Как лучше проверить работу исключений в Касперском?

Ссылка скопирована
1 ответ

Нужно понять: через политики Kaspersky Security Center настроены исключения, но как понять работают они или нет?
По вводным: 1. К примеру есть приложение C:\users\001\appdata\local\test\2\test.exe, которое нужно исключить. Я делаю исключение по типу "%localappdata%\test\" что подразумевает исключение папки тест и всего что в ней вложено.
Сейчас ситуация такая: 2. Или веб-адреса доменные. Я делаю маску *.domain.local чтобы к примеру адрес web.domain.local не проверялся.

Сейчас ситуация такая: как понять что это работает? Есть какой-то инструмент, куда я могу вбить адрес и мне скажут, что данный адрес в исключениях или укажу папку test с приложением? То что это написано в исключениях - ОК, но может я ошибся в синтаксисе или еще что.
Каким способом понять что ту папку которую Планирую исключить - каспер реально исключил?

Нужно решить такую задачу?

Опишите проблему, и специалист поможет с настройкой, исправлением ошибки или доработкой сайта. Подберём понятный план работ без лишней переписки.

Заказать помощь
Лучший ответ
1
Web-разработка Ответ

У Kaspersky лучше проверять исключения не по принципу “записано в политике”, а по факту применения политики на конкретной машине и по событиям защиты. В KSC путь может быть указан правильно, но клиент мог не получить политику, переменная могла не раскрыться так, как ожидается, или исключение действует только для одного компонента защиты, а проверяет файл другой компонент.

Начните с клиента. На рабочей станции откройте локальный интерфейс Kaspersky и проверьте, какая политика применена и когда она обновлялась. В KSC у устройства должно быть актуальное время синхронизации. Затем проверьте событие в журнале: если файл сканируется, блокируется или веб-адрес проверяется, это обычно видно в событиях “Защита от файловых угроз”, “Веб-защита”, “Контроль программ” и т.д.

Для файлового исключения с %localappdata% есть важный нюанс: путь зависит от пользователя. Сервис антивируса может раскрывать переменную не так, как интерактивный пользователь. Безопаснее проверить явный путь:

C:Users01AppDataLocaltest2test.exe

C:Users01AppDataLocaltest2test.exe

Если явный путь работает, а переменная нет, проблема именно в маске. Для папки обычно лучше задавать исключение с рекурсией на каталог, а не только строку пути. Проверьте, что исключение применено к нужным типам проверки: файловая защита, проверка по требованию, поведенческий анализ, контроль программ.

Для веб-исключений маска *.domain.local не всегда означает “всё что угодно на этом домене” для всех модулей. Добавьте варианты:

domain.local
*.domain.local
http://*.domain.local/*
https://*.domain.local/*

domain.local *.domain.local http://*.domain.local/* https://*.domain.local/*

Проверять можно так: откройте адрес на клиенте, затем смотрите события на устройстве в KSC. Если веб-защита его проверяла, будет запись. Если исключение сработало, события проверки/блокировки не будет либо будет отметка об исключении в диагностике компонента.

Самый практичный тест для файла — временно положить в исключаемую папку тестовый EICAR-файл и проверить, реагирует ли защита. Делайте это только в контролируемой среде и сразу удаляйте файл после проверки. Если вне папки EICAR ловится, а внутри исключённой папки нет, исключение работает. Если ловится везде, политика или маска не применились.

Другие ответы (0)

Пока нет других ответов. Будьте первым, кто поможет автору.

Ответить на вопрос

комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Вам также может быть интересно