KL 013.11.4 Student Guide v1.0

KL 013.11.
4: Kaspersky Endpoint Security для Linux
KL 013.11.4
Kaspersky
Endpoint
Security для
Linux
Учебный курс
1
KL 013.11.4: Kaspersky Endpoint Security для Linux
Содержание
Глоссарий........................................................................................................................................2
1. Как и зачем защищать Linux? ............................................................................................3

1.1 Зачем защищать Linux? ................................................................................................................. 3
1.2 Чем защищать Linux? ..................................................................................................................... 8
Компоненты Kaspersky Endpoint Security для Linux .................................................................10
Как Kaspersky Security Center работает с Kaspersky Endpoint Security Linux .......................14
2. Как установить защиту? ...................................................................................................18

2.1 Сценарий установки .....................................................................................................................18
2.2 Установка и наcтройка MariaDB. .................................................................................................21
2.3 Установка и настройка PostgreSQL .............................................................................................23
2.4 Установка Сервера администрирования ....................................................................................25
2.5 Установка веб консоли. ................................................................................................................30
2.6 Что делать после установки KSC? ..............................................................................................33
2.7 Первоначальная настройка сервера? ........................................................................................34
2.8 Как обнаружить устройства в сети? ............................................................................................40
2.9 Установка Агента администрирования. ......................................................................................43
2.10 Установка KESL ............................................................................................................................47
3. Как настроить защиту? ....................................................................................................53

3.1 Как управлять устройствами? .....................................................................................................53
3.2 Как объединять устройства? .......................................................................................................55
3.3 Как присваивать тэги? ..................................................................................................................60
3.4 Как применять политики? .............................................................................................................62
4. Как защитить устройства? ...............................................................................................66

4.1 Как защититься от вредоносных файлов на устройстве?.........................................................66
4.2 Как предотвратить попадание вредоносных файлов на устройство? .....................................73
4.3 Как защитить устройство от сетевых угроз? ..............................................................................79
4.4 Как защититься от шифровальщиков? .......................................................................................81
4.5 Как защититься от новых угроз?..................................................................................................83
5. Как укрепить систему? .....................................................................................................84

5.1 Зачем контролировать систему? .................................................................................................84
5.2 Контроль приложений ..................................................................................................................85
5.3 Инвентаризация ............................................................................................................................89
5.4 Управление сетевым экраном .....................................................................................................91
5.5 Контроль устройств ......................................................................................................................97
6. Управление KESL через командную строку .................................................................100

6.1 Зачем использовать командную строку? ..................................................................................100
6.2 Как управлять задачами?...........................................................................................................101
1
Глоссарий
C&C Command and Control, центр управления
DMZ DeMilitarized Zone, демилитаризованная зона
EDR Endpoint Detection and Response

EPP Endpoint Protection Platform
IoT Internet of things, Интернет вещей
KSC Kaspersky Security Center
KSN Kaspersky Security Network
KSWS Kaspersky Security для Windows Servers
NTA Network traffic analysis
SIEM Security Information and Event Management
XDR eXtended Detection and Response
Агент администрирования Агент администрирования KSC
БД База данных
ИБ Информационная Безопасность
ИТ Информационные Технологии
ОС Операционная система
Сервер администрирования Сервер администрирования KSC
СУБД Система Управления Базами Данных
2
1. Как и зачем защищать Linux
1.1 Зачем защищать Linux?
Исторически вокруг ОС Linux сложилось некоторое количество мифов, касающихся ее

безопасности. Многие считают Linux безопасной «из коробки» и пренебрегают защитой ОС.
Давайте рассмотрим некоторые из этих мифов:
— Linux менее распространен и представляет меньший интерес для злоумышленников. Если
сравнивать количество используемых серверных операционных систем под управлением
Linux и Windows, то Windows серверов действительно окажется больше. Однако, это не
снижает интереса злоумышленников к атакам на Linux. Все дело в том, где именно
применяются Linux серверы. Согласно исследованиям, более 80% веб-серверов
управляются ОС Linux. А ведь именно веб-серверы часто служат входной точкой для атак
на инфраструктуру, так как подключены и к внутренней и к внешней сети. Также
большинство IoT и встраиваемых устройств управляются ОС Linux.
— Разнообразие дистрибутивов усложняет разработку вредоносных программ. Это было
правдой раньше. На данный момент существуют универсальные стандарты разработки и
компиляторы, способные выполнять код вне зависимости от дистрибутива, на котором они
запускаются.
— Система разграничения прав защищает от вирусов. Система разграничения прав
защищает от различных атак лишь частично. Существуют уязвимости, позволяющие
повышать привилегии учетных записей или сразу получить доступ к учетной записи с
правами root. Графический интерфейс также может иметь уязвимости позволяющие
выполнять команды от имени привилегированного пользователя. Не стоит забывать и про
3
KL 013.11.4: Kaspersky Endpoint Security для Linux 1. Как и зачем защищать Linux
человеческий фактор. Ошибки в настройке прав учетных записей может значительно

ухудшить защиту системы.
Для России дополнительный фактор использовать Linux — это закрепленная на государственном

уровне задача импортозамещения. Государственные организации следуют 44-ФЗ и 223-ФЗ. Это
значит, что предприятия будут использовать Linux не только в привычной для него среде, но и
переводить на него задачи, которые раньше были на серверах Windows, а также внедрять на
рабочие станции.
Закон не предусматривает резкого перехода с Windows и не распространяется на частные

организации. Но направление задано и многие задумываются о переводе большего количества
задач на Linux-сервера и рабочие станции. Здесь важно, что в России есть дистрибутивы
собственной разработки, сертифицированные ФСТЭК, имеющие дополнительные механизмы
обеспечения безопасности и свои экосистемы. Из-за санкций цена владения продуктами
иностранных вендоров будет увеличиваться, потому что отсутствие обновлений и новых версий
неминуемо увеличит риски эксплуатации уязвимостей. А эти риски имеют определенную
стоимость. Поэтому отечественные операционные системы будут внедряться. И чем больше, тем
лучше они будут адаптироваться под нужды бизнеса. Это заинтересует и тех, кто пока еще может
пользоваться экосистемой Windows.
4
Процесс обеспечения безопасности Linux можно разделить на два основных вектора: укрепление
системы и защита системы.
Укрепление системы — это повышение безопасности системы за счет правильной настройки

параметров системы и соблюдения правил безопасной эксплуатации.
Защита системы предполагает использование сторонних продуктов для обеспечения

безопасности. Сюда относятся все уровни защиты, начиная с защиты конкретных узлов, и
заканчивая общей защитой инфраструктуры от вредоносной активности.
5
Для укрепления сервера следует придерживаться правил безопасного использования системы.

Вот некоторые из них:
— Минимум приложений и сервисов. Устанавливайте сервисы и приложения только если они
вам нужны. Когда приложение или сервис вам больше не требуются — удаляйте их. Чем
меньше сервисов и приложений установлено и запущено в системе, тем меньше
возможная площадь атаки на систему.
— Безопасность учётные записей. Строго разграничивайте права доступа. Для приложений
создавайте отдельные учетные записи с минимально необходимым набором прав.
Используйте ограничение времени жизни учетных записей.
— Шифрование данных. Всегда выбирайте шифрованные протоколы для передачи данных.
HTTPS вместо HTTP, FTPS вместо FTP и т.д.
— Использование сетевого экрана. Правильно настроенный сетевой экран способен
значительно повысить безопасность системы. Наиболее безопасным вариантом
настройки является работа в режиме «список запрещенных». В таком режиме сетевой
экран запрещает все входящие подключения, кроме разрешенных.
— Распределение сервисов. Не устанавливайте важные сервисы на один сервер. Выделите
отдельный сервер для каждого важного сервиса в инфраструктуре. В таком случае
компрометация одного сервера не приведет к остановке работы всех важных сервисов.
— Контроль активности системы. Регулярно контролируйте что происходит в системе.
Собирайте и изучайте логи. По возможности храните логи на отдельном сервере, чтобы
избежать их утери в случае успешной атаки на сервер.
6
Некоммерческая организация Центр интернет-безопасности занимается вопросами защиты

операционных систем, приложений и устройств. На сайте организации вы можете скачать
рекомендации по укреплению большинства дистрибутивов Linux. С их помощью вы можете
самостоятельно проверить на сколько безопасны текущие настройки компонентов системы и
изменить их в соответствии с вашими требованиями к безопасности.
7
1.2 Чем защищать Linux?
Защита системы может работать на разных уровнях, обеспечивая обнаружение и защиту от

разных типов угроз. Решения, используемые для обеспечения безопасности можно разделить на
несколько классов:
— EPP. Endpoint Protection Platform. Эти решения устанавливаются на конкретных узлах сети
и отвечают за их защиту. Такие решения обычно предназначены для одного семейства ОС
или типа защищаемого устройства. Например, существуют отдельные решения для
устройств под управлением Windows, Linux, MacOS, Android и iOS, а также для
виртуальных машин. Решения класса EPP предназначены для обезвреживания опасных
объектов, отражения направленных атак и контроля конкретных систем.
— EDR. Endpoint Detection and Response. Аналогично с EPP решениями работает с
конкретными узлами. Основная задача EDR решений — это обнаружение признаков атаки
на узел и автоматическое реагирование на нее. Реакцией на обнаружение атаки может
быть оповещение, создание инцидента, сетевая изоляция, запрет запуска приложения или
открытия файла и так далее.
— NTA. Network Traffic Analysis. Этот класс решений перехватывает и анализирует трафик на
наличие признаков сложных угроз. NTA решения отвечают за защиту периметра
инфраструктуры. В случае обнаружения признаков вторжения система оповещает
специалистов по ИБ об угрозе.
— XDR. Extended Detection and Response. Это комплекс, сочетающий в себе функционал
EDR и NTA решений. Решения этого класса контролируют периметр сети и активность на
узлах сети для обнаружения атак на инфраструктуру.
8
В этом курсе мы обсудим решение класса EPP — Kaspersky Endpoint Security для Linux (KESL) и
Kaspersky Security Center для Linux (KSC).
KESL — это решение для защиты узлов под управлением ОС Linux. KESL обеспечивает защиту,
контролирует сетевые соединения, приложения, устройства и обеспечивает видимость того, что
меняется в системе. KESL может функционировать как независимое решение и управляться
напрямую через командную строку. В таком случае нет необходимости использовать консоль
управления.
Для централизованного управления KESL используйте Kaspersky Security Center (KSC). В этом
случае необходимо дополнительно установить на узел с KESL Агент администрирования. Агент
администрирования выполняет функции посредника: передает события от KESL к KSC и получает
от KSC команды и настройки для KESL.
KESL может управляться как Kaspersky Security Center для Windows, так и Kaspersky Security
Center для Linux. В курсе мы будем говорить про Kaspersky Security Center для Linux, называя его
просто KSC. KSC позволяет централизованно управлять продуктами безопасности, собирать
события, строить отчеты и развертывать и удалять продукты безопасности. Для работы с KSC
используется веб-интерфейс.
9
Операционные системы на базе Linux чаще всего используют в определенных сценариях, в

основном это устройства периметра: веб-сервера, различные шлюзы, реже сервера внутри сети.
Linux широко распространен в публичных облаках и используется в частном облаке. Защите этих
сред посвящены курсы KL 020. Kaspersky Hybrid Cloud Security. Public cloud & DevOps и KL 031.
Kaspersky Security for Virtualization. Light Agent.
В данном курсе мы рассматриваем локальную сеть предприятия и физические или виртуальные

устройства, которые также можно защищать средствами KESL:
— Веб-сервер — наиболее частый сценарий для Linux. Основная угроза извне. Типичная
атака — эксплуатация уязвимости и закрепление в системе для последующего развития
атаки. KESL защищает как от сетевых атак, так и от вредоносного ПО на файловой
системе, помогает администратору укрепить сервер, чтобы уменьшить площадь атаки.
— Файловый сервер — в смешанной Windows и Linux среде файловый сервер хранит файлы
для разных систем и потенциально служит угрозой для них. Злоумышленник может
воспользоваться уязвимостью в протоколе SMB или украденной учетной записью, чтобы
положить в общую папку вредоносный файл. Сами данные также являются целью атаки,
если это шифровальщик. KESL защищает не только локальную файловую систему от
Windows и Linux угроз, но и предотвращает попытки шифрования по сети.
— Рабочая станция — пользователь привносит множество рисков в систему, потому что
работает с браузером, почтой, переходит по ссылкам и может подключать потенциально
опасные флешки. Ниже мы рассмотрим, как KESL защищает от различных векторов атак,
направленных на пользователя.
Компоненты Kaspersky Endpoint Security для Linux

Мы будем рассматривать компоненты KESL тут и далее в курсе двумя большими блоками: защита
и укрепление.
10
Компоненты защиты в KESL отвечают за распознавание и нейтрализацию вредоносных файлов и

активностей.
— Компонент защита от файловых угроз проверяет в режиме реального времени
открываемые, сохраняемые и запускаемый файлы. При обнаружении опасного объекта
выполняются заранее выбранные действия
— Защита от веб угроз контролирует данные, которые скачиваются из интернета и
открываемые сайты. При обнаружении во входящем трафике вредоносных файлов
Защита от веб угроз прерывает скачивание файла. Сайты, открываемые на устройстве,
проверяются по базам программы, с помощью эвристического анализа и с помощью
службы Kaspersky Security Network. Если сайт признан опасным, доступ к нему
блокируется.
— Анализ поведения сравнивает поведение программ с шаблонами опасного проведения. В
случае совпадения поведения с шаблонами, действие программы прекращается, а
внесенные ей изменения откатываются.
— Защита от сетевых угроз проверяет входящий трафик на наличие признаков сетевых атак.
Этот компонент использует базы программы для определения портов, на которые могут
проводиться атаки и принимает на них пакеты даже если ни одно приложение не слушает
данный порт. В случае обнаружения сетевой атаки, сетевой трафик с адреса атакующего
устройства блокируется.
— Защита от шифрования обнаруживает попытки зашифровать данные на общих ресурсах
устройства по сети. При обнаружении попытки шифрования, операции с файлами
прерываются, а подключения с атакующего устройства блокируются.
11
Компоненты укрепления отвечают за контроль системы и уменьшение поверхности атаки.

— Управление сетевым экраном берет под контроль iptables. Управление сетевым экраном
позволяет централизованно настраивать правила iptables.
— Контроль приложений ограничивает запуск программ и доступ пользователей к их запуску
на основании правил. Компонент может работать в одном из двух режимов. Режим
«список разрешённых» запрещает запуск всех приложений, кроме указанных в правиле.
Режим «список запрещенных» запрещает запуск приложений, указанных в правиле.
— Контроль устройств позволяет ограничивать использование подключаемых устройств
пользователями. Ограничения могут устанавливаться по типу подключаемого устройства
или по шине подключения. В случае необходимости, можно добавлять отдельные
устройства в исключения.
— Инвентаризация позволяет получить список исполняемых файлов и скриптов,
находящихся в системе или в определенной директории. Эта информация может
использоваться для проведения аудита системы и для настройки правил контроля
программ.
12
Ряд компонентов приложения в данном курсе не рассматривается.

— Контроль целостности системы отслеживает изменения файловой системы. Может
работать как задача по требованию или в режиме мониторинга. При использовании как
задачи по требованию, сравнивает снимок состояния системы со снимком, сделанным
ранее, и ищет изменения. В режиме мониторинга отслеживает изменения файлов в
реальном времени. Контроль целостности системы доступен с лицензией Kaspersky Hybrid
Cloud Security Enterprise и этот функционал в курсе не рассматривается.
— Компонент проверка контейнеров позволяет проверять запущенные контейнеры и образы
контейнеров на наличие вредоносных объектов. Поддерживается интеграция с
различными оркестраторами. В редакциях Kaspersky Endpoint Security для бизнеса KESL
может обнаруживать вредоносное ПО в контейнерах при доступе, но к ним не
применяются никакие действия, и в отчетах не указываются ID этих контейнеров. Для
полного функционала нужна лицензия Kaspersky Hybrid Cloud Security Enterprise.
— Начиная с версии KESL 11.4 в состав KESL включен агент KATA EDR. Ранее для работы
Kaspersky EDR требовалась установка Kaspersky Endpoint Agent, теперь Kaspersky EDR
может получать данные с узла без установки дополнительного ПО.
13
Как Kaspersky Security Center работает с Kaspersky Endpoint Security Linux
Если для управления KESL используется сервер администрирования KSC, связь между KESL и
KSC поддерживает Агент администрирования.
Агент администрирования на клиентском устройстве регулярно обращается на Сервер

администрирования KSC по порту TCP 13000, чтобы получить настройки и передать данные от
KESL. По умолчанию Агент администрирования подключается к Серверу раз в 15 минут.
Также Агент слушает порт UDP 15000. На этот порт Сервер администрирования отправляет пакет,
который служит сигналом для Агента администрирования о том, что надо подключиться к Серверу
администрирования немедленно. Такой механизм может использоваться, чтобы оповестить хосты,
что есть изменения в политике или задачах, а также чтобы запустить задачу обновления, когда в
хранилище Сервера администрирования загружаются свежие базы.
14
На текущий момент с KESL могут работать три вида Сервера администрирования KSC: KSC для
Windows, KSC для Linux и KSC Cloud.
KSC Windows и KSC Linux устанавливаются локально в инфраструктуре пользователя. KSC Cloud
находится в облачной инфраструктуре Лаборатории Касперского, которая поддерживается
специалистами Лаборатории Касперского.
В качестве консоли администрирования KSC Windows может использоваться MMC или веб
консоль. Для KSC Linux и KSC Cloud доступна только веб консоль.
Обнаружение устройств для KSC Windows и KSC Cloud доступно по опросу сети Windows, AD, IP
диапазонов и Zeroconf. KSC Linux может обнаруживать устройства в сети только с помощью
опроса IP диапазонов и Zeroconf. Для опроса IP диапазонов требуется наличие DNS сервера.
Защищаемыми устройствами в KSC Windows и KSC Cloud могут быть устройства под управлением
Windows, Linux, MacOS, Android и iOS. KSC Linux поддерживает защиту устройств под
управлением Linux и Windows. Для установки KES Windows с помощью KSC Linux необходимо
наличие точки распространения под управлением ОС Windows. Точкой распространения может
являться любое устройство под управлением Windows с установленным на нем Агентом
администрирования.
Поддержка Open API полностью отсутствует в KSC Cloud. В KSC Windows, кроме связи между
компонентами, OpenAPI позволяет создавать собственные сценарии и автоматизировать задачи
KSC. В KSC Linux поддержка OpenAPI соответствует функционалу Сервера администрирования.
15
Схема работы KSC выглядит следующим образом:

— Сервер администрирования — центральная часть KSC. Он осуществляет управление
программами защиты, собирает и хранит информацию с устройств, генерирует отчеты.
— Веб консоль предоставляет администратору возможность управления Сервером
администрирования через графический интерфейс с помощью браузера.
— C серверов обновлений Сервер администрирования скачивает обновления для программ
безопасности и базы программ.
— Kaspersky Security Network собирает данные об обнаруженных угрозах и репутации сайтов
и объектов и предоставляет наиболее актуальную информацию об угрозах всем
пользователям KSN.
16
Для установки KSC Linux требуется:

— Процессор 1.4 ГГц или выше
— Не менее 4 ГБ оперативной памяти
— Не менее 10 ГБ свободного места на жестком диске
— База данных MariaDB, PostgreSQL, Postgres Pro или MySQL
База данных может находиться на другом сервере, в том числе и Windows, если вы хотите
использовать MySQL в качестве базы.
Поддерживаются дистрибутивы Astra, CentOS, Debian, Oracle, RHEL, SUSE, Ubuntu, Alt и РЕДОС.
17
KL 013.11.4: Kaspersky Endpoint Security для Linux 2. Как установить защиту
2. Как установить защиту
2.1 Сценарий установки
Мы рассмотрим вариант инсталляции, в котором для управления KESL используется Сервер

администрирования KSC. Установку следует начинать с Сервера администрирования. Установку
сервера администрирования можно разделить на три основных этапа:
— Установка и настройка СУБД
— Установка Сервера администрирования
— Установка веб консоли
18
Рассмотрим сценарий установки более подробно:

— Установка СУБД. Так как мы рассматриваем установку на сервер под управлением ОС
Linux, мы можем выбрать между MariaDB и PostgreSQL.
— Настройка СУБД. Нам нужно создать пользователя, от имени которого KSC будет
подключаться к базе данных, дать пользователю необходимые права и внести
рекомендованные настройки в файл конфигурации БД.
— Установка компонентов KSC. Перед непосредственной установкой нам нужно создать
пользователя и группу доступа для сервисов KSC и открыть необходимые порты на
сетевом экране.
— Установка веб консоли. Финальным этапом установки становится установка веб консоли.
В случае KSC веб консоль ставится отдельно от основных компонентов Сервера
администрирования и может быть установлена на другом узле.
19
Как упоминалось ранее, в качестве базы данных для KSC можно использовать:
— MySQL Community
— MySQL
— MariaDB
— MariaDB Server
— MariaDB Galera Cluster
— PostgreSQL
— Postgres PRO
В этом курсе мы рассмотрим установку и настройку MariaDB Server и PostgreSQL.
20
2.2 Установка и наcтройка MariaDB.
Начнем с установки и настройки MariaDB Server. С помощью менеджера пакетов выбранного

дистрибутива Linux установите пакет mariadb-server.
21
Добавьте рекомендуемые настройки https://support.kaspersky.com/help/KSCLinux/14/en-

US/210277.htm в файл конфигурации MariaDB /etc/my.cnf. Эти настройки активируют поддержку
InnoDB и указывают размеры буфера, кэша и других параметров, которые оптимизируют
производительность БД при работе с KSC.
Запустите сервис MariaDB. Сразу после установки вы можете авторизоваться в СУБД с учетной
записью root без пароля. Начните настройку БД с того, чтобы установить пароль на учетную запись
root.
22
Создайте пользователя, который будет использоваться для работы KSC с базой данных.
Предоставьте пользователю полные права на управление СУБД.
2.3 Установка и настройка PostgreSQL
23
Теперь рассмотрим установку и настройку PostrgeSQL. Используйте менеджер пакетов, чтобы

установить пакеты postgresql и postgesql-contrib.
Добавьте рекомендуемые параметры https://support.kaspersky.ru/help/KSCLinux/14.2/en-

US/241223.htm к файлу конфигурации /etc/postgresql/14/main/postgresql.conf.
Рекомендуемые параметры оптимизируют работу PostgreSQL с KSC Linux.
24
После изменения файла конфигурации запустите сервис PostgreSQL. Войдите в среду управления
базой данных и создайте пользователя с правами CREATEDB.
2.4 Установка Сервера администрирования
Перед установкой Сервера администрирования следует изменить режим работы SELinux, так как
некоторые операции, выполняемые при установке, конфликтуют с политикой SELinux. Для
успешного выполнения установки переведите SELinux в режим работы permissive. Далее откройте
необходимые для работы KSC порты на сетевом экране.
25
Для корректной работы KSC нужно открыть следующие порты:

— 8060/8061 — используется для передачи установочных пакетов на узлы при
использовании функции удаленной установки.
— 13000 — SSL порт, на который выполняется подключение Агентов администрирования и
подчиненных серверов
— 13299 — используется для приема соединения от веб консоли
— 14000 — прием подключений от Агентов администрирования по нешифрованному каналу
(по умолчанию не используется)
— 8080 — порт по умолчанию, на котором слушает веб консоль. Должен быть открыт на
сервере с установленной веб консолью
— 3306 — порт по умолчанию для подключения к MariaDB. Открывается на сервере БД. В
случае использования PostgreSQL следует открыть порт 5432.
26
Далее необходимо создать учетную запись и группу, от имени которых будут запускаться сервисы
KSC. После создания добавьте учетную запись в созданную группу и сделайте группу основной
для учетной записи. Никаких дополнительных прав учетной записи и группе давать не требуется.
Заранее скачайте установочный пакет Сервера администрирования KSC с веб сайта Лаборатории
Касперского. С помощью менеджера пакетов выполните инсталляцию пакета.
27
После завершения установки пакета Сервера админстрирования KSC запустите скрипт настройки
сервера. Скрипт находится по адресу /opt/kaspersky/ksc64/lib/bin/setup/postinstall.pl.
После принятия пользовательского соглашения начнется первичная настройка сервера.
1. Укажите тип установки:
28
— Standard — установка одиночного сервера KSC. Используется в тех случаях, когда вы

планируете установку главного или подчиненного сервера.
— Primary cluster node — установка в роли первичной ноды кластера. Это тип установки
используется, когда вы планируете установить Сервер администрирования в режиме
отказоустойчивого кластера. В таком случае установка производится на каждую ноду
кластера. На одной ноде производится установка первичной ноды кластера, на другой
— вторичной.
— Secondary cluster node — установка в роли вторичной ноды кластера
2. Укажите адрес сервера администрирования KSC.
3. Укажите SSL порт сервера KSC. По умолчанию установлен порт 13000. Вы можете
изменить используемый порт, в этом случае не забудьте открыть соответствующий порт в
сетевом экране.
4. Выберите опцию, примерно соответствующую количеству устройств, которое планируется
защищать.
5. Укажите имя группы безопасности, которая была ранее создана для запуска сервисов
KSC.
6. Укажите имя учетной записи, созданной ранее для запуска сервисов KSC.
7. Укажите тип базы данных, в зависимости от выбранной вами БД.
8. Укажите адрес сервера БД.
9. Укажите порт для подключения к БД.
10. Укажите желаемое имя базы данных, с которой будет работать Сервер
администрирования KSC.
11. Укажите данные учетной записи, которую создавали для работы KSC.
29
12. Дождитесь окончания запуска служб KSC и укажите желаемые имя учетной записи и
пароль для управления KSC.
2.5 Установка веб консоли
30
Перед тем, как начать установку веб консоли, нужно создать файл ответов по адресу /etc/ksc-web-
console-setup.json
Минимальный набор параметров для установки веб-консоли следующий:

— Адрес сервера KSC
— Порт подключения к веб консоли
— Список доверенных серверов. Указывается в виде «адрес | порт | путь к сертификату | имя
сервера»
— Автоматическое принятие пользовательского соглашения
Заранее скачайте установочный пакет веб консоли с сайта Лаборатории Касперского. Выполните
установку веб консоли с помощью менеджера пакетов.
31
После завершения установки веб консоли перезапустите все службы KSC.
Откройте браузер и выполните подключение к веб консоли. Подключение возможно только по

протоколу HTTPS. В качестве адреса подключения укажите адрес веб-консоли, а не адрес
Сервера администрирования, если они установлены на разных узлах. Укажите порт подключения,
который был выбран в файле ответов при установке веб консоли.
32
2.6 Что делать после установки KSC
После установки Сервера администрирования самое время заняться настройкой сервера и

установкой защиты на узлы. В первую очередь используйте мастер первоначальной настройки
сервера, чтобы установить все базовые настройки сервера. Далее выполните обнаружение
устройств в сети и установите на них компоненты защиты.
33
2.7 Первоначальная настройка сервера
При первой авторизации на Сервере администрирования через веб консоль запускается мастер
первоначальной настройки. В процессе работы мастера вы сможете настроить все необходимое
для работы сервера.
Выберите способ подключения сервера к сети интернет. Вы можете выбрать прямое подключение
или подключение через прокси сервер, если он используется в вашей организации. Подключение
Сервера администрирования к интернету требуется для получения обновлений баз, программ и
работы с KSN.
34
На следующем шаге выберите какие области и операционные системы вы планируете защищать.

В зависимости от текущего выбора вам будут предложены установочные пакеты для загрузки.
Предлагаться будут только пакеты, поддерживаемые KSC Linux.
Укажите тип используемого шифрования: легкий (AES56) или сильный (AES256). Шифрование
используется только в KES Windows.
35
Выберите плагины для программ, которые планируете использовать. Плагины позволяют KSC
управлять приложениями: создавать политики и задачи, редактировать свойства инсталляционных
пакетов. Выбор предлагаемых плагинов на этом этапе зависит от выбора областей защиты и
операционных систем, сделанного ранее.
После выбора плагинов вы сможете выбрать установочные пакеты, которые должны быть
загружены на сервер KSC. Для удаленной установки и работы с KSC следует выбрать пакет KESL
36
и пакет Агента администрирования в формате, поддерживаемом дистрибутивами Linux на узлах,

которые вы планируете защищать.
На этом шаге вы можете выбрать способ активации приложения. Вы можете ввести код активации,
указать файл ключа или отложить активацию программы.
Если вы отложите активацию программы, то программа будет работать в пробном режиме. В этом
режиме вы получите доступ ко всем функциям программы на ограниченное время. Добавить файл
ключа или ввести код активации можно позже.
37
Выберите принимать ли условия использования KSN. Если вы откажетесь от принятия условий,

служба KSN будет отключена. Включить или отключить службу KSN можно позже в настройках
KSC.
Некоторые задачи и политики KSC создаются и настраиваются по умолчанию. Например, задачи

скачивания обновлений, сканирования и политики по умолчанию. Все созданные задачи и
политики можно позже изменить. Подтвердите создание задачи по умолчанию.
38
На этом шаге укажите настройки почтового сервера для рассылки уведомлений. Если вы не
планируете использовать рассылку уведомлений по почте или планируете настроить ее позже,
можете пропустить этот шаг.
После завершения мастера первоначальной настройки практически все готово к установке

программы защиты на узлы. Последнее, что осталось сделать — завершить скачивание
установочных пакетов. Скачивание пакетов не будет завершено до того, как вы примите условия
39
пользовательского соглашения для каждого из них. Перейдите в раздел Discovery & deployment |
Deployment & assignment | Installation packages и примите пользовательское соглашение
каждого из скачиваемых пакетов. В этом разделе можно добавить установочные пакеты, которые
не были выбраны при первоначальной настройке.
2.8 Как обнаружить устройства в сети
Чтобы получить список доступных устройств необходимо выполнить опрос сети. В KSC Linux
доступно два способа опроса: опрос IP диапазонов и опрос Zeroconf. Чтобы опрос IP диапазонов
дал результат, должны быть разрешены ICMP echo request/echo reply (пинг) между KSC и хостами,
а в DNS были прямые и обратные записи хостов.
40
Для выполнения опроса перейдите в раздел Discovery and Deployment | Discovery | IP ranges. В
это разделе вы увидите один добавленный IP диапазон. Диапазон адресов, в котором находится
Сервер администрирования добавляется в список автоматически. Если вы хотите опросить другие
диапазоны, можете добавить новые или удалить существующие из списка.
По умолчанию опрос диапазонов выключен, чтобы администратор имел возможность выбрать

диапазон адресов, устройства из которого будут добавлены на сервер. Зайдите в настройки, чтобы
разрешить опросы. Здесь же вы можете настроить расписание опросов, чтобы своевременно
добавлять новые устройства на сервер.
После того, как вы разрешили опросы, можете запустить опрос сети вручную.
41
Результаты опроса можно увидеть в разделе Discovery and Deployment | Unassigned devices.
Сразу после обнаружения устройства помещаются в категорию нераспределённых. На них не
действуют политики безопасности. Когда устройства добавлены на сервер на них можно
выполнять задачи и первая задача, которую нужно выполнить — удаленная установка.
42
2.9 Установка Агента администрирования
В первую очередь на новое устройство нужно установить Агент администрирования, так как
именно он отвечает за связь между устройством и Сервером администрирования. Задачу
удаленной установки Агента можно создать из разделов Devices | Tasks или Discovery and
Deployment | Deployment & assignment | Protection Deployment wizard. В первом случае вы
создаете задачу удаленной установки для KSC вручную. Во втором случае запускается мастер
установки защиты. Принципиально эти способы отличаются только тем, что при создании задачи
сначала требуется выбрать для какого компонента создается задача, а затем тип задачи. После
этого этапа процесс создания задачи в обоих способах одинаков.
Выберите установочный пакет Агента администрирования. Если в вашей инфраструктуре

присутствуют устройства с дистрибутивами использующими и пакеты deb и пакеты rpm, придется
создать задачу установки Агента администрирования для каждого вида менеджера пакетов.
43
Выберите добавлять ли лицензионный ключ к установочному пакету. При добавлении ключа, он

хранится в сетевой папке в явном виде и может быть скомпрометирован. Если вы не будете
добавлять ключ к установочному пакету, то можете добавить ключ в программу позже с помощью
задачи добавления лицензионного ключа. Передача ключа в процессе задачи выполняется с
помощью Агента администрирования по зашифрованному протоколу, поэтому она более
безопасна.
44
Далее выберите устройства, на которые будет устанавливаться Агент администрирования. Вы

можете выбрать устройства следующими методами:
— Install on managed devices. Установка производится на все устройства, которые
добавлены в группу Managed devices. Добавить устройства в группу можно вручную или с
помощью правил перемещения устройств.
— Devices. Устройства выбираются вручную из списка обнаруженных.
— IP range. Установка производится на все обнаруженные устройства из указанного
диапазона адресов.
— IP addresses. Позволяет указать адреса устройств, на которые нужно выполнить
установку.
На следующем этапе укажите название задачи. Название должно быть уникальным.
Далее выберите способ загрузки установочного пакета на устройство:

— Using Network Agent. Загрузка выполняется с помощью Агента администрирования.
Требует установленный Агент администрирования.
— Using operating system resources through distribution points. Загрузка выполняется
через точку распространения. Точка распространения — это любое устройство с
установленным Агентом администрирования, добавленное на сервер KSC в качестве
точки распространения. Это единственный способ установки программ на устройства под
управлением Windows.
— Using operating system resources. Загрузка осуществляется напрямую с сервера
администрирования. Требует учетную запись с необходимыми правами.
45
Укажите учетную запись для загрузки пакета установки и выполнения установки. Требуется
локальная учетная запись узла, на который выполняется установка. Учетная запись должна иметь
права на подключение к узлу по SSH и выполнение sudo без пароля для выполнения установки.
Для учетной записи root не требуется настройка sudo. Для остальных учетных записей могут
потребоваться изменения конфигурационного файла /etc/sudoers с помощью команды visudo: для
учетной записи, с правами которой будет устанавливаться приложение, добавьте параметр
NOPASSWD:ALL, как на слайде.
Последним шагом выберите запускать ли задачу сразу после завершения ее создания.
46
В разделе Devices | Tasks вы можете следить за ходом выполнения задачи. Дождитесь ее

завершения.
2.10 Установка KESL
47
KESL поддерживает установку на большинство дистрибутивов Linux. Среди поддерживаемых

дистрибутивов есть как наиболее популярные (RHEL, Debian, CentOS, Ubuntu, SUSE, Oracle Linux),
так и более редкие и специализированные (Astra, Amazon, GosLinux).
Для установки и работы KESL на узле минимально требуется:

— Процессор Core 2 Duo 1.86 ГГц или выше
— Раздел подкачки не менее 1 ГБ
— Объем ОЗУ не менее 1 ГБ для 32-битных и не менее 2 ГБ для 64-битных устройств
— Не менее 4 ГБ свободного пространства на жестком диске
Аналогично с установкой Агента администрирования, задача установки KESL может быть

настроена в разделе Tasks или с помощью мастера установки защиты.
Выберите установочный пакет KESL.
48
Выберите добавлять ли лицензионный ключ к установочному пакету.
Выберите Агент администрирования, который был установлен ранее. Если он будет обнаружен
задачей установки, то не будет переустанавливаться.
Выберите устройства, на которые требуется выполнить установку.
49
Укажите имя задачи, выберите способ загрузки пакета на устройство и выберите перемещать ли
устройства в группу администрирования. По умолчанию доступна только группа Managed devices.
Если требуется использовать разные настройки защиты на разных устройствах, можно создать
дополнительные группы администрирования.
50
Так как на устройствах уже установлен Агент администрирования, не требуется указывать учетную
запись для загрузки и установки пакета. Все операции установки будут выполнены Агентом
администрирования.
Выберите запускать ли задачу после завершения ее создания.
В разделе Devices | Tasks вы можете следить за ходом выполнения задачи. Дождитесь ее

завершения.
51
Вы можете увидеть статус установленных на устройствах программ в группе администрирования,

в которой находятся устройства. Если устройств достаточно много, то проверять статус установки
в группе не удобно. Вы можете сгенерировать отчет о развертывании защиты, чтобы увидеть
результаты установки в более удобном виде. Для этого перейдите в раздел Monitoring &
Reporting | Reports и создайте отчет Report on protection deployment. В окне создания отчета
выберите устройства, по которым хотите получить информацию.
52
KL 013.11.4: Kaspersky Endpoint Security для Linux 3. Как настроить защиту
3. Как настроить защиту
3.1 Как управлять устройствами
Вы добавили устройства на сервер KSC и установили на них защиту. Теперь нужно научиться
управлять устройствами. Для управления устройствами существуют несколько инструментов.
Группы администрирования — это логические группы, в которые объединяются устройства.

Добавлять устройства в группы можно вручную или с помощью правил переноса устройств.
Группы могут быть объектами задач и политик безопасности.
Тэги устройств помогают распределять устройства по группам администрирования. Могут

назначаться как вручную, так и с помощью автоматических правил.
Политики безопасности содержат в себе настройки всех компонентов безопасности.
53
Один из вариантов распределения устройств по группам администрирования — на основе роли

устройства. Например, вы можете объединить в группу администрирования все веб серверы и
применить к ним необходимые настройки.
54
3.2 Как объединять устройства
В первую очередь следует создать группу администрирования. Новая группа администрирования

будет создана внутри группы Managed devices. Это означает, что все задачи, назначенные на
группу Managed devices будут назначены на все вложенные группы и политика безопасности
группы Managed devices будет действовать на вложенные группы, если для них не создана
отдельная политика.
55
Самый простой способ добавить устройства в группу — вручную. Однако при большом количестве
устройств и при постоянном появлении новых добавлять устройства вручную становится
проблематично. Процесс добавления можно автоматизировать с помощью правил перемещения.
В правиле перемещения указываются условия, при выполнении которых, устройство будет
перемещено в целевую группу. Для каждой группы нужно создавать отдельное правило. Чтобы
добавить новое правило необходимо перейти в раздел Devices | Moving rules и там нажать кнопку
+ Add.
56
В открывшемся окне вы можете настроить правила перемещения. На первой вкладке укажите

основные настройки правила:
— Имя правила
— Целевая группа администрирования — группа, в которую будут перемещаться устройства
подходящие под условия правила
— Способ применения правила. Применить правило можно одним из трех способов:
— Run once for each device: правило выполняется один раз для каждого устройства,
добавленного на сервер KSC.
— Run once for each device, then at every Network Agent installation: правило
выполняется для каждого устройства один раз, а затем при каждой установке Агента
администрирования. Такой способ следует выбирать, если вы планируете добавлять
новые устройства. После того, как на новое устройство будет установлен Агент
администрирования, к нему будет применено правило перемещения.
— Apply rule continuously: Правило применяется периодически, раз в несколько часов
на все устройства. При большом количестве устройств может значительно нагружать
систему
— Move only devices that do not belong to an administration group. Эта опция разрешает
перемещать только устройства, которые находятся в группе Unassigned devices. Если
устройство принадлежит к группе администрирования, оно не будет перемещаться.
— Enable rule — включить правило после создания. Правило становится активным, как
только будет завершено его создание.
На вкладке Rule conditions задаются условия срабатывания правила. Условия также разделены
по вкладкам. Если вы укажете условия на нескольких вкладках, то они будут проверяться с
логическим оператором «И». То есть, устройство будет перемещено только когда выполнены все
указанные условия.
На вкладке Tags условием срабатывания правила является наличие или отсутствие конкретного
тэга устройства. Вы можете выбрать один или несколько тэгов и выбрать принцип срабатывания.
57
Apply to devices without the specified tags применяет правило к устройствам, на которых
отсутствует выбранный тэг. Опция Apply if at least one specified tag matches вызывает
срабатывание правила если у устройства находится хотя бы один тэг из выбранных.
На вкладке Network вы можете выбрать условия, связанные с сетевыми параметрами узлов.

— DNS name of the device — доменное имя устройства
— DNS domain — DNS суффикс устройства
— IP range — все устройства, которые находятся в указанном диапазоне IP адресов
— IP address for connection to Administration Server — IP адрес, с которым устройство
подключается к Серверу администрирования. Если на устройстве несколько сетевых
интерфейсов, то использоваться будет именно тот адрес, с которого происходит
подключение.
— Connection profile changed — изменялся или нет профиль подключения. Профиль
подключения описывает как Агент администрирования должен подключаться к Серверу
администрирования. Например, при нахождении устройства вне рабочей сети может
использоваться другой адрес для подключения. Функция профилей подключения работает
только для устройств на Windows.
— Managed by different Administration Server — срабатывает, когда устройство
управляется другим сервером администрирования. Например, если используется
архитектура с главным и подчиненными Серверами администрирования.
58
На вкладке Applications можно указать условия на основании наличия программ Лаборатории

Касперского и свойствах операционной системы.
— Network Agent is installed проверяет наличие установленного Агента администрирования
— Applications — наличие других приложений Лаборатории Касперского
Остальные опции позволяют указать тип, разрядность, номер сборки, релиза и пакета обновлений
(Service Pack) операционной системы.
59
Вкладка Virtual machines позволяет отобрать узлы, которые являются виртуальными машинами.
Также отсортировать их по типу гипервизора и по принадлежности к инфраструктуре VDI.
3.3 Как присваивать тэги
Администратор может присваивать теги устройствам на основании определенных признаков. Вы

можете управлять тэгами устройства в разделе Devices | Tags | Device tags. В этом разделе вы
можете создавать и удалять тэги, а также присваивать тэги устройствам. Также создать и
присвоить устройству тэги вы можете в свойствах устройства на вкладке Tags.
60
Тэги можно назначать автоматически, с помощью правил автоматического присваивания тэгов.

Прежде, чем настраивать правила тэги должны быть созданы администратором. Правила
присваивания тэгов настраиваются аналогично с правилами перемещения устройств. В правилах
присваивания тэгов присутствуют те же самые условия срабатывания правила, что и в правилах
перемещения. Однако, разница между тэгами и правилами перемещения в том, что каждому
устройству может быть присвоено неограниченное количество тэгов по различным признакам.
Такой способ маркировки позволяет значительно упростить дальнейшее распределение устройств
по группам администрирования. При создании правила перемещения достаточно будет набрать
необходимый набор тэгов для выборки устройств, вместо того чтобы создавать правила с нуля.
61
3.4 Как применять политики
Настройки приложений Лаборатории Касперского находятся в политиках. Создать политику можно

для KESL, Агента администрирования и KSC. Политика KSC содержит в себе настройки сервера и
используется для того, чтобы распространить настройки на подчиненные Серверы
администрирования. Политика Агента администрирования содержит в себе настройки связи
Агента с Сервером администрирования, передачи данных и так далее. Политика KESL содержит
настройки всех компонентов безопасности, которые входят в состав KESL.
Создать новую политику можно в разделе Devices | Policies & Profiles.
62
Для того, чтобы создать политику, достаточно ввести ее название, указать статус и настройки
наследования.
По статусу политика может быть активной, неактивной и для автономных пользователей. Активная
политика распространяет настройки на устройства выбранной группы. Неактивная политика не
распространяет свои настройки, пока не станет активной. Политика для автономных
пользователей начинает действовать, когда устройство подключается к сети, отличной от рабочей.
Настройки наследования включают в себя две опции. Первая позволяет наследовать настройки от
политики родительской группы. При ее включении часть настроек политики блокируется и
выставляется в соответствии с политикой родительской группы. Вторая опция принудительно
транслирует настройки политики на политик дочерних групп. При ее использовании часть настроек
политик дочерних групп блокируется и выставляется в соответствии с родительской группой.
63
Для всех опций политики безопасности существует переключатель с двумя положениями:

Undefined и Enforced. Когда переключатель стоит в положении Undefined, выбранная опция не
контролируется политикой и может быть изменена утилитой командной строки и в дочерней
политике, если включено наследование параметров. Если включена опция Enforce, изменение
настройки возможно только в самой политике. В наследующей политике и командной строке
изменение этой опции будет заблокировано.
64
По умолчанию каждая новая политика применяется к корневой группе Managed devices. С

помощью меню политику можно применить к любой существующей группе. Для каждой группы
администрирования может быть активна только одна политика для каждого приложения
Лаборатории Касперского.
65
KL 013.11.4: Kaspersky Endpoint Security для Linux 4. Как защитить устройства
4. Как защитить устройства
4.1 Как защититься от вредоносных файлов на устройстве
Чем же опасны вредоносные файлы? К вредоносным файлам можно отнести все файлы, которые
выполняют несанкционированные действия в системе. Злоумышленники могут преследовать
множество целей, заражая компьютеры. С помощью вредоносных файлов злоумышленники могут
красть или уничтожать важные данные. Одни вредоносные файлы могут использоваться только
для того, чтобы попасть в систему и загрузить другие, которые уже начнут выполнять основные
задачи. Вредоносные файлы могут оказаться шифровальщиками, которые сделают данные
нечитаемыми и будут требовать выкуп за их расшифровку. И наконец они могут устанавливать
майнеры, которые будут использовать ресурсы системы для добычи криптовалюты. Естественно,
это далеко не полный список того, чем могут заниматься подобные файлы на устройствах,
поэтому обнаружение и предотвращение их появления — это одна из первоочередных задач для
систем безопасности.
66
Самым базовым компонентом защиты от вредоносных файлов является Защита от файловых

угроз. Этот компонент запускается при старте KESL и постоянно находится в оперативной памяти
системы. Защита от файловых угроз проверяет все открываемые, сохраняемые и запускаемые
файлы.
Чтобы знать, что происходит на файловой системе, KESL использует API fanotify, который
специально был сделан в т.ч. и для антивирусной проверки. Это часть ядра Linux и присутствует
во многих дистрибутивах по умолчанию. Если же fanotify не поддерживается, установщик KESL
скомпилирует модуль ядра, который будет заниматься перехватом файловых операций,
потребуется ряд дополнительных пакетов, см. системные требования.
67
При настройке Защиты от файловых угроз можно выбрать какие действия будет выполнять KESL
при обнаружении угрозы. Настраиваются два действия. При обнаружении угрозы выполняется
первое, если оно не сработало, выполняется второе. Для выбора доступны следующие действия:
— Disinfect — попытка вылечить объект. При этом копия объекта сохраняется в хранилище
на случай ложноположительного срабатывания. Если объект не удается вылечить — он
остается неизменным
— Remove — удаление объекта. Перед тем, как удалить объект, KESL сохраняет его
резервную копию.
— Block — блокировка доступа к объекту и создание записи в журнале. В этом случае
администратор оповещается об обнаружении при помощи события, а объект остается
заблокированным для всех до того, как администратор не выполнит с ним необходимых
действий
— Perform recommended action — автоматический выбор действия в зависимости от типа
угрозы. В большинстве случаев выполняется попытка лечения объекта. В некоторых
случаях рекомендованным действием является удаление. Например, при обнаружении
вредоносного объекта типа троянский конь, рекомендуемым действием является
удаление объекта, так как вылечить его невозможно.
68
По умолчанию Защита от файловых угроз защищает всю файловую систему1. Это не всегда
целесообразно на нагруженных системах. На таких системах стоит рассмотреть возможность
исключения некоторых областей из защиты.
— Папки с файлами логов. Например, /var/log/. При мониторинге журналов Защите от
файловых угроз приходится постоянно проверять файлы, так как запись в файлы
журналов ведется практически непрерывно.
— Базы данных. Объемные базы данных требуют большое количество ресурсов для
проверки, а частое обращение к файлам базы данных приводит к частым проверкам.
— Файлы, с которыми работают ресурсоемкие процессы. Проверки таких файлов будут
замедлять работу процессов, обращающихся к ним и повышать их требования к ресурсам.
1 Из-за технических ограничений fanotify не проверяются autofs, binfmt_misc, cgroup, configfs, debugfs, devpts, devtmpfs,
fuse, fuse.gvfsd-fuse, gvfs, hugetlbfs, mqueue, nfsd, proc, parsecfs, pipefs, pstore, usbfs, rpc_pipefs, securityfs, selinuxfs, sysfs,
tracefs
69
Ограничить проверку конкретными областями можно двумя способами. Первый способ — удалить
область сканирования по умолчанию, которая указывает на корневую папку файловой системы.
Затем создать новые области сканирования с указанием на те директории, которые следует
сканировать.
При создании новых областей сканирования можно указать тип файловой системы, путь к
директории и маску имени файлов.
70
При создании новой области сканирования можно указать следующие типы файловой системы:
— Local — локальная файловая система. Указывается путь к директории, находящейся на
локальной файловой системе
— Mounted — все ресурсы, смонтированные по одному из доступных протоколов или по
имени. При выборе этого типа появляется выпадающее меню с выбором SMB, NFS и
Custom. Первые две опции добавят в область проверки все смонтированные ресурсы,
подключенные по выбранному протоколу. При выборе опции Custom вы можете указать
название смонтированного ресурса, как он отображается в выводе команды mount
— Shared — все ресурсы, доступ к которым предоставляется по одному из протоколов. Эта
опция добавляет в область все ресурсы, которые раздаются с этого устройства либо по
SMB, либо по NFS
— All remote mounted добавляет все смонтированные удаленные ресурсы
— All shared добавляет все общие ресурсы, вне зависимости от протокола
Второй способ проверять только необходимые области — настроить исключения. Исключения из

проверки можно настроить одним из способов:
— По пути. Исключает из проверки выбранную директорию. По аналогии с областями
сканирования может задаваться типами файловой системы Local, Mounted и All mounted
— По имени угрозы. Вы можете указать имя угрозы, которая не будет блокироваться
Защитой от файловых угроз. Например, для нужд тестирования вы можете исключить
блокировку угрозы eicar, которая является тестовым файлом для проверки зашиты от
вредоносных файлов
— По маске. Вы можете указать маску файла, чтобы все файлы, подходящие под маску,
исключались из проверки. Например, исключение по маске *.log позволит исключить из
проверки большую часть файлов журналов
— По процессу. Вы можете указать процесс, который требуется исключить их проверки. В
этом случае вся активность процесса и все файлы, к которым он обращается будут
исключены из проверки
71
При настройке исключений можно использовать маски для выбора файлов и директорий по
определенному принципу. Для указания маски можно использовать три символа:
— Символ ? заменяет любой единичный символ в имени файла или пути. Например, маска
file? будет подходить файлам file1, file2, file3 и так далее, но не файлу file10, так как после
file следует два символа
— Символ * заменяет последовательность любых символов любой длинны, кроме символа /.
То есть маска /var/log/* выберет все файлы в директории /var/log, но не выберет
вложенные директории, так как в их пути будет присутствовать символ /.
— Символ ** заменяет последовательность любых символов любой длины без ограничений.
Маска /tmp/** выберет все содержимое директории /tmp/, включая вложенные директории
72
4.2 Как предотвратить попадание вредоносных файлов на

устройство
Вредоносные файлы могут попасть на устройство по разным каналам. Например, через интернет,
при посещении подозрительных сайтов и скачивания файлов. Через съемные носители, которые
непреднамеренно или специально были заражены. С других компьютеров, которые уже заражены
и теперь распространяют вредоносные объекты на другие устройства. Через почту, при открытии
ссылок и вложений, которые маскируются под обычные, но в действительности ведут на опасные
сайты или содержат в себе вредоносный код.
73
Для защиты устройства от зараженных носителей применяется задача Проверка съемных дисков.
Проверка съемных дисков выполняет сканирование подключаемых носителей информации, в том
числе и оптических приводов, на наличие угроз. Сканированию подвергаются как файлы,
находящиеся на носителе, так и его загрузочные области. Проверка выполняется при каждом
подключении внешнего носителя. Проверяются CD/DVD и Blu-ray приводы, флеш-накопители
(включая USB модемы), внешние жесткие диски и дискеты. Выбрать тип проверки можно отдельно
для оптических приводов и отдельно для остальных типов носителей. При быстрой проверке
проверяются только определенные типы файлов, например exe, sys, bat, cmd, bin, dll. При
детальной проверке сканируются все файлы. Также администратор может заблокировать доступ к
съемному носителю, пока проверка не будет завершена. Это позволит избежать запуска
вредоносного файла пользователем до его обнаружения.
74
Для того, чтобы защитить устройство от попадания вредоносных файлов через интернет, следует
воспользоваться Защитой от веб-угроз. Защита от веб-угроз проверяет весь входящий трафик на
признаки вредоносных файлов и блокирует доступ к фишинговым и опасным сайтам на основании
баз, эвристического анализа и информации из KSN.
Защита от веб-угроз проверяет входящий трафик по протоколам HTTP, HTTPS и FTP. При
обнаружении попытки загрузить вредоносный файл Защита от веб-угроз в зависимости от
настроек политики либо прерывает процесс загрузки, либо позволяет загрузить файл, но
оповещает администратора.
При открытии вебсайта Защита от веб-угроз проверяет его по базам KESL, проводит
эвристический анализ, если эта опция включена и проверяет репутацию сайта по базам KSN. Если
на любом из этапов выясняется, что сайт относится к категории опасных или фишинговых, KESL
блокирует доступ к сайту и показывает страницу с предупреждением об опасности. При этом
пользователь все равно может перейти на сайт, если нажмет на соответствующую ссылку на
странице с предупреждением.
75
Защита от веб-угроз контролирует порты, которые заданы в настройках. В настройках можно

указать список конкретных портов или включить мониторинг всех. При получении пакетов на один
из контролируемых портов, происходит извлечение данных и проверка их на наличие угроз.
Защита от веб-угроз может работать с протоколами HTTP, HTTPS и FTP. Поддержку протоколов
HTTPS и FTP нужно включить в настройках.
76
Если вам необходимо скачать файл, который определяется Защитой от веб-угроз как
вредоносный, вы можете добавить сайт в список доверенных. Весь трафик с доверенных сайтов
исключается из проверки Защитой от веб-угроз. При добавлении сайта в список доверенных
можно использовать маску, для исключения доменов третьего и так далее уровней.
В процессе установки Kaspersky Endpoint Security создает самоподписанный сертификат —

Kaspersky Anti-Virus Personal Root Certificate — и помещает его в локальное хранилище
компьютера /etc/ssl/certs. При каждом запуске, KESL проверяет наличие сертификата в хранилище,
и если его там нет, то восстанавливает.
Проверка зашифрованного трафика (SSL/TLS) KESL осуществляется с помощью подмены

сертификата. KESL перехватывает исходящее соединение от программы к серверу, получив
сертификат сервера, KESL генерирует аналогичный сеансовый сертификат, подписанный
Kaspersky Anti-Virus Personal Root Certificate сертификатом, и отдает его клиентской программе.
Это позволяет перехватить симметричный ключ шифрования и расшифровать весь сеанс связи.
Пользователь не получит никаких предупреждений от веб-браузера, поскольку Kaspersky Anti-Virus

Personal Root Certificate находится в хранилище доверенных сертификатов.
Протоколы SSL/TLS поддерживают три режима аутентификации: аутентификация двух сторон,

аутентификация сервера перед анонимным клиентом и полная анонимность.
Например, когда пользователь подключается, по протоколу https к веб-серверу, в большинстве

случаев используется второй режим аутентификации — аутентификация сервера перед
анонимным клиентом. В этом случае подмена сертификата не вызывает проблем.
Если используется первый режим аутентификации — двусторонняя аутентификация, например,

при работе клиент-банковских приложений, клиентов облачных хранилищ, перехваченный
сертификат может быть не принят клиентской программой и у KESL возникнет ошибка проверки
зашифрованного соединения.
С настройками по умолчанию, если возникают ошибки при проверке защищенного соединения,

домен автоматически добавляется в список websites with scan errors и весь его трафик
77
пропускается без проверки. Список формируется для каждого компьютера отдельно, хранится
локально и не передается на Kaspersky Security Center. Содержимое списка websites with scan
errors можно посмотреть с помощью команды kesl-control -N query auto.
При необходимости, можно сбросить локальные списки websites with scan errors. Для этого
выполните kesl-control -N clear-web-auto-excluded.
Если у веб-сервера проблемы с сертификатом, например, время действия сертификата истекло,

веб-браузер не сможет об этом сообщить пользователю, поскольку используется сеансовый
сертификат KESL, с которым все хорошо. О подключении к домену с недоверенным сертификатом
сообщит KESL и предоставит пользователю возможность самостоятельно решать подключаться к
сайту или нет.
При необходимости администратор может запретить подключение к доменам с недоверенным

сертификатам. Для этого в области Action when an untrusted certificate is encountered
необходимо выбрать параметр Block connection.
78
4.3 Как защитить устройство от сетевых угроз
Продолжая тему сетевой безопасности, не следует забывать о бесфайловых сетевых атаках.

Одними из наиболее распространенных атак такого типа являются атаки отказа в обслуживании
(DDoS) и переполнения буфера (buffer overflow). Такие атаки реализуются путем передачи
определенных типов или количества пакетов на сетевой интерфейс устройства.
Для борьбы с такими атаками в KESL присутствует компонент Защита от сетевых угроз. Этот
компонент проверяет входящий трафик, в том числе на разрешенных для соединения портах.
Проверка проводится независимо от сетевого экрана. Защита от сетевых угроз анализирует
последовательность пакетов, передаваемых на порт на наличие в ней признаков сетевой атаки. В
случае обнаружения подобных признаков, все сетевые соединения от атакующего устройства
блокируются на определённое время.
79
Если вы хотите исключить доверенное устройство из проверки Защитой от сетевых угроз,

добавьте его в список исключений. Вы можете добавить в список исключений адрес конкретного
устройства или подсети. Пакеты, приходящие от такого устройства, не будут перехватываться и
проверяться Защитой от сетевых угроз.
80
4.4 Как защититься от шифровальщиков
На сегодняшний день одним из распространенных видов атак является шифровальщик или

Ransomware. Суть этой атаки в том, что злоумышленник шифрует важные данные на устройстве и
требует выкуп за предоставление ключа шифрования, который позволит расшифровать данные.
Шифрование данных может быть выполнено либо программой шифровальщиком, попавшей на

компьютер, либо по сети на общих ресурсах устройства. Если программа шифровальщик может
быть обнаружена одним из видов защиты от файловых угроз, то шифрование по сети
производится программой, работающей на устройстве злоумышленника, которая не может быть
обнаружена подобной защитой.
81
Для защиты от шифрования данных по сети существует компонент Защита от шифрования. Этот
компонент проверяет обращения удаленных компьютеров к файлам на сетевых ресурсах
устройства. Если действия удаленного компьютера расцениваются как попытка шифрования,
операции с файлами прерываются, а атакующий компьютер блокируется на указанное в
настройках задачи время. Чтобы защитить сетевой ресурс от шифрования нужно указать его в
настройках задачи.
82
4.5 Как защититься от новых угроз
Новые угрозы не сразу попадают в базы систем защиты. Проходит некоторое время, прежде чем
новая угроза будет обнаружена, исследована и добавлена в базы. В этот промежуток времени
новая угроза представляет наибольшую опасность, так как не может быть обнаружена
стандартными средствами защиты. На этот случай в KESL имеется компонент Анализ поведения.
Анализ поведения контролирует действия программ (открытие файлов, установку соединений,
обращение к сетевым функциям и так далее) и сравнивает эти действия с шаблонами опасного
поведения. Если действия программы соответствуют таким шаблонам, то программа
останавливается, а все ее действия откатываются.
83
KL 013.11.4: Kaspersky Endpoint Security для Linux 5. Как укрепить систему
5. Как укрепить систему
5.1 Зачем контролировать систему?
Во введении мы говорили о том, как важно укрепить сервер — закрыть как можно больше векторов
атак, чтобы у злоумышленника было меньше шансов на успех. Как правило, многие
администраторы ограничиваются базовыми мерами — пароли чуть сложнее простейших,
отключают ненужные службы, время от времени обновляют систему. Но у самой операционной
системы гораздо больше возможностей, для внедрения которых требуется время и квалификация
персонала. Важно знать, что происходит в системе, чтобы выдать ровно те права и разрешения,
которые нужны системе и приложениям на ней. Причем со временем конфигурация меняется, что
влечет за собой подстройку системы безопасности.
Для администратора важно:

— Легко видеть настройки безопасности на данном узле
— При необходимости централизованно поменять настройки
Основная сложность с управлением Linux — это отсутствие стандартного инструмента

централизованного управления. На разных предприятиях этот вопрос решается по-разному, где-то
с помощью Puppet, Chef или Ansible, где-то просто скриптами. Каждый из этих способов требует
широких знаний по работе как самого инструмента, так и системы. KESL же управляется
централизованно через KSC и требует меньше времени на освоение.
KESL позволяет контролировать:

— Запуск приложений
— Сетевые соединения
— Устройства
Ниже мы поговорим, как компоненты контроля помогают повысить безопасность системы.
84
5.2 Контроль приложений
Контроль приложений защищает компьютер от несанкционированного запуска исполняемых

файлов. Контроль запуска приложений выполняется на основании категорий программ. Контроль
приложений может работать в одном их двух режимов — список разрешенных и список
запрещенных.
85
Для того, чтобы эффективно использовать Контроль приложений, следует разобраться в режимах
его работы.
При работе в режиме список разрешенных в системе запрещено запускать любые программы,
кроме тех, которые добавлены в список разрешенных. Этот режим следует использовать, когда вы
хотите запретить запуск любых новых программ без предварительного одобрения
администратором.
Список запрещенных разрешает запуск всех программ, кроме тех, которые добавлены в список
запрещенных. Это ваш выбор, когда вы хотите запретить запуск конкретных программ.
Создать категорию программ для Контроля приложений можно либо в настройках Контроля
приложений при создании нового правила, либо в разделе Third party applications | Application
categories. В обоих случаях процесс создания категории будет идентичен.
86
Для создания категории нужно добавить в нее программы. Сделать это можно двумя способами:
— Добавить программы вручную. Это можно сделать, указав:
— Путь
При указании пути можно использовать маску. Например, пусть /usr/bin/* добавит в
категорию все исполняемые файлы в директории /usr/bin
— Хеш файла
В версии KESL 11.4 поддерживается только MD5
— Метаданные
Из-за того, что на Linux исполняемые файлы обычно не содержат метаданных,
единственный вариант — указать имя файла
— Создать категорию при выполнении задачи Инвентаризация.
Задача Инвентаризация позволяет создать категорию Golden image, содержащую все
найденные программы. Эта категория создается и хранится локально на каждом из узлов, где
была запущена задача. Ее нельзя использовать в правилах в политике, категорию Golden
image можно использовать только в правиле, созданном локально с помощью kesl-control.
Подробнее задачу Инвентаризация мы рассмотрим дальше.
87
Каждое правило Контроля программ задается такими параметрами:
— Категория — одна из категорий программ, предварительно заданных на Сервере

администрирования. Для каждой категории в одной политике можно создать не более
одного правила.
— Пользователи, на которых распространяется правило — список локальных
пользователей, которым разрешается/запрещается запуск программ из выбранной
категории. Пользователей нужно добавлять по одному с помощью кнопки Add. По
умолчанию в правилах указан \Everyone, т.е. правило действует на всех пользователей,
включая root.
88
5.3 Инвентаризация
Задача Инвентаризация позволяет составлять список исполняемых файлов, находящихся в

системе. Зачем это делать? Во-первых, с помощью списка исполняемых файлов вы можете
проводить аудит системы. Если во время очередной инвентаризации обнаружатся новые скрипты
или исполняемые файлы, которые не должны были появиться в системе, это повод для
подробного изучения, что это за файлы и как они попали в систему. Во-вторых, задача
Инвентаризация может создать локальную категорию программ Golden image, которую компонент
Контроль приложений может использовать в правиле. Например, вы можете создать категорию со
списком программ на свежей системе и создать на ее основе правило Список разрешенных с
помощью kesl-control. В таком случае ни одна новая программа не сможет запуститься, пока
администратор не добавит ее в категорию.
89
Инвентаризация — это задача, которая выполняется по расписанию. При настройке задачи вам
доступны следующие опции:
— Task prioroty указывает какую часть доступных ресурсов может использовать задача при
выполнении. Эта опция позволяет выделить задаче 10, 50 или 100% доступных ресурсов
— Опция Create golden image создает категорию программ для Контроля программ
— Scan all executables добавляет в список инвентаризации все файлы с исполняемым
битом
— Scan binaries добавляет к списку все бинарные файлы
— Scan scripts добавляет в список скрипты
— Inventory scan scope задает директории, в которых будет проводиться инвентаризация
90
Агент администрирования тоже может передавать информацию об установленных приложениях.

Когда администратор устанавливает или удаляет приложение средствами системного менеджера
пакетов, название пакета и его версия передаются на Сервер администрирования.
5.4 Управление сетевым экраном
91
Важным элементом защиты любой ОС является сетевой экран. Сетевой экран контролирует
входящие и исходящие подключения и разрешает или запрещает их на основании правил. На
поддерживаемых системах Linux в качестве сетевого экрана доступен iptables/netfilter. Задача
Управление сетевым экраном позволяет создавать правила для iptables в графическом
интерфейсе, а также контролирует изменения правил.
Есть и альтернативные iptables инструменты управления правилами netfilter. На Red Hat-подобных

системах это firewall-cmd, на Debian — nft, на Ubuntu — это ufw. Утилита ufw не мешает политике
KESL, потому что работает как обертка вокруг iptables, и когда правила Сетевого экрана
применяются к хосту, KESL перезаписывает содержимое цепочек INPUT и OUTPUT iptables. Потом
он следит, чтобы правила iptables соответствовали настройкам политики: задача проверяет их
каждые 60 секунд и откатывает все правила, добавленные не через нее. Конечно, лучше
отключить ufw, если для управления используется политика KESL. С firewall-cmd и nft сложнее,
потому что nft работает с netfilter напрямую, а firewall-cmd — это обертка вокруг nft. KESL не может
влиять на правила nft, поэтому службу firewalld и nft необходимо отключить, иначе в системе будут
сосуществовать два разных набора правил.
По умолчанию в Сетевом экране политики KESL нет ни одного правила, а действие по

умолчанию — разрешить. В таком режиме администратор может добавлять запрещающие
правила, которые будут блокировать только определенные подключения. Например, подключения
по SSH с внешних адресов.
Ниже мы рассмотрим рекомендуемый и более безопасный сценарий — блокировать все входящие

по умолчанию, кроме указанных подключений. В политике KESL за действия по умолчанию
отвечают два параметра: Incoming connections (входящие соединения) и Incoming packets
(входящие пакеты). Входящие соединения — это потоки (например, TCP сессии, UDP «сессии»),
которые отслеживаются функцией conntrack ядра Linux. Действие по умолчанию для входящих
пакетов — это действие для пакетов, для которых не нашлось правила в цепочке INPUT iptables.
Для режима «запретить все по умолчанию» очень полезно включить опцию политики Always add
allowing rules for the Network Agent ports, которая позволит всегда иметь соединение с Агентом
администрирования, даже если администратор неправильно настроит Сетевой экран и случайно
запретит все подключения.
92
Перед тем, как включить политику с действием по умолчанию «блокировать», добавьте

разрешающие правила. Об этом чуть ниже.
На слайде выше показано, как умолчания для входящих соединений и пакетов транслируются в
правила iptables. Когда политика применяется к хосту, параметр Incoming connections становится
парой правил, одно из которых отвечает за новые потоки (ctstate NEW), другое — за пакеты,
которые являются частью уже установленного потока (ctstate ESTABLISHED), и которые отправил
инициатор потока (ctdir ORIGINAL). Обратите внимание, что эта пара правил относится к пакетам
из потоков, для которых нет явных разрешений, т.е. при обходе правил сверху вниз netfilter не
нашел подходящего.
Параметр Incoming packets влияет на действие по умолчанию для входящих пакетов. Если для
пакета в цепочке INPUT не нашлось вообще никакого подходящего правила, то применяется
именно это действие.
Также на слайде показаны разрешения для портов Агента администрирования в цепочках INPUT
(входящие) и OUTPUT (исходящие пакеты).
93
При создании правил для сетевого экрана мы можем указывать тип сети, на адреса которой будет
срабатывать правило. По умолчанию все три типа сетей пусты. Что означают эти типы сетей? Это
просто удобные обозначения для групп подсетей и/или отдельных IP-адресов, которые можно
использовать в правилах, не вводя каждый раз одно и то же.
У нас есть основа — действия по умолчанию и разрешающие правила для Агента

администрирования, которые уберегут от неприятных последствий неправильной настройки
94
сетевого экрана. Остается рассмотреть, как разрешить подключение к определенной службе. На

слайде показан пример с SSH.
Создайте новое пакетное правило, где укажите:

— Название правила — отображается в интерфейсе Управления сетевым экраном или в
выводе kesl-control -F query
— Действие — действие, которое будет применено к пакету при срабатывании правила.
Пакет либо будет отправлен по назначению, либо заблокирован
— Протокол, по которому передается пакет
— Направление пакета или потока — входящий и/или исходящий
— Удаленный адрес — может быть указан как конкретный адрес, все возможные адреса
или все адреса подсети. При выборе всех адресов подсети необходимо выбрать тип сети,
для которой будет срабатывать это правило (публичная, локальная или доверенная)
— Удаленный порт, с которого был отправлен пакет. Можно указать при выборе протокола
передачи TCP или UDP
— Локальный адрес — если у хоста несколько сетевых интерфейсов и/или IP адресов,
можно указать конкретный адрес или же оставить Any address, т.е. все доступные.
— Локальный порт — порт, который слушает локальная служба
После создания правила его можно увидеть в списке правил iptables в операционной системе.
Несколько слов о направлении трафика в правиле. Параметр Direction — составной, он

одновременно задает и направление, и метод обработки пакета на хосте. Если значение
параметра относится к пакетам (Outgoing packetsёIncoming packets), то на хосте пакет будет
обрабатываться независимо от потока, т.е. нужно разрешать как входящие пакеты на данный порт,
так и исходящие с этого же порта. Чтобы не делать лишнего правила, у параметра Direction есть
значение Incoming/Outgoing packets, которое как раз создает такую пару в iptables. Можно
поступить еще проще и выбрать в качестве значения Incoming или Outgoing. В этом случае
правило создается для потока. Это значит, что каждый пакет рассматривается не по-отдельности,
а в контексте потока. И если, например, входящий поток на порт TCP 22 уже разрешен, все
ответные пакеты в рамках этого потока будут автоматически разрешены. За этот функционал
отвечает модуль iptables conntrack. В общем случае рекомендуется использовать правила для
потоков, но для некоторых высоконагруженных систем может потребоваться переключить
обработку udp/icmp протоколов в режим пакетов из соображений производительности.
Важно помнить, что расположение правил в интерфейсе Управления сетевым экраном влияет на
их приоритет друг относительно друга. Если пакет удовлетворяет условиям двух или более
правил, применяться будет правило с более высоким приоритетом.
95
Для нашего примера с SSH в iptables создается 3 правила, которые разрешают:

— Новые потоки на порт TCP 22
— Входящие пакеты в рамках установленного потока на порт 22
— Исходящие пакеты в рамках установленного потока на порт 22
96
Для полноты картины создадим запрещающее правило. Это правило будет ограничивать боковое
перемещение с серверов. Идея в том, что после компрометации сервера злоумышленники будут
пытаться проникнуть на другие хосты сети, используя, например, перебор паролей или
имеющиеся на хосте ключи для аутентификации по SSH без пароля. В обычной ситуации
администратор вряд ли будет использовать сервер в качестве рабочей станции и подключаться к
другим хостам сети, поэтому имеет смысл заблокировать исходящие подключения по SSH.
Для этого создадим еще одно правило, где:

— Action: Block,
— Protocol: TCP
— Direction: Outgoing
— Remote port: 22
5.5 Контроль устройств
Подключаемые к компьютеру устройства могут нести в себе опасность. Это могут быть не только
носители информации с вредоносными файлами, но и безобидные с виду сетевые адаптеры и
модемы, которые позволят злоумышленнику получить удаленный доступ к устройству. Чтобы
контролировать, какие устройства пользователь может подключить к компьютеру, используйте
компонент Контроль устройств.
Этот компонент блокирует подключение устройств к компьютеру по заданным условиям. Если

пользователь подключит запрещенное устройство к компьютеру, то не сможет получить к нему
доступ, а администратор будет оповещен о попытке подключения.
97
Контроль устройств позволяет настраивать доступ устройств к системе по типу и по шине.

Контроль доступа по типу дает возможность разрешить доступ, заблокировать доступ или
предоставлять его согласно настройки доступа по шине, к которой он подключен. Контроль
доступа по типу устройства настраивается отдельно для каждого типа (съемные накопители,
жесткие диски, устройства ввода, звуковые адаптеры и так далее). Контроль доступа по шине
разрешает или запрещает доступ всем устройствам, подключаемым к шинам USB или FireWire.
Приоритет настроек ограничения по типу устройства выше настроек по шине. То есть, вы можете
запретить подключение всех устройств по USB, но если для типа CD/DVD привод будет разрешено
подключение, то USB DVD привод будет подключен к компьютеру.
98
Что делать, если вам нужно разрешить подключение одного конкретного устройства? Например,
безопасного корпоративного флеш накопителя. Вы можете добавить конкретное устройство в
исключения. Для добавления устройства в исключения есть два способа. Первый способ —
добавить устройство по идентификатору устройства. Узнать идентификатор можно, например,
подключив устройство к компьютеру, на котором стоит запрет на подключение этого типа
устройств. В событиях KSC вы увидите сообщение о попытке подключения, которое будет
содержать идентификатор устройства. Второй способ — выбрать устройства из списка
подключенных, который доступен при выборе соответствующей опции. После добавления
устройства в доверенные оно может быть подключено к компьютеру не смотря на политику
Контроля устройств.
99
KL 013.11.4: Kaspersky Endpoint Security для Linux 6. Управление KESL через командную строку
6. Управление KESL через командную строку
6.1 Зачем использовать командную строку?
KESL может управляться через командную строку. С помощью утилиты kesl-control вы можете
управлять всеми компонентами, задачами и настройками KESL. Использование утилиты
командной строки позволит управлять KESL без использования KSC или графического
интерфейса и автоматизировать задачи KESL.
В каких случаях вам может пригодиться утилита kesl-control?

— Автоматизация задач KESL. Например, можно получить список известных устройств в
подсети и добавить их в исключения Защиты от сетевых атак или перенаправить
результат Инвентаризации в другое приложение
— Нет возможности использовать KSC. Например, по требованиям политики безопасности
или если в этом нет целесообразности, если контур закрытый, а устройств немного.
— Устранение неполадок. С помощью kesl-control можно посмотреть действующие
настройки, статус задач, локальные события, которых больше, чем хранит KSC и т.д.
100
6.2 Статус приложения
Первое, с чего обычно начинается устранение неполадок — это проверить общий статус
приложения, чтобы исключить очевидные неисправности: политика не применилась,
лицензионный ключ не установлен или установлен, но неправильный и т.д. Утилита kesl-control с
флагом --app-info как раз выводит эту ключевую информацию о приложении. Также из вывода
можно узнать, какие компоненты не работают и доступны ли они с текущей лицензией, режим
работы KSN, загружены ли обновления модулей, которые требуют перезагрузки приложения.
Команду kesl-control с флагом --app-info можно выполнить от имени обычного пользователя.
101
6.3 Как управлять задачами
Сначала определимся, что такое задача. С точки зрения KSC есть компоненты приложения, такие
как защита от файловых угроз или защита от веб-угроз и т.д., а есть задачи — задача обновления,
задача поиска вирусов. Компоненты или включены и запускаются с приложением, или выключены.
У задач можно настроить расписание или запускать их вручную, они выполняют какую-то разовую
конечную функцию — обновляют базу или проверяют диск на вирусы. В KESL задачами
называется все: и компоненты, и задачи. Если вывести список задач через kesl-control, то в нем
будут одинаково отображаться обе эти сущности. Отличить их можно по полю Type.
Каждая задача в KESL имеет уникальные имя и цифровой идентификатор. Когда вы создаете
новую задачу, вам потребуется указать для нее уникальное имя, а идентификатор будет присвоен
автоматически. Каждая новая задача получает следующий по счету идентификатор. При работе с
утилитой kesl-control вы можете указывать задачу как по имени, так и по идентификатору.
Например, задача Защита от файловых угроз имеет имя File_Threat_Protection и идентификатор 1.
Остановить задачу можно как командой kesl-control --stop-task File_Threat_Protection так и
командой kesl-control --stop-task 1.
102
Часть задач не отображается в выводе kesl-control — это локальные задачи поиска вирусов и
обновления, а также задачи, созданные на KSC. Администратор может разрешить управление
этими задачами и тогда через kesl-control можно будет не только видеть все задачи, но и менять
их состояние (старт/стоп), а для локальных можно будет менять и настройки.
В этой таблице вы видите список задач, находящихся в KESL по умолчанию. Кроме имени и
идентификатора, у каждой задачи имеется тип. Тип описывает какая именно задача находится под
103
указанным именем и идентификатором и не является уникальным значением. Например, вы

можете создать дополнительную задачу проверки по требованию, указав при создании тип ODS.
Самыми базовыми командами kesl-control являются просмотр, запуск и остановка задач.
Просмотр списка задач выполняется командой kesl-control --get-task-list. Команда выводит список
всех задач, с указанием имени, идентификатора, типа и статуса задачи. Запуск и остановка задачи
выполняется с помощью ключей --start-task и --stop-task с указанием имени или идентификатора
нужной задачи.
104
Создание новой задачи выполняется командой kesl-control --create-task <название> --type <тип
задачи>. Название задачи должно быть уникальным. Тип должен соответствовать той задаче,
которую вы хотите создать. В случае успешного создания задачи, в выводе команды вы увидите
идентификатор, который был присвоен задаче.
Каждая новая задача создается с настройками по умолчанию.
105
Для изменения параметров задачи используется команда kesl-control --set-settings <ID | название>
<параметр=значение>. Каждый параметр задает отдельную настройку задачи. Параметры
перечисляются через пробел. В каждой задаче содержатся свои собственные параметры, поэтому
для правильного указания параметров рекомендуется ознакомиться с документацией по KESL.
Для просмотра параметров задачи используйте команду kesl-control --get-settings <ID | значение>.
Вывод команды покажет все параметры, которые заданы для выбранной задачи.
Некоторые задачи в KESL запускаются по расписанию. Для того, чтобы задать расписание для
задачи используйте команду kesl-control --set-schedule <ID | название> <параметр=задача>.
Основными параметрами для расписания задачи являются:
— RuleType задает частоту запуска задачи. Позволяет запускать задачу ежеминутно,
ежечасно, ежедневно и так далее
— StartTime задает точное время запуска задачи. Включает в себя время запуска и
дополнительный параметр, в зависимости от значения RuleType. Для еженедельной
задачи указывается день недели, для ежемесячной — число, для ежеминутной - интервал
в минутах между запусками
— RunMissedStartRules включает или выключает запуск задачи, если он был пропущен.
Например, если устройство было выключено когда задача должна была запуститься по
расписанию
— RandomInterval указывает с каким интервалом в минутах нужно запускать задачу, в
случае одновременного запуска нескольких задач.
106
6.4 Работа с событиями
Параметры приложения, которые относятся к событиям и трассировке KESL можно посмотреть с

помощью команды
kesl-control --get-app-settings
Файлы трассировки пишутся в папку /var/log/kaspersky/kesl. Чтобы включить трассировку

выполните команду
kesl-control --set-app-settings TraceLevel=Detailed
После воспроизведения проблемы не забудьте выключить трассировку:
kesl-control --set-app-settings TraceLevel=Disabled
События пишутся в SQLite базу, по умолчанию, это

/var/opt/kaspersky/kesl/private/storage/events.db и ограничены 500 тыс. событий.
Чтобы работать с такой базой данных, важно уметь строить фильтры. Если ввести
kesl-control -E
на экране появится все содержимое базы данных событий, что неудобно. Можно ограничить вывод
последними N событиями:
kesl-control -E query -n <N>
Из формата события, полученного с помощью команды выше, можно вынести поля и возможные
значения этих полей, по которым можно строить фильтр. Например, у всякого события есть поле
EventType. Тогда запрос о событиях об обнаружении будет выглядеть так:
107
kesl-control -E query “EventType == ‘ThreatDetected’”
Обратите внимание, что кавычки для значения поля EventType обязательны.
Фильтры можно комбинировать с помощью логических выражений. Например, сделаем фильтр по

другому полю — имени задачи и объединим его с условием на дату:
kesl-control -E query “TaskName == ‘<имя задачи>’ and Date > ‘<YYYY-MM-DD

hh:mm:ss>’”
В целях устранения неполадок, чтобы не делать каждый раз запросы в базу событий, можно
включить дублирование вывода событий KESL в терминал в режиме реального времени:
kesl-control -W
Чтобы получать только нужные события, используйте фильтры. Их формат тот же, что мы
рассмотрели выше:
kesl-control -W query “EventType == ‘ThreatDetected’”
v1.0
108

KL 013.11.4 Student Guide v1.0

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

KL 013.11.4 Student Guide v1.0

Загружено:

Авторское право:

Доступные форматы

KL 013.11.

4: Kaspersky Endpoint Security для Linux

1. Как и зачем защищать Linux? ............................................................................................3

2. Как установить защиту? ...................................................................................................18

3. Как настроить защиту? ....................................................................................................53

4. Как защитить устройства? ...............................................................................................66

5. Как укрепить систему? .....................................................................................................84

6. Управление KESL через командную строку .................................................................100

DMZ DeMilitarized Zone, демилитаризованная зона

EDR Endpoint Detection and Response

IoT Internet of things, Интернет вещей

KSC Kaspersky Security Center

KSN Kaspersky Security Network

KSWS Kaspersky Security для Windows Servers

NTA Network traffic analysis

SIEM Security Information and Event Management

XDR eXtended Detection and Response

Агент администрирования Агент администрирования KSC

Сервер администрирования Сервер администрирования KSC

СУБД Система Управления Базами Данных

1. Как и зачем защищать Linux

1.1 Зачем защищать Linux?

Исторически вокруг ОС Linux сложилось некоторое количество мифов, касающихся ее

человеческий фактор. Ошибки в настройке прав учетных записей может значительно

Для России дополнительный фактор использовать Linux — это закрепленная на государственном

Закон не предусматривает резкого перехода с Windows и не распространяется на частные

Укрепление системы — это повышение безопасности системы за счет правильной настройки

Защита системы предполагает использование сторонних продуктов для обеспечения

Для укрепления сервера следует придерживаться правил безопасного использования системы.

Некоммерческая организация Центр интернет-безопасности занимается вопросами защиты

1.2 Чем защищать Linux?

Защита системы может работать на разных уровнях, обеспечивая обнаружение и защиту от

Операционные системы на базе Linux чаще всего используют в определенных сценариях, в

В данном курсе мы рассматриваем локальную сеть предприятия и физические или виртуальные

Компоненты Kaspersky Endpoint Security для Linux

Компоненты защиты в KESL отвечают за распознавание и нейтрализацию вредоносных файлов и

Компоненты укрепления отвечают за контроль системы и уменьшение поверхности атаки.

Ряд компонентов приложения в данном курсе не рассматривается.

Как Kaspersky Security Center работает с Kaspersky Endpoint Security Linux

Агент администрирования на клиентском устройстве регулярно обращается на Сервер

Схема работы KSC выглядит следующим образом:

Для установки KSC Linux требуется:

2. Как установить защиту

2.1 Сценарий установки

Мы рассмотрим вариант инсталляции, в котором для управления KESL используется Сервер

Рассмотрим сценарий установки более подробно:

В этом курсе мы рассмотрим установку и настройку MariaDB Server и PostgreSQL.

2.2 Установка и наcтройка MariaDB.

Начнем с установки и настройки MariaDB Server. С помощью менеджера пакетов выбранного

Добавьте рекомендуемые настройки https://support.kaspersky.com/help/KSCLinux/14/en-

2.3 Установка и настройка PostgreSQL

Теперь рассмотрим установку и настройку PostrgeSQL. Используйте менеджер пакетов, чтобы

Добавьте рекомендуемые параметры https://support.kaspersky.ru/help/KSCLinux/14.2/en-

Рекомендуемые параметры оптимизируют работу PostgreSQL с KSC Linux.

2.4 Установка Сервера администрирования

Для корректной работы KSC нужно открыть следующие порты:

После принятия пользовательского соглашения начнется первичная настройка сервера.

1. Укажите тип установки:

— Standard — установка одиночного сервера KSC. Используется в тех случаях, когда вы

2.5 Установка веб консоли

Минимальный набор параметров для установки веб-консоли следующий:

После завершения установки веб консоли перезапустите все службы KSC.

Откройте браузер и выполните подключение к веб консоли. Подключение возможно только по