Skip to main content

Настройка исключений Kaspersky Endpoint Security Windows и Linux

Содержание

  • Исключения KES Windows
    • Исключения файловой проверки
    • Настройка доверенных приложений
    • Добавление доверенных веб-адресов и IP-адресов
    • Добавление доверенных сертификатов
    • Добавление доверенных устройств
  • Исключения KES Linux
    • Исключения защиты от файловых угроз
    • Настройка доверенных веб-адресов
    • Исключения защиты от сетевых угроз
    • Исключения защиты от шифрования
    • Исключения для анализа поведения
    • Добавление доверенных устройств

Исключения KES Windows

В политике KES Windows начиная с версии 12.11 можно добавлять исключения, либо в разделе Доверенная зона, либо настройках конкретных компонентов защиты, таких как Защита от файловых угроз, Предотвращение вторжений, Анализ поведения, Защита от шифрования, Защита от почтовых угроз, Защита от веб-угроз, Защита от сетевых угроз, Контроль устройств

CleanShot 2026-06-25 at 19.23.31.jpg

Исключения файловой проверки

Для настройки исключений файловой проверке в политике перейдите в раздел Параметры приложения → Доверенная зона и выберите Исключения из Поиска вредоносного ПО. Нажав Добавить появятся следующие варианты:

  • Категория – позволяет создать новую категорию, в которую затем можно будет наполнять исключениями, т.е. позволяет группировать наборы отдельных исключений, например, относящихся к одной подсистеме или программе;
  • Новое исключение – позволяет создать единичное исключение;
  • Выбрать исключение из списка – позволяет выбрать преднастроенные в KES исключения для файлов некоторых программ.

В данном случае будет рассматриваться базовый сценарий выбора пункта Новое исключение, после выбора которого будет предложено выбрать критерий (-ии) исключения:

  • Путь к файлу или папке – позволяет указать путь к необходимому объекту. Путь к папке должен заканчиваться обратным слешем. Возможно включить проверку вложенных папок и использование масок:

    • Символ *, который заменяет любой набор символов, в том числе пустой, кроме символов \ и /;
    • Два введенных подряд символа * заменяют любой набор символов, в том числе пустой, в имени файла или папки, включая символы \ и /;
    • Символ ?, который заменяет любой один символ, кроме символов \ и /;
    • Примеры использования масок.

image.png

CleanShot 2026-06-25 at 19.26.45.jpg

  • Хеш объекта – позволяет указать SHA-256 хеш-сумму:

    • Вручную;

CleanShot 2026-06-25 at 19.27.17.jpg

  • Из выбранного файла при нажатии кнопки Выбрать;

CleanShot 2026-06-25 at 19.28.14.jpg

 

CleanShot 2026-06-25 at 19.28.37.jpg

  • Из файла, на который ранее была сработка. При нажатии на Изменить появится список заблокированных KES’ом файлов и их хеш-суммы.

CleanShot 2026-06-25 at 19.29.40.jpg

CleanShot 2026-06-25 at 19.30.03.jpg

Также для файловых исключений можно использовать параметры:

  • Объединять значения при наследовании – в таком случае исключения из родительской политики отображаются в дочерних политиках и доступны для просмотра. Таким образом, вы можете, например, создать общий исключений для всей организации. Если исключения дочерней и родительской политик совпадают, то эти элементы отображаются как один элемент родительской политики;
  • Разрешить использование локальных исключений – в таком случае пользователь сможет сам добавлять исключения в локальном интерфейсе KES.

CleanShot 2026-06-25 at 19.30.53.jpg

Настройка доверенных приложений

Список доверенных приложений – это список приложений, у которых KES не контролирует файловую и сетевую активности (в том числе и вредоносную), а также обращения этих приложений к системному реестру. По умолчанию KES контролирует объекты, открываемые, запускаемые или сохраняемые любым программным процессом, а также контролирует активность всех приложений и создаваемый ими сетевой трафик. После добавления приложения в список доверенных приложений KES перестает контролировать активность приложения.

Отличие исключений из проверки от доверенных приложений заключается в том, что для исключений KES не проверяет файлы, а для доверенных приложений инициируемые процессы. То есть, если доверенное приложение создаст вредоносный файл в папке, которая не включена в исключения, KES обнаружит этот файл и устранит угрозу. Если папка добавлена в исключения, KES пропустит этот файл.

Например, если вы считаете объекты, используемые приложением Microsoft Windows Блокнот, безопасными, то есть доверяете этому приложению, вам следует добавить приложение Microsoft Windows Блокнот в список доверенных приложений, чтобы не контролировать объекты, используемые этим приложением. Это позволит увеличить производительность компьютера, что особенно важно при использовании серверных приложений.

Кроме того, некоторые действия, которые KES классифицирует как подозрительные, могут быть безопасны в рамках функциональности ряда приложений. Например, перехват текста, который вы вводите с клавиатуры, является штатным действием приложения автоматического переключения раскладок клавиатуры (например, Punto Switcher). Чтобы учесть специфику таких приложений и отключить контроль их активности, рекомендуется добавить их в список доверенных приложений.

Доверенные приложения позволяют избежать проблемы совместимости KES с другими приложениями (например, проблемы двойной проверки сетевого трафика стороннего компьютера KES и другого антивирусного приложения).

В то же время исполняемый файл и процесс доверенного приложения по-прежнему проверяются на наличие в них вирусов и других приложений, представляющих угрозу. Для полного исключения приложения из проверки KES следует пользоваться исключениями из проверки.

Для настройки доверенных приложений в политике перейдите в раздел Параметры приложения → Доверенная зона и выберите Доверенные приложения. Нажав Добавить появятся следующие варианты:

  • Категория – позволяет создать новую категорию, которую затем можно будет наполнять доверенными приложениями, т.е. позволяет группировать наборы отдельных исполняемых файлов, например, относящихся к одной подсистеме;
  • Новое исключение – позволяет создать единичное исключение;
  • Выбрать исключение из списка – позволяет выбрать преднастроенные в KES исключения для исполняемых файлов некоторых программ.

В данном случае будет рассматриваться базовый сценарий выбора пункта Новое исключение, после выбора которого будет предложено указать путь или маску пути к приложению и указать параметры исключения:

  • Не проверять открываемые файлы – KES исключает из проверки все файлы, открываемые с помощью приложения;

  • Не перехватывать изменения файлов – KES не отслеживает изменения файлов приложением;

  • Не перехватывать изменения реестра – KES не отслеживает изменения реестра приложением;

  • Не контролировать активность приложений – KES не контролирует файловую и сетевую активности приложения в операционной системе;

    • Не контролировать для компонентов защиты и контроля – отключает контроль за приложением следующих компонентов: Анализ поведения, Защита от эксплойтов, Предотвращение вторжений, Откат вредоносных действий и Сетевой экран;

    • Не контролировать для Managed Detection and Response и Endpoint Detection and Response – отключает контроль за активностью приложения со стороны встроенных агентов MDR и EDR (KATA);

      • Не перехватывать консольный ввод для Endpoint Detection and Response – KES не отправляет данные телеметрии об управлении приложением через консоль в EDR (KATA);

  • Не контролировать активность дочерних приложений – KES не контролирует файловую и сетевую активности приложений, которые запускает указанное приложение. Вы можете применить исключение рекурсивно. То есть приложение не контролирует активность всей цепочки дочерних приложений;

  • Не наследовать ограничения родительского процесса (приложения) – KES не применяет ограничения, которые настроены для родительского процесса к указанному процессу. Родительский процесс запускает приложение, для которого настроены права приложения (Предотвращение вторжений) и сетевые правила приложения (Сетевой экран);

  • Разрешить взаимодействие с интерфейсом Kaspersky Endpoint Security –самозащита KES не блокирует попытки управления службами приложения с удаленного компьютера. Приложению удаленного доступа к компьютеру разрешено управлять параметрами KES;

  • Не блокировать взаимодействие с компонентом AMSI-защита – KES не контролирует запросы доверенного приложения на проверку объектов компонентом AMSI-защита.

  • Не проверять сетевой трафик – KES исключает из проверки сетевой трафик, инициируемый приложением.

    • Можно исключить весь трафик, либо только зашифрованный трафик.

CleanShot 2026-06-25 at 19.31.24.jpg

  • Можно исключить точечно указанные соединения выбрав Только указанные IP-адреса и порты

CleanShot 2026-06-25 at 19.32.04.jpg

Также для доверенный приложений можно использовать параметры:

  • Объединять значения при наследовании – в таком случае исключения из родительской политики отображаются в дочерних политиках и доступны для просмотра. Таким образом, вы можете, например, создать общий список доверенных приложений для всей организации. Если исключения дочерней и родительской политик совпадают, то эти элементы отображаются как один элемент родительской политики;
  • Разрешить использование локальных исключений – в таком случае пользователь сможет сам добавлять доверенные приложения в локальном интерфейсе KES.

Добавление доверенных веб-адресов и IP-адресов

Для исключения веб-адресов из списка проверки компонентом защита от веб угроз необходимо создать исключения для соответствующих адресов.

Для настройки доверенных веб-адресов в политике перейдите в раздел Параметры приложения → Доверенная зона и выберите Веб-адреса. Затем нажав Добавить укажите необходимые адреса. Поддерживается использование масок и добавление сразу нескольких адресов в исключение.

CleanShot 2026-06-25 at 19.32.32.jpg

Также для работы некоторых веб приложений может потребоваться добавление исключения на проверку KES’ом зашифрованных соединений. Для этого в политике KES перейдите в раздел Параметры приложения → Общие настройки → Настройки сети и выберите Доверенные домены в блоке Проверка защищенных соединений. (Также доступно в разделе Доверенная зона → Домены).

CleanShot 2026-06-25 at 19.33.18.jpg

Выбрав Добавить укажите веб-адреса для которых не будет производиться проверка зашифрованного трафика. Поддерживается использование масок и добавление сразу нескольких адресов в исключение.

CleanShot 2026-06-25 at 19.33.54.jpg

Для компонента защита от сетевых угроз можно указать доверенные ip-адреса, в таком случае компонент не будет блокировать активность с данных адресов. Для добавления исключения в политике перейдите в раздел Параметры приложения → Доверенная зона и выберите IP-адреса. Затем нажав Добавить укажите необходимые адреса. Поддерживается использование масок сети. Дополнительно можно указать протокол и порт.

CleanShot 2026-06-25 at 19.34.20.jpg

Также в политике KES в разделе Параметры приложения → Доверенная зонаСетевые порты можно отключить контроль трафика по общеизвестным портам. Для этого необходимо перевести соответствующий переключатель в неактивное положение

CleanShot 2026-06-25 at 19.34.46.jpg

Также в данном разделе можно добавить контролируемые сетевые порты, нажав Добавить

CleanShot 2026-06-25 at 19.35.12.jpg

Добавление доверенных сертификатов

Приложение позволяет добавить сертификат в специальное хранилище сертификатов KES. При этом сертификат будет доверенным только для приложения KES. То есть пользователь будет иметь доступ к веб-сайту с новым сертификатом в браузере. Если другое приложение попытается получить доступ к веб-сайту, вы можете получить ошибку соединения из-за проблем с сертификатом.

Для настройки доверенных сертификатов в политике перейдите в раздел Параметры приложения → Доверенная зона и выберите Доверенные сертификаты. Затем нажав Добавить загрузите необходимый сертификат.

CleanShot 2026-06-25 at 19.36.11.jpg

Также можно добавить использование системного хранилища сертификатов. Для этого необходимо поставить соответствующую галочку и выбрать доверенное хранилище сертификатов.

CleanShot 2026-06-25 at 19.37.22.jpg

 

CleanShot 2026-06-25 at 19.37.41.jpg

Добавление доверенных устройств

Доверенные устройства – это устройства, полный доступ к которым разрешен в любое время для пользователей, указанных в параметрах доверенного устройства.

Для добавления доверенных устройств в политике перейдите в раздел Параметры приложения → Доверенная зона и выберите Устройства. Затем нажав Добавить появится меню добавления устройства.

CleanShot 2026-06-25 at 19.38.46.jpg

Необходимо указать пользователя (-ей), на которых распространяется правило, по умолчанию разрешение распространяется на всех пользователей. Нажмите изменить для выбора пользователя или группы. Для удобства можно использовать поиск.

CleanShot 2026-06-25 at 19.39.12.jpg

Затем необходимо выбрать сами устройства. Для удобства можно выбрать конкретный тип устройства из предложенного списка, использовать маску модели или идентификатора, а также использовать поиск устройства

CleanShot 2026-06-25 at 19.39.56.jpg

Также для доверенных устройств можно Объединять значения при наследовании. В таком случае исключения из родительской политики отображаются в дочерних политиках и доступны для просмотра. Таким образом, вы можете, например, создать общий исключений для всей организации. Если исключения дочерней и родительской политик совпадают, то эти элементы отображаются как один элемент родительской политики.

CleanShot 2026-06-25 at 19.40.16.jpg

Исключения KES Linux

В KESL исключения настраиваются отдельно в каждом компоненте, а также есть возможность настройки общих исключений для всех компонентов через создание глобальных исключений.

Исключения защиты от файловых угроз

Для настройки исключений в работе компонента Защита от файловых угроз. Необходимо перейти в политику KESL в раздел Параметры приложения → Базовая защита → Исключения Защиты от файловых угроз. Здесь можно настроить следующие форматы исключений:

  • Области исключения, где будут указаны необходимые пути для исключения. KESL не проверяет файлы и директории, расположенные по указанным в таблице путям.

Нажав Добавить можно указать необходимый путь. Также в выпадающем списке под заголовком Файловая система, протокол доступа и путь можно указать смонтированные области исключения. При необходимости более гибкой настройки исключения в указанной директории можно добавить маску, по умолчанию используется «*».

CleanShot 2026-06-25 at 19.40.37.jpg

  • Исключения по маске – KESL не будет проверять файлы с названиями, подходящими под перечисленные ниже маски. Для настройки необходимо в соответствующем разделе выбрать Добавить и указать необходимую маску

CleanShot 2026-06-25 at 19.41.18.jpg

  • Исключения по названию угрозы – здесь можно указать исключения по конкретным угрозам согласно вирусной энциклопедии. Для настройки необходимо в соответствующем разделе выбрать Добавить и указать необходимую угрозу или её маску

CleanShot 2026-06-25 at 19.42.06.jpg

  • Исключения по процессам – позволяет не контролировать активность указанных процессов и файлы, которые они изменяют, а также дочерние процессы. Для настройки необходимо в соответствующем разделе выбрать Добавить, указать название и указать путь к процессу

CleanShot 2026-06-25 at 19.42.23.jpg

Также для каждого из перечисленных типов исключения можно активировать параметр Объединять значения при наследовании. В таком случае исключения из родительской политики отображаются в дочерних политиках и доступны для просмотра. Если исключения дочерней и родительской политик совпадают, то эти элементы отображаются как один элемент родительской политики.

Настройка доверенных веб-адресов

Для создания исключения компонента Защита от веб-угроз необходимо в политике KESL в компоненте Защита от веб-угроз выбрать Добавить в блоке Доверенные веб-адреса и указать необходимый адрес, возможно использование масок.

CleanShot 2026-06-25 at 19.42.51.jpg

CleanShot 2026-06-25 at 19.43.21.jpg

На указанных веб-сайтах не будет производиться проверка их содержимого

Исключения защиты от сетевых угроз

В случае ложных срабатываний компонента Защита от сетевых угроз и блокировок соединений, необходимо добавить соответствующее исключение в для этого компонента в политике KESL нажав Добавить и указать необходимый адрес или маску сети

CleanShot 2026-06-25 at 19.44.03.jpg

CleanShot 2026-06-25 at 19.44.24.jpg

Исключения защиты от шифрования

В данном случае речь идёт о возможности исключения работы компонента Защита от шифрования для файловых ресурсов, расположенных в общих сетевых директориях защищаемого устройства. Для добавления исключения необходимо перейти в соответствующий компонент в политике KESL. Для обоих типов исключений работает функционал объединения значений при наследовании политик.

CleanShot 2026-06-25 at 19.44.58.jpg

Возможно настроить исключение указав нужный путь. При необходимости можно использовать маски для более гибкого исключения, а также указать локальную или смонтированную файловую систему.

CleanShot 2026-06-25 at 19.45.12.jpg

Также возможно настроить исключение работы данного компонента только на указанные файлы

CleanShot 2026-06-25 at 19.45.39.jpg

Исключения для анализа поведения

Компонент Анализ поведения позволяет контролировать вредоносную активность приложений в операционной системе. При обнаружении вредоносной активности Kaspersky Endpoint Security может завершать процесс приложения, осуществляющего вредоносную активность. При необходимости добавить процесс в исключение для данного компонента необходимо перейти в соответствующий компонент в политике KESL и выбрать Настроить исключения по процессам

CleanShot 2026-06-25 at 19.46.00.jpg

В открывшемся окне можно будет добавить исключение, где будет необходимо указать путь и выбрать галочку «Исключать процесс из проверки компонентом Анализ поведения». Также можно применять исключение к дочерним процессам и исключить процесс из проверки компонентами MDR и EDR. При необходимости можно объединять значения при наследовании политик

CleanShot 2026-06-25 at 19.46.21.jpg

Добавление доверенных устройств

Доверенные устройства – это устройства, к которым у пользователей есть полный доступ. Например, вы можете разрешить доступ к конкретным USB-устройствам или только к USB-накопителям, при этом доступ к остальным USB-устройства будет запрещен. Кроме того, вы можете указать пользователей или группы пользователей, для которых устройства будут доверенными.

Для добавление доверенных устройств перейдите в раздел Контроль устройств политики KESL и выберите Настроить доверенные устройства

CleanShot 2026-06-25 at 19.46.53.jpg

В открывшемся окне будет доступно 2 способа добавления доверенных устройств:

  • Добавить по идентификатору – позволяет указать маску идентификатора устройства (либо полностью).

CleanShot 2026-06-25 at 19.47.06.jpg

Затем будет необходимо указать пользователей или группы для которых будут доступны данные устройства (вручную, либо из списка), после этого можно будет добавить комментарий к исключению(опционально)

CleanShot 2026-06-25 at 19.48.15.jpg

  • Выбрать существующее устройство – позволяет указать конкретные устройства, которые уже известны KSC. Для удобства поиска можно изменить тип устройства и использовать маску идентификатора. Можно выбрать несколько устройств при необходимости.

CleanShot 2026-06-25 at 19.47.48.jpg

Затем будет необходимо указать пользователей или группы для которых будут доступны данные устройства (вручную, либо из списка), после этого можно будет добавить комментарий к исключению(опционально)

CleanShot 2026-06-25 at 19.48.56.jpg

Таким образом выбранные доверенные устройства не будут блокироваться для выбранных пользователей, что можно использовать, в том числе и для более точечного и гибкого ограничения на работу с внешними носителями информации.

Back to top