Блокирование сетевых приложений, которые могут находиться под атакой

При мониторинге сетевых приложений поведение приложений регистрируется в журнале безопасности. Если содержимое приложения изменяется слишком часто, то есть вероятность атаки троянского коня на приложение, и клиентский компьютер находится под угрозой. Если содержимое приложения изменяется редко и нерегулярно, то скорее всего было установлено обновление приложения, и клиентский компьютер не находится под угрозой. На основании этой информации можно создать правило брандмауэра, разрешающее или блокирующее приложение.
Клиент можно настроить на обнаружение приложений на компьютере, обращающихся к сети, и отслеживание этих приложений. Сетевые приложения принимают и отправляют данные. Клиент отслеживает изменения содержимого приложения.
Если есть вероятность атаки троянского коня на приложение, то при мониторинге сетевых приложений можно настроить клиент на блокировку этого приложения. Кроме того, клиент может предложить пользователю блокировать или не блокировать приложение.
Содержимое приложения может меняться по следующим причинам.
  • Приложение атаковано троянским конем.
  • Обновлена версия приложения.
Можно добавить приложение в список приложений, которые не отслеживаются клиентом. Например, можно исключить приложения, которые хорошо защищены от атак троянских коней, но обновляются часто и автоматически.
Можно также свести к минимуму число уведомлений, запрашивающих у пользователя разрешение на блокировку сетевого приложения.
  1. Как заблокировать сетевые приложения, которые могут находиться под атакой
  2. В консоли выберите пункт
    Клиенты
    .
  3. В разделе
    Клиенты
    выберите группу и нажмите кнопку
    Политики
    .
  4. На вкладке
    Политики
    в разделе
    Политики и параметры, не зависящие расположения
    : выберите пункт
    Мониторинг сетевых приложений
    .
  5. В окне
    Мониторинг сетевых приложений для
    группа
    выберите пункт
    Разрешить мониторинг сетевых приложений
    .
  6. В выпадающем списке
    При обнаружении изменения приложения
    выберите действие, которое брандмауэр применяет для приложения, работающего в клиенте.
    Спросить
    Предлагает пользователю разрешить или блокировать приложение.
    Блокировать трафик
    Блокирует работу приложения.
    Разрешить и занести в журнал
    Разрешает работу приложения и регистрирует информацию в журнале безопасности.
    Брандмауэр выполняет это действие с приложениями, которые были только изменены.
  7. Если выбран вариант
    Спросить
    , нажмите кнопку
    Дополнительный текст
    .
  8. В окне
    Дополнительный текст
    введите текст, добавляемый к стандартному сообщению, а затем нажмите кнопку
    ОК
    .
  9. Для исключения приложения из числа отслеживаемых в списке
    Список неотслеживаемых приложений
    выполните одно из указанных действий.
    Чтобы указать приложение вручную,
    нажмите кнопку
    Добавить
    , заполните соответствующие поля и нажмите кнопку
    ОК
    .
    Чтобы включить приложение из списка обнаруженных приложений,
    нажмите кнопку
    Добавить из
    .
    Список обнаруженных приложений содержит как сетевые приложения, так и приложения, не работающие с сетью. Из списка обнаруженных приложений следует выбирать только сетевые приложения. Приложения из списка
    Список неотслеживаемых приложений
    можно включать, выключать, изменять или удалять.
  10. Чтобы включить приложение, установите флажок. Если нужно отключить, снимите флажок.
  11. Нажмите кнопку
    ОК
    .