешно синхронизировано с Сервером администрирования и свободное дисковое пространство устройства больше или равно указанному значению.

Устройство стало неуправляемым

Устройство определяется видимым в сети при обнаружении устройств, но было выполнено более трех неудачных попыток синхронизации с Сервером администрирования.

• Флажок снят.
• Флажок установлен.

Устройство видимо в сети, но программа безопасности на устройстве отключена больше указанного времени.

Более чем 0 минут

Не запущена программа безопасности

Устройство видимо в сети и программа безопасности установлена на устройстве, но не запущена.

Хабр — не жалобная книга. Эта статья о бесплатных инструментах компании Nirsoft для системного администратора Windows.

Обращаясь в службу технической поддержки, зачастую люди испытывают стресс. Кто-то переживает из-за того, что не сможет объяснить проблему и будет выглядеть глупо. Кого-то переполняют эмоции и трудно сдержать негодование по поводу качества услуги — ведь раньше не было ни единого разрыва!

Мне нравится, например, техническая поддержка Veeam. Она отвечает небыстро, но точно и по существу. Я даже рад написать туда по пустяку, чтобы научиться какой-нибудь новой фишке.

ArcServe не очень. Резиденты побережья Индийского океана очень, очень вежливые и внимательные, а больше ничего хорошего сказать не могу. Если нет готовой KB, ваша жизнь будет печальной.

Особняком стоит техническая поддержка нашего антивирусного флагмана — Лаборатории Касперского. Как человек откладывает поход к стоматологу, так и я до последнего стараюсь не писать туда. Потому что будет долго, больно и с непредсказуемым результатом. Доктора выбрать нельзя, хоть у тебя 5000 рублей лицензий — лечит кто попадётся. А я вроде и сам доктор (ну не доктор, так слесарь), мне вдвойне обидно.

Обновляем Kaspersky Security for Windows Server с версии 10.1.1 на 10.1.2. Операция простая, но мы-то знаем. В очередной Patch Tuesday от Microsoft я заметил, что обновления не установились на большую группу серверов.

Выяснилось, что на серверах прекратили работу службы wuauserv и BITS, а при запуске возвращается ошибка:

Полечив запуск народными средствами

я понял, что между серверам есть кое-что общее — на 100% пациентов недавно устанавливался KSWS 10.1.2.

Заболело сильно, открыл обращение.

Здравствуйте!
После апгрейда с 10.1.1 на 10.1.2.996 на ряде серверов сломались службы BITS и Windows Update.
При запуске возвращается ошибка: 1290
Связано ли возникновение ошибки с установкой продукта?

Добрый день, Михаил!
Kaspersky Security 10 for Windows Server при установки или обновлении версии не рассматривает имеющиеся службы, а так же не проверяет/изменяет их настройки.

Сказали — как отрезали.

Беглое гугление показало, что проблема существует, по крайней мере существовала в другой версии.

Написал обратно — вот умные люди пишут, что проблема такая раньше была, может и сейчас сохранилась? Предоставил стандартную техническую информацию.

7 дней (семь дней, Карл!) техподдержка хранила молчание. Результат не обрадовал. Привожу в сокращенном виде:

В Вашем случае, отключение служб после апгрейда продукта связано именно с индивидуальными или групповыми настройками операционной системы (мои выводы основаны на исследовании присланного вами отчета).

Рекомендую Вам на глубоком уровне исследовать работу системных служб. Я был бы рад Вам помочь в этом, однако, это находится в компетенции поддержки Microsoft, так как указанное Вами решение является рабочим и требует только одноразового ввода.

От себя, хочу добавить, что обе указанные Вами службы относятся к обновлению операционной системы и никак не влияют на работу нашего продукта, соответственно и на степень Вашей защиты.

Вот и конец. Обидно.

Ладно, если Лаборатория Касперского не может найти дефект, его найдут солдаты Н придется искать самому.

Настройка служб Windows хранится в ветке реестра:

В файловой системе ничего полезного не хранится, кроме бинарных файлов.

Чем мы мониторим реестр? Самый универсальный инструмент — Process Monitor от Sysinternals.

Что не так с Process Monitor? В нем архисложно что-то найти, если не знаешь в точности, что ищешь.

В то же время есть утилиты от не так широко известной компании Nirsoft. Она выпускает десятки уникальных программ — от мониторинга подключения USB-устройств до считывания ключей продуктов из реестра. Если вы никогда про нее не слышали — очень рекомендую зайти на сайт и оценить коллекцию. Я когда в первый раз о них узнал — как будто открыл коробку с игрушками.

Первое, что надо сделать — снепшот до установки.

Затем запускаем Sysinternals Process Monitor, отключаем всё, кроме реестра, и настраиваем сохранение результатов в файл.

Запускаем процесс установки, убеждаемся, что всё сломалось.
Делаем второй снепшот в RegistryChangesView.
Сравниваем снепшоты между собой.

А вот и, то, что нас интересовало.

Но кто это сделал? Может служба сама себя сломала?

Смотрим лог Process Monitor, начнем с фильтрации процессов:

Берем Summary по реестру, сортируем по полю Writes:

А вот и искомое:

Вот и всё друзья, за 5 минут причина проблемы найдена.

Это точно инсталлятор Kaspersky, и мы точно знаем, как он ломает службу. А значит, легко вернем её в исходное состояние.

Вот бы самому начать следовать этим советам. Привет Лаборатории!

В одной из прошлых статей я написал о том, как проверить флешку на вирусы, а теперь хочу вас ознакомить с тем, как удалить вирусы, используя программу антивирус Касперского.
Для многих вопрос защиты компьютера от вирусов, покажется не стоящим внимания, но не для людей, которые планомерно осваивают компьютер. Поэтому я постараюсь подробно описать процесс удаления вирусов и все проиллюстрировать.

1. Начнем с того момента, когда ваша программа — антивирус касперского выдала вам сообщение, что обнаружен вирус.

Антивирус Касперского 2010 выдал сообщение - обнаружен вирус

Далее жмем на кнопку исправить

Затем нажимаем на ссылку Лечить

3. Как правило антивирус вылечить не может, поскольку вирус не несет в себе никаких полезных файлов и не дописан к чему-то полезному, и поэтому возникает второе окно, где нам предлагают удалить вирус.

По существу это все, вирусы удаляются и ваш компьютер или флешка будут чисты, при условии, что вы проверяете с последними базами и не схватили неизвестного вируса… еще конечно если вирус натворил дел, то антивирус не сможет все исправить — он лишь удалит вирус.

Хочется отметить, что на Windows 7 устанавливается именно Антивирус Касперского с версии 2010. Купить его или самую новую версию, можно с документами, счет — фактурой тут.

Надеюсь все было написано достаточно подробно и понятно.

Кстати говоря, если не хотите ловить вирусы поменьше бывайте на незнакомых сайтах где раздают что-то взломанное.

Спасибо за внимание.
Эту статью написал для Вас, Титов Сергей.

Сообщения по теме:

Комментарии (54)

1. lucshiiiulian 14.04.2010 #
   

usb disk security — otlichnaya programa dlyua proverki flesh diskov ot virusov, zanimaet malo mesta, antivirus kasperskogo posto ochen silno nenavizhu, meshal ustanavlivat’ programy, otkryvat’ ih, nazhimal propustit’, s galochkoy zapomnit’ deistvie ili kak tam bylo, a on kak cerez 0.009 sekundy opyat’ vydaet soobshenie, i ot virusov im ne izbavilsea :-(

Мне нужна консультация по данной теме. Могу ли я надеяться на получение ее от Вас? Спасибо!

Людмила, предпочитаю когда сразу переходят к делу :)

если у меня пробная версия лечение не возможно. что делать

гульфира, выбирайте, что вам больше подходит…
1. Лечить с помощью онлайн сканеров.
2. Лечить с помощью утилит.
3. Покупать антивирус, либо ключ для пробной версии.
4. Переустанавливать систему, восстанавливать из образа, если вирус навредил системе.
5. Вылечив можно попытаться установить какой-либо из бесплатных антивирусов.

Здравствуйте!помогите,пожалуйста. В центре защиты в отчетах в разделе вредоносные объекты написано,что обнаружено 338 троянских программ и 10 верусов…как их удалить.

admin есть вопрос а что делать если у меня написано обнаружено вредоносное ПО я нажимаю исправить но у меня нечего не происходит я так понял должна появиться табличка как на рисунке 2 но этого нет в отчетах написано что вирус из под группы рекламные и другие программы ДРУГАЯ ПРОГРАММА подскажи что делать ?

Mark, иногда несколько минут касперский думает, иногда просканирует до 99 процентов, а потом лечит и удаляет найденное…

Скажите пожалуйста я купил год назад програму 2010года.Можно ли его обновить и дальше использовать.Или мне заново покупать програму.

Амир, если не активировали, то можно, если уже активировали, то используйте пока срок действия ключа не закончится, кстати можете попробовать скачать версию касперского посовременнее, возможно ключ подойдет.

скажите мне уже пожалуйста в конце концов можно пользоватся каспером 2010 или нет. и будет завиать комп или нет.а то задал вопрос мне отвечают что каспер это полное фуфло а некоторые говорят класная вещь и незнаю проблем с ним.

Mary, если активна надпись Удалить, то только удалять или лечить.
Если возможно выбрать только пропустить, то скорее всего файл удален и касперский не может его найти, поэтому предлагает пропустить.

Евгении, каспер вещь, но тормозить будет) попробуйте другие антивирусы типа оутпост или DrWeb, но и они могут пропускать незнакомые вирусы, хотя возможно будут меньше тормозить.

У меня постоянно выходит оконо, что обнаруженно вредоносное ПО, нажимаю нейтрализовать, никаких действий не происходит. Когда делаю полную проверку, то мой комп на 30 % выключается. Что мне делать?

Пожалуйста, помогите. С таким ещё не сталкивалась. После обнаружения вируса, Касперский его не удаляет. Горит красным цветом кнопка ИСПРАВИТЬ, при нажатии никакой реакции. Базы обнавляются каждый день,но ,что с Антивирусом не могу понять. Что можно сделать в данной ситуации? Мне её даже программист не помог исправить.SOS.

все пробовал все-равно горит обнаружено вредоносное по

владимир, посмотрите в отчетах — на что указывает антивирус? Попробуйте онлайн сканирование.
Возможно антивирус физически не может удалить вредоносный файл.

у меня много каких то файлов в отчете но как их нейтрализовать?

у меня похожая проблема каспер. выдает вредоносное по горит скин красным кнопка исправить активна но при надавливаннии ее не чего не происходит как показано у вас выше!

скажите пожалуйста а как онлайн сканирование провести, вылечить? у меня такие же проблемы что описаны выше. никак не хотят вирусы удаляться.

дмитрий, а сканирование завершено или 99%? если да, то имейте терпение и обновите базы.

Александра, обновите антивирусные базы снова или переустановите антивирус, такое бывает из-за неправильных выключений компьютера и обновления из архива.

У меня Касперкий 2011. Нашел троян, пишет лечить, нажимаю лечить, пишет перезагрузить комп, перезагрузила, троян не удален, пишет что найдено тоже опасное ПО. Как это исправить? Может кто-нибудь подскажет?

Здравствуйте! такая проблема в отчетах антивирусник показывает что у меня 7 вирусов! когда начинаю проверять компьютер то ни одного вируса не находит. тем не менее в отчетах все еще стоит табличка 7 вирусов и отметка красная! как удалить вирусы и самое главное как и где посмотреть что заражено??

Здравствуйте.У меня проблема я новичок пробная версия касперского нашла вирус в подробном отчете пишет Trojan.Win32.Generic Что делат незнаю помогите.

а как после проверки вылечитьт или удалить вирусы!из подробного отчета или как то по другому!

артем, в отчете могут быть записи о вирусах которые были удалены.

Два дня подряд антивирус не обновлялся, писал либо не найден источник обновления, либо повреждены файлы. Сегодня решила переустановить антивирус, в итоге активиции никакой, ни на один сайт антивирусов не выходит, писала в лабораторию Касперского, до них не может дойти мое письмо, что делать. Я догадываюсь, что какой-то вирус который блокирует выход на эти сайты. Что можно сделать. Заранее благодарна.

Кстати на вирусы желательно просканировать предварительно любым переносным антивирусом.

Помогите пожалуйста, мне установили касперский, а до него пользовалась нод32. И сейчас немного затрудняюсь с ним. Провожу полную проверку и обнаруживает 1 объект, который в статусе пишет ОТЛОЖЕНО. Что это означает, что он удалит этот вирус или наоборот оставит? когда нажимаю правой кнопкой есть функция УДАЛИТЬ ФИЛЬТРЫ — это и означает удалить обнаруженный вирус?

Aisha, если отложено, то значит, что будет удалено после перезагрузки, фильтры это не вирус, это способ выборки информации из базы данных по запросу.

Pentalgin-N-, Вы правы, часто люди видят отчет и считают, что это активные вирусы…, наверное так разработчики показывают насколько это полезная программа) хотя не важно сколько из этого списка были просто подозрительными, но полезными программами.

u menya voobwe ne najimaetsyf knopka ispravit… по podrobno mojete skazat

fariza, а кнопка вообще есть? У касперского есть такое, хоть сколько нажимай, но он сам просканирует до конца, подумает, а потом выдаст окно с выбором действий с файлом.

написан исправит нажимаю не справляется что делать и окно не открывается

я нажимаю на слово исправить а у меня нечего не вылазит

У меня такая же проблема как и у Татьяна 24.07.2011 #
Почистил утилитой AVZ4 А Касперский так и горит красным….
Может это Каспер глюкнул?

Сергей, возьмите три антивируса, просканируйте тремя систему и все три что-то найдут, поэтому не смотрите на то, что какой-то антивирус все просканировал, а второй все еще что-то видит.
Теперь по поводу красного — в чем причина? Не обновлены базы или найдены вирусы? Просто из-за разного может быть сообщение (LiveCD DrWeb пробовали?).
Пока не устраните причину будет гореть красным, поэтому нужно точно определить из-за чего горит, а потом смотреть, возможно в автозагрузке кое-что нужно отключить, чтобы файлы не были заняты системой и антивирус мог бы их удалить.
Кстати как мне кажется Касперский 2012 чуть подоброжелательнее к людям и не выводит информацию о найденных за все время вирусах и не пугает так.

здравствуйте, скажите как убрать вредоносное ПО, жал исправить и нейтролизовать все не помагает,что делать?

Это особенно заметно, когда я запускаю Тотал Коммандер, в котором у меня 3 ряда (4-5 при дефолтовом размере окна) значков на панели кнопок.

Фаер Касперского. Полностью устраивает.

Но ведь иконки, с панели кнопок тотала, уже прочитаны и закэшированные в файлы *.bar2.

Тотал все равно (не всегда, правда) проверяет наличие ЕХЕ/файла, назначенного на кнопку и лишает значка те кнопки, файла для которых не нашел по указанному адресу. Видимо, это проверка и сказывается.

Очень малое число протоколов позволяет контролировать. TCP, UDP, ICMP, GRE - вот собственно и всё!

пока не запоролил могли удалить лицезию

Пардон - но тут уже твой косяк

При таком раскладе отображался только значёк без меню.

KapralBel
а зря полезная вещь, жалко, что убрали..

да, кстати ещё вопрос: в журнале регистрируется событие kladminserver - Processing HEAVY rule 'Перемещение компьютеров из Active Directory' !, причём очень часто - как избавиться?

KES10 - захожу сегодня в настройки сетевого экрана - там есть три кнопки - нажимаю, к примеру, "Доступные сети" и морда каспера виснет, а сервис начинает отжирать 50% процессорного времени!

Лечится только перезагрузкой компа - если потом опят нажать вышеупомянутые кнопки, то всё происходит по кругу.

а зря полезная вещь, жалко, что убрали..

в журнале регистрируется событие kladminserver - Processing HEAVY rule 'Перемещение компьютеров из Active Directory' !, причём очень часто - как избавиться?

В возможностях Kaspersky Endpoint Security СТАРТОВЫЙ есть про Усовершенствованный сетевой экран. Сетевой экран в Kaspersky Endpoint Security for Windows 10.2.1.23 действительно отличается от Kaspersky Internet Security?

В настройках сетевого экрана есть что-то еще чего нет в Kaspersky Internet Security?

скриншотики:

KES10 - захожу сегодня в настройки сетевого экрана.

В настройках сетевого экрана есть что-то еще чего нет в Kaspersky Internet Security?

Офигеть
Может в ТП?

Это каспер так на новую таймзону отреагировал, или таймзона на каспера? : )

WildGoblin
KB2981580 - это, августовское, установлено?

KB2981580 - это, августовское, установлено?

. морда каспера виснет, а сервис начинает отжирать 50% процессорного времени!

когда то уже сюда писал но так мне никто и не ответил
На днях пришлось опять перезагрузить сервер и опять моя страшная картина, кашпер такое впечатление что удален и админ кит тоже, но я его не удалял(((
ставлю наново но в этот раз поставил Kaspersky Anti-Virus for Windows Servers 6.0.4 (до этого стояло Kaspersky Anti-Virus for Windows Servers Enterprise Edition 8.0.0), делаю полную проверку нечего не найдено. Но вот в вторник прихожу на работу мне сообщение на экране сервера Компьютер заблокирован таким то пользователем. сегодня прихожу история таже но пользователь с именем sys которогое не имеется в домене и постоянно начало лезть сообщение ошибка winlogon.exe в логах описание

Ошибка приложения , версия 0.0.0.0, модуль ntdll.dll, версия 5.2.3790.4937, адрес 0x0002a400.

по нету пошарил нечерта не видно по этомо win2003

на этой же машине поднята вирт машина с файловым сервером, так на ней тоже глюк, невозможно установить антивирус, раньше стоял Kaspersky Anti-Virus for Windows Servers Enterprise Edition 8.0.0) потом тоже куда то делся, писало что установочный файл поврежден, пробывал ставить на другой машине тот установойчный файл нормально ставится,а вот установить на вирт машину угента администратирования ен получается, попросту не запускает инсталяция, а пробую скопировать на диск пишет ресурс не доступен((((

ща буду грузиться с загрузочного диска может что то выйдет(((

Получается я сам себе Kaspersky Lab - человек и касперский в одной биологической оболочке?

Первый шаг к безопасному путешествию по бескрайним просторам всевозможных сетей это конечно же установка надежного средства защиты. Одним из немногих таких средств является комплексный продукт Kaspersky Internet Security.

Первый шаг к безопасному путешествию по бескрайним просторам всевозможных сетей это конечно же установка надежного средства защиты. Одним из немногих таких средств является комплексный продукт Kaspersky Internet Security. Несмотря на то, что KIS продукт достаточно сложный, он сразу после установки готов выполнять все возложенные на него обязанности. Необходимость в дополнительных настойках возникает крайне редко, и это очень большой плюс разработчикам. Но необходимо понимать, что эта возможность базируется на острой грани компромиссных решений. В чем они заключаются рассмотрим на примере сетевого экрана.

Настройки сетевого экрана состоят из двух частей: правила для программ и пакетные правила. При помощи правил программ можно разрешать или запрещать определенным программам или группам программ посылать или принимать пакеты или устанавливать сетевые соединения. При помощи пакетных правил разрешается или запрещается устанавливать входящие или исходящие соединения, и передача или прием пакетов.

Посмотрим, что представляют собой правила для программ.

Все программы имеется четыре категории:

1. Доверенные – им разрешено все без исключения.
2. Слабые ограничения – установлено правило “запрос действия”, позволяющее пользователю по самостоятельно принимать решение о целесообразности сетевого общения программ этой группы.
3. Сильные ограничения – в части разрешения работы с сетью, то же, что и слабые.
4. Не доверенные – по умолчанию этим программам запрещено любое сетевое общение (по человечески очень жаль их).

В группу “доверенные” по умолчанию помещены все программы от Микрософт, собственно сам KIS и другие программы известных производителей. Для настроек по умолчанию выбор хороший, но лично я не стал бы всем программам, пусть даже и именитых производителей, так безраздельно доверять.

Как же попадают программы в ту или иную группу? Здесь все не так просто. Решение о помещении конкретной программы в одну из четырех групп принимается на основе нескольких критериев:

1. Наличие сведений о программе в KSN (Kaspersky Security Network).
2. Наличие у программы цифровой подписи (уже проходили).
3. Эвристический анализ для неизвестных программ (что то типа гадания).
4. Автоматически помещать программу в заранее выбранную пользователем группу.

Все эти опции находится в настройках “Контроль программ”. По умолчанию установлены первые три опции, использование которых и приводит к большому количеству “доверенных” программ. Четвертую опцию можно выбрать самостоятельно как альтернативу первым трем.

Проведем эксперимент. Поместим какую либо программу (например, браузер “Opera”) в список программ со слабыми ограничениями и посмотрим как работает правило “запрос действия”. Для вступления правил программ в действие нужно закрыть и снова открыть программу, правила для которой были изменены. Если теперь попробовать зайти на любой сайт, то никакого запроса действия не произойдет, а программа спокойно установит сетевое соединение. Как оказалось, правило “запрос действия” работает только если в основных параметрах защиты снят флажок с опции “Выбирать действие автоматически”.

Еще один сюрприз ожидает пользователей сетевых утилит типа ping, tracert (если правило “запрос действия” распространить на доверенные программы), putty (ssh клиент) и, возможно, им подобных. Для них KIS упорно не хочет выводить экран запроса действия. Здесь выход может быть только один – устанавливать разрешения для конкретной программы вручную.

Прежде, чем перейти к пакетным правилам, позволю себе один совет: создавайте для каждой группы программ свои подгруппы. Например: “Сетевые утилиты”, “Офисные программы”, “Программы для Интернета”, и т.д. Во первых, всегда можно будет быстро найти нужную программу, и, во вторых, можно будет устанавливать правила на определенные группы, вместо установки правил для отдельных программ.

В пакетных правилах определяются отдельные признаки пакетов: протокол, направление, локальный или удаленный порт, сетевой адрес. Пакетные правила могут действовать как “разрешающие”, “запрещающие” и “по правилам программ”. Правила просматриваются сверху вниз пока не будет найдено разрешающее или запрещающее правило по совокупности признаков. Если правило для пакета не найдено, то применяется правило по умолчанию (последнее). Обычно в сетевых экранах последним правилом устанавливают запрет на прием и передачу любых пакетов, но для KIS это правило разрешающее.

Действие “по правилу программ” является по своей природе “окном” для собственно действий правил программ. Это удобно, поскольку можно определять очередность выполнения правил. Например, программа пытается отправить пакет на 53 порт DNS сервера. Если есть пакетное правило с действием “по правилам программ”, направлением “исходящее”, удаленный порт 53 (или не определен), и для программы установлено разрешающее правило для отправки пакета на 53 порт, то пакет будет отправлен, если программе запрещено отправлять пакеты на 53 порт, то этот пакет отправлен не будет.

Область действия правил охватывает определенную область: “любой адрес” (все адреса), “адрес подсети” – здесь можно выбрать тип подсети “доверенные”, “локальные” или “публичные”, и “адреса из списка” – указать IP адреса или доменные имена вручную. Отношение конкретной подсети к “доверенной”, “локальной” или “публичной” устанавливается в общих нстройках сетевого экрана.

Пакетные правила KIS, в отличие от большинства сетевых экранов, перегружены большим числом направлений: “входящее”, “входящее (поток)”, “исходящее”, “исходящее (поток)”, и “входящее/исходящее”. Причем, правила с некоторыми сочетаниями протокола и направления не работают. Например, правило запрета ICMP в сочетании с потоковыми направлениями работать не будет, т.е. запрещенные пакеты будут проходить. К UDP пакетам почему то применяются потоковые направления, хотя UDP протокол по своей природе как такового “потока” не создает, в отличии от TCP.

Еще один, не совсем приятный момент заключается в том, что в пакетных правилах отсутствует возможность указать реакцию на запрет входящего пакета: запретить прием пакета с уведомлением отправившей его стороны или просто отбросить пакет. Это так называемый режим “невидимости”, который раньше в сетевом экране присутствовал.

Теперь обратимся к собственно правилам.

1 и 2 правила разрешают по правилам программ отправлять DNS запросы по протоколам TCP и UDP. Безусловно, оба правила полезны, но в основном такие сетевые программы как почтовые и браузеры запрашивают адреса сайтов через системную службу DNS, за работу которой отвечает системная программа “svchost.exe”. В свою очередь, сама служба использует вполне конкретные адреса DNS серверов, указываемые вручную или через DHCP. Адреса DNS серверов меняются редко, так что вполне хватило бы разрешения отправки DNS запросов для системной службы “svchost.exe” на фиксированные сервера доменных имен.

3 правило разрешает программам отправку электронной почты по протоколу TCP. Здесь также, как и для первых двух правил, достаточно было бы создать правило для конкретной программы работы с электронной почтой указав на какой порт и сервер производить отправку.

4 правило разрешает любую сетевую активность для доверенных сетей. Будьте очень внимательны при включении этого правила, не перепутайте случайно тип сети. Это правило фактически отключает функции сетевого экрана в доверенных сетях.

5 правило разрешает любую сетевую активность по правилам программ для локальных сетей. Это правило хоть и не отключает полностью сетевой экран, но в значительной степени ослабляет его контрольные функции. По логике 4 и 5 правила нужно было бы разместить в самом верху, чтобы предотвратить обработку пакетов правилами 1 – 3 при нахождении компьютера в доверенной или локальной сети.

6 правило запрещает удаленное управление компьютером по протоколу RDP. Хотя область действия правила “все адреса”, но фактически оно действует только в “публичных сетях”.

7 и 8 правило запрещает доступ из сети к сетевым службам компьютера по протоколам TCP и UDP. Фактически правило действует только в “публичных сетях”.

9 и 10 правила разрешают всем без исключения подключаться к компьютеру из любых сетей, конечно исключая службы, запрещенные правилами 6 – 8. Действует правило только для программ с разрешенной сетевой активностью. Но будьте очень внимательны, сетевая активность по умолчанию разрешена практически всем программам за исключением не доверенных.

11 – 13 правила разрешают прием входящих ICMP пакетов для всех программ. Смысла в этих правилах не больше, чем в 1 – 3, потому, что ICMP в подавляющем большинстве случаев использует программа ping и tracert.

14 правилом запрещается прием всех типов ICMP пакетов, разумеется за исключением разрешенных правилами 11 – 13.

16 правило запрещает входящий ICMP v6 эхо запрос. ICMP v6 в подавляющем большинстве случаев не нужен. Можно было бы запретить его полностью.

17 правило разрешает все, что явно не разрешено или запрещено предыдущими правилами. Это правило хотя и не отображается на экране, но помнить о его существовании безусловно необходимо.

Настройки сетевого экрана KIS по умолчанию безусловно хороши и подходят большинству пользователей домашних компьютеров, на которых, собственно, и ориентирован этот продукт. Но гибкость и нетребовательность к дополнительным настройкам, о которой упоминалось в начале статьи, к сожалению достигается за счет безопасности самих же пользователей, делая эту самую безопасность очень сильно зависимой от человеческого фактора: знаний и безошибочных действий самого пользователя.