Cấu hình các tính năng Endpoint

Một phần của tài liệu Cai dat va quan tri kaspersky security c (Trang 40 - 53)

I. CÀI ĐẶT VÀ CẤU HÌNH KASPERSKY SECURITY CENTER

11. Cấu hình các tính năng Endpoint

Tính năng Endpoint giúp người quản trị có thể thiết lập các luật giúp quản lý các ứng dụng, thiết bị, Web nhằm nâng cao độ bảo mật của hệ thống.

Quản lý ứng dụng

Ví dụ: Ngăn cả một thể loại ứng dụng nào đó (loại trừ một ứng dụng được phép chạy)

- Cơng ty bạn có chính sách là chỉ cho phép sử dụng trình duyệt IE 8 hoặc mới hơn, các phiên bản cũ hơn của IE cũng như các trình duyệt khác sẽ bị ngăn lại

Bước 1: Tạo category - Bạn đi đến Applications categories > chọn Create a category > cửa sổ tiếp theo

Tiếp theo, bạn điền tên category (thể loại) là Browsers > đến cửa sổ tiếp theo bạn chọn KL category > cửa sổ tiếp theo bạn chọn Web Browsers (hình dưới). Điều này có nghĩa là bạn add tất cả các loại trình duyệt Internet và phiên bản của trình duyệt theo thống kê của Kaspersky Lab

Tiếp theo, bạn khai báo loại trừ trình duyệt IE 8 (và mới hơn) mà theo policy bạn muốn cho nhân viên sử dụng. Có nhiều cách bạn chọn trình duyệt. Chọn Add > sau đó bạn có thể chọn From file Properties > chọn Get data để đi đến file chạy của chương trinh IE8 (hình dưới)

Trong dòng Version bạn chọn More than or equal to, tương tự trong dòng Application bạn cũng chọn More than or equal to. Điều này có nghĩa là sẽ loại trừ phiên bản IE8 và các các phiên bản mới hơn IE8 (hình dưới)

Sau đó bạn bấm Next để hồn thành bước tạo một category. Category vừa tạo tên là Browsers, category này chứa thông tin hầu hết các trình duyệt Internet và cũng đã được loại trừ trình duyệt IE 8 và mới hơn IE8

Bước 2: Cấu hình ngăn Category - Đi đến group Client> click chuột phải vào policy “Policy for Client”

chọn Properties > đi đến Application Startup Control > chọn Add > trong phần Category bạn chọn category “Browsers” vừa tạo ở trên, trong phần Users and / or groups that are denied a permission bạn chọn select rồi chọn Everyone (hình dưới)

Việc cấu hình này có nghĩa là tất cả các user sẽ bị từ chối không cho sử dụng danh sách các trình duyệt Internet trong category “Browsers”. Tuy nhiên, do khi tạo category “Browsers” bạn đã loại từ IE8 cũng như các phiên bản IE mới hơn IE8. Sau khi cấu hình thành cơng, tất cả nhân viên khơng có khả năng sử dụng trình duyệt Firefox, Opera, Chrome,..nhân viên chỉ có thể sử dụng IE8 hoặc phiên bản mới hơn IE8 (không sử dụng được các phiên bản cũ hơn IE8). Hình dưới cho thấy khi nhân viên chạy Firefox sẽ bị ngăn lại, nhưng chạy IE8 thì bình thường

Tương tự theo cách thiết lập ở trên, người quản trị có thể tạo nhiều chính sách ngăn ứng dụng khác nhau cho công ty bạn. Nguyên tắc là đầu tiên tạo một category danh sách các ứng dụng cần ngăn (trong q trình tạo, bạn có thể loại trừ danh sách ứng dụng, phiên bản cùng loại được phép sử dụng). Ngoài ra, việc kết hợp với user domain cũng giúp bạn tạo ra các policy ngăn ứng dụng khác nhau cho các nhân viên, các phịng ban khác nhau

Ví dụ 2: Ngăn một chương trình chỉ định cụ thể nào đó - Cơng ty bạn có chính sách là ngăn khơng cho nhân viên sử dụng Skype. Tuy nhiên, qua quá trình theo dõi, bạn thấy chương trình Skype vẫn được cài đặt tại một số máy tính trong mạng (hình dưới). Tại phần Applications registry là nơi thống kê tất các các phần mềm được cài đặt trên tất cả các máy tính của nhân viên.

Bạn cần tạo một category mới tên là Skype: Đi đến Applications categories > chọn Create a category > cửa sổ tiếp theo chọn dòng trên > Cửa sổ tiếp theo bạn chọ Add > chọn From applications registry > chọn chương trình Skype 5.0 (hình dưới) > Các bước tiếp theo bạn chọn Next.

Sau khi tạo xong category > bạn đi đến group Client > click chuột phải vào policy “Policy for Client” chọn Properties > đi đến Application Startup Control > chọn Add > trong phần Category bạn chọn category Skype vừa tạo, trong phần Users and / or groups that are denied a permission bạn chọn

Sau khi tạo thành cơng, chương trình Skype sẽ bị ngăn lại, nhân viên trong tồn cơng ty khơng có khả năng sử dụng chương trình này.

Device Control

Cơng ty bạn có chính sách khơng cho nhân viên sử dụng USB hoặc một số thiết bị ngoại vi khác. Bạn đi đến group Client > click chuột phải vào policy cho máy trạm và chọn Properties > đi đến Device Control

> đảm bảo dòng Enable Device Control được chọn > tại tab Types of devices > click chuột phải vào

Removable drives > chọn Block (hình dưới). Tương tự, bạn có thể cấu hình ngăn các thiết bị ngoại vi

khác như máy in, modem, ổ CD/DVD,… Sau khi cấu hình xong, khi nhân viên cắm USB vào máy tính, thơng báo ngăn sử dụng USB của Kaspersky sẽ xuất hiện

Ngồi ra, bạn có thể click đơi chuột vào Removable drives > chọn Yes. Tại đây, bạn có thể cấu hình phân quyền việc sử dụng USB theo hình thức đọc/ghi (bạn có thể chỉ cho đọc dữ liệu từ USB, không cho ghi dữ liệu vào USB), bạn cũng có thể chọn các user sẽ bị ngăn sử dụng USB (vd: chỉ ngăn USB của nhân viên, không ngăn USB của các trưởng phịng, giám đốc,…), bạn cũng có thể click Create để tạo một lịch ngăn sử dụng USB (vd: ngăn không cho sử dụng USB trong khoảng thời gian ngồi giờ làm việc,…) – hình trên

Ngồi ra, bạn có thể chuyển qua tab Connection buses, tại đây bạn có thể ngăn thiết bị ngoại vi theo loại kết nối: USB, Serial, Parallel, FireWire,…(hình dưới)

Trường hợp bạn đã cấu hình khơng cho sử dụng USB, tuy nhiên một số USB của các giám đốc, trưởng phịng thì vẫn được phép sử dụng > bạn đi đến tab Trusted devices > chọn Add > giao diện tiếp theo chọn Refesh > sau đó lựa chọn ID của USB cần tin tưởng > chọn Select để điền user có quyền sử dụng

Web Control

Ngăn web theo thể loại: Vd: Cơng ty bạn có chính sách ngăn các trang mạng xã hội (facebook,…), các

trang web chơi game,.... Tuy cơng ty có sử dụng Firewall để ngăn, tuy nhiên nhân viên vẫn có thể sử dụng một số phần mềm vượt tường lửa và vẫn truy cập được facebook. Bạn có thể sử dùng Kaspersky Endpoint Security để ngăn các thể loại các trang web chỉ định, nhân viên khơng có cách nào để có thể truy cập được

Vd: Ngăn nhóm trang games - Bạn đi đến group Client > click chuột phải vào policy “Policy for

Client” chọn Properties > đi đến Web Control > chọn Add (hình dưới)

- Ví dụ bạn điền tên của rule này là “Computer Games”

- Phần Filter content bạn chọn là By content category sau đó chọn Computer Games (danh sách các trang games theo chuẩn đánh giá của Kaspersky),

- Phần Specify users and / or groups giúp bạn định nghĩa các nhân viên bị ngăn truy cập (nếu bạn không định nghĩa, Kaspersky sẽ hiểu rằng bạn đang ngăn tất cả các máy tính nằm trong Group Client) - Phần Action bạn chọn hành động là Block,

- Phần Rule Schedules giúp bạn có thể tạo lịch truy cập (vd: bạn tạo lịch nhân viên bị ngăn truy cập trong giờ làm việc) – hình dưới

Ngăn các trang web chỉ định: Ngoài việc ngăn theo phân loại của Kaspersky, bạn có thể cấu hình ngăn

một số trang web chỉ định nào đó (Vd: Công ty bạn muốn ngăn không cho nhân viên đọc một số trang web tin tức). Bạn đi đến group Client > click chuột phải vào policy “Policy for Client” chọn Properties > đi đến Web Control > chọn Add

- Ví dụ bạn điền tên của rule này là “Ngan Trang Tin Tuc” - Phần Filter content bạn chọn là Any content

- Phần Apply to addresses bạn chọn To Individual addresses

- Bạn chọn Add > Add address > và điền vào lần lượt các trang web sẽ bị ngăn lại (bạn cũng có thể chọn Add a group để tạo group các trang web)

- Phần Specify users and / or groups giúp bạn định nghĩa các nhân viên bị ngăn truy cập (nếu bạn không định nghĩa, Kaspersky sẽ hiểu rằng bạn đang ngăn tất cả các máy tính nằm trong Group Client) - Phần Action bạn chọn hành động là Block,

- Phần Rule Schedules bạn có thể tạo lịch truy cập (vd: bạn tạo lịch nhân viên bị ngăn truy cập trong giờ làm việc)

Ngăn nội dung web - Ngồi ra, bạn có thể tạo rule ngăn khơng cho nhân viên nghe nhạc, xem phim, tải

về các tập tin cài đặt bằng cách trong phần Apply to addresses bạn chọn By types of data (hình dưới)

Sau khi cấu hình thành cơng sẽ xuất hiện Rule mà bạn mới tạo. Nhân viên lúc này bị cấm truy cập website theo chính sách của cơng ty bạn

Policy truy cập web khác nhau dành cho các nhóm nhân viên khác nhau:

- Việc kết hợp với user domain giúp bạn linh hoạt trong việc ngăn các trang web theo chính sách của cơng ty. Vì khi tạo rule ngăn truy cập, bạn có thể add trực tiếp danh sách các user bị ngăn (các user không được add sẽ được phép truy cập)

- Trường hợp số lượng nhân viên rất nhiều, ví dụ cơng ty bạn có chính sách là: tất cả nhân viên sẽ ngăn không cho truy cập các trang tin tức nhưng các sếp thì được phép. Trường hợp này, để khỏi tốn thời gian add nhiều user, bạn tạo 2 rule: Rule 1 là ngăn truy cập và chọn user bị ngăn là Everyone, Rule 2 là cho phép truy cập và chọn add các User được phép truy cập. Sau khi tạo xong 2 rule > bạn Move Rule 2 lên trước Rule 1. KSC sẽ áp dụng rule theo thứ tự từ phía trên suống dưới (hình dưới)

- Trường hợp công ty bạn không sử dụng Domain, tuy nhiên bạn vẫn muốn tạo nhiều chính sách ngăn truy cập khác nhau (Vd: phịng kế tốn và phịng kinh doanh có policy truy cập web khác nhau) > lúc này bạn chỉ có cách là tạo thêm các Group khác nhau trên KSC và move các nhóm máy tính tương ứng vào các Group, sau đó với mỗi Group, bạn có thể tùy chỉnh riêng policy áp dụng cho từng Group.

Một phần của tài liệu Cai dat va quan tri kaspersky security c (Trang 40 - 53)

Tải bản đầy đủ (PDF)

(89 trang)