悪質なリモート暗号化に対する保護
アンチクリプターコンポーネントは、SMB / NFS プロトコルでネットワークアクセスされるローカルディレクトリのファイルを悪意のあるリモートでの暗号化から保護します。
このコンポーネントを使用するには、対応する機能を含むライセンスが必要です。
この機能は、KESL コンテナではサポートされていません。
アンチクリプターが有効な場合、Kaspersky Endpoint Security は、保護対象デバイスの共有ネットワークディレクトリにあるファイルリソースを使用して、悪意のある暗号化の有無をリモートデバイスの処理でスキャンします。共有ネットワークリソースにアクセスするリモートデバイスの処理が悪意のある暗号化であるとアプリケーションが判断した場合、アプリケーションはオペレーティングシステムのファイアウォールに対して、侵害されたデバイスからのネットワークトラフィックをブロックするルールを作成し、有効にします。侵入されたデバイスは、信頼できないデバイスのリストに追加され、すべての信頼できないデバイスに対して、共有ネットワークディレクトリへのアクセスがブロックされます。アプリケーションは、侵入されたデバイスに関する情報を含む暗号化の検知イベントを作成する。
既定では、信頼されないデバイスのネットワークファイルリソースへのアクセスを 30 分間ブロックします。ブロック時間が終了すると、アプリケーションは信頼できないデバイスのリストから危険なデバイスを削除し、デバイスのネットワークファイルリソースへのアクセスは自動的に回復されます。
アンチクリプターコンポーネントによって作成されたファイアウォールのルールは、iptables ユーティリティを使用して削除することはできません。本製品は 1 分ごとにルールのセットを復元します。
リモートの悪意のある暗号化に対する保護は、既定では無効になっています。
悪意のある暗号化(アンチクリプター)に対する保護を有効または無効にしたり、保護設定を構成したりすることができます:
- 暗号化が検出されたときに本製品が実行する処理を選択します。ユーザーに通知するか、悪意のある暗号化を実行しているデバイスをブロックします。
通知処理を選択した場合でも、アンチクリプターが有効になっているときは、ネットワークファイル共有上のリモートデバイスの処理をスキャンして、悪意のある暗号化がないか確認します。悪意のある処理が検知された場合、暗号化の検知イベントが作成されますが、デバイスの侵入はブロックされません。
- 信頼できないデバイスをブロックする期間を設定します。
- アプリケーションが悪意のある暗号化から保護するファイルとディレクトリを指定します。
- 悪意のある暗号化からの保護から除外するファイルとディレクトリを指定します。
本製品は、暗号化の保護(アンチクリプター)から除外されたディレクトリで暗号化動作が検知された場合、その動作を暗号化であると認識しません。
コマンドラインでブロックされたデバイスを管理するコマンドを使用して、ブロックされたデバイスのリストを表示し、これらのデバイスのブロックを手動で解除することができます。Kaspersky Security Center には、暗号化が検知されたイベントを除き、ブロックされたデバイスを監視および管理するためのツールはありません。
アンチクリプターが正常に動作するには、少なくとも 1 つのサービス(Samba または NFS)がオペレーティングシステムにインストールされている必要があります。NFS サービスでは、rpcbind パッケージがインストールされている必要があります。
アンチクリプターコンポーネントは、SMB1、SMB2、SMB3、NFS3、TCP / UDP、および IP / IPv6 のプロトコルにおいて適切に動作します。NFS2 プロトコルと NFS4 プロトコルでの動作はサポートされていません。リソースのマウントに NFS2 プロトコルと NFS4 プロトコルを使用できないよう、サーバー設定を構成してください。
Kaspersky Endpoint Security では、デバイスの動作に悪意があると識別されるまでは、ネットワークファイルリソースへのアクセスをブロックしません。このため、悪意のある処理が検知されるまで、少なくとも 1 つのファイルが暗号化されます。