Sobre o Controle de Distribuição de Software
Gerar regras de Controle de Inicialização de Aplicativos pode ser complicado se você também tiver que controlar a distribuição de software em um dispositivo protegido, por exemplo, em dispositivos protegidos onde o software instalado é atualizado automaticamente de maneira periódica. Nesse caso, a lista de regras de permissão deve ser atualizada após cada atualização de software para que arquivos recém-criados sejam considerados nas configurações da tarefa de Controle de Inicialização de Aplicativos. Para simplificar o controle de inicialização nos cenários de distribuição de software, você pode usar o subsistema de Controle de Distribuição de Software.
Um pacote de distribuição de software (doravante referido como "pacote") representa um aplicativo de software a ser instalado em um dispositivo protegido. Cada pacote contém pelo menos um aplicativo e também pode conter arquivos individuais, atualizações, ou até mesmo um comando individual, além dos aplicativos, particularmente ao instalar um aplicativo de software ou atualização.
O subsistema de Controle de Distribuição de Software é implementado como uma lista adicional de exclusões. Quando você adiciona um pacote de distribuição de software a essa lista, o aplicativo permitirá a descompactação desses pacotes confiáveis e permitir que softwares instalados ou modificados por um pacote confiável sejam inicializados automaticamente. Os arquivos extraídos podem herdar o atributo de confiabilidade do pacote primário de distribuição. Um pacote primário de distribuição é um pacote que foi adicionado à lista de exclusões de Controle de Distribuição de Software por um usuário e se tornou um pacote confiável.
O Kaspersky Embedded Systems Security controla apenas ciclos completos de distribuição de software. O aplicativo não pode processar corretamente a inicialização de arquivos modificados por um pacote confiável se, quando o pacote for iniciado pela primeira vez, o controle de distribuição de software estiver desativado ou o componente de Controle de Inicialização de Aplicativos não estiver instalado.
O controle de distribuição de software não está disponível se a caixa Aplicar regras a arquivos executáveis estiver desmarcada nas configurações da tarefa de Controle de Inicialização de Aplicativos.
Cache de distribuição de software
O Kaspersky Embedded Systems Security usa um cache de distribuição de software gerado dinamicamente (“cache de distribuição”) para estabelecer a relação entre pacotes confiáveis e arquivos criados durante a distribuição de software. Quando o pacote é iniciado pela primeira vez, o Kaspersky Embedded Systems Security detecta todos os arquivos criados pelo pacote durante o processo de distribuição de software e armazena as somas de verificação dos arquivos e os caminhos no cache de distribuição. Então todos os arquivos no cache de distribuição podem ser inicializados por padrão.
Você não pode analisar, limpar ou modificar manualmente o cache de distribuição por meio da interface de usuário. O cache é preenchido e controlado pelo Kaspersky Embedded Systems Security.
Você pode exportar o cache de distribuição para um arquivo de configuração (no formato XML) e limpar o cache usando opções de linha de comando.
Para exportar o cache de distribuição para um arquivo de configuração, execute o seguinte comando:
kavshell appcontrol /config /savetofile:<caminho completo> /sdc
Para limpar o cache de distribuição, execute o seguinte comando:
kavshell appcontrol /config /clearsdc
O Kaspersky Embedded Systems Security atualiza o cache de distribuição a cada 24 horas. Se a soma de verificação de um arquivo permitido anteriormente forem alterados, o aplicativo exclui o registro desse arquivo do cache de distribuição. Se a tarefa de Controle de Inicialização de Aplicativos for iniciada no modo Ativa, tentativas subsequentes de inicialização desse arquivo serão bloqueadas. Se o caminho completo do arquivo anteriormente permitido for alterado, as tentativas subsequentes de iniciar esse arquivo não serão bloqueadas, porque a soma de verificação é armazenada dentro do cache de distribuição.
Processamento dos arquivos extraídos
Todos os arquivos extraídos de um pacote confiável herdam o atributo de confiabilidade na primeira execução do pacote. Se você desmarcar a caixa de seleção após a primeira inicialização, todos os arquivos extraídos do pacote reterão o atributo herdado. Para reinicializar o atributo herdado em todos os arquivos extraídos, você precisará limpar o cache de distribuição e desmarcar a caixa Permitir a distribuição adicional de programas criados a partir deste pacote de distribuiçãoantes de iniciar o pacote de distribuição confiável novamente.
Os arquivos e pacotes extraídos criados por um pacote primário de distribuição confiável herdam o atributo de confiabilidade quando as suas somas de verificação são adicionadas ao cache de distribuição quando o pacote de distribuição de software na lista de exclusão é aberto pela primeira vez. Portanto, o próprio pacote de distribuição e todos os arquivos extraídos desse pacote também serão confiáveis. Por padrão, o número de níveis de herança do atributo de confiabilidade é ilimitado.
Os arquivos extraídos manterão o atributo de confiabilidade após a reinicialização do sistema operacional.
O processamento de arquivos é definido nas configurações de Controle de Distribuição de Software selecionando ou desmarcando a caixa Permitir a distribuição adicional de programas criados a partir deste pacote de distribuição.
Por exemplo, suponha que você adicione um pacote test.msi contendo vários outros pacotes e aplicativos à lista de exclusões selecione a caixa. Nesse caso, todos os pacotes e aplicativos contidos no pacote test.msi podem ser executados ou extraídos se contiverem outros arquivos. Este cenário funciona para arquivos extraídos em todos os níveis aninhados.
Se você adicionar um pacote test.msi à lista de exclusões e desmarcar a caixa Permitir a distribuição adicional de programas criados a partir deste pacote de distribuição, o aplicativo definirá o atributo de confiabilidade apenas aos pacotes e arquivos executáveis extraídos diretamente do pacote confiável primário (aninhado no primeiro nível). As somas de verificação de tais arquivos são armazenadas em cache de distribuição. Todos os arquivos aninhados ao segundo nível e além serão bloqueados pelo princípio de Negação padrão.
Trabalhar com a lista de regras de Controle de Inicialização de Aplicativos
A lista de pacotes confiáveis do subsistema de controle de distribuição de software é uma lista de exclusões que amplifica, mas não substitui a lista geral de regras de controle de inicialização de aplicativos.
As regras de negação de controle de inicialização de aplicativos têm a prioridade mais alta: a descompressão de pacotes confiáveis e a inicialização de arquivos novos ou modificados serão bloqueadas caso tais pacotes e arquivos forem afetados pelas regras de negação de controle de inicialização de aplicativos.
As exclusões do controle de distribuição de software são aplicadas tanto para pacotes confiáveis quanto para arquivos criados ou modificados por tais pacotes, caso nenhuma regra de negação de controle de inicialização de aplicativos seja aplicada àqueles pacotes e arquivos.
Uso das conclusões do KSN
As conclusões da KSN de que um arquivo não é confiável têm uma prioridade mais alta do que as exclusões do controle de distribuição de software: a descompactação de pacotes confiáveis e a inicialização de arquivos criados e modificados por esses pacotes serão bloqueadas se a KSN reportar que esses arquivos não são confiáveis.
Nesse caso, depois de serem descompactados de um pacote confiável, será permitido que todos os arquivos filhos sejam executados independentemente do uso da KSN no escopo do Controle de Inicialização de Aplicativos. Nesse caso, os estados das caixas de seleção Negar aplicativos não confiáveis pela KSN e Permitir aplicativos confiáveis pela KSN não afetam a operação da caixa de seleção Permitir a distribuição adicional de programas criados a partir deste pacote de distribuição.