Чтобы собрать информацию о программах, которые используются на компьютерах локальной сети организации, вы можете использовать данные, представленные в папках Реестр программ и Исполняемые файлы программ . Папки Реестр программ и Исполняемые файлы программ входят в состав папки Программы и уязвимости дерева консоли Kaspersky Security Center.
Папка Реестр программ содержит список программ, которые обнаружил на клиентских компьютерах установленный на них Агент администрирования.
Компонент программы Kaspersky Security Center, осуществляющий взаимодействие между Сервером администрирования и программами «Лаборатории Касперского», установленными на конкретном сетевом узле (рабочей станции или сервере). Данный компонент является единым для всех Windows-программ из состава продуктов компании. Для Novell-, Unix- и Mac-программ «Лаборатории Касперского» существуют отдельные версии Агента администрирования.
Папка Исполняемые файлы , содержит список исполняемых файлов, которые когда-либо запускались на клиентских компьютерах или были обнаружены в процессе работы задачи инвентаризации Kaspersky Endpoint Security.
Часть #4: Как установить Kaspersky Endpoint Security на клиентские компьютеры
Открыв окно свойств выбранной программы в папке Реестр программ или Исполняемые файлы программ , вы можете получить общую информацию о программе и информацию об исполняемых файлах программы, а также просмотреть список компьютеров, на которых установлена эта программа.
Источник: certsrv.ru
ИБ по частям
Сегодня хочу поделиться опытом получения списка установленного программного обеспечения на компьютерах при помощи централизованной системы антивирусной защиты Kaspersky 10.
Антивирус Kaspersky помимо защиты от вредоносного ПО позволяет управлять программным обеспечением на компьютерах, где он установлен. Соответственно, на сервере управления KSC 10 ведется централизованный реестр всего ПО на объектах защиты (Дополнительно – Управление программами – Реестр программ).
Если открыть данный раздел, то можно увидеть список ПО и количество компьютеров, на которых это ПО установлено. Правда, вот в чем возникла сложность, конкретный список компьютеров (их доменные имена) можно получить только по очереди для каждого экземпляра ПО. В общую сводную таблицу нельзя вывести колонку с именами компьютеров.
Все попытка найти решение в консоли управления потерпели неудачу, и ничего лучше, чем глянуть БД KSC 10, с целью определить, как он хранит информацию о ПО, придумано не было J
Источник: unitybas.blogspot.com
Блокируем ВПО, которое не обнаруживает Ваш антивирус. Контроль приложений в KES11
Касперский начал собирать информацию о компьютерах пользователей
Какие программы у вас установлены, какие процессы запущены, какие сайты запущены, пользуетесь ли вы VPN-соединением, имена компьютера, беспроводной сети и т. п. Список того, что будет автоматически передаваться в «Лабораторию Касперского» впечатляет. В компании заявляют, что эти данные нужны для улучшений нашей же безопасности.
Сегодня утром у меня обновился бесплатный антивирус Касперского. После перезагрузки компьютера выскочило обновленное положение о Kaspersky Security Network (облачный элемент защиты антивирусов). Как и большинство людей, я хотел сразу же нажать на кнопку «Принять» и заняться другими делами. Но не спешите — лучше познакомьтесь с положением. Хотя бы краем глаза.
Чтобы не быть как Кайл в 1 серии 15 сезона «Южного парка» (шутка).
Итак, пользователь соглашается в автоматическом режиме предоставлять следующие данные
1. Версию ОС, включая пакеты обновлений, и большой пакет информации: разрядность, объекты ядра, драйверы, сервисы, расширения Microsoft Internet Explorer, расширения системы печати, расширения Windows Explorer, загруженные объекты, элементы Active Setup, апплеты панели управления, записи файла hosts и системного реестра, имя компьютера в сети (локальное и доменные имена), региональные настройки ОС (данные о часовом поясе, раскладке клавиатуры по умолчанию, языках интерфейса) и так далее.
2. Список всех установленных программ: название, версия, версии установленных обновлений, название издателя, дату и полный путь установки на компьютере.
3. Полную информацию об антивирусе Касперского.
4. Имя беспроводной сети (если используется), контрольную сумму MAC-адреса точки доступа, признак работы компьютера от батареи или стационарной электросети, признак наличия DNS, тип компьютера, данные о типе и защищенности беспроводной сети, местное время начала и окончания подключения компьютера к беспроводной сети, список доступных точек доступа беспроводной сети и их параметры и так далее.
5. Активности на компьютере: данные о запущенных процессах в системе, имя процесса, данные об учетной записи, от которой запущен процесс, полный путь к файлам процесса и командная строка запуска, указатель нахождения файла процесса в автозапуске, URL-адреса посещаемых веб-сайтов и время посещения, ответ от DNS-сервера и длительность хранения ответа в буфере, IP-адреса (IPv4 или IPv6) DNS-сервера и домена веб-сайта, поисковые запросы, параметры HTTP-запросов и так далее.
6. Подробные данные обо всех проверяемых объектах и действиях.
Далее идут пункты, связанные с работой антивируса (7-17). Мы их опускаем. И продолжаем.
18. Информацию о событиях в системных журналах: время события, название журнала, в котором обнаружено событие, тип и категория события, название источника события и его описание.
19. Информацию о сетевых соединениях: версию и контрольные суммы файла процесса, открывшего порт, путь к файлу процесса и т.п.
20. Информацию о запущенном файле: его контрольную сумму, формат, количество запусков файла, версия пакета статистики, информация о ПО.
21. Информацию о выполнении отката деятельности вредоносной программы.
22. Информацию об использовании VPN-соединений: IP-адрес VPN-сервера, с которым устанавливается соединение, уникальный идентификатор установки ПО на компьютер.
Кстати, для дополнительной проверки в «Лабораторию Касперского» могут отправляться файлы, в отношении которых существует риск использования их злоумышленником с целью нанесения вреда компьютеру. И не только файлы: исполняемые и неисполняемые доверенные файлы, участки оперативной памяти компьютера, загрузочные сектора операционной системы.
«Лаборатории Касперского» также нужно знать информацию об установленном на компьютере «железе»: данные об объеме ОЗУ, марке процессора и количестве ядер, модели жесткого диска, версии прошивки, характеристики встроенных и подключенных устройств.
Какие программы подпадают под новое положение?
Все. Kaspersky Anti-Virus («Антивирус Касперского»), Kaspersky Internet Security, Kaspersky Total Security, Kaspersky Free и Kaspersky Security Cloud для Windows. При условии использования облачной защиты Kaspersky Security Network.
Для чего «Лаборатории Касперского» столько данных?
«В целях выявления новых и сложных для обнаружения угроз информационной безопасности и их источников, угроз вторжения, а также оперативного принятия мер по повышению уровня защиты информации».
Кстати, на официальном сайте до сих пор можно найти следующую информацию: «Также Kaspersky Free не собирает ваши персональные данные. Мы ценим приватность и конфиденциальность, о чем не устаем периодически повторять».
Можно ли отказаться от нововведения?
Да, нужно отключить облачную защиту (Kaspersky Security Network), либо после обновления отказаться от нового положения. Это пока можно сделать даже в бесплатной версии. Но уровень защиты антивируса понизится. Как поступать — решать вам. Альтернативные бесплатные версии антивирусов найти еще можно.
Источник: dzen.ru