NickGolovko
29.08.2008, 15:51
Уважаемые пользователи!
Вашему вниманию предлагается статья, содержащая необходимую информацию по работе с новым модулем Kaspersky Internet Security – «Контроль приложений». Смею надеяться, что она поможет вам лучше понять этот модуль и снять большинство вопросов, возникающих при знакомстве с ним.
Контроль приложений KIS 2009 – это классическая локальная система предотвращения вторжений (Host Intrusion Prevention System, HIPS), объединяющая в себе функционал проактивной защиты и сетевого экрана. HIPS позволяет гибко манипулировать разрешениями на доступ к файлам и реестру, системным правам и сетям различных типов, что, в свою очередь, помогает существенно снизить количество обращений к пользователю за счет предоставления полной свободы действий доверенным приложениям и полного ограничения в правах недоверенных приложений.
Основу любой HIPS составляет таблица правил. В одних продуктах она никак не разделяется, в других – разбивается на промежуточные таблицы в соответствии с характером правил (например, правила для файлов, правила для сетей, правила для системных привилегий и так далее), в третьих разделение таблицы происходит по приложениям и их группам. HIPS в KIS 2009 относится преимущественно к третьему типу, и большинство ее правил сгруппировано по приложениям.
http://images.kaspersky.com/ru/support_new/groupships_9(ru).gif
Суть HIPS проста, но эффективна. Эти охранные системы контролируют определенные системные события (например, такие, как создание или удаление файлов), и каждый раз, когда эти события должны произойти, HIPS сверяется со своей таблицей правил, после чего действует в соответствии с заданными в таблице настройками. Сообразно действие либо разрешается, либо запрещается, либо HIPS задает пользователю вопрос о том, что ей следует предпринять в данном конкретном случае.
Из описанной выше сущности HIPS непосредственно вытекает первое правило, которое следует помнить при работе с такими системами: не следует ожидать от HIPS того, чего вы не сказали ей делать. Под защитой HIPS будут находиться только те объекты, которые обозначены в ее правилах, и, если вы, положим, захотите защитить от изменений корень системного диска, то, естественно, HIPS не догадается этого сделать только потому, что вы этого захотели. Для этого потребуется создание соответствующего правила.
Важной особенностью HIPS является групповая политика, которая позволяет применять одни и те же разрешения для всех приложений, внесенных в определенную группу. По умолчанию в KIS 2009 подготовлены четыре группы, по которым продукт будет автоматически распределять запускаемые на компьютере приложения. Это Доверенные, Слабо ограниченные, Сильно ограниченные и Недоверенные. Для каждой группы уже заданы определенные разрешения, которые, по мнению экспертов Лаборатории Касперского, являются оптимальными. В частности, Доверенные приложения никоим образом не ограничены в своих правах и возможностях, Слабо ограниченным запрещаются наиболее опасные для системы действия, Сильно ограниченным разрешены лишь те действия, которые не могут нанести существенного ущерба, а Недоверенные не могут выполнять практически никаких системных действий.
Основная таблица Контроля приложений позволяет быстро задавать однотипные разрешения для групп и отдельных приложений. В этой таблице четыре колонки – Операционная система, Конфиденциальные данные, Права и Сети. Сделаем очередной экскурс в идеологию HIPS, а затем вернемся к этим колонкам и работе с таблицами.
Правила HIPS обычно содержат три базовых компонента: субъект (т.е. приложение или группа, которое вызывает определенное событие), действие (разрешить, запретить или спрашивать пользователя) и объект (то, к чему приложение или группа пытается получить доступ). HIPS в KIS 2009 работает по тому же принципу. В зависимости от типа объекта правила разделяются на три группы:
- Файлы и системный реестр
- Системные права
- Сети
У первой и третьей группы объектом являются файлы, ключи реестра, а также сетевые объекты (IP-адреса и их группы, порты и направления).
У второй группы объект – это системные права на выполнение тех или иных действий (например, на запуск или остановку процессов).
Объекты для правил первого и третьего типа вы можете создавать и редактировать на вкладке Ресурсы. Там они распределены на несколько подгрупп для удобства работы с ними. Например, группа ресурсов Операционная система – это файлы и ключи реестра, обеспечивающие нормальную работу Windows, а ее подгруппа Параметры автозапуска – это полный набор ключей, которые обеспечивают автоматический старт компонентов системы; туда может прописаться вредоносное ПО для скрытого запуска. При желании вы можете создавать свои ресурсы и таким образом определять права доступа приложений к вашим собственным объектам.
http://images.kaspersky.com/ru/support_new/sources_hips9(ru).gif
Очевидно, что основные группы ресурсов, а также системные права и представлены в колонках основной таблицы Контроля приложений. Вы можете быстро задавать доступ к ним для групп и отдельных приложений.
Следует, однако, помнить, что некоторые правила неоднородны: например, для файлов и реестра можно отдельно определять разрешения на чтение, запись, удаление и перечисление. Из главной таблицы такую тонкую настройку выполнить невозможно – это делается с помощью расширенного редактирования правил. Выделение приложения или группы и щелчок по ссылке Редактировать вызывает упомянутый расширенный редактор. Здесь вы можете определить разрешения отдельно для каждого возможного объекта – скажем, в разделе Права перечислены все виды системных прав, которые контролирует KIS 2009.
Имейте в виду, что, если вы определяете разрешения для группы (положим, Доверенные), то эти настройки будут автоматически скопированы на все приложения, входящие в эту группу. Вместе с тем вы имеете возможность назначить отдельному приложению свои, индивидуальные права, отличающиеся от групповых.
Наследование прав
В KIS 2009 реализован механизм наследования прав. Когда одно приложение запускает другое, разрешения для первого автоматически передаются на второе. Если бы этого механизма не было, недоверенное приложение могло бы использовать доверенное в своих целях и, пользуясь его неограниченными привилегиями, творить что угодно. Теперь же, даже если доверенное будет запущено недоверенным, ему будут переданы настройки для недоверенных приложений, и система не будет повреждена.
Вместе с тем этот механизм имеет свои недостатки. В реальной работе довольно часто получается, что приложение обрабатывается не по своим правилам, а по правилам запустившего его процесса. Соответственно могут возникать ситуации, когда вы создали разрешающее правило по определенному действию для такого-то приложения, но это правило не срабатывает. В этом случае вы можете либо дать соответствующее разрешение родительскому процессу, либо в самом низу окна расширенного редактора правил снять галочку, определяющую автоматическую передачу этому приложению прав родительского процесса.
http://images.kaspersky.com/ru/support_new/parentalrule_hips9(ru).gif
Сетевой экран
Правила, определяющие сетевую активность приложений, то есть правила Сетевого экрана, являются теперь частью таблицы HIPS. Работайте с ними, как со всеми прочими правилами HIPS, поскольку они устроены точно так же: субъект – действие – объект.
Наиболее общие настройки Сетевого экрана находятся в колонке Сети главной таблицы Контроля приложений. Если задать действие Разрешить для всех групп приложений, то Сетевой экран будет работать в режиме, эквивалентном прежнему «Разрешать все». Задание вердикта Запрос действия равнозначно включению Режима обучения. Действие Запретить для всех групп переводит Сетевой экран в режим Блокировать все.
Вы можете, к примеру, установить режим обучения для слабо и сильно ограниченных приложений, разрешить все доверенным и блокировать все для недоверенных.
http://images.kaspersky.com/ru/support_new/rules_hips9(ru).gif
Детальная настройка правил доступна вам либо в таблице Сети расширенного редактора правил, либо на вкладке Сетевые пакеты. Здесь перечислены так называемые пакетные правила, определяющие доступ приложений к сетевым ресурсам. В самом верху списка, под заголовком "Пакетные правила", собраны правила без приложения, т.е. без субъекта; они применяются ко всем приложениям на компьютере. Ниже, сгруппированные по субъекту, размещаются правила для конкретных приложений.
В списке пакетных правил для каждого приложения вы увидите три неактивных правила, затененных серым и неизменяемых. Эти три правила отражают разрешения, заданные в главной таблице Контроля приложений (т.е. если в главной таблице в колонке Сети для этого приложения стоит вердикт Запрос действия, то и в этих серых правилах будет обозначен вердикт Запрос действия). Это правила самого низкого приоритета, и они работают только в том случае, если нет никаких противоречащих им правил более высокого приоритета. Не обращайте на них особенного внимания, на этой вкладке они играют только роль индикаторов.
http://images.kaspersky.com/ru/support_new/3rules_hips9(ru).gif
Очень разнообразны объекты правил для Сетевого экрана. Их несколько типов, от более глобальных до более узких, но все они являются ресурсами, то есть доступны на вкладке Ресурсы, и все они могут быть объектами правил. Давайте остановимся на этом более подробно.
Наиболее глобальный объект – это сеть. Продукт различает три типа сетей: доверенные, локальные и публичные, и каждый раз при активизации незнакомого подключения KIS 2009 спросит вас, к какому типу отнести эту сеть. Обратите внимание, что, если развернуть колонку Сети в главной таблице, можно задать отдельные общие разрешения для каждого типа сетей. Поэтому и неактивных пакетных правил для каждого приложения три: первое отражает настройки для доверенных сетей, второе – для локальных, третье – для публичных.
Если вы определили свое подключение как публичную сеть, иначе Интернет, то абсолютно любая активность приложения по отношению к этой сети будет считаться обращением к ресурсу «Публичные сети» и обрабатываться по третьему неактивному пакетному правилу, если нет противоречащих этому правил.
Итак, допустим, вы определили приложению application.exe Запрос действия при работе с Публичными сетями. Обучение для этого приложения еще не началось, и список правил пуст (за исключением упомянутых выше неактивных правил). Поэтому при обращении application.exe к ресурсу в сети Интернет (например, IP-адресу 123.456.789.0) продукт предъявит вам вопрос режима обучения – что делать с этой попыткой соединения?
С помощью мастера создания детального правила вы можете создать разрешающее правило для application.exe, которое позволит ему без вопросов в дальнейшем соединяться с указанным IP. На первой странице мастера вы выбираете вердикт Разрешить и переходите на вторую страницу.
Здесь вы встречаетесь со следующим типом объекта для правила Сетевого экрана – сетевым сервисом. В этом типе ресурса собрано значительное количество шаблонов определенной сетевой активности – например, DNS-запрос. Сетевой сервис «Исходящая DNS-активность» будет, таким образом, содержать данные о направлении (исходящее), протоколе (UDP) и удаленном порте (53). Продукт автоматически подбирает вам подходящие сетевые сервисы из своей базы; вы можете также просмотреть весь список или создать свой сетевой сервис (потом его можно будет найти на вкладке Ресурсы).
Теперь заготовка правила почти готова: она содержит субъект (application.exe), действие (Разрешить) и объект (сетевой сервис «Исходящая DNS-активность»). Остался последний компонент сетевого правила – можно назвать его вторичным объектом. Это IP-адрес.
IP-адрес также может входить в ресурс, то есть быть объектом. В один ресурс можно собрать и группу адресов, и диапазон, и несколько диапазонов, после чего назначить все это вторичным объектом правила. В мастере вы можете создать ресурс (куда автоматически будет добавлен IP-адрес, на которое приложение обращалось изначально) или выбрать его из списка уже созданных.
В результате в списке пакетных правил образовалось новое, уже активное правило, которое разрешает приложению application.exe доступ к объекту «Исходящая DNS-активность» со вторичным объектом «IP-адрес 123.456.789.0». Это правило более приоритетно, чем серые неактивные правила, и теперь, когда application.exe будет отсылать исходящий UDP-пакет на адрес 123.456.789.0 и порт 53, продукт обнаружит данное правило в списке и будет действовать в соответствии с ним. Но, если application.exe обратится уже по протоколу TCP на адрес 12.34.56.78 и порт 80, соответствующего правила обнаружено не будет, и вновь сработает серое неактивное правило запроса действия при обращении к публичным сетям.
Обратите внимание: активные пакетные правила неравноправны. Список пакетных правил устроен иерархически, то есть правило, расположенное выше, приоритетнее правила, расположенного ниже. К неактивным правилам это не относится.
Например, вам требуется разрешить приложению посещать два конкретных IP-адреса из диапазона, а доступ ко всем прочим IP этого диапазона запретить. Теперь процедура такой настройки проста. Создайте ресурс, куда впишите требуемые адреса; на вкладке Сетевые пакеты создайте приложению пакетное правило, разрешающее ему любую сетевую активность на созданный вами ресурс. Теперь создайте другой ресурс, содержащий требуемый диапазон; создайте второе правило, запрещающее приложению любую сетевую активность на этот ресурс. С помощью расширенного редактора поднимите первое правило выше второго.
Теперь, если обращение приложения подпадает под действие первого правила, доступ будет разрешен. Если же нет, продукт проверит, не подпадает ли оно под действие второго правила. Подпадает – действие будет запрещено. Не подпадает – продукт перейдет к следующему правилу по списку, и так будет сверять, пока правила не закончатся. Если никакое из активных правил не соответствует обращению приложения к сети, решение будет принято в соответствии с неактивными правилами.
Копия данной статьи размещается также в Базе знаний Лаборатории Касперского по адресу http://support.kaspersky.ru/faq/?qid=208636059
***
Приложение. Перевод англоязычных названий сетевых ресурсов
DNS over TCP / UDP - запрос к серверу доменных имен DNS по протоколу TCP или UDP
Sending / Receiving E-mails - отправка / прием электронной почты
Web-Browsing - просмотр страниц Интернета с помощью обозревателя
IRC-Activity (out) - исходящая активность интернет-чатов IRC
DHCP Address Assignment (UDP) - обращение к сервису присвоения IP-адресов DHCP по протоколу UDP
Any outgoing TCP / UDP stream - любая исходящая активность по протоколу TCP или UDP
Any incoming TCP / UDP stream - любая входящая активность по протоколу TCP или UDP
Any incoming ICMP - любая входящая активность по протоколу ICMP
Local Services (TCP / UDP) - входящие соединения по протоколу TCP или UDP с локальными портами, которые открывают службы операционной системы
ICMP Echo Request (in / out) - исходящие или входящие эхо-запросы по протоколу ICMP
ICMP Echo Reply (in) - входящий эхо-ответ по протоколу ICMP
ICMP Destination Unreachable (in) - входящий ответ "компьютер назначения недоступен" по протоколу ICMP
ICMP Time Exceeded (in) - входящий ответ "время ожидания истекло" по протоколу ICMP
Any network activity - любая сетевая активность
ActiveSync - сетевая активность, необходимая для работы технологии ActiveSync
Remote Desktop - сетевая активность, необходимая для работы технологии удаленного рабочего стола
Вашему вниманию предлагается статья, содержащая необходимую информацию по работе с новым модулем Kaspersky Internet Security – «Контроль приложений». Смею надеяться, что она поможет вам лучше понять этот модуль и снять большинство вопросов, возникающих при знакомстве с ним.
Контроль приложений KIS 2009 – это классическая локальная система предотвращения вторжений (Host Intrusion Prevention System, HIPS), объединяющая в себе функционал проактивной защиты и сетевого экрана. HIPS позволяет гибко манипулировать разрешениями на доступ к файлам и реестру, системным правам и сетям различных типов, что, в свою очередь, помогает существенно снизить количество обращений к пользователю за счет предоставления полной свободы действий доверенным приложениям и полного ограничения в правах недоверенных приложений.
Основу любой HIPS составляет таблица правил. В одних продуктах она никак не разделяется, в других – разбивается на промежуточные таблицы в соответствии с характером правил (например, правила для файлов, правила для сетей, правила для системных привилегий и так далее), в третьих разделение таблицы происходит по приложениям и их группам. HIPS в KIS 2009 относится преимущественно к третьему типу, и большинство ее правил сгруппировано по приложениям.
http://images.kaspersky.com/ru/support_new/groupships_9(ru).gif
Суть HIPS проста, но эффективна. Эти охранные системы контролируют определенные системные события (например, такие, как создание или удаление файлов), и каждый раз, когда эти события должны произойти, HIPS сверяется со своей таблицей правил, после чего действует в соответствии с заданными в таблице настройками. Сообразно действие либо разрешается, либо запрещается, либо HIPS задает пользователю вопрос о том, что ей следует предпринять в данном конкретном случае.
Из описанной выше сущности HIPS непосредственно вытекает первое правило, которое следует помнить при работе с такими системами: не следует ожидать от HIPS того, чего вы не сказали ей делать. Под защитой HIPS будут находиться только те объекты, которые обозначены в ее правилах, и, если вы, положим, захотите защитить от изменений корень системного диска, то, естественно, HIPS не догадается этого сделать только потому, что вы этого захотели. Для этого потребуется создание соответствующего правила.
Важной особенностью HIPS является групповая политика, которая позволяет применять одни и те же разрешения для всех приложений, внесенных в определенную группу. По умолчанию в KIS 2009 подготовлены четыре группы, по которым продукт будет автоматически распределять запускаемые на компьютере приложения. Это Доверенные, Слабо ограниченные, Сильно ограниченные и Недоверенные. Для каждой группы уже заданы определенные разрешения, которые, по мнению экспертов Лаборатории Касперского, являются оптимальными. В частности, Доверенные приложения никоим образом не ограничены в своих правах и возможностях, Слабо ограниченным запрещаются наиболее опасные для системы действия, Сильно ограниченным разрешены лишь те действия, которые не могут нанести существенного ущерба, а Недоверенные не могут выполнять практически никаких системных действий.
Основная таблица Контроля приложений позволяет быстро задавать однотипные разрешения для групп и отдельных приложений. В этой таблице четыре колонки – Операционная система, Конфиденциальные данные, Права и Сети. Сделаем очередной экскурс в идеологию HIPS, а затем вернемся к этим колонкам и работе с таблицами.
Правила HIPS обычно содержат три базовых компонента: субъект (т.е. приложение или группа, которое вызывает определенное событие), действие (разрешить, запретить или спрашивать пользователя) и объект (то, к чему приложение или группа пытается получить доступ). HIPS в KIS 2009 работает по тому же принципу. В зависимости от типа объекта правила разделяются на три группы:
- Файлы и системный реестр
- Системные права
- Сети
У первой и третьей группы объектом являются файлы, ключи реестра, а также сетевые объекты (IP-адреса и их группы, порты и направления).
У второй группы объект – это системные права на выполнение тех или иных действий (например, на запуск или остановку процессов).
Объекты для правил первого и третьего типа вы можете создавать и редактировать на вкладке Ресурсы. Там они распределены на несколько подгрупп для удобства работы с ними. Например, группа ресурсов Операционная система – это файлы и ключи реестра, обеспечивающие нормальную работу Windows, а ее подгруппа Параметры автозапуска – это полный набор ключей, которые обеспечивают автоматический старт компонентов системы; туда может прописаться вредоносное ПО для скрытого запуска. При желании вы можете создавать свои ресурсы и таким образом определять права доступа приложений к вашим собственным объектам.
http://images.kaspersky.com/ru/support_new/sources_hips9(ru).gif
Очевидно, что основные группы ресурсов, а также системные права и представлены в колонках основной таблицы Контроля приложений. Вы можете быстро задавать доступ к ним для групп и отдельных приложений.
Следует, однако, помнить, что некоторые правила неоднородны: например, для файлов и реестра можно отдельно определять разрешения на чтение, запись, удаление и перечисление. Из главной таблицы такую тонкую настройку выполнить невозможно – это делается с помощью расширенного редактирования правил. Выделение приложения или группы и щелчок по ссылке Редактировать вызывает упомянутый расширенный редактор. Здесь вы можете определить разрешения отдельно для каждого возможного объекта – скажем, в разделе Права перечислены все виды системных прав, которые контролирует KIS 2009.
Имейте в виду, что, если вы определяете разрешения для группы (положим, Доверенные), то эти настройки будут автоматически скопированы на все приложения, входящие в эту группу. Вместе с тем вы имеете возможность назначить отдельному приложению свои, индивидуальные права, отличающиеся от групповых.
Наследование прав
В KIS 2009 реализован механизм наследования прав. Когда одно приложение запускает другое, разрешения для первого автоматически передаются на второе. Если бы этого механизма не было, недоверенное приложение могло бы использовать доверенное в своих целях и, пользуясь его неограниченными привилегиями, творить что угодно. Теперь же, даже если доверенное будет запущено недоверенным, ему будут переданы настройки для недоверенных приложений, и система не будет повреждена.
Вместе с тем этот механизм имеет свои недостатки. В реальной работе довольно часто получается, что приложение обрабатывается не по своим правилам, а по правилам запустившего его процесса. Соответственно могут возникать ситуации, когда вы создали разрешающее правило по определенному действию для такого-то приложения, но это правило не срабатывает. В этом случае вы можете либо дать соответствующее разрешение родительскому процессу, либо в самом низу окна расширенного редактора правил снять галочку, определяющую автоматическую передачу этому приложению прав родительского процесса.
http://images.kaspersky.com/ru/support_new/parentalrule_hips9(ru).gif
Сетевой экран
Правила, определяющие сетевую активность приложений, то есть правила Сетевого экрана, являются теперь частью таблицы HIPS. Работайте с ними, как со всеми прочими правилами HIPS, поскольку они устроены точно так же: субъект – действие – объект.
Наиболее общие настройки Сетевого экрана находятся в колонке Сети главной таблицы Контроля приложений. Если задать действие Разрешить для всех групп приложений, то Сетевой экран будет работать в режиме, эквивалентном прежнему «Разрешать все». Задание вердикта Запрос действия равнозначно включению Режима обучения. Действие Запретить для всех групп переводит Сетевой экран в режим Блокировать все.
Вы можете, к примеру, установить режим обучения для слабо и сильно ограниченных приложений, разрешить все доверенным и блокировать все для недоверенных.
http://images.kaspersky.com/ru/support_new/rules_hips9(ru).gif
Детальная настройка правил доступна вам либо в таблице Сети расширенного редактора правил, либо на вкладке Сетевые пакеты. Здесь перечислены так называемые пакетные правила, определяющие доступ приложений к сетевым ресурсам. В самом верху списка, под заголовком "Пакетные правила", собраны правила без приложения, т.е. без субъекта; они применяются ко всем приложениям на компьютере. Ниже, сгруппированные по субъекту, размещаются правила для конкретных приложений.
В списке пакетных правил для каждого приложения вы увидите три неактивных правила, затененных серым и неизменяемых. Эти три правила отражают разрешения, заданные в главной таблице Контроля приложений (т.е. если в главной таблице в колонке Сети для этого приложения стоит вердикт Запрос действия, то и в этих серых правилах будет обозначен вердикт Запрос действия). Это правила самого низкого приоритета, и они работают только в том случае, если нет никаких противоречащих им правил более высокого приоритета. Не обращайте на них особенного внимания, на этой вкладке они играют только роль индикаторов.
http://images.kaspersky.com/ru/support_new/3rules_hips9(ru).gif
Очень разнообразны объекты правил для Сетевого экрана. Их несколько типов, от более глобальных до более узких, но все они являются ресурсами, то есть доступны на вкладке Ресурсы, и все они могут быть объектами правил. Давайте остановимся на этом более подробно.
Наиболее глобальный объект – это сеть. Продукт различает три типа сетей: доверенные, локальные и публичные, и каждый раз при активизации незнакомого подключения KIS 2009 спросит вас, к какому типу отнести эту сеть. Обратите внимание, что, если развернуть колонку Сети в главной таблице, можно задать отдельные общие разрешения для каждого типа сетей. Поэтому и неактивных пакетных правил для каждого приложения три: первое отражает настройки для доверенных сетей, второе – для локальных, третье – для публичных.
Если вы определили свое подключение как публичную сеть, иначе Интернет, то абсолютно любая активность приложения по отношению к этой сети будет считаться обращением к ресурсу «Публичные сети» и обрабатываться по третьему неактивному пакетному правилу, если нет противоречащих этому правил.
Итак, допустим, вы определили приложению application.exe Запрос действия при работе с Публичными сетями. Обучение для этого приложения еще не началось, и список правил пуст (за исключением упомянутых выше неактивных правил). Поэтому при обращении application.exe к ресурсу в сети Интернет (например, IP-адресу 123.456.789.0) продукт предъявит вам вопрос режима обучения – что делать с этой попыткой соединения?
С помощью мастера создания детального правила вы можете создать разрешающее правило для application.exe, которое позволит ему без вопросов в дальнейшем соединяться с указанным IP. На первой странице мастера вы выбираете вердикт Разрешить и переходите на вторую страницу.
Здесь вы встречаетесь со следующим типом объекта для правила Сетевого экрана – сетевым сервисом. В этом типе ресурса собрано значительное количество шаблонов определенной сетевой активности – например, DNS-запрос. Сетевой сервис «Исходящая DNS-активность» будет, таким образом, содержать данные о направлении (исходящее), протоколе (UDP) и удаленном порте (53). Продукт автоматически подбирает вам подходящие сетевые сервисы из своей базы; вы можете также просмотреть весь список или создать свой сетевой сервис (потом его можно будет найти на вкладке Ресурсы).
Теперь заготовка правила почти готова: она содержит субъект (application.exe), действие (Разрешить) и объект (сетевой сервис «Исходящая DNS-активность»). Остался последний компонент сетевого правила – можно назвать его вторичным объектом. Это IP-адрес.
IP-адрес также может входить в ресурс, то есть быть объектом. В один ресурс можно собрать и группу адресов, и диапазон, и несколько диапазонов, после чего назначить все это вторичным объектом правила. В мастере вы можете создать ресурс (куда автоматически будет добавлен IP-адрес, на которое приложение обращалось изначально) или выбрать его из списка уже созданных.
В результате в списке пакетных правил образовалось новое, уже активное правило, которое разрешает приложению application.exe доступ к объекту «Исходящая DNS-активность» со вторичным объектом «IP-адрес 123.456.789.0». Это правило более приоритетно, чем серые неактивные правила, и теперь, когда application.exe будет отсылать исходящий UDP-пакет на адрес 123.456.789.0 и порт 53, продукт обнаружит данное правило в списке и будет действовать в соответствии с ним. Но, если application.exe обратится уже по протоколу TCP на адрес 12.34.56.78 и порт 80, соответствующего правила обнаружено не будет, и вновь сработает серое неактивное правило запроса действия при обращении к публичным сетям.
Обратите внимание: активные пакетные правила неравноправны. Список пакетных правил устроен иерархически, то есть правило, расположенное выше, приоритетнее правила, расположенного ниже. К неактивным правилам это не относится.
Например, вам требуется разрешить приложению посещать два конкретных IP-адреса из диапазона, а доступ ко всем прочим IP этого диапазона запретить. Теперь процедура такой настройки проста. Создайте ресурс, куда впишите требуемые адреса; на вкладке Сетевые пакеты создайте приложению пакетное правило, разрешающее ему любую сетевую активность на созданный вами ресурс. Теперь создайте другой ресурс, содержащий требуемый диапазон; создайте второе правило, запрещающее приложению любую сетевую активность на этот ресурс. С помощью расширенного редактора поднимите первое правило выше второго.
Теперь, если обращение приложения подпадает под действие первого правила, доступ будет разрешен. Если же нет, продукт проверит, не подпадает ли оно под действие второго правила. Подпадает – действие будет запрещено. Не подпадает – продукт перейдет к следующему правилу по списку, и так будет сверять, пока правила не закончатся. Если никакое из активных правил не соответствует обращению приложения к сети, решение будет принято в соответствии с неактивными правилами.
Копия данной статьи размещается также в Базе знаний Лаборатории Касперского по адресу http://support.kaspersky.ru/faq/?qid=208636059
***
Приложение. Перевод англоязычных названий сетевых ресурсов
DNS over TCP / UDP - запрос к серверу доменных имен DNS по протоколу TCP или UDP
Sending / Receiving E-mails - отправка / прием электронной почты
Web-Browsing - просмотр страниц Интернета с помощью обозревателя
IRC-Activity (out) - исходящая активность интернет-чатов IRC
DHCP Address Assignment (UDP) - обращение к сервису присвоения IP-адресов DHCP по протоколу UDP
Any outgoing TCP / UDP stream - любая исходящая активность по протоколу TCP или UDP
Any incoming TCP / UDP stream - любая входящая активность по протоколу TCP или UDP
Any incoming ICMP - любая входящая активность по протоколу ICMP
Local Services (TCP / UDP) - входящие соединения по протоколу TCP или UDP с локальными портами, которые открывают службы операционной системы
ICMP Echo Request (in / out) - исходящие или входящие эхо-запросы по протоколу ICMP
ICMP Echo Reply (in) - входящий эхо-ответ по протоколу ICMP
ICMP Destination Unreachable (in) - входящий ответ "компьютер назначения недоступен" по протоколу ICMP
ICMP Time Exceeded (in) - входящий ответ "время ожидания истекло" по протоколу ICMP
Any network activity - любая сетевая активность
ActiveSync - сетевая активность, необходимая для работы технологии ActiveSync
Remote Desktop - сетевая активность, необходимая для работы технологии удаленного рабочего стола