کاملترین آموزش کسپراسکی سرور | Kaspersky Server گام به گام

در این مجموعه آموزش آنتی ویروس سرور کسپراسکی ( Kaspersky ) ما از نصب کردن کسپراسکی سرور تا انجام ریز تنظیمات و معرفی جزئیات این آنتی ویروس در خدمت شما عزیزان هستیم.

آموزش آنتی ویروس Kaspersky سرور قسمت 1 : مقدمه و سخن آغازین

شرکت کسپراسکی ( بخوانید کَسپِر اِسکی ) در سال 1997 کار خود را ابتدا با ساخت محصول آنتی ویروس شروع کرد ، این شرکت در سال 2008 بر روی ازمایشی که شرکت AV-Comparatives بر روی آنتی ویروس نسخه ویندوز XP انجام داد موفق به کسب درجه "Advanced+" شد ، و در میان 16 محصول موفق شد بالاترین رتبه را کسب کند .

موفقیت این شرکت به اینجا محدود نمی شود چرا که در همان سال ازمایشی که موسسه Retrospective/Proactive بر روی شناسایی جدیدترین ویروس ها در طی یک ماه بر روی آن انجام داد کسپراسکی موفق شد تا 21 درصد آنها را تشخیص دهد ( یعنی ویروس ایجاد شده توسط امضای دیجیتالی یک ماهه ) همچنین فایروال آن در محصول Kaspersky Internet Security 7.0 توسط موسسه Matousec's توانست امتیاز "Very Good" را کسب کند و نمره 85 درصد را اخذ کرد ، کسپراسکی در نسخه 7 آنتی ویروس خود موفق شد از موسسه Anti Malware Labs rootkit از نمره 8 ، نمره 6 را کسب کند که این امتیاز بسیار بالا و قابل توجه است .

کسپر اسکی در سال 2007 از سوی مجله انگلیسی " PC Pro " موفق به کسب درجه " A " شد ، سرانجام کسپراسکی در سال 2011 موفق شد تا از موسسه AV-Comparatives موفق به کسب بالاترین رتبه شود و جایزه سال "Product of the Year" را کسب کند ، همچنین از دیگر افتخارات این شرکت می توان به جایزه AV-TEST با نام "AV-TEST Award for Best Protection 2012" که برای محصولات خانگی دریافت کرد اشاره کرد .

در سال 2013 کسپراسکی توانست جایزه بهترین محصول اینترپرایز را از موسسه AV-Comparatives دریافت کند و بالاترین امتیاز را از آزمایشگاه مطرح Dennis Technology کسب کند . کسپراسکی محصولات خود را با مدرک OESIS که با محصولات third-party نظیر سیسکو ، جونیپر ، F5 ، NAC ، SSL VPN سازگار می کند ، امروزه محصولات این شرکت طیف وسیعی از محصولات مختلف نظیر Windows, OS X, Linux, Solaris, Android, iOS, Ubuntu Touch, Windows Phone را در بر می گیرد .

آیا کسپراسکی تحت سرور بهترین است ؟ ( نظر نویسنده )

اگر این سوال در چند سال پیش پرسیده می شد بدون شک می توان گفت که کسپراسکی سرور یکی از قویترین محصولات امنیتی جهان است ، اما در چند سال گذشته پیشرفت های چشمگیری در محصولات رقیب مانند بیت دیفندر ایجاد شده است که در آینده باید منتظر رقابت نزدیک و پایاپای این دو شرکت مطرح در عرصه ساخت نرم افزار های امنیتی باشیم ، رقابتی که با بزرگ شدن شبکه های مجازی و حفظ راندمان ترافیک شبکه بالاتر خواهد رفت !!!

آموزش آنتی ویروس Kaspersky سرور قسمت 2 : اجزا و ساختار 

در این درس به بررسی ساختار Kaspersky Endpoint Security for Business می پردازیم یکی از محصولات Kaspersky Lab که طرفداران زیادی نیز دارد ، در این دوره آموزش 2 بخش مهم Kaspersky Endpoint Security for windows برای جلوگیری از حملات روی کلاینت ها نصب می شود و بخش دوم Kaspersky Security Center 10 که مرکز مدیریت محصول است . توجه کنید که Kaspersky Endpoint Security تنها جلوی باج افزار ها و هکر ها را نمی گیرد بلکه دارای بخش هایی برای کنترل کاربران و رمزگذاری روی فایل ها و درایو ها نیز هست . برنامه Kaspersky Security Center شامل چندین برنامه است :

• Kaspersky security Center Administration Server که کار نگهداری تمامی تنظیمات و رخداد ها و گزارشات و ... است
• Kaspersky Security Center Network Agents اتصال با Kaspersky Endpoint Security و Administration Server که کار دریافت تنظیمات برای Kaspersky Endpoint Security را از سرور انجام می دهد و قابلیت ارسال رخداد ها به سرور را دارد
• کنسول Kaspersky security Center Administration برای مدیریت سیستم و تنظیمات مدیریتی کنسول به کار می رود .

شکل زیر نمایی از محیط Kaspersky Endpoint Security برای سیستم عامل ویندوز را نمایش می دهد :

Kaspersky Endpoint Security دارای چندین ابزار و کامپوننت است :

• File Anti-Virus : اسکن فایل ها چه آنهایی که برنامه ها ساخته اند یا کاربر تغییر داده یا کپی شده اند و یا در حال شروع و اجرا هستند ، در صورت مشاهده تهدید فایل مربوطه در قرنطینه بلاک می شود بخصوص اگر حامل باج افزار باشد
• Mail Anti-Virus : تمامی محتویات ایمیل ها ( مانند اوت لوک ) برسی و اسکن می شوند و در صورت وجود فایل های باج افزار آنها حذف می شوند
• Web Anti-Virus : صفحات وب اسکن و تمامی فایل هایی که کاربر از اینترنت دانلود می کند برسی می شود خطرات حملات فیشینگ وب سایت ها و دانلود باج افزار ها بلاک می شود
• Network Attack Blocker : تمامی پکیت هایی که در ارسال و دریافت شبکه مبادله می شود اسکن می شود اتصال مشکوک و مهاجم بلوکه می شود
• Firewall : پکیت ها کنترل شده برنامه ها چک می شوند می توان بر اساس رول بندی اجازه یا عدم اجازه به مسیر ترافیکی شبکه و برنامه ها را تنظیم کرد
• Application Privilege Control : مانیتور شدن سیستم هایی که فعال هستند در صورتی که اجازه ندارند برنامه ای که ناشناخته و تهدید آمیز است اجرا شود می تواند عملیات اجرای آن را بلوکه کند ( مثلاً برنامه ای مثله س ا ی ف و ن تهدید آمیز معرفی شود اگر توسط کاربر اجرا شود کسپراسکی جلوی اجرای آن را می گیرد )
• System Watcher : انالیز و مانیتور اپلیکیشن هایی که در حال اجرا هستند را انجام می دهد در صورت مشاهده تهدیدات آن اپلیکیشن بلوکه می شود همچنین باج افزار ها را شناسایی می کند و تلاش آنها برای رمزگذاری فایل ها فلج می کند
• BadUSB Attack Prevention : اجازه نمی دهد دستگاهی جدید مانند یک کیبورد وارد کامپیوتر شود چرا که ممکن است کلید های کیبورد دارای باج افزار باشند
• Kaspersky Security Network : کلیه درخواست های سوابقی از برنامه ها و صفحات وب که از Kaspersky Lab سرور به صورت اختصاصی از آخرین اطلاعات درباره حملات و تهدیدات و حملات Zero-Day و ... جمع اوری شده تشکیل می شود

آموزش آنتی ویروس Kaspersky سرور قسمت 3 : ابزار ها

در این درس تعداد دیگری از ابزارهای کسپراسکی سرور همراه با بخش هایی از Task ها را آموزش می دهیم :

• Virus Scan : دارای یک زمانبندی خاص برای اسکن فایل ها است ، و شامل یک فایل Anti-Virus است
• Update : در صورت اینکه Kaspersky Security Network در دسترس نیست با دانلود کردن فایل های لازم و محتوای تهدیدات روی کامپیوتر ها کار می کند
• Sensor of Kaspersky Anti Target Attack Platform : یک پلتفرم جهت اطلاع دادن به مرکز شناسایی حملات در شرکت کسپراسکی است
• Integrity Check : اطمینان حاصل کردن از اینکه کسی نتواند فایل های Kaspersky Endpoint Security را تغییر دهد
• Fine Vulnerabilities : یک Task محلی برای اسکن کامپیوتر ها و اپلیکیشن ها است و دارای یک دیتابیس از آسیب پذیری ها است این Task مشابه بعضی از Task ها در Newtork Agent است
• IM Anti-Virus : اسکن پیام ها در مسنجر ها ( تنها مسنجرهایی که پیام ها در آنها رمز گذاری نمی شوند )

در درس های بعدی جزییات و بقیه کامپوننت های محصول کسپراسکی سرور را بیشتر تشریح خواهیم کرد

آموزش آنتی ویروس Kaspersky سرور قسمت 4 : ساختار کنسول 

• نحوه مدیریت کامپیوتر ها توسط Kaspersky Security Center

در این درس به نحوه مدیریت کنسول مدیریتی کسپراسکی می پردازیم :

2 ابزار کار حفاظت از شبکه در Kaspersky Endpoint Security For Business را انجام می دهند :

• برای حفاظت برنامه Kaspersky Endpoint Security
• برای مدیریت برنامه Kaspersky Security Center Network Agent

Network Agent اتصال به Administration Server در زمانبندی خاصی را انجام می دهد ، که به صورت پیش فرض هر 15 دقیقه صورت می گیرد

سرور کسپراسکی چه دریافت هایی از کامپیوترها دارد؟

• Events : شامل لاگ هایی است که Kaspersky Endpoint Security با یافتن باج افزار و یا عدم دانلود آپدیت ها و یا عدم اجرای کامپوننت ها و ... جمع آوری می کند
• Statuses : شامل رجیستری و همچنین عدم اجرای Kaspersky Endpoint Security و خارج شدن سرویس دیتابیس برنامه ، عدم دسترسی به KSN ، ابجکت هایی که مشکل پروسس دارند
• Lists : یکبار عمل sync را انجام داده و فرایند های لیست برنامه های exe - برنامه های تهدید آمیز - ملور هایی که قرنطینه شدن - سخت افزار ها - نرم افزار هایی که نصب شدن - حملاتی که پردازش پذیر نیستن
• Kaspersky Endpoint Security Settings : در هنگام Sync انجام می شود

Agent ها تنها می توانند تغییرات را به لیست سرور ارسال کنند ، این عمل در 3 ساعت برای لیست های مشابه و برای 12 ساعت برای دیگر لیست ها انجام شده و در این هنگام سرور لیست ها را با کامپیوتر ها همسان سازی ( Sync ) می کند .Administration Server توسط پورت TCP با شماره 13000 با Agent ها متصل می شود ، این ارتباط کاملاً رمزگذاری شده و از SSL/TLS استفاده می کند .

کامپیوتر ها چه چیزی را از سرور دانلود می کنند؟

برای حفاظت Kaspersky Endpoint Security از کامپیوتر ها یک راه برای مدیران شبکه استفاده از Network Agent و دانلود تنظیماتی است که Kaspersky Endpoint Security توسط پالیسی ها و Task ها از سرور انجام می دهد . در هنگام همگام سازی ( Sync ) کامپیوتر ها توسط Network Agent پالیسی ها و Task ها را روی کامپیوتر ها از سمت Administration Server دانلود می کنند .

معمولاً کامپیوتر ها Task ها و پالیسی هایی که دسترسی ساده تری دارند را توسط همگام سازی دریافت می کنند . Network Agent پکیت ها را توسط UDP پورت شماره 15000 انجام می دهد . اگر سرور بخواهد ارتباطی با Agent برقرار کند یک سیگنال خاصی توسط این پورت ارسال می کند .

زمانی که مدیر شبکه قصد دارد تا پالسی Task رو تغییر دهد Administration Server ارتباطی با Agent روی تمامی کامپیوتر ها برقرار می شود . اگر کامپیوتر ها نتوانند همگام سازی را انجام دهند و ارتباطشان قطع شود توسط سیگنال جهت ازمایش برقراری ارتباط با سرور تلاش می کنند .

آموزش آنتی ویروس Kaspersky سرور قسمت 5 : معرفی محیط کنسول 

در این درس به نحوه مدیریت و تنظیمات کنسول کسپراکسی سرور می پردازیم ، به شکل زیر دقت کنید :

تمامی وضعیت ها و رخداد ها به Network Agent ارسال می شود این منابع به مدیر شبکه کمک می کند تا چک کند در شبکه چه اتفاقی در حال افتادن است ، بخش Administration Server خلاصه ای از وضعیت کامپیوتر های کلاینت ها را نمایش می دهد و این امکان را می دهد که در کنسول بتوانید نود ها را در Administraion Server مانیتور کنیم . برای مدیریت بهتر کنسول کسپراسکی و اعمال تغییرات و تعریف شرایط خاص برای تمامی نود های شبکه می توان Task و Policy ایجاد کرد :

• Task ها : اعمال منطقی هستند برای مثال وقتی می خواهیم Kaspersky Endpoint Security را آپدیت کنیم Task را تعریف و اجرا می کنیم و می توانیم زمان بندی نیز برای آن تعریف کرد
• Policy ها : برای دیگر پارامتر ها مثلاً اینکه چگونه فایل اسکن شود و کاربر هنگامی که فایل را دانلود می کند و یا از طریق ایمیل آن را دریافت می کند ، اتصال به شبکه داشته باشد یا خیر ، و تنظیمات اختصاصی و حفاظتی از طریق ایجاد پالیسی های خاص صورت می گیرد .

بر این اساس می توانیم برای کامپیوتر های مختلف تنظیمات مختلفی هم تعریف کرد ، مثلاً می خواهیم سرور ها آخر هفته اسکن شوند و کلاینت ها در وسط روز برای این منظور می توانیم 2 گروه را ایجاد و برای هر گروهی پالیسی مخصوص به آن گروه را اعمال کرد .

آموزش آنتی ویروس Kaspersky سرور قسمت 6 : پالیسی ها

• نحوه اعمال پالیسی ها بر روی کامپیوتر ها

بحث تنظیمات پالیسی در کسپراسکی سرور مبحث ویژه و مهمی است ، به شکل زیر توجه کنید :

در شکل بالا در سمت چپ پالیسی ها که با علامت قفل مشکی مشخص شده اند محیط مدیریت کنسول کسپراسکی برای تعریف پالیسی را نشان می دهد زمانی که قفل بسته باشد یعنی اینکه پالیسی به تمامی کلاینت ها گروه اعمل می شود ، در سمت راست نیز محیط برنامه کسپراسکی روی کلاینت را نشان می دهد در نوار سبز بالای آن می توانید علامت بزرگ قفل را مشاهده کنید که نشان می دهد کلاینت تحت تاثیر پالیسی روی سرور کسپراسکی برای File Anti-Virus است .

اگر علامت قفل بالای هدر سبز کسپراسکی کلاینت نباشد یا باز باشد یعنی کسپر اسکی کلاینت به صورت لوکال پالیسی را دریافت کرده است ، کلاینت دسترسی به تغییرات تنظیمات ندارد وقتی که علامت مشکی قفل بسته باشد.شکل زیر تشریح کاملی از قانون اعمال پالیسی بر روی گروه ها در کسپراسکی سرور را نشان می دهد به باز بودن و بسته بودن قفل مشکی توجه کنید :

این ها پالیسی هایی هستند که بر روی کلاینت ها در هر گروهی که عضو هستند اعمال می شود ، اولین گروه Root نامیده می شود که بر روی Administration Server قرار دارد ، و نام آن Managed Devices هست ، اگر کاربری را بخواهیم در گروهی قرار دهیم آنها زیر مجموعه همین بخش هستند

• در اینجا دو پالیسی به نام های Network Agent Policy و Kaspersky Endpoint Security Policy قرار گرفته است
• در اینجا به صورت پیش فرض هم برای بعضی از اپلیکیشن ها در یک گروه تعدادی پالیسی وجود دارد اما تنها یکی از آنها را می توان فعال کرد

پالیسی فعال در واقع توسط Administration Server به کامپیوتر ها اعمال می شود ، پالیسی غیر فعال اعمال نمی شود اما مدیر شبکه می تواند آنها را فعال و تنظیمات خیلی سریع روی کامپیوتر ها اعمال می شود .

آموزش آنتی ویروس Kaspersky سرور قسمت 7 : وظیفه و قوانین Task ها

• در این درس وظیفه Task ها بر روی کلاینت ها تشریح می شود :

همانطور که گفته شد Task ها شرایط و وظایف را برای اعمال شدن بر روی کلاینت ها در یک بازه زمانی انجام می دهد ، مدیر شبکه می تواند بروزرسانی و تنظیمات اسکن را مانند پالیسی ها تعریف کند ،بر خلاف اینکه شما تنها می توانید یک پالیسی را بر روی Kaspersky Endpoint Security داشته باشید در اینجا می توان تعداد زیادی Task را تعریف کرد :

• Virus Scan
• Updates
• Update rollback
• Inventory
• Key installation
• Integrity Check
• Change application components
• checking connection with KSN
• Managing Kaspersky PreBoot Agent Accounts

Task ها دارای زیر مجموعه هایی هم هستند مثلاً Task اسکن ویروس و فایل بخشی از Task بروزرسانی و آپدیت هستند . تمامی Task ها دارای برنامه زمانبندی شده هستند ( این یک نکته کلیدی است ) Task ها بر روی کامپیوتر کلاینت ها اعمال می شود بدون اینکه کلاینت بتواند تنظیمات آنها را تغییر دهد حتی اگر کلاینت لوکال باشد - این یکی دیگر از فرق های Task ها با Policy ها است

• مانند پالیسی گروه ها ، تسک های گروهی نیز دارای قوانینی هستند :
• اگر یک زیر گروه در یک گروه باشد Task بر روی همه گروه اعمال می شود
• چندین Task برای یک گروه می توانیم تعریف کردیم مثلاً چند " اسکن ویروس "
• اگر هم برای گروه و هم برای زیر گروه دو نوع Task یکسان تعریف کنیم در زمان اجرای Task بر روی گروه - زیر گروه هر دو اعمال می شود

نکته : هیچگاه همزمان چند Task را آپدیت نکنید چرا که در کنسول مدیریتی کسپراسکی خطا رخ می دهد و در اعمال آنها روی کلاینت ها به مشکل می خوریم

آموزش آنتی ویروس Kaspersky سرور قسمت 8 : لایسنس 

در این درس با نحوه و نوع لایسنس برای کسپر اسکی نسخه Business آشنا می شویم :

سه نوع لایسنس برای نسخه بیزینس کسپراسکی سرور وجود دارد :

1. Core ( این نوع لایسنس در فروشگاه ها بفروش نمی رسد )
2. Select
3. Advanced

• نسخه Core یک KESB core که یک مشتری می تواند برای تنها کلاینت ها استفاده کند ، سرور ها نمی توانند . منظور از کلاینت ها Kaspersky Endpoint security برای ویندوز و لینوکس و مک است .
• نسخه Select لایسنسی است که برای موبایل ها سرور ها و کلاینت ها کارایی دارد
• نسخه Advanced دارای قابلیت های بیشتری نسبت به نسخه های بالا است که تشریح شد و روی سرور ها و کلاینت ها و موبایل ها هم کار می کند در این نسخه از لایسنس می توانیم از رمزگذاری روی اطلاعات هم استفاده کرد . در این نسخه مشتری می تواند به صورت خودکار بروزرسانی و نصب برنامه و Deploy و ... را انجام دهد

نکته : اگر مشتری نمی خواهد Advanced لایسنس را خریداری کند می تواند برای رمزگذاری و موبایل و system manager لایسنس های جداگانه ای خریداری کند

نکته : هر لایسنس دارای شمارگان تعداد نود است مثلا 100 نود شما نمی توانید بعد از این تعداد در کنسول کسپراسکی نودی اضافه کنید باید از لایسنس های 150 و 200 و ... استفاده کنید بنابراین اگر امروز 100 کاربر دارید اینده نگر باشید و لایسنس 150 کاربری خریداری کنید

در ادامه اموزش نحوه فعال سازی لایسنس تشریح می شود

آموزش آنتی ویروس Kaspersky سرور قسمت 9 : نصب کسپراسکی 

سناریوی شکل زیر را به عنوان آزمایشگاه کسپراسکی انتخاب کردم :

• سرور DC برای domain controller
• Security-Center سروری برای نصب کنسول کسپراسکی
• نام کاربری abc\Administrator و پسورد Ka5per5Ky
• IP آدرس ها در شکل بالا پیش فرض است بر روی Vmware workstaion تمامی ماشین ها نصب و تنظیمات NAT برای آنها در نظر گرفته شده است

نصب کسپراسکی Kaspersky Security Center + SQL

• نکته : کسپراسکی توصیه می کند اگر کاربران بالای 1000 نفر هستند ماژول SQL همراه کنسول کسپراسکی سرور نصب شود !

ماشین Security-Center را روشن کنید و در محیط ویندوز سرور 2012 مراحل زیر را طی کنید :

1- روی setup.exe کلیک کنید تا پنجره زیر باز شود :

2- روی Install Kaspersky Security Center کلیک کنید

3- بعد از مشاهده صفحه خوشامدگویی روی Next کلیک کنید

4- مثله همیشه شرایط لایسنس را نخوانده قبول کنید و Next کنید !!!

5- روی Custom کلیک و Next کنید

6- در این مرحله بدون تغییر پیش فرض Next کنید

7- گزینه Fewer than 100 computers in the network را انتخاب و Next کنید

8- ویزارد تعریف اکانت برای Administration Server service را Next کنید خود کسپراسکی یک اکانت تصادفی را می سازد

9- ساخت اکانت برای دیگر سرویس ها را Next کنید

10- حالا Microsoft SQL Server انتخاب و Next کنید

11- انتخاب گزینه Install Microsoft SQL Server 2014

Express SP1 (Recommended) و Next کنید

12- انتخاب و Microsoft Windows Authentication

Mode حالا Next کنید

13- در اینجا Next کنید

14- پورت های Administration Server ports تغییر ندهید ! و Next کنید

15 - انتخاب IP ادرس برای Administration Server و Next

16- تنظیمات پیش فرض را دست نزنید و Next کنید

17- حالا برای شروع نصب روی Install کلیک کنید

18- بعد از نصب تمامی کامپونتن ها روی Finish کلیک کنید

آموزش آنتی ویروس Kaspersky سرور قسمت 10 : Administration Server 

در ادامه مباحث آزمایشگاه انتی ویروس سرور کسپراسکی بعد از نصب برنامه نوبت به تنظیمات ویزاد در Administration Server می رسد برای این منظور طبق اموزشی که در آزمایشگاه 1 گفته شد یکی از ماشین ها را با ویندوز سرور 2012 اختصاص به سرور آنتی ویروس کسپراسکی می دهیم با نام " Security-Center " حالا بریم ماشین روشن کنیم و یک دوری بزنیم با Wizard کسپراسکی سرور :

1- انتخاب Administration Server

2- روی صفحه Welcome Page ویزارد را Next کنید

3- حالا license را در بخش Activate application with Key File ادد می کنیم :

4- حالا Key فایل را انتخاب می کنیم و Next :

5- پراکسی سرور را تنظیم نکنید و Next کنید

6- تیک بخش چک نسخه جدید را نزنید و روی Skip check کلیک و Next کنید :

7- حالا قوانین KSN را مطالعه کنید و روی I agree to

participate in Kaspersky Security Network کلیک و Next را بزنید :

8- یک آدرس ایمیل معتبر در کادر Recipients تعریف کنید ( مثلاً administrator@abc.lab ) و SMTP server را با یک Ip ( مثلاً 10.28.0.10 ) بنویسید

9- حالا روی Send test message کلیک کنید تا درستی تنظیمات چک شود

10- حالا که پیام درست بودن سرور مشاهده شد Close کنید

در این آزمایشگاه بنده برنامه Tunderbirds را نصب کردم روی ماشین Security-Center که کنسول کسپراسکی روی آن نصب شده حالا یک پیام از Administration Server در باکس ایمیل می آید . ( شما هم سعی کنید برنامه را داشته باشید چون در آزمایشگاه های بعدی به آن نیاز داریم )

11- مانند شکل زیر گزینه های پیش فرض برای Kaspersky Endpoint Security policy را OK کنید :

12 - حالا صبر کنید تا پالیسی های پیش فرض تنظیم شوند :

13- در صفحه Network poll روی Next کلیک کنید

14- ویزاردی به صورت شکل زیر می آید که می توانید Next کنید :

15- حالا می توانید بدون زدن تیک Run Protection Deployment Wizard و رد کردن ویزارد تنظیمات حفاظتی روی Finish کلیک کنید :

16- روی Managed devices کلیک کنید حالا روی تب Devices کلیک تا مانند شکل زیر سرور نمایش پیدا کند که در واقع ماشینی است که با نام " Security-Center " ساخته ایم :

آموزش آنتی ویروس Kaspersky سرور قسمت 11 : Deploy کردن لایسنس

هنگام Deploy کسپراسکی سرور باید تمامی شبکه تحت حفاظت قرار بگیرد ، مدیر شبکه باید یک مدیریت مرکزی داشته و دسترسی به نصب Kaspersky Security Center 10 یا KSC 10 را داشته باشد و بتواند Kaspersky Endpoint Security 10 For Windows یا KES 10 را روی کامپیوتر ها نصب کند :

شکل بالا نمایی از تمامی نیازمندی ها برای حفاظت از شبکه توسط کسپراسکی سرور 10 را نشان می دهد ، ابتدا Kaspersky Administration Console را نصب می کنیم تا بتوانیم کنسول مدیریتی برای نصب راه دور یا نصب Kaspersky Security Center Administration Console را روی کامپیوتر مدیریتی انجام دهیم .

همچنین باید روی همه کامپیوتر ها Kaspersky Endpoint Security را نصب کنیم و همچنین Network Agent را تا بتوانیم مدیریت کاملی روی همه کامپیوتر ها داشته باشیم . همچنین اگر در شبکه Active directory داشته باشید به راحتی می توانید بدون ساختن گروه از تمامی اجزای ان در محیط مدیریت کنسول کسپراسکی نسخه سرور ویندوز استفاده کنید . برای Deploy مراحل زیر را انجام می دهیم :

• نصب Kaspersky Security Center Administration Server
• نصب Kaspersky Security Center Network Agent و Kaspersky Endpoint Security
• مدیریت کامپیوتر ها در قالب گروه

شکل زیر مراحل Deploy را نشان می دهد :

نکته : به صورت تجربه کاری به شما پیشنهاد می کنم اگر کنسول مدیریتی را نصب کردید برای شروع روی چند کامپیوتر کلاینت برنامه کسپر اسکی را نصب کنید و Agent مربوطه را و تست کنید ببینید آیا با کنسول ارتباط برقرار می کنند یا خیر بعد شروع کنید روی تمامی کامپیوتر ها نصب را انجام دهید ، این کار باعث می شود تا اگر مشکلی پیش بیاید در زمان کمتری آن را حل کنید مثلاً اگر مدیر شبکه شرکتی هستید با 100 کلاینت اگر همه را نصب کنید و ناگهان متوجه مشکلاتی در نصب و ارتباط با کنسول مدیریتی کسپراسکی شوید خیلی بیشتر باید زمان سپری کنید تا مشکل را برطرف کنید

آموزش آنتی ویروس Kaspersky سرور قسمت 12 : ملزومات نصب

قبل از اینکه نصب برنامه Kaspersky Security Center Administration Server را شروع کنید لازم است تا کامپیوتر ها را با سیستم سخت افزاری و نرم افزاری مورد نیاز کسپراسکی اماده کنیم ، پیشنهاد می کنم اگر بالای 1000 تا کلاینت دارید نصب را بر روی یک سیستم سخت افزاری بسیار قوی انجام دهید ، شکل زیر نصب محصول کسپراسکی سرور تحت انواع مختلف ویندوز سرور را نشان می دهد :

- همچنین روی سیستم های غیر سروری به صورت زیر :

برای سیستم عامل های کلاینت های ویندوز :

- برای مجازی ساز ها :

- برای بانک های اطلاعاتی :

کسپراسکی سرور تحت ویندوز در هنگام نصب می تواند نسخه ای از SQL 2014 Express را نصب کند اما اگر کلاینت های شما بالای 5000 عدد است بهتر است از آن استفاده نکنید در درس های بعدی توضیح می دهم که از چه روشی استفاده باید کرد !

- برنامه های مکمل که نیاز است :

- حداقل سخت افزار مورد نیاز :

آموزش آنتی ویروس Kaspersky سرور قسمت 13 : تهیه نرم افزار های نصب

برای نصب کسپراسکی سرور تحت ویندوز شما می توانید از لینک های زیر استفاده کنید :

• ملزومات نصب ویندوز سرور
  

همچنین می توانید از صفحه محصولات در بخش پشتیبانی فنی به آدرس نصب کسپراسکی سرور

در اینجا دو فایل نصبی را دانلود کنید :

• Ksc10sp2mr110.4.343fullen.exe : توزیع کاملی از kaspersky security center 10 که یک کامپوننت کامل و دارای Network Agent و Kaspersky Endpoint Security 10 For Windows و دارای Sql server 2014 SP1 Express و .NET Framework و دیگر نرم افزار های مورد نیاز است حدود 1.3 گیگابایت هم حجم این بسته است
• Ksc10sp2mr110.4.343Liteen.exe :یک توزیع سبکتر است دارای kaspersky endpoint 10 for windows و SQL server و .NETframework و حجم این بسته خدود 140 مگابایت است . این کامپونت خوبی برای زمانی است که می خواهید کامپوننت های Kaspersky security center بروزرسانی کنید .

هنگامی که Administration Server را اکسترکت می کنید شامل فولدر هایی است با کامپوننت های زیر :

• Kaspersky security center administration server console
•  Kaspersky security center administration server
• Kaspersky security center network agent
• kaspersky security center SHV ( برای سرویس مایکروسافت network access protection است )
• iOS MDM server ( برای مدیریت کسپراسکی سرور روی موبایل ها است )
• Exchange ActiveSync mobile device server ( کامپوننتی برای مدیریت گوشی های موبایل روی کسپراسکی سرور است )
• kaspersky endpoint security for windows ( اکسترکت است )

در آزمایشگاه شماره 1 مراحل نصب کسپراسکی سرور توضیح داده شده است ( تصویری ) کسپراسکی سرور همیشه بک آپی را از اخرین تغییراتی که بر روی کنسولش صورت می گیرد در مسیر %programData%\kasperskySC فولدری هست که محتویات بک آپ را نگهداری می کند .

آموزش آنتی ویروس Kaspersky سرور قسمت 14 : نکات نصب کنسول

در نصب کنسول کسپراسکی اولین قدم بعد از ایجاد بستر سخت افزاری و نرم افزاری موجود باید بسته به نیاز شبکه تعداد لایسنس ها برای سرور ها و کلاینت ها چه در زمان حال و چه در اینده را در نظر بگیریم :

 انتخاب ها می تواند به صورت زیر باشد :

• زیر 100 کامپیوتر روی شبکه
• بین 100 تا 1000 کامپیوتر در شبکه
• 1000 تا 5000 کامپیوتر روی شبکه
• برای بیشتر از 5000 کامپیوتر

خودکار بودن تصادفی بعضی از Task ها برای شروع به کار مانند Virus Scan و بروزرسانی و Task group های دیگر ... انجام می شود ، برای همین اگر بستر شبکه بزرگی دارید خیلی باید مراقب باشید که شروع به کار Task هایی که خودکار هستند باعث افت سرعت در شبکه نشود :

 مباحثی از قبیل Slave Administration و پارامتر های Security دوره ای پیشرفته در KL 302.10 است که محور بحث این مبحث نیست !

• نکته : اگر سایز شبکه شما بیشتر از 5000 هزار کلاینت است هرگز از SQL سرور رایگان استفاده نکنید

کسپراسکی در زمان نصب اکانتی را به صورت تصادفی با حروف آغازین KL-Ak-* می سازد و در ادامه چندین کاراکتر را قرار می دهد همچنین گروهی را در سرور کسپراسکی به نام KLAdmins می سازد و دسترسی Full Access به آن داده می شود . در نصب راه دور کسپراسکی نیازی به اجرا سطح دسترسی Full control نیست و نصب انجام می شود . بجز نصب محصولی مثله SQL server که دسترسی Read و Write مهم است .

• نصب SQL Server در کسپراسکی سرور

اگر می خواهید در هنگام نصب کسپرسکی سرور از SQL سرور هم استفاده کنید :

شما می توانید از SQL و Microsoft Sql Server استفاده کنید این انتخاب ها بستگی به شرایط کاری شما دارد . Microsoft SQL Server دارای ویژگی کد باز است می توان از ان در لینوکس استفاده کرد . همانطور که قبلا هم گفته شد سرویس نصب کسپراسکی سرور دارای یک نصب برنامه Microsoft SQL Server 2014 SP1 Express است که خودکار نصب می شود .

تنظیمات کسپراسکی سرور برای SQl هم به صورت زیر انجام می شود :

در پایان برای تست اتصال باید مانند شکل زیر نمایش داده شود :

آموزش آنتی ویروس Kaspersky سرور قسمت 15 : Share ، Port و Agent

• Share Folder در کسپراسکی سرور

محلی برای ذخیره سازی آپدیت ها و اینستالر های اپلیکیشن ها و Network Agent و Kaspersky Security Center است . به صورت پیش فرض در Administration Server در فولدر با فایل های برنامه در محلی به نام فولدر KLSHARE قرار دارند .

• Conection پورت برای Administration Server

Administration Server برای ارتباط با Network Agent از دو TCP پورت زیر استفاده می کند :

• 13000 برای اتصالات SSL
• 14000 برای اتصالات غیر SSL

Certificate که کسپراسکی سرور برای SSL استفاده می کند هر 10 سال بروز می شود و توسط Administration Server ساخته شده است .

• اتصال Agent کسپراسکی با کنسول آن

Network Agent به منظور ارتباط کلاینت ها با Administration Server نصب می شود ، و دارای آدرس و پورت به خصوصی است ، شکل زیر :

• نکته کلیدی : شما اگر در آدرس سرور خودتان در شبکه از IPv4 استفاده کرده باشید چه برای DNS و DHCP سرور و ... ارتباط کسپراسکی Agent با کنسول با IPv6 صورت می گیرد
• نکته کلیدی : اگر هنوز در شبکه از اسامی Netbios استفاده می کنید به دلیل ماهیت برادکستی که این پروتکل دارد توسط فایرول کسپراسکی بلاک می شود !

آموزش آنتی ویروس Kaspersky سرور قسمت 16 : اجزای کنسول سرور

• پروکسی سرور : شما می توانید برای اتصال KSN به اینترنت برای دریافت بروزرسانی ها از پراکسی سرور استفاده کنید :

• Policy و Task : در هنگام نصب و بعد از راه اندازی به صورت پیش فرض 2 نوع پالیسی در سرور کسپراسکی ساخته می شود :

همچنین Task های زیر نیز در بخش Scope های محیط کسپراسکی سرور ایجاد می شود :

• اجزای کنسول کسپراسکی سرور

آموزش آنتی ویروس Kaspersky سرور قسمت 17 : اجزای کنسول

• نصب Agent و Endpoint کسپراسکی : شما نیاز دارید به حداقل ملزومات سخت افزاری و نرم افزاری روی کلاینت ها :

• روش های نصب

• در حالت نصب راه دور : شما نیاز دارید به دسترسی به هر کلاینت شما باید با نام کاربری با دسترسی مدیریتی و پسورد روی هر کلاینت اینکار را انجام دهید
• با Active Directory شما لازم نیست موارد بالا را رعایت کنید
• در حالت Third-Party مدیران تنها Endpoint را نصب نمی کنند و انها ممکن است نرم افزارهای Third-Party داشته باشند که به ابزار های خاصی نیاز داشته باشد
• به صورت Local و پای هر کلاینت عمل نصب را می توان انجام داد

نکته : کسپراسکی پیشنهاد می کند که اولین هدف نصب مدیران شبکه حالت راه دور باشد این روش 100 درصد ضریب موفقیت را دارد

•  نصب KSC Agent و Endpoint کسپراسکی سرور

1- نصب از راه دور :

روش های نصب راه دور برای ابزارهای کسپراسکی سرور زیاد است اما همه آنها مکانیزم یکسانی دارند ، بخش Administration server کسپراسکی تمامی کامپیوترهایی که دارای انتی ویروس کسپراسکی نیستند را مشخص می کند و در تب Monitoring کنسول نمایش می دهد در ناحیه Deployment به رنگ اخطار زرد رنگی آن را نمایش می دهد ! برای درست شدن این وضعیت روی آن کلیک و Enable Protection را بزنید . حالا مانند شکل زیر عمل می کنیم :

در Advanced | Remote installation مدیر می تواند نصب راه دور را شروع کند . کافی است پک مورد نظر انتخاب شود و بعد از طی مراحل Wizard نصب شروع می شود . تب New برای چک دریافت جدیدترین و آخرین نسخه از سایت شرکت کسپراسکی تعبیر شده است .

نکته کلیدی : ممکن است در سرویس های Citrix امکان نصب راه دور دارای اجازه دسترسی و نصب نباشد .

- انتخاب کلاینت ها برای نصب

به شکل زیر دقت کنید :

نصب هم به صورت گروهی که کلاینت ها عضو آن هستند صورت می گیرد و هم به صورت انتخابی !

در مرحله دوم نامی را انتخاب می کنیم :

حالا کلاینت هایی که می خواهیم نصب روی آنها انجام شود را انتخاب می کنیم:

گزینه Add در سمت راست این پنجره برای عمل تشخیش و یافتن خودکار کلاینت ها و نود های شبکه است که می تواند بر اساس نام و یا IP باشد :

حالا روش های نصب Agent کسپراسکی باز می شود :

آموزش آنتی ویروس Kaspersky سرور قسمت 18 : Unassigned computers

• انتخاب لایسنس

کسپراسکی Endpoint Security بر خلاف Network Agent نیاز دارد تا برای روی کاینت ها فعال شود ، در ویزارد نصب می توان هم به صورت فایل لایسنس و هم با وارد کردن کدهای آن در مسیر پیش فرض آن رت فعال کرد . همچنین می توانید بعد از پایان نصب کنسول کسپراسکی در مسیر Advanced ---> Application management ----> kaspersky lab license آن را بخش Activation code و انتخاب باکس Automatically deployed key فعال سازی را انجام دهید .

• ریست کردن کلاینت ها بعد از نصب

به صورت عمومی هنگام نصب سیستم ها نیازی به ری استارت ندارند تنها زمانی لازم است که نرم افزار را اپگرید کرده باشیم نصب Network Agent اصلاً نیازی به ری استارت کلاینت ندارد گزینه Promt user for action گزینه مناسبی برای تمامی کلاینت ها است همچنین اگر می خواهید آن را روی یک سرور نصب کنید می توانیم از گزینه Do not restart the computer استفاده کرد .

همچنین اگر کاربری امتناع کند از خاموش کردن سیستم خود در مدت زمان طولانی یک پیامی را می توان هر 5 دقیقه ( به صورت پیش فرض ) برای وی ارسال کرد متن پیام را می توانید به " زبان پارسی " نیز تایپ کنید و زمانی را هم برای ری استارت اجباری که 30 دقیقه ( پیش فرض ) است تنظیم کنید .

• حذف برنامه های ناسازگار

هنگامی قصد دارید برنامه Endpoint security 10 کسپراسکی را نصب کنید این برنامه می تواند اقدام به حذف آنتی ویروس هایی کند که ناسازگار با محصول کسپراسکی هستند زیرا مشکلات جدی برای کاربران و کامپیوتر ها ایجاد خواهند کرد .

نکته کلیدی : این فرایند در کسپراسکی را نمی توان غیرفعال کرد

• نصب بر روی Unassigned computers

به کلاینت ها و سرورهایی می گویند که در کسپراسکی سرور تحت شعاع پالیسی و Task نیستند و آنها را توسط Network Agent محلشان را مشخص می کنیم و اقدام به نصب کسپراسکی Endpoint Security می کنیم ، در واقع کامپیوتر ها یا Managed Device هستند یا Unassigned computers هستند !

آموزش آنتی ویروس Kaspersky سرور قسمت 19 : Endpoint Security 

• نصب Kaspersky Endpoint Security

برای شروع آزمایشگاه شماره 3 ابتدا DC و Security-Center را روشن کنید نام کاربری abc\Administrator و پسورد هر دو سرور Ka5per5Ky است . همچنین کلاینت PC1 را با نام کاربری abc\Alex و پسورد Ka5per5Ky وارد شوید :

1- وارد سرور کسپراسکی به نام Security-Center شده و کنسول Kaspersky Security Center Administration را باز می کنیم می توانید از Start و سرچ ویندوز هم استفاده کنید

2- نود Administration Server را انتخاب کنید

3- از سمت راست وارد تب Deployment و سپس لینک Enable protection را انتخاب کنید

4- اجرا ویزارد نصب و انتخاب Remote

installation و کلیک روی Deploy installation

package on managed computers

(workstations) انجام دهید

5- انتخاب Kaspersky Endpoint Security 10 for

Windows و Next را بزنید

6- انتخاب یکی از 2 مورد زیر و سپس Select devices for installation را کلیک کنید

7- در زیر Managed devices انتخاب Security-Center

8- زیر Unassigned devices و انتخاب کلاینت PC1 و Next کنید

9- گزینه های انتخابی پیش فرض را رها کرده و Next بزنید

10- حالا انتخاب Key برای سرور و کلاینت ها و Next کنید

11- ری استارت در اینجا ضروری است و انتخاب Prompt user

for action و Next کنید .

12- موافقت با حذف برنامه های ناسازگار و سپس Next کنید

13- گروه Managed

devices را انتخاب و Next کنید

14- انتخاب گزینه Account required (for installation

without Network Agent) و تعریف یک نام کاربری و پسورد مدیریتی برای دسترسی داشتن به کلاینت ها را وارد کنید

15 - اکانت را اضافه Add کنید

16- تایپ کنید Administrator و پسورد را Ka5per5Ky و OK کنید

17- وقتی مطمئن شدید که Administrator اکانت اضافه شده Next را بزنید .

18 - حالا برای شروع نصب Next را بزنید

19 - بعد نصب Finish را بزنید

20- انتخاب Task Deploy Kaspersky Endpoint

Security 10 for Windows و اطمینان حاصل کنید که روی 2 کامپیوتر نصب در حال انجام است :

21- حالا در 99 درصد مراحل نصب صبر می کند تا کلاینت ها ری استارت شوند

22- به PC1 بروید

23- شما باید پیام ری استارت را مشاهده کنید حالا Restart را بزنید

24- بعد ری استارت شدن با نام کاربری abc\Alex و پسورد Ka5per5Ky وارد شوید

آموزش آنتی ویروس Kaspersky سرور قسمت 20 : نصب با Active Directory

شما می توانید نصب برنامه های کسپراسکی سرور را با Active Directory Group Policy انجام دهید برای این منظور در بخش Installation Package in Microsoft Installer ( .MSI ) فرمت مخصوص را باید در Share folder برای هر کامپیوتر تحت دومین با پرمیژن Read قرار دهید . در اکتیودایرکتوری هم پکیج را در یک گروپ پالیسی تعریف کنید موقعی که یک کلاینت تحت دومین شروع به لاگین می کند نصب خودکار انجام می شود .

- نصب Network Agent با اکتیودایرکتوری

کسپراسکی سرور در داخل کنسول Task ویژه ای را برای نصب Network Agent در نظر گرفته است به شکل زیر توجه کنید :

• تغییر TASK در اکتیودایرکتوری

کسپراسکی در Administration server گروه جدیدی را ایجاد می کند که با نام KasperskyAK ( چند کاراکتر رندوم بعد AK ) را در اکتیو دایرکتوری می توان مشاهده کرد و باعث کار Task در کامپیوتر ها می شود . در Administration Server می توان گروهی جدید را در گروپ پالیسی به نام KasperskyAK ساخت تا Network Agent را در روی فولدر اشتراکی با پسوند MSI توزیع کرد .

حالا با ری استارت شدن کلاینت و دوباره لاگین کردن به صورت اتوماتیک نصب شروع می شود :

• نصب لوکالی کسپراسکی در کلاینت ها

نصب با یک فایل Setup.exe صورت می گیرد و برنامه های Endpoint و Agent کسپراسکی سرور را می توان نصب کرد :

برای نصب پکیج به صورت لوکالی به بخش Advanced, Remote installation , Installation packages رفته و ویزاردی را به صورت شکل زیر طی کنید :

در موقعی که Endpoint را به صورت Standalone نصب می کنید لازم به نصب Agent هم هستید :

حالا اسمی را برای پکیج انتخاب کنید خیلی دقت کنید که نام پکیج مناسب انتخاب شود و حاوی شماره نسخه و نام دقیق نسخه باشد :

حالا یک Setup.exe در مسیر پوشه PkgInst ساخته می شود شما می توانید پکیج های دیگری که ساخته اید را در مسیر سرور کسپراسکی به آدرس :

administration name> \ KLSHARE\PkgInst\<standalone package name >\setup.exe >\\

حالا در مراحل پایانی ساخت پکیج نصب به صورت لوکالی یک TEXT را به شما ارایه می دهد که شما می توانید آن را ایمیل کنید برای هر کاربری که می خواهید نصب را انجام دهد :

آموزش آنتی ویروس Kaspersky سرور قسمت 21 : نتایج نصب روی کلاینت ها

• مشاهده نتایج نصب ( installation results )

مطالعه نتایج Task نصب باعث می شود تا مطمئن شویم که گروه Managed Device ها که کامپیوتر ها روی آن هستند در حال نصب Agent و Endpoint هستند یا خیر ، در این تست با سرور Security-Center و کلاینت PC1 کار داریم ، آنها را روشن کنید :

1- Task که کامل شود پیامی را صادر می کند :

2- کلیک کنید روی لینک View Result تا گزارشات مشاهده شود :

3- Task را ببندید

4- بروید بر Managed devices

5- برای چک لیست کامپیوتر ها روی تب Devices کلیک کنید

6- مطمئن شوید PC1 و Security-Center در اینجا باشند

7- روی PC1 رفته و Properties را باز کنید

8- روی Applications انتخاب کنید :

9- مطمئن شوید Network Agent و Endpoint نصب شده باشند :

آموزش آنتی ویروس Kaspersky سرور قسمت 22 : گزارش عمومی حفاظت

• بررسی گزارش های عمومی حفاظتی

در این آزمایشگاه قصد داریم تا تمامی کامپیوتر هایی که تحت Managed Devices اراده می شوند را از نظر گزارش گیری حفاظتی در سرور کسپراسکی بررسی کنیم ، سرور Security-Center و Laptop را روشن کنید ، در روی ماشین Security-Center به بخش Managed Devices بروید و تب Devices را بزنید :

1- حالا وارد Administration Server شوید و تب Reports را بزنید را بزنید

2- انتخاب کنید Kaspersky Lab software version

report

3- حالا بخش گزارشات عمومی باز شده و می توان با کلیک بر روی Show Report موضوعات هر ناحیه از حفاظت را مشاهده کرد :

4- در اینجا گزارش Kaspersky Endpoint Security و Network Agent و تعداد کامپیوتر هایی هستند را می توان مشاهده کرد :

5- حالا صفحه گزارش را ببنید

آموزش آنتی ویروس Kaspersky سرور قسمت 23 : گروه جدید و زیر گروه 

• ایجاد گروهی جدید به نام های workstations, notebooks , servers

در این بخش می خواهیم گروهی به نام Servers و Workstations را در زیر Managed devices ایجاد کنیم . سپس Desktops و Laptop را به عنوان زیرگروه Workstations اضافه کنیم ، از ماشین Security-Center مراحل زیر را انجام می دهیم :

1- اجرا کنید Administration Console

2- سوییچ کنید روی نود Managed devices

3- روی تب Devices کلیک کنید

4- برای ساخت گروه ، کلیک کنید روی New Group

5- حالا تایپ کنید Servers و OK کنید

6- انتخاب Managed devices

7- ساخت نود دیگری به نام Workstations

8- در گروه Workstations زیر مجموعه به نام Desktops و Laptops را ایجاد کنید

آموزش آنتی ویروس Kaspersky سرور قسمت 24 : بروزرسانی و نسخه جدید 

• طریقه دانلود نسخه جدید

در هنگام نصب بسته کسپراسکی سرور ممکن است بخواهید اخرین نسخه اعلام شده را دریافت کنید برای انجام آن باید در کنسول سرور وارد Installation Packages شوید و سپس Additional actions تب ، و سپس viwe current version of kaspersky lab applications را بزنید :

حالا می توانید کلیه بخش هایی که نیاز دارید تا بروزرسانی شوند و پکیج اماده شود را انتخاب کنید :

نکته : بروزرسانی تمامی پکیج ها ممکن است خیلی طول بکشد

همچنین می توان برنامه های سرور نظیر mobile و workstation و virtualization و KSC و ... را بروزرسانی کرد همچنین می توان بسته زبان سرور را انتخاب و دریافت کرد .

• مشاهده نسخه جدیدی که ایجاد شده

با کلیک روی نود سرور کسپراسکی که در شکل زیر میبینید و در بخش Update می توانید اطلاعاتی درباره نسخه جدید و بروزرسانی هایی که انجام شده را مشاهده کنید همچنین پیام هایی از بروزرسانی در بخش Monitoring و Deployment است .

آموزش آنتی ویروس Kaspersky سرور قسمت 25 : حذف برنامه ناسازگار

• حذف برنامه های ناسازگار با کسپراسکی

همانطور که در درس های گذشته گفته شد کسپراسکی در زمان نصب نسبت به برنامه های امنیتی و انتی ویروس های برند های دیگر واکنش نشان می دهد لذا باید آنها را از روی کلاینت ها و سرور ها حذف کرد که این کار را به صورت خودکار در زمان نصب کسپراسکی انجام می دهد ، کسپراسکی همچنین این قابلیت را بر اساس INI فایل ها که همراه برنامه ها نصب می شوند و توسط مسیر %ProgramFiles%(86X)\Kaspersky Lab \ Kaspersky security Center \ Data \ clear چنانچه برنامه ی ناسازگار توسط سرور کسپراسکی کشف نشود شما باید موضوع را با بخش پشتیبانی کسپراسکی در میان بگذارید :

شکل زیر فرمی که برای تماس با واحد پشتیبانی کسپراسکی باید پر شود را نشان می دهد :

با توجه به شکل بالا چنانچه ایرادی در حذف برنامه های ناسازگار دریافت شود کسپراسکی ان را در پیامی قرمز رنگ توضیح می دهد و مدیر شبکه باید خود به صورت دستی ان را برنامه را حذف کند از جمله دلایلی که کسپراسکی قادر به حذف برنامه نیست حذف شدن برنامه توسط کاربر و ماندن بخشی از فایل ها در داخل ویندوز و رجیستری است .

• مشاهده نصب برنامه سازگار

برای مشاهده اینکه برنامه Agent و ... به درستی بر روی سیستم ها نصب شده می توانید ان را در مسیر

 Advanced \ Application management \ Application registery

همچنین می توانید یک Export هم از لیستی از تمام سیستم ها که شناسایی و نصب برنامه های کسپراسکی بر روی انها انجام شده را مشاهده کرد .

• استفاده از Task برای حذف برنامه ناسازگار

شما می توانید Task حذف برنامه های ناسازگار را در سرور کسپراسکی تعریف کنید هنگامی که وارد Task ها می شوید بر روی تب create Task کلیک کنید پنجره ای مانند شمل زیر باز می شود که حاوی تمامی Task هایی که در سرور کسپراسکی قرار گرفته است :

نکته : برای رفتن به بخش Task ها از بخش Kaspersky Security Center Administration Server Advanced Unistall Application remotly می توانید Wizard ساخت Task را سپری کنید !

آموزش آنتی ویروس Kaspersky قسمت 26 : گزارش ، Discovery و Polling

• گزارشات

در سرور کسپراسکی به راحتی می توان گزارش کلی را مشاهده کرد که در شکل زیر می توانید مشاهده کنید :

به صورت گرافیکی نیز می توان :

- گزارشات نصب و عدم نصب Agent و Endpoint

همچنین می توان از بخش Protection Deployment Report گزارشات هندسی را درباره نصب و عدم نصب Endpoint و Agent را مشاهده نمود :

• تشخیص و دیسکاوری نود ها در سرور کسپراسکی

کسپراسکی می تواند تمامی نود هایی که در شبکه هستند را تشخیص دهد این ویژگی از طریق :

• اکتیودایرکتوری
• سابنت IP ادرس ها
• شبکه ویندوز

جمع آوری شود :

در بخش Polling کسپراسکی سرور وارد Advanced | Network poll شده و می توان به با :

• تحت دومین
• تحت اکتیودایرکتوری
• تحت IP سابنت

تحت ویژگی به نام Unassigne devices

تمامی نود ها را بر روی کسپراسکی دیسکاوری کرد

همچنین ویژگی دیسکاوری یا Polling دارای پارامتر های دیگری نیز هست :

- می توان را غیر فعال نیز کرد

- می توان آن را طوری تنظیم کرد که تنها بخشی از شبکه را دیسکاوری کند

- می توان آن را زمان بندی هم کرد

- دیسکاوری توسط اکتیودایرکتوری

در شکل بالا می توانید مراحل دیسکاوری توسط اکتیودایرکتوری را مشاهده کنید

- دیسکاوری بر اساس IP سابنت

همانطور که از اسم این روش پیداست دیسکاوری بر اساس تمامی Ip ادرس هایی که در شبکه وجود دارد و با استفاده از پروتکل ICMP انجام می شود .

• مانیتور دیسکاوری

همچنین مدیران شبکه در بخش سرور کسپراسکی می توانند تمامی اعلان ها و دیسکاوری ها را بر روی Email خود داشته باشند :

آموزش آنتی ویروس Kaspersky سرور قسمت 27 : گروه ها و ساخت Role

• ساخت گروه

می توانیم در کسپراسکی سرور گروه هایی را برای مدیریت بهتر کلاینت ها و سرور ها ایجاد کرد . روی کنسول کسپراسکی وارد شده و روی گزینه Managed devices می توانیم راست کلیک کنیم و یک گروه جدید بسازیم :

• عضویت در گروه ها

خیلی ساده می توان کلاینت یا سرور مورد نظر را با موس گرفت و با حرکت Drag and drop آن را عضو گروه کرد ، می توان با Cut کردن و paste کردن هم این کار را انجام داد :

• اضافه کردن کلاینت

همانطوز که در شکل بالا میبینید برای اضافه کردن کلاینت ها در گروه ها کافی است بر روی گروه مورد نظر کلیک و تب Add devices را بزنید همچنین در مرحله بعدی نام یا IP ادرس ها و یا یک فایل متنی Text را وارد می کنیم :

• ساختار گروه ها

هنگامی تعداد گروه ها و زیر مجموعه ها و اعضا آن ها خیلی زیاد باشد ما مجبوریم یک سلسله مراتبی را در ساختار ایجاد گروه ها و عضویت کلاینت ها ایجاد کنیم این سلسله مراتب می تواند در شبکه های دومینی به صورت Active directory باشد و یا در شبکه های ورک گروپی می تواند بر اساس نام و ... باشد ، در شکل زیر نمایی از ساختار اکتیو دارکتوری نمایش داده شده است :

همچنین می توانیم با استفاده از یک فایل متنی Text گروه ها را ایجاد کرد :

• اضافه کردن کلاینت ها به صورت خودکار

هنگامی ما دارای اکتیو دایرکتوری باشیم یا IP سابنت در سطح شبکه باشیم می توانیم در محیط کنسول کسپراسکی سرور مدیریت متمرکزی را بر گروه هایی که در آن داریم داشته باشیم همچنین می توانیم برای داشتن یک Role که کار خودکار عضو کردن کلاینت ها در گروه ها ها را انجام دهد در مسیر Unassigned devices یا در بخش Advanced network poll و کلیک روی تب Configure rules و دنبال کردن مسیر Setup rules of device moving to administration group و با استفاده از لینک Advancednetworkpoll این کار را انجام داد :

در بعضی از موارد هنگامی که در کنسول سرور کسپراسکی می خواهیم کلاینت ها را با استفاده از رولی خودکار جا به جا کنیم می توانیم آن رول را غیرفعال کنیم اما نمی توانیم آن را پاک یا ویرایش کنیم تنها زمانی می شود این کار را کرد که یک Task مطابق آن داشته باشیم و یا Standalone پکیجی یاشد که پاک شده است :

• پارامتر رول ها جا به جایی

از جمله قوانین و پارامتر های هر رولی برای جا به جایی :

• چه چیزی را جا به جا می کنیم
• به کجا جا به جا می کنیم
• چه موقع جا به جا می کنیم

موقعی که چنین رول هایی کار میفتند ، با توجه کنیم که :

• بر روی هر کامپیوتری تنها یک بار ان را اجرا کنیم و فقط بر روی کامپیوتر های جدید رول را تنظیم کنیم که دیسکاوری شده اند
• تنها بر روی کامپیوتر هایی اعمال کنیم که Agent کسپراسکی روی آن ها پاک شده است
• رول ها پایدار کار می کنند ، یعنی اگر کامپیوتری را به صورت دستی از گروهی خارج کنیم ، سرور کسپراسکی آن رول را همچنان بر روی آن کامپیوتر ادامه می دهد

آموزش آنتی ویروس Kaspersky قسمت 28 : جلوگیری از تهدیدات و حملات

• نحوه حفاظت Endpoint کسپراسکی سرور از کامپیوتر ها

• مرورگر ها : تهدیدات می تواند از سمت مرورگر ها صورت بگیرد ، باج افزار ها می توانند روی صفحات وب بارگزاری شوند ، کسپراسکی Endpoint می تواند حملات روی مرورگر ها و صفحات وب را تشخیص و جلوی انها را بگیرد حتی قبل از آنکه شروع به کار کنند .

• فایل ها : امروزه فایل ها هم از طریق دانلود شدن و هم از طریق لوازم پرتابل نظیر مموری کارت ها و دیسک های گردان جا به جا می شوند آن ها می توانند حاوی باج افزار ها و برنامه های مخرب باشند

• ایمیل ها : از طریف فایل های چسبیده به نامه ها و همچنین لینک هایی که همراه نامه ها ایمیل می شوند می توانند باعث الوده سازی کامپیوتر ها شوند .

• فایل ها و فولدر های اشتراکی : آنها می توانند شروعی برای حملات و تهدیدات باشند همچنین ممکن است محتویات اسناد و فایل های نوشتاری حاوی کد های مخرب باشند کسپراسکی Endpoint می تواند فایل ها را هم در هنگام کپی شدن و هم باز شدن اسکن کند

• حملات از طریق شبکه : تهدیدات می تواند از بستر شبکه و همچنین توسط پکیت هایی باشد که همواره از طریق پورت ها شناور هستند که Endpoint کسپراسکی می تواند این حملات را نیز شناسایی کند و از طریق راه های اپدیت کردن سیستم عامل ها و بستن پورت های بلااستفاده و چک پورت های داخلی جلوی حملات را بگیرد

• دستگاه های اکسترنال : نظیر USB درایو ها می توانند منبعی برای تهدیدات علیه کامپیوتر ها باشند بسیاری از باج افزار ها به راحتی می توانند توسط این وسایل به آنها وارد شوند در Endpoint کسپراسکی جلوی کاربران را می تواند برای نصب USB درایو ها گرفت همچنین اسکن فلش مموری درایو ها و بروزرسانی های سیستم عامل ها از دیگر وضایفی است که Endpoint کسپراسکی قادر به انجام آنها می باشد ، گزینه بعدی " Bad USB " ها هستند آنها به ظاهر یک مموری فلش هستند اما با هدف سرقت کلید های کیبورد ساخته شده اند که Endpoint کسپراسکی می تواند جلوی آنها را بگیرد .

• باج افزار ها

حملات ممکن است به شکل نوشتن باج افزار ها و همچنین تهدیدات Zero-day صورت بگیرد این حملات اکثراً صدمات جبران ناپذیری را به سیستم ها و محتویات نرم افزاری آنها وارد می کند ، آنها با رمز گذاری بر روی فایل های اسناد و اخذ هزینه پول برای دادن کلید آنها اخاذی نیز می کنند از جمله راه های جلوگیری از این حملات را می توان :

• پشتیبان گیری از فایل های مهم ( اولین و آخرین راه حل به نظر نویسنده است )
• جلوگیری از انتشارات برنامه های ناشناخته در بستر شبکه
• استفاده از ابزار هایی که می توانند فایل ها را رمزگذاری کنند

• Spyware جاسوس افزار ها : جاسوس افزار ها از روش مانیتورینگ محتوای سیستم ها و ارسال آنها به سازندگانشان استفاده می کنند آنها برخلاف باج افزار ها از روش رمزگذاری استفاده نمی کنند وجود آنها الب روی سیستم ها اگر شناسایی نشده باشند دائمی و همیشگی خواهد بود.

آموزش آنتی ویروس Kaspersky سرور قسمت 29 : حرکت خودکار کلاینت ها

• حرکت دادن کامپیوتر ها داخل گروه ها با رول ها

در این ازمایشگاه قصد داریم برای کامپیوتر هایی که در بخش Unassigned devices لیست شده اند رولی را تعریف کنیم

• کامپیوتر های Desktops و Laptops را در رولی مشابه قرار می دهیم

• از رنج های IP ادرس 10.28.0.100– 10.28.0.199 برای کامپیوتر های Desktop و از رنج 10.28.0.200–10.28.0.254 برای notebooks استفاده می شود

1- روی نود Unassigned devices کلیک کنید

2- لیست رول ها را باز کنید و دکمه Configure rules را بزنید

3- ساخت یک رول سرور و Add کنید

4- نوشتن Servers برای نام رول

5- برای دسترسی به گروه انتخابی با زدن Browse و انتخاب زیرگروه Managed devices\Servers

6- انتخاب Rule works permanently

7- فعال کردن برای همه کامپیوتر ها و پاک کردن Move only devices added to none of the

administration groups چک باکس آن

8- فعال کردن رول :

9- انتخاب Applications

10 - فعال کردن رول زمانی که Agent نصب می شود و در Network

Agent is running کلیک روی Yes را انجام دهید

11- فعال کردن رول با توجه به سیستم عامل سرور و انتخاب چک باکس Operating system

version

12- زیر Operating system version و انتخاب Microsoft Windows Server 2012 و Microsoft

Windows 2012 R2

13- برای ذخیره سازی رول روی OK کلیک کنید

14- ساخت رول برای Desktop کامپیوتر ها و کلیک روی Add

15- نوشتن Desktops به عنوان نامی برای رول

16- استفاده از Managed

devices\Workstations\Desktops

17- انتخاب گزینه Rule works permanently

18- برداشتن چک باکس Move only devices added to none of

the administration groups

19 - انتخاب چک باکس Enable rule

20- تنظیمات IP ادرس و رفتن به Network

21- انتخاب IP range که رول برای ادرس هایی که کامپیوتر ها در رنج آن هستند فعال شود

22- 10.28.0.100—10.28.0.199

23- ذخیره رول و زدن OK

24- ساخت رول برای Notebooks و کلیک روی Add

25- نوشتن Laptop برای اسم رول

26- مسیر گروه Managed

devices\Workstations\Laptops

27- انتخاب گزینه Rule works permanently

28 - برداشتن تیک گزینه Move only devices added to none of

the administration groups

29- انتخاب چک باکس nable rule

30- انتخاب Network

31- انتخاب چک باکس IP range

32- تایپ رنج 10.28.0.200—10.28.0.254

33- کلیکOK و ذخیره پارامتر ها

34- لیست رول ها را ببندید و OK کنید

35- بازکردن گروه Servers و رفتن روی تب Devices

36- مطئن شوید در Security-Center کامپیوتر ها با Windows 2012 R2 به صورت خودکار عضو این گروه شده باشند

37- مطمئن شوید که PC1 و Laptop با ادرس های 10.28.0.100 10.28.0.200 به صورت خودکار عضو گروه های Desktops و Laptop باشند

آموزش آنتی ویروس Kaspersky سرور قسمت 30 : Network Drive

• برداشتن Network drive از بخش File Anti-Virus

در این ازمایشگاه قصد داریم با استفاده از کسپراسکی Endpoint پالیسی را تعریف کنیم که در آن بخش File Anti-Virus بدون Network drive حفاظت را انجام دهد :

1- شروع از Administration Console

2- بازکردن Managed devices و تب Policies را بزنید

3- انتخاب Kaspersky Endpoint Security 10

Service Pack 2 for Windows در بخش Policy

4- کلیک در لینک Configure policy

5- بازکردن تنظیمات File Anti-Virus

6- بر روی Settings کلیک کنید و تب Security level

7- برداشتن تیک باکس All network drives و کلیک روی OK

8- حالا OK کنید تا تنظیمات ذخیره شود

9- حالا صبر کنید تا پالیسی اعمال شود

آموزش آنتی ویروس Kaspersky سرور قسمت 31 : تنظیمات Task اسکن

• تنظیمات TASK برای Virus Scan

در این آزمایشگاه قصد داریم تا TASK تنظیمات برای Virus Scan را ایجاد کنیم :

• ماشین های DC - Security-Center را روشن کنید
• بر روی ماشین Security-Center با نام کاربری abc\Administrator و پسورد Ka5per5Ky لاگین کنید
• می خواهیم این TASK را بر روی ویندوز گروه workstations و servers وارد کنیم

1- وارد کنسول Administration Console شوید

2- بازکردن Managed devices

3- رفتن به تب Tasks

4- انتخاب TASK - Quick Virus Scan

5- کپی TASK برای اینکه شورت کاتی از آن ساخته شود

6- حالا از بخش Managed deviced به Servers بروید و تب TASK را بزنید

7- حالا TASK را کپی کنید و PASTE را بزنید

8- حالا روی TASK که شورتکات شده راست کلیک و Properties را بزنید می خواهیم نام آن را عوض کنیم

9- تغییر نام به Virus Scan – Servers

KES10 SP2 و OK را بزنید

10- باز کردن Workstations و TASK را بزنید

11- کپی کنید تسک Quick Virus Scan و آن را در Workstations پیست کنید

12- حالا تسک را تغییر نام دهید به Quick Virus Scan (1)

13- نام آن را Virus Scan –

Workstations KES10 SP2 قرار دهید

آموزش آنتی ویروس Kaspersky سرور قسمت 32 :  پلاگین ها

• نحوه دفع حملات توسط Endpoint Security

همانطور که در شکل بالا می بینید کسپراسکی Endpoint از ابزار های زیادی برای دفع حملات استفاده می کند ، کسپراسکی برای رسیدن به این طیف وسیع کنترل بر روی کلاینت ها در سطح جهان تعداد زیادی مرکز تحقیقاتی را ایجاد کرده است :

کسپراسکی KSN یا Kaspersky Security Network یک سیستم ابری است که به جمع اوری اطلاعات تهدید امیز و ارایه راه کارهای حفاظتی کمک می کند . کسپراسکی KSN بر اساس سه سطح Trust فایل ها را بررسی می کند :

• Trusted
• Low Restricted
• High Restricted
• Untrusted

کسپراسکی Endpoint بوسیله کامپوننت هایی که توسط اتصال به شبکه دارد قادر است تا آخرین بروزرسانی ها را دریافت کند ، این بروزرسانی ها دیتا بزرگی از برنامه های Trust شده و اسکن انها برای جلوگیری از تهدیدات است . کسپراسکی سرور با استفاده از تنظیمات پالیسی و تسک ها اطلاعات لازم به Endpoint را تحویل می دهد :

•  نحوه چک فایل ها توسط Endpoint کسپراسکی

Klif.sys وظیفه اسکن فایل ها و درایور ها دارد به صورت پیش فرض این فایل ها اگر الوده باشند بلاک می شوند و اگر مجدداً کار بیفتند حذف و یا آلودگی را از روی فایل بر می دارند ( تکنولوژی Infected که توسط کسپراسکی معرفی شد ) .

• جلوگیری از کندی کلاینت در Endpoint

هنگامی که Endpoint سعی دارد تا فایل ها را اسکن کند برای جلوگیری از کندی سرعت از دو راه کار عمده استفاده می کند :

• جلوگیری از باج افزار ها قبل از حمله
• عدم ممانعت از اسکن برنامه های قانونی

کسپراسکی پیشنهاد می کند بیشتر این کندی از سمت تنظیمات و اجرای زیاد تعداد تشک ها و پالیسی ها نیز می تواند باشد بهتر است کدیر شبکه پارامتر هایی را که بیشترین اهمیت دارند را انتخاب کند .

• گزینه Heuristic در Endpoint

این گزینه در بخش File anti-virus وظیفه انالیز برنامه های اجرایی یا همان فرمت Exe را دارد و کمک می کند تا باج افزار ها سریعتر پیدا و شناسایی شوند بخصوص آن دسته از باج افزار هایی که فرمت فایل ها را دستخوش تغییر می دهند . این گزینه دارای سه درجه است Light - Medium - Deep که در انتخاب آنها باید دقت کنید چرا که بیشترین درجه باعث می شود تا حساسیت برنامه Endpoint برای اسکن فایل ها بیشتر شود در نتیجه کلاینت ها کندتر می شوند .

نکته : File anti-virus کسپراسکی سرور بسیاری از فرمت ها را چند بار چک نمی کند این گزینه به صورت پیش فرض فعال است مگر اینکه آن فرمت ها تغییری کنند خاموش کردن این قابلیت باعث می شود تا کلاینت ها به شدت سرعتشان کند شود

• شناسایی تغییرات فایل توسط کسپراسکی سرور

حال سوالی ممکن پیش بیاید برای مدیران شبکه که کسپرسکی چگونه این تغییرات را متوجه می شود زمانی که فرمت هارددیسک ها NTFS شد لاگ هایی را موقعی که فایلی تغییر پیدا می کند ایجاد می کنند که این لاگ ها مدام توسط Endpoint کسپراسکی چک می شود . اما درباره Fat32 باید گفت که آنها نمی توانند لاگ دیتا ها را ایجاد کنند برای همین در خطر تهدید جدی باج افزار ها قرار دارند . اما کسپراسکی Endpoint این دسته از فرمت ها را نیز با قابلیت ها و ابزار هایی که در دیتابیس خود دارد اسکن می کند .

• گزینه iSwift و iChecker

این گزینه ها در مسیر File anti-virus در بخش Additional \ scan technologies \ قرار دارند کار iSwift بر اساس الگوریتم خاصی فایل ها را بر اساس جدید بودن و تغییرات در فرمت NTFS بررسی می کند ، به صورت پیش فرض فعال است . همچنین گزینه ichecker Technology که به صورت پیش فرض فعال است بر روی فرمت Fat32 نظارت دارد این تکنولوژی بر اساس امضای دیجیتال فایل ها کار می کند

• عدم اسکن فایل هایی نظیر آرشیو ها و ترکیبی

در بخش performance \ Scan of compound files \ Scan archives امکانی وجود دارد که که فایل ها با فرمت های Zip و Rar و ARJ و ... اسکن می شوند این فایل ها می توانند در داخل فولدر Temporary و مموری کامپیوتر ها اشباع شوند . همچنین بخشی هم در مسیر performance \ scan of compound files \ scan installation packages قرار دارد که به بررسی فایل هایی نظیر فرمت MSI و ... می پردازد .

مسیر بعدی هم در بخش performance \ scan of compound files \ scan office formats فایل های مایکروسافت آفیس بررسی می شوند یکی از تهدیداتی که این فایل ها ممکن است به آنها آلوده شوند توسط ماکروها اعمال می شود . همچنین در مسیر performance \ scan of compound files \ Additional \ Background scan وظیفه اسکن فایل های آرشیوی با حجم بالا را دارد . همچنین در مسیر Performance \ Scan of compound files \ Additional \ Size limit فایل هایی چک می شوند که کمتر از مقدار Maximum files size و این مقدار به صورت پیش فرض 8 مگابایت می شود .

• - Additional \ Scan mode
• On Execution : در این مد قبل از اجرای فایل اسکن صورت می گیرد . هنگامی که کاربر فایل را اجرا کند اسکن متوقف می شود

• On Access : فایل Anti-Virus قبل از خوانده شدن اسکن می شود این فایل یا کپی و یا در زمان استارت شدن ، اسکن می شود

• On Access and on modification : در زمان نوشتن یا خوانده شدن فایل ها اسکن صورت می گیرد . این مد یک مد امن می باشد

• Smart mode : فایل در زمان اجرا و در وضعیت کار کردن اسکن می شود حتی اگر نوشتن و تغییری روی فایل صورت بگیرد اسکن ادامه دارد و تا زمانی که فایل بسته می شود اسکن نیز متوقف می شود .

نکته : یکی از گزینه های مطمئن و خوب در اینجا همین Smart mode است ، که مانند گزینه On access - modification کار می کند و منابع کمتری را اشغال می کند .

• حذف باج افزار ها

موقعی باج افزار ها توسط کسپراسکی سرور و Endpoint تشخیص داده می شوند که آنها هنوز عملیات خرابکارانه را شروع نکرده اند و اسیب به فایل ها نزده اند این قابلیت در سرویس Watcher کسپراسکی سرور به نام Roll back malware actions during disinfection فعال است .

آموزش آنتی ویروس Kaspersky سرور 33 :  جلوگیری از کندی کامپیوتر

• هنگامی که سرعت کامپیوتر ها پایین می آید چه کار کنیم؟

مدیران شبکه در صورتی که با نصب محصول کسپراسکی سرور و ابزار های آن در کامپیوتر های شبکه با کندی سرعت مواجه شدند ابتدا موارد زیر را بررسی کنند :

• پیدا کردن کامیوتری که کند شده است
• غیر فعال کردن پالیسی روی آن
• نگه داشتن فایل Anti-virus
• چک کردن کامپیوتر ها با برنامه هایی که سرعت را افزایش می دهند

نکته : اگر با استاپ کردن سرویس Anti-Virus سرعت کامپیوتر ها بهتر شد این سرویس را سفارشی سازی کنید ، به هیچ وجه در مدت زمان طولانی این گزینه را غیر فعال نکنید شما می توانید فایل ها و فولدر هایی که با انها خیلی کار می کنید را به صورت Trust تعریف کنید

• شما می توانید اگر با فایل های اشتراکی کار می کنید آنها را از اسکن کسپراسکی جداسازی کنید
• شما می توانید File Anti-Virus در کسپراسکی را زمانبندی کنید تا در ساعاتی که سازمان تعطیل می شود فعال شود
• نحوه Exclude کردن یک فولدر برنامه

برای ممانعت از اسکن یک فولدر در برنامه کسپراسکی Endpoint نیاز به پالیسی داریم ، که در General Protection Settings کلیک بر روی Settings و در بخش Scan exclusion and trusted zone تنظیمات انجام می شود . سپس در تب Scan exclusions می توانید کامپوننت را اجرا کنید این یک اسکن ممانعت شده به صورت :

• File or folder : بر اساس نام و یا فولدر می توانیم عمل Exclude را انجام بدیم شما می توانید علامت * و یا از ؟ ویلکارد استفاده کنید
• Object name : شما می توانید بر اساس موضوعی خاصی مثلاً نام یک نوع تهدید و با استفاده از ؟ کاراکتر تنظیمات را انجام بدید
• Protection components : شما می توانید لیستی از کامپوننت های حفاطتی را در رولی اجرا کنید
• نحوه پروسه برنامه هایی که Exclude می شوند

هنگامی که کامپیوتری از منابع سورس شروع به کار می کند بخش File anti-virus کسپراسکی شروع به کار می کند و برنامه را از نظر سالم بودن چک می کند برای مثال ، هنکامی که از یک برنامه بک آپ گرفته می شود یا دفراگ صورت می گیرد شما می توانید این وضایف را به عنوان یک برنامه Trust دسته بندی کنید برای این منظور شما می توانید در پنجره exclusions for application در مسیری که Exe برنامه قرار دارد بر روی بخش Do not scan opened files را انتخاب کنید . شما می توانید این مسیر را با علامت های ستاره * و یا ؟ ویلدکارد مشخص کنید

• جلوگیری از عدم اسکن بخش Network Scan

با توجه به شکل زیر می توانید در مسیری که مشخص شده گزینه Network Scan را غیر فعال کنید :

• غیر فعال کردن ضروری بخش File Anti-Virus

مدیر شبکه می تواند به صورت ضروری و از روی اجبار این بخش را غیر فعال کند شما می توانید از بخش Security Level و روی تب Additional این تغییرات را اعمال کنید ، همچنین می توانید از pause Task استفاده کنید

• By Schedule : شما می توانید تنظیمات زمانبندی شده خاصی برای File Anti-Virus قراردهید که در زمان تعریف شده استاپ و استارت شود .
• At application startup : برنامه هایی که باعث می شوند تا بار اضافی بر روی مموری کامپیوتر وارد شود را استاپ کرد

آموزش آنتی ویروس Kaspersky سرور قسمت 34 : کشف ویروس ها

• کشف ویروس ها

شما می توانید با توجه به تسک هایی که اسکن ویروس را انجام می دهند تنظیمات خاصی را در این بخش ایجاد کنید .

• بخش Scan Scope

براساس لیستی از مسیر ها که مربوط به فولدر ها و فایل ها است اسکن را انجام می دهد ، شما می توانید با تعریف ستاره * یا با ؟ فایل ها و فولدر ها را مشخص کنید همچنین می توانید زیر مجموعه فولدر ها هم برای اسکن مشخص کنید . این اسکن ها بر اساس :

• My email : تمامی فایل های اوت لوک بر اساس فرمت PST و OST
• Kernel Memory : حافظه کرنل سیستم اسکن می شود
• Running processes and startup objects : حافظه هر منطقه ای که پروسه و اجرای فایل ها و برنامه ها را انجام می دهد در زمان شروع کار سیستم عامل اسکن می شوند یکی از مزایای این بخش اسکن و یافتن Rootkit ها است که در فایل سیستم ها مخفی می شوند
• Disk boot sectors : سکتور بوت در هارد دیسک و درایو های پرتابل اسکن می شود
• System Backup -System Volume Information
• All removable drive : هنگامی که حافظه های پرتابل به کامپیوتر وصل می شود اسکن می شوند
• All hard drives : هارد دیسک ها کامپیوتر اسکن می شوند
• All network drives : تمامی درایو های شبکه متصل شده به کامپیوتر اسکن می شوند
• Computer : تمامی بخش های بالا بجز My email و All network drives اسکن می شوند

شما می توانید Task را بسازید و در زمانبندی مشخصی مثلاً هفتگی یا هر روز هفته آن را برنامه ریزی کنید تا اسکن را انجام دهد ، همچنین بخش هایی که در زیر میبینید به صورت ناحیه تهدید اسکن می شوند :

• Security Level :  پارامتری برای اسکن ویروس با توجه به تسکی است که تعریف می شود ، و ویژه بخش File Anti-Virus می باشد .
• Skip files that are scanned for longer than NS : در بخش تب Scope می توانید با رفتن به ناحیه Scan optimization آن را فعال کنید این ویژگی زمانی که یک Task برای اسکن ویروس خیلی طول بکشد با توجه به زمان محلی که محاسبه شده اسکن متوقف می شود
•  Parse email formats : روی تب Scope در ناحیه Scan of compound files که به صورت پیش فرض غیر فعال است فقط زمانی که با ایمیل کار می کنید ( اوت لوک و ... ) کار اسکن را انجام می دهد
• Password - protected archives : موقعی که اسکن در Endpoint کسپراسکی برای باز کردن فایل های آرشیوی انجام می شود این دسته فایل ها بر اساس نام و پسورد در زمان باز شدن و اکسترکت شدن بررسی می شوند . در بخش Additional می توانید با رفتن به بخش Do not unpack large compound files آن را فعال کنید
• Account : به صورت پیش فرض تمامی تسک های اسکن بر روی کامپیوتر های لوکال تنظیم شده است چنانچه بخواهیم تسک هایی که نیاز به حساب کاربری معتبری دارند را فعال کنید مثل اسکن درایو های شبکه باید دسترسی معتبری را ایجاد کنید .

• استانداردهای اسکن ویروس ها بر اساس درجه بندی :
  

Security Level بر اساس تنظیماتی که استفاده شده است بر اساس جداول زیر انجام می شود :

آموزش آنتی ویروس Kaspersky سرور قسمت 35 : زمانبندی اسکن

• نحوه تنظیم زمانبندی

اسکن ویروس بر اساس Task هایی که زمانبندی شده اند صورت می گیرد ، بر اساس پارامتر هایی نظیر N minutes - N hours - N days - Weekly - monthly و بر اساس شروع به کاری به صورت دستی Manually و خودکار بر اساس زمانی ویژه صورت می گیرد . این پرامتر ها به صورت :

• after application update : این تسک بعد از اینکه امضای دیجیتالی تهدیدات دانلود می شود شروع به کار می کند
• At application start : این تسک به صورت اجباری بعد از راه افتادن Endpoint کسپراسکی شروع به کار می کند
• On completing another task : یک تسک فراگیر که می تواند با دیگر تسک ها هماهنگ شده و آنها را در یک زنجیره قرار دهد هر بروزرسانی بخش ویروس اسکن را به آنها اعمال می کند .
• On virus outbreak : موقعی که ویروس شروع به کار می کند ، روی Administration Server ثبت می شود ، همچنین گزینه ای در بخش Task ها به نام Running missed task وجود دارد که اگر کامپیوتری در زمان اجرای تسک زمانبندی شده خاموش باشد با روشن شدن کامپیوتر تسک روی آنها اعمال می شود ، یک مد دیگری به نام Define task launch delay automatically در اینجا وجود دارد که بعد از بروزرسانی تسک ها کار می کند در درس های بعدی بیشتر تشریح می شود ، در پنجره Advaned :
• Activate computer before the task is launched by the Wake on LAN function ( min) : هنگامی Task در ساعات شب و یا تعطیلات برنامه ریزی شود قادر است با امکانی که بعضی از بایاس ها بع نام Wake on دارند سیستم ها را برای اجرای تسک روشن کنند
• Turn off computer after tasks is complete : این گزینه اختیاری بوده و اسکن بر اساس زمانی که در شب یا در ایام تعطیلات برنامه ریزی شده است کار می کند و کامپیوتر ها را بعد از پایان اسکن می تواند خاموش کند
• Stop if the task is taking longer than ( min ) : این تسک گارانتی می کند که اجرای تسک در روز انجام شود حتی هنگامی کامپیوتر کلاینت فعال نیست

- برنامه ریزی زمانبندی شده معقول

از مقوله های مهمی که مدیران شبکه باید به آن توجه کنند این است که در تنظیم زمانبندی برای تسک ها باید به زمان اجزا و نحوه اجرا آنها دقت کنند ، هنگامی که می خواهید کلاینت ها شب ها خاموش نشوند دقت کنید که تسکی که با Wake on بایاس می تواند سیستم ها را روشن کند فعال نکنید

شما می توانید از امکانی به نام اسکن در زمان بیکاری استفاده کنید این بخش در Propertices تسکی که انتخاب می کنید و انتخاب چک باکس Pause schedualed scan when the screensaver is inactive and the computer is unlocked در ناحیه Run mode قرار گرفته است می توانید اسکن ویروس ها را بهینه سازی کنید حتی زمانی که سیستم ها استفاده نمی شوند لاک یا روی اسکرین سیور رفته باشند هم می تواند کار کند این تسک به صورت پیش فرض Paused است

نکته : عدم توجه به زمانبندی درست تسک ها می تواند سرعت کلاینت ها و لود بالایی را به سرور و شبکه وارد کند

آموزش آنتی ویروس Kaspersky سرور قسمت 36 : Exclude برای فولدر

• تنظیمات Exlusion ( نادیده گرفتن ) برای یک فولدر

در این ازمایشگاه می خواهیم یک فولدر را طوری در کسپراسکی تنظیم کنیم که به صورت استثنا تعریف شود این فولدر را در مسیر و با نام C:\Build folder روی Workstations بسازید :

• ماشین های DC و Security-Center را روشن کنید
• با نام کاربری abc\Administrator و پسورد Ka5per5Ky وارد ماشین ها شوید
• حالا PC1 را روشن کنید
• با نام کاربری abc\Alex و پسورد Ka5per5Ky وارد شوید
• ابتدا در اولین مرحله policy بر بروی کسپراسکی سرور می سازیم

1- حالا از Administration Console شروع می کنیم

2- بروید به Managed devices گروه

3- سوییچ کنید بر روی تب Policies

4- حالا چک کنید که Kaspersky Endpoint Security 10 service pack 2 for windows پالیسی بر روی حالت Active policy باشد

5- کپی کنید Kaspersky Endpoint Security policy با کلیک کردن بر روی عبارت Copy تا یک شورت کات از ان ساخته شود

6- این پالیسی را بر روی Servers در تب Policies کپی کنید

7- حالا بر روی Properties پالیسی که ساخته شده است کلیک کنید

8- تغییر نام دهید KES 10 SP2 server policy در بخش پالیسی

9- حالا پالیسی را فعال کنید بر روی آن وضعیت Active policy را OK کنید

10 - حالا پالیسی Kaspersky Endpoint Security policy را در گروه Managed devices کپی و مراحل 2-3-5 را تکرار کنید

11- باز کردن Workstations و رفتن به تب Policies

12- پیست کردن پالیسی ( راست کلیک کنید و Paste را بزنید )

13- حالا پالیسی را برای workstation به KES 10 SP2 تغییر نام دهید

14- پالیسی Active policy و OK کنید

15- حالا فولدری که به نام C:\Build در مسیر درایو C ساختیم را می خواهیم برای اسثنا قرار دادن معرفی کنیم

16- داخل Workstations شده و از تب پالیسی بر روی KES 10 SP2 workstation policy را راست کلیک و properties را بزنید

17- و روی عبارت General Protection Settings کلیک کنید

18- برای مشاهده لیست Exclusion کلیک روی Settings و زدن دکمه Scan exclusions and trusted zone وارد این بخش می شویم

19- دکمه Add را بزنید

20- انتخاب File or folder برای انتخاب مسیری که می خواهیم Exlude شود

21- فولدر را با استفاده از لینک File and Folder انتخاب کنید

22- حالا فولدری که در مسیر C:\build\ ساخته شده انتخاب و OK کنید ( حتماً در آخر مسیر بک اسلش \ زده شود )

23- حالا برای ذخیره سازی OK کنید

آموزش آنتی ویروس Kaspersky سرور قسمت 37 : Exclude در ایمیل

• تنظیمات Mail Anti-Virus

در این آزمایشگاه قصد داریم تا فایلی را در ایمیل ارسال کنیم به طوری که توسط بخش Mail Anti-Virus کنترل شود می خواهیم فرمت BAT را در کسپراسکی سرور استثنا قایل شویم تا عملیات چک و اسکن روی ان انجام نشود :

• ماشین های DC و Security-Center را روشن کنید
• با نام کاربری abc\Administrator و پسورد Ka5per5Ky لاگین کنید
• کلاینت LapTop را روشن کنید و با نام کاربری abc\Tom و پسورد Ka5per5Ky لاگین کنید
• ایمیلی به نام Tom@abc.lab را بسازید ( با برنامه Mozilla Thunderbird )

1-برنامه Mozilla Thunderbird را اجرا کنید

2- حالا پیامی را با ان ارسال کنید و بر روی Subject و با موضوع IT Service Desk

3- فایلی را به نام run.zip ایجاد کنید

4- حالا Send کنید

5- حالا بر روی LapTop سرویس Mozilla Thunderbird را نصب کنید

6- سرویس Administration Console را استارت بزنید

7- در گروه Workstations روی تب Policies کلیک کنید

8- روی KES 10 Sp2 workstation policy و بر روی Mail Anti-Virus را انتخاب کنید

9- کلیک Setting

10- روی تب Attachment filter بروید

11- حالا چک باکس *.bat را بردارید تا برای این فرمت بتوانیم استثنایی را ایجاد کنیم و OK کنید

12- حالا کلیک روی OK تا پالیسی ذخیره شود

13- پالیسی مورد نظر را استاپ کنید

14- مراحل 1-2-3-5 را انجام دهید

15- در بخش Subject حالا تایپ کنید IT Service Desk_2

16- حالا در بخش سرویس ایمیل پیام را Send کنید ( فایل RUN.zip را هم ارسال کنید )

آموزش آنتی ویروس Kaspersky سرور قسمت 38 : Exclusions برای وب

• Exclusions کردن برای Web Anti-Virus

در این آزمایشگاه می خواهیم سایت www.eicar.org را با مرورگر فایرفاکس نادیده بگیریم تا کسپرسکی سرور آن را تحت نظر و اسکن نداشته باشد ، همچنین می خواهیم دانلود را از این سایت بلاک و اجازه دانلود فایلی به نام eicar_com.zip را ندهیم :

• ماشین های DC, Security-Center را روشن کنید

• ماشین PC1 را روشن کنید با نام کاربری abc\Alex و پسورد Ka5per5Ky وارد شوید

• با abc\Administrator و پسورد Ka5per5Ky وارد ماشین Security-Center شوید

1- بر روی Mozilla Firefox کلیک کنید تا اجرا شود

2- بروید به www.eicar.org

3- کلیک کنید روی Download Anti-Malware testfile بر روی سایت

4- بر روی DOWNLOAD کلیک کنید

5- بر روی PC1 رفته و برای تست آنتی ویروس لینک را کلیک کنید

6- دانلود کنید eicar_com.zip و نسخه HTTP را دریافت کنید :

7- حالا اطمینان بیابید که بخش اسکن archive در انتی ویروس Endpoint فعال بوده و تصویری مانند زیر را نمایش دهد :

8- مرورگر Mozilla Firefox را ببندید

آموزش آنتی ویروس Kaspersky 39 : غیرفعال کردن اسکن ترافیک فایرفاکس

• غیر فعال کردن اسکن ترافیک برای مرورگر موزیلا فایرفاکس و ...

در این آزمایشگاه قصد داریم تا کنترل ترافیک روی موزیلا فایرفاکس را غیر فعال کنیم

• ماشین Security-Center را روشن کنید

1- شروع کنید Administration Console

2- در گروه Workstations انتحاب تبPolicies

3- و properties عبارت KES 10 Sp2 workstation policy را بزنید و به قسمت General Protection Settings بروید

4- برای وارد شدن به لیست استثنا به بخش Settings و روی دکمه Exclusions and trusted zone کلیک کنید

5- تب Trusted applications را بزنید تا برنامه را تراست کنیم

6- بر روی Add کلیک کنید و Mozilla Firefox را تراسک کنید

7- و مسیر برنامه را اضافه می کنیم برای سیستم نویسنده مطلب در %ProgramFiles(x86)%\Mozilla

Firefox\firefox.exe است

8- بر روی Do not scan network traffic رفته و چک ترافیک روی برنامه را غیر فعال کنید

9- حالا OK کنید

10- حالا بعد اضافه شدن به لیست تراست ها روی OK کلیک کنید

11- حالا پالیسی را ذخیره و OK را بزنید

12- حالا به صورت اجباری پالیسی را اجرا کنید

آموزش آنتی ویروس Kaspersky سرور قسمت 40 : Exclude 

• نحوه Exclude کردن کسپراسکی سرور

هنگامی که Endpoint کسپراسکی نمی تواند ویروسی را شناسایی کند ، توسط Kaspersky Lab جدیدترین امضای دیجیتالی را دریافت می کند و از طریق Agent آن را به Endpoint می دهد ، KSN فایل های مشکوک را می تواند نادیده بگیرد چرا که بنظر تراست و قابل اطمینان هستند :

اگر برنامه ای را که نمی خواهیم کسپراسکی سرور آن را اسکن کند ، شما می توانید یک Exclusion بسازید :

1- در پالیسی Kasperesky Endpoint Security policy باید Properties و سپس General Protection Settings Scan exclusions and trusted zone setting وارد شوید

2- در اینجا فایلی که نمی خواهید اسکن شود را در Scan exclusions و سپس با وارد شدن به File or Folder آن را اضافه و چک باکس آن هم بزنید .

- استثنا قرار دادن برای Certificate

برای اینکه برنامه جدیدی که نصب کردید توسط کسپراسکی Endpoint دچار مشکل نشود شما می توانید از طریق :

1- در پالیسی Kasperesky Endpoint Security policy باید Properties و سپس General Protection Settings Scan exclusions and trusted zone setting وارد شوید

2- سپس در تب Trusted System certificate store چک باکس گزینه Use trusted system certificate store را انتخاب کنید ، به صورت پیش فرض این قسمت بر روی Enterprise Trust است

3- حالا Certificate برنامه مورد نظر را انتخاب و آن را تنظیم کنید

- تنظیم File Protection

شکل زیر نمایی از نحوه حفاظت کسپراسکی سرور و Endpoint کسپراسکی را نشان می دهد :

یک شبکه مسیر اصلی پخش ویروس است ، بنابراین اسکن و حفاظت از ترافیک شبکه یکی از عوامل مهم برای حفاظت از کامپییوتر ها است ، کسپراسکی سرور ابزارهایی برای اسکن در نظر گرفته است که عبارتند از Mail Anti-Virus - Web Anti-Virus - IM Anti-Virus

- کنترل ترافیک در Endpoint کسپراسکی

استفاده از تکنیکی به نام NDIS که نوعی فیلتر است در کسپراسکی Endpoint با آن کار می کند ، و هر درایوی که ترافیک خروجی از آن عبور می کند را تحت کنترل دارد .

نکته : کسپراسکی Endpoint قادر به اسکن SSL / TLS نیست

برای مشاهده ترافیک خروجی وارد بخش پالیسی Kaspersky Endpoint Security policy شده و انتخاب گزینه General Protection Settings و در بخش Monitored ports و انتخاب Monitor only selected ports حالا می توانید با زدن دکمه Settings پورت هایی که برای کنترل برنامه ها نیاز است را مشاهده کنید . اگر هم نمی دانید برنامه ای با کدام پورت کار می کند با زدن چک باکس Monitor all ports for specified applications و اضافه کردن مسیر برنامه مورد نظر EXE در لیست می توانید آن را تنظیم کنید . به صورت پیش فرض پورت های استاندارد تعریف شده اند و می توانید آنها را اسکن کنید .

آموزش آنتی ویروس Kaspersky سرور قسمت 41 : Mail Anti-Virus

• Mail Anti-Virus کسپراسکی سرور

این سرویس از ایمیل حفاظت می کند ، سرویس های پیام با پروتکل های POP3 - SMTP - IMAP - NNTP و اوت لوک آفیس ماکروسافت که با سرویس MAPI کار می کنند را کسپراسکی سرور می تواند آنالیز کند و می تواند بر اساس امضای دیجیتالی ویروس و باج افزار ها را شناسایی کند . بر اساس دو حیطه کار می کند :

• پیام های ارسالی و دریافتی
• پیام های دریافتی

از لحاظ اتصال :

• براساس ترافیک پروتکل های POP3SMTPNNTPIMAP قادر به اسکن تمامی پیام های ارسالی و دریافتی است
• اوت لوک مایکروسافت آفیس بر اساس پیام های دریافتی و خوانده شده و ارسال شده بر روی کلاینت ها اسکن می شود

نکته : اگر در هنگام خواندن پیام ها در اوت لوک مشکل کندی دارید در بخش Mail Anti-Virus از بخش Settings چک باکس Scan when reading را بردارید

این سرویس فقط مختص برنامه های ایمیل کلاینتی است ، بر اساس یک سری از پارامترهای زیر فایل ها را اسکن می کند :

• براساس فایل های آرشیوی مانند RAR و ZIP
• براساس فایل هایی که با ایمیل ضمیمه شده اند
• فایل های بزرگ و پرحجم بر اساس فرمول NNMB اسکن نمی شوند در واقع می توان تنظیماتی را انجام داد که فایل های حجیم بر اساس یک سایزبندی ویژه اسکن نشوند
• بر اساس پارامتر NN sec فایل های آرشیوی که زمان زیادی لازم است تا اسکن شوند از این قانون مستثنا می شوند چرا که باعث کندی سرعت کلاینت ها می شود

فایل های ضمیمه ایمیل نیز دارای فیلترهایی در کسپراسکی سرور هستند :

• Disable filtering : فایل هایی که ویروسی نیستند را اجازه عبور می دهد
• تغییر نام فایل های ضمیمه در صورتی که عامل یک باج افزار باشند بخصوص فایل های اجرایی با فرمت Exe - Bat ...
• حذف فایل های مشکوک در ضمیمه نامه های دریافتی نظیر موزیک و ویدئو

- نادیده گرفتن فایل ها

در بخش General Protection Settings - Scan exclusions and trusted zone در بخش File Anti Virus سرور کسپراسکی سرور می توانید استثنا برای فایل هایی که نمی خواهیم در فرایند اسکن دخالت داشته باشند تنظیم کنیم

آموزش آنتی ویروس Kaspersky سرور قسمت 42 : Web Anti-Virus

• نحوه کارکردن Web Anti-Virus

این کامپوننت تو عملکرد مهم دارد :

• انالیز کردن آدرس های صفحات وب هنگامی که توسط کاربر یا برنامه های دیگر دسترسی به حملات فیشینگ و باج افزار ها را افزایش می دهند
• اسکن دانلود هایی که با پروتکل های HTTP و FTP انجام می شود و در نتیجه در صورت مشاهده باج افزار ها بلاک می شوند

یکی از مواردی که در اینجا به اسکن و شناسایی تهدیدات در وب انجام می شود کامپوننت KSN check است که لینک های تهدید امیز را بلاک می کند ، هنگام دانلود فایل ها اسکن توسط KSN انجام می شود .

•  تنظیمات Web Anti-Virus

شما می توانید نحوه انالیز توسط این کامپوننت را تنظیم کنید :

• Block download
• Allow download

چنانچه گزینه Block download را انتخاب کنید در پالسی اعمال شده و کاربران نمی توانند از وب سایت ها دانلود را انجام دهند ، هنگامی که کاربران سایتی که بسته شده است را باز می کنند یک صفحه اطلاع رسانی برای آنها توسط Endpoint کسپراسکی برایشان ظاهر می شود

• درجه بندی امنیتی

این بخش دارای چند گزینه برای نحوه رفتار و قوانین پیاده سازی شده بر روی کلاینت ها است :

• Check if links are listed in the database of malicious URLs : کسپراسکی پیشنهاد می کند این گزینه را هیچگاه غیرفعال نکنید . اگر هم سایتی را به اشتباه در آن به عنوان تهدید فیلتر کردید می توانید آن را استثنا قرار دهید
• Heuristic analysis for detecting viruses : فعال سازی Heuristic analysis باعث می شود که اسکن عمقی و سطح بالایی بر روی صفحات وب اعمال شود
• Check if links are listed in the database of phishing URLs : این بخش شبیه به پارامتر اولی می باشد که در بالا توضیح داده شد
• Heuristic analysis for detecting phishing links : هنگامی که سایت فیشینگ شناسایی شود عمل می کند

• نحوه Trust کردن یک وب سایت

در بخش Web Anti - Virus می توان برای آدرس هایی که می خواهیم Trust در نظر گرفته شوند :

• در بخش Security level با باز کردن تب Trusted web addresses
• با انتخاب چک باکس Do not scan web traffic from trusted web addresses
• حالا وب سایت مورد نظر را با نوشتن آدرس ان می توانید لیست کنید باید از علامت های * و ? استفاده کنید

آموزش آنتی ویروس Kaspersky سرور قسمت 43 : عدم رهگیری ترافیک

• عدم رهگیری ترافیک یک برنامه

در نسخه های قدیمی کسپرسکی Endpoint ( قبل از نسخه 10 با سرویس پک 2 ) رهگیری اتصالات برای شبکه به صورت یک پراکسی لوکال بود . زمانی که اتصال شروع به انتشار می کند از یک سرور راه دور ، کسپراسکی Endpont آدرس آن سرور را جا به جا می کند و پکیت ها را دریافت می کند ، و سپس ترافیک را به سمت سرور راه دور ارسال می کرد تا اسکن روی ان صورت بگیرد .

نکته : کسپراسکی Endpoint در نسخه 10 پک 2 اختلالی در اتصالات ایجاد نمی کند و سیستم عامل می تواند تمامی پکیت ها را دریافت کند . شما می توانید برای جلوگیری از اختلال در برنامه ها ترافیک رهگیری شده را غیر فعال کنید :

• در کسپراسکی Endpoint پالیسی وارد بخش General Protection Settings شده و روی Settings کلیک کنید و حالا دکمه scan exclusions and trusted zone را بزنید
• برنامه ها اضافه کنید و در لیست Trusted applications قرار دهید شما باید مسیر ویژه آن فایل را به صورت % % وارد کنید
• در بخش Properties یک برنامه که می خواهیم تراست کنیم چک باکس Do not scan network traffic را بردارید
• اگر در سرورها برنامه هایی دارید که همراه با پورت کار می کنند می توانید انها را نیز قرار دهید پایینترین پورت به معنای سالم ترین و امن ترین آن هاست

• حفاظت از اتصالات شبکه

شبکه توسط کامپوننت های کسپراسکی سرور مانند Web anti-Virus و Mail Anti-Virus که منابع زیادی را هم مشغول نمی کنند حفاظت می شوند همچنین کسپراسکی غیر فعال کردن ابزار Anti-virus فایل را توصیه نمی کند چرا که بخش اعظمی از حفاظت شبکه با آن می باشد .

آموزش آنتی ویروس Kaspersky سرور قسمت 44 : Trust کردن وب سایت

• نحوه تراست کردن www.eicar.org

در قسمت Kaspersky Endpoint Security policy برای گروه Workstations می خواهیم تنظیمات Web Anti -Virus را انجام دهیم برای اینکه سایت www.eicar.org را به صورت تراست تعریف کنیم فرم وارد کردن آن به صورت .eicar.org/ می باشد .

- ماشین Security-Center را روشن کنید

1- از بخش پالیسی وارد KES 10 SP2 workstation policy شده روی آن 2 بار کلیک کنید و وارد Web Anti-Virus شوید

2- روی Settings کلیک کنید

3- وارد تب Trusted web addresses شوید

4- Add را بزنید

5- حالا بنویسید .eicar.org/

6- تنظیمات OK را بزنید

7- حالا صبر کنید تا پالیسی اعمال شود

- تست تنظیمات

- ماشین PC1 را روشن کنید

1- با Internet Explorer وارد سایت www.eicar.org شوید

2- کلیک DOWNLOAD ANTI-MALWARE TESTFILE

3- کلیک کنید روی DOWNLOAD

4- و فایل eicar_com.zip را در بخش HTTP دانلود کنید

5- حالا فایل را دانلود کنید و Internet Explorer را ببندید

آموزش آنتی ویروس Kaspersky سرور قسمت 45 : حفاظت از Ransomware

• تنظیمات حفاظتی علیه Ransomware

در این آزمایشگاه قصد داریم تا با تنظیمات کسپراسکی سرور جلوی Ransomware را بگیریم

• ماشین های DC و Security-Center را روشن کنید
• ماشین PC1 را روشن کنید
• ماشین Laptop را روشن کنید
• اسکریپتی را به نام ransomeware.bat بر روی دسکتاپ ماشین Laptop قرار دادیم و می خواهیم یک فایل متنی را رمزگذاری کنیم

در ماشین Laptop :

1- پیدا کردن ransomware.bat و invoice.txt بر روی دسکتاپ

2- حالا ransomware.bat را اجرا کنید

3- حالا مطمئن شوید که فایل invoice.txt اماده شده و یک فایل invoice.txt.aes جای آن ایجاد کنید

4- باز کنید invoice.txt.aes با برنامه Notepad

5- مطمئن شوید فایل invoice.txt.aes رمزگذاری شده باشد

6- برنامه Notepad را ببندید

7- شروع کنید Administration Console

8- باز کنید Workstations و روی تب Policies کلیک کنید

9- باز کنید تنظیمات KES 10 SP2

workstation policy

10- وارد Application Privilege Control شوید

11- بر روی Settings اخری کلیک کنید

12- کلیک کنید Personal data و Add را کلیک کنید و سپس Category را بزنید

13- نامی را برای این دسته مثلاً Protected file types و کلیک کنید OK

14- حالا یک زیر دسته برای Protected file type با کلیک روی Add و سپس Category ایجاد کنید

15- اسمی را برای این زیر دسته به نام Documents و OK را بزنید

16- حالا Documents را انتخاب و Add را بزنید و File or folder را انتخاب کنید

17- در باکس Name و txt را بنویسید

18- حالا فیلد Path و کلیک روی Brows بزنید

19- در Object بنویسید *.txt و OK کنید

20- بر روی دسته ساخته شده راست کلیک کنید و انتخاب کنید Protected file types

21- حالا در Low Restricted راست کلیک کنید و بخش های Write, Delete و Create را روی حالت Block قرار دهید

22- تنظیمات بالا را برای High Restricted انجام داده و OK را بزنید

آموزش آنتی ویروس Kaspersky قسمت 46: Application Privilege Control

• تنظیمات Application Privilege Control events برای نگهداری روی Administration Server

در این آزمایشگاه قصد داریم تا با تنظیمات پالیسی رخداد هایی که توسط Application Privilege Control پیدا شده است را ذخیره سازی کنیم

• ماشین Security-Center را روشن کنید

1- از بخش پالیسی KES 10 SP2 workstation policy با باز کردن Event notification و تب info را انتخاب کنید

2- حالا به نام Application placed in restricted group یک رخدادی را انتخاب کنید

3- از این رخداد روی Properties کلیک کنید

4- حالا به بخش ذخیره سازی رخداد ها داخل دیتابیس Administration Server می رسیم روی On Administration Server for (days) و روی OK کلیک کنید

5- انتخاب Application Privilege Control rule

triggered رخداد ها و کلیک کنید روی Properties

6- انتخاب On Administration Server for (days) و OK کنید

7- ذخیره سازی پالیسی و OK کنید

- ساخت یک رخداد انتخابی برای Application Privilege Control

در این بخش حالا می خواهیم در Administration Server یک رخدادی را ایجاد کنیم روی تب Events کلیک کنید روی Create a new event بروید و نامی را برای آن به صورت Privilege Control Events قرار دهید و بعد به بخش های Application placed in restricted group و Application Privilege Control rule triggered رفته تنظیمات را انجام دهید

• ماشین Security-Center را روشن کنید

1- وارد Administration Server شده و تب Events را بزنید

2- کلیک کنید روی Create a selection

3- برای انتخاب یک اسم بنویسید Privilege Control events

4- روی Events کلیک کنید

5- برای مشاهده تنها رخداد ها بر روی Severity رفته و Info را بزنید

6- تمام چک باکس ها را بردارید و کلیک کنید روی Clear all تا برداشته شود

7- پیدا کنید Application placed in restricted group و Application Privilege Control rule triggered

8- برای ذخیره تغییرات روی OK کلیک کنید

آموزش آنتی ویروس Kaspersky سرور قسمت 47 : System Watcher

• جلوگیری از تهدیدات پیچیده در کسپراسکی سرور 10

بعضی از تهدیدات با شکل جدیدی وارد عمل می شوند کسپرسکی سرور می تواند با توجه به امضای دیجیتالی این دسته از تهدیدات انها را تشخیص و جلوی فعالیت آنها را بگیرد این تشخیص خیلی سریع انجام می شود این ابزار ها که قبلاً هم در مطالب قبلی به توضیح انها پرداختیم عبارتند از :

• پیشگیری از حملات فیشینگ و باج افزاری تحت وب با استفاده از ابزار Web Anti-Virus
• پیشگیری از تهدیدات توسط ایمیل ها و فایل های ضمیمه شده با استفاده از ابزار Web Anti-Virus
• پیشگیری از باج افزار ها با کد های مختلف با استفاده از امضای دیجیتالی که دارند با ابزار System Watcher
• شناسایی باج افزار های جدید با استفاده از ابزار KSN
• کارایی System Watcher و Application Privilege Control

کسپرسکی سرور 10 دارای ابزاری است که قادرند تا دفاع پیشگیرانه ای را از حملات و تهدیدات انجام دهند یکی از این ابزار ها System Watcher می باشد

از کارکرد های این ابزار می توان :

• گرفتن لاگ از کلیه برنامه ها و امضاهای دیجیتالی آنها در دیتابیس
• تشخیص باج افزار ها و مسدود ساختن آنها
• استفاده از عمل برگشت به حالت اولیه سیستم در زمان تشخیص باج افزار با استفاده از ابزارهای File Anti-virus و Scan Task

کسپراسکی سرور در ابزار System Watcher دارای الگوریتمی به نام BSS که مخفف Bahavior Stream Signature است می باشد که می تواند با مانیتور کردن تمامی رفتارها در کامپیوتر ها به شناسایی تهدیدات بپردازد . BSS دارای دیتابیسی است که مدام بروز می شود و اما معرفی تنظیمات این ابزار :

• Enable Exploit Prevention : حفاطت در برابر تهدیداتی که موسوم به Exploit هستند این تهدید باعث بالا رفتن ترافیک در شبکه می شود
• Do not monitor the activity of applications that have a digital signature : هنگامی که برنامه ای را در بخش Trust معرفی می کنیم دیگر توسط این ابزار مانیتور نمی شود
•  Roll back malware actions during disinfection :برگشت پذیری هنگامی که برنامه ای حذف و یا در قرنطینه قرار می گیرد

نکته : منظور از Roll Back برگشت به تغییراتی است که سبب شده تا فایل سیستم بر اثر حملات دچار تغییر نام و تغییر مسیر و ... شده باشد و همچنین کلید های رجیستری سیستم عامل توسط باج افزار به خطر افتاده باشد .

نکته : کسپراسکی پیشنهاد می کند که هیچگاه System Watcher را غیر فعال کنید چرا که ممکن است روی عملکرد دیگر ابزار های کسپراسکی سرور تاثیر منفی بگذارد

• نحوه کار System Watcher

اگر سیستم تشخیص داد که باج افزاری را شناسایی کرده است به صورت خودکار آن برنامه را قرنطینه و یا حذف می کند :

• Skip : تنها لاگ باج افزار را که شناسایی شده نشان می دهد
• Terminate the malicious program : باج افزار را در مموری غیر فعال می کند
• Move file to Quarantine : برنامه باج افزار را حذف و یا قرنطینه می کند

آموزش آنتی ویروس Kaspersky قسمت 48 : Application Privilege Control

• نحوه توقف حملات در Application Privilege Control

این ابزار چک می کند که برنامه هایی فعال باشند که قانونی و معتبر هستند همچنین دسترسی به فایل سیستم و رجیستری را تحت کنترل می گیرد بر اساس یک الگوریتم خاص اعتبار برنامه ها را محاسبه می کند :

• Trusted
• Low Restricted
• High Restricted
• Untrusted

کسپرسکی Endpoint در اولین شروع کار خود لیستی از برنامه هایی که قابل اطمینان هستند را گروهبندی می کند و سپس آنها را انالیز می کند . این انالیز در واقع با ابزار دسته بندی در کسپراسکی سرور انجام می شود . اگر دسترسی به KSN وجود نداشته باشد تنظیمات دسته بندی به پالیسی که شما تنظیم کردید رجوع می کند :

• استفاده از Heuristic analysis to define group : با گذاشتن تیک چک باکس این ابزار Endpoint کسپراسکی را مجاب می کند تا به شناسایی و کشف برنامه هایی که شروع به کار کرده اند بپردازد . این بررسی اغلب زمانبر بوده و به صورت پیش فرض نزدیک به 30 ثانیه تنظیم شده است . تنظیمات بعدی به نام Maximum time to define group با این هدف وجود دارد که زمان دلخواه را تغییر بدیم .
• Automatically move to group : یک اکتشاف واسط است که تنظیمات را اعمال می کند و دارای 3 درجه High Restricted و Low و Untrusted می باشد .
• Trust application that have a digital signature : اگر این پرامتر فعال باشد . برنامه ها بر اساس امضای دیجیتالی معتبر به صورت خودکار در گروه Trust قرار می گیرند
• Update control rules for previosly unknown application from KSN databases : برنامه های تراست شده در گروه با برنامه KSN تغییر می کنند
• Delete rules applications that are not started for more than 60 days : اگر برنامه ای در مدت زمان 60 روزه در گروه تراست فعالیت نکند حذف می شوند
• اعمال محدودیت بر روی برنامه های شروع به کار شده

در این ابزار پارامتر هایی برای برنامه هایی که در فایل سیستم در حال فعالیت هستند وجود دارد که به صورت جدول زیر دسته بندی شده اند :

مدیر شبکه می تواند فعالیت برنامه را در سطح فایل و فولدر در کلید های رجیستری و هارد دیسک با استفاده از این محدودیت ها کنترل کند . در ابزار Application Privilege Control دو دسته گروه ایجاد می شود :

• سیستم عامل
• دیتای شخصی

هر یک از گروه های بالا دارای زیر مجموعه ها و دسته بندی هایی نیز هستند و همچنین مسیر منابع آنها اعم از ادرس فولدر ها و فایل ها و کلید های رجیستری و ... مشخص شده است . همچین می توان نوع دسترسی را بر اساس read و write و remove و create تعریف کرد . به صورت پیش فرض تعریف دسترسی ها به صورت :

• نحوه تنظیم Application Privilege Control

مدیر شبکه می تواند میزان محدودیت برای هر گروه تراست را تغییر دهد همچنین کسپراسکی پیشنهاد می کند در صورتی که تنظیمات Application Privilege Control را به درستی نمی دانید آنها را غیر فعال نکنید برای تنظیمات :

• از داخل پالیسی ها به kaspersky Endpoint Security Policy بروید و Application Privilege Control را کلیک کنید
• کلیک کنید به بالاترین Settins و وارد ناحیه Application rules شوید
• انتخاب کنید Trust group و کلیک کنید روی Edit
• روی تب Right سوییچ کنید

همچنین به کمک این ابزار می توان منابع حفاظتی را افزایش داد :

• Application Privilege Control را باز کنید ( داخل پالیسی ها در بخش Endpoint )
• روی پایینترین Settings کلیک کنید و وارد ناحیه Application rules بشوید

همچنین توجه داشته باشید هیچگاه اقدام به حذف تنظیمات قبلی نکنید بلکه اگر تنظیماتی را می خواهید غیر فعال کنید فقط آنها را استاپ کنید و یا به صورت Exclusions آنها را اضافه کنید ، در بالا در سمت راست این گزینه را می توانید مشاهده کنید .

• نحوه حفاظت Application Privilege Control در برابر باج افزار ها

به صورت پیش فرض تنظیمات Application Privilege Control بر اساس حفاظت از کلیه منابع فایل سیستمی و نرم افزار هایی که روی سیستم عامل ها قرار دارد تنظیم شده است همچنین ابزار KSN مدام تهدیدات خطرناک را با Endpoint کسپراسکی بررسی می کنند و جلوی آنها را به موقع میگیرند همچنین می توانید از اسناد متنی حفاظت کنید :

• در برنامه Application Privilege Control وارد دومین Settings شوید
• اسنادی که می خواهید حفاظت شوند را در لیستی که در سمت چپ قرار دارد و به نام personal date \ User files هست اضافه کنید و نامی را برای آن مثلاً به نام Documents بسازید
• حالا فرمت های اجرایی این فایل ها مانند *.Doc و ... را در بخش file and folder دسته بندی و در فیلد path مسیر آنها را مشخص کنید
• حالا درجه ای را برای ممانعت از تغییرات اسناد تعریف کنید در سمت چپ هر دسته بندی در جدول سمت راستی می توانید درجه بندی High - Low Restricted را انجام و نوع دسترسی Write و Deleting را تنظیم کنید

آموزش آنتی ویروس Kaspersky قسمت 49 : جلوگیری از برنامه با KES

• نحوه ممانعت KES از یک برنامه

کسپراسکی بر اساس دو پارامتر عمده و اصلی مانع اجرای برنامه ها می شود :

• برنامه هایی که Trust آن ها در kaspersky security network شناسایی شده است
• بر اساس اعتبار برنامه هایی که Trust شده اند .

KSN اطلاعات تراست برنامه ها را بر اساس ابزار های زیر جمع اوری میکند :

• System Watcher
• Application Privilege Control

کسپراسکی Endpoint همیشه اعتبار برنامه ها را بر اساس دیتابیس خود در محل هایی به نام Trusted Root و Certification Authorities بررسی می کند این برنامه بروزرسانی منابع Certificate خود را با KSN بروزرسانی می کند . اگر برنامه های دارای یک امضای دیجیتالی نبود شما می توانید به صورت دستی ان را در گرو ه های Trust قرار دهید که در درس قبلی در مباحث Application control policy توضیح داده شد .

• نحوه تغییر در دسته بندی تراست

بعضی از برنامه مثلاً آنهایی که متن باز هستند دارای ریسک کمتری هستند برای جلوگیری از کارکرد برنامه هایی که مدیر شبکه قصد دارد تا مانع اجرای انها شود از مراحل زیر استفاده می شود :

• باز کنید Application Privilege Control را در بخش پالیسی ها از Kaspersky Endpoint Security policy
• بالاترین گزینه Settings به نام Application rules را بزنید
• کلیک کنید روی Add تا لیست دسته بندی ها باز شود
• حالا برنامه ای که EXE است را انتخاب و کلیک کنید روی Refresh
• حالا از لیست جستجو شده می توانید برنامه های اجرایی موردنظر را انتخاب کنید
• انتخاب برنامه هایی که اعتبار پایینی دارند و کلیک روی OK

آموزش آنتی ویروس Kaspersky سرور قسمت 50 : Empty و Inventory

• لیست Empty

اگر شما از پالیسی های پیش فرض کسپراسکی سرور استفاده می کنید لیست فایل های اجرای دارای پالیسی نیستند ، کسپراسکی Endpoint قادر به حفاظت از فایل های اجرایی در کامپیوتر ها است ، ابزار Application Privilege Control برای حفاظت از همه آنها در نظر گرفته شده است ، بهرحال آنها به صورت پیش فرض در Administration Server دیتایی را ارسال نمی کنند . چنانچه بخواهیم در کسپراسکی Endpoint فایل های اجرایی روی کامپیوتر ها را به سرور هم ارسال کنیم مراحل زیر را انجام می دهیم :

• بازکردن پالیسی Reports and Storages و کلیک Settings و رفتن به ناحیه Inform Administration Server ، انتخاب چک باکس About started Applications ، مشاهده پالیسی فایل های اجرایی که هر 30 دقیقه همسانسازی را انجام می دهند

نکته : اجرای این عمل در شبکه هایی که کامپیوتر های زیادی دارد باعث کندی در شبکه خواهد شد

• تنظیم لیست برنامه ها

هنگامی که Endpoint کسپراسکی برنامه ای را در زمان شروع به کار به لیست محلی خود اضافه می کند تغییرات خود را به وسیله Agent کسپراسکی به سرور کسپراسکی همسان سازی و سینک می کند . در این بخش تسکی به نام Inventory شروع به اسکن فایل ها می کند و فایل های اجرایی در لیست محلی آرشیو می شوند . تا الان چیزی به سمت سرور مدیریت کسپراسکی ارسال نمی شود !

تنها نتایج اسکن به سمت سرور می رود و باید چک باکس Inform Administration Server about started applications در کسپراسکی Endpoint پالیسی فعال باشد برای ایجاد Inventory task باید ویزارد ساخت Task جدید را طی کنیم و بعد از لیست Task ها روی Inventory در بخش زیرین kaspersky Endpoint Security 10 service pack 2 for windows را انتخاب کنیم .

نکته : تسک Inventory را برای تمامی کامپیوتر های شبکه اجرا نکنید چرا که سبب کندی آنها خواهد شد

آموزش آنتی ویروس Kaspersky سرور قسمت 51 : گزارشگیری از حملات

• تنظیمات گزارشگیری Network Attack Blocker

در این آزمایشگاه قصد داریم تا کامپیوترهای شبکه را با Kaspersky Endpoint Security محافظت کنیم ، همچنین در یک محیط شبیه سازی شده کامپیوترهایی که شبکه ما را تهدید می کنند بلاک کنیم :

• ماشین Security-Center و DC را روشن کنید و به آنها لاگین کنید
• ماشین PC 1 و Laptop هم روشن کنید
• حالا قصد داریم حمله ای را در شبکه از سمت PC1 به سمت Laptop ایجاد کنیم بر روی این ماشین فایل server.exe را اجرا کنید و یک بار با port 5001 آن را تست کنید
• روی ماشین Laptop هم فایل kltps.exe را اجرا و پارامترهای –4 –t PC1 5001 را بزنید ، این یک شبیه سازی حمله در شبکه است

- در Pc1 مراحل زیر را طی کنید :

1- کپی کردن server.exe از مسیر \\DC\kl002.10test_files بر روی دسکتاپ

2- اجرای Server.exe

- در Laptop مراحل زیر را انجام دهید :

1- کپی کردن فایل kltps.exe از مسیر DC\kl002.10test_files بر روی دسکتاپ

2- باز کردن CMD با دسترسی Administrator

3- حالا شبیه سازی حمله روی PC1 را با دستور زیر انجام می دهیم :

C:\Users\Tom.abc\Desktop\kltps.exe -4 -t PC1 5001

- در ماشین Security-Center مراحل زیر را طی کنید :

1- شروع کنید Administration Console

2- انتخاب کنید نود Administration Server

3- باز کنید تب Reports

4- برای ساخت یک گزارشگیری جدید روی کلیک کنید Create a report

template

5- نام این گزارشگیری را Network attack report و کلیک کنید روی Next

6- پایین Statistics of threats انتخاب کنید Network attack report و کلیک روی Next

7- یک دوره سی روزه را انتخاب کنید برای گزارشگیری

8- یکی از گروه ها را انتخاب و Next کلیک کنید

9- در پایان ویزارد روی Finish کلیک کنید

10- حالا Network attack report ساخته شده است

11- گزارشگیری را باز کنید و بر روی Show report کلیک کنید

12- حالا می توانیم گزارشی از آدرس و مشخصات کامپیوتر حمله کننده را پیدا کرد

13- گزارش را ببندید

14- حالا لاگ رخداد را بازکنید تب respective را انتخاب کنید

15- برای مشاهده رویداد حملات به شبکه روی Create a selection کلیک کنید

16- اسم آن را Network attacks قرار دهید

17- حالا روی Eventsکلیک کنید تا تاریخچه ای از آن را مشاهده کنید

18- حالا در پایین از بخش Severity بر روی Critical event کلیک کنید

19- حالا چک باکس همه رویداد ها را با دکمه Clear all بردارید و تنها Network attack detected را بزنید

20- برای ذخیره سازی OK را بزنید

آموزش آنتی ویروس Kaspersky قسمت 52 : از بلاک درآوردن کامپیوتر 

• خارج کردن یک کامپیوتر از بخش بلاک شبکه کسپراسکی Endpoint

در این آزمایشگاه قصد داریم کامپیوتری که توسط برنامه Endpoint Security کسپرسکی بلاک شده است را از این وضعیت خارج کنیم ، فرض کنید که ماشین Laptop در این سناریو بلاک شده است :

1- وارد اینترفیس Kaspersky Endpoint Security شوید

2- منوی Protection را بزنید

3-روی Firewall کلیک کنید و Network Monitor را بزنید

4- تب respective را بزنید

5- حالا از لیست زیر آدرس 10.28.0.200 که ادرس ماشین Laptop است را با کلیک روی Unblock از بلاک خارج کنید

6- تمام پنجره Kaspersky Endpoint Security را ببندید

آموزش آنتی ویروس Kaspersky سرور قسمت 53 : بلاک کردن کامپیوتر 

• بلاک کردن یک کامپیوتر در کسپراسکی سرور 10

در این آزمایش قصد داریم ماشینی که نام آن را Laptop (10.28.0.200) گذاشتیم توسط کسپراسکی سرور بلاک کنیم :

- Security-Center

1- وارد نود Administration server شده و باز کنید Workstations را و بر روی تب Policies کلیک کنید

2- باز کردن properties از منوی KES 10 SP2 workstation policy و سوییچ کردن روی Network Attack Blocker

3- حالا روی تب Exclusion کلیک کنید

4- حالا ماشین Laptop را با کلیک روی Add اضافه می کنیم

5- حالا ip ماشین Laptop 10.28.0.200 را وارد و ok کنید

6- حالا OK را بزنید

7- حالا صبر کنید تا پالیسی اعمال شود

آموزش آنتی ویروس Kaspersky سرور قسمت 54 : Trust کردن برنامه

• نحوه Trust کردن برنامه ها با ابزارهای System Watcher و Application Privilege Control

چنانچه قصد دارید تا محدودیت هایی را برای بعضی از برنامه ها با ابزار Application Privilege Control ایجاد کنید این ابزار 2 نوع Exlusion را در اختیار شما قرار می دهد :

• Exclusion for resources : اجازه می دهد تا برنامه که در حال اجرا هستند در گروه خاصی قرار بگیرند
• Exclusions for programs : اجازه می دهد تا برنامه های خاص بر روی سیستم ها اجرا شوند

از تب Protected resources می توان تا برنامه هایی قصد داریم استثنایی بر روی آنها اعمال شود با فایل و فولدر و رجیستری Key در اینجا محدود کنیم همچنین در بخش General protection settings و انتخاب گزینه Exclusions and trusted zone چندین قابلیت را می توان اضافه کرد :

• Do not monitor application activity : تمامی محدودیت ها را برای برنامه غیرفعال می کند
• Do not inherit restrictions of the parent process : غیر فعال بودن آن می تواند سبب قطع محدودیت هایی شود که قابل ارث بردن به زیر مجموعه های خود است
• Do not monitor child application activitry : غیر فعال کردن تمامی محدودیت هایی که برنامه هنگام شروع به کار شدن بر روی آن اعمال می شود

حفاظت از کامپیوتر ها در برابر تهدیدات جدید و پیچیده

تمامی بخش های kaspersky Endpoint Security کمک می کنند تا کامپیوترها در برابر حملات جدید و پیچیده حفاظت شوند اولین برنامه هایی که کمک می کنند به این حفاظت عبارتند از System Watcher و Application Privilege Control ، که هر دو ابزاری برای مانیتورینگ و فعالیت های برنامه ها است .

برنامه Application Privilege Control قادر به محاسبه برنامه های قابل اعتماد و اعمال محدودیت برای برنامه هایی که عملکرد بدی دارند و یا اعتباری ندارند . برنامه های دارای اعتبار توسط Kaspersky security network و یا توسط الگوریتم کاشف تعیین می شوند .

System Watcher نیز به صورت مدام در حال چک کردن و مانیتورکردن برنامه هاست با این هدف که عمل تهدید کننده ای را انجام ندهند این ابزار قادر به لاگ برداری و دارای عملی به نام Roll Back است تا در برابر باج افزار ها بتواند جلوی تغییرات بر روی فایل های اجرایی را بگیرد .

• نکته کلیدی : هر این دو ابزار را در کسپراسکی سرور به هیچ وجه غیرفعال نکنید چرا که هر دو ابزارهایی متحد در برابر تهدیدات هستند

آموزش آنتی ویروس Kaspersky سرور قسمت 55 : فایروال 

• فایروال کسپراسکی سرور و جلوگیری از تهدیدات امنیتی

فایروال کسپرسکی سرور به طرق زیر جلوی تهدیدات را می گیرد :

• ترافیک های ناشناس در شبکه را بلاک می کند
• بلاک کردن فعالیت هایی که نامعتبر تشخیص داده می شوند و بر روی برنامه های کامپیوترهای کلاینت ها در حال اجرا هستند .

فایروال وابستگی محکمی به ابزار معروف Application Privilege Control دارد ، این ابزار نمی تواند محدودیت هایی را برای دسترسی به برنامه در سیستم عامل ایجاد کند ، فایروال کسپراسکی با چک کردن اعتبار برنامه و محدودیت در دسترسی به شبکه می تواند جلوی تحرک باج افزار ها و تهدیدات را بگیرد .

همچنین ابزار Network Attack Blocker می تواند به فایروال کمک کند تا انالیز بیشتری بر روی برنامه ها و پکیت هایی که در حال رفت و آمد هستند بپردازد . فایروال دارای رول هایی برای بلاک کردن پکیت ها دارد که قادر است تا جلوی حملات در شبکه را بگیرد برای مثال حملاتی که باعث می شوند تا بافر شبکه بالا برود و ترافیک کاذبی در شبکه ایجاد شود را بلاک کند

• فایروال کسپرسکی Endpoint

در فایروال Endpoint کسپرسکی که بر روی کلاینت ها نصب می کنیم آنالیز ترافیک ورودی و خروجی انجام می شود و دارای 2 نوع رول ( قانون ) است :

• Allow
• Block

کسپراسکی Endpoint در بخش فایروال و Settings دارای بخش های زیر است :

همچنین می توانید لاگ های فایروال را در بخش Log Events مشاهده کرد ، رول ها را می توان بر حسب ارجعیت بالا - پایین داد

• فایروال و شناسایی ادرس های محلی

فایروال کسپرسکی می تواند براساس Subnet Address که رولی تعریف شده در آن است ، شبکه های Trust و Local و Public را متمایز کند ، این عملیات به صورت زیر انجام می شود :

- در پالیسی کسپرسکی سرور وارد Kaspersky Endpoint Security شده و در Available network روی Settings کلیک کنید

- کلیک کنید روی دکمه Add

- نامی را برای سابنت قرار دهید

- حالا ادرس سابنتی که در شبکه استفاده می کنید را وارد کنید این ادرس باید با سابنت نوشته شود

• محدود کردن برنامه ها با فایروال کسپراسکی سرور

فایروال کسپرسکی برای شناسایی پکیت های برنامه ها از رول استفاده می کند ، چنانچه بخواهیم دسترسی برنامه ای را در شبکه محدود کنیم باید این رول ها را در فایروال تنظیم کنیم ، پکیت های برنامه های معتبر را در مسیر زیر می توان مشاهده کرد :

- در پالیسی Endpoint به منوی فایروال رفته و در بالاترین Settings بر روی دکمه Application rules بروید

- برای انتخاب برنامه ها روی Edit کلیک کنید

- روی تب Network rules کلیک کنید

• تنظیمات پیش فرض فایروال و رول های ترافیکی آن

شکل زیر نمایی از استاندارد پیش فرض فایروال کسپراسکی سرور نسخه 10 را نشان می دهد :

در این حالت هیچ رولی برای برنامه ها وجود ندارد همچنین ترافیک شبکه در حالت لوکال برای برنامه هایی که معتبر شناسایی شده اند بدون محدودیت است :

1. رول 1 برای ارسال درخواست های DNS و ایمیل با پورت های 25 - 465 - 143 - 993 است و بر روی حالت According to the application rule است ، برنامه ها روی حالت Trusted و در گروه Low Restricted هستند
2. رول شماره 4 برای تمامی برنامه های شبکه به صورت Allow است به صورت پیش فرض برای DNS و ایمیل محدودیت داشته و روی حالت Untrusted و High Restricted می باشد
3. رول شماره 5 برای پردازش پکیت ها بوده و در شبکه Local Network تنظیم شده به صورت پیش فرض برای برنامه ها Trusted بوده و روی حالت Low Restricted می باشد هیچ محدودیت این گروه نداشته و دیگر دسترسی ها High restricted و Untrusted هستند
4. رول های 6-8 به منظور بلاک کردن شبکه های دسترسی ریموت دسکتاپ بوده و بیشتر بر روی شبکه Public اعمال رول شده اند همچنین پکیت های NETBIOS و دسترسی به پوشه های اشتراکی در ویندوز و سرویس های DCOM بصورت اتصال بلاک شده تعریف شده اند .
5. رول های 9-10 برای ترافیک های داخلی TCP و UDP هستند تمامی برنامه ها از ترافیکی Trusted برخوردارند و در گروه Low restricted گنجانده شده اند ، اما ترافیکی از شبکه Public دریافت می کنند به صورت Untrusted و در گروه High restricted هستند .
6. رول های 11-15 برای ترافیک داخلی ICMP و همچنین اجازه ارسال درخواست های ICMP کار بلاک آن را انجام می دهند

آموزش آنتی ویروس Kaspersky سرور قسمت 56 : Network Attack Blocker

• برنامه ها در کامپیوتر

هنگامی که برنامه ها روی کامپیوتر کلاینت ها به صورت Trusted و Low Restricted باشند یعنی دسترسی کاملی به شبکه دارند ، و به صورت پیش فرض فایروال کسپراسکی سرور یا Endpoint مانع اجرای آنها نمی شود . همچنین وضعیت Untrusted و Low Restricted در برنامه ای اجازه می دهد که تنها دسترسی به شبکه های Trust داشته باشند ، و حتی ممکن است که ایمیل و DNS نتوانند کار کنند .

• جلوگیری از یک برنامه با فایروال

به طور کلی اکثر برنامه های شبکه به صورت خودکار از نوع Trusted یا Low Restricted هستند و اجازه دارند که در شبکه تبادل دیتا داشته باشند ، همچنین برنامه هایی که متن باز هستند در زمره برنامه های High Restricted هستند که اجازه دسترسی به شبکه را ندارند .

• Network Attack Blocker

هدف این ابزار بلاک کردن آندسته از تهدیداتی است که قصد دارند تا شبکه را اسکن کنند و به وسیله پورت های شبکه از تکذیب سرویس و بالابردن بافر و افزایش ترافیک کاذب به کامپیوتر ها آسیب برسانند . این ابزار با استفاده از امضای دیجیتالی و بلاک کردن همه اتصالات که می توانند منجر به حمله شوند کار می کند .

همچنین Endpoint کسپراسکی دارای قابلیتی به نام Add the attacking computer to the list of blocked computers است که می تواند ترافیک شبکه و رفتارهای مشکوک را کنترل کند ، به صورت پیش فرض فعال است و هر کامپیوتری که بلاک می شود تا 60 دقیقه باید منتظر باشد و اگر ضروری است که مدیر شبکه آن کامپیوتر را از بلاک خارج کند باید دستی این کار صورت بگیرد ، اما توجه داشته باشید که این روند را باید بر روی اینترفیس محلی ( لوکالی ) Kaspersky Endpoint Security انجام داد .

• خارج سازی کامپیوتر بلاک شده

موقعی که کامپیوتری بلاک می شود مدیر شبکه باید توسط Endpoint کسپراسکی مراحل زیر را انجام دهد :

1. کسپراسکی Endpoint را باز کند و روی تب Protection and Control راست کلیک کند و در Firewall بر روی Network Monitor کلیک کند
2. در Network Monitor تب Blocked computers را باز کند
3. حالا کامپیوتر مورد نظر را از بلاک خارج کند ( کلیک بر روی Unblock )

توجه : در داخل کنسول مدیریتی کسپرسکی سرور 10 شما می توانید با استفاده از بخش Task ها وارد بخش Network Attack Blocker شوید و این سرویس را Stop و دوباره Start کنید تا کامپیوتری که در آن بلاک شده از بلاک خارج شود

آموزش آنتی ویروس Kaspersky سرور قسمت 57 : Trust بودن شبکه محلی 

• شبکه محلی ( لوکال ) Trust

به طور کلی شبکه Trust وجود خارجی ندارد و تنها نامی منطقی بر روی ارتباطات است ، بیشترین تهدیدات برای کامپیوترهای شبکه از اتصالات بیرونی بوجود می آیند ، بطور کلی همه کامپیوتر ها در شبکه های محلی و لوکال با رنج های :

- 10.0.0.0/8

- 172.16.0.0/12

- 192.168.0.0/16

اینها رنج شبکه ای است که به صورت محلی اجازه دسترسی به منابعی همچون فایل های اشتراکی و یا کار با سرویس RDP ویندوز را می دهند . اما این شبکه ها زمانی در بیرون از ناحیه محلی خود قرار می گیرند و در منطقه تهدید وارد می شوند مانند هتل ها - فرودگاه ها - اماکن عموی نظیر پارک ها و ....

• مفهوم Out - Of - Office

این واژه در کسپراسکی سرور 10 و در برنامه Endpoint کسپراسکی به معنی این است که کامپیوتری به بیرون از شبکه رفته است و در واقع یک پالیسی است که قابلیت Active و Inactive دارد ، شما می توانید یک پالیسی از نوع Out - Of - Office را برای تمامی گروه ها در سرور کسپراسکی ایجاد کنید . این قابلیت برای سازمانهایی مناسب است که کارکنان آنها از بیرون از سازمان به منابع داخلی آن دسترسی دارند . برای ساخت این پالیسی :

• - روی تب Administration Server وارد تب Policy شوید و روی تب Create a Policy کلیک کنید
• - روی Kasperesky Endpoint Security for Windows Application کلیک کنید
• - حالا نامی را برای پالیسی قرار دهید
• - تنظیمات آن را به صورت پیش فرض قرار دهید
• - پیش فرض Exclusion را انتخاب کنید
• - قوانین KSN را قبول کنید
• - انتخاب یک گروه برای پالیسی
• - انتخاب وضعیت پالیسی روی Out - Of - Office

نکته : این امکان تنها بر روی Kaspersky endpoint security و Agent اعمال می شود در محصول kaspersky security for windows servers Enterprise وجود ندارد

• نحوه سوییچ کردن کامپیوتر ها به پالیسی Out - Of - Office

به صورت پیش فرض کامپیوترهای نمی توانند روی پالیسی Out - Of - Office سوییچ کنند شما باید این امکان را توسط Agent پالیسی به روش زیر ایجاد کنید :

• - انتخاب کنید پالیسی Out - Of - Office موقعی که در Administration Server تیک باکس آن فعال نیست ، حالا چک کنید که Sync شدن Agent کسپرسکی که هر 3 دقیقه صورت می گیرد انجام شود تا تغییرات پالیسی را از Administration سرور کسپرسکی دریافت کند چنانچه کامپیوتری سینک نشود عملیات هر 15 دقیقه تکرار می شوند ، وقتی سینک کلاینت صورت بگیرد و پالیسی Out - Of - Office بر روی آن اعمال شود حدود 30 تا 45 دقیقه ارتباط خود با شبکه را از دست می دهد
• - تنظیمات بخش پروفایل که پیش فرض < Not Connected > هست که نشان می دهد کلاینت از محدوده سازمانی خارج شده است و در وضعیت Out - Of - Office قرار گرفته است

نکته : هرگز این عملیات پالیسی Out - Of - Office را همزمان بر روی چندین کامپیوتر قرار ندهید چرا که بار ترافیکی سنگینی را بر روی Administration Server اعمال می کند

• تنظیمات پالیسی Out - Of - Office

1. - در پالیسی Network Agent در بخش Network \ Connection یک پروفایل برای رول را اضافه کنید ( کلیک روی Add )
2. - نام رول را به صورت یک نام DNS داخلی تعریف کنید
3. - حالا یک Name resolvability را اضافه کنید
4. - این نام باید یک نام قابل تعمیم پذیر در شبکه داخلی باشد
5. - حالا برای Condition is true if parameter انتخاب Does not match any of the values in the list
6. - ذخیره کنید و چک باکس Rule activated را بزنید تا پالیسی ذخیره شود

• تغییرات پالیسی در Out - Of - Office

به صورت پیش فرض پالیسی ها بر روی رنج های شبکه های لوکال 192.168.0.016 و 172.16.0.012 و 10.0.0.0/8 اعمال می شوند ، شاید فرض کنید که پالیسی Out - Of - Office نمی تواند امن باشد چرا که مثلاً در هتل ها و ... نمی توانیم اعتمادی به شبکه آنها داشته باشیم و اینکه شبکه پابلیک برای پالیسی Out - Of - Office ایجاد می شود ، بهرحال ترافیک سیستم عامل ها بر روی فایروال کسپراسکی چک می شود همچنین می توان از بخش های زیر :

• باز کردن Kaspersky Endpoint Security و رفتن به تب Events و انتخاب گزینه Reports and Storages
• انتخاب همه Events هایی برای یک کاربر ساخته شده و مهم هستند از جدول Notify on Screen قابل مشاهده است

همچنین در Endpoint کسپراسکی اعلان های اخطاری به رنگ زرد نمایش داده می شود می توانید با کلیک بر روی آن شرحی از آن اخطار را مشاهده کنید .

در پایان این مبحث ( به نظر نویسنده ) برای تنظیمات Agent پالیسی ، شما از سابنت ادرس ها و ادرس GateWay استفاده نکنید ، از نام های DNS و SSL آدرس استفاده کنید ( یک Condition یا تعیین شرط و قوانین اتصال بسیار مهم تلقی می شود ) همچنین برای پالیسی Out - Of - Office رنج های ادرس 192.168.0.016 و 172.16.0.012 و 10.0.0.0/8 را در فایروال به عنوان Trust تعریف نکنید ، اجازه بدهید کاربر خود Task را متوقف و اجرا کند ، به لاگ های اخطاری توجه کنید

آموزش آنتی ویروس Kaspersky سرور قسمت 58 : تنظیمات فایروال

• تنظیمات فایروال برای یک Out-Of-Office Policy

در این آزمایش قصد داریم تا یک تنظیم Out-Of-Office Policy را نشان بدهیم :

• ماشین های DC و Security-Center را روشن کنید
• ماشین Security-Center را با نام کاربری abc\Administrator و پسورد Ka5per5Ky وارد شوید
• ماشین Laptop را روشن کنید و با نام کاربری abc\Tom و پسورد Ka5per5Ky وارد شوید

- Security-Center

1- وارد Administration Console شوید

2- باز کنید Managed devices\Workstations و بر روی تب Policies کلیک کنید

3- کپی کنید KES 10 SP2 workstation policy تا یک شورتکات از آن ایجاد شود

4- باز کردن گروه Managed

devices\Workstations\Laptops و رفتن به تب Policies

5- حالا پالیسی که کپی کردید را در اینجا پیست کنید

6- حالا بر روی Configure policy کلیک کنید

7- اسم پالیسی را به KES 10 SP2 out-of-office تغییر دهید

8- حالا وضعیت پالیسی را به Out-of-office policy تغییر دهید

9- بر روی Reports and Storages بروید

10- روی Settings کلیک کنید و در ناحیه Notifications بروید

11- حالا در بخش File Anti-Virus بروید

12- انتخاب Notify on screen و جدول Malicious object detected و انتخاب OK

13- برای اینکه به کاربران اجازه داده شود تا تسک گروه را استارت کنند وارد بخش Advanced settings\ Application Settings شوید

14- روی Settings کلیک کنید و وارد ناحیه Operating mode شوید

15- انتخاب چک باکس Allow management of group tasks و کلیک روی OK

16- حالا به فایروال باید برویم و تنظیمات تراست را ایجاد کنیم روی تب Firewall بروید

17 - در Available networks کلیک Settings را بزنید

18- حالا سابنت 172.16/12 را بزنید

19- روی Edit کلیک کنید

20- حالا وضعیت شبکه را روی Public network قرار داده و OK را بزنید

21- حالا شبکه 108 و 192.16816 را به عنوان پابلیک مانند بالا تعریف می کنیم

22- ذخیره سازی پالیسی را با OK انجام دهید

• در آزمایش بعدی نحوه فعال سازی پالیسی Out-Of-Office Policy را آموزش می دهم *

آموزش آنتی ویروس Kaspersky سرور قسمت 59 : از کار انداختن پالیسی

• apply the out-of-office policy

در این آزمایش قصد داریم تا پالیسی out-of-office را در بخش Network Agent policy بر اساس ساخت یک رول جدید برای پروفایل <Not connected> و همچنین شرطی را برای اینکه کامپیوتری نتوانست نام dc.abc.lab را پیدا کند ایجاد کنیم

- Security-Center

1- وارد Managed devices و روی تب Policies بروید

2- حالا تنظیمات out-of-office policies را انجام می دهیم ، از پالیسی Kaspersky Security Center 10 Network Agent یک properties بگیرید

3- وارد بخش Network | Connection شوید

4- برای اضافه کردن رول در Switch profiles و کلیک کنید در بخش Add

5- در کادر مربوطه عبارت dc.abc.lab unresolved را برای نام رول بنویسید

6- برای مد موبایل هم می توانید رولی را بسازید ، <Not connected> را در فیلد Use connection profile انتخاب کنید

7- برای فعال سازی رول تیک Rule activated را بزنید

8- حالا شرطی را اضافه کنید روی Add بزنید و پارامتر Name resolvability را انتخاب کنید

9- اضافه کردن یک نام که برای کامپیوتری که می خواهیم شرط بر روی آن اعمال شود روی Add کلیک کنید

10- حالا dc.abc.lab را بنویسید و ok کنید

11- ساختن شرطی که در زمانی که کامپیوتر نمی تواند نام را ترجمه کند با انتخاب Does not match any of the values in the list و OK کنید

12- رول را با OK ذخیره کنید

13- اگر می خواهید سریع رول اجرا شود آن را بالای لیست قرار داده و روی Editing locked و OK کنید

14- صبر کنید تا پالیسی اعمال شود

آموزش آنتی ویروس Kaspersky سرور قسمت 60 : مجوز اجرای برنامه ریموت 

• اجازه دادن به اجرای برنامه هایی مانند TeamViewer در Endpoint کسپراسکی

- Security-Center

1- وارد Administration Console شوید

2- باز کنید گروه Workstations و تب Policies را بزنید

3-در KES 10 SP2 workstation policy وارد properties شوید

4- بر روی Anti-Virus protection\ General Protection Settings سوییچ کنید

5- وارد Settings و در بخش Scan exclusions and trusted zone بروید

6- تب Trusted applications را بزنید

7- برای اضافه کردن برنامه TeamViewer روی Add کلیک کنید

8- در کادر مسیر یا Path برنامه را وارد کنید

9- چک باکس Do not scan opened files را بردارید

10- حالا برای اینکه برنامه اجازه کار در KES را داشته باشد Do not block interaction with the application interface و روی OK کلیک کنید

11- روی OK کلیک کنید

12- حالا برای ذخیره پالیسی OK را بزنید

13- حالا صبر کنید تا پالیسی اعمال شود

آموزش آنتی ویروس Kaspersky سرور قسمت 61 : مجوز اجرای برنامه ریموت

• - اجازه دادن به اجرای برنامه هایی مانند TeamViewer در Endpoint کسپراسکی

- Security-Center

1- وارد Administration Console شوید

2- باز کنید گروه Workstations و تب Policies را بزنید

3-در KES 10 SP2 workstation policy وارد properties شوید

4- بر روی Anti-Virus protection\ General Protection Settings سوییچ کنید

5- وارد Settings و در بخش Scan exclusions and trusted zone بروید

6- تب Trusted applications را بزنید

7- برای اضافه کردن برنامه TeamViewer روی Add کلیک کنید

8- در کادر مسیر یا Path برنامه را وارد کنید

9- چک باکس Do not scan opened files را بردارید

10- حالا برای اینکه برنامه اجازه کار در KES را داشته باشد Do not block interaction with the application interface و روی OK کلیک کنید

11- روی OK کلیک کنید

12- حالا برای ذخیره پالیسی OK را بزنید

13- حالا صبر کنید تا پالیسی اعمال شود

• Password Protection for KES

در این آزمایش قصد داریم تا برای Kaspersky Endpoint Security در زمان نصب روی شبکه یک پسورد تعریف کنیم تا کاربران قادر به غیرفعال کردن آن نباشند

• در این سناریو هر دو ماشین DC و Security-Center را روشن کنید

• ماشین Laptop را روشن کنید

- Laptop

1- خارج شوید از KES روی آن راست کلیک و Exit را بزنید

- Security-Center

1- وارد Administration Console شوید

2- از سمت چپ وارد Protection settings و روی Monitoring کلیک کنید

3- پیام Protection is disabled را در Protection settings پیدا کنید

4- روی لینک Protection is disabled کلیک کنید

5- حالا نود های Device selections و آنهایی که Protection is off هستند را مشاهده کنید

6- کامپیوتر Laptop انتخاب کنید

7- در سمت راست روی لینک Security application is not running کلیک کنید

8- روی لینک Open Protection section in device properties بروید

9- وارد بخش Applications شوید

10- حالا Kaspersky Endpoint Security 10 Service Pack 2 for Windows را انتخاب و روی < ( ابی رنگ ) کلیک کنید

11- حالا صفحه را ببندید و به Administration Server و تب Monitoring را بزنید

12- روی متن سمت چپ Protection settings که سبز است

آموزش آنتی ویروس Kaspersky سرور قسمت 63 : تعریف پسورد برای KES

• ساخت یک پسورد برای Kaspersky Endpoint Security

- Security-Center

1- داخل Workstations شده و روی تب Policies بروید

2- انتخاب کنید KES 10 SP2 workstation policy

3- روی لینک Configure policy کلیک کنید

4- سوییچ روی Application Settings انجام دهید

5- حالا برای فعال سازی password protection وارد بخش Settings و Password protection بزنید

6- چک باکس Enable password protection را انتخاب کنید

7- یک نام مثلاً KLAdmin و پسورد root قرار دهید

8- حالا گزینه های Exit the application, Disable Kaspersky Security Center policy و Remove modify restore the application و روی ok کلیک کنید

9- روی OK کلیک کنید

10- حالا منتظر میمانیم تا پالیسی اعمال شود

11- روی Laptop بروید و روی KES راست کلیک و Exit را بزنید باید کادری مثله زیر باز شود :

12- در Password check روی Cancel کلیک کنید

13- حالا در سیستم عامل ویندوز وارد Programs and Features شوید

14- انتخاب Kaspersky Endpoint Security 10 for Windows و روی Change کلیک کنید

15- برای حذف Kaspersky Endpoint Security روی Remove کلیک کنید

16- حالا NEXT را بزنید بدون اینکه کادر زیر را پر کنید :

17- مشاهده می کنید که کسپرسکی بدون پسورد پاک نمی شود روی پیام زیر OK کنید :

18- ویزارد حذف را cancel کنید

آموزش آنتی ویروس Kaspersky قسمت 64 : تعریف پسورد Network Agent

• قرار دادن پسورد برای Network Agent

در این آزمایش قصد داریم تا برای Network Agent کسپرسکی پسورد تعریف کنیم تا کاربران قادر به حذف آن نباشند

- Security-Center

1- انتخاب کنید Managed devices و روی تب Policies بروید

2- در پالیسی Kaspersky Security Center 10 Network Agent کلیک کنید تا پراپرتیس آن باز شود

3- روی Settings بروید

4- برای تعریف پسورد روی Use uninstall password کلیک کنید

5- برای تعریف یک پسورد روی Modify کلیک کنید

6- پسورد را مثلاً root قرار دهید

7- حالا بر روی Use uninstall password روی OK کلیک کنید

8- صبر کنید تا پالیسی اعمال شود

9- در ماشین Laptop وارد Programs and Features شده و روی Kaspersky Security Center Network Agent کلیک کنید

10- روی Uninstall کلیک کنید

11- روی Next کلیک کنید - پنجره زیر نمایش پیدا می کند

آموزش آنتی ویروس Kaspersky سرور قسمت 65 : کارایی Self-Defense

• کارایی Self-Defense

یک تکنولوژی ضروری است با kaspersky Endpoint Security کار می کند ، و جلوی تهدیدات ناشناخته را می گیرد ، و دارای دو بخش Advanced Settings \ Application Settings :

• - Enable Self-Defense : پارامتری است که Endpoint کسپرسکی هنگام چک پروسه مموری سیستم از آن استفاده می کند ، این پروسه فایل های روی هارد دیسک و رجستری key را شامل می شود
• - Disable external management of the system service : اجازه نمی دهد که Endpoint کسپرسکی غیر فعال شود

اگر Self-Defense غیر فعال شود کامپیوتر های از نظر حفاظتی ضعیف می شوند ! به صورت پیش فرض فعال بوده و دارای قفل بسته است

• - مدیریت KES تحت Remote Desktop

برای جلوگیری از باج افزار ها اگر کاربری در با موس و کیبورد دستوری را تایپ کند توسط Self-Defense تمامی پروسه حفاظت می شود ، موقعی که مدیر شبکه قصد دارد تا Endpoint کسپرسکی را از راه دور مدیریت کند مثلاً با برنامه Team Viewer این ابزار اجازه نمی دهد تا بتوانند روی پنجره Endpoint کسپرسکی کلیکی صورت بگیرد ، چنانچه شما نیاز دارید تا کسپراسکی Endpoint را از راه دور مدیریت کنید باید برنامه را در لیست برنامه های Trust قرار دهید در بخش properties از منوی Trusted program چک باکس Do not block interaction with the application interface را بزنید و بقیه چک باکس ها را بردارید .

آموزش آنتی ویروس Kaspersky قسمت 66 : جلوگیری از غیرفعال شدن Agent

• توقف برنامه توسط کاربر

به صورت پیش فرض کابران می توانند به دو روش برنامه کسپراسکی را غیر فعال کنند :

• بر روی Endpoint کسپرسکی Exit کنند
• Endpoint کسپرسکی را حذف کنند هر چند دسترسی مدیریتی لازم باشد اما باز کاربرانی که با لپ تاپ برنامه را نصب کردند قادر به حذف آن هستند

•  تعریف پسورد

• برای مشاهده عملی و تصویری این تنظیمات روی اینجا کلیک کنید
• - حفاظت از کامپیوتر ها

تمامی مطالبی که در اینجا گفته شده ما را سرانجام به نقطه ای می رساند که آن حفاظت از کامپیتر ها است ، به طور خلاصه این حفاظت :

• - کسپرسکی Endpoint مدام در حال کار باشد
• - تنظیمات برای ویروس اسکن زمانبندی شده یا در هر زمانی صورت بگیرد
• - تنظیمات Application Privilege Control برای حفاظت از اسناد متنی از باج افزار ها صورت بگیرد
• - تنظیمات پالیسی برای مد موبایل انجام شود ( این مبحث شامل کل مطالب ما نمی باشد )
• - از پسورد برای Endpoint و Agent کسپرسکی استفاده شود

تمامی ابزارهایی که Endpoint کسپرسکی دارد برای حفاظت و مسدود کردن تهدیدات کافی است ، همچنین برای لپ تاپ ها که قصد دارند در بیرون شبکه شما فعالیت داشته باشند از مد Out -Of-Office استفاده کنید

آموزش آنتی ویروس Kaspersky قسمت 67: Control  و Application Category

• ابزار های Control

امکاناتی در بخش Anti-Malware کسپرسکی Endpoint برای کنترل و محدودیت هایی در عملکرد تهدیدات بر روی کامپیوت های سازمانها وجود دارد یکی دیگر از این امکانات Application Control است که از استفاده کاربران برای بازی های رایانه ای و مشاهده فیلم و هر فعالیتی حین کار جلوگیری می کند .

یکی دیگر از ابزار های کنترلی Device Control است که سخت افزار های مختلف را براساس باس آنها دسته بندی می کند و مدیر شبکه می تواند آنها را فعال یا غیر فعال کند ، ابزار کنترلی دیگر Web Control است که با آن می توانیم دسترسی به سایت ها را محدود کنیم و در واقع می خواهیم تنها سایت هایی را دسترسی بدهیم که کاربران با آنها کار می کنند

• لایسنس و انواع نصب کسپرسکی سرور

5 کاری که کسپراسکی سرور 10 انجام می دهد :

• - Antivirus Protection
• - Control Components
• - Encryption
• - System management
• - Mobile device management
• - Mobile device management

کامپوننت های کنترل نیاز به لایسنس KESB دارند تا به صورت خودکار نصب شوند و برای نوع Standard کارایی دارد ، بجز Application privilege Control یک عملیات پایه است و نیاز به لایسنس KESB Core دارد و همچنین در KESB Core کامپوننت کنترل کار نمی کند در مباحث اولیه در اینباره بحث شده است :

شکل های زیر نمایی از کنترل ها در کسپرسکی و کامپوننت های لایسنس را نشان می دهند :

• برای نصب کامپوننت های Control

- Application Startup Control

ابزاری است که به مدیر شبکه کمک می کند تا بتواند محدودیت هایی را برای برنامه ها بر روی Endpoint انجام دهد این امکان می تواند تهدیدات الودگی روی کامپیوتر ها را کاهش دهد . هنگامی که برنامه ای اجرا می شود این ابزار موارد زیر را بررسی می کند :

• - ابتدا بر روی لیست دسته بندی برنامه ها که توسط مدیر شبکه تعریف شده اند بررسی انجام می دهد
• - حسابی را که برنامه را می خواهد اجرا کند چک می کند
• - حالا KES پالیسی و رول های ان که برای حساب کاربری در لیست دسته بندی برنامه ها تعریف شده اجرا می شود
• - مد های Application Startup Control
• - Black list : به صورت پیش فرض همه چیز در دسترس است ، تنها برنامه هایی که مدیر شبکه بلاک کرده است در kes پالیسی محدود می شوند
• - White list : به صورت پیش فرض همه بلاک هستند و تنها برنامه هایی که در لیست دسته بندی توسط مدیر شبکه اجازه دارند در KES پالیسی می توانند کار کنند

- تنظیمات Application Startup Control

1. در بخش Application Management وارد بخش Application Caregories شوید
2. حالا می توانید دسته بندی را ایجاد کنید و از لیست برنامه ها برنامه مورد نظر را انتخاب کنید
3. حالا پالیسی KES ( منظور Endpoint security ) تغییرات را به کلاینت ها اعمال می کند

- تنظیمات Application Caregories

هنگامی می خواهید لیستی را در این بخش ایجاد کنید تا برنامه ای را استثنا کنیم به مسیر Advanced > Application managment > Application Categories در کسپرسکی سرور 10 بروید حالا برای دسته بندی جدید ویزاردی را باید طی کنید :

• Filled manually : در اینجا شرایط و هر تغییری را به صورت دستی وارد می کنیم می توانیم بر حسب نام و همچنین امضا و یا اعتبار برنامه ها را اضافه کنیم
• Filled Automatically from a folder : در این بخش مدیر شبکه تنها می تواند از مسیر فایل های اجرایی و بر اساس دسته بندی محلی آنها را اضافه کند و همچنین کسپرسکی سرور محتوای مسیر برنامه ها را بر حسب زمانبدی بروزرسانی می کند و می توان آنها را با MD5 رمزگذاری کرد
• Filled automatically from computers : مدیر شبکه می تواند یک یا چند Managed Computers را انتخاب کند و به صورت خودکار کسپرسکی سرور آنها را دسته بندی می کند و می توان برنامه مورد نظر را پیدا کرد همچنین انتخاب برنامه از یک کامپیوتر خاص از اینجا امکان دارد
• تغییرات در دسته بندی ها توسط KES Administration server بر روی کلاینت ها اعمال می شود :

- بروزرسانی و ساخت دستی یک دسته بندی

برای ساخت یک دسته بندی به صورت دستی ابتدا باید از لیست دسته بندی چک کنید که آن برنامه در داخل آن قرار داشته باشد سپس شما می توانید 6 نوع ایتم را تعریف کنید :

• - Checksum : ساختار SHA-256 را برای شناسایی یکپارچه یک فایل ایجاد می کند

نکته : در نسخه های KES سرویس پک 1 MR3 شما می توانید از MD5 استفاده کنید در نسخه پک 2 ورژن KES 10 تنها می توانید SHA-256 را انتخاب کنید

• Certificate : این ویژگی فقط در سرویس پک 2 KES اجرا می شود
• Metadata : نام فایل ، و نسخه و سازنده برنامه را نشان می دهد ، شما می توانید هم فایل قدیمی و جدید برنامه را انتخاب کنید ، توجه داشته باشید که اگر برنامه ای دارای سلسله مراتب است تنها می توانید بخشی از برنامه را قرار بدهید که دارای مجوز و اعتبار ( Cer ) باشد
• Application Folder : مسیر و فولدر برنامه اجرایی را تعیین می کند
• KL Category : این برنامه ای را دسته بندی می کند که مطابق با دسته بندی کلاس گذاری شده شرکت kaspersky Lab است برای مثال ، درایو و مرورگر ...

نکته : ممکن است به طور تصادفی برنامه ای را ناخواسته نصب کنید و یا اینکه برنامه نصب شده ، شما می توانید این برنامه را در Administration Server حذف کنید

لیست فایل های اجرایی ( Exe )

مدیر شبکه می تواند یک وضعیت پایه را برای یک برنامه خاص ایجاد کند و این کار با روش های زیر امکان پذیر است :

• From the executable files list : این لیست را می توان با استفاده از تسک Inventory بر روی کلاینت ها اعمال کرد شما می توانید این لیست را در مسیر Advanced > Application management > Executable files مشاهده کرد .
• From file properties : شما می توانید یک Checksum و یا metadata را برای شبکه محلی لیست کنید

 اضافه کردن همه فایل های از یک فولدر در یک دسته بندی

شما می توانید کل یک فولدر را دسته بندی کنید نه تنها یک فایل را ، اگر یک فایل یا چند فایل را بخواهید به محل دیگر انتقال دهید می توان یک پکیج MSI را ایجاد کرد شما می توانید با طی مراحلی در ویزارد مربوطه این پکیج را ایجاد کنید

استفاده از Metadata یا Checksum فایلی در یک MSI

پکیج های MSI را می توان به صورت دستی طوری طراحی کرد که قابل اسکن در زمان ساخت دسته بندی باشد

 استفاده از KL Categories

هنگامی که مدیر شبکه قصد اجرا یا جلوگیری از یک برنامه شناخته شده را دارد برنامه باید از نظر Hashsum و انتشار دهنده و محلی که روی درایو دارد و ... شناسایی شود در واقع برای برنامه های نامعتبر و مشکوک هم چنین روندی لازم است مثلاً برای بازی ها و مرورگر ها ، راه حل KL Categories اینجا کارایی خود را نشان می دهد و برچسب نوع کلاس برنامه را مشخص می کند مثلاً برنامه های ایمیل - برنامه های مرورگر و ... را دسته بندی می کند KL مخفف عبارت Kaspersky Lab می باشد

مسیر خاص برای فایل ها

برنامه ها بر اساس پارامتر های Hash sum و Attribute چک می شوند و این بستگی به وضعیت محلی دارد که در آن قرار گرفته اند ، فایل ها تحت کپی و جا به جایی نباید تاثیر بپذیرند و در واقع باید به همان وضعیتی که در دسته بندی ها تعریف شده اند اجرا شوند :

• - Application folder : تعریف کننده مسیر فایل است
• - Device type : بر روی حافظه های پرتابل مثله مموری کارت ها کارایی دارد و مدیر شبکه می تواند جلوی شروع به کار برنامه ها را در آنها بگیرد

آموزش آنتی ویروس Kaspersky قسمت 68 : Application Startup Control

• Application Startup Control

در این آزمایش قصد داریم تا به عنوان مدیر شبکه شرکت ABC برنامه Internet Explorer را به عنوان یک category برای مرورگر ها تعریف کنیم ، همچنین کاربران را مجبور کنیم تا فقط از برنامه Internet Explorer برای مرور صفحات وب استفاده کنند ، برنامه های Internet Explorer و Mozilla Firefox اجرا شوند

• - ماشین های DC, Security-Center و PC1 را روشن کنید
• - Security-Center
• - با نام کاربری abc\Administrator و پسورد Ka5per5Ky وارد شوید
• - PC1

با نام کاربری abc\Alex پسورد Ka5per5Ky وارد شوید

- Security-Center

مشاهده تنظیمات control components در کنسول ، ابتدا Kaspersky Security Center باز کنید :

1- انتخاب کنید Administration Server

2- باز کنید از منو اصلی تب Viwe و بر روی Configure interface کلیک کنید

3- انتخاب Display endpoint control settings و حالا OK را بزنید

4- حالا Administration Server را یک بار دیسکانکت و کانکت کنید

5- در Workstations باز کردن تب Policies

6- انتخاب KES 10 SP2 workstation policy

7- انتخاب Configure policy

8- مطمئن شوید که کامپوننت Endpoint control در لیست پالیسی است

9- برای بستن هم Cancel را بزنید

ساخت یک category برای همه مرورگرها بجز Internet Explorer

حالا می خواهیم یک application category ایجاد کنیم که شامل همه مرورگرها بجز Internet Explorer 11.0 یا قبل از آن ... برای این کار Kaspersky Lab (KL) categories را انتخاب خواهیم کرد ، و Internet Explorer را در استثنا ها قرار داده و در metadata به شکل iexplore.exe تعریف می کنیم

- Security-Center

1- روی Advanced کلیک و Application management را بزنید

2- باز کنید Application categories

3- کلیک Create a category

4- حالا بالاترین منو را انتخاب کنید

5- نوشتن Browsers به عنوان نامی برای category و کلیک روی Next

6- اضافه کردن مرورگر با اشتفاده از کلید Add و انتخاب KL category

7- حالا دسته بندی Browsers را انتخاب کنید

8- انتخاب Web Browsers و کلیک روی OK

9- روی Next کلیک کنید

10- حالا در انتخاب وضعیت ها برای Internet Explorer روی Add رفته و From file properties را انتخاب می کنیم

11- حالا روی Get data دکمه From file را انتخاب کنید

12- حالا در پنجره باز شده فایل iexplore.exe را انتخاب کنید

13- انتخاب کنید open

14- در لیست Version انتخاب More than or equal to

15- چک باکس Application Name را بردارید

16- در Application version و انتخاب کنید More than or equal to

17- چک باکس Vendor را بردارید

18- برای ذخیره سازی OK را بزنید

19- بر روی Next کلیک کنید و روی Finish کلیک کنید

20- حالا صبر کنید تا دسته بندی برای کامپیوتر ها اعمال شود

- حالا می خواهیم جلوی اجرای Internet Explorer را بگیریم :

• Security-Center

1- در Workstations وارد تب Policies شوید

2- حالا پراپرتیس KES 10 SP2 workstation policy را باز کنید

3- باز کنید Application Startup Control ( دقت کنید این گزینه به صورت پیش فرض غیر فعال است )

4- فعال کردن Application Startup Control

5- در لیست Action انتخاب Block

6- حالا Add را بزنید

7- حالا Browsers category را انتخاب و رولی است که پیش فرض دسترسی کاربران را ممنوع می کند

8- روی OK کلیک کنید

9- حالا برای ذخیره پالیسی روی OK کلیک کنید

10- صبر کنید تا پالیسی اعمال شود

- اجرای Mozilla Firefox - Internet Explorer

• در PC1 حالا وارد شوید :

1- مرورگر Firefox را باز کنید

2- حالا در گوشه صفحه باید اخطاری به شکل زیر ظاهر شود

3- اجرای مرورگر Internet Explorer

4- مطمئن شوید که Kaspersky Endpoint Security برنامه Internet Explorer را بلاک نکرده باشد

آموزش آنتی ویروس Kaspersky سرور قسمت 69 : Block برنامه ناشناس

• مسدودسازی اجرای یک برنامه ناشناس

ماشین های DC - Security-Center را روشن کنید

ماشین PC1 را روشن کنید

- Security-Center

1- در Administration Console بروید

2- باز کنید Application categories

3- کلیک Create a category

4- روی بالاترین گزینه کلیک کنید

5- نام دسته بندی Protection_Cryptomalware و Next کنید

6- فایل ConditionsProtectionCryptomailware.txt را کپی کنید و آن را باز کنید ( این فایل توسط نویسنده ایجاد شده و هدف فقط آموزش است )

7- حالا از لیست Add را بزنید

8- در لیست روی Application folder بروید

9- حالا به صورت زیر خط زیر را در ConditionsProtectionCryptomailware.txt کپی کنید

10- در مسیر زیر خط را پیست کنید

11- در واقع ما مسیر فایل ConditionsProtectionCryptomailware.txt را شبیه سازی کردیم حالا Next کنید

12- حالا Next را بزنید و در لیست روی KL category کلیک کنید

13- حالا تمامی باکس های KL categories انتخاب کنید و OK را بزنید

14- روی figuring conditions for exclusion of applications from categories و Next کنید

15- روی Finish کلیک کنید

- تغییر در پالیسی برای جلوگیری از اجرای فایل توسط کاربران

1- وارد Workstations و روی تب Policies کلیک کنید

2- حالا پراپرتیس KES 10 SP2 workstation policy را بگیرید

3- حالا Application Startup Control باز کنید

4- کلیک کنید Add

5- روی OK کلیک کنید

6- مجدداً OK را بزنید

7- حالا منتظر باشید تا پالیسی اعمال شود

آموزش آنتی ویروس Kaspersky سرور قسمت 70 : بستن پورتهای USB  

• مسدود کردن USB Flash Drives

در این آزمایش قصد داریم تا با کسپرسکی سرور 10 فلش مموری USB را مسدود کنیم

- ماشین PC 1 را باز کنید و وارد VMware Workstation شده و روی VM بروید در بخش Removable Devices مطمئن شوید که Connect باشد حالا یک فلش مموری را قرار دهید

- روی Pc 1 روی Start سپس وارد Computer شوید مطمئن شوید که فلش مموری کار می کند

- Security-Center

1- وارد Administration Console شوید

2- سپس وارد گروه Workstations و تب Policies را بزنید

3- انتخاب کنید پالیسی KES 10 SP2 workstation policy

4- حالا policy properties را باز کنید

5- وارد Device Control شوید

6- انتخاب کنید Removable drives

7- روی تب Access روبروی عبارت Removable drives کلیک کنید

8- روی Block کلیک کنید

9- حالا OK کنید

10- صبر کنید تا پالیسی اعمال شود

11- وارد ماشین PC1 شوید باید اخطاری مانند زیر را مشاهده کنید

11 - در پایین صفحه می توانید روی لینک Request access کلیک کنید صفحه ای مثله زیر نمایان می شود :

12- شما می توانید درخواستی را برای مدیر شبکه ارسال کنید با کلیک روی Send تا دسترسی شما را بررسی و در صورت صلاحدید آن را باز کند

13- وارد Administration Server و در بخش Events

14- بر روی User requests کلیک کنید

15- حالا درخواست را مطالعه کنید

آموزش آنتی ویروس Kaspersky سرور قسمت 71 : مجوز Write در USB

• اجازه Write به همه کاربران USB flash drives

- PC1

1- یک فلش مموری را داخل قرار دهید

2- ماشین PC1 را باز کنید

3- در منوهای برنامه VMware Workstation به Vm و Removable Devices و چک کنید تا این امکان روی حالت Connect باشد

4- وارد Start > Computer شوید

5- حالا چک کنید که درایو فلش مموری فعال شده باشد

- Security-Center

1- وارد Administration Console شوید

2- در گروه Workstations وارد تب Policies شوید

3- روی پالیسی KES 10 SP2 workstation policy کلیک کنید

4- حالا properties پالیسی را باز کنید ( روی آن راست کلیک یا دوبار روی آن کلیک کنید )

5- بروید به منوی Device Control

6- انتخاب کنید Removable drives

7- کلیک روی Edit

8- روی Yes کلیک کنید

9- حالا تنظیمات دسترسی کاربران را روی Write گذاشته و OK کنید

10- روی OK کلیک کنید تا پالیسی ذخیره شود

11- صبر کنید تا پالیسی اعمال شود

12- اگر فایلی را در فلش مموری کپی کنید پیام زیر نمایش می یابد

آموزش آنتی ویروس Kaspersky سرور قسمت 72 : مجوز Write در USB 

• اجازه نوشتن روی USB flash برای کاربران دومین

در این آزمایش تنظیمات Device Control را برای Kaspersky Endpoint Security policy طوری تنظیم می کنیم که کاربران دومین بتوانند تحت Domain users group قابلیت نوشتن روی فلش مموری ها را داشته باشند

- Security-Center

1- وارد پراپرتیس KES 10 SP2 workstation policy شوید

2- وارد منو Device Control شوید

3- حالا روی Removable drives و روی Logging کلیک کنید

4- روی Select کلیک و در گروه Everyone روی OK کلیک کنید

5- روی تب Trusted devices سوییچ کنید

6- روی Add کلیک کنید

7- روی لیست گزینه Devices by ID انتخاب شود

8- در Computer name و بنویسید PC1 و روی Refresh کلیک کنید

9- روی خودتان USB drive کلیک کنید

10- کلیک Select و بر روی Domain Users مدنظرتان کلیک کنید و OK را بزنید

11- بر روی Advanced Settings\Reports and Storages کلیک کنید

12- در Notifications روی Settings کلیک کنید

13- بر روی Device Control کلیک کنید

14- انتخاب کنید Save in local log و بخش رخدادی File operation performed رفته و روی OK کلیک کنید

15- پالیسی را OK کنید و صبر کنید تا پالیسی اعمال شود

16 حالا فایلی را داخل فلش مموری در کپی کنید ( PC1 ) اینجا فایلی را به نام invoice.txt را قرار دادیم

17- مطمئن شوید که Kaspersky Endpoint Security اجاره نوشتن را داده است

18- انتخاب کنید Administration Server و داخل تب Reports شوید

19- انتخاب کنید Report on file operations on removable drives

20- داخل گزارشات روی Show report کلیک کنید

21- شکل نهایی گزارش به صورت زیر باید باشد

آموزش آنتی ویروس Kaspersky سرور قسمت 73 : Web Access Control

• تنظیمات Web Access Control

در این آزمایش قصد داریم تا حوزه فعالیت کاربران در داخل سازمان را برای دسترسی به شبکه های اجتماعی محدود کنیم

_ ماشین های DC و Security-Center را روشن کنید

- ماشین PC1 را روشن کنید

- مسدود سازی social networks

ممکن است شما به عنوان مدیر شبکه یک سازمان بخواهید تا دسترسی کاربران به شبکه های اجتماعی در ساعات کاری را محدود کنید

- Security-Center

1- باز کنید Administration Console

2- باز کنید Workstations و روی تب Policies کلیک کنید

3- انتخاب کنید KES 10 SP2 workstation policy

4- بخش properties پالیسی را باز کنید

5- حالا روی Web Control سوییچ کنید

6- روی Add کلیک کنید

7- در فیلد Name بنویسید Social networks

8- در Filter content بر روی By content categories کلیک کنید

9- در لیست Content categories زیر بخش Internet communication انتخاب کنید Social networks

10- انتخاب کنید چک باکس Specify users and / or groups

11- کلیک کنید روی Select و انتخاب گروه Everyone

12- در بخش Action انتخاب کنید وضعیت Block

13- روی دکمه Settings کلیک کنید

14- تنظیمات زمانبندی را روی Monday تا Friday از ساعت 9:00am تا 6:00pm و روی OK کلیک کنید

15- نام فیلد را Working hours قرار دهید

16- کلیک کنید روی OK

17- و در آخر روی OK کلیک کنید

18- صبر کنید تا پالیسی اعمال شود

19- حالا مرورگر Internet Explorer را باز کنید و وارد سایت www.instagram.com شوید

آموزش آنتی ویروس Kaspersky سرور قسمت 74 : تنظیمات داشبورد

• تنظیمات داشبورد در کسپرسکی سرور 10

در این آزمایش قصد داریم بعضی از بخش های داشبورد برنامه Kaspersky Security Center را بررسی کنیم شما به عنوان مدیر شبکه یک سازمان وظیفه دارید تا هر روز اماری مانیتورینگ وار از برنامه KSC داشته باشید پس نیاز هست تا مهترین بخش های داشبورد را چک کنید

• ماشین های DC و Security-Center را روشن کنید

- Security-Center

در این بخش قصد داریم تا 6 پلن مهم را بررسی کنیم :

- وضعیت Real-time protection

- وضعیت دستگاه ها

- وضعیت database versions و بروزرسانی ها

- وضعیت آنتی ویروس

- چک انواع حملات network attacks

1- وارد Administration Console شوید

2- باز کنید نود Administration Server و به تب Statistics بروید

3- حالا می خواهیم داشبورد را سفارشی اجرا کنیم و روی Customize view کلیک کنید

4- روی Add کلیک کنید

5- روی Information panes کلیک کنید

6- برای اینکه نتایج داشبورد را کمتر کنیم در گزینه Columns in information panes عدد 3 را بنویسید

7- حالا روی Add کلیک کنید

8- در زیر Protection status بر روی Real-time protection status رفته و روی OK کلیک کنید

9- حالا برای اعمال تغییرات روی OK کلیک کنید

10- توجه کنید که بخش های زیر همگی اضافه شده باشند و روی OK کلیک کنید

11- حالا Health check را در بالاترین لیست قرار داده و Close را بزنید .

12- حالا ملاحظه کنید که تنظیمات مانند عکس زیر باشد

آموزش آنتی ویروس Kaspersky سرور قسمت 75 : Maintenance Tools

• تنظیمات Maintenance Tools

در این آزمایش قصد داریم تا بخشی از لاگ گزارشات که نیازی به آن نداریم را حذف کنیم و قصد داریم تا گزارشات مهم را طوری تنظیم کنیم به مدیر شبکه ایمیل شود

- ماشین های DC و Security-Center را روشن کنید

- Security-Center

1- وارد Administration Console شوید

2- وارد نود Administration Server شده و تب Reports را بزنید

3- انتخاب کنید Errors report و روی Delete کلیک کنید

4- حالا می توانید گزارشات را حذف کنید روی OK کلیک کنید

آموزش آنتی ویروس Kaspersky سرور قسمت 76 : دسته بندی خودکار

• ایجاد فولدر های دسته بندی به صورت خودکار

در این مبحث می خواهیم در ادامه مباحث دسته بندی برنامه ها در کسپرسکی سرور 10 به تنظیمات خودکار برای آپدیت و ایجاد سورس های برنامه هایی که تغییر می کنند بپردازیم و تنظیماتی را انجام دهیم که در رول های دسته بندی به صورت زمانبندی شده اعمال شوند .

همچنین این تنظیمات باعث می شوند که آرشیو برنامه هایی که به صورت پکیج های .MSI هستند نیز بروزرسانی شود . همچنین شما می توانید انتخاب کنید Include dynamic-link libraries ( .DLL ) به صورت دسته ایجاد شوند ، وقتی تیک باکس این گزینه فعال باشد کسپرسکی سرور checksum آنها را محاسبه و هر دسته را مطابق با دسته بندی مرتبط آن ها با فایل های اجرایی بروز می سازد . چک باکس بعدی Include script data in this category مربوط به فرمت هایی می شود که اسکریپتی هستند و اساساً مانند فرمت Dll یک فایل اجرایی محسوب نمی شوند نظیر فرمت های .vbs و .js .

- دسته بندی بر روی یک کامپیوتر مرجع

چنانچه برای اجرای برنامه ای یک کامپیوتر مرجع را در نظر گرفته اید تا وقتی برنامه ها را دریافت کرد بر روی کامپیوتر های جدید نصب شوند یک راه حل برای توسعه دادن سیستم عامل ها و تمامی برنامه ها روی شبکه هم وجد دارد اما این فرایند ممکن است بار اضافی روی شبکه ایجاد کند و خیلی هم زمانبر باشد ، در اینجا مدیر شبکه می تواند به صورت دوره ای ایمیج ها روی کامپیوتر مرجع را مرتب بروزرسانی کند و در صورت نیاز روی کلاینت ها اعمال کند

آموزش آنتی ویروس Kaspersky سرور قسمت 77 : یافتن KL Category

• یافتن KL Category متعلق به یک فایل

اگر شما به عنوان مدیر شبکه می خواهید دسته بندی را بر اساس KL برای فایل های اجرایی ایجاد کنید اگر هم بخواهید عیب یابی بر روی این دسته بندی KL داشته باشید می توانید از مسیر Advanced > Application management < Executable files اقدام کنید .

- اضافه کردن یک برنامه در دسته بندی

برای اضافه کردن برنامه ها مراحل زیر را طی کنید :

دسته بندی در KSC در کنسول مدیریتی کسپرسکی سرور بر اساس رجیستری برنامه ها و فایل های اجرایی صورت می گیرد موقعی که نیاز است برنامه های خاصی را در لیست به صورت منطقی اضافه کنیم باز هم ممکن است دارای چند فایل اجرایی باشد ، در KES می توان یک تقسیم بندی ویژه ای را ایجاد کرد :

- جمع آوری برنامه های اجرایی روی یک کامپیوتر

برای اینکه برنامه های اجرایی روی کامپیوتر کلاینت ها را بتوان دسته بندی کرد دو روش وجود دارد :

1- در Inventory task اطلاعات برنامه های اجرایی کلاینت ها اسکن می شود

2- ابزار های Application Startup Control و Application Privilege Control موقعی که فعال هستند می توانند اطلاعات فایل های اجرایی را از کلاینت ها دریافت کنند

این اطلاعات را می توانید در پالیسی KES در بخش Reports and Storages Inform Administration Server Settings / About started application پیدا کنید . با فعال بودن چک باکس این گزینه اطلاعات برنامه های اجرا شده نتایجی را به Inventory Task ارجاع می دهند .

توجه : اگر تعداد کامپیوتر ها زیاد است تسک Inventory را برای همه آنها اجرا نکنید چرا که بار ترافیکی شبکه شما بالا خواهد رفت

- طریقه ساخت تسک Inventory

قبلاً درباره این تسک در مباحث قبلی بحث شده اما چنانچه بخواهید این تسک را اجرا کنید مراحل زیر را طی کنید :

آموزش آنتی ویروس Kaspersky سرور قسمت 78 : مد های Control

• مد های Control

یکی از این دسته مد ها به نام Application Startup Control است که به صورت پیش فرض در Endpoint کسپرسکی با سرویس پک 1 غیر فعال است . یکی از این دلایل غیر فعال بودن برنامه برای این است که برنامه های اجرایی اطلاعات خودشان را ارسال نکنند بنابراین لازم است که مدیر شبکه قبل از تنظیمات آن را فعال کند . این ابزار برای ایجاد مد های Black list و White list استفاده می شود ، رول های این ابزار دارای پارامتر های زیر هستند :

- Category : یک Application Category را در بخش کسپرسکی سرور ایجاد می کند

- Trusted updaters : تمامی دسته بندی برنامه ها را به صورت یک اپدیت کننده Trust انجام می دهد

- Trusted updaters : اگر این رول را فعال کنید در هنگام نصب برنامه ها همراه با بروزرسانی های معتبر انجام شده حتی اگر ان برنامه ها بلاک شده باشند و به صورت پیش فرض این رول فعال است

- Golden Image : شامل برنامه های اجرایی و فایل های ضروری آنها برای اجرا در سیستم عامل است این فایل ها توسط سیستم عامل پشتیبانی می شوند و برنامه هایی استاندارد هستند . KES قادر است تا جلوی بلاک شدن آنها به صورت تصادفی را بگیرد

- نحوه یافتن فایل های بلاک شده و ممنوعه

برای مشاهده این رول ها می توانید از بخش Statistical analysis استفاده کنید و در بخش پالیسی KES لیست برنامه های Startup control را می شود مشاهده کرد .

- مشاهده لاگ ها

لاگ های Application Startup به صورت 7 روز نگهداری می شوند و شامل Application startup blockage messege to administrator هست این لاگ ها به صورت 5 نوع عمده هستند :

- برنامه هایی که ممنوع هستند

- برنامه هایی که بلاک شده اند توسط مدیر شبکه

- برنامه هایی که به صورت مد آزمایشی ممنوع شده اند

- برنامه هایی که به صورت مد آزمایشی اجازه داده شده اند

آموزش آنتی ویروس Kaspersky سرور قسمت 79 : گزارش مسدودی

• گزارشات مسدودی های کسپرسکی سرور

گفتیم که کسپرسکی سرور در بخش رخدادهایی که درباره Application startup prohibited جمع آوری می کند یک گزارش از رویکرد و فرایندهای فعالیت هایی که به صورت بلاک بر روی برنامه های اجرایی کلاینت ها اعمال می شود ایجاد می کند .

• انواع مدل های انکار

هنگامی که از مد White list صحبت می کنیم ( در درس های قبلی مفصلاً توضیح داده شد ) هر چیزی که ممنوع نیست و در واقع رولی است برای برنامه های معتبر و شناخته شده ، هنگامی که یک پالیسی در کسپرسکی سرور 10 شروع به کار می کند تا تغییرات را به روی کلاینت ها اعمال کند از ترمینالی به نام ( POS ) Point - of - Sale استفاده می کند ، در اینجا هنگامی که تنها برنامه هایی خاص اجازه اجرا شدن را دارند و آنهایی که نامشخص هستند باید ممنوعه بمانند .

- کاربرد Deny mode

- بالا بردن ظرفیت قابل توجهی از امنیت

- بالا بردن پایداری با توجه به محدودیت در عملکرد های طبیعی بخصوص در محیط های آموزشی

- Device Control

منظور از واژه Device Control به تمامی درایو هایی گفته می شود که به صورت سخت افزاری و از طریق درگاهی به نام " باس " کار می کنند . این بخش زمانی اهمیت پیدا می کند که مدیر شبکه بخواهد دستگاهی را مسدود کند مثلاً فلش مموری های USB ، در کسپرسکی سرور تمامی سخت افزار های زیر پشتیبانی می شوند :

• - Hard drives
• - Removable drives
• - Floppy disks

و در دسته بندی جزیی تر

• - پرینتر ها
• - CD/DVD درایو ها
• - مودم ها
• - دستگاه های TAPE ( تِیپ دستگاه های قدیمی جمع آوری اطلاعات در شبکه ها بود )
• - Wi-Fi
• - انواع USB
• - کارت های هوشمند
• - دوربین و اسکنر
• - دستگاه های پرتابل
• - بلوتوث

نکته : نمی توان کیبورد و موس USB را مسدود کرد برای مسدود سازی فلش مموری ها از امکانی به نام Bad USB Attack استفاده می شود

برای فلش مموری ها و هارد دیسک ها و فلاپی دیسک و CD/DVD می توانیم :

• - بر اساس حق Write و Read-Only آنها را تنظیم کرد
• - بر اساس حساب کاربری که پیش فرض برای گروه Everyone می توان پالیسی را اعمال کرد
• - بر اساس Operation types و Access schedule می توانیم زمانبندی برای دسترسی های نوشتن و خواندن روی دستگاه ها را اعمال کنیم

آموزش آنتی ویروس Kaspersky سرور قسمت 80 : امنیت در شبکه WiFi

• امن سازی شبکه وای فای

اتصال دستگاه هایی نظیر لپ تاپ ها و ... در شبکه های وای فای عمومی میتواند نا ایمن باشد ، کاربران که به شبکه های هات اسپات وصل هستند همگی در معرض خطر هستند بنابراین لازم است تا آنها را تحت پوشش یک پالیسی ایمن سازی کنیم :

• تراست کردن یک دستگاه

اگر قصد دارید در همه جای شبکه کاربران بتوانند از مموری فلش ها استفاده کنند لازم است تا این دستگاه ها به عنوان یک وسیله تراست و قابل اعتماد در شبکه تعریف شود هر چند به صورت پیش فرض بر روی Endpoint کسپرسکی قابل استفاده است اما در پالیسی مربوط به Endpoint در بخش Device Control | Trusted devices را انتخاب کنیم سپس با استفاده از گزینه Add قادر هستیم آنها را به صورت تراست شده تعریف کنیم :

• - بر اساس ID
• - بر اساس مدل
• - بر اساس ID Mask

گزینه Devices by ID mask در واقع نوعی یا بخش از ID دستگاه است . برای شناسایی بخش ID دستگاه شما باید از بخش Device manager ویندوز و تب Details آن را مشاهده کنید .

هنگامی که پالیسی مدیریت دستگاه ها در کسپرسکی سرور تعریف می شود آنچه که کاربران بر روی کامپیوتر هایشان می بینند به صورت زیر خواهد بود :

آموزش آنتی ویروس Kaspersky سرور قسمت 81 :  Device Control

• تنظیمات دسترسی موقتی به سخت افزارها

کسپرسکی Endpoint این امکان را می دهد که کاربران بتوانند دسترسی موقتی به دستگاه های مسدود شده داشته باشند ، این فرایند به صورت :

• - کاربری نیاز ضروری به یک دستگاه مسدود شده دارد
• - یک درخواست کلید برای کسپرسکی Endpoint برای اینترفیس محلی ارسال می شود
• - ایمیل کلید برای مدیر شبکه ارسال می شود
• - مدیر شبکه درخواست را بررسی می کند و پاسخ می دهد که کاربر می تواند دسترسی به دستگاه داشته باشد

- کاربر کد را دریافت می کند و وقتی روی دستگاه مورد نظر کلیک کند زمانی برای دسترسی تعیین می شود کاربر نمی تواند زمان را متوقف کند و مدیر شبکه قادر به دسترسی راه دور برای لغو این دسترسی موقت را ندارد ، همچنین شما به عنوان یک مدیر شبکه می توانید برای اینکه تماس های کاربران برای دسترسی به دستگاه های مسدود شده را کاهش دهید می توانید از بخش Device Control چک باکس Allow request for temporary access را بردارید .

- ارسال یک درخواست

هنگامی در کسپرسکی Endpoint تب Protection and Control فعال باشد یک منوی میانبر برای دستگاه ها به نام Access to device ایجاد می شود . شما با باز کردن این پنجره می توانید دستگاه هایی که مسدود هستند را مشاهده کنید هنگامی که به دستگاه نیاز دارید می توانید با کلیک روی Get access code اینکار را انجام دهید . و برای اینکه دستگاه اشتباه انتخاب نشود می توانید بر روی بخش For the entire runtime در بخش Currently از این مد استفاده کنید

نکته : اگر دسترسی به دستگاه ها را مدیر شبکه مسدود کند آنها به رنگ تیره نمایش پیدا می کنند

دسترسی موقت به صورت پیش فرض بر روی 24 ساعت تنظیم شده است و فرمت کلیدی که توسط مدیر شبکه ارسال می شود به شکل .akey می باشد

- ساخت کلید فعال سازی

برای دسترسی موقت به سخت افزارهایی که کاربران نیاز دارند کلیدی ساخته می شود توسط کسپرسکی سرور که مدیر شبکه آن را به کلاینت ها ارجاع می دهد برای این کار در بخش Grant access to devices and data in offline mode ( بر روی لیست کلاینت ها گروه راست کلیک کنید ) فعال سازی شروع می شود .

وقتی این پنجره باز شود روی تب Device Conrol سوییچ کنید و روی Brows کلیک کنید و فایل .akey دریافت می شود . حالا مدیر شبکه با انتخاب هر کامپیوتری می تواند دسترسی به کلید را اعمال کند فرمت کلید در زمان دریافت کاربران به صورت .acode می شود .

این دسترسی نباید کمتر از یک ساعت و بیشتر از 999 ساعت باشد ، و همانطور که در بالا گفتیم به صورت پیش فرض 24 ساعت است . سپس پیامی برای کاربر اجرا می شود به صورت Active access code که کاربر می تواند با کلیک روی ان کلید را فعال کند .

- مانیتورینگ Device Control

رخداد ها به نام Operation with the device prohibited جمع اوری می شوند و در بخش تب Critical event می توان لاگ های سخت افزار های بلاک شده را مشاهده کرد . همچنین در لاگ Operation with the device allowed می توان رخداد هایی را مشاهده کرد که نشان دهنده سخت افزار های غیر ممنوعه می باشد .

این رکورد ها به صورت پیش فرض به مدت 30 روز نگهداری می شوند . در بخش لاگ Report on Device Control events به صورت عمومی عملکرد دستگاه ها را می توان مشاهده کرد . گزارشی از دستگاه های بلاک شده و غیر بلاک در زمان اتصال و عدم اتصال در اینجا جمع اوری می شوند .

آموزش آنتی ویروس Kaspersky سرور قسمت 82 : ابزار Web Control

• Web Control

وب کنترل یک ساختار فیلترینگ اینترنت برای دسترسی به صفحات وب است ، وب کنترل خیلی شبیه به فایروال کار می کند مدیر شبکه می تواند رول هایی از نوع Allow و Block برای آن تعریف کند و به صورت پیش فرض رول بر روی مد Default rule بوده و دسترسی به تمامی صفحات وب امکان پذیر است .

نکته : تنها ترافیک های HTTP و HTTPS اسکن می شوند

• - مسدود کردن تهدید

برای بلاک کردن و جلوگیری از دسترسی صفحات وب مورد نظر فرمت نوشتاری به صورت ? و خواهد بود مثلاً shop یا .fm . کسپرسکی Endpoint انالیز صفحات وب را انجام می دهد و دارای کلاس بندی زیر است :

• - سایت های فروشگاه اینترنتی
• - سایت بانک ها
• - سایت های پرداخت آنلاین
• - سرویس دهندگان ایمیل
• - شبکه های اجتماعی
• - چت روم ها و فروم ها
• - وبلاگ ها
• - سایت های دوست یابی
• - شبکه های کاریابی
• - شبکه های خرید اسلحه و سلاح گرم و سرد
• - سایت های مدیا
• - سایت های دانلود
• - سایت های بازی
• - سایت های قمار بازی
• - سایت های بزرگسالان

محتوای سایت ها و ادرس URL آنها اسکن می شود و پالیسی بر روی این ویژگی ها پیاده سازی می شود .

- نحوه مستثنا کردن وب کنترل

با توجه به مراحل زیر می توان محتوایی که می خواهیم مستثنی شوند ( تراست باشند ) را تعیین کنیم :

- نحوه گزارش گیری از وب کنترل

با استفاده از مراحل تصویری زیر می توانید گزارش گیری وب کنترل را چک کرد :

- مشاهده نتایج وب کنترل به کاربران

همچنین می توان در ابزار وب کنترل آنچه کاربران در هنگام باز کردن یک آدرس یا محتوای ممنوعه اقدام میکنند صفحات هشداری را سفارشی و طراحی کرد :

ایجاد متن اخطاری :

آموزش آنتی ویروس Kaspersky سرور قسمت 83 : گزارش به ایمیل

• حفظ امنیت در کسپرسکی سرور 10

در این بخش به پارامتر های حفظ امنیت و یکپارچگی حریم امنیتی کسپرسکی سرور 10 بحث خواهیم کرد :

• - به صورت روزانه ( محدود سازی تهدیدات ، اطمینان از کار کردن حفاظ های امنیتی برای کلاینت ها )
• - روزانه / هفتگی ( اطمینان از بروزبودن کلاینت ها ، اتصال داشتن به KSN )
• - ماهیانه ( بهینه سازی دیتا بیس کسپرسکی سرور ، بک آپ گیری و اطمینان از کار کردن بک آپ خودکار کسپرسکی سرور )
• - سه ماهه ( چک کردن بروزرسانی برنامه ها و نصب آنها )
• - سالیانه ( بروز کردن لایسنس ، نصب سرویس پک )
• - هر 2-3 سال ( نصب نسخه جدید )

- ارسال گزارشات به ایمیل

در کسپرسکی سرور می توان تنظیمات ارسال گزارشات به ایمیل مدیر شبکه را انجام داد ، برای تنظیم :

1. روی تب Report در بخش Administration Server و بر روی دکمه Configure report delivery کلیک کنید
2. برای ساخت Task وارد بخش Task ها شده و گزینه Create Task را بزنید و نام این تسک را Report type بگذارید
3. حالا می توانید پارامتر های تسک و فرمت آن را انتخاب کنید ( Html - xml - pdf )
4. می توانید بر روی Schedule تسک ( در پراپرتیس هر تسک ) رفته و زمان ارسال گزارشات که پیش فرض روی ساعت 8 صبح تنظیم شده را تنظیم کنید

- سفارشی سازی گزارشات

شکل زیر نمایی از ساخت یک گزارش یک روزه را نشان می دهد :

- گزارش گیری های فیشینگ

مراحل ایجاد گزارش فیشینگ را می توانید در شکل زیر ببینید :

- ارسال گزارشات به ایمیل که در کنسول مدیریتی مشاهده نمی شوند

شکل زیر مراحل ایجاد گزارشی که در کنسول مدیریتی دیده نمی شود را نشان می دهد :

- تغییر آدرس ایمیل

مراحل تغییر آدرس ایمیل سرور مدیر شبکه برای دریافت گزارشات به صورت زیر است :

آموزش آنتی ویروس Kaspersky سرور قسمت 84 : گزارش کامپیوترهای آلوده

• ساخت یک گزارش هفتگی درباره کامپیوتر های آلوده

- Security-Center

1- وارد پراپرتیس Report on most heavily infected devices شوید

2- تغییر نام دهید Monthly report on most heavily infected devices و بر روی OK کلیک کنید

3- یک گزارش جدید بسازید و کلیک کنید روی Create a report template

4- نام گزارش را Weekly report on most heavily infected devices و روی Next کلیک کنید

5- انتخاب کنید Report on most heavily infected devices و Next کنید

6- بر روی Next کلیک کنید و دوره زمانی را روی 7 روز قرار دهید

7- به دیگر تنظیمات دست نزنید و Next کنید

آموزش آنتی ویروس Kaspersky سرور قسمت 85 : ارسال گزارش به ایمیل

• تنظیم گزارشات مهم و ارسال به سرویس ایمیل

در این آزمایش قصد داریم یک گزارش هفتگی در زمان Mondays at 10 a.m را به وسیله ایمیل ارسال کنیم و گزارشات زیر را ارسال کنیم :

• - Protection status report
• - Database usage report
• - Weekly report on most heavily infected devices
• - Network attack report
• - Security-Center

1- بازکردن لیست تسک ها و انتخاب نود Tasks

2- انتخاب تسک Deliver reports

3- کلیک روی لینک Configure task

4- سپس روی Report type کلیک کنید

5- حالا گزارشات زیر را انتخاب کنید :

• - Weekly report on most heavily infected devices
• - Database usage report
• - Network attack report

6- سوییچ کنید روی Schedule

7- حالا تنظیمات ایمیل را بر روی Weekly قرار دهید

8- انتخاب Monday and 10:00 a.m و روی OK کلیک کنید

آموزش آنتی ویروس Kaspersky سرور قسمت 86 : Virus Scan Task 

• اماده سازی تسک ویروس اسکن در یک زمان مشخص

-Security-Center

1- باز کردن Managed devices و سوییچ روی Tasks

2- حالا از تسک Quick Virus Scan یک کپی و شورتکات ایجاد کنید

3- حالا وارد بخش Tasks ها شوید

4- تسک کپی شده قبلی در مرحله 2 را را در اینجا Paste کنید

آموزش آنتی ویروس Kaspersky سرور قسمت 87 :Diagnostics Utility

• ایجاد لاگ های ردیابی یک کامپیوتر

در این آزمایش قصد داریم تا با ابزار remote diagnostics utility که یکی از محصولات شرکت کسپرسکی است یک ردیابی به Kaspersky Endpoint Security ایجاد کنیم سپس لاگ ها را دانلود کنیم و در لاگی به نام Kaspersky Event Log and System آنها را بایگانی کنیم

• ماشین های Security-Center

- Security-Center

1- انتخاب کنید بخش Administration Console

2- انتخاب کنید Managed devices\Workstations و روی تب Policies بروید

3- داخل پراپرتیز بخش KES 10 SP2 workstation policy شوید

4- باز کنید Application Startup Control

5- چک باکس Protection_Cryptomalware را بردارید و روی OK کلیک کنید

6- صبر کنید تا پالیسی اعمال شود

7- بروید داخل نود Managed devices

8- حالا PC1 را در اینجا پیدا کنید و یا در کادر جستجو آن را پیدا کنید

9- حالا PC1 را بنویسید و بر روی Find now کلیک کنید

10- حالا مطمئن شوید که کامپیوتر PC1 مشاهده شود

11- حالا روی آن راست کلیک کنید و بر روی Custom tools\Remote diagnostics

12- در کادر Device نام کامپیوتر PC1 را پیدا کنید

13- روی Sign in کلیک کنید

14- حالا برای فعال سازی ردیابی بر روی Kaspersky Endpoint Security 10 for Windows

15- بر روی لینک Enable tracing کلیک کنید

16- حالا میزان ردیابی را روی 500 تنظیم کنید

17- حالا برای ری استارت کردن Endpoint کسپرسکی بر روی لینک Restart application کلیک کنید

18- حالا صبر کنید تا کسپرسکی Endpoint ری استارت شود و عبارت Operation completed successfully نمایان شود

19- برای غیر فعال کردن ردیابی می توانید از گزینه Disable tracing استفاده کنید

20- باز کنید Kaspersky Endpoint Security 10 for Windows/Trace files

21- حالا بر روی لینک Download file کلیک کنید

22- دانلود ها در فولدر Trace files وارد می شود

23- برای مشاهده اطلاعات دانلود شده System info

24- کلیک کنید روی Load system information

25- باز کنید Event log و ان را ذخیره کنید در Kaspersky Event Log و System log

26- کلیک کنید روی لینک Download folder

27- حالا چک کنید که لاگ ها ایجاد شده باشد

28- حالا diagnostics utility را ببندید

29- مواظب باشید لاگ ها پاک نشود کلیک کنید بر روی No

40- باز کنید پراپرتیز KES 10 SP2 workstation policy

41- باز کنید Application Startup Control

42- فعال کنید رول Protection_Cryptomalware و روی OK کلیک کنید .

آموزش آنتی ویروس Kaspersky سرور قسمت 88 : Backup و Restore

• Back up , Restore Kaspersky Security Center

در این آزمایش قصد داریم کپی از بک آپ برای Kaspersky Security Center را انجام دهیم

• ماشین های DC و Security-Center را روشن کنید

• ماشین های Laptop - PC1 را روشن کنید

- Security-Center

1- وارد بخش Administration Console

2- بر روی Tasks بروید

3- انتخاب کنید تسک Backup of Administration Server data

4- کلیک کنید روی Configure task

5- سوییچ کنید بر روی Settings

6- حالا مسیر بک آپ که %ProgramData%\KasperskySC\SC_Backup را بررسی کنید

7- پسورد certificate سرور را root تعریف کنید

8- وارد Notification شوید

9- چک باکس Send email فعال کنید

10- بردارید چک باکس Notify of errors only و OK کنید

11- حالا بر روی تسک backup گزینه Start را کلیک کنید

12- حالا پیامی با مضنون ری استارت شدن کسپرسکی سرور داده می شود و روی OK کلیک کنید

آموزش آنتی ویروس Kaspersky سرور قسمت 89 : Restore بکاپ

• بازیابی کسپرسکی سرور

در این آزمایش می خواهیم کسپرسکی سرور را از روی یک کامپیوتر دیگر بازیابی کنیم :

• - ماشینی به نام Spare-Security-Center ایجاد می کنیم و ان را روشن کنید
• - با نام کاربری Administrator و پسورد Qwerty!@ وارد شوید
• - برنامه Backup Utility را در منوی Start اجرا کنید
• - انتخاب کنید Restore Administration Server data و روی Next کلیک کنید

- بر روی Select کلیک کنید

- پسوردی را در این بخش به نام root قرار دهید

- بر روی next کلیک کنید

- در پایان Finish کنید

حالا وارد سرور کسپرسکی شود :

1- بر روی Administration Console بروید

2- باز کنید پنجره Managed devices

3- حالا چک کنید نود های Servers و Workstations در اینجا مشاهده شوند

4- حالا نود Laptops را کلیک و روی تب Policies بروید

5- حالا بر روی پالیسی KES 10 SP2 out-of-office policy کلیک کنید

6- حالا بر روی Devices کلیک کنید

7- باز کنید پراپرتیز ماشین Laptop

8- بر روی Applications کلیک کنید

9- حالا مطمئن شوید پالیسی Kaspersky Endpoint Security 10 Service Pack 2 for Windows وو Kaspersky Security Center Network Agent nv در حال اجرا باشند

آموزش آنتی ویروس Kaspersky سرور قسمت 90 : برخورد با باج افزار ها

• انتخاب رویدادهای مورد نیاز

شما به عنوان یک مدیر شبکه لازم است تا هر کدام از پیام هایی که کسپرسکی سرور دریافت می کند را چک کنید در اینجا تعدادی از پیام های و رخداد های مهم را بررسی می کنیم :

• - Active threat detected Advanced Disinfection should be started : هنگامی یک برنامه خرابکارانه جلوی اجرای برنامه ها را می گیرد اما کسپرسکی Endpoint نمی تواند آن را شناسایی کند کاربر یا مدیر شبکه باید یک دیواره دفاعی پیشرفته را ایجاد کند
• - Malicious object detected (KSN) : یک بدافزار هنگامی که شناسایی می شود درخواستی به KSN ارسال می شود مبنی بر امضای دیجیتالی آن بدافزار همراه با اخرین بروزرسانی ، مدیر شبکه باید به دقت این بخش را مانیتور کند تا اتفاقی برای شبکه نیفتد .
• - Previously opened phishing link detected : اطلاعات که لینک های فیشینگ دارند قبل از آنکه کاربر آنها را باز کند سریعاً مسدود می شوند
• - Process terminated : باج افزار ها هنگامی که در یک کامپیوتر شروع به کار می کنند ممکن است با فعال بودن Endpoint نیز صدمه وارد کنند
• - Network attack detected : حملات محلی در شبکه را نشان می دهد
• - Application Privilege Control rule triggered : اگر شما بخش Application Privilege Control را تنظیم کرده باشید ( در مباحث قبلی درباره این ابزار بحث شده است ) بر روی اسناد متنی که باج افزار ها می توانند از طریق آنها وارد کامپیوتر شوند حفاظت خواهد شد حتی زمانی که شما اسناد متنی را ویرایش و یا تغییر می دهید .

هر بخش پالیسی مانند Kaspersky Endpoint Security Policy دارای بخشی به نام Event notification است که آخرین رویداد ها را در بخش Info آرشیو می کند و بخشی هم به نام Critical events که ارشیوی از اخرین رویداد های تهدید آمیز و مخرب است

بعضی از رویداد ها که شامل طلاعات مهمی هستند شامل بیش از چندین نوع رویداد و گزارش هستند نظیر رویداد Threats have been detected که شامل اطلاعاتی درباره یک ویروس انتشار یافته و ده ها و صد ها فراخوان و رویداد دیگر است .

شما می توانید تعداد رویداد ها را محدود کنید برای تنظیم می توانید به بخش Administration Server رفته و وارد پراپرتیس شده و گزینه Notification delivery settings را انتخاب کنید و روی لینک Configure numeric notification limit کلیک کنید .

- برخورد با باج افزار ها ( Malware )

یکی از بحث های عمده امنیت با کسپرسکی سرور 10 بر روی تهدیدات باج افزار ها متمرکز بود ، باج افزار ها از جمله تهدیداتی هستند که با کدگذاری های بسیار پیچیده مشکلات زیادی را برای کاربران و شبکه شما ایجاد می کنند در اینجا طرحی که KES برای حذف باج افزار استفاده می کند را بررسی می کنیم :

• - قابلیت حذف و مسدود سازی و پاکسازی مقدور است
• - تمامی ردپای به جا مانده از ویروس حذف و یا مسدود می شود
• - اگر کامپیوتری آلوده شده باشد ان را ایزوله می کند
• - ارتباط با Endpoint کسپرسکی را مدام چک می کند
• - کامپیوتر ها کامل اسکن می شوند

چنانچه راهکار های بالا قادر به جلوگیری از باج افزار نباشند ، بازیابی کامپیوتر از یک ایمیج پیشنهاد می شود

همچنین برای شناسایی کامپیوتر کلاینت هایی که به باج افزار آلوده شده اند می توان از بخش پراپرتیس نود Managed devices بر روی Device status کلیک کنید و با انتخاب چک باکس Many viruses detected وضعیت آنها را مشاهده کنید در ایجا وضعیت Warning با رنگ زرد مشخص شده است همچنین وضعیت Critical به رنگ قرمز مشخص شده و با انتخاب چک باکس Set status to Warning if تنظیمات اعمال می شود .

در بخش monitoring در نود Administration Server می توان بخش عمده ای از اطلاعات حفاظتی را مشاهده کرد این اطلاعات را می توان در بخش های There are unprocessed objects یا در Many viruses detected با جزییات بیشتری چک کرد .

در بخش Protection settings می توانید وضعیت تهدیدات را مشاهده کنید همچنین می توانید لیست کلاینت هایی که از وضعیت حفاظت خارج شده اند با protection is off و there are unprocessed objects چک کنید .

نکته : چنانچه می خواهید لیستی از ویروس های شناسایی شده در کامپیوتری را مشاهده کنید کافیست از آن پراپرتیس گرفته و وارد بخش Protection و روی لینک View report on viruses کلیک کنید

- اسکن ناحیه آلوده

با استفاده از تسک Critical Areas Scan می توانید کامپیوتر های زیادی را اسکن و از وجود ویروس ها پاکسازی کنید :

1. بر روی کامپیوتر مورد نظر پراپرتیس بروید
2. بر روی Tasks کلیک کنید
3. حالا پیدا کنید تسک Critical Area Scan و ان را اجرا کنید

این تسک یک تسک محلی است و همراه با Kaspersky Endpoint Security نصب می شود . چنانچه بخواهید اسکن گروهی بر روی کلاینت ها اجرا کنید باید از گزینه Quick Virus Scan استفاده کنید . وارد بخش Tasks شده و حالا تسک Quick Virus Scan را ایجاد کنید ، اگر قصد دارید تا این تسک بر روی یک تعداد خاص انجام شود بر روی کامپیوتر های مورد نظر راست کلیک کنید و از گزینه All Task وارد Run a task شوید .

تسک دیگری به نام Perform Task می تواند تمامی کامپیوتر های بخش Selection را اسکن کند

آموزش آنتی ویروس Kaspersky سرور قسمت 91 : قرنطینه کامپیوتر آلوده

• قرنطینه کردن یک کامپیوتر و جلوگیری از فعالیت آلوده کننده

همانطور که در بحث های قبلی گفته شد باج افزار ها در هنگام اجرا شدن ، توسط کسپرسکی Endpoint شناسایی می شود ، ابزارهای Application Privilege Control و System Watcher در این امر وارد عمل می شوند ، همچنین ابزار Anti-Virus قادر به اسکن برنامه ها در حافظه موقت کامپیوتر ها نیست .

اگر یک باج افزار وارد شود و Endpoint نتواند جلوی آن را بگیرد ابزار Advanced Disinfection استفاده خواهد شد . این تکنولوژی به صورت پیش فرض غیر فعال است ، برای اینکه با شروع به کار خود برنامه ها مسدود شده و کامپیوتر را ری استارت می کند ، اگر کامپیوتری آلوده به باج افزار ها شد :

- آن را از شبکه خارج کنید

- پالیسی را غیر فعال می کنید می توانید با دستور Disable policy در میانبر منوی KES اینکار را انجام دهید

نکته : برای استفاده از این دستور ، پسورد حفاظت از Endpoint کسپرسکی باید فعال باشد

- کسپرسکی Endpoint را باز کنید و وارد تب Settings شوید

- انتخاب نود Anti-Virus Protection و سپس انتخاب چک باکس Enable Advanced Disinfection technology را انجام دهید

- روی تب Protection and Control اجرا کنید Full Scan

نکته : در هنگام اجرای Advanced Disinfection technology هرگز برنامه ای را اجرا و فعال نکنید تا مراحل اسکن تمام شود و بعد از پاکسازی باج افزار کامپیوتر را ری استارت کنید

- ریست کردن شمارش ویروس

یافتن ویروس ها لاگ هایی را در کسپرسکی سرور ایجاد می کند که شما میتوانید این لاگ های شمارشی را به راحتی ریست کنید ، یکی از این روش ها وارد شدن به کامپیوتر موردنظر و کلیک روی All tasks و Reset Virus Counter را بزنید . این گزینه را در بخش Managed devices با گزینه Reset virus counter می توانید انجام بدید .

آموزش آنتی ویروس Kaspersky سرور قسمت 92 : از کار افتادن Endpoint

• جلوگیری از عدم فعال بودن Endpoint کسپرسکی

در این مبحث درباره عواملی که باعث می شوند تا Endpoint کسپرسکی از کار بیفتد و اینکه چگونه می توان جلوی عوامل از کار افتادگی آن را بگیریم بحث می کنیم :

• - Agent کسپرسکی نصب شود ، اگر برای Agent پسورد قرار ندهید کاربران می توانند آن را پاک کنند بنابراین برای Agent کسپرسکی طبق آموزش های مباحث قبلی پسورد قرار دهید
• - Endpoint کسپرسکی با تعریف پسورد برای آن می توانید جلوی پاک شدن توسط کاربران را بگیرید
• - پالیسی ها را قفل کنید تا کاربران قادر به تغییر آن نباشند ، شما باید در بخش تنظیمات پالیسی گزینه های مهم را قفل گذاری کنید
• - همیشه از Password protection استفاده کنید چرا که اگر فعال نباشد به راحتی می توان Endpoint کسپرسکی را Exit کرد حتی بدون داشتن مجوز دسترسی مدیریتی به آن

همچنین وضعیت های حفاظتی را بررسی کنید :

• - وضعیت های Warning و Critical که به صورت پیش فرض فعال هستند را چک کنید و بررسی کنید که چه برنامه های نا امنی روی کامپیوتر ها نصب شده است
• - حالت Real-time Protection و درجه های مختلف آن را تنظیم کنید این ابزار پیش فرض غیر فعال است شما می توانید آن را فعال - استاپ - پاز کنید
• - وضعیت Protection is off که به صورت پیش فرض فعال و در بخش Critical قابل مشاهده است

چنانچه بخواهید کامپوننت هایی که از کار افتاده اند را بررسی کنید می توانید از بخش Events در محل Administration Server استفاده کنید ، سپس روی Selection name کلیک کنید و در سمت راست Selection events text و انتخاب کنید Functional failures

- بررسی پالیسی

چنانچه ملاحظه کردید در Endpoint کسپرسکی بعضی از ابزار ها غیر فعال هستند به تنظیمات پالیسی کسپرسکی سرور رفته و در آنجا چک کنید که کئتم ابزار ها را غیر فعال کرده اید . اگر ملاحظه کردید که وضعیت Protection is off است مراحل زیر را بررسی کنید :

• - روی کامپیوتر مورد نظر راست کلیک و پراپرتیس بزنید و وارد تب Application بشوید
• - نام کامپیوتر را به خاطر سپرده و چک کنید که دارای Endpoint و سرویس پک آن باشد
• - حالا پراپرتیس را بسته و وارد گروهی که عضو آن است شده و Go to device را بزنید
• - تب پالیسی را بزنید
• - روی Inherited policies رفته و در بخش Show فعال بودن پالیسی روی گروه یا گروه ها را چک کنید
• - حالا نسخه Endpoint را چک کنید
• - همچنین در بخش پالیسی می توانید با کلیک روی Details اطلاعات بیشتری را از پالیسی فعال روی کامپیوتر بگیرید

آموزش آنتی ویروس Kaspersky سرور قسمت 93 : حفاظت راه دور کلاینت

• حفاظت راه دور از یک کامپیوتر

چنانچه وضعیت Kaspersky Anti-Virus is not running باشد ، برای حل این مشکل در بخش Application در پراپرتیس کامپیوتر مورد نظر وارد شوید ، همچنین وارد تب Tasks شوید و کامپوننت های جداگانه را بررسی کنید که غیر فعال هستند یا خیر ، یکی دیگر از روش های بررسی شروع به کار Endpoint کسپرسکی ورود به تسک Start or stop application است که در هر گروه از پالیسی های ایجاد شده وجود دارد . همچنین در تسک گروه یک رویدادی به نام Virus outbreak وجود دارد که هنگامی که کامپیوتر ها در شبکه شروع به کار می کنند فعال می شود

- عدم سرویس دهی کسپرسکی سرور

اگر حفاظت از کلاینت ها و سرور ها کارایی خود را از دست بدهد ، وضعیت بدی اتفاق خواهد افتاد . از جمله مواردی که می توان بررسی کرد :

• - ساخت تسک بروزرسانی برای کلاینت ها که پیش فرض ساخته شده است
• - زمانبندی برای تسک ها ، مدیر شبکه می تواند برای اجرای تسک ها زمانبندی هایی ترتیب دهد ، گزینه ای هم برای اینکه تسکی در زمان تعریف شده امکان کار کردن را نداشت مجدداً شروع به کار کند
• - مبدا تسک ، در شبکه می توانید کسپرسکی سرور را با تسک خاصی بهینه سازی کرد
• - تسک " Download update to the repository " برای Administration Server فعال باشد ، به صورت پیش فرص فعال است و ممکن است تصادفی حذف شده باشد

- از کار افتادن دیتابیس

اهمیت صفحه Monitoring را نادیده نگیرید گزینه مهمی برای بررسی تمامی عیب ها و عملکرد های نادرست کسپرسکی سرور و ابزار های آن است :

چنانچه با غیر فعال شدن دیتابیس کسپرسکی سرور 10 مواجه شدید شما اولین کاری که باید انجام دهید بررسی فعال بودن تسک Download updates to the repository است تا اخرین بروزرسانی های سرور را دریافت کند . چنانچه مشکل با بروزرسانی حل نشد می توانید از بخش بروزرسانی Go to Kaspersky Lab softwareدر بخش Update در صفحه Monitoring وارد شوید و در بخش Advanced Repositories Kaspersky Lab software updates and patches اقدام به بروزرسانی برنامه کسپرسکی سرور کنید .

- بروزرسانی Administration Server

هنگامی که کسپرسکی سرور 10 بروزرسانی ها را دریافت می کند آنها را برای کلاینت ها ارسال می کند ، همچنین شما به عنوان یک مدیر شبکه باید بررسی کنید که آیا کامپیوتر هایی که در تب Managed computers هستند بروزرسانی می شوند !!! همچنین شما می توانید با طی کردن ویزارد Quick Start تسک Install update را ایجاد کنید .

نکته : شما نمی توانید همزمان تسک های مشابه را در گروه ها و زیر گروه ها اجرا کنید ، همچنین اگر در شبکه کامپیوتر هایی دارید که مثلاً محصولات اپل هستند باید تسک های جداگانه ای را ایجاد کنید

- بروزرسانی Endpoint کسپرسکی

به طور کلی بروزرسانی Endpoint کسپرسکی سرور با تسکی به نام When new are download to the repository انجام می شود ، بروزرسانی کلاینت ها با پورت UDP - 15000 صورت می گیرد این پورت را Agent کسپرسکی بررسی می کند سپس به سمت Endpoint آن را ارسال می کند .

از منابعی که بروزرسانی کلاینت ها انجام می شود :

• - Kaspersky Lab update servers : یکی از پارامتر های پیشنهادی برای وقتی که کلاینت ها از سرویس دهی کسپرسکی سرور خارج می شوند است
• - Local - Network update folder : یک ادرس HTTP یا FTP آدرس است ، که شما می توانید آن با تعریف یک پوشه در شبکه ایجاد کنید .

- بروزرسانی کسپرسکی سرور

یکی از مهمترین تسک های بروزرسانی Administration Server تسک Download updates to the repository است که به صورت خودکار می توانید در بخش Task ها با یک ویزارد آن را ایجاد کنید .

• - Kaspersky Lab update servers : سرور هایی که با HTTP و FTP کار می کنند لیست شده اند ، این سرور ها در بخش هاش مختلف جهان قرار گرفته اند و کمک می کنند که پروسه بروزرسانی خیلی سریع انجام شود .
• - Master Administration Server : برای زمانی استفاده می شود که چندین کسپرسکی سرور در شبکه داشته باشید ( این مبحث در دوره KL 302.10 هست و موضوع بحث ما نیست )
• - Local یا Network folder : این منبع بروزرسانی را مدیر شبکه ایجاد می کند بر اساس یک پوشه در شبکه و با پروتکل های FTP و HTTP کار می کند .

آموزش آنتی ویروس Kaspersky سرور قسمت 94 : پراکسی سرور

• پراکسی سرور برای Administration Server

ممکن است شما بخواهید از پراکسی سرور برای بروزرسانی Administration Server استفاده کنید ، این ویژگی به صورت پیش فرض فعال نیست و باید آن را ایجاد کنید :

- در Administration Server پراپرتیس را بزنید و وارد تب Advanced / Configuring Internet access شوید

- ادرس سرور پراکسی و پورت و نام کاربری و پسورد برای احراز هویت را وارد کنید

بروزرسانی Agent نیز به صورت دستی و هم به صورت خودکار انجام می شود برای اینکه بروزرسانی خودکار را غیرفعال کنید :

• - در بخش Administration Server پراپرتیس را بزنید و وارد بخش باز کنید Update Agents شوید
• - چک باکس Assign update agents automatically را بردارید

حالا مدیر شبکه می تواند Agent را دستی بروزرسانی کند .

- کامپیوتر هایی که از KSN خارج شده اند

چنانچه Endpoint کسپرسکی دستری به KSN نداشته باشد ، باید بررسی شود که Administration Server در بخش وضعیت KSN Server غیر فعال شده یا خیر ، این وضعیت در صفحه Monitoring قابل مشاهده نیست به صورت پیش فرض اتصال سرویس ها با پورت TCP - 13111 انجام می شود ، در صورت عدم دسترسی موارد زیر را بررسی کنید :

• - پراپرتیس Administration Server را بزنید
• - به بخش KSN proxy Server / KSN proxy server statistics بروید
• - کلیک کنید روی Check KSN connection

آموزش آنتی ویروس Kaspersky سرور قسمت 95 : قطع شدن Agent

• بررسی قطع یک کامپیوتر در مدت زمان طولانی

اگر ملاحظه کردید که کامپیوتری در مدت زمان طولانی اتصال به کسپرسکی سرور ندارد موارد زیر را بررسی کنید :

• - مدت زمان طولانی اتصال نداشته باشد به صورت پیش فرض کسپرسکی سرور هر 14 روز کامپیوترهایی که اتصالشان قطع باشد را بررسی می کند
• - قطع اتصال دستگاه هنگامی است که Agent کسپرسکی با کسپرسکی سرور تماسی ندارد

اگر وضعیت کامپیوتری Not connected برای مدت طولانی باشد این به این معنی است که از اتصال با شبکه کسپرسکی سرور خارج شده است ، شما آن را یکبار پاک کنید و اگر مجدداً متصل شود وارد گروه Unassigned device خواهد شد . همچنین اگر کلاینت از شبکه خارج شده باشد کسپرسکی سرور ظرف 60 روز آن را از لیست خارج می کند این پارامتر را می توانید در بخش Managed devices و انتخاب Devices در پارامتر Delete the device from the group if it has been inactive for longer than ( days ) مشاهده کنید .

- اتصال یک کلاینت به سرور

اگر در کامپیوتری وضعیت " Device connection lost " باشد از موارد زیر مطمئن شوید :

• - نصب Agent
• - اجرای Agent

همچنین با اجرای برنامه Klnagchk.exe در مسیر % Program Files ( X86 )% \ Kaspersky Lab \ NetworkAgent می توانید برای چک کردن اتصال و کارکرد Agent استفاده کنید .

• - وارد CMD شوید
• - بروید به پوشه Network Agent
• - شروع کنید Klnagchk.exe

نکته : برای زمانبندی می توانید از دستور Klnagchck.exe - sendhb استفاده کنید

این دستور باید به صورت لوکالی روی کامپیوتر اجرا شود

- خارج کردن اتصال یک کلاینت از سرور

شما می توانید اتصال کلاینت را با حذف Agent کسپرسکی قطع کنید و یا از ابزار Klmover.exe به صورت لوکالی این کار را انجام دهید :

- تماس با پشتیبانی کسپرسکی

هنگامی که کسپرسکی Endpoint از کار میفتد و یا اینکه پیام های خطایی می دهد که مانع عملکرد درست آن می شود شما می توانید موضوع را به پشتیبانی شرکت کسپرسکی اطلاع دهید . شما ممکن است به موارد زیر احتیاج داشته باشید :

- لاگ های ویندوز

- لاگ های Endpoint کسپرسکی

- لاگ های Trace ( شما نیاز به نصب و اجرای برنامه Diagnostics utility دارید )

برای تماس با واحد پشتیبانی می توانید از لینک Https://companyaccount.kaspersky.com استفاده کنید

با برنامه Getsysteminfo که می توانید از سایت getsysteminfo.com ان را دریافت کنید یک لاگ مفصل از اطلاعات کامپیوتر جمع آوری کنید که درباره لاگ های ویندوز و سیستم باشد .

شما حالا می توانید با واحد پشتیبانی تماس بگیرید :

آموزش آنتی ویروس Kaspersky سرور قسمت 96 : بروزرسانی Network Agent

• بروزرسانی Network Agent

بروزرسانی Network Agent را می توان بدون ایجاد Task به صورت خودکار انجام داد ، هنگامی که بروزرسانی از کسپرسکی اعلام می شود مدیر شبکه می تواند Agent را دانلود کند و آن را به صورت محلی نصب کند ، به صورت پیش فرض در Administration Server نصب Network Agent و بروزرسانی آن انجام می شود :

1- وارد تب پالیسی شوید و روی گزینه Policy of Network Agent کلیک کنید

2- حالا بر روی Manage patches and updates کلیک کنید

3- حذف چک باکس Install application updates with Undefined approval

نکته : برای نصب نسخه جدید Network Agent ابتدا آن را بر روی یک کامپیوتر در گروه امتحان کنید و بررسی کنید که نصب موفقیت آمیز هست یا خیر

همچنین مدیر شبکه می تواند برای جلوگیری از بروزرسانی همیشگی از گزینه Update Approval در بخش Declined استفاده کند ، برای جلوگیری از بروزرسانی Network Agent نسخه های قدیمی ( قبل از سرویس پک 1 ) می توانید از تسک Download updates to the repository استفاده کنید :

1. در نود Task وارد پراپرتیس شوید و تسک Download updates to the repository را انتخاب کنید
2. سوییچ کنید روی Settings و در Other settings روی عبارت Configure ... کلیک کنید
3. بردارید چک باکس Update Agent modules ( for Network Agent version earlier than 10 Service Pack 10 )

 آگاهی از بروزرسانی های جدید

برای آگاهی یافتن از بروزرسانی جدید در خش Update از صفحه Monitoring می توانید نسخه و سرویس پک را بررسی کنید . پیام هایی نظیر :

• بروزرسانی کامپوننت های Kaspersky Security Center 10
• بروزرسانی ابزار های Kaspersky Lab
• اخرین نسخه از ابزارهای Kaspersky Lab

بخش Current application versions تمامی این آیتم ها را نشان می دهد

همچنین برای یافتن آخرین بروزرسانی های نسخه و تولید و زبان برنامه ها می توانید :

بروزرسانی لایسنس

هنگامی که لایسنس کسپرسکی سرور 10 به اتمام می رسد نیاز هست که مجدداً خریداری شود ، در هنگام خرید به پارامترهای تعداد کلاینت ها و سرور ها - و نیاز به ابزار هایی نظیر رمزگذاری روی اطلاعات و نصب اپدیت های ویندوز به صورت خودکار دقت کنید برای مشاهده تاریخ و زمان انقضا لایسنس به تصویر زیر دقت کنید :

- همچنین برای مشاهده فعال بودن تعداد لایسنس هایی که خریداری کردید :

• برای اعمال لایسنس ها روی یک کامپیوتر هم می توانید از راهنمای زیر استفاده کنید :

- برای فعال سازی لایسنس Administration Server :

این فعال سازی تنها برای نسخه 10 مورد نیاز است و در نسخه Core پشتیبانی نمی شود و یک KESB لایسنس پیشرفته است .

• تغییر لایسنس ها

گاهی اتفاق می افتد که مدیر شبکه قصد دارد لایسنس جدید را مجدداً عوض کند ، بنابراین برای این کار روی نود Tasks بروید و سپس در مسیر Distribute key on the client computer رفته و روی Advanced Application management Kaspersky Lab licenses کلیک کنید .

آموزش آنتی ویروس Kaspersky سرور قسمت 97 : بک آپ و بازیابی سرور

• تنظیمات Backup در کسپرسکی سرور 10

از جمله دلایلی که نیاز هست تا در کسپرسکی سرور 10 از بک آپ استفاده کنیم می توان به موارد ، نگهداری و حفظ تمامی تنظیمات ، مهاجرت Administration Server به کامپیوتر دیگر و حفظ و نگهداری تمامی بروزرسانی های Administration Server اشاره کرد و مهتر از همه شما را مطمئن می سازد که بتوانید بازیابی اطلاعات را انجام دهید . برای تنظیمات گرفتن بک آپ :

این بک آپ در مسیر پوشه SCBackup بر روی Administration Server و %programData%KaspereskySC\ScBackup قرار دارد . یکی از ریسک هایی که مدیران شبکه ممکن است انجام دهند اکتفا کردن به یک درایو برای نگهداری بک آپ هاست شما می توانید آنها را در درایو های جداگانه کپی کنید . همچنین گاهی این فایل ها به گیگابایت می رسند بنابراین درایوی با حجم بالا به آن اختصاص دهید .

- بازیابی بک آپ

بعد از مراحل بک آپ گیری ممکن است لازم باشد تا آنها را بازیابی کنید ، متاسفانه در کسپرسکی سرور Task برای بازیابی تعریف نشده است و شما می توانید از ابزار Klbackup.exe استفاده کنید که از منوی Start ویندوز قابل دسترسی است .

مباحث کسپرسکی سرور 10 در بیستمین سالگرد تاسیس کمپانی کسپرسکی به پایان رسید :

یکی از کاربران از بنده خواسته بودن آموزش بستن برنامه سایفون ( ف ی ل ت ر شکن ) را با کسپرسکی سرور 10 آموزش بدم ، تصمیم گرفتم این آموزش را در داخل سایت قرار بدم تا کاربران کسپرسکی سرور 10 هم استفاده کنند !

1- ابتدا وارد کنسول کسپرسکی سرور شوید سپس منوی Advanced >>> Application Management >>> Application categories را باز کنید

2- در منوی Application categories در سمت راست راست کلیک کنید و Create >>> Category را بزنید

3- حالا 3 انتخاب داریم بالاترین و اولین گزینه را انتخاب کنید

4- حالا نامی را برای این دسته بندی قرار دهید و Next کنید ( نام آن را Psiphone 3 گذاشتم )

5- حالا از فلش کنار Add بر روی گزینه from the executable files list کلیک کنید

6- از لیست برنامه ها تمامی برنامه های Psiphone3 را انتخاب کنید

7- حالا لیست زیر ایجاد می شود

8- مراحل را Next کنید و Finish را بزنید

9- حالا دسته بندی Psiphone ایجاد می شود

10- حالا وارد پالیسی Endpoint شوید ، بر روی آن 2 بار کلیک کنید و بر روی منوی Application startup control شده تیک فعال سازی آن را بزنید و حالا Black list و نوع Action را هم Block قرار دهید بر روی add کلیک کنید و دسته بندی Psiphone3 را اضافه کنید حالا دسترسی برای Everyone را بر روی Deny قرار دهید ( اگر برای هر گروهی یک پالیسی خاص تعریف کرده اید بر روی آن کلیک کنید )

11- حالا پالیسی سریعاً بر روی کلاینت ها اعمال می شود و با زدن بر روی برنامه Psiphone3.exe کاربر پیام زیر برایش نمایش داده می شود

آموزش آنتی ویروس Kaspersky سرور قسمت 99 : تغییر پسورد کنسول

• تغییر پسورد کنسول مدیریت کسپرسکی 10

چنانچه تنظیمات پسورد بر روی کنسول مدیریت کسپرسکی ( KSC ) به صورت یک نام کاربری تحت دامین تعریف شده ( Domain Name / User ) ، اگر شما به عنوان مدیر شبکه قصد داشته باشید تا نام کاربری و پسورد را تغییر دهید ، امکان دسترسی به کنسول را تا زمانی که این تغییرات را برای کسپرسکی 10 تعریف نکرده باشید نخواهید داشت ، برای این منظور کسپرسکی برنامه ای را به نام klsrvswch.exe در مسیر "C:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Center\" تعبیر کرده است ، تا شما به راحتی بتوانید پسورد و نام کاربری را برای دسترسی به کنسول مدیریتی تغییر دهید با کلیک بر روی برنامه klsrvswch.exe یک ویزارد باز می شود :

1- در اینجا Next را بزنید

2- پنجره تعریف نام کاربری باز می شود :

3- حالا Next کنید تا تنظیمات پسورد نمایش داده شود :

4- حالا Next کنید تا ویزاد تمام شود و Finish کنید .

آموزش آنتی ویروس Kaspersky قسمت 100 : مسدود کردن ویروس مرورگرها

یکی از شایع ترین ویروس های مرورگرها gvt که آدرس GVT1.COM استفاده می کند و به صورت صفحات بازشونده یا POPUP بر روی مرورگر ها بخصوص در کروم قرار می گیرند و دست هکر ها را باز می کنند علاوه بر دسترسی به آنها باعث مصرف پهنای باند شبکه و اینترنت می شود 

با توجه به توضیحاتی که سایت ها درباره این برنامه وجود دارد می توان برنامه را به صورت دستی پاک و حذف کرد اما در شبکه های بزرگ که تعداد کاربران زیاد است این کار زمان گیر خواهد بود با توجه به ابزار های وب کنترل کسپرسگی سرور می خواهیم اموزش مسدود سازی این برنامه را توضیح داده و با بستن آن جلوی فعالیت برنامه نیز بسته خواهد شد :

1- ابتدا کنسول مدیریتی کسپراسکی را باز کنید

2- از داخل بخش پالیسی ها بر روی پالیسی کلاینت کلیک کنید :

3- سپس Add را بزنید آدرس URL برنامه را به صورت زیر وارد می کنیم :

4- در پایین صفحه Action را روی بلاک قرار دهید و تنظیمات را Apply کنید

5- سپس اسکن ویروس یابی کنسول کسپراسکی را در بالاترین درجه قرار دهید و کلاینت ها و سرور ها را اسکن کنید ( این عمل ممکن است باعث کندی شبکه شود )

آموزش آنتی ویروس Kaspersky سرور قسمت 101 : مشکل پر شدن فضای درایو

با سلام ، ممکن است بعد از نصب محصول کسپرسکی سرور 10 بر روی کلاینت ها چه ورک استیشن ها و چه سرور ها درایوی که در آن ویندوز نصب هست ناگهان پر شود چنانچه این اتفاق بعد از نصب کسپرسکی سرور 10 اتفاق افتاد و مطمئن هستید هارد دیسک مشکلی ندارد به مسیر زیر بروید :

- C:\Program Files (x86)\Kaspersky Lab\Kaspersky Security 10 for Windows Server\~TraceFiles

کلیه فایل ها در این فولدر را حذف کنید . این فولدر لاگ هایی را که جمع آوری می کند که در صورت بروز مشکل کسپرسکی با ابزارهای عیب یابی که در این محصول قرار داده سعی در برطرف کردن مشکل می کند چنانچه برنامه Kaspersky Security 10 for Windows Server Admins Tools را نصب کنید می توانید به صورت دستی بخشی که این فایل ها جمع اوری می شود را سفارش سازی کنید :

آموزش آنتی ویروس Kaspersky سرورقسمت 102 : Remediation Engine    

ابزار جديدي به نام Remediation Engine در بخش Settings در End Point كسپرسكي گنجانده شده كه كمك مي كند تا در صورتي كه سيستم كلاينت شما دچار باج افزار ها شد بتواند ترميم روي سيستم عامل را انجام بدهد ، هر چند لايه هاي شناسايي و حذف باج افزار ها در آنتي ويروس ها خيلي بهينه شده اما احتمال اينكه باج افزار بتواند سيستم عامل را آلوده كند زياد است اين ابزار را مي توانيد در شكل زير مشاهده كنيد :

در داخل كنسول كسپرسكي سرور نسخه 11 هم مي توانيد در بخش Policy ها Kaspersky Endpoint Security for Windows 11.0.0 قرار دارد و در شكل زير نمايي از آن را مي توانيد مشاهده كنيد :

آموزش آنتی ویروس Kaspersky سرورقسمت 103 : Exclude KMS For KSE

در کسپرسکی نسخه سازمانی ( سرور ) انواع نسخه های KMS Tools به عنوان برنامه Hack Tools شناسایی می شوند این فرایند را تمامی آنتی ویروس های خارجی ( این فرایند به شکل بومی و وطنی روی آنتی ویروس ممکن است نباشد ) صادق است این آموزش برای اولین باز در سایت های فارسی زبان و بیگانه زبان در سایت " توسینسو " قرار گرفته است

آنتی ویروس کسپرسکی سرور ( KSC ) مجموعه ای از Task های به هم پیوسته است این تسک ها از Policy هر برنامه نظیر EndPoint یا Server نسخه کسپرسکی مرتبط است مهمترین تسک در کسپرسکی سرور برای استثنا کردن فایل ها نادیده گرفتن توسط Task = Real-Time Protection است در واقع کسپرسکی سرور با توجه به لایه های امنیتی بیشتر نسبت به نسخه های خانگی در بخش استثنا یا Exclude برای یک فایل یا برنامه نیازمند این است که علاوه بر وارد کرد نام یا مسیر برنامه ناحیه ای که آنتی ویروس در آن Task را اجرا می کند نیز نادیده گرفته شود برای مثال به زبان گفتاری " اگر می خواهی KMS را استثنا قرار دهی مسیر فایل + ناحیه استثنا یک یا چند Task

- Exclude KMS in Endpoint Security Kaspersky

1- ابتدا بالاترین سطح از Policy مختص End Point را باز کنید :

2- بر روی Settings کلیک کنید :

3-  در بخش Protection Components : Any انتخاب شده روی آن کلیک کنید تا عبارت Specified نمایان شود سپس مانند شکل بالا عمل کنید شما باید برای Object Name :  نام Object که کسپرسکی سرور فایل را به عنوان فایل مخرب شناسایی کرده است عیناً کپی و دراینجا وارد کنید این نام را می توانید در بخش Event کسپرسکی سرور مشاهده و یا به مسیر زیر مراجعه کنید :

• نکته : کسپرسکی تنها با Object قادر به استثنا ساختن KMS است نوع های Path file و Hash کار نمی کنند

4- تنظمات را Apply و Ok کنید منتظر باشید تا Policy بر روی تمامی کلاینت ها اعمال شود این اعمال شدن را می توانید در گوشه پالیسی بر روی نمودار دایره ای شکل مشاهده کنید