در این مجموعه آموزش آنتی ویروس سرور کسپراسکی ( Kaspersky ) ما از نصب کردن کسپراسکی سرور تا انجام ریز تنظیمات و معرفی جزئیات این آنتی ویروس در خدمت شما عزیزان هستیم.
شرکت کسپراسکی ( بخوانید کَسپِر اِسکی ) در سال 1997 کار خود را ابتدا با ساخت محصول آنتی ویروس شروع کرد ، این شرکت در سال 2008 بر روی ازمایشی که شرکت AV-Comparatives بر روی آنتی ویروس نسخه ویندوز XP انجام داد موفق به کسب درجه "Advanced+" شد ، و در میان 16 محصول موفق شد بالاترین رتبه را کسب کند .
موفقیت این شرکت به اینجا محدود نمی شود چرا که در همان سال ازمایشی که موسسه Retrospective/Proactive بر روی شناسایی جدیدترین ویروس ها در طی یک ماه بر روی آن انجام داد کسپراسکی موفق شد تا 21 درصد آنها را تشخیص دهد ( یعنی ویروس ایجاد شده توسط امضای دیجیتالی یک ماهه ) همچنین فایروال آن در محصول Kaspersky Internet Security 7.0 توسط موسسه Matousec's توانست امتیاز "Very Good" را کسب کند و نمره 85 درصد را اخذ کرد ، کسپراسکی در نسخه 7 آنتی ویروس خود موفق شد از موسسه Anti Malware Labs rootkit از نمره 8 ، نمره 6 را کسب کند که این امتیاز بسیار بالا و قابل توجه است .
کسپر اسکی در سال 2007 از سوی مجله انگلیسی " PC Pro " موفق به کسب درجه " A " شد ، سرانجام کسپراسکی در سال 2011 موفق شد تا از موسسه AV-Comparatives موفق به کسب بالاترین رتبه شود و جایزه سال "Product of the Year" را کسب کند ، همچنین از دیگر افتخارات این شرکت می توان به جایزه AV-TEST با نام "AV-TEST Award for Best Protection 2012" که برای محصولات خانگی دریافت کرد اشاره کرد .
در سال 2013 کسپراسکی توانست جایزه بهترین محصول اینترپرایز را از موسسه AV-Comparatives دریافت کند و بالاترین امتیاز را از آزمایشگاه مطرح Dennis Technology کسب کند . کسپراسکی محصولات خود را با مدرک OESIS که با محصولات third-party نظیر سیسکو ، جونیپر ، F5 ، NAC ، SSL VPN سازگار می کند ، امروزه محصولات این شرکت طیف وسیعی از محصولات مختلف نظیر Windows, OS X, Linux, Solaris, Android, iOS, Ubuntu Touch, Windows Phone را در بر می گیرد .
اگر این سوال در چند سال پیش پرسیده می شد بدون شک می توان گفت که کسپراسکی سرور یکی از قویترین محصولات امنیتی جهان است ، اما در چند سال گذشته پیشرفت های چشمگیری در محصولات رقیب مانند بیت دیفندر ایجاد شده است که در آینده باید منتظر رقابت نزدیک و پایاپای این دو شرکت مطرح در عرصه ساخت نرم افزار های امنیتی باشیم ، رقابتی که با بزرگ شدن شبکه های مجازی و حفظ راندمان ترافیک شبکه بالاتر خواهد رفت !!!
در این درس به بررسی ساختار Kaspersky Endpoint Security for Business می پردازیم یکی از محصولات Kaspersky Lab که طرفداران زیادی نیز دارد ، در این دوره آموزش 2 بخش مهم Kaspersky Endpoint Security for windows برای جلوگیری از حملات روی کلاینت ها نصب می شود و بخش دوم Kaspersky Security Center 10 که مرکز مدیریت محصول است . توجه کنید که Kaspersky Endpoint Security تنها جلوی باج افزار ها و هکر ها را نمی گیرد بلکه دارای بخش هایی برای کنترل کاربران و رمزگذاری روی فایل ها و درایو ها نیز هست . برنامه Kaspersky Security Center شامل چندین برنامه است :
شکل زیر نمایی از محیط Kaspersky Endpoint Security برای سیستم عامل ویندوز را نمایش می دهد :
Kaspersky Endpoint Security دارای چندین ابزار و کامپوننت است :
در این درس تعداد دیگری از ابزارهای کسپراسکی سرور همراه با بخش هایی از Task ها را آموزش می دهیم :
در درس های بعدی جزییات و بقیه کامپوننت های محصول کسپراسکی سرور را بیشتر تشریح خواهیم کرد
در این درس به نحوه مدیریت کنسول مدیریتی کسپراسکی می پردازیم :
2 ابزار کار حفاظت از شبکه در Kaspersky Endpoint Security For Business را انجام می دهند :
Network Agent اتصال به Administration Server در زمانبندی خاصی را انجام می دهد ، که به صورت پیش فرض هر 15 دقیقه صورت می گیرد
Agent ها تنها می توانند تغییرات را به لیست سرور ارسال کنند ، این عمل در 3 ساعت برای لیست های مشابه و برای 12 ساعت برای دیگر لیست ها انجام شده و در این هنگام سرور لیست ها را با کامپیوتر ها همسان سازی ( Sync ) می کند .Administration Server توسط پورت TCP با شماره 13000 با Agent ها متصل می شود ، این ارتباط کاملاً رمزگذاری شده و از SSL/TLS استفاده می کند .
برای حفاظت Kaspersky Endpoint Security از کامپیوتر ها یک راه برای مدیران شبکه استفاده از Network Agent و دانلود تنظیماتی است که Kaspersky Endpoint Security توسط پالیسی ها و Task ها از سرور انجام می دهد . در هنگام همگام سازی ( Sync ) کامپیوتر ها توسط Network Agent پالیسی ها و Task ها را روی کامپیوتر ها از سمت Administration Server دانلود می کنند .
معمولاً کامپیوتر ها Task ها و پالیسی هایی که دسترسی ساده تری دارند را توسط همگام سازی دریافت می کنند . Network Agent پکیت ها را توسط UDP پورت شماره 15000 انجام می دهد . اگر سرور بخواهد ارتباطی با Agent برقرار کند یک سیگنال خاصی توسط این پورت ارسال می کند .
زمانی که مدیر شبکه قصد دارد تا پالسی Task رو تغییر دهد Administration Server ارتباطی با Agent روی تمامی کامپیوتر ها برقرار می شود . اگر کامپیوتر ها نتوانند همگام سازی را انجام دهند و ارتباطشان قطع شود توسط سیگنال جهت ازمایش برقراری ارتباط با سرور تلاش می کنند .
در این درس به نحوه مدیریت و تنظیمات کنسول کسپراکسی سرور می پردازیم ، به شکل زیر دقت کنید :
تمامی وضعیت ها و رخداد ها به Network Agent ارسال می شود این منابع به مدیر شبکه کمک می کند تا چک کند در شبکه چه اتفاقی در حال افتادن است ، بخش Administration Server خلاصه ای از وضعیت کامپیوتر های کلاینت ها را نمایش می دهد و این امکان را می دهد که در کنسول بتوانید نود ها را در Administraion Server مانیتور کنیم . برای مدیریت بهتر کنسول کسپراسکی و اعمال تغییرات و تعریف شرایط خاص برای تمامی نود های شبکه می توان Task و Policy ایجاد کرد :
بر این اساس می توانیم برای کامپیوتر های مختلف تنظیمات مختلفی هم تعریف کرد ، مثلاً می خواهیم سرور ها آخر هفته اسکن شوند و کلاینت ها در وسط روز برای این منظور می توانیم 2 گروه را ایجاد و برای هر گروهی پالیسی مخصوص به آن گروه را اعمال کرد .
بحث تنظیمات پالیسی در کسپراسکی سرور مبحث ویژه و مهمی است ، به شکل زیر توجه کنید :
در شکل بالا در سمت چپ پالیسی ها که با علامت قفل مشکی مشخص شده اند محیط مدیریت کنسول کسپراسکی برای تعریف پالیسی را نشان می دهد زمانی که قفل بسته باشد یعنی اینکه پالیسی به تمامی کلاینت ها گروه اعمل می شود ، در سمت راست نیز محیط برنامه کسپراسکی روی کلاینت را نشان می دهد در نوار سبز بالای آن می توانید علامت بزرگ قفل را مشاهده کنید که نشان می دهد کلاینت تحت تاثیر پالیسی روی سرور کسپراسکی برای File Anti-Virus است .
اگر علامت قفل بالای هدر سبز کسپراسکی کلاینت نباشد یا باز باشد یعنی کسپر اسکی کلاینت به صورت لوکال پالیسی را دریافت کرده است ، کلاینت دسترسی به تغییرات تنظیمات ندارد وقتی که علامت مشکی قفل بسته باشد.شکل زیر تشریح کاملی از قانون اعمال پالیسی بر روی گروه ها در کسپراسکی سرور را نشان می دهد به باز بودن و بسته بودن قفل مشکی توجه کنید :
این ها پالیسی هایی هستند که بر روی کلاینت ها در هر گروهی که عضو هستند اعمال می شود ، اولین گروه Root نامیده می شود که بر روی Administration Server قرار دارد ، و نام آن Managed Devices هست ، اگر کاربری را بخواهیم در گروهی قرار دهیم آنها زیر مجموعه همین بخش هستند
پالیسی فعال در واقع توسط Administration Server به کامپیوتر ها اعمال می شود ، پالیسی غیر فعال اعمال نمی شود اما مدیر شبکه می تواند آنها را فعال و تنظیمات خیلی سریع روی کامپیوتر ها اعمال می شود .
همانطور که گفته شد Task ها شرایط و وظایف را برای اعمال شدن بر روی کلاینت ها در یک بازه زمانی انجام می دهد ، مدیر شبکه می تواند بروزرسانی و تنظیمات اسکن را مانند پالیسی ها تعریف کند ،بر خلاف اینکه شما تنها می توانید یک پالیسی را بر روی Kaspersky Endpoint Security داشته باشید در اینجا می توان تعداد زیادی Task را تعریف کرد :
Task ها دارای زیر مجموعه هایی هم هستند مثلاً Task اسکن ویروس و فایل بخشی از Task بروزرسانی و آپدیت هستند . تمامی Task ها دارای برنامه زمانبندی شده هستند ( این یک نکته کلیدی است ) Task ها بر روی کامپیوتر کلاینت ها اعمال می شود بدون اینکه کلاینت بتواند تنظیمات آنها را تغییر دهد حتی اگر کلاینت لوکال باشد - این یکی دیگر از فرق های Task ها با Policy ها است
نکته : هیچگاه همزمان چند Task را آپدیت نکنید چرا که در کنسول مدیریتی کسپراسکی خطا رخ می دهد و در اعمال آنها روی کلاینت ها به مشکل می خوریم
در این درس با نحوه و نوع لایسنس برای کسپر اسکی نسخه Business آشنا می شویم :
سه نوع لایسنس برای نسخه بیزینس کسپراسکی سرور وجود دارد :
نکته : اگر مشتری نمی خواهد Advanced لایسنس را خریداری کند می تواند برای رمزگذاری و موبایل و system manager لایسنس های جداگانه ای خریداری کند
نکته : هر لایسنس دارای شمارگان تعداد نود است مثلا 100 نود شما نمی توانید بعد از این تعداد در کنسول کسپراسکی نودی اضافه کنید باید از لایسنس های 150 و 200 و ... استفاده کنید بنابراین اگر امروز 100 کاربر دارید اینده نگر باشید و لایسنس 150 کاربری خریداری کنید
در ادامه اموزش نحوه فعال سازی لایسنس تشریح می شود
سناریوی شکل زیر را به عنوان آزمایشگاه کسپراسکی انتخاب کردم :
ماشین Security-Center را روشن کنید و در محیط ویندوز سرور 2012 مراحل زیر را طی کنید :
1- روی setup.exe کلیک کنید تا پنجره زیر باز شود :
2- روی Install Kaspersky Security Center کلیک کنید
3- بعد از مشاهده صفحه خوشامدگویی روی Next کلیک کنید
4- مثله همیشه شرایط لایسنس را نخوانده قبول کنید و Next کنید !!!
5- روی Custom کلیک و Next کنید
6- در این مرحله بدون تغییر پیش فرض Next کنید
7- گزینه Fewer than 100 computers in the network را انتخاب و Next کنید
8- ویزارد تعریف اکانت برای Administration Server service را Next کنید خود کسپراسکی یک اکانت تصادفی را می سازد
9- ساخت اکانت برای دیگر سرویس ها را Next کنید
10- حالا Microsoft SQL Server انتخاب و Next کنید
11- انتخاب گزینه Install Microsoft SQL Server 2014
Express SP1 (Recommended) و Next کنید
12- انتخاب و Microsoft Windows Authentication
Mode حالا Next کنید
13- در اینجا Next کنید
14- پورت های Administration Server ports تغییر ندهید ! و Next کنید
15 - انتخاب IP ادرس برای Administration Server و Next
16- تنظیمات پیش فرض را دست نزنید و Next کنید
17- حالا برای شروع نصب روی Install کلیک کنید
18- بعد از نصب تمامی کامپونتن ها روی Finish کلیک کنید
در ادامه مباحث آزمایشگاه انتی ویروس سرور کسپراسکی بعد از نصب برنامه نوبت به تنظیمات ویزاد در Administration Server می رسد برای این منظور طبق اموزشی که در آزمایشگاه 1 گفته شد یکی از ماشین ها را با ویندوز سرور 2012 اختصاص به سرور آنتی ویروس کسپراسکی می دهیم با نام " Security-Center " حالا بریم ماشین روشن کنیم و یک دوری بزنیم با Wizard کسپراسکی سرور :
1- انتخاب Administration Server
2- روی صفحه Welcome Page ویزارد را Next کنید
3- حالا license را در بخش Activate application with Key File ادد می کنیم :
4- حالا Key فایل را انتخاب می کنیم و Next :
5- پراکسی سرور را تنظیم نکنید و Next کنید
6- تیک بخش چک نسخه جدید را نزنید و روی Skip check کلیک و Next کنید :
7- حالا قوانین KSN را مطالعه کنید و روی I agree to
participate in Kaspersky Security Network کلیک و Next را بزنید :
8- یک آدرس ایمیل معتبر در کادر Recipients تعریف کنید ( مثلاً administrator@abc.lab ) و SMTP server را با یک Ip ( مثلاً 10.28.0.10 ) بنویسید
9- حالا روی Send test message کلیک کنید تا درستی تنظیمات چک شود
10- حالا که پیام درست بودن سرور مشاهده شد Close کنید
در این آزمایشگاه بنده برنامه Tunderbirds را نصب کردم روی ماشین Security-Center که کنسول کسپراسکی روی آن نصب شده حالا یک پیام از Administration Server در باکس ایمیل می آید . ( شما هم سعی کنید برنامه را داشته باشید چون در آزمایشگاه های بعدی به آن نیاز داریم )
11- مانند شکل زیر گزینه های پیش فرض برای Kaspersky Endpoint Security policy را OK کنید :
12 - حالا صبر کنید تا پالیسی های پیش فرض تنظیم شوند :
13- در صفحه Network poll روی Next کلیک کنید
14- ویزاردی به صورت شکل زیر می آید که می توانید Next کنید :
15- حالا می توانید بدون زدن تیک Run Protection Deployment Wizard و رد کردن ویزارد تنظیمات حفاظتی روی Finish کلیک کنید :
16- روی Managed devices کلیک کنید حالا روی تب Devices کلیک تا مانند شکل زیر سرور نمایش پیدا کند که در واقع ماشینی است که با نام " Security-Center " ساخته ایم :
هنگام Deploy کسپراسکی سرور باید تمامی شبکه تحت حفاظت قرار بگیرد ، مدیر شبکه باید یک مدیریت مرکزی داشته و دسترسی به نصب Kaspersky Security Center 10 یا KSC 10 را داشته باشد و بتواند Kaspersky Endpoint Security 10 For Windows یا KES 10 را روی کامپیوتر ها نصب کند :
شکل بالا نمایی از تمامی نیازمندی ها برای حفاظت از شبکه توسط کسپراسکی سرور 10 را نشان می دهد ، ابتدا Kaspersky Administration Console را نصب می کنیم تا بتوانیم کنسول مدیریتی برای نصب راه دور یا نصب Kaspersky Security Center Administration Console را روی کامپیوتر مدیریتی انجام دهیم .
همچنین باید روی همه کامپیوتر ها Kaspersky Endpoint Security را نصب کنیم و همچنین Network Agent را تا بتوانیم مدیریت کاملی روی همه کامپیوتر ها داشته باشیم . همچنین اگر در شبکه Active directory داشته باشید به راحتی می توانید بدون ساختن گروه از تمامی اجزای ان در محیط مدیریت کنسول کسپراسکی نسخه سرور ویندوز استفاده کنید . برای Deploy مراحل زیر را انجام می دهیم :
شکل زیر مراحل Deploy را نشان می دهد :
نکته : به صورت تجربه کاری به شما پیشنهاد می کنم اگر کنسول مدیریتی را نصب کردید برای شروع روی چند کامپیوتر کلاینت برنامه کسپر اسکی را نصب کنید و Agent مربوطه را و تست کنید ببینید آیا با کنسول ارتباط برقرار می کنند یا خیر بعد شروع کنید روی تمامی کامپیوتر ها نصب را انجام دهید ، این کار باعث می شود تا اگر مشکلی پیش بیاید در زمان کمتری آن را حل کنید مثلاً اگر مدیر شبکه شرکتی هستید با 100 کلاینت اگر همه را نصب کنید و ناگهان متوجه مشکلاتی در نصب و ارتباط با کنسول مدیریتی کسپراسکی شوید خیلی بیشتر باید زمان سپری کنید تا مشکل را برطرف کنید
قبل از اینکه نصب برنامه Kaspersky Security Center Administration Server را شروع کنید لازم است تا کامپیوتر ها را با سیستم سخت افزاری و نرم افزاری مورد نیاز کسپراسکی اماده کنیم ، پیشنهاد می کنم اگر بالای 1000 تا کلاینت دارید نصب را بر روی یک سیستم سخت افزاری بسیار قوی انجام دهید ، شکل زیر نصب محصول کسپراسکی سرور تحت انواع مختلف ویندوز سرور را نشان می دهد :
- همچنین روی سیستم های غیر سروری به صورت زیر :
برای سیستم عامل های کلاینت های ویندوز :
- برای مجازی ساز ها :
- برای بانک های اطلاعاتی :
کسپراسکی سرور تحت ویندوز در هنگام نصب می تواند نسخه ای از SQL 2014 Express را نصب کند اما اگر کلاینت های شما بالای 5000 عدد است بهتر است از آن استفاده نکنید در درس های بعدی توضیح می دهم که از چه روشی استفاده باید کرد !
- برنامه های مکمل که نیاز است :
- حداقل سخت افزار مورد نیاز :
برای نصب کسپراسکی سرور تحت ویندوز شما می توانید از لینک های زیر استفاده کنید :
همچنین می توانید از صفحه محصولات در بخش پشتیبانی فنی به آدرس نصب کسپراسکی سرور
در اینجا دو فایل نصبی را دانلود کنید :
هنگامی که Administration Server را اکسترکت می کنید شامل فولدر هایی است با کامپوننت های زیر :
در آزمایشگاه شماره 1 مراحل نصب کسپراسکی سرور توضیح داده شده است ( تصویری ) کسپراسکی سرور همیشه بک آپی را از اخرین تغییراتی که بر روی کنسولش صورت می گیرد در مسیر %programData%\kasperskySC فولدری هست که محتویات بک آپ را نگهداری می کند .
در نصب کنسول کسپراسکی اولین قدم بعد از ایجاد بستر سخت افزاری و نرم افزاری موجود باید بسته به نیاز شبکه تعداد لایسنس ها برای سرور ها و کلاینت ها چه در زمان حال و چه در اینده را در نظر بگیریم :
انتخاب ها می تواند به صورت زیر باشد :
خودکار بودن تصادفی بعضی از Task ها برای شروع به کار مانند Virus Scan و بروزرسانی و Task group های دیگر ... انجام می شود ، برای همین اگر بستر شبکه بزرگی دارید خیلی باید مراقب باشید که شروع به کار Task هایی که خودکار هستند باعث افت سرعت در شبکه نشود :
مباحثی از قبیل Slave Administration و پارامتر های Security دوره ای پیشرفته در KL 302.10 است که محور بحث این مبحث نیست !
کسپراسکی در زمان نصب اکانتی را به صورت تصادفی با حروف آغازین KL-Ak-* می سازد و در ادامه چندین کاراکتر را قرار می دهد همچنین گروهی را در سرور کسپراسکی به نام KLAdmins می سازد و دسترسی Full Access به آن داده می شود . در نصب راه دور کسپراسکی نیازی به اجرا سطح دسترسی Full control نیست و نصب انجام می شود . بجز نصب محصولی مثله SQL server که دسترسی Read و Write مهم است .
اگر می خواهید در هنگام نصب کسپرسکی سرور از SQL سرور هم استفاده کنید :
شما می توانید از SQL و Microsoft Sql Server استفاده کنید این انتخاب ها بستگی به شرایط کاری شما دارد . Microsoft SQL Server دارای ویژگی کد باز است می توان از ان در لینوکس استفاده کرد . همانطور که قبلا هم گفته شد سرویس نصب کسپراسکی سرور دارای یک نصب برنامه Microsoft SQL Server 2014 SP1 Express است که خودکار نصب می شود .
تنظیمات کسپراسکی سرور برای SQl هم به صورت زیر انجام می شود :
در پایان برای تست اتصال باید مانند شکل زیر نمایش داده شود :
محلی برای ذخیره سازی آپدیت ها و اینستالر های اپلیکیشن ها و Network Agent و Kaspersky Security Center است . به صورت پیش فرض در Administration Server در فولدر با فایل های برنامه در محلی به نام فولدر KLSHARE قرار دارند .
Administration Server برای ارتباط با Network Agent از دو TCP پورت زیر استفاده می کند :
Certificate که کسپراسکی سرور برای SSL استفاده می کند هر 10 سال بروز می شود و توسط Administration Server ساخته شده است .
Network Agent به منظور ارتباط کلاینت ها با Administration Server نصب می شود ، و دارای آدرس و پورت به خصوصی است ، شکل زیر :
همچنین Task های زیر نیز در بخش Scope های محیط کسپراسکی سرور ایجاد می شود :
نکته : کسپراسکی پیشنهاد می کند که اولین هدف نصب مدیران شبکه حالت راه دور باشد این روش 100 درصد ضریب موفقیت را دارد
1- نصب از راه دور :
روش های نصب راه دور برای ابزارهای کسپراسکی سرور زیاد است اما همه آنها مکانیزم یکسانی دارند ، بخش Administration server کسپراسکی تمامی کامپیوترهایی که دارای انتی ویروس کسپراسکی نیستند را مشخص می کند و در تب Monitoring کنسول نمایش می دهد در ناحیه Deployment به رنگ اخطار زرد رنگی آن را نمایش می دهد ! برای درست شدن این وضعیت روی آن کلیک و Enable Protection را بزنید . حالا مانند شکل زیر عمل می کنیم :
در Advanced | Remote installation مدیر می تواند نصب راه دور را شروع کند . کافی است پک مورد نظر انتخاب شود و بعد از طی مراحل Wizard نصب شروع می شود . تب New برای چک دریافت جدیدترین و آخرین نسخه از سایت شرکت کسپراسکی تعبیر شده است .
نکته کلیدی : ممکن است در سرویس های Citrix امکان نصب راه دور دارای اجازه دسترسی و نصب نباشد .
- انتخاب کلاینت ها برای نصب
به شکل زیر دقت کنید :
نصب هم به صورت گروهی که کلاینت ها عضو آن هستند صورت می گیرد و هم به صورت انتخابی !
در مرحله دوم نامی را انتخاب می کنیم :
حالا کلاینت هایی که می خواهیم نصب روی آنها انجام شود را انتخاب می کنیم:
گزینه Add در سمت راست این پنجره برای عمل تشخیش و یافتن خودکار کلاینت ها و نود های شبکه است که می تواند بر اساس نام و یا IP باشد :
حالا روش های نصب Agent کسپراسکی باز می شود :
کسپراسکی Endpoint Security بر خلاف Network Agent نیاز دارد تا برای روی کاینت ها فعال شود ، در ویزارد نصب می توان هم به صورت فایل لایسنس و هم با وارد کردن کدهای آن در مسیر پیش فرض آن رت فعال کرد . همچنین می توانید بعد از پایان نصب کنسول کسپراسکی در مسیر Advanced ---> Application management ----> kaspersky lab license آن را بخش Activation code و انتخاب باکس Automatically deployed key فعال سازی را انجام دهید .
به صورت عمومی هنگام نصب سیستم ها نیازی به ری استارت ندارند تنها زمانی لازم است که نرم افزار را اپگرید کرده باشیم نصب Network Agent اصلاً نیازی به ری استارت کلاینت ندارد گزینه Promt user for action گزینه مناسبی برای تمامی کلاینت ها است همچنین اگر می خواهید آن را روی یک سرور نصب کنید می توانیم از گزینه Do not restart the computer استفاده کرد .
همچنین اگر کاربری امتناع کند از خاموش کردن سیستم خود در مدت زمان طولانی یک پیامی را می توان هر 5 دقیقه ( به صورت پیش فرض ) برای وی ارسال کرد متن پیام را می توانید به " زبان پارسی " نیز تایپ کنید و زمانی را هم برای ری استارت اجباری که 30 دقیقه ( پیش فرض ) است تنظیم کنید .
هنگامی قصد دارید برنامه Endpoint security 10 کسپراسکی را نصب کنید این برنامه می تواند اقدام به حذف آنتی ویروس هایی کند که ناسازگار با محصول کسپراسکی هستند زیرا مشکلات جدی برای کاربران و کامپیوتر ها ایجاد خواهند کرد .
نکته کلیدی : این فرایند در کسپراسکی را نمی توان غیرفعال کرد
به کلاینت ها و سرورهایی می گویند که در کسپراسکی سرور تحت شعاع پالیسی و Task نیستند و آنها را توسط Network Agent محلشان را مشخص می کنیم و اقدام به نصب کسپراسکی Endpoint Security می کنیم ، در واقع کامپیوتر ها یا Managed Device هستند یا Unassigned computers هستند !
برای شروع آزمایشگاه شماره 3 ابتدا DC و Security-Center را روشن کنید نام کاربری abc\Administrator و پسورد هر دو سرور Ka5per5Ky است . همچنین کلاینت PC1 را با نام کاربری abc\Alex و پسورد Ka5per5Ky وارد شوید :
1- وارد سرور کسپراسکی به نام Security-Center شده و کنسول Kaspersky Security Center Administration را باز می کنیم می توانید از Start و سرچ ویندوز هم استفاده کنید
2- نود Administration Server را انتخاب کنید
3- از سمت راست وارد تب Deployment و سپس لینک Enable protection را انتخاب کنید
4- اجرا ویزارد نصب و انتخاب Remote
installation و کلیک روی Deploy installation
package on managed computers
(workstations) انجام دهید
5- انتخاب Kaspersky Endpoint Security 10 for
Windows و Next را بزنید
6- انتخاب یکی از 2 مورد زیر و سپس Select devices for installation را کلیک کنید
7- در زیر Managed devices انتخاب Security-Center
8- زیر Unassigned devices و انتخاب کلاینت PC1 و Next کنید
9- گزینه های انتخابی پیش فرض را رها کرده و Next بزنید
10- حالا انتخاب Key برای سرور و کلاینت ها و Next کنید
11- ری استارت در اینجا ضروری است و انتخاب Prompt user
for action و Next کنید .
12- موافقت با حذف برنامه های ناسازگار و سپس Next کنید
13- گروه Managed
devices را انتخاب و Next کنید
14- انتخاب گزینه Account required (for installation
without Network Agent) و تعریف یک نام کاربری و پسورد مدیریتی برای دسترسی داشتن به کلاینت ها را وارد کنید
15 - اکانت را اضافه Add کنید
16- تایپ کنید Administrator و پسورد را Ka5per5Ky و OK کنید
17- وقتی مطمئن شدید که Administrator اکانت اضافه شده Next را بزنید .
18 - حالا برای شروع نصب Next را بزنید
19 - بعد نصب Finish را بزنید
20- انتخاب Task Deploy Kaspersky Endpoint
Security 10 for Windows و اطمینان حاصل کنید که روی 2 کامپیوتر نصب در حال انجام است :
21- حالا در 99 درصد مراحل نصب صبر می کند تا کلاینت ها ری استارت شوند
22- به PC1 بروید
23- شما باید پیام ری استارت را مشاهده کنید حالا Restart را بزنید
24- بعد ری استارت شدن با نام کاربری abc\Alex و پسورد Ka5per5Ky وارد شوید
شما می توانید نصب برنامه های کسپراسکی سرور را با Active Directory Group Policy انجام دهید برای این منظور در بخش Installation Package in Microsoft Installer ( .MSI ) فرمت مخصوص را باید در Share folder برای هر کامپیوتر تحت دومین با پرمیژن Read قرار دهید . در اکتیودایرکتوری هم پکیج را در یک گروپ پالیسی تعریف کنید موقعی که یک کلاینت تحت دومین شروع به لاگین می کند نصب خودکار انجام می شود .
- نصب Network Agent با اکتیودایرکتوری
کسپراسکی سرور در داخل کنسول Task ویژه ای را برای نصب Network Agent در نظر گرفته است به شکل زیر توجه کنید :
کسپراسکی در Administration server گروه جدیدی را ایجاد می کند که با نام KasperskyAK ( چند کاراکتر رندوم بعد AK ) را در اکتیو دایرکتوری می توان مشاهده کرد و باعث کار Task در کامپیوتر ها می شود . در Administration Server می توان گروهی جدید را در گروپ پالیسی به نام KasperskyAK ساخت تا Network Agent را در روی فولدر اشتراکی با پسوند MSI توزیع کرد .
حالا با ری استارت شدن کلاینت و دوباره لاگین کردن به صورت اتوماتیک نصب شروع می شود :
نصب با یک فایل Setup.exe صورت می گیرد و برنامه های Endpoint و Agent کسپراسکی سرور را می توان نصب کرد :
برای نصب پکیج به صورت لوکالی به بخش Advanced, Remote installation , Installation packages رفته و ویزاردی را به صورت شکل زیر طی کنید :
در موقعی که Endpoint را به صورت Standalone نصب می کنید لازم به نصب Agent هم هستید :
حالا اسمی را برای پکیج انتخاب کنید خیلی دقت کنید که نام پکیج مناسب انتخاب شود و حاوی شماره نسخه و نام دقیق نسخه باشد :
حالا یک Setup.exe در مسیر پوشه PkgInst ساخته می شود شما می توانید پکیج های دیگری که ساخته اید را در مسیر سرور کسپراسکی به آدرس :
administration name> \ KLSHARE\PkgInst\<standalone package name >\setup.exe >\\
حالا در مراحل پایانی ساخت پکیج نصب به صورت لوکالی یک TEXT را به شما ارایه می دهد که شما می توانید آن را ایمیل کنید برای هر کاربری که می خواهید نصب را انجام دهد :
مطالعه نتایج Task نصب باعث می شود تا مطمئن شویم که گروه Managed Device ها که کامپیوتر ها روی آن هستند در حال نصب Agent و Endpoint هستند یا خیر ، در این تست با سرور Security-Center و کلاینت PC1 کار داریم ، آنها را روشن کنید :
1- Task که کامل شود پیامی را صادر می کند :
2- کلیک کنید روی لینک View Result تا گزارشات مشاهده شود :
3- Task را ببندید
4- بروید بر Managed devices
5- برای چک لیست کامپیوتر ها روی تب Devices کلیک کنید
6- مطمئن شوید PC1 و Security-Center در اینجا باشند
7- روی PC1 رفته و Properties را باز کنید
8- روی Applications انتخاب کنید :
9- مطمئن شوید Network Agent و Endpoint نصب شده باشند :
در این آزمایشگاه قصد داریم تا تمامی کامپیوتر هایی که تحت Managed Devices اراده می شوند را از نظر گزارش گیری حفاظتی در سرور کسپراسکی بررسی کنیم ، سرور Security-Center و Laptop را روشن کنید ، در روی ماشین Security-Center به بخش Managed Devices بروید و تب Devices را بزنید :
1- حالا وارد Administration Server شوید و تب Reports را بزنید را بزنید
2- انتخاب کنید Kaspersky Lab software version
report
3- حالا بخش گزارشات عمومی باز شده و می توان با کلیک بر روی Show Report موضوعات هر ناحیه از حفاظت را مشاهده کرد :
4- در اینجا گزارش Kaspersky Endpoint Security و Network Agent و تعداد کامپیوتر هایی هستند را می توان مشاهده کرد :
5- حالا صفحه گزارش را ببنید
در این بخش می خواهیم گروهی به نام Servers و Workstations را در زیر Managed devices ایجاد کنیم . سپس Desktops و Laptop را به عنوان زیرگروه Workstations اضافه کنیم ، از ماشین Security-Center مراحل زیر را انجام می دهیم :
1- اجرا کنید Administration Console
2- سوییچ کنید روی نود Managed devices
3- روی تب Devices کلیک کنید
4- برای ساخت گروه ، کلیک کنید روی New Group
5- حالا تایپ کنید Servers و OK کنید
6- انتخاب Managed devices
7- ساخت نود دیگری به نام Workstations
8- در گروه Workstations زیر مجموعه به نام Desktops و Laptops را ایجاد کنید
در هنگام نصب بسته کسپراسکی سرور ممکن است بخواهید اخرین نسخه اعلام شده را دریافت کنید برای انجام آن باید در کنسول سرور وارد Installation Packages شوید و سپس Additional actions تب ، و سپس viwe current version of kaspersky lab applications را بزنید :
حالا می توانید کلیه بخش هایی که نیاز دارید تا بروزرسانی شوند و پکیج اماده شود را انتخاب کنید :
نکته : بروزرسانی تمامی پکیج ها ممکن است خیلی طول بکشد
همچنین می توان برنامه های سرور نظیر mobile و workstation و virtualization و KSC و ... را بروزرسانی کرد همچنین می توان بسته زبان سرور را انتخاب و دریافت کرد .
با کلیک روی نود سرور کسپراسکی که در شکل زیر میبینید و در بخش Update می توانید اطلاعاتی درباره نسخه جدید و بروزرسانی هایی که انجام شده را مشاهده کنید همچنین پیام هایی از بروزرسانی در بخش Monitoring و Deployment است .
همانطور که در درس های گذشته گفته شد کسپراسکی در زمان نصب نسبت به برنامه های امنیتی و انتی ویروس های برند های دیگر واکنش نشان می دهد لذا باید آنها را از روی کلاینت ها و سرور ها حذف کرد که این کار را به صورت خودکار در زمان نصب کسپراسکی انجام می دهد ، کسپراسکی همچنین این قابلیت را بر اساس INI فایل ها که همراه برنامه ها نصب می شوند و توسط مسیر %ProgramFiles%(86X)\Kaspersky Lab \ Kaspersky security Center \ Data \ clear چنانچه برنامه ی ناسازگار توسط سرور کسپراسکی کشف نشود شما باید موضوع را با بخش پشتیبانی کسپراسکی در میان بگذارید :
شکل زیر فرمی که برای تماس با واحد پشتیبانی کسپراسکی باید پر شود را نشان می دهد :
با توجه به شکل بالا چنانچه ایرادی در حذف برنامه های ناسازگار دریافت شود کسپراسکی ان را در پیامی قرمز رنگ توضیح می دهد و مدیر شبکه باید خود به صورت دستی ان را برنامه را حذف کند از جمله دلایلی که کسپراسکی قادر به حذف برنامه نیست حذف شدن برنامه توسط کاربر و ماندن بخشی از فایل ها در داخل ویندوز و رجیستری است .
برای مشاهده اینکه برنامه Agent و ... به درستی بر روی سیستم ها نصب شده می توانید ان را در مسیر
Advanced \ Application management \ Application registery
همچنین می توانید یک Export هم از لیستی از تمام سیستم ها که شناسایی و نصب برنامه های کسپراسکی بر روی انها انجام شده را مشاهده کرد .
شما می توانید Task حذف برنامه های ناسازگار را در سرور کسپراسکی تعریف کنید هنگامی که وارد Task ها می شوید بر روی تب create Task کلیک کنید پنجره ای مانند شمل زیر باز می شود که حاوی تمامی Task هایی که در سرور کسپراسکی قرار گرفته است :
نکته : برای رفتن به بخش Task ها از بخش Kaspersky Security Center Administration Server Advanced Unistall Application remotly می توانید Wizard ساخت Task را سپری کنید !
در سرور کسپراسکی به راحتی می توان گزارش کلی را مشاهده کرد که در شکل زیر می توانید مشاهده کنید :
به صورت گرافیکی نیز می توان :
- گزارشات نصب و عدم نصب Agent و Endpoint
همچنین می توان از بخش Protection Deployment Report گزارشات هندسی را درباره نصب و عدم نصب Endpoint و Agent را مشاهده نمود :
کسپراسکی می تواند تمامی نود هایی که در شبکه هستند را تشخیص دهد این ویژگی از طریق :
جمع آوری شود :
در بخش Polling کسپراسکی سرور وارد Advanced | Network poll شده و می توان به با :
تحت ویژگی به نام Unassigne devices
تمامی نود ها را بر روی کسپراسکی دیسکاوری کرد
همچنین ویژگی دیسکاوری یا Polling دارای پارامتر های دیگری نیز هست :
- می توان را غیر فعال نیز کرد
- می توان آن را طوری تنظیم کرد که تنها بخشی از شبکه را دیسکاوری کند
- می توان آن را زمان بندی هم کرد
- دیسکاوری توسط اکتیودایرکتوری
در شکل بالا می توانید مراحل دیسکاوری توسط اکتیودایرکتوری را مشاهده کنید
- دیسکاوری بر اساس IP سابنت
همانطور که از اسم این روش پیداست دیسکاوری بر اساس تمامی Ip ادرس هایی که در شبکه وجود دارد و با استفاده از پروتکل ICMP انجام می شود .
همچنین مدیران شبکه در بخش سرور کسپراسکی می توانند تمامی اعلان ها و دیسکاوری ها را بر روی Email خود داشته باشند :
می توانیم در کسپراسکی سرور گروه هایی را برای مدیریت بهتر کلاینت ها و سرور ها ایجاد کرد . روی کنسول کسپراسکی وارد شده و روی گزینه Managed devices می توانیم راست کلیک کنیم و یک گروه جدید بسازیم :
خیلی ساده می توان کلاینت یا سرور مورد نظر را با موس گرفت و با حرکت Drag and drop آن را عضو گروه کرد ، می توان با Cut کردن و paste کردن هم این کار را انجام داد :
همانطوز که در شکل بالا میبینید برای اضافه کردن کلاینت ها در گروه ها کافی است بر روی گروه مورد نظر کلیک و تب Add devices را بزنید همچنین در مرحله بعدی نام یا IP ادرس ها و یا یک فایل متنی Text را وارد می کنیم :
هنگامی تعداد گروه ها و زیر مجموعه ها و اعضا آن ها خیلی زیاد باشد ما مجبوریم یک سلسله مراتبی را در ساختار ایجاد گروه ها و عضویت کلاینت ها ایجاد کنیم این سلسله مراتب می تواند در شبکه های دومینی به صورت Active directory باشد و یا در شبکه های ورک گروپی می تواند بر اساس نام و ... باشد ، در شکل زیر نمایی از ساختار اکتیو دارکتوری نمایش داده شده است :
همچنین می توانیم با استفاده از یک فایل متنی Text گروه ها را ایجاد کرد :
هنگامی ما دارای اکتیو دایرکتوری باشیم یا IP سابنت در سطح شبکه باشیم می توانیم در محیط کنسول کسپراسکی سرور مدیریت متمرکزی را بر گروه هایی که در آن داریم داشته باشیم همچنین می توانیم برای داشتن یک Role که کار خودکار عضو کردن کلاینت ها در گروه ها ها را انجام دهد در مسیر Unassigned devices یا در بخش Advanced network poll و کلیک روی تب Configure rules و دنبال کردن مسیر Setup rules of device moving to administration group و با استفاده از لینک Advancednetworkpoll این کار را انجام داد :
در بعضی از موارد هنگامی که در کنسول سرور کسپراسکی می خواهیم کلاینت ها را با استفاده از رولی خودکار جا به جا کنیم می توانیم آن رول را غیرفعال کنیم اما نمی توانیم آن را پاک یا ویرایش کنیم تنها زمانی می شود این کار را کرد که یک Task مطابق آن داشته باشیم و یا Standalone پکیجی یاشد که پاک شده است :
از جمله قوانین و پارامتر های هر رولی برای جا به جایی :
موقعی که چنین رول هایی کار میفتند ، با توجه کنیم که :
حملات ممکن است به شکل نوشتن باج افزار ها و همچنین تهدیدات Zero-day صورت بگیرد این حملات اکثراً صدمات جبران ناپذیری را به سیستم ها و محتویات نرم افزاری آنها وارد می کند ، آنها با رمز گذاری بر روی فایل های اسناد و اخذ هزینه پول برای دادن کلید آنها اخاذی نیز می کنند از جمله راه های جلوگیری از این حملات را می توان :
در این ازمایشگاه قصد داریم برای کامپیوتر هایی که در بخش Unassigned devices لیست شده اند رولی را تعریف کنیم
1- روی نود Unassigned devices کلیک کنید
2- لیست رول ها را باز کنید و دکمه Configure rules را بزنید
3- ساخت یک رول سرور و Add کنید
4- نوشتن Servers برای نام رول
5- برای دسترسی به گروه انتخابی با زدن Browse و انتخاب زیرگروه Managed devices\Servers
6- انتخاب Rule works permanently
7- فعال کردن برای همه کامپیوتر ها و پاک کردن Move only devices added to none of the
administration groups چک باکس آن
8- فعال کردن رول :
9- انتخاب Applications
10 - فعال کردن رول زمانی که Agent نصب می شود و در Network
Agent is running کلیک روی Yes را انجام دهید
11- فعال کردن رول با توجه به سیستم عامل سرور و انتخاب چک باکس Operating system
version
12- زیر Operating system version و انتخاب Microsoft Windows Server 2012 و Microsoft
Windows 2012 R2
13- برای ذخیره سازی رول روی OK کلیک کنید
14- ساخت رول برای Desktop کامپیوتر ها و کلیک روی Add
15- نوشتن Desktops به عنوان نامی برای رول
16- استفاده از Managed
devices\Workstations\Desktops
17- انتخاب گزینه Rule works permanently
18- برداشتن چک باکس Move only devices added to none of
the administration groups
19 - انتخاب چک باکس Enable rule
20- تنظیمات IP ادرس و رفتن به Network
21- انتخاب IP range که رول برای ادرس هایی که کامپیوتر ها در رنج آن هستند فعال شود
22- 10.28.0.100—10.28.0.199
23- ذخیره رول و زدن OK
24- ساخت رول برای Notebooks و کلیک روی Add
25- نوشتن Laptop برای اسم رول
26- مسیر گروه Managed
devices\Workstations\Laptops
27- انتخاب گزینه Rule works permanently
28 - برداشتن تیک گزینه Move only devices added to none of
the administration groups
29- انتخاب چک باکس nable rule
30- انتخاب Network
31- انتخاب چک باکس IP range
32- تایپ رنج 10.28.0.200—10.28.0.254
33- کلیکOK و ذخیره پارامتر ها
34- لیست رول ها را ببندید و OK کنید
35- بازکردن گروه Servers و رفتن روی تب Devices
36- مطئن شوید در Security-Center کامپیوتر ها با Windows 2012 R2 به صورت خودکار عضو این گروه شده باشند
37- مطمئن شوید که PC1 و Laptop با ادرس های 10.28.0.100 10.28.0.200 به صورت خودکار عضو گروه های Desktops و Laptop باشند
در این ازمایشگاه قصد داریم با استفاده از کسپراسکی Endpoint پالیسی را تعریف کنیم که در آن بخش File Anti-Virus بدون Network drive حفاظت را انجام دهد :
1- شروع از Administration Console
2- بازکردن Managed devices و تب Policies را بزنید
3- انتخاب Kaspersky Endpoint Security 10
Service Pack 2 for Windows در بخش Policy
4- کلیک در لینک Configure policy
5- بازکردن تنظیمات File Anti-Virus
6- بر روی Settings کلیک کنید و تب Security level
7- برداشتن تیک باکس All network drives و کلیک روی OK
8- حالا OK کنید تا تنظیمات ذخیره شود
9- حالا صبر کنید تا پالیسی اعمال شود
در این آزمایشگاه قصد داریم تا TASK تنظیمات برای Virus Scan را ایجاد کنیم :
1- وارد کنسول Administration Console شوید
2- بازکردن Managed devices
3- رفتن به تب Tasks
4- انتخاب TASK - Quick Virus Scan
5- کپی TASK برای اینکه شورت کاتی از آن ساخته شود
6- حالا از بخش Managed deviced به Servers بروید و تب TASK را بزنید
7- حالا TASK را کپی کنید و PASTE را بزنید
8- حالا روی TASK که شورتکات شده راست کلیک و Properties را بزنید می خواهیم نام آن را عوض کنیم
9- تغییر نام به Virus Scan – Servers
KES10 SP2 و OK را بزنید
10- باز کردن Workstations و TASK را بزنید
11- کپی کنید تسک Quick Virus Scan و آن را در Workstations پیست کنید
12- حالا تسک را تغییر نام دهید به Quick Virus Scan (1)
13- نام آن را Virus Scan –
Workstations KES10 SP2 قرار دهید
همانطور که در شکل بالا می بینید کسپراسکی Endpoint از ابزار های زیادی برای دفع حملات استفاده می کند ، کسپراسکی برای رسیدن به این طیف وسیع کنترل بر روی کلاینت ها در سطح جهان تعداد زیادی مرکز تحقیقاتی را ایجاد کرده است :
کسپراسکی KSN یا Kaspersky Security Network یک سیستم ابری است که به جمع اوری اطلاعات تهدید امیز و ارایه راه کارهای حفاظتی کمک می کند . کسپراسکی KSN بر اساس سه سطح Trust فایل ها را بررسی می کند :
کسپراسکی Endpoint بوسیله کامپوننت هایی که توسط اتصال به شبکه دارد قادر است تا آخرین بروزرسانی ها را دریافت کند ، این بروزرسانی ها دیتا بزرگی از برنامه های Trust شده و اسکن انها برای جلوگیری از تهدیدات است . کسپراسکی سرور با استفاده از تنظیمات پالیسی و تسک ها اطلاعات لازم به Endpoint را تحویل می دهد :
Klif.sys وظیفه اسکن فایل ها و درایور ها دارد به صورت پیش فرض این فایل ها اگر الوده باشند بلاک می شوند و اگر مجدداً کار بیفتند حذف و یا آلودگی را از روی فایل بر می دارند ( تکنولوژی Infected که توسط کسپراسکی معرفی شد ) .
هنگامی که Endpoint سعی دارد تا فایل ها را اسکن کند برای جلوگیری از کندی سرعت از دو راه کار عمده استفاده می کند :
کسپراسکی پیشنهاد می کند بیشتر این کندی از سمت تنظیمات و اجرای زیاد تعداد تشک ها و پالیسی ها نیز می تواند باشد بهتر است کدیر شبکه پارامتر هایی را که بیشترین اهمیت دارند را انتخاب کند .
این گزینه در بخش File anti-virus وظیفه انالیز برنامه های اجرایی یا همان فرمت Exe را دارد و کمک می کند تا باج افزار ها سریعتر پیدا و شناسایی شوند بخصوص آن دسته از باج افزار هایی که فرمت فایل ها را دستخوش تغییر می دهند . این گزینه دارای سه درجه است Light - Medium - Deep که در انتخاب آنها باید دقت کنید چرا که بیشترین درجه باعث می شود تا حساسیت برنامه Endpoint برای اسکن فایل ها بیشتر شود در نتیجه کلاینت ها کندتر می شوند .
نکته : File anti-virus کسپراسکی سرور بسیاری از فرمت ها را چند بار چک نمی کند این گزینه به صورت پیش فرض فعال است مگر اینکه آن فرمت ها تغییری کنند خاموش کردن این قابلیت باعث می شود تا کلاینت ها به شدت سرعتشان کند شود
حال سوالی ممکن پیش بیاید برای مدیران شبکه که کسپرسکی چگونه این تغییرات را متوجه می شود زمانی که فرمت هارددیسک ها NTFS شد لاگ هایی را موقعی که فایلی تغییر پیدا می کند ایجاد می کنند که این لاگ ها مدام توسط Endpoint کسپراسکی چک می شود . اما درباره Fat32 باید گفت که آنها نمی توانند لاگ دیتا ها را ایجاد کنند برای همین در خطر تهدید جدی باج افزار ها قرار دارند . اما کسپراسکی Endpoint این دسته از فرمت ها را نیز با قابلیت ها و ابزار هایی که در دیتابیس خود دارد اسکن می کند .
این گزینه ها در مسیر File anti-virus در بخش Additional \ scan technologies \ قرار دارند کار iSwift بر اساس الگوریتم خاصی فایل ها را بر اساس جدید بودن و تغییرات در فرمت NTFS بررسی می کند ، به صورت پیش فرض فعال است . همچنین گزینه ichecker Technology که به صورت پیش فرض فعال است بر روی فرمت Fat32 نظارت دارد این تکنولوژی بر اساس امضای دیجیتال فایل ها کار می کند
در بخش performance \ Scan of compound files \ Scan archives امکانی وجود دارد که که فایل ها با فرمت های Zip و Rar و ARJ و ... اسکن می شوند این فایل ها می توانند در داخل فولدر Temporary و مموری کامپیوتر ها اشباع شوند . همچنین بخشی هم در مسیر performance \ scan of compound files \ scan installation packages قرار دارد که به بررسی فایل هایی نظیر فرمت MSI و ... می پردازد .
مسیر بعدی هم در بخش performance \ scan of compound files \ scan office formats فایل های مایکروسافت آفیس بررسی می شوند یکی از تهدیداتی که این فایل ها ممکن است به آنها آلوده شوند توسط ماکروها اعمال می شود . همچنین در مسیر performance \ scan of compound files \ Additional \ Background scan وظیفه اسکن فایل های آرشیوی با حجم بالا را دارد . همچنین در مسیر Performance \ Scan of compound files \ Additional \ Size limit فایل هایی چک می شوند که کمتر از مقدار Maximum files size و این مقدار به صورت پیش فرض 8 مگابایت می شود .
نکته : یکی از گزینه های مطمئن و خوب در اینجا همین Smart mode است ، که مانند گزینه On access - modification کار می کند و منابع کمتری را اشغال می کند .
موقعی باج افزار ها توسط کسپراسکی سرور و Endpoint تشخیص داده می شوند که آنها هنوز عملیات خرابکارانه را شروع نکرده اند و اسیب به فایل ها نزده اند این قابلیت در سرویس Watcher کسپراسکی سرور به نام Roll back malware actions during disinfection فعال است .
مدیران شبکه در صورتی که با نصب محصول کسپراسکی سرور و ابزار های آن در کامپیوتر های شبکه با کندی سرعت مواجه شدند ابتدا موارد زیر را بررسی کنند :
نکته : اگر با استاپ کردن سرویس Anti-Virus سرعت کامپیوتر ها بهتر شد این سرویس را سفارشی سازی کنید ، به هیچ وجه در مدت زمان طولانی این گزینه را غیر فعال نکنید شما می توانید فایل ها و فولدر هایی که با انها خیلی کار می کنید را به صورت Trust تعریف کنید
برای ممانعت از اسکن یک فولدر در برنامه کسپراسکی Endpoint نیاز به پالیسی داریم ، که در General Protection Settings کلیک بر روی Settings و در بخش Scan exclusion and trusted zone تنظیمات انجام می شود . سپس در تب Scan exclusions می توانید کامپوننت را اجرا کنید این یک اسکن ممانعت شده به صورت :
هنگامی که کامپیوتری از منابع سورس شروع به کار می کند بخش File anti-virus کسپراسکی شروع به کار می کند و برنامه را از نظر سالم بودن چک می کند برای مثال ، هنکامی که از یک برنامه بک آپ گرفته می شود یا دفراگ صورت می گیرد شما می توانید این وضایف را به عنوان یک برنامه Trust دسته بندی کنید برای این منظور شما می توانید در پنجره exclusions for application در مسیری که Exe برنامه قرار دارد بر روی بخش Do not scan opened files را انتخاب کنید . شما می توانید این مسیر را با علامت های ستاره * و یا ؟ ویلدکارد مشخص کنید
با توجه به شکل زیر می توانید در مسیری که مشخص شده گزینه Network Scan را غیر فعال کنید :
مدیر شبکه می تواند به صورت ضروری و از روی اجبار این بخش را غیر فعال کند شما می توانید از بخش Security Level و روی تب Additional این تغییرات را اعمال کنید ، همچنین می توانید از pause Task استفاده کنید
شما می توانید با توجه به تسک هایی که اسکن ویروس را انجام می دهند تنظیمات خاصی را در این بخش ایجاد کنید .
براساس لیستی از مسیر ها که مربوط به فولدر ها و فایل ها است اسکن را انجام می دهد ، شما می توانید با تعریف ستاره * یا با ؟ فایل ها و فولدر ها را مشخص کنید همچنین می توانید زیر مجموعه فولدر ها هم برای اسکن مشخص کنید . این اسکن ها بر اساس :
شما می توانید Task را بسازید و در زمانبندی مشخصی مثلاً هفتگی یا هر روز هفته آن را برنامه ریزی کنید تا اسکن را انجام دهد ، همچنین بخش هایی که در زیر میبینید به صورت ناحیه تهدید اسکن می شوند :
Security Level بر اساس تنظیماتی که استفاده شده است بر اساس جداول زیر انجام می شود :
اسکن ویروس بر اساس Task هایی که زمانبندی شده اند صورت می گیرد ، بر اساس پارامتر هایی نظیر N minutes - N hours - N days - Weekly - monthly و بر اساس شروع به کاری به صورت دستی Manually و خودکار بر اساس زمانی ویژه صورت می گیرد . این پرامتر ها به صورت :
- برنامه ریزی زمانبندی شده معقول
از مقوله های مهمی که مدیران شبکه باید به آن توجه کنند این است که در تنظیم زمانبندی برای تسک ها باید به زمان اجزا و نحوه اجرا آنها دقت کنند ، هنگامی که می خواهید کلاینت ها شب ها خاموش نشوند دقت کنید که تسکی که با Wake on بایاس می تواند سیستم ها را روشن کند فعال نکنید
شما می توانید از امکانی به نام اسکن در زمان بیکاری استفاده کنید این بخش در Propertices تسکی که انتخاب می کنید و انتخاب چک باکس Pause schedualed scan when the screensaver is inactive and the computer is unlocked در ناحیه Run mode قرار گرفته است می توانید اسکن ویروس ها را بهینه سازی کنید حتی زمانی که سیستم ها استفاده نمی شوند لاک یا روی اسکرین سیور رفته باشند هم می تواند کار کند این تسک به صورت پیش فرض Paused است
نکته : عدم توجه به زمانبندی درست تسک ها می تواند سرعت کلاینت ها و لود بالایی را به سرور و شبکه وارد کند
در این ازمایشگاه می خواهیم یک فولدر را طوری در کسپراسکی تنظیم کنیم که به صورت استثنا تعریف شود این فولدر را در مسیر و با نام C:\Build folder روی Workstations بسازید :
1- حالا از Administration Console شروع می کنیم
2- بروید به Managed devices گروه
3- سوییچ کنید بر روی تب Policies
4- حالا چک کنید که Kaspersky Endpoint Security 10 service pack 2 for windows پالیسی بر روی حالت Active policy باشد
5- کپی کنید Kaspersky Endpoint Security policy با کلیک کردن بر روی عبارت Copy تا یک شورت کات از ان ساخته شود
6- این پالیسی را بر روی Servers در تب Policies کپی کنید
7- حالا بر روی Properties پالیسی که ساخته شده است کلیک کنید
8- تغییر نام دهید KES 10 SP2 server policy در بخش پالیسی
9- حالا پالیسی را فعال کنید بر روی آن وضعیت Active policy را OK کنید
10 - حالا پالیسی Kaspersky Endpoint Security policy را در گروه Managed devices کپی و مراحل 2-3-5 را تکرار کنید
11- باز کردن Workstations و رفتن به تب Policies
12- پیست کردن پالیسی ( راست کلیک کنید و Paste را بزنید )
13- حالا پالیسی را برای workstation به KES 10 SP2 تغییر نام دهید
14- پالیسی Active policy و OK کنید
15- حالا فولدری که به نام C:\Build در مسیر درایو C ساختیم را می خواهیم برای اسثنا قرار دادن معرفی کنیم
16- داخل Workstations شده و از تب پالیسی بر روی KES 10 SP2 workstation policy را راست کلیک و properties را بزنید
17- و روی عبارت General Protection Settings کلیک کنید
18- برای مشاهده لیست Exclusion کلیک روی Settings و زدن دکمه Scan exclusions and trusted zone وارد این بخش می شویم
19- دکمه Add را بزنید
20- انتخاب File or folder برای انتخاب مسیری که می خواهیم Exlude شود
21- فولدر را با استفاده از لینک File and Folder انتخاب کنید
22- حالا فولدری که در مسیر C:\build\ ساخته شده انتخاب و OK کنید ( حتماً در آخر مسیر بک اسلش \ زده شود )
23- حالا برای ذخیره سازی OK کنید
در این آزمایشگاه قصد داریم تا فایلی را در ایمیل ارسال کنیم به طوری که توسط بخش Mail Anti-Virus کنترل شود می خواهیم فرمت BAT را در کسپراسکی سرور استثنا قایل شویم تا عملیات چک و اسکن روی ان انجام نشود :
1-برنامه Mozilla Thunderbird را اجرا کنید
2- حالا پیامی را با ان ارسال کنید و بر روی Subject و با موضوع IT Service Desk
3- فایلی را به نام run.zip ایجاد کنید
4- حالا Send کنید
5- حالا بر روی LapTop سرویس Mozilla Thunderbird را نصب کنید
6- سرویس Administration Console را استارت بزنید
7- در گروه Workstations روی تب Policies کلیک کنید
8- روی KES 10 Sp2 workstation policy و بر روی Mail Anti-Virus را انتخاب کنید
9- کلیک Setting
10- روی تب Attachment filter بروید
11- حالا چک باکس *.bat را بردارید تا برای این فرمت بتوانیم استثنایی را ایجاد کنیم و OK کنید
12- حالا کلیک روی OK تا پالیسی ذخیره شود
13- پالیسی مورد نظر را استاپ کنید
14- مراحل 1-2-3-5 را انجام دهید
15- در بخش Subject حالا تایپ کنید IT Service Desk_2
16- حالا در بخش سرویس ایمیل پیام را Send کنید ( فایل RUN.zip را هم ارسال کنید )
در این آزمایشگاه می خواهیم سایت www.eicar.org را با مرورگر فایرفاکس نادیده بگیریم تا کسپرسکی سرور آن را تحت نظر و اسکن نداشته باشد ، همچنین می خواهیم دانلود را از این سایت بلاک و اجازه دانلود فایلی به نام eicar_com.zip را ندهیم :
1- بر روی Mozilla Firefox کلیک کنید تا اجرا شود
2- بروید به www.eicar.org
3- کلیک کنید روی Download Anti-Malware testfile بر روی سایت
4- بر روی DOWNLOAD کلیک کنید
5- بر روی PC1 رفته و برای تست آنتی ویروس لینک را کلیک کنید
6- دانلود کنید eicar_com.zip و نسخه HTTP را دریافت کنید :
7- حالا اطمینان بیابید که بخش اسکن archive در انتی ویروس Endpoint فعال بوده و تصویری مانند زیر را نمایش دهد :
8- مرورگر Mozilla Firefox را ببندید
در این آزمایشگاه قصد داریم تا کنترل ترافیک روی موزیلا فایرفاکس را غیر فعال کنیم
1- شروع کنید Administration Console
2- در گروه Workstations انتحاب تبPolicies
3- و properties عبارت KES 10 Sp2 workstation policy را بزنید و به قسمت General Protection Settings بروید
4- برای وارد شدن به لیست استثنا به بخش Settings و روی دکمه Exclusions and trusted zone کلیک کنید
5- تب Trusted applications را بزنید تا برنامه را تراست کنیم
6- بر روی Add کلیک کنید و Mozilla Firefox را تراسک کنید
7- و مسیر برنامه را اضافه می کنیم برای سیستم نویسنده مطلب در %ProgramFiles(x86)%\Mozilla
Firefox\firefox.exe است
8- بر روی Do not scan network traffic رفته و چک ترافیک روی برنامه را غیر فعال کنید
9- حالا OK کنید
10- حالا بعد اضافه شدن به لیست تراست ها روی OK کلیک کنید
11- حالا پالیسی را ذخیره و OK را بزنید
12- حالا به صورت اجباری پالیسی را اجرا کنید
هنگامی که Endpoint کسپراسکی نمی تواند ویروسی را شناسایی کند ، توسط Kaspersky Lab جدیدترین امضای دیجیتالی را دریافت می کند و از طریق Agent آن را به Endpoint می دهد ، KSN فایل های مشکوک را می تواند نادیده بگیرد چرا که بنظر تراست و قابل اطمینان هستند :
اگر برنامه ای را که نمی خواهیم کسپراسکی سرور آن را اسکن کند ، شما می توانید یک Exclusion بسازید :
1- در پالیسی Kasperesky Endpoint Security policy باید Properties و سپس General Protection Settings Scan exclusions and trusted zone setting وارد شوید
2- در اینجا فایلی که نمی خواهید اسکن شود را در Scan exclusions و سپس با وارد شدن به File or Folder آن را اضافه و چک باکس آن هم بزنید .
- استثنا قرار دادن برای Certificate
برای اینکه برنامه جدیدی که نصب کردید توسط کسپراسکی Endpoint دچار مشکل نشود شما می توانید از طریق :
1- در پالیسی Kasperesky Endpoint Security policy باید Properties و سپس General Protection Settings Scan exclusions and trusted zone setting وارد شوید
2- سپس در تب Trusted System certificate store چک باکس گزینه Use trusted system certificate store را انتخاب کنید ، به صورت پیش فرض این قسمت بر روی Enterprise Trust است
3- حالا Certificate برنامه مورد نظر را انتخاب و آن را تنظیم کنید
- تنظیم File Protection
شکل زیر نمایی از نحوه حفاظت کسپراسکی سرور و Endpoint کسپراسکی را نشان می دهد :
یک شبکه مسیر اصلی پخش ویروس است ، بنابراین اسکن و حفاظت از ترافیک شبکه یکی از عوامل مهم برای حفاظت از کامپییوتر ها است ، کسپراسکی سرور ابزارهایی برای اسکن در نظر گرفته است که عبارتند از Mail Anti-Virus - Web Anti-Virus - IM Anti-Virus
- کنترل ترافیک در Endpoint کسپراسکی
استفاده از تکنیکی به نام NDIS که نوعی فیلتر است در کسپراسکی Endpoint با آن کار می کند ، و هر درایوی که ترافیک خروجی از آن عبور می کند را تحت کنترل دارد .
نکته : کسپراسکی Endpoint قادر به اسکن SSL / TLS نیست
برای مشاهده ترافیک خروجی وارد بخش پالیسی Kaspersky Endpoint Security policy شده و انتخاب گزینه General Protection Settings و در بخش Monitored ports و انتخاب Monitor only selected ports حالا می توانید با زدن دکمه Settings پورت هایی که برای کنترل برنامه ها نیاز است را مشاهده کنید . اگر هم نمی دانید برنامه ای با کدام پورت کار می کند با زدن چک باکس Monitor all ports for specified applications و اضافه کردن مسیر برنامه مورد نظر EXE در لیست می توانید آن را تنظیم کنید . به صورت پیش فرض پورت های استاندارد تعریف شده اند و می توانید آنها را اسکن کنید .
این سرویس از ایمیل حفاظت می کند ، سرویس های پیام با پروتکل های POP3 - SMTP - IMAP - NNTP و اوت لوک آفیس ماکروسافت که با سرویس MAPI کار می کنند را کسپراسکی سرور می تواند آنالیز کند و می تواند بر اساس امضای دیجیتالی ویروس و باج افزار ها را شناسایی کند . بر اساس دو حیطه کار می کند :
از لحاظ اتصال :
نکته : اگر در هنگام خواندن پیام ها در اوت لوک مشکل کندی دارید در بخش Mail Anti-Virus از بخش Settings چک باکس Scan when reading را بردارید
این سرویس فقط مختص برنامه های ایمیل کلاینتی است ، بر اساس یک سری از پارامترهای زیر فایل ها را اسکن می کند :
فایل های ضمیمه ایمیل نیز دارای فیلترهایی در کسپراسکی سرور هستند :
- نادیده گرفتن فایل ها
در بخش General Protection Settings - Scan exclusions and trusted zone در بخش File Anti Virus سرور کسپراسکی سرور می توانید استثنا برای فایل هایی که نمی خواهیم در فرایند اسکن دخالت داشته باشند تنظیم کنیم
این کامپوننت تو عملکرد مهم دارد :
یکی از مواردی که در اینجا به اسکن و شناسایی تهدیدات در وب انجام می شود کامپوننت KSN check است که لینک های تهدید امیز را بلاک می کند ، هنگام دانلود فایل ها اسکن توسط KSN انجام می شود .
شما می توانید نحوه انالیز توسط این کامپوننت را تنظیم کنید :
چنانچه گزینه Block download را انتخاب کنید در پالسی اعمال شده و کاربران نمی توانند از وب سایت ها دانلود را انجام دهند ، هنگامی که کاربران سایتی که بسته شده است را باز می کنند یک صفحه اطلاع رسانی برای آنها توسط Endpoint کسپراسکی برایشان ظاهر می شود
این بخش دارای چند گزینه برای نحوه رفتار و قوانین پیاده سازی شده بر روی کلاینت ها است :
در بخش Web Anti - Virus می توان برای آدرس هایی که می خواهیم Trust در نظر گرفته شوند :
در نسخه های قدیمی کسپرسکی Endpoint ( قبل از نسخه 10 با سرویس پک 2 ) رهگیری اتصالات برای شبکه به صورت یک پراکسی لوکال بود . زمانی که اتصال شروع به انتشار می کند از یک سرور راه دور ، کسپراسکی Endpont آدرس آن سرور را جا به جا می کند و پکیت ها را دریافت می کند ، و سپس ترافیک را به سمت سرور راه دور ارسال می کرد تا اسکن روی ان صورت بگیرد .
نکته : کسپراسکی Endpoint در نسخه 10 پک 2 اختلالی در اتصالات ایجاد نمی کند و سیستم عامل می تواند تمامی پکیت ها را دریافت کند . شما می توانید برای جلوگیری از اختلال در برنامه ها ترافیک رهگیری شده را غیر فعال کنید :
شبکه توسط کامپوننت های کسپراسکی سرور مانند Web anti-Virus و Mail Anti-Virus که منابع زیادی را هم مشغول نمی کنند حفاظت می شوند همچنین کسپراسکی غیر فعال کردن ابزار Anti-virus فایل را توصیه نمی کند چرا که بخش اعظمی از حفاظت شبکه با آن می باشد .
در قسمت Kaspersky Endpoint Security policy برای گروه Workstations می خواهیم تنظیمات Web Anti -Virus را انجام دهیم برای اینکه سایت www.eicar.org را به صورت تراست تعریف کنیم فرم وارد کردن آن به صورت .eicar.org/ می باشد .
- ماشین Security-Center را روشن کنید
1- از بخش پالیسی وارد KES 10 SP2 workstation policy شده روی آن 2 بار کلیک کنید و وارد Web Anti-Virus شوید
2- روی Settings کلیک کنید
3- وارد تب Trusted web addresses شوید
4- Add را بزنید
5- حالا بنویسید .eicar.org/
6- تنظیمات OK را بزنید
7- حالا صبر کنید تا پالیسی اعمال شود
- تست تنظیمات
- ماشین PC1 را روشن کنید
1- با Internet Explorer وارد سایت www.eicar.org شوید
2- کلیک DOWNLOAD ANTI-MALWARE TESTFILE
3- کلیک کنید روی DOWNLOAD
4- و فایل eicar_com.zip را در بخش HTTP دانلود کنید
5- حالا فایل را دانلود کنید و Internet Explorer را ببندید
در این آزمایشگاه قصد داریم تا با تنظیمات کسپراسکی سرور جلوی Ransomware را بگیریم
در ماشین Laptop :
1- پیدا کردن ransomware.bat و invoice.txt بر روی دسکتاپ
2- حالا ransomware.bat را اجرا کنید
3- حالا مطمئن شوید که فایل invoice.txt اماده شده و یک فایل invoice.txt.aes جای آن ایجاد کنید
4- باز کنید invoice.txt.aes با برنامه Notepad
5- مطمئن شوید فایل invoice.txt.aes رمزگذاری شده باشد
6- برنامه Notepad را ببندید
7- شروع کنید Administration Console
8- باز کنید Workstations و روی تب Policies کلیک کنید
9- باز کنید تنظیمات KES 10 SP2
workstation policy
10- وارد Application Privilege Control شوید
11- بر روی Settings اخری کلیک کنید
12- کلیک کنید Personal data و Add را کلیک کنید و سپس Category را بزنید
13- نامی را برای این دسته مثلاً Protected file types و کلیک کنید OK
14- حالا یک زیر دسته برای Protected file type با کلیک روی Add و سپس Category ایجاد کنید
15- اسمی را برای این زیر دسته به نام Documents و OK را بزنید
16- حالا Documents را انتخاب و Add را بزنید و File or folder را انتخاب کنید
17- در باکس Name و txt را بنویسید
18- حالا فیلد Path و کلیک روی Brows بزنید
19- در Object بنویسید *.txt و OK کنید
20- بر روی دسته ساخته شده راست کلیک کنید و انتخاب کنید Protected file types
21- حالا در Low Restricted راست کلیک کنید و بخش های Write, Delete و Create را روی حالت Block قرار دهید
22- تنظیمات بالا را برای High Restricted انجام داده و OK را بزنید
در این آزمایشگاه قصد داریم تا با تنظیمات پالیسی رخداد هایی که توسط Application Privilege Control پیدا شده است را ذخیره سازی کنیم
1- از بخش پالیسی KES 10 SP2 workstation policy با باز کردن Event notification و تب info را انتخاب کنید
2- حالا به نام Application placed in restricted group یک رخدادی را انتخاب کنید
3- از این رخداد روی Properties کلیک کنید
4- حالا به بخش ذخیره سازی رخداد ها داخل دیتابیس Administration Server می رسیم روی On Administration Server for (days) و روی OK کلیک کنید
5- انتخاب Application Privilege Control rule
triggered رخداد ها و کلیک کنید روی Properties
6- انتخاب On Administration Server for (days) و OK کنید
7- ذخیره سازی پالیسی و OK کنید
- ساخت یک رخداد انتخابی برای Application Privilege Control
در این بخش حالا می خواهیم در Administration Server یک رخدادی را ایجاد کنیم روی تب Events کلیک کنید روی Create a new event بروید و نامی را برای آن به صورت Privilege Control Events قرار دهید و بعد به بخش های Application placed in restricted group و Application Privilege Control rule triggered رفته تنظیمات را انجام دهید
1- وارد Administration Server شده و تب Events را بزنید
2- کلیک کنید روی Create a selection
3- برای انتخاب یک اسم بنویسید Privilege Control events
4- روی Events کلیک کنید
5- برای مشاهده تنها رخداد ها بر روی Severity رفته و Info را بزنید
6- تمام چک باکس ها را بردارید و کلیک کنید روی Clear all تا برداشته شود
7- پیدا کنید Application placed in restricted group و Application Privilege Control rule triggered
8- برای ذخیره تغییرات روی OK کلیک کنید
بعضی از تهدیدات با شکل جدیدی وارد عمل می شوند کسپرسکی سرور می تواند با توجه به امضای دیجیتالی این دسته از تهدیدات انها را تشخیص و جلوی فعالیت آنها را بگیرد این تشخیص خیلی سریع انجام می شود این ابزار ها که قبلاً هم در مطالب قبلی به توضیح انها پرداختیم عبارتند از :
کسپرسکی سرور 10 دارای ابزاری است که قادرند تا دفاع پیشگیرانه ای را از حملات و تهدیدات انجام دهند یکی از این ابزار ها System Watcher می باشد
از کارکرد های این ابزار می توان :
کسپراسکی سرور در ابزار System Watcher دارای الگوریتمی به نام BSS که مخفف Bahavior Stream Signature است می باشد که می تواند با مانیتور کردن تمامی رفتارها در کامپیوتر ها به شناسایی تهدیدات بپردازد . BSS دارای دیتابیسی است که مدام بروز می شود و اما معرفی تنظیمات این ابزار :
نکته : منظور از Roll Back برگشت به تغییراتی است که سبب شده تا فایل سیستم بر اثر حملات دچار تغییر نام و تغییر مسیر و ... شده باشد و همچنین کلید های رجیستری سیستم عامل توسط باج افزار به خطر افتاده باشد .
نکته : کسپراسکی پیشنهاد می کند که هیچگاه System Watcher را غیر فعال کنید چرا که ممکن است روی عملکرد دیگر ابزار های کسپراسکی سرور تاثیر منفی بگذارد
اگر سیستم تشخیص داد که باج افزاری را شناسایی کرده است به صورت خودکار آن برنامه را قرنطینه و یا حذف می کند :
این ابزار چک می کند که برنامه هایی فعال باشند که قانونی و معتبر هستند همچنین دسترسی به فایل سیستم و رجیستری را تحت کنترل می گیرد بر اساس یک الگوریتم خاص اعتبار برنامه ها را محاسبه می کند :
کسپرسکی Endpoint در اولین شروع کار خود لیستی از برنامه هایی که قابل اطمینان هستند را گروهبندی می کند و سپس آنها را انالیز می کند . این انالیز در واقع با ابزار دسته بندی در کسپراسکی سرور انجام می شود . اگر دسترسی به KSN وجود نداشته باشد تنظیمات دسته بندی به پالیسی که شما تنظیم کردید رجوع می کند :
در این ابزار پارامتر هایی برای برنامه هایی که در فایل سیستم در حال فعالیت هستند وجود دارد که به صورت جدول زیر دسته بندی شده اند :
مدیر شبکه می تواند فعالیت برنامه را در سطح فایل و فولدر در کلید های رجیستری و هارد دیسک با استفاده از این محدودیت ها کنترل کند . در ابزار Application Privilege Control دو دسته گروه ایجاد می شود :
هر یک از گروه های بالا دارای زیر مجموعه ها و دسته بندی هایی نیز هستند و همچنین مسیر منابع آنها اعم از ادرس فولدر ها و فایل ها و کلید های رجیستری و ... مشخص شده است . همچین می توان نوع دسترسی را بر اساس read و write و remove و create تعریف کرد . به صورت پیش فرض تعریف دسترسی ها به صورت :
مدیر شبکه می تواند میزان محدودیت برای هر گروه تراست را تغییر دهد همچنین کسپراسکی پیشنهاد می کند در صورتی که تنظیمات Application Privilege Control را به درستی نمی دانید آنها را غیر فعال نکنید برای تنظیمات :
همچنین به کمک این ابزار می توان منابع حفاظتی را افزایش داد :
همچنین توجه داشته باشید هیچگاه اقدام به حذف تنظیمات قبلی نکنید بلکه اگر تنظیماتی را می خواهید غیر فعال کنید فقط آنها را استاپ کنید و یا به صورت Exclusions آنها را اضافه کنید ، در بالا در سمت راست این گزینه را می توانید مشاهده کنید .
به صورت پیش فرض تنظیمات Application Privilege Control بر اساس حفاظت از کلیه منابع فایل سیستمی و نرم افزار هایی که روی سیستم عامل ها قرار دارد تنظیم شده است همچنین ابزار KSN مدام تهدیدات خطرناک را با Endpoint کسپراسکی بررسی می کنند و جلوی آنها را به موقع میگیرند همچنین می توانید از اسناد متنی حفاظت کنید :
کسپراسکی بر اساس دو پارامتر عمده و اصلی مانع اجرای برنامه ها می شود :
KSN اطلاعات تراست برنامه ها را بر اساس ابزار های زیر جمع اوری میکند :
کسپراسکی Endpoint همیشه اعتبار برنامه ها را بر اساس دیتابیس خود در محل هایی به نام Trusted Root و Certification Authorities بررسی می کند این برنامه بروزرسانی منابع Certificate خود را با KSN بروزرسانی می کند . اگر برنامه های دارای یک امضای دیجیتالی نبود شما می توانید به صورت دستی ان را در گرو ه های Trust قرار دهید که در درس قبلی در مباحث Application control policy توضیح داده شد .
بعضی از برنامه مثلاً آنهایی که متن باز هستند دارای ریسک کمتری هستند برای جلوگیری از کارکرد برنامه هایی که مدیر شبکه قصد دارد تا مانع اجرای انها شود از مراحل زیر استفاده می شود :
اگر شما از پالیسی های پیش فرض کسپراسکی سرور استفاده می کنید لیست فایل های اجرای دارای پالیسی نیستند ، کسپراسکی Endpoint قادر به حفاظت از فایل های اجرایی در کامپیوتر ها است ، ابزار Application Privilege Control برای حفاظت از همه آنها در نظر گرفته شده است ، بهرحال آنها به صورت پیش فرض در Administration Server دیتایی را ارسال نمی کنند . چنانچه بخواهیم در کسپراسکی Endpoint فایل های اجرایی روی کامپیوتر ها را به سرور هم ارسال کنیم مراحل زیر را انجام می دهیم :
نکته : اجرای این عمل در شبکه هایی که کامپیوتر های زیادی دارد باعث کندی در شبکه خواهد شد
هنگامی که Endpoint کسپراسکی برنامه ای را در زمان شروع به کار به لیست محلی خود اضافه می کند تغییرات خود را به وسیله Agent کسپراسکی به سرور کسپراسکی همسان سازی و سینک می کند . در این بخش تسکی به نام Inventory شروع به اسکن فایل ها می کند و فایل های اجرایی در لیست محلی آرشیو می شوند . تا الان چیزی به سمت سرور مدیریت کسپراسکی ارسال نمی شود !
تنها نتایج اسکن به سمت سرور می رود و باید چک باکس Inform Administration Server about started applications در کسپراسکی Endpoint پالیسی فعال باشد برای ایجاد Inventory task باید ویزارد ساخت Task جدید را طی کنیم و بعد از لیست Task ها روی Inventory در بخش زیرین kaspersky Endpoint Security 10 service pack 2 for windows را انتخاب کنیم .
نکته : تسک Inventory را برای تمامی کامپیوتر های شبکه اجرا نکنید چرا که سبب کندی آنها خواهد شد
در این آزمایشگاه قصد داریم تا کامپیوترهای شبکه را با Kaspersky Endpoint Security محافظت کنیم ، همچنین در یک محیط شبیه سازی شده کامپیوترهایی که شبکه ما را تهدید می کنند بلاک کنیم :
- در Pc1 مراحل زیر را طی کنید :
1- کپی کردن server.exe از مسیر \\DC\kl002.10test_files بر روی دسکتاپ
2- اجرای Server.exe
- در Laptop مراحل زیر را انجام دهید :
1- کپی کردن فایل kltps.exe از مسیر DC\kl002.10test_files بر روی دسکتاپ
2- باز کردن CMD با دسترسی Administrator
3- حالا شبیه سازی حمله روی PC1 را با دستور زیر انجام می دهیم :
C:\Users\Tom.abc\Desktop\kltps.exe -4 -t PC1 5001
- در ماشین Security-Center مراحل زیر را طی کنید :
1- شروع کنید Administration Console
2- انتخاب کنید نود Administration Server
3- باز کنید تب Reports
4- برای ساخت یک گزارشگیری جدید روی کلیک کنید Create a report
template
5- نام این گزارشگیری را Network attack report و کلیک کنید روی Next
6- پایین Statistics of threats انتخاب کنید Network attack report و کلیک روی Next
7- یک دوره سی روزه را انتخاب کنید برای گزارشگیری
8- یکی از گروه ها را انتخاب و Next کلیک کنید
9- در پایان ویزارد روی Finish کلیک کنید
10- حالا Network attack report ساخته شده است
11- گزارشگیری را باز کنید و بر روی Show report کلیک کنید
12- حالا می توانیم گزارشی از آدرس و مشخصات کامپیوتر حمله کننده را پیدا کرد
13- گزارش را ببندید
14- حالا لاگ رخداد را بازکنید تب respective را انتخاب کنید
15- برای مشاهده رویداد حملات به شبکه روی Create a selection کلیک کنید
16- اسم آن را Network attacks قرار دهید
17- حالا روی Eventsکلیک کنید تا تاریخچه ای از آن را مشاهده کنید
18- حالا در پایین از بخش Severity بر روی Critical event کلیک کنید
19- حالا چک باکس همه رویداد ها را با دکمه Clear all بردارید و تنها Network attack detected را بزنید
20- برای ذخیره سازی OK را بزنید
در این آزمایشگاه قصد داریم کامپیوتری که توسط برنامه Endpoint Security کسپرسکی بلاک شده است را از این وضعیت خارج کنیم ، فرض کنید که ماشین Laptop در این سناریو بلاک شده است :
1- وارد اینترفیس Kaspersky Endpoint Security شوید
2- منوی Protection را بزنید
3-روی Firewall کلیک کنید و Network Monitor را بزنید
4- تب respective را بزنید
5- حالا از لیست زیر آدرس 10.28.0.200 که ادرس ماشین Laptop است را با کلیک روی Unblock از بلاک خارج کنید
6- تمام پنجره Kaspersky Endpoint Security را ببندید
آموزش آنتی ویروس Kaspersky سرور قسمت 53 : بلاک کردن کامپیوتر
در این آزمایش قصد داریم ماشینی که نام آن را Laptop (10.28.0.200) گذاشتیم توسط کسپراسکی سرور بلاک کنیم :
- Security-Center
1- وارد نود Administration server شده و باز کنید Workstations را و بر روی تب Policies کلیک کنید
2- باز کردن properties از منوی KES 10 SP2 workstation policy و سوییچ کردن روی Network Attack Blocker
3- حالا روی تب Exclusion کلیک کنید
4- حالا ماشین Laptop را با کلیک روی Add اضافه می کنیم
5- حالا ip ماشین Laptop 10.28.0.200 را وارد و ok کنید
6- حالا OK را بزنید
7- حالا صبر کنید تا پالیسی اعمال شود
چنانچه قصد دارید تا محدودیت هایی را برای بعضی از برنامه ها با ابزار Application Privilege Control ایجاد کنید این ابزار 2 نوع Exlusion را در اختیار شما قرار می دهد :
از تب Protected resources می توان تا برنامه هایی قصد داریم استثنایی بر روی آنها اعمال شود با فایل و فولدر و رجیستری Key در اینجا محدود کنیم همچنین در بخش General protection settings و انتخاب گزینه Exclusions and trusted zone چندین قابلیت را می توان اضافه کرد :
حفاظت از کامپیوتر ها در برابر تهدیدات جدید و پیچیده
تمامی بخش های kaspersky Endpoint Security کمک می کنند تا کامپیوترها در برابر حملات جدید و پیچیده حفاظت شوند اولین برنامه هایی که کمک می کنند به این حفاظت عبارتند از System Watcher و Application Privilege Control ، که هر دو ابزاری برای مانیتورینگ و فعالیت های برنامه ها است .
برنامه Application Privilege Control قادر به محاسبه برنامه های قابل اعتماد و اعمال محدودیت برای برنامه هایی که عملکرد بدی دارند و یا اعتباری ندارند . برنامه های دارای اعتبار توسط Kaspersky security network و یا توسط الگوریتم کاشف تعیین می شوند .
System Watcher نیز به صورت مدام در حال چک کردن و مانیتورکردن برنامه هاست با این هدف که عمل تهدید کننده ای را انجام ندهند این ابزار قادر به لاگ برداری و دارای عملی به نام Roll Back است تا در برابر باج افزار ها بتواند جلوی تغییرات بر روی فایل های اجرایی را بگیرد .
فایروال کسپرسکی سرور به طرق زیر جلوی تهدیدات را می گیرد :
فایروال وابستگی محکمی به ابزار معروف Application Privilege Control دارد ، این ابزار نمی تواند محدودیت هایی را برای دسترسی به برنامه در سیستم عامل ایجاد کند ، فایروال کسپراسکی با چک کردن اعتبار برنامه و محدودیت در دسترسی به شبکه می تواند جلوی تحرک باج افزار ها و تهدیدات را بگیرد .
همچنین ابزار Network Attack Blocker می تواند به فایروال کمک کند تا انالیز بیشتری بر روی برنامه ها و پکیت هایی که در حال رفت و آمد هستند بپردازد . فایروال دارای رول هایی برای بلاک کردن پکیت ها دارد که قادر است تا جلوی حملات در شبکه را بگیرد برای مثال حملاتی که باعث می شوند تا بافر شبکه بالا برود و ترافیک کاذبی در شبکه ایجاد شود را بلاک کند
در فایروال Endpoint کسپرسکی که بر روی کلاینت ها نصب می کنیم آنالیز ترافیک ورودی و خروجی انجام می شود و دارای 2 نوع رول ( قانون ) است :
کسپراسکی Endpoint در بخش فایروال و Settings دارای بخش های زیر است :
همچنین می توانید لاگ های فایروال را در بخش Log Events مشاهده کرد ، رول ها را می توان بر حسب ارجعیت بالا - پایین داد
فایروال کسپرسکی می تواند براساس Subnet Address که رولی تعریف شده در آن است ، شبکه های Trust و Local و Public را متمایز کند ، این عملیات به صورت زیر انجام می شود :
- در پالیسی کسپرسکی سرور وارد Kaspersky Endpoint Security شده و در Available network روی Settings کلیک کنید
- کلیک کنید روی دکمه Add
- نامی را برای سابنت قرار دهید
- حالا ادرس سابنتی که در شبکه استفاده می کنید را وارد کنید این ادرس باید با سابنت نوشته شود
فایروال کسپرسکی برای شناسایی پکیت های برنامه ها از رول استفاده می کند ، چنانچه بخواهیم دسترسی برنامه ای را در شبکه محدود کنیم باید این رول ها را در فایروال تنظیم کنیم ، پکیت های برنامه های معتبر را در مسیر زیر می توان مشاهده کرد :
- در پالیسی Endpoint به منوی فایروال رفته و در بالاترین Settings بر روی دکمه Application rules بروید
- برای انتخاب برنامه ها روی Edit کلیک کنید
- روی تب Network rules کلیک کنید
شکل زیر نمایی از استاندارد پیش فرض فایروال کسپراسکی سرور نسخه 10 را نشان می دهد :
در این حالت هیچ رولی برای برنامه ها وجود ندارد همچنین ترافیک شبکه در حالت لوکال برای برنامه هایی که معتبر شناسایی شده اند بدون محدودیت است :
هنگامی که برنامه ها روی کامپیوتر کلاینت ها به صورت Trusted و Low Restricted باشند یعنی دسترسی کاملی به شبکه دارند ، و به صورت پیش فرض فایروال کسپراسکی سرور یا Endpoint مانع اجرای آنها نمی شود . همچنین وضعیت Untrusted و Low Restricted در برنامه ای اجازه می دهد که تنها دسترسی به شبکه های Trust داشته باشند ، و حتی ممکن است که ایمیل و DNS نتوانند کار کنند .
به طور کلی اکثر برنامه های شبکه به صورت خودکار از نوع Trusted یا Low Restricted هستند و اجازه دارند که در شبکه تبادل دیتا داشته باشند ، همچنین برنامه هایی که متن باز هستند در زمره برنامه های High Restricted هستند که اجازه دسترسی به شبکه را ندارند .
هدف این ابزار بلاک کردن آندسته از تهدیداتی است که قصد دارند تا شبکه را اسکن کنند و به وسیله پورت های شبکه از تکذیب سرویس و بالابردن بافر و افزایش ترافیک کاذب به کامپیوتر ها آسیب برسانند . این ابزار با استفاده از امضای دیجیتالی و بلاک کردن همه اتصالات که می توانند منجر به حمله شوند کار می کند .
همچنین Endpoint کسپراسکی دارای قابلیتی به نام Add the attacking computer to the list of blocked computers است که می تواند ترافیک شبکه و رفتارهای مشکوک را کنترل کند ، به صورت پیش فرض فعال است و هر کامپیوتری که بلاک می شود تا 60 دقیقه باید منتظر باشد و اگر ضروری است که مدیر شبکه آن کامپیوتر را از بلاک خارج کند باید دستی این کار صورت بگیرد ، اما توجه داشته باشید که این روند را باید بر روی اینترفیس محلی ( لوکالی ) Kaspersky Endpoint Security انجام داد .
موقعی که کامپیوتری بلاک می شود مدیر شبکه باید توسط Endpoint کسپراسکی مراحل زیر را انجام دهد :
توجه : در داخل کنسول مدیریتی کسپرسکی سرور 10 شما می توانید با استفاده از بخش Task ها وارد بخش Network Attack Blocker شوید و این سرویس را Stop و دوباره Start کنید تا کامپیوتری که در آن بلاک شده از بلاک خارج شود
به طور کلی شبکه Trust وجود خارجی ندارد و تنها نامی منطقی بر روی ارتباطات است ، بیشترین تهدیدات برای کامپیوترهای شبکه از اتصالات بیرونی بوجود می آیند ، بطور کلی همه کامپیوتر ها در شبکه های محلی و لوکال با رنج های :
- 10.0.0.0/8
- 172.16.0.0/12
- 192.168.0.0/16
اینها رنج شبکه ای است که به صورت محلی اجازه دسترسی به منابعی همچون فایل های اشتراکی و یا کار با سرویس RDP ویندوز را می دهند . اما این شبکه ها زمانی در بیرون از ناحیه محلی خود قرار می گیرند و در منطقه تهدید وارد می شوند مانند هتل ها - فرودگاه ها - اماکن عموی نظیر پارک ها و ....
این واژه در کسپراسکی سرور 10 و در برنامه Endpoint کسپراسکی به معنی این است که کامپیوتری به بیرون از شبکه رفته است و در واقع یک پالیسی است که قابلیت Active و Inactive دارد ، شما می توانید یک پالیسی از نوع Out - Of - Office را برای تمامی گروه ها در سرور کسپراسکی ایجاد کنید . این قابلیت برای سازمانهایی مناسب است که کارکنان آنها از بیرون از سازمان به منابع داخلی آن دسترسی دارند . برای ساخت این پالیسی :
نکته : این امکان تنها بر روی Kaspersky endpoint security و Agent اعمال می شود در محصول kaspersky security for windows servers Enterprise وجود ندارد
به صورت پیش فرض کامپیوترهای نمی توانند روی پالیسی Out - Of - Office سوییچ کنند شما باید این امکان را توسط Agent پالیسی به روش زیر ایجاد کنید :
نکته : هرگز این عملیات پالیسی Out - Of - Office را همزمان بر روی چندین کامپیوتر قرار ندهید چرا که بار ترافیکی سنگینی را بر روی Administration Server اعمال می کند
به صورت پیش فرض پالیسی ها بر روی رنج های شبکه های لوکال 192.168.0.016 و 172.16.0.012 و 10.0.0.0/8 اعمال می شوند ، شاید فرض کنید که پالیسی Out - Of - Office نمی تواند امن باشد چرا که مثلاً در هتل ها و ... نمی توانیم اعتمادی به شبکه آنها داشته باشیم و اینکه شبکه پابلیک برای پالیسی Out - Of - Office ایجاد می شود ، بهرحال ترافیک سیستم عامل ها بر روی فایروال کسپراسکی چک می شود همچنین می توان از بخش های زیر :
همچنین در Endpoint کسپراسکی اعلان های اخطاری به رنگ زرد نمایش داده می شود می توانید با کلیک بر روی آن شرحی از آن اخطار را مشاهده کنید .
در پایان این مبحث ( به نظر نویسنده ) برای تنظیمات Agent پالیسی ، شما از سابنت ادرس ها و ادرس GateWay استفاده نکنید ، از نام های DNS و SSL آدرس استفاده کنید ( یک Condition یا تعیین شرط و قوانین اتصال بسیار مهم تلقی می شود ) همچنین برای پالیسی Out - Of - Office رنج های ادرس 192.168.0.016 و 172.16.0.012 و 10.0.0.0/8 را در فایروال به عنوان Trust تعریف نکنید ، اجازه بدهید کاربر خود Task را متوقف و اجرا کند ، به لاگ های اخطاری توجه کنید
در این آزمایش قصد داریم تا یک تنظیم Out-Of-Office Policy را نشان بدهیم :
- Security-Center
1- وارد Administration Console شوید
2- باز کنید Managed devices\Workstations و بر روی تب Policies کلیک کنید
3- کپی کنید KES 10 SP2 workstation policy تا یک شورتکات از آن ایجاد شود
4- باز کردن گروه Managed
devices\Workstations\Laptops و رفتن به تب Policies
5- حالا پالیسی که کپی کردید را در اینجا پیست کنید
6- حالا بر روی Configure policy کلیک کنید
7- اسم پالیسی را به KES 10 SP2 out-of-office تغییر دهید
8- حالا وضعیت پالیسی را به Out-of-office policy تغییر دهید
9- بر روی Reports and Storages بروید
10- روی Settings کلیک کنید و در ناحیه Notifications بروید
11- حالا در بخش File Anti-Virus بروید
12- انتخاب Notify on screen و جدول Malicious object detected و انتخاب OK
13- برای اینکه به کاربران اجازه داده شود تا تسک گروه را استارت کنند وارد بخش Advanced settings\ Application Settings شوید
14- روی Settings کلیک کنید و وارد ناحیه Operating mode شوید
15- انتخاب چک باکس Allow management of group tasks و کلیک روی OK
16- حالا به فایروال باید برویم و تنظیمات تراست را ایجاد کنیم روی تب Firewall بروید
17 - در Available networks کلیک Settings را بزنید
18- حالا سابنت 172.16/12 را بزنید
19- روی Edit کلیک کنید
20- حالا وضعیت شبکه را روی Public network قرار داده و OK را بزنید
21- حالا شبکه 108 و 192.16816 را به عنوان پابلیک مانند بالا تعریف می کنیم
22- ذخیره سازی پالیسی را با OK انجام دهید
در این آزمایش قصد داریم تا پالیسی out-of-office را در بخش Network Agent policy بر اساس ساخت یک رول جدید برای پروفایل <Not connected> و همچنین شرطی را برای اینکه کامپیوتری نتوانست نام dc.abc.lab را پیدا کند ایجاد کنیم
- Security-Center
1- وارد Managed devices و روی تب Policies بروید
2- حالا تنظیمات out-of-office policies را انجام می دهیم ، از پالیسی Kaspersky Security Center 10 Network Agent یک properties بگیرید
3- وارد بخش Network | Connection شوید
4- برای اضافه کردن رول در Switch profiles و کلیک کنید در بخش Add
5- در کادر مربوطه عبارت dc.abc.lab unresolved را برای نام رول بنویسید
6- برای مد موبایل هم می توانید رولی را بسازید ، <Not connected> را در فیلد Use connection profile انتخاب کنید
7- برای فعال سازی رول تیک Rule activated را بزنید
8- حالا شرطی را اضافه کنید روی Add بزنید و پارامتر Name resolvability را انتخاب کنید
9- اضافه کردن یک نام که برای کامپیوتری که می خواهیم شرط بر روی آن اعمال شود روی Add کلیک کنید
10- حالا dc.abc.lab را بنویسید و ok کنید
11- ساختن شرطی که در زمانی که کامپیوتر نمی تواند نام را ترجمه کند با انتخاب Does not match any of the values in the list و OK کنید
12- رول را با OK ذخیره کنید
13- اگر می خواهید سریع رول اجرا شود آن را بالای لیست قرار داده و روی Editing locked و OK کنید
14- صبر کنید تا پالیسی اعمال شود
- Security-Center
1- وارد Administration Console شوید
2- باز کنید گروه Workstations و تب Policies را بزنید
3-در KES 10 SP2 workstation policy وارد properties شوید
4- بر روی Anti-Virus protection\ General Protection Settings سوییچ کنید
5- وارد Settings و در بخش Scan exclusions and trusted zone بروید
6- تب Trusted applications را بزنید
7- برای اضافه کردن برنامه TeamViewer روی Add کلیک کنید
8- در کادر مسیر یا Path برنامه را وارد کنید
9- چک باکس Do not scan opened files را بردارید
10- حالا برای اینکه برنامه اجازه کار در KES را داشته باشد Do not block interaction with the application interface و روی OK کلیک کنید
11- روی OK کلیک کنید
12- حالا برای ذخیره پالیسی OK را بزنید
13- حالا صبر کنید تا پالیسی اعمال شود
- Security-Center
1- وارد Administration Console شوید
2- باز کنید گروه Workstations و تب Policies را بزنید
3-در KES 10 SP2 workstation policy وارد properties شوید
4- بر روی Anti-Virus protection\ General Protection Settings سوییچ کنید
5- وارد Settings و در بخش Scan exclusions and trusted zone بروید
6- تب Trusted applications را بزنید
7- برای اضافه کردن برنامه TeamViewer روی Add کلیک کنید
8- در کادر مسیر یا Path برنامه را وارد کنید
9- چک باکس Do not scan opened files را بردارید
10- حالا برای اینکه برنامه اجازه کار در KES را داشته باشد Do not block interaction with the application interface و روی OK کلیک کنید
11- روی OK کلیک کنید
12- حالا برای ذخیره پالیسی OK را بزنید
13- حالا صبر کنید تا پالیسی اعمال شود
در این آزمایش قصد داریم تا برای Kaspersky Endpoint Security در زمان نصب روی شبکه یک پسورد تعریف کنیم تا کاربران قادر به غیرفعال کردن آن نباشند
- Laptop
1- خارج شوید از KES روی آن راست کلیک و Exit را بزنید
- Security-Center
1- وارد Administration Console شوید
2- از سمت چپ وارد Protection settings و روی Monitoring کلیک کنید
3- پیام Protection is disabled را در Protection settings پیدا کنید
4- روی لینک Protection is disabled کلیک کنید
5- حالا نود های Device selections و آنهایی که Protection is off هستند را مشاهده کنید
6- کامپیوتر Laptop انتخاب کنید
7- در سمت راست روی لینک Security application is not running کلیک کنید
8- روی لینک Open Protection section in device properties بروید
9- وارد بخش Applications شوید
10- حالا Kaspersky Endpoint Security 10 Service Pack 2 for Windows را انتخاب و روی < ( ابی رنگ ) کلیک کنید
11- حالا صفحه را ببندید و به Administration Server و تب Monitoring را بزنید
12- روی متن سمت چپ Protection settings که سبز است
- Security-Center
1- داخل Workstations شده و روی تب Policies بروید
2- انتخاب کنید KES 10 SP2 workstation policy
3- روی لینک Configure policy کلیک کنید
4- سوییچ روی Application Settings انجام دهید
5- حالا برای فعال سازی password protection وارد بخش Settings و Password protection بزنید
6- چک باکس Enable password protection را انتخاب کنید
7- یک نام مثلاً KLAdmin و پسورد root قرار دهید
8- حالا گزینه های Exit the application, Disable Kaspersky Security Center policy و Remove modify restore the application و روی ok کلیک کنید
9- روی OK کلیک کنید
10- حالا منتظر میمانیم تا پالیسی اعمال شود
11- روی Laptop بروید و روی KES راست کلیک و Exit را بزنید باید کادری مثله زیر باز شود :
12- در Password check روی Cancel کلیک کنید
13- حالا در سیستم عامل ویندوز وارد Programs and Features شوید
14- انتخاب Kaspersky Endpoint Security 10 for Windows و روی Change کلیک کنید
15- برای حذف Kaspersky Endpoint Security روی Remove کلیک کنید
16- حالا NEXT را بزنید بدون اینکه کادر زیر را پر کنید :
17- مشاهده می کنید که کسپرسکی بدون پسورد پاک نمی شود روی پیام زیر OK کنید :
18- ویزارد حذف را cancel کنید
در این آزمایش قصد داریم تا برای Network Agent کسپرسکی پسورد تعریف کنیم تا کاربران قادر به حذف آن نباشند
- Security-Center
1- انتخاب کنید Managed devices و روی تب Policies بروید
2- در پالیسی Kaspersky Security Center 10 Network Agent کلیک کنید تا پراپرتیس آن باز شود
3- روی Settings بروید
4- برای تعریف پسورد روی Use uninstall password کلیک کنید
5- برای تعریف یک پسورد روی Modify کلیک کنید
6- پسورد را مثلاً root قرار دهید
7- حالا بر روی Use uninstall password روی OK کلیک کنید
8- صبر کنید تا پالیسی اعمال شود
9- در ماشین Laptop وارد Programs and Features شده و روی Kaspersky Security Center Network Agent کلیک کنید
10- روی Uninstall کلیک کنید
11- روی Next کلیک کنید - پنجره زیر نمایش پیدا می کند
یک تکنولوژی ضروری است با kaspersky Endpoint Security کار می کند ، و جلوی تهدیدات ناشناخته را می گیرد ، و دارای دو بخش Advanced Settings \ Application Settings :
اگر Self-Defense غیر فعال شود کامپیوتر های از نظر حفاظتی ضعیف می شوند ! به صورت پیش فرض فعال بوده و دارای قفل بسته است
برای جلوگیری از باج افزار ها اگر کاربری در با موس و کیبورد دستوری را تایپ کند توسط Self-Defense تمامی پروسه حفاظت می شود ، موقعی که مدیر شبکه قصد دارد تا Endpoint کسپرسکی را از راه دور مدیریت کند مثلاً با برنامه Team Viewer این ابزار اجازه نمی دهد تا بتوانند روی پنجره Endpoint کسپرسکی کلیکی صورت بگیرد ، چنانچه شما نیاز دارید تا کسپراسکی Endpoint را از راه دور مدیریت کنید باید برنامه را در لیست برنامه های Trust قرار دهید در بخش properties از منوی Trusted program چک باکس Do not block interaction with the application interface را بزنید و بقیه چک باکس ها را بردارید .
به صورت پیش فرض کابران می توانند به دو روش برنامه کسپراسکی را غیر فعال کنند :
تمامی مطالبی که در اینجا گفته شده ما را سرانجام به نقطه ای می رساند که آن حفاظت از کامپیتر ها است ، به طور خلاصه این حفاظت :
تمامی ابزارهایی که Endpoint کسپرسکی دارد برای حفاظت و مسدود کردن تهدیدات کافی است ، همچنین برای لپ تاپ ها که قصد دارند در بیرون شبکه شما فعالیت داشته باشند از مد Out -Of-Office استفاده کنید
امکاناتی در بخش Anti-Malware کسپرسکی Endpoint برای کنترل و محدودیت هایی در عملکرد تهدیدات بر روی کامپیوت های سازمانها وجود دارد یکی دیگر از این امکانات Application Control است که از استفاده کاربران برای بازی های رایانه ای و مشاهده فیلم و هر فعالیتی حین کار جلوگیری می کند .
یکی دیگر از ابزار های کنترلی Device Control است که سخت افزار های مختلف را براساس باس آنها دسته بندی می کند و مدیر شبکه می تواند آنها را فعال یا غیر فعال کند ، ابزار کنترلی دیگر Web Control است که با آن می توانیم دسترسی به سایت ها را محدود کنیم و در واقع می خواهیم تنها سایت هایی را دسترسی بدهیم که کاربران با آنها کار می کنند
5 کاری که کسپراسکی سرور 10 انجام می دهد :
کامپوننت های کنترل نیاز به لایسنس KESB دارند تا به صورت خودکار نصب شوند و برای نوع Standard کارایی دارد ، بجز Application privilege Control یک عملیات پایه است و نیاز به لایسنس KESB Core دارد و همچنین در KESB Core کامپوننت کنترل کار نمی کند در مباحث اولیه در اینباره بحث شده است :
شکل های زیر نمایی از کنترل ها در کسپرسکی و کامپوننت های لایسنس را نشان می دهند :
- Application Startup Control
ابزاری است که به مدیر شبکه کمک می کند تا بتواند محدودیت هایی را برای برنامه ها بر روی Endpoint انجام دهد این امکان می تواند تهدیدات الودگی روی کامپیوتر ها را کاهش دهد . هنگامی که برنامه ای اجرا می شود این ابزار موارد زیر را بررسی می کند :
- تنظیمات Application Startup Control
- تنظیمات Application Caregories
هنگامی می خواهید لیستی را در این بخش ایجاد کنید تا برنامه ای را استثنا کنیم به مسیر Advanced > Application managment > Application Categories در کسپرسکی سرور 10 بروید حالا برای دسته بندی جدید ویزاردی را باید طی کنید :
- بروزرسانی و ساخت دستی یک دسته بندی
برای ساخت یک دسته بندی به صورت دستی ابتدا باید از لیست دسته بندی چک کنید که آن برنامه در داخل آن قرار داشته باشد سپس شما می توانید 6 نوع ایتم را تعریف کنید :
نکته : در نسخه های KES سرویس پک 1 MR3 شما می توانید از MD5 استفاده کنید در نسخه پک 2 ورژن KES 10 تنها می توانید SHA-256 را انتخاب کنید
نکته : ممکن است به طور تصادفی برنامه ای را ناخواسته نصب کنید و یا اینکه برنامه نصب شده ، شما می توانید این برنامه را در Administration Server حذف کنید
لیست فایل های اجرایی ( Exe )
مدیر شبکه می تواند یک وضعیت پایه را برای یک برنامه خاص ایجاد کند و این کار با روش های زیر امکان پذیر است :
اضافه کردن همه فایل های از یک فولدر در یک دسته بندی
شما می توانید کل یک فولدر را دسته بندی کنید نه تنها یک فایل را ، اگر یک فایل یا چند فایل را بخواهید به محل دیگر انتقال دهید می توان یک پکیج MSI را ایجاد کرد شما می توانید با طی مراحلی در ویزارد مربوطه این پکیج را ایجاد کنید
استفاده از Metadata یا Checksum فایلی در یک MSI
پکیج های MSI را می توان به صورت دستی طوری طراحی کرد که قابل اسکن در زمان ساخت دسته بندی باشد
استفاده از KL Categories
هنگامی که مدیر شبکه قصد اجرا یا جلوگیری از یک برنامه شناخته شده را دارد برنامه باید از نظر Hashsum و انتشار دهنده و محلی که روی درایو دارد و ... شناسایی شود در واقع برای برنامه های نامعتبر و مشکوک هم چنین روندی لازم است مثلاً برای بازی ها و مرورگر ها ، راه حل KL Categories اینجا کارایی خود را نشان می دهد و برچسب نوع کلاس برنامه را مشخص می کند مثلاً برنامه های ایمیل - برنامه های مرورگر و ... را دسته بندی می کند KL مخفف عبارت Kaspersky Lab می باشد
مسیر خاص برای فایل ها
برنامه ها بر اساس پارامتر های Hash sum و Attribute چک می شوند و این بستگی به وضعیت محلی دارد که در آن قرار گرفته اند ، فایل ها تحت کپی و جا به جایی نباید تاثیر بپذیرند و در واقع باید به همان وضعیتی که در دسته بندی ها تعریف شده اند اجرا شوند :
در این آزمایش قصد داریم تا به عنوان مدیر شبکه شرکت ABC برنامه Internet Explorer را به عنوان یک category برای مرورگر ها تعریف کنیم ، همچنین کاربران را مجبور کنیم تا فقط از برنامه Internet Explorer برای مرور صفحات وب استفاده کنند ، برنامه های Internet Explorer و Mozilla Firefox اجرا شوند
با نام کاربری abc\Alex پسورد Ka5per5Ky وارد شوید
- Security-Center
مشاهده تنظیمات control components در کنسول ، ابتدا Kaspersky Security Center باز کنید :
1- انتخاب کنید Administration Server
2- باز کنید از منو اصلی تب Viwe و بر روی Configure interface کلیک کنید
3- انتخاب Display endpoint control settings و حالا OK را بزنید
4- حالا Administration Server را یک بار دیسکانکت و کانکت کنید
5- در Workstations باز کردن تب Policies
6- انتخاب KES 10 SP2 workstation policy
7- انتخاب Configure policy
8- مطمئن شوید که کامپوننت Endpoint control در لیست پالیسی است
9- برای بستن هم Cancel را بزنید
ساخت یک category برای همه مرورگرها بجز Internet Explorer
حالا می خواهیم یک application category ایجاد کنیم که شامل همه مرورگرها بجز Internet Explorer 11.0 یا قبل از آن ... برای این کار Kaspersky Lab (KL) categories را انتخاب خواهیم کرد ، و Internet Explorer را در استثنا ها قرار داده و در metadata به شکل iexplore.exe تعریف می کنیم
- Security-Center
1- روی Advanced کلیک و Application management را بزنید
2- باز کنید Application categories
3- کلیک Create a category
4- حالا بالاترین منو را انتخاب کنید
5- نوشتن Browsers به عنوان نامی برای category و کلیک روی Next
6- اضافه کردن مرورگر با اشتفاده از کلید Add و انتخاب KL category
7- حالا دسته بندی Browsers را انتخاب کنید
8- انتخاب Web Browsers و کلیک روی OK
9- روی Next کلیک کنید
10- حالا در انتخاب وضعیت ها برای Internet Explorer روی Add رفته و From file properties را انتخاب می کنیم
11- حالا روی Get data دکمه From file را انتخاب کنید
12- حالا در پنجره باز شده فایل iexplore.exe را انتخاب کنید
13- انتخاب کنید open
14- در لیست Version انتخاب More than or equal to
15- چک باکس Application Name را بردارید
16- در Application version و انتخاب کنید More than or equal to
17- چک باکس Vendor را بردارید
18- برای ذخیره سازی OK را بزنید
19- بر روی Next کلیک کنید و روی Finish کلیک کنید
20- حالا صبر کنید تا دسته بندی برای کامپیوتر ها اعمال شود
- حالا می خواهیم جلوی اجرای Internet Explorer را بگیریم :
1- در Workstations وارد تب Policies شوید
2- حالا پراپرتیس KES 10 SP2 workstation policy را باز کنید
3- باز کنید Application Startup Control ( دقت کنید این گزینه به صورت پیش فرض غیر فعال است )
4- فعال کردن Application Startup Control
5- در لیست Action انتخاب Block
6- حالا Add را بزنید
7- حالا Browsers category را انتخاب و رولی است که پیش فرض دسترسی کاربران را ممنوع می کند
8- روی OK کلیک کنید
9- حالا برای ذخیره پالیسی روی OK کلیک کنید
10- صبر کنید تا پالیسی اعمال شود
- اجرای Mozilla Firefox - Internet Explorer
1- مرورگر Firefox را باز کنید
2- حالا در گوشه صفحه باید اخطاری به شکل زیر ظاهر شود
3- اجرای مرورگر Internet Explorer
4- مطمئن شوید که Kaspersky Endpoint Security برنامه Internet Explorer را بلاک نکرده باشد
ماشین های DC - Security-Center را روشن کنید
ماشین PC1 را روشن کنید
- Security-Center
1- در Administration Console بروید
2- باز کنید Application categories
3- کلیک Create a category
4- روی بالاترین گزینه کلیک کنید
5- نام دسته بندی Protection_Cryptomalware و Next کنید
6- فایل ConditionsProtectionCryptomailware.txt را کپی کنید و آن را باز کنید ( این فایل توسط نویسنده ایجاد شده و هدف فقط آموزش است )
7- حالا از لیست Add را بزنید
8- در لیست روی Application folder بروید
9- حالا به صورت زیر خط زیر را در ConditionsProtectionCryptomailware.txt کپی کنید
10- در مسیر زیر خط را پیست کنید
11- در واقع ما مسیر فایل ConditionsProtectionCryptomailware.txt را شبیه سازی کردیم حالا Next کنید
12- حالا Next را بزنید و در لیست روی KL category کلیک کنید
13- حالا تمامی باکس های KL categories انتخاب کنید و OK را بزنید
14- روی figuring conditions for exclusion of applications from categories و Next کنید
15- روی Finish کلیک کنید
- تغییر در پالیسی برای جلوگیری از اجرای فایل توسط کاربران
1- وارد Workstations و روی تب Policies کلیک کنید
2- حالا پراپرتیس KES 10 SP2 workstation policy را بگیرید
3- حالا Application Startup Control باز کنید
4- کلیک کنید Add
5- روی OK کلیک کنید
6- مجدداً OK را بزنید
7- حالا منتظر باشید تا پالیسی اعمال شود
در این آزمایش قصد داریم تا با کسپرسکی سرور 10 فلش مموری USB را مسدود کنیم
- ماشین PC 1 را باز کنید و وارد VMware Workstation شده و روی VM بروید در بخش Removable Devices مطمئن شوید که Connect باشد حالا یک فلش مموری را قرار دهید
- روی Pc 1 روی Start سپس وارد Computer شوید مطمئن شوید که فلش مموری کار می کند
- Security-Center
1- وارد Administration Console شوید
2- سپس وارد گروه Workstations و تب Policies را بزنید
3- انتخاب کنید پالیسی KES 10 SP2 workstation policy
4- حالا policy properties را باز کنید
5- وارد Device Control شوید
6- انتخاب کنید Removable drives
7- روی تب Access روبروی عبارت Removable drives کلیک کنید
8- روی Block کلیک کنید
9- حالا OK کنید
10- صبر کنید تا پالیسی اعمال شود
11- وارد ماشین PC1 شوید باید اخطاری مانند زیر را مشاهده کنید
11 - در پایین صفحه می توانید روی لینک Request access کلیک کنید صفحه ای مثله زیر نمایان می شود :
12- شما می توانید درخواستی را برای مدیر شبکه ارسال کنید با کلیک روی Send تا دسترسی شما را بررسی و در صورت صلاحدید آن را باز کند
13- وارد Administration Server و در بخش Events
14- بر روی User requests کلیک کنید
15- حالا درخواست را مطالعه کنید
- PC1
1- یک فلش مموری را داخل قرار دهید
2- ماشین PC1 را باز کنید
3- در منوهای برنامه VMware Workstation به Vm و Removable Devices و چک کنید تا این امکان روی حالت Connect باشد
4- وارد Start > Computer شوید
5- حالا چک کنید که درایو فلش مموری فعال شده باشد
- Security-Center
1- وارد Administration Console شوید
2- در گروه Workstations وارد تب Policies شوید
3- روی پالیسی KES 10 SP2 workstation policy کلیک کنید
4- حالا properties پالیسی را باز کنید ( روی آن راست کلیک یا دوبار روی آن کلیک کنید )
5- بروید به منوی Device Control
6- انتخاب کنید Removable drives
7- کلیک روی Edit
8- روی Yes کلیک کنید
9- حالا تنظیمات دسترسی کاربران را روی Write گذاشته و OK کنید
10- روی OK کلیک کنید تا پالیسی ذخیره شود
11- صبر کنید تا پالیسی اعمال شود
12- اگر فایلی را در فلش مموری کپی کنید پیام زیر نمایش می یابد
در این آزمایش تنظیمات Device Control را برای Kaspersky Endpoint Security policy طوری تنظیم می کنیم که کاربران دومین بتوانند تحت Domain users group قابلیت نوشتن روی فلش مموری ها را داشته باشند
- Security-Center
1- وارد پراپرتیس KES 10 SP2 workstation policy شوید
2- وارد منو Device Control شوید
3- حالا روی Removable drives و روی Logging کلیک کنید
4- روی Select کلیک و در گروه Everyone روی OK کلیک کنید
5- روی تب Trusted devices سوییچ کنید
6- روی Add کلیک کنید
7- روی لیست گزینه Devices by ID انتخاب شود
8- در Computer name و بنویسید PC1 و روی Refresh کلیک کنید
9- روی خودتان USB drive کلیک کنید
10- کلیک Select و بر روی Domain Users مدنظرتان کلیک کنید و OK را بزنید
11- بر روی Advanced Settings\Reports and Storages کلیک کنید
12- در Notifications روی Settings کلیک کنید
13- بر روی Device Control کلیک کنید
14- انتخاب کنید Save in local log و بخش رخدادی File operation performed رفته و روی OK کلیک کنید
15- پالیسی را OK کنید و صبر کنید تا پالیسی اعمال شود
16 حالا فایلی را داخل فلش مموری در کپی کنید ( PC1 ) اینجا فایلی را به نام invoice.txt را قرار دادیم
17- مطمئن شوید که Kaspersky Endpoint Security اجاره نوشتن را داده است
18- انتخاب کنید Administration Server و داخل تب Reports شوید
19- انتخاب کنید Report on file operations on removable drives
20- داخل گزارشات روی Show report کلیک کنید
21- شکل نهایی گزارش به صورت زیر باید باشد
در این آزمایش قصد داریم تا حوزه فعالیت کاربران در داخل سازمان را برای دسترسی به شبکه های اجتماعی محدود کنیم
_ ماشین های DC و Security-Center را روشن کنید
- ماشین PC1 را روشن کنید
- مسدود سازی social networks
ممکن است شما به عنوان مدیر شبکه یک سازمان بخواهید تا دسترسی کاربران به شبکه های اجتماعی در ساعات کاری را محدود کنید
- Security-Center
1- باز کنید Administration Console
2- باز کنید Workstations و روی تب Policies کلیک کنید
3- انتخاب کنید KES 10 SP2 workstation policy
4- بخش properties پالیسی را باز کنید
5- حالا روی Web Control سوییچ کنید
6- روی Add کلیک کنید
7- در فیلد Name بنویسید Social networks
8- در Filter content بر روی By content categories کلیک کنید
9- در لیست Content categories زیر بخش Internet communication انتخاب کنید Social networks
10- انتخاب کنید چک باکس Specify users and / or groups
11- کلیک کنید روی Select و انتخاب گروه Everyone
12- در بخش Action انتخاب کنید وضعیت Block
13- روی دکمه Settings کلیک کنید
14- تنظیمات زمانبندی را روی Monday تا Friday از ساعت 9:00am تا 6:00pm و روی OK کلیک کنید
15- نام فیلد را Working hours قرار دهید
16- کلیک کنید روی OK
17- و در آخر روی OK کلیک کنید
18- صبر کنید تا پالیسی اعمال شود
19- حالا مرورگر Internet Explorer را باز کنید و وارد سایت www.instagram.com شوید
در این آزمایش قصد داریم بعضی از بخش های داشبورد برنامه Kaspersky Security Center را بررسی کنیم شما به عنوان مدیر شبکه یک سازمان وظیفه دارید تا هر روز اماری مانیتورینگ وار از برنامه KSC داشته باشید پس نیاز هست تا مهترین بخش های داشبورد را چک کنید
- Security-Center
در این بخش قصد داریم تا 6 پلن مهم را بررسی کنیم :
- وضعیت Real-time protection
- وضعیت دستگاه ها
- وضعیت database versions و بروزرسانی ها
- وضعیت آنتی ویروس
- چک انواع حملات network attacks
1- وارد Administration Console شوید
2- باز کنید نود Administration Server و به تب Statistics بروید
3- حالا می خواهیم داشبورد را سفارشی اجرا کنیم و روی Customize view کلیک کنید
4- روی Add کلیک کنید
5- روی Information panes کلیک کنید
6- برای اینکه نتایج داشبورد را کمتر کنیم در گزینه Columns in information panes عدد 3 را بنویسید
7- حالا روی Add کلیک کنید
8- در زیر Protection status بر روی Real-time protection status رفته و روی OK کلیک کنید
9- حالا برای اعمال تغییرات روی OK کلیک کنید
10- توجه کنید که بخش های زیر همگی اضافه شده باشند و روی OK کلیک کنید
11- حالا Health check را در بالاترین لیست قرار داده و Close را بزنید .
12- حالا ملاحظه کنید که تنظیمات مانند عکس زیر باشد
در این آزمایش قصد داریم تا بخشی از لاگ گزارشات که نیازی به آن نداریم را حذف کنیم و قصد داریم تا گزارشات مهم را طوری تنظیم کنیم به مدیر شبکه ایمیل شود
- ماشین های DC و Security-Center را روشن کنید
- Security-Center
1- وارد Administration Console شوید
2- وارد نود Administration Server شده و تب Reports را بزنید
3- انتخاب کنید Errors report و روی Delete کلیک کنید
4- حالا می توانید گزارشات را حذف کنید روی OK کلیک کنید
در این مبحث می خواهیم در ادامه مباحث دسته بندی برنامه ها در کسپرسکی سرور 10 به تنظیمات خودکار برای آپدیت و ایجاد سورس های برنامه هایی که تغییر می کنند بپردازیم و تنظیماتی را انجام دهیم که در رول های دسته بندی به صورت زمانبندی شده اعمال شوند .
همچنین این تنظیمات باعث می شوند که آرشیو برنامه هایی که به صورت پکیج های .MSI هستند نیز بروزرسانی شود . همچنین شما می توانید انتخاب کنید Include dynamic-link libraries ( .DLL ) به صورت دسته ایجاد شوند ، وقتی تیک باکس این گزینه فعال باشد کسپرسکی سرور checksum آنها را محاسبه و هر دسته را مطابق با دسته بندی مرتبط آن ها با فایل های اجرایی بروز می سازد . چک باکس بعدی Include script data in this category مربوط به فرمت هایی می شود که اسکریپتی هستند و اساساً مانند فرمت Dll یک فایل اجرایی محسوب نمی شوند نظیر فرمت های .vbs و .js .
- دسته بندی بر روی یک کامپیوتر مرجع
چنانچه برای اجرای برنامه ای یک کامپیوتر مرجع را در نظر گرفته اید تا وقتی برنامه ها را دریافت کرد بر روی کامپیوتر های جدید نصب شوند یک راه حل برای توسعه دادن سیستم عامل ها و تمامی برنامه ها روی شبکه هم وجد دارد اما این فرایند ممکن است بار اضافی روی شبکه ایجاد کند و خیلی هم زمانبر باشد ، در اینجا مدیر شبکه می تواند به صورت دوره ای ایمیج ها روی کامپیوتر مرجع را مرتب بروزرسانی کند و در صورت نیاز روی کلاینت ها اعمال کند
اگر شما به عنوان مدیر شبکه می خواهید دسته بندی را بر اساس KL برای فایل های اجرایی ایجاد کنید اگر هم بخواهید عیب یابی بر روی این دسته بندی KL داشته باشید می توانید از مسیر Advanced > Application management < Executable files اقدام کنید .
- اضافه کردن یک برنامه در دسته بندی
برای اضافه کردن برنامه ها مراحل زیر را طی کنید :
دسته بندی در KSC در کنسول مدیریتی کسپرسکی سرور بر اساس رجیستری برنامه ها و فایل های اجرایی صورت می گیرد موقعی که نیاز است برنامه های خاصی را در لیست به صورت منطقی اضافه کنیم باز هم ممکن است دارای چند فایل اجرایی باشد ، در KES می توان یک تقسیم بندی ویژه ای را ایجاد کرد :
- جمع آوری برنامه های اجرایی روی یک کامپیوتر
برای اینکه برنامه های اجرایی روی کامپیوتر کلاینت ها را بتوان دسته بندی کرد دو روش وجود دارد :
1- در Inventory task اطلاعات برنامه های اجرایی کلاینت ها اسکن می شود
2- ابزار های Application Startup Control و Application Privilege Control موقعی که فعال هستند می توانند اطلاعات فایل های اجرایی را از کلاینت ها دریافت کنند
این اطلاعات را می توانید در پالیسی KES در بخش Reports and Storages Inform Administration Server Settings / About started application پیدا کنید . با فعال بودن چک باکس این گزینه اطلاعات برنامه های اجرا شده نتایجی را به Inventory Task ارجاع می دهند .
توجه : اگر تعداد کامپیوتر ها زیاد است تسک Inventory را برای همه آنها اجرا نکنید چرا که بار ترافیکی شبکه شما بالا خواهد رفت
- طریقه ساخت تسک Inventory
قبلاً درباره این تسک در مباحث قبلی بحث شده اما چنانچه بخواهید این تسک را اجرا کنید مراحل زیر را طی کنید :
یکی از این دسته مد ها به نام Application Startup Control است که به صورت پیش فرض در Endpoint کسپرسکی با سرویس پک 1 غیر فعال است . یکی از این دلایل غیر فعال بودن برنامه برای این است که برنامه های اجرایی اطلاعات خودشان را ارسال نکنند بنابراین لازم است که مدیر شبکه قبل از تنظیمات آن را فعال کند . این ابزار برای ایجاد مد های Black list و White list استفاده می شود ، رول های این ابزار دارای پارامتر های زیر هستند :
- Category : یک Application Category را در بخش کسپرسکی سرور ایجاد می کند
- Trusted updaters : تمامی دسته بندی برنامه ها را به صورت یک اپدیت کننده Trust انجام می دهد
- Trusted updaters : اگر این رول را فعال کنید در هنگام نصب برنامه ها همراه با بروزرسانی های معتبر انجام شده حتی اگر ان برنامه ها بلاک شده باشند و به صورت پیش فرض این رول فعال است
- Golden Image : شامل برنامه های اجرایی و فایل های ضروری آنها برای اجرا در سیستم عامل است این فایل ها توسط سیستم عامل پشتیبانی می شوند و برنامه هایی استاندارد هستند . KES قادر است تا جلوی بلاک شدن آنها به صورت تصادفی را بگیرد
- نحوه یافتن فایل های بلاک شده و ممنوعه
برای مشاهده این رول ها می توانید از بخش Statistical analysis استفاده کنید و در بخش پالیسی KES لیست برنامه های Startup control را می شود مشاهده کرد .
- مشاهده لاگ ها
لاگ های Application Startup به صورت 7 روز نگهداری می شوند و شامل Application startup blockage messege to administrator هست این لاگ ها به صورت 5 نوع عمده هستند :
- برنامه هایی که ممنوع هستند
- برنامه هایی که بلاک شده اند توسط مدیر شبکه
- برنامه هایی که به صورت مد آزمایشی ممنوع شده اند
- برنامه هایی که به صورت مد آزمایشی اجازه داده شده اند
گفتیم که کسپرسکی سرور در بخش رخدادهایی که درباره Application startup prohibited جمع آوری می کند یک گزارش از رویکرد و فرایندهای فعالیت هایی که به صورت بلاک بر روی برنامه های اجرایی کلاینت ها اعمال می شود ایجاد می کند .
هنگامی که از مد White list صحبت می کنیم ( در درس های قبلی مفصلاً توضیح داده شد ) هر چیزی که ممنوع نیست و در واقع رولی است برای برنامه های معتبر و شناخته شده ، هنگامی که یک پالیسی در کسپرسکی سرور 10 شروع به کار می کند تا تغییرات را به روی کلاینت ها اعمال کند از ترمینالی به نام ( POS ) Point - of - Sale استفاده می کند ، در اینجا هنگامی که تنها برنامه هایی خاص اجازه اجرا شدن را دارند و آنهایی که نامشخص هستند باید ممنوعه بمانند .
- کاربرد Deny mode
- بالا بردن ظرفیت قابل توجهی از امنیت
- بالا بردن پایداری با توجه به محدودیت در عملکرد های طبیعی بخصوص در محیط های آموزشی
- Device Control
منظور از واژه Device Control به تمامی درایو هایی گفته می شود که به صورت سخت افزاری و از طریق درگاهی به نام " باس " کار می کنند . این بخش زمانی اهمیت پیدا می کند که مدیر شبکه بخواهد دستگاهی را مسدود کند مثلاً فلش مموری های USB ، در کسپرسکی سرور تمامی سخت افزار های زیر پشتیبانی می شوند :
و در دسته بندی جزیی تر
نکته : نمی توان کیبورد و موس USB را مسدود کرد برای مسدود سازی فلش مموری ها از امکانی به نام Bad USB Attack استفاده می شود
برای فلش مموری ها و هارد دیسک ها و فلاپی دیسک و CD/DVD می توانیم :
اتصال دستگاه هایی نظیر لپ تاپ ها و ... در شبکه های وای فای عمومی میتواند نا ایمن باشد ، کاربران که به شبکه های هات اسپات وصل هستند همگی در معرض خطر هستند بنابراین لازم است تا آنها را تحت پوشش یک پالیسی ایمن سازی کنیم :
اگر قصد دارید در همه جای شبکه کاربران بتوانند از مموری فلش ها استفاده کنند لازم است تا این دستگاه ها به عنوان یک وسیله تراست و قابل اعتماد در شبکه تعریف شود هر چند به صورت پیش فرض بر روی Endpoint کسپرسکی قابل استفاده است اما در پالیسی مربوط به Endpoint در بخش Device Control | Trusted devices را انتخاب کنیم سپس با استفاده از گزینه Add قادر هستیم آنها را به صورت تراست شده تعریف کنیم :
گزینه Devices by ID mask در واقع نوعی یا بخش از ID دستگاه است . برای شناسایی بخش ID دستگاه شما باید از بخش Device manager ویندوز و تب Details آن را مشاهده کنید .
هنگامی که پالیسی مدیریت دستگاه ها در کسپرسکی سرور تعریف می شود آنچه که کاربران بر روی کامپیوتر هایشان می بینند به صورت زیر خواهد بود :
کسپرسکی Endpoint این امکان را می دهد که کاربران بتوانند دسترسی موقتی به دستگاه های مسدود شده داشته باشند ، این فرایند به صورت :
- کاربر کد را دریافت می کند و وقتی روی دستگاه مورد نظر کلیک کند زمانی برای دسترسی تعیین می شود کاربر نمی تواند زمان را متوقف کند و مدیر شبکه قادر به دسترسی راه دور برای لغو این دسترسی موقت را ندارد ، همچنین شما به عنوان یک مدیر شبکه می توانید برای اینکه تماس های کاربران برای دسترسی به دستگاه های مسدود شده را کاهش دهید می توانید از بخش Device Control چک باکس Allow request for temporary access را بردارید .
- ارسال یک درخواست
هنگامی در کسپرسکی Endpoint تب Protection and Control فعال باشد یک منوی میانبر برای دستگاه ها به نام Access to device ایجاد می شود . شما با باز کردن این پنجره می توانید دستگاه هایی که مسدود هستند را مشاهده کنید هنگامی که به دستگاه نیاز دارید می توانید با کلیک روی Get access code اینکار را انجام دهید . و برای اینکه دستگاه اشتباه انتخاب نشود می توانید بر روی بخش For the entire runtime در بخش Currently از این مد استفاده کنید
نکته : اگر دسترسی به دستگاه ها را مدیر شبکه مسدود کند آنها به رنگ تیره نمایش پیدا می کنند
دسترسی موقت به صورت پیش فرض بر روی 24 ساعت تنظیم شده است و فرمت کلیدی که توسط مدیر شبکه ارسال می شود به شکل .akey می باشد
- ساخت کلید فعال سازی
برای دسترسی موقت به سخت افزارهایی که کاربران نیاز دارند کلیدی ساخته می شود توسط کسپرسکی سرور که مدیر شبکه آن را به کلاینت ها ارجاع می دهد برای این کار در بخش Grant access to devices and data in offline mode ( بر روی لیست کلاینت ها گروه راست کلیک کنید ) فعال سازی شروع می شود .
وقتی این پنجره باز شود روی تب Device Conrol سوییچ کنید و روی Brows کلیک کنید و فایل .akey دریافت می شود . حالا مدیر شبکه با انتخاب هر کامپیوتری می تواند دسترسی به کلید را اعمال کند فرمت کلید در زمان دریافت کاربران به صورت .acode می شود .
این دسترسی نباید کمتر از یک ساعت و بیشتر از 999 ساعت باشد ، و همانطور که در بالا گفتیم به صورت پیش فرض 24 ساعت است . سپس پیامی برای کاربر اجرا می شود به صورت Active access code که کاربر می تواند با کلیک روی ان کلید را فعال کند .
- مانیتورینگ Device Control
رخداد ها به نام Operation with the device prohibited جمع اوری می شوند و در بخش تب Critical event می توان لاگ های سخت افزار های بلاک شده را مشاهده کرد . همچنین در لاگ Operation with the device allowed می توان رخداد هایی را مشاهده کرد که نشان دهنده سخت افزار های غیر ممنوعه می باشد .
این رکورد ها به صورت پیش فرض به مدت 30 روز نگهداری می شوند . در بخش لاگ Report on Device Control events به صورت عمومی عملکرد دستگاه ها را می توان مشاهده کرد . گزارشی از دستگاه های بلاک شده و غیر بلاک در زمان اتصال و عدم اتصال در اینجا جمع اوری می شوند .
وب کنترل یک ساختار فیلترینگ اینترنت برای دسترسی به صفحات وب است ، وب کنترل خیلی شبیه به فایروال کار می کند مدیر شبکه می تواند رول هایی از نوع Allow و Block برای آن تعریف کند و به صورت پیش فرض رول بر روی مد Default rule بوده و دسترسی به تمامی صفحات وب امکان پذیر است .
نکته : تنها ترافیک های HTTP و HTTPS اسکن می شوند
برای بلاک کردن و جلوگیری از دسترسی صفحات وب مورد نظر فرمت نوشتاری به صورت ? و خواهد بود مثلاً shop یا .fm . کسپرسکی Endpoint انالیز صفحات وب را انجام می دهد و دارای کلاس بندی زیر است :
محتوای سایت ها و ادرس URL آنها اسکن می شود و پالیسی بر روی این ویژگی ها پیاده سازی می شود .
- نحوه مستثنا کردن وب کنترل
با توجه به مراحل زیر می توان محتوایی که می خواهیم مستثنی شوند ( تراست باشند ) را تعیین کنیم :
- نحوه گزارش گیری از وب کنترل
با استفاده از مراحل تصویری زیر می توانید گزارش گیری وب کنترل را چک کرد :
- مشاهده نتایج وب کنترل به کاربران
همچنین می توان در ابزار وب کنترل آنچه کاربران در هنگام باز کردن یک آدرس یا محتوای ممنوعه اقدام میکنند صفحات هشداری را سفارشی و طراحی کرد :
ایجاد متن اخطاری :
در این بخش به پارامتر های حفظ امنیت و یکپارچگی حریم امنیتی کسپرسکی سرور 10 بحث خواهیم کرد :
- ارسال گزارشات به ایمیل
در کسپرسکی سرور می توان تنظیمات ارسال گزارشات به ایمیل مدیر شبکه را انجام داد ، برای تنظیم :
- سفارشی سازی گزارشات
شکل زیر نمایی از ساخت یک گزارش یک روزه را نشان می دهد :
- گزارش گیری های فیشینگ
مراحل ایجاد گزارش فیشینگ را می توانید در شکل زیر ببینید :
- ارسال گزارشات به ایمیل که در کنسول مدیریتی مشاهده نمی شوند
شکل زیر مراحل ایجاد گزارشی که در کنسول مدیریتی دیده نمی شود را نشان می دهد :
- تغییر آدرس ایمیل
مراحل تغییر آدرس ایمیل سرور مدیر شبکه برای دریافت گزارشات به صورت زیر است :
- Security-Center
1- وارد پراپرتیس Report on most heavily infected devices شوید
2- تغییر نام دهید Monthly report on most heavily infected devices و بر روی OK کلیک کنید
3- یک گزارش جدید بسازید و کلیک کنید روی Create a report template
4- نام گزارش را Weekly report on most heavily infected devices و روی Next کلیک کنید
5- انتخاب کنید Report on most heavily infected devices و Next کنید
6- بر روی Next کلیک کنید و دوره زمانی را روی 7 روز قرار دهید
7- به دیگر تنظیمات دست نزنید و Next کنید
در این آزمایش قصد داریم یک گزارش هفتگی در زمان Mondays at 10 a.m را به وسیله ایمیل ارسال کنیم و گزارشات زیر را ارسال کنیم :
1- بازکردن لیست تسک ها و انتخاب نود Tasks
2- انتخاب تسک Deliver reports
3- کلیک روی لینک Configure task
4- سپس روی Report type کلیک کنید
5- حالا گزارشات زیر را انتخاب کنید :
6- سوییچ کنید روی Schedule
7- حالا تنظیمات ایمیل را بر روی Weekly قرار دهید
8- انتخاب Monday and 10:00 a.m و روی OK کلیک کنید
-Security-Center
1- باز کردن Managed devices و سوییچ روی Tasks
2- حالا از تسک Quick Virus Scan یک کپی و شورتکات ایجاد کنید
3- حالا وارد بخش Tasks ها شوید
4- تسک کپی شده قبلی در مرحله 2 را را در اینجا Paste کنید
در این آزمایش قصد داریم تا با ابزار remote diagnostics utility که یکی از محصولات شرکت کسپرسکی است یک ردیابی به Kaspersky Endpoint Security ایجاد کنیم سپس لاگ ها را دانلود کنیم و در لاگی به نام Kaspersky Event Log and System آنها را بایگانی کنیم
- Security-Center
1- انتخاب کنید بخش Administration Console
2- انتخاب کنید Managed devices\Workstations و روی تب Policies بروید
3- داخل پراپرتیز بخش KES 10 SP2 workstation policy شوید
4- باز کنید Application Startup Control
5- چک باکس Protection_Cryptomalware را بردارید و روی OK کلیک کنید
6- صبر کنید تا پالیسی اعمال شود
7- بروید داخل نود Managed devices
8- حالا PC1 را در اینجا پیدا کنید و یا در کادر جستجو آن را پیدا کنید
9- حالا PC1 را بنویسید و بر روی Find now کلیک کنید
10- حالا مطمئن شوید که کامپیوتر PC1 مشاهده شود
11- حالا روی آن راست کلیک کنید و بر روی Custom tools\Remote diagnostics
12- در کادر Device نام کامپیوتر PC1 را پیدا کنید
13- روی Sign in کلیک کنید
14- حالا برای فعال سازی ردیابی بر روی Kaspersky Endpoint Security 10 for Windows
15- بر روی لینک Enable tracing کلیک کنید
16- حالا میزان ردیابی را روی 500 تنظیم کنید
17- حالا برای ری استارت کردن Endpoint کسپرسکی بر روی لینک Restart application کلیک کنید
18- حالا صبر کنید تا کسپرسکی Endpoint ری استارت شود و عبارت Operation completed successfully نمایان شود
19- برای غیر فعال کردن ردیابی می توانید از گزینه Disable tracing استفاده کنید
20- باز کنید Kaspersky Endpoint Security 10 for Windows/Trace files
21- حالا بر روی لینک Download file کلیک کنید
22- دانلود ها در فولدر Trace files وارد می شود
23- برای مشاهده اطلاعات دانلود شده System info
24- کلیک کنید روی Load system information
25- باز کنید Event log و ان را ذخیره کنید در Kaspersky Event Log و System log
26- کلیک کنید روی لینک Download folder
27- حالا چک کنید که لاگ ها ایجاد شده باشد
28- حالا diagnostics utility را ببندید
29- مواظب باشید لاگ ها پاک نشود کلیک کنید بر روی No
40- باز کنید پراپرتیز KES 10 SP2 workstation policy
41- باز کنید Application Startup Control
42- فعال کنید رول Protection_Cryptomalware و روی OK کلیک کنید .
در این آزمایش قصد داریم کپی از بک آپ برای Kaspersky Security Center را انجام دهیم
- Security-Center
1- وارد بخش Administration Console
2- بر روی Tasks بروید
3- انتخاب کنید تسک Backup of Administration Server data
4- کلیک کنید روی Configure task
5- سوییچ کنید بر روی Settings
6- حالا مسیر بک آپ که %ProgramData%\KasperskySC\SC_Backup را بررسی کنید
7- پسورد certificate سرور را root تعریف کنید
8- وارد Notification شوید
9- چک باکس Send email فعال کنید
10- بردارید چک باکس Notify of errors only و OK کنید
11- حالا بر روی تسک backup گزینه Start را کلیک کنید
12- حالا پیامی با مضنون ری استارت شدن کسپرسکی سرور داده می شود و روی OK کلیک کنید
در این آزمایش می خواهیم کسپرسکی سرور را از روی یک کامپیوتر دیگر بازیابی کنیم :
- بر روی Select کلیک کنید
- پسوردی را در این بخش به نام root قرار دهید
- بر روی next کلیک کنید
- در پایان Finish کنید
حالا وارد سرور کسپرسکی شود :
1- بر روی Administration Console بروید
2- باز کنید پنجره Managed devices
3- حالا چک کنید نود های Servers و Workstations در اینجا مشاهده شوند
4- حالا نود Laptops را کلیک و روی تب Policies بروید
5- حالا بر روی پالیسی KES 10 SP2 out-of-office policy کلیک کنید
6- حالا بر روی Devices کلیک کنید
7- باز کنید پراپرتیز ماشین Laptop
8- بر روی Applications کلیک کنید
9- حالا مطمئن شوید پالیسی Kaspersky Endpoint Security 10 Service Pack 2 for Windows وو Kaspersky Security Center Network Agent nv در حال اجرا باشند
شما به عنوان یک مدیر شبکه لازم است تا هر کدام از پیام هایی که کسپرسکی سرور دریافت می کند را چک کنید در اینجا تعدادی از پیام های و رخداد های مهم را بررسی می کنیم :
هر بخش پالیسی مانند Kaspersky Endpoint Security Policy دارای بخشی به نام Event notification است که آخرین رویداد ها را در بخش Info آرشیو می کند و بخشی هم به نام Critical events که ارشیوی از اخرین رویداد های تهدید آمیز و مخرب است
بعضی از رویداد ها که شامل طلاعات مهمی هستند شامل بیش از چندین نوع رویداد و گزارش هستند نظیر رویداد Threats have been detected که شامل اطلاعاتی درباره یک ویروس انتشار یافته و ده ها و صد ها فراخوان و رویداد دیگر است .
شما می توانید تعداد رویداد ها را محدود کنید برای تنظیم می توانید به بخش Administration Server رفته و وارد پراپرتیس شده و گزینه Notification delivery settings را انتخاب کنید و روی لینک Configure numeric notification limit کلیک کنید .
- برخورد با باج افزار ها ( Malware )
یکی از بحث های عمده امنیت با کسپرسکی سرور 10 بر روی تهدیدات باج افزار ها متمرکز بود ، باج افزار ها از جمله تهدیداتی هستند که با کدگذاری های بسیار پیچیده مشکلات زیادی را برای کاربران و شبکه شما ایجاد می کنند در اینجا طرحی که KES برای حذف باج افزار استفاده می کند را بررسی می کنیم :
چنانچه راهکار های بالا قادر به جلوگیری از باج افزار نباشند ، بازیابی کامپیوتر از یک ایمیج پیشنهاد می شود
همچنین برای شناسایی کامپیوتر کلاینت هایی که به باج افزار آلوده شده اند می توان از بخش پراپرتیس نود Managed devices بر روی Device status کلیک کنید و با انتخاب چک باکس Many viruses detected وضعیت آنها را مشاهده کنید در ایجا وضعیت Warning با رنگ زرد مشخص شده است همچنین وضعیت Critical به رنگ قرمز مشخص شده و با انتخاب چک باکس Set status to Warning if تنظیمات اعمال می شود .
در بخش monitoring در نود Administration Server می توان بخش عمده ای از اطلاعات حفاظتی را مشاهده کرد این اطلاعات را می توان در بخش های There are unprocessed objects یا در Many viruses detected با جزییات بیشتری چک کرد .
در بخش Protection settings می توانید وضعیت تهدیدات را مشاهده کنید همچنین می توانید لیست کلاینت هایی که از وضعیت حفاظت خارج شده اند با protection is off و there are unprocessed objects چک کنید .
نکته : چنانچه می خواهید لیستی از ویروس های شناسایی شده در کامپیوتری را مشاهده کنید کافیست از آن پراپرتیس گرفته و وارد بخش Protection و روی لینک View report on viruses کلیک کنید
- اسکن ناحیه آلوده
با استفاده از تسک Critical Areas Scan می توانید کامپیوتر های زیادی را اسکن و از وجود ویروس ها پاکسازی کنید :
این تسک یک تسک محلی است و همراه با Kaspersky Endpoint Security نصب می شود . چنانچه بخواهید اسکن گروهی بر روی کلاینت ها اجرا کنید باید از گزینه Quick Virus Scan استفاده کنید . وارد بخش Tasks شده و حالا تسک Quick Virus Scan را ایجاد کنید ، اگر قصد دارید تا این تسک بر روی یک تعداد خاص انجام شود بر روی کامپیوتر های مورد نظر راست کلیک کنید و از گزینه All Task وارد Run a task شوید .
تسک دیگری به نام Perform Task می تواند تمامی کامپیوتر های بخش Selection را اسکن کند
همانطور که در بحث های قبلی گفته شد باج افزار ها در هنگام اجرا شدن ، توسط کسپرسکی Endpoint شناسایی می شود ، ابزارهای Application Privilege Control و System Watcher در این امر وارد عمل می شوند ، همچنین ابزار Anti-Virus قادر به اسکن برنامه ها در حافظه موقت کامپیوتر ها نیست .
اگر یک باج افزار وارد شود و Endpoint نتواند جلوی آن را بگیرد ابزار Advanced Disinfection استفاده خواهد شد . این تکنولوژی به صورت پیش فرض غیر فعال است ، برای اینکه با شروع به کار خود برنامه ها مسدود شده و کامپیوتر را ری استارت می کند ، اگر کامپیوتری آلوده به باج افزار ها شد :
- آن را از شبکه خارج کنید
- پالیسی را غیر فعال می کنید می توانید با دستور Disable policy در میانبر منوی KES اینکار را انجام دهید
نکته : برای استفاده از این دستور ، پسورد حفاظت از Endpoint کسپرسکی باید فعال باشد
- کسپرسکی Endpoint را باز کنید و وارد تب Settings شوید
- انتخاب نود Anti-Virus Protection و سپس انتخاب چک باکس Enable Advanced Disinfection technology را انجام دهید
- روی تب Protection and Control اجرا کنید Full Scan
نکته : در هنگام اجرای Advanced Disinfection technology هرگز برنامه ای را اجرا و فعال نکنید تا مراحل اسکن تمام شود و بعد از پاکسازی باج افزار کامپیوتر را ری استارت کنید
- ریست کردن شمارش ویروس
یافتن ویروس ها لاگ هایی را در کسپرسکی سرور ایجاد می کند که شما میتوانید این لاگ های شمارشی را به راحتی ریست کنید ، یکی از این روش ها وارد شدن به کامپیوتر موردنظر و کلیک روی All tasks و Reset Virus Counter را بزنید . این گزینه را در بخش Managed devices با گزینه Reset virus counter می توانید انجام بدید .
در این مبحث درباره عواملی که باعث می شوند تا Endpoint کسپرسکی از کار بیفتد و اینکه چگونه می توان جلوی عوامل از کار افتادگی آن را بگیریم بحث می کنیم :
همچنین وضعیت های حفاظتی را بررسی کنید :
چنانچه بخواهید کامپوننت هایی که از کار افتاده اند را بررسی کنید می توانید از بخش Events در محل Administration Server استفاده کنید ، سپس روی Selection name کلیک کنید و در سمت راست Selection events text و انتخاب کنید Functional failures
- بررسی پالیسی
چنانچه ملاحظه کردید در Endpoint کسپرسکی بعضی از ابزار ها غیر فعال هستند به تنظیمات پالیسی کسپرسکی سرور رفته و در آنجا چک کنید که کئتم ابزار ها را غیر فعال کرده اید . اگر ملاحظه کردید که وضعیت Protection is off است مراحل زیر را بررسی کنید :
چنانچه وضعیت Kaspersky Anti-Virus is not running باشد ، برای حل این مشکل در بخش Application در پراپرتیس کامپیوتر مورد نظر وارد شوید ، همچنین وارد تب Tasks شوید و کامپوننت های جداگانه را بررسی کنید که غیر فعال هستند یا خیر ، یکی دیگر از روش های بررسی شروع به کار Endpoint کسپرسکی ورود به تسک Start or stop application است که در هر گروه از پالیسی های ایجاد شده وجود دارد . همچنین در تسک گروه یک رویدادی به نام Virus outbreak وجود دارد که هنگامی که کامپیوتر ها در شبکه شروع به کار می کنند فعال می شود
- عدم سرویس دهی کسپرسکی سرور
اگر حفاظت از کلاینت ها و سرور ها کارایی خود را از دست بدهد ، وضعیت بدی اتفاق خواهد افتاد . از جمله مواردی که می توان بررسی کرد :
- از کار افتادن دیتابیس
اهمیت صفحه Monitoring را نادیده نگیرید گزینه مهمی برای بررسی تمامی عیب ها و عملکرد های نادرست کسپرسکی سرور و ابزار های آن است :
چنانچه با غیر فعال شدن دیتابیس کسپرسکی سرور 10 مواجه شدید شما اولین کاری که باید انجام دهید بررسی فعال بودن تسک Download updates to the repository است تا اخرین بروزرسانی های سرور را دریافت کند . چنانچه مشکل با بروزرسانی حل نشد می توانید از بخش بروزرسانی Go to Kaspersky Lab softwareدر بخش Update در صفحه Monitoring وارد شوید و در بخش Advanced Repositories Kaspersky Lab software updates and patches اقدام به بروزرسانی برنامه کسپرسکی سرور کنید .
- بروزرسانی Administration Server
هنگامی که کسپرسکی سرور 10 بروزرسانی ها را دریافت می کند آنها را برای کلاینت ها ارسال می کند ، همچنین شما به عنوان یک مدیر شبکه باید بررسی کنید که آیا کامپیوتر هایی که در تب Managed computers هستند بروزرسانی می شوند !!! همچنین شما می توانید با طی کردن ویزارد Quick Start تسک Install update را ایجاد کنید .
نکته : شما نمی توانید همزمان تسک های مشابه را در گروه ها و زیر گروه ها اجرا کنید ، همچنین اگر در شبکه کامپیوتر هایی دارید که مثلاً محصولات اپل هستند باید تسک های جداگانه ای را ایجاد کنید
- بروزرسانی Endpoint کسپرسکی
به طور کلی بروزرسانی Endpoint کسپرسکی سرور با تسکی به نام When new are download to the repository انجام می شود ، بروزرسانی کلاینت ها با پورت UDP - 15000 صورت می گیرد این پورت را Agent کسپرسکی بررسی می کند سپس به سمت Endpoint آن را ارسال می کند .
از منابعی که بروزرسانی کلاینت ها انجام می شود :
- بروزرسانی کسپرسکی سرور
یکی از مهمترین تسک های بروزرسانی Administration Server تسک Download updates to the repository است که به صورت خودکار می توانید در بخش Task ها با یک ویزارد آن را ایجاد کنید .
ممکن است شما بخواهید از پراکسی سرور برای بروزرسانی Administration Server استفاده کنید ، این ویژگی به صورت پیش فرض فعال نیست و باید آن را ایجاد کنید :
- در Administration Server پراپرتیس را بزنید و وارد تب Advanced / Configuring Internet access شوید
- ادرس سرور پراکسی و پورت و نام کاربری و پسورد برای احراز هویت را وارد کنید
بروزرسانی Agent نیز به صورت دستی و هم به صورت خودکار انجام می شود برای اینکه بروزرسانی خودکار را غیرفعال کنید :
حالا مدیر شبکه می تواند Agent را دستی بروزرسانی کند .
- کامپیوتر هایی که از KSN خارج شده اند
چنانچه Endpoint کسپرسکی دستری به KSN نداشته باشد ، باید بررسی شود که Administration Server در بخش وضعیت KSN Server غیر فعال شده یا خیر ، این وضعیت در صفحه Monitoring قابل مشاهده نیست به صورت پیش فرض اتصال سرویس ها با پورت TCP - 13111 انجام می شود ، در صورت عدم دسترسی موارد زیر را بررسی کنید :
اگر ملاحظه کردید که کامپیوتری در مدت زمان طولانی اتصال به کسپرسکی سرور ندارد موارد زیر را بررسی کنید :
اگر وضعیت کامپیوتری Not connected برای مدت طولانی باشد این به این معنی است که از اتصال با شبکه کسپرسکی سرور خارج شده است ، شما آن را یکبار پاک کنید و اگر مجدداً متصل شود وارد گروه Unassigned device خواهد شد . همچنین اگر کلاینت از شبکه خارج شده باشد کسپرسکی سرور ظرف 60 روز آن را از لیست خارج می کند این پارامتر را می توانید در بخش Managed devices و انتخاب Devices در پارامتر Delete the device from the group if it has been inactive for longer than ( days ) مشاهده کنید .
- اتصال یک کلاینت به سرور
اگر در کامپیوتری وضعیت " Device connection lost " باشد از موارد زیر مطمئن شوید :
همچنین با اجرای برنامه Klnagchk.exe در مسیر % Program Files ( X86 )% \ Kaspersky Lab \ NetworkAgent می توانید برای چک کردن اتصال و کارکرد Agent استفاده کنید .
نکته : برای زمانبندی می توانید از دستور Klnagchck.exe - sendhb استفاده کنید
این دستور باید به صورت لوکالی روی کامپیوتر اجرا شود
- خارج کردن اتصال یک کلاینت از سرور
شما می توانید اتصال کلاینت را با حذف Agent کسپرسکی قطع کنید و یا از ابزار Klmover.exe به صورت لوکالی این کار را انجام دهید :
- تماس با پشتیبانی کسپرسکی
هنگامی که کسپرسکی Endpoint از کار میفتد و یا اینکه پیام های خطایی می دهد که مانع عملکرد درست آن می شود شما می توانید موضوع را به پشتیبانی شرکت کسپرسکی اطلاع دهید . شما ممکن است به موارد زیر احتیاج داشته باشید :
- لاگ های ویندوز
- لاگ های Endpoint کسپرسکی
- لاگ های Trace ( شما نیاز به نصب و اجرای برنامه Diagnostics utility دارید )
برای تماس با واحد پشتیبانی می توانید از لینک Https://companyaccount.kaspersky.com استفاده کنید
با برنامه Getsysteminfo که می توانید از سایت getsysteminfo.com ان را دریافت کنید یک لاگ مفصل از اطلاعات کامپیوتر جمع آوری کنید که درباره لاگ های ویندوز و سیستم باشد .
شما حالا می توانید با واحد پشتیبانی تماس بگیرید :
بروزرسانی Network Agent را می توان بدون ایجاد Task به صورت خودکار انجام داد ، هنگامی که بروزرسانی از کسپرسکی اعلام می شود مدیر شبکه می تواند Agent را دانلود کند و آن را به صورت محلی نصب کند ، به صورت پیش فرض در Administration Server نصب Network Agent و بروزرسانی آن انجام می شود :
1- وارد تب پالیسی شوید و روی گزینه Policy of Network Agent کلیک کنید
2- حالا بر روی Manage patches and updates کلیک کنید
3- حذف چک باکس Install application updates with Undefined approval
نکته : برای نصب نسخه جدید Network Agent ابتدا آن را بر روی یک کامپیوتر در گروه امتحان کنید و بررسی کنید که نصب موفقیت آمیز هست یا خیر
همچنین مدیر شبکه می تواند برای جلوگیری از بروزرسانی همیشگی از گزینه Update Approval در بخش Declined استفاده کند ، برای جلوگیری از بروزرسانی Network Agent نسخه های قدیمی ( قبل از سرویس پک 1 ) می توانید از تسک Download updates to the repository استفاده کنید :
آگاهی از بروزرسانی های جدید
برای آگاهی یافتن از بروزرسانی جدید در خش Update از صفحه Monitoring می توانید نسخه و سرویس پک را بررسی کنید . پیام هایی نظیر :
بخش Current application versions تمامی این آیتم ها را نشان می دهد
همچنین برای یافتن آخرین بروزرسانی های نسخه و تولید و زبان برنامه ها می توانید :
بروزرسانی لایسنس
هنگامی که لایسنس کسپرسکی سرور 10 به اتمام می رسد نیاز هست که مجدداً خریداری شود ، در هنگام خرید به پارامترهای تعداد کلاینت ها و سرور ها - و نیاز به ابزار هایی نظیر رمزگذاری روی اطلاعات و نصب اپدیت های ویندوز به صورت خودکار دقت کنید برای مشاهده تاریخ و زمان انقضا لایسنس به تصویر زیر دقت کنید :
- همچنین برای مشاهده فعال بودن تعداد لایسنس هایی که خریداری کردید :
- برای فعال سازی لایسنس Administration Server :
این فعال سازی تنها برای نسخه 10 مورد نیاز است و در نسخه Core پشتیبانی نمی شود و یک KESB لایسنس پیشرفته است .
گاهی اتفاق می افتد که مدیر شبکه قصد دارد لایسنس جدید را مجدداً عوض کند ، بنابراین برای این کار روی نود Tasks بروید و سپس در مسیر Distribute key on the client computer رفته و روی Advanced Application management Kaspersky Lab licenses کلیک کنید .
از جمله دلایلی که نیاز هست تا در کسپرسکی سرور 10 از بک آپ استفاده کنیم می توان به موارد ، نگهداری و حفظ تمامی تنظیمات ، مهاجرت Administration Server به کامپیوتر دیگر و حفظ و نگهداری تمامی بروزرسانی های Administration Server اشاره کرد و مهتر از همه شما را مطمئن می سازد که بتوانید بازیابی اطلاعات را انجام دهید . برای تنظیمات گرفتن بک آپ :
این بک آپ در مسیر پوشه SCBackup بر روی Administration Server و %programData%KaspereskySC\ScBackup قرار دارد . یکی از ریسک هایی که مدیران شبکه ممکن است انجام دهند اکتفا کردن به یک درایو برای نگهداری بک آپ هاست شما می توانید آنها را در درایو های جداگانه کپی کنید . همچنین گاهی این فایل ها به گیگابایت می رسند بنابراین درایوی با حجم بالا به آن اختصاص دهید .
- بازیابی بک آپ
بعد از مراحل بک آپ گیری ممکن است لازم باشد تا آنها را بازیابی کنید ، متاسفانه در کسپرسکی سرور Task برای بازیابی تعریف نشده است و شما می توانید از ابزار Klbackup.exe استفاده کنید که از منوی Start ویندوز قابل دسترسی است .
مباحث کسپرسکی سرور 10 در بیستمین سالگرد تاسیس کمپانی کسپرسکی به پایان رسید :
یکی از کاربران از بنده خواسته بودن آموزش بستن برنامه سایفون ( ف ی ل ت ر شکن ) را با کسپرسکی سرور 10 آموزش بدم ، تصمیم گرفتم این آموزش را در داخل سایت قرار بدم تا کاربران کسپرسکی سرور 10 هم استفاده کنند !
1- ابتدا وارد کنسول کسپرسکی سرور شوید سپس منوی Advanced >>> Application Management >>> Application categories را باز کنید
2- در منوی Application categories در سمت راست راست کلیک کنید و Create >>> Category را بزنید
3- حالا 3 انتخاب داریم بالاترین و اولین گزینه را انتخاب کنید
4- حالا نامی را برای این دسته بندی قرار دهید و Next کنید ( نام آن را Psiphone 3 گذاشتم )
5- حالا از فلش کنار Add بر روی گزینه from the executable files list کلیک کنید
6- از لیست برنامه ها تمامی برنامه های Psiphone3 را انتخاب کنید
7- حالا لیست زیر ایجاد می شود
8- مراحل را Next کنید و Finish را بزنید
9- حالا دسته بندی Psiphone ایجاد می شود
10- حالا وارد پالیسی Endpoint شوید ، بر روی آن 2 بار کلیک کنید و بر روی منوی Application startup control شده تیک فعال سازی آن را بزنید و حالا Black list و نوع Action را هم Block قرار دهید بر روی add کلیک کنید و دسته بندی Psiphone3 را اضافه کنید حالا دسترسی برای Everyone را بر روی Deny قرار دهید ( اگر برای هر گروهی یک پالیسی خاص تعریف کرده اید بر روی آن کلیک کنید )
11- حالا پالیسی سریعاً بر روی کلاینت ها اعمال می شود و با زدن بر روی برنامه Psiphone3.exe کاربر پیام زیر برایش نمایش داده می شود
چنانچه تنظیمات پسورد بر روی کنسول مدیریت کسپرسکی ( KSC ) به صورت یک نام کاربری تحت دامین تعریف شده ( Domain Name / User ) ، اگر شما به عنوان مدیر شبکه قصد داشته باشید تا نام کاربری و پسورد را تغییر دهید ، امکان دسترسی به کنسول را تا زمانی که این تغییرات را برای کسپرسکی 10 تعریف نکرده باشید نخواهید داشت ، برای این منظور کسپرسکی برنامه ای را به نام klsrvswch.exe در مسیر "C:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Center\" تعبیر کرده است ، تا شما به راحتی بتوانید پسورد و نام کاربری را برای دسترسی به کنسول مدیریتی تغییر دهید با کلیک بر روی برنامه klsrvswch.exe یک ویزارد باز می شود :
1- در اینجا Next را بزنید
2- پنجره تعریف نام کاربری باز می شود :
3- حالا Next کنید تا تنظیمات پسورد نمایش داده شود :
4- حالا Next کنید تا ویزاد تمام شود و Finish کنید .
یکی از شایع ترین ویروس های مرورگرها gvt که آدرس GVT1.COM استفاده می کند و به صورت صفحات بازشونده یا POPUP بر روی مرورگر ها بخصوص در کروم قرار می گیرند و دست هکر ها را باز می کنند علاوه بر دسترسی به آنها باعث مصرف پهنای باند شبکه و اینترنت می شود
با توجه به توضیحاتی که سایت ها درباره این برنامه وجود دارد می توان برنامه را به صورت دستی پاک و حذف کرد اما در شبکه های بزرگ که تعداد کاربران زیاد است این کار زمان گیر خواهد بود با توجه به ابزار های وب کنترل کسپرسگی سرور می خواهیم اموزش مسدود سازی این برنامه را توضیح داده و با بستن آن جلوی فعالیت برنامه نیز بسته خواهد شد :
1- ابتدا کنسول مدیریتی کسپراسکی را باز کنید
2- از داخل بخش پالیسی ها بر روی پالیسی کلاینت کلیک کنید :
3- سپس Add را بزنید آدرس URL برنامه را به صورت زیر وارد می کنیم :
4- در پایین صفحه Action را روی بلاک قرار دهید و تنظیمات را Apply کنید
5- سپس اسکن ویروس یابی کنسول کسپراسکی را در بالاترین درجه قرار دهید و کلاینت ها و سرور ها را اسکن کنید ( این عمل ممکن است باعث کندی شبکه شود )
با سلام ، ممکن است بعد از نصب محصول کسپرسکی سرور 10 بر روی کلاینت ها چه ورک استیشن ها و چه سرور ها درایوی که در آن ویندوز نصب هست ناگهان پر شود چنانچه این اتفاق بعد از نصب کسپرسکی سرور 10 اتفاق افتاد و مطمئن هستید هارد دیسک مشکلی ندارد به مسیر زیر بروید :
- C:\Program Files (x86)\Kaspersky Lab\Kaspersky Security 10 for Windows Server\~TraceFiles
کلیه فایل ها در این فولدر را حذف کنید . این فولدر لاگ هایی را که جمع آوری می کند که در صورت بروز مشکل کسپرسکی با ابزارهای عیب یابی که در این محصول قرار داده سعی در برطرف کردن مشکل می کند چنانچه برنامه Kaspersky Security 10 for Windows Server Admins Tools را نصب کنید می توانید به صورت دستی بخشی که این فایل ها جمع اوری می شود را سفارش سازی کنید :
ابزار جديدي به نام Remediation Engine در بخش Settings در End Point كسپرسكي گنجانده شده كه كمك مي كند تا در صورتي كه سيستم كلاينت شما دچار باج افزار ها شد بتواند ترميم روي سيستم عامل را انجام بدهد ، هر چند لايه هاي شناسايي و حذف باج افزار ها در آنتي ويروس ها خيلي بهينه شده اما احتمال اينكه باج افزار بتواند سيستم عامل را آلوده كند زياد است اين ابزار را مي توانيد در شكل زير مشاهده كنيد :
در داخل كنسول كسپرسكي سرور نسخه 11 هم مي توانيد در بخش Policy ها Kaspersky Endpoint Security for Windows 11.0.0 قرار دارد و در شكل زير نمايي از آن را مي توانيد مشاهده كنيد :
در کسپرسکی نسخه سازمانی ( سرور ) انواع نسخه های KMS Tools به عنوان برنامه Hack Tools شناسایی می شوند این فرایند را تمامی آنتی ویروس های خارجی ( این فرایند به شکل بومی و وطنی روی آنتی ویروس ممکن است نباشد ) صادق است این آموزش برای اولین باز در سایت های فارسی زبان و بیگانه زبان در سایت " توسینسو " قرار گرفته است
آنتی ویروس کسپرسکی سرور ( KSC ) مجموعه ای از Task های به هم پیوسته است این تسک ها از Policy هر برنامه نظیر EndPoint یا Server نسخه کسپرسکی مرتبط است مهمترین تسک در کسپرسکی سرور برای استثنا کردن فایل ها نادیده گرفتن توسط Task = Real-Time Protection است در واقع کسپرسکی سرور با توجه به لایه های امنیتی بیشتر نسبت به نسخه های خانگی در بخش استثنا یا Exclude برای یک فایل یا برنامه نیازمند این است که علاوه بر وارد کرد نام یا مسیر برنامه ناحیه ای که آنتی ویروس در آن Task را اجرا می کند نیز نادیده گرفته شود برای مثال به زبان گفتاری " اگر می خواهی KMS را استثنا قرار دهی مسیر فایل + ناحیه استثنا یک یا چند Task
- Exclude KMS in Endpoint Security Kaspersky
1- ابتدا بالاترین سطح از Policy مختص End Point را باز کنید :
2- بر روی Settings کلیک کنید :
3- در بخش Protection Components : Any انتخاب شده روی آن کلیک کنید تا عبارت Specified نمایان شود سپس مانند شکل بالا عمل کنید شما باید برای Object Name : نام Object که کسپرسکی سرور فایل را به عنوان فایل مخرب شناسایی کرده است عیناً کپی و دراینجا وارد کنید این نام را می توانید در بخش Event کسپرسکی سرور مشاهده و یا به مسیر زیر مراجعه کنید :
4- تنظمات را Apply و Ok کنید منتظر باشید تا Policy بر روی تمامی کلاینت ها اعمال شود این اعمال شدن را می توانید در گوشه پالیسی بر روی نمودار دایره ای شکل مشاهده کنید