Как лучше проверить работу исключений в Касперском?
Нужно понять: через политики Kaspersky Security Center настроены исключения, но как понять работают они или нет?
По вводным: 1. К примеру есть приложение C:\users\001\appdata\local\test\2\test.exe, которое нужно исключить. Я делаю исключение по типу "%localappdata%\test\" что подразумевает исключение папки тест и всего что в ней вложено.
Сейчас ситуация такая: 2. Или веб-адреса доменные. Я делаю маску *.domain.local чтобы к примеру адрес web.domain.local не проверялся.
Сейчас ситуация такая: как понять что это работает? Есть какой-то инструмент, куда я могу вбить адрес и мне скажут, что данный адрес в исключениях или укажу папку test с приложением? То что это написано в исключениях - ОК, но может я ошибся в синтаксисе или еще что.
Каким способом понять что ту папку которую Планирую исключить - каспер реально исключил?
Опишите проблему, и специалист поможет с настройкой, исправлением ошибки или доработкой сайта. Подберём понятный план работ без лишней переписки.
Пока нет других ответов. Будьте первым, кто поможет автору.
Ответить на вопрос
У Kaspersky лучше проверять исключения не по принципу “записано в политике”, а по факту применения политики на конкретной машине и по событиям защиты. В KSC путь может быть указан правильно, но клиент мог не получить политику, переменная могла не раскрыться так, как ожидается, или исключение действует только для одного компонента защиты, а проверяет файл другой компонент.
Начните с клиента. На рабочей станции откройте локальный интерфейс Kaspersky и проверьте, какая политика применена и когда она обновлялась. В KSC у устройства должно быть актуальное время синхронизации. Затем проверьте событие в журнале: если файл сканируется, блокируется или веб-адрес проверяется, это обычно видно в событиях “Защита от файловых угроз”, “Веб-защита”, “Контроль программ” и т.д.
Для файлового исключения с
%localappdata%есть важный нюанс: путь зависит от пользователя. Сервис антивируса может раскрывать переменную не так, как интерактивный пользователь. Безопаснее проверить явный путь:C:Users01AppDataLocaltest2test.exe
Если явный путь работает, а переменная нет, проблема именно в маске. Для папки обычно лучше задавать исключение с рекурсией на каталог, а не только строку пути. Проверьте, что исключение применено к нужным типам проверки: файловая защита, проверка по требованию, поведенческий анализ, контроль программ.
Для веб-исключений маска
*.domain.localне всегда означает “всё что угодно на этом домене” для всех модулей. Добавьте варианты:domain.local *.domain.local http://*.domain.local/* https://*.domain.local/*
Проверять можно так: откройте адрес на клиенте, затем смотрите события на устройстве в KSC. Если веб-защита его проверяла, будет запись. Если исключение сработало, события проверки/блокировки не будет либо будет отметка об исключении в диагностике компонента.
Самый практичный тест для файла — временно положить в исключаемую папку тестовый EICAR-файл и проверить, реагирует ли защита. Делайте это только в контролируемой среде и сразу удаляйте файл после проверки. Если вне папки EICAR ловится, а внутри исключённой папки нет, исключение работает. Если ловится везде, политика или маска не применились.