Установка Kaspersky Security Center

В этом разделе описывается установка компонентов Kaspersky Security Center. Если вы хотите установить программу локально только на одно устройство, доступны два варианта установки:

• Стандартная. Этот вариант рекомендуется, если вы хотите ознакомиться с программой Kaspersky Security Center, например, протестировать ее работу на небольшом участке сети вашей организации. При стандартной установке вы настраиваете только параметры базы данных. Также вы можете установить только набор плагинов управления, заданный по умолчанию, для программ "Лаборатории Касперского". Вы также можете воспользоваться стандартной установкой, если вы уже имеете опыт работы с Kaspersky Security Center и знаете, как после стандартной установки настроить все необходимые вам параметры.
• Выборочная. Этот вариант рекомендуется, если вы планируете настроить параметры Kaspersky Security Center, такие как путь к папке общего доступа, учетные записи и порты подключения к Серверу администрирования, и параметры базы данных. Выборочная установка позволяет указать, какие плагины управления программами "Лаборатории Касперского" будут установлены. При необходимости вы можете запустить выборочную установку в тихом режиме.

Если в сети установлен хотя бы один Сервер администрирования, Серверы на других устройствах сети могут быть установлены с помощью задачи удаленной установки методом принудительной установки. При создании задачи удаленной установки программы необходимо использовать инсталляционный пакет Сервера администрирования: ksc_<номер_версии>.<номер сборки>_full_<язык локализации>.exe.

Используйте этот пакет, если вы хотите установить все компоненты, необходимые для работы всех функций Kaspersky Security Center, или обновить существующие версии этих компонентов.

Если хотите развернуть отказоустойчивый кластер Kaspersky Security Center, вам необходимо установить Kaspersky Security Center на все узлы кластера.

Подготовка к установке

Выполните следующие действия перед запуском установки.

• Проверка требований к оборудованию и программному обеспечению

  Убедитесь, что аппаратное и программное обеспечение устройства соответствует требованиям, предъявляемым к Серверу администрирования и Консоли администрирования.

• Выбор и установка системы управления базами данных (СУБД)

  Kaspersky Security Center хранит свою информацию в базе данных, управляемой СУБД. Установите СУБД в сети до установки Kaspersky Security Center (узнайте больше о том, как выбрать СУБД). Если вы решили установить СУБД PostgreSQL или Postgres Pro, укажите пароль для суперпользователя. Если пароль не указан, Сервер администрирования может не подключиться к базе данных.

  Рекомендуется устанавливать Сервер администрирования на выделенный сервер, а не на контроллер домена. Если вы устанавливаете Kaspersky Security Center на сервер, выполняющий роль контроллера домена только для чтения (RODC), Microsoft SQL Server (SQL Express) не должен быть установлен локально (на этом же устройстве). В этом случае рекомендуется установить Microsoft SQL Server (SQL Express) удаленно (на другое устройство) или использовать MySQL, MariaDB или PostgreSQL, если вам нужно установить СУБД локально.

• Подготовка папок для Сервера администрирования, Агента администрирования и Консоли администрирования

  Сервер администрирования, Агент администрирования и Консоль администрирования должны быть установлены в папках, в которых выключен учет регистра. Также необходимо выключить учет регистра для общей папки Сервера администрирования и скрытой папки Kaspersky Security Center (%ALLUSERSPROFILE%\KasperskyLab\adminkit).

• Удалите старую версию Агента администрирования

  Вместе с компонентом Сервер администрирования на устройство будет установлена серверная версия Агента администрирования. Его совместная установка с обычной версией Агента администрирования невозможна. Если серверная версия Агента администрирования уже установлена на вашем устройстве, требуется удалить ее и запустить установку Сервера администрирования повторно. Подробнее о серверной версии Агента администрирования см. раздел Изменения в системе после установки Kaspersky Security Center.

• Проверка учетных записей

  Для установки Kaspersky Security Center необходимо наличие прав локального администратора на устройстве, где осуществляется установка.

  Kaspersky Security Center поддерживает управляемые учетные записи службы и групповые управляемые учетные записи службы. Если эти типы учетных записей используются в вашем домене и вы хотите указать одну из них в качестве учетной записи для службы Сервера администрирования, то сначала установите учетную запись на том же устройстве, на котором вы хотите установить Сервер администрирования. Подробнее об установке управляемых учетных записей служб на локальном устройстве см. в официальной документации Microsoft.

Учетные записи для работы с СУБД

Для установки Сервера администрирования и работы с ним вам потребуется учетная запись Windows, под которой вы будете запускать программу установки Сервера администрирования (далее также "инсталлятор"), учетная запись Windows, под которой вы будете запускать службу Сервера администрирования, и внутренняя учетная запись СУБД для доступа к СУБД. Можно создать учетные записи или использовать существующие. Все эти учетные записи требуют определенных прав. Набор необходимых учетных записей и их права зависят от следующих критериев:

• Тип СУБД:
  • Microsoft SQL Server (с аутентификацией Windows или с аутентификацией SQL Server);
  • MySQL или MariaDB.
• Расположение СУБД:
  • локальная СУБД; Локальной СУБД называется СУБД, установленная на том же устройстве, что и Сервер администрирования;
  • удаленная СУБД. Удаленной СУБД называется СУБД, установленная на другом устройстве.
• Способ создания базы данных Сервера администрирования:
  • Автоматически. При установке Сервера администрирования вы можете автоматически создать базу данных Сервера администрирования (далее также база данных Сервера) с помощью инсталлятора.
  • Вручную. Можно использовать программу стороннего производителя (например, SQL Server Management Studio) или скрипт для создания пустой базы данных. После этого вы можете указать эту базу данных в качестве базы данных Сервера при установке Сервера администрирования.

При предоставлении прав и разрешений учетным записям соблюдайте принцип наименьших привилегий. Это означает, что предоставленных прав достаточно только для выполнения требуемых действий.

В приведенных ниже таблицах содержится информация о системных правах и правах на СУБД, которые требуется предоставить учетным записям перед установкой и запуском Сервера администрирования.

Microsoft SQL Server с аутентификацией Windows

Если вы выбираете SQL Server в качестве СУБД, можно использовать аутентификацию Windows для доступа к SQL Server. Настройте системные права для учетной записи Windows, используемой для запуска программы установки, и для учетной записи Windows, используемой для запуска службы Сервера администрирования. В SQL Server создайте учетные записи для этих учетных записей Windows. В зависимости от метода создания базы данных Сервера предоставьте необходимые права SQL Server этим учетным записям, как описано в таблице ниже. Подробнее о настройке прав учетных записей см. раздел Настройка учетных записей для работы с SQL Server (аутентификация Windows).

СУБД: Microsoft SQL Server (в том числе и Express Edition) с аутентификацией Windows

Microsoft SQL Server с аутентификацией SQL Server

Если вы выбираете SQL Server в качестве СУБД, вы можете использовать аутентификацию SQL Server для подключения к SQL Server. Настройте системные права для учетной записи Windows, используемой для запуска программы установки, и для учетной записи Windows, используемой для работы с Сервером администрирования. В SQL Server создайте учетную запись с паролем, чтобы использовать это для аутентификации. Затем предоставьте этой учетной записи SQL Server необходимые права, перечисленные в таблице ниже. Подробнее о настройке прав учетных записей см. раздел Настройка учетных записей для работы с SQL Server (аутентификация SQL Server).

СУБД: Microsoft SQL Server (в том числе и Express Edition) с аутентификацией SQL Server

Настройка прав SQL Server для восстановления данных Сервера администрирования

Чтобы восстановить данные Сервера администрирования из резервной копии, запустите утилиту klbackup под учетной записью Windows, под которой был установлен Сервер администрирования. Перед запуском утилиты klbackup на SQL Server назначьте логину SQL Server, которое связано с этой учетной записью Windows, роль sysadmin на уровне сервера.

MySQL и MariaDB

Если вы выбираете MySQL или MariaDB в качестве СУБД, создайте внутреннюю учетную запись СУБД и предоставьте этой учетной записи необходимые права, перечисленные в таблице ниже. Программа установки и служба Сервера администрирования используют эту внутреннюю учетную запись СУБД для доступа к СУБД. Обратите внимание, что способ создания базы данных не влияет на набор необходимых прав. Подробнее о настройке прав учетной записи см. раздел Настройка учетных записей для работы с MySQL и MariaDB.

СУБД: MySQL и MariaDB

Настройка прав на восстановление данных Сервера администрирования

Прав, которые вы предоставили для внутренней учетной записи СУБД, достаточно для восстановления данных Сервера администрирования из резервной копии. Чтобы начать восстановление, запустите утилиту klbackup под учетной записью Windows, под которой был установлен Сервер администрирования.

Настройка учетных записей для работы с SQL Server (аутентификация Windows)

Предварительные требования

Прежде чем назначать права учетным записям, выполните следующие действия:

1. Убедитесь, что вы входите в систему под учетной записью локального администратора.
2. Установите среду для работы с SQL Server.
3. Убедитесь, что у вас есть учетная запись Windows, под которой вы будете устанавливать Сервер администрирования.
4. Убедитесь, что у вас есть учетная запись Windows, под которой вы будете запускать службу Сервера администрирования.
5. В SQL Server создайте учетную запись для учетной записи Windows, используемой для запуска программы установки Сервера администрирования (далее также "инсталлятор"). Также создайте учетную запись Windows, используемую для запуска службы Сервера администрирования.

Если вы используете SQL Server Management Studio, на странице Общие окна свойств входа выберите параметр Аутентификация Windows.

Если вы хотите установить Сервер администрирования и SQL Server на устройства, расположенные в разных доменах Windows, обратите внимание, что эти домены должны иметь двусторонние отношения доверия, чтобы обеспечить корректную работу Сервера администрирования, включая выполнение задач и применение политик. Информацию о необходимых учетных записях для работы с различными СУБД и правах учетных записей см. в разделе Учетные записи для работы с СУБД.

Настройка учетных записей для установки Сервера администрирования (автоматическое создание базы данных Сервера администрирования)

Чтобы настроить учетные записи для установки Сервера администрирования:

1. В SQL Server назначьте роль sysadmin на уровне сервера для учетной записи Windows, которая используется для запуска программы установки.
2. Войдите в систему под учетной записью Windows, используемой для запуска программы установки.
3. Запустите программу установки Сервера администрирования.

   Запустится мастер установки Сервера администрирования. Следуйте далее указаниям мастера.

4. Выберите выборочную установку Сервера администрирования.
5. Выберите Microsoft SQL Server как СУБД, в которой хранится база данных Сервера администрирования.
6. Выберите Режим аутентификации Microsoft Windows, чтобы установить соединение между Сервером администрирования и SQL Server с помощью учетной записи Windows.
7. Укажите учетную запись Windows, которая используется для запуска службы Сервера администрирования.

   Можно выбрать учетную запись пользователя Windows, для которой вы ранее создали учетную запись SQL Server. Кроме того, вы можете автоматически создать учетную запись Windows в формате KL-AK-* с помощью программы установки. В этом случае программа установки автоматически создает для этой учетной записи учетную запись для SQL Server. Независимо от выбора учетной записи программа установки назначает необходимые системные права и права SQL Server учетной записи службы Сервера администрирования.

После завершения установки создается база данных Сервера и все необходимые системные права и права SQL Server назначаются учетной записи службы Сервера администрирования. Сервер администрирования готов к работе.

Настройка учетных записей для установки Сервера администрирования (создание базы данных Сервера администрирования вручную)

Чтобы настроить учетные записи для установки Сервера администрирования:

1. На SQL Server создайте пустую базу данных. Эта база данных будет использоваться в качестве базы данных Сервера администрирования (далее также база данных Сервера).
2. Для обеих учетных записей SQL Server, созданных для учетных записей Windows, укажите общедоступную роль уровня сервера и настройте сопоставление с созданной базой данных:
   • Роль уровня сервера: public.
   • Роль членства базы данных: db_owner, public.
   • Схема по умолчанию: dbo.
3. Войдите в систему под учетной записью Windows, используемой для запуска программы установки.
4. Запустите программу установки Сервера администрирования.

   Запустится мастер установки Сервера администрирования. Следуйте далее указаниям мастера.

5. Выберите выборочную установку Сервера администрирования.
6. Выберите Microsoft SQL Server как СУБД, в которой хранится база данных Сервера администрирования.
7. Укажите имя созданной базы данных в качестве имени базы данных Сервера администрирования.
8. Выберите Режим аутентификации Microsoft Windows, чтобы установить соединение между Сервером администрирования и SQL Server с помощью учетной записи Windows.
9. Укажите учетную запись Windows, которая используется для запуска службы Сервера администрирования.

   Вы можете выбрать учетную запись пользователя Windows, для которой вы ранее создали учетную запись входа в SQL Server и настроили права входа.

Не рекомендуется автоматически создавать учетную запись Windows в формате KL-AK-*. В этом случае программа установки создает учетную запись Windows, для которой вы не создали и не настроили учетную запись SQL Server. Сервер администрирования не может использовать эту учетную запись для запуска службы Сервера администрирования. Если необходимо создать учетную запись KL-AK-* Windows, не запускайте Консоль администрирования после установки. Вместо этого сделайте следующее:

1. Остановите службу kladminserver.
2. В SQL Server создайте учетную запись SQL Server для созданной учетной записи KL-AK-* Windows.
3. Предоставьте права этой учетной записи SQL Server и настройте сопоставление с созданной базой данных:
   • Роль уровня сервера: public.
   • Роль членства базы данных: db_owner, public.
   • Схема по умолчанию: dbo.
4. Перезапустите службу kladminserver, а затем запустите Консоль администрирования.

После завершения установки Сервер администрирования будет использовать созданную базу данных для хранения данных Сервера. Сервер администрирования готов к работе.

Настройка учетных записей для работы с SQL Server (аутентификация SQL Server)

Предварительные требования

Прежде чем назначать права учетным записям, выполните следующие действия:

1. Убедитесь, что вы входите в систему под учетной записью локального администратора.
2. Установите среду для работы с SQL Server.
3. Убедитесь, что у вас есть учетная запись Windows, под которой вы будете устанавливать Сервер администрирования.
4. Убедитесь, что у вас есть учетная запись Windows, под которой вы будете запускать службу Сервера администрирования.
5. В SQL Server включите режим аутентификации SQL Server.

   Если вы используете SQL Server Management Studio, в окне свойств SQL Server на странице Безопасность выберите параметр SQL Server и режим аутентификации Windows.

6. В SQL Server создайте учетную запись с паролем. Программа установки Сервера администрирования (программа установки) и служба Сервера администрирования используют эту учетную запись SQL Server для доступа к SQL Server.

   Если вы используете SQL Server Management Studio, на странице Общие окна свойств входа выберите параметр Аутентификация SQL-сервера.

Если вы хотите установить Сервер администрирования и SQL Server на устройства, расположенные в разных доменах Windows, обратите внимание, что эти домены должны иметь двусторонние отношения доверия, чтобы обеспечить корректную работу Сервера администрирования, включая выполнение задач и применение политик. Информацию о необходимых учетных записях для работы с различными СУБД и правах учетных записей см. в разделе Учетные записи для работы с СУБД.

Настройка учетных записей для установки Сервера администрирования (автоматическое создание базы данных Сервера администрирования)

Чтобы настроить учетные записи для установки Сервера администрирования:

1. В SQL Server сопоставьте учетную запись SQL Server с учетной записью по умолчанию в базе данных master. База данных master является шаблоном для базы данных Сервера администрирования (далее также база данных Сервера). База данных master используется для сопоставления до тех пор, пока программа установки не создаст базу данных Сервера. Предоставьте следующие права и разрешения учетной записи SQL Server:
   • Роль уровня сервера: public.
   • Роль членства базы данных для базы данных master: db_owner.
   • Схема по умолчанию для базы данных master: dbo.
   • Разрешения:
     • CONNECT ANY DATABASE
     • CONNECT SQL
     • CREATE ANY DATABASE
     • VIEW ANY DATABASE
2. Войдите в систему под учетной записью Windows, используемой для запуска программы установки.
3. Запустите программу установки.

   Запустится мастер установки Сервера администрирования. Следуйте далее указаниям мастера.

4. Выберите выборочную установку Сервера администрирования.
5. Выберите Microsoft SQL Server как СУБД, в которой хранится база данных Сервера администрирования.
6. Укажите имя базы данных Сервера администрирования.
7. Выберите режим аутентификации SQL Server, чтобы установить соединение между Сервером администрирования и SQL Server с помощью созданной учетной записью SQL Server. Затем укажите данные учетной записи SQL Server.
8. Укажите учетную запись Windows, которая используется для запуска службы Сервера администрирования.

   Вы можете выбрать существующую учетную запись пользователя Windows или создать учетную запись Windows в формате KL-AK-* с помощью программы установки. Независимо от выбранной учетной записи программа установки назначает необходимые системные права учетной записи службы Сервера администрирования.

После завершения установки создается база данных Сервера и все необходимые системные права назначаются учетной записи службы Сервера администрирования. Сервер администрирования готов к работе.

Вы можете отменить привязку к базе данных master, так как программа установки создала базу данных Сервера и настроила сопоставление с этой базой данных при установке Сервера администрирования.

Так как для автоматического создания базы данных требуется больше разрешений, чем для ежедневной работы с Сервером администрирования, вы можете отозвать некоторые разрешения. На SQL Server выберите учетную запись SQL Server и предоставьте следующие права для работы с Сервером администрирования:

• Роль уровня сервера: public.
• Роль членства базы данных для базы данных Сервера: db_owner.
• Схема по умолчанию для базы данных Сервера: dbo.
• Разрешения:
  • CONNECT SQL
  • VIEW ANY DATABASE

Настройка учетных записей для установки Сервера администрирования (создание базы данных Сервера администрирования вручную)

Чтобы настроить учетные записи для установки Сервера администрирования:

1. На SQL Server создайте пустую базу данных. Эта база данных будет использоваться в качестве базы данных Сервера администрирования.
2. В SQL Server предоставьте следующие права и разрешения учетной записи SQL Server:
   • Роль уровня сервера: public.
   • Роль членства базы данных для создания базы данных: db_owner.
   • Схема по умолчанию для создания базы данных: dbo.
   • Разрешения:
     • CONNECT SQL
     • VIEW ANY DATABASE
3. Войдите в систему под учетной записью Windows, используемой для запуска программы установки.
4. Запустите программу установки.

   Запустится мастер установки Сервера администрирования. Следуйте далее указаниям мастера.

5. Выберите выборочную установку Сервера администрирования.
6. Выберите Microsoft SQL Server как СУБД, в которой хранится база данных Сервера администрирования.
7. Укажите имя созданной базы данных в качестве имени базы данных Сервера администрирования.
8. Выберите режим аутентификации SQL Server, чтобы установить соединение между Сервером администрирования и SQL Server с помощью созданной учетной записью SQL Server. Затем укажите данные учетной записи SQL Server.
9. Укажите учетную запись Windows, которая используется для запуска службы Сервера администрирования.

   Вы можете выбрать существующую учетную запись пользователя Windows или создать учетную запись Windows в формате KL-AK-* с помощью программы установки. Независимо от выбранной учетной записи программа установки назначает необходимые системные права учетной записи службы Сервера администрирования.

После завершения установки Сервер администрирования будет использовать созданную базу данных для хранения данных Сервера администрирования. Все необходимые системные права назначены учетной записи службы Сервера администрирования. Сервер администрирования готов к работе.

Настройка учетных записей для работы с MySQL и MariaDB

Предварительные требования

Прежде чем назначать права учетным записям, выполните следующие действия:

1. Убедитесь, что вы входите в систему под учетной записью локального администратора.
2. Установите среду для работы с MySQL или MariaDB.
3. Убедитесь, что у вас есть учетная запись Windows, под которой вы будете устанавливать Сервер администрирования.
4. Убедитесь, что у вас есть учетная запись Windows, под которой вы будете запускать службу Сервера администрирования.

Настройка учетных записей для установки Сервера администрирования

Чтобы настроить учетные записи для установки Сервера администрирования:

1. Запустите среду для работы с MySQL или MariaDB под учетной записью root, которую вы создали при установке СУБД.
2. Создайте внутреннюю учетную запись СУБД с паролем. Программа установки Сервера администрирования (далее также программа установки) и служба Сервера администрирования используют эту внутреннюю учетную запись СУБД для доступа к СУБД. Предоставьте этой учетной записи следующие права:
   • Схема привилегий:
     • База данных Сервера администрирования: ALL (кроме GRANT OPTION).
     • Схемы системы (mysql и sys): SELECT, SHOW VIEW.
     • Хранимая процедура sys.table_exists: EXECUTE.
   • Глобальные привилегии для всех схем: PROCESS, SUPER.

   Чтобы создать внутреннюю учетную запись СУБД и предоставить этой учетной записи необходимые права, запустите приведенный ниже скрипт (в этом скрипте учетная запись СУБД – KSCAdmin, а имя базы данных Сервера администрирования – kav):

   /* Создать пользователя с именем KSCAdmin */

   CREATE USER 'KSCAdmin'

   /* Указать пароль для KSCAdmin */

   IDENTIFIED BY '<пароль>';

   Если вы используете MySQL 8.0 или более раннюю версию в качестве СУБД, обратите внимание, что для этих версий аутентификация "Кеширование пароля SHA2" не поддерживается. Измените аутентификацию по умолчанию с "Кеширование пароля SHA2" на "Собственный пароль MySQL":

   • Чтобы создать учетную запись СУБД, использующую "Собственный пароль MySQL", выполните следующую команду:

     CREATE USER 'KSCAdmin'@'%' IDENTIFIED WITH mysql_native_password BY '<пароль>';

   • Чтобы изменить аутентификацию для существующей учетной записи СУБД, выполните следующую команду:

     ALTER USER 'KSCAdmin'@'%' IDENTIFIED WITH mysql_native_password BY '<пароль>';

   /* Предоставить привилегии KSCAdmin */

   GRANT USAGE ON *.* TO 'KSCAdmin';

   GRANT ALL ON kav.* TO 'KSCAdmin';

   GRANT SELECT, SHOW VIEW ON mysql.* TO 'KSCAdmin';

   GRANT SELECT, SHOW VIEW ON sys.* TO 'KSCAdmin';

   GRANT EXECUTE ON PROCEDURE sys.table_exists TO 'KSCAdmin';

   GRANT PROCESS ON *.* TO 'KSCAdmin';

   GRANT SUPER ON *.* TO 'KSCAdmin';

   Если вы используете MariaDB 10.5 или более раннюю версию в качестве СУБД, вам не нужно предоставлять право EXECUTE. В этом случае исключите из скрипта следующую команду: GRANT EXECUTE ON PROCEDURE sys.table_exists TO 'KSCAdmin'.

3. Чтобы просмотреть список привилегий, предоставленных учетной записи СУБД, запустите следующий скрипт:

   SHOW grants for 'KSCAdmin';

4. Чтобы вручную создать базу данных Сервера администрирования, запустите следующий скрипт (в этом скрипте имя базы данных Сервера администрирования – kav):

   CREATE DATABASE kav

   DEFAULT CHARACTER SET ascii

   DEFAULT COLLATE ascii_general_ci;

   Используйте то же имя базы данных, которое вы указали в сценарии, создающем учетную запись СУБД.

5. Войдите в систему под учетной записью Windows, используемой для запуска программы установки.
6. Запустите программу установки.

   Запустится мастер установки Сервера администрирования. Следуйте далее указаниям мастера.

7. Выберите выборочную установку Сервера администрирования.
8. Выберите MySQL или MariaDB как СУБД, в которой хранится база данных Сервера администрирования.
9. Укажите имя базы данных Сервера администрирования. Используйте то же имя базы данных, которое вы указали в скрипте.
10. Укажите учетные данные учетной записи СУБД, которую вы создали с помощью скрипта.
11. Укажите учетную запись Windows, которая используется для запуска службы Сервера администрирования.

    Вы можете выбрать существующую учетную запись пользователя Windows или автоматически создать учетную запись Windows в формате KL-AK-* с помощью программы установки. Независимо от выбранной учетной записи программа установки назначает необходимые системные права учетной записи службы Сервера администрирования.

После завершения установки создается база данных Сервера администрирования и Сервер администрирования готов к работе.

Сценарий: Аутентификация Microsoft SQL Server

Информация в этом разделе применима только к конфигурациям, в которых Kaspersky Security Center использует Microsoft SQL Server в качестве системы управления базами данных.

Чтобы защитить данные Kaspersky Security Center, передаваемые в базу данных или из нее, а также данные, хранящиеся в базе данных, от несанкционированного доступа, вы должны защитить связь между Kaspersky Security Center и SQL Server. Самый надежный способ обеспечить безопасную связь - это установить Kaspersky Security Center и SQL Server на одном устройстве и использовать механизм совместной памяти для обеих программ. Во всех других случаях мы рекомендуем использовать сертификат SSL или TLS для аутентификации экземпляра SQL Server. Вы можете использовать сертификат доверенного центра сертификации (CA) или самоподписанный сертификат. Рекомендуется использовать сертификат доверенного центра сертификации, так как самоподписанный сертификат обеспечивает лишь ограниченную защиту.

Аутентификация SQL Server состоит из следующих этапов:

1. Создание самоподписанного сертификата SSL или TLS для SQL Server в соответствии с требованиями сертификата

   Если у вас уже есть сертификат для SQL Server, пропустите этот шаг.

   SSL-сертификат можно применять только к версиям SQL Server ранее 2016 года (13.x). В версиях SQL Server 2016 (13.x) и выше используйте TLS-сертификат.

   Например, чтобы создать TLS-сертификат, введите следующую команду в PowerShell:

   New-SelfSignedCertificate -DnsName SQL_HOST_NAME -CertStoreLocation cert:\LocalMachine -KeySpec KeyExchange

   В командной строке в качестве SQL_HOST_NAME вы должны ввести имя экземпляра SQL Server, если экземпляр включен в домен, или ввести полное доменное имя (FQDN) экземпляра, если экземпляр не включен в домен. В мастере установки Сервера администрирования в качестве имени экземпляра SQL Server должно быть указано то же имя – имя экземпляра или полное доменное имя.

2. Добавление сертификата на экземпляр SQL Server

   Инструкции этого этапа зависят от платформы, на которой работает SQL Server. Дополнительную информацию см. в официальной документации:

   • Windows
   • Linux
   • Служба реляционных баз данных Amazon
   • Windows Azure

   Чтобы использовать сертификат в отказоустойчивом кластере, необходимо установить сертификат на каждом узле отказоустойчивого кластера. Подробнее см. документацию Microsoft.

3. Назначение разрешений для учетной записи службы

   Убедитесь, что учетная запись службы, под которой запускается служба SQL Server, имеет разрешения "Полный доступ" для доступа к закрытым ключам. Подробнее см. документацию Microsoft.

4. Добавление сертификата в список доверенных сертификатов для Kaspersky Security Center

   На устройство Сервера администрирования добавьте сертификат в список доверенных сертификатов. Подробнее см. документацию Microsoft.

5. Включение зашифрованных подключений между экземпляром SQL Server и Kaspersky Security Center

   На устройстве Сервера администрирования установите значение 1 для переменной среды KLDBADO_UseEncryption. Например, в Windows Server 2012 R2 вы можете изменить переменные среды, нажав на Переменные среды, на закладке Дополнительно окна Свойства системы. Добавьте переменную с именем KLDBADO_UseEncryption и установите значение 1.

6. Дополнительная настройка для использования TLS-протокола 1.2

   Если вы используете TLS-протокол 1.2, дополнительно выполните следующие действия:

   • Убедитесь, что установленная версия SQL Server является 64-разрядной программой.
   • Установите драйвер Microsoft OLE DB на устройство Сервера администрирования. Подробнее см. документацию Microsoft.
   • На устройстве Сервера администрирования установите значение 1 для переменной среды KLDBADO_UseMSOLEDBSQL. Например, в Windows Server 2012 R2 вы можете изменить переменные среды, нажав на Переменные среды, на закладке Дополнительно окна Свойства системы. Добавьте новую переменную с именем KLDBADO_UseMSOLEDBSQL и установите значение 1.
7. Включение использования протокола TCP/IP на именованном экземпляре SQL Server

   Если вы используете именованный экземпляр SQL Server, дополнительно включите использование протокола TCP/IP и назначьте номер порта TCP/IP для компонента SQL Server Database Engine. При настройке подключения к SQL Server в мастере установки Сервера администрирования укажите имя экземпляра SQL Server и номер порта в поле Имя экземпляра SQL Server.

Рекомендации по установке Сервера администрирования

В этом разделе содержатся рекомендации, касающиеся установки Сервера администрирования. В разделе также содержатся сценарии использования папки общего доступа на устройстве с Сервером администрирования для развертывания Агента администрирования на клиентских устройствах.

Создание учетных записей для служб Сервера администрирования на отказоустойчивом кластере

По умолчанию инсталлятор самостоятельно создает непривилегированные учетные записи для служб Сервера администрирования. Такое поведение наилучшим образом подходит для установки Сервера администрирования на обычное устройство.

Однако при установке Сервера администрирования на отказоустойчивый кластер следует поступить иначе:

1. Создать непривилегированные доменные учетные записи для служб Сервера администрирования и сделать их членами глобальной доменной группы безопасности KLAdmins.
2. Задать в инсталляторе Сервера администрирования созданные доменные учетные записи для служб.

Задание папки общего доступа

Во время установки Сервера администрирования можно задать месторасположение папки общего доступа. Также месторасположение папки общего доступа можно задать после установки, в свойствах Сервера администрирования. По умолчанию папка общего доступа создается на устройстве с Сервером администрирования (с доступом на чтение для встроенной группы Everyone). Однако в некоторых случаях (таких как высокая нагрузка или необходимость доступа из изолированной сети) целесообразно располагать папку общего доступа на специализированном файловом ресурсе.

Папка общего доступа используется в нескольких сценариях развертывания Агента администрирования.

Учет регистра для общей папки должен быть выключен.

Удаленная установка средствами Сервера администрирования с помощью групповых политик Active Directory

В случае если устройства находятся в домене Windows (нет рабочих групп), первоначальное развертывание (установку Агента администрирования и программы безопасности на пока еще не управляемые устройства) целесообразно выполнять при помощи групповых политик Active Directory. Развертывание выполняется с помощью штатной задачи удаленной инсталляции Kaspersky Security Center. Если размер сети велик, с целью уменьшения нагрузки на дисковую подсистему устройства с Сервером администрирования целесообразно располагать папку общего доступа на специализированном файловом ресурсе.

Удаленная установка рассылкой UNC-пути на автономный пакет

В случае если пользователи устройств сети организации имеют права локального администратора, еще одним способом первоначального развертывания является создание автономного пакета Агента администрирования (или даже "спаренного" пакета Агента администрирования совместно с программой безопасности). После создания автономного пакета нужно отправить пользователям устройств сети ссылку на пакет, находящийся в папке общего доступа. Инсталляция запускается по ссылке.

Обновление из общей папки Сервера администрирования

В задаче обновления антивируса можно настроить обновление из папки общего доступа Сервера администрирования. Если задача назначена для большого количества устройств, целесообразно располагать папку общего доступа на специализированном файловом ресурсе.

Установка образов операционных систем

Установка образов операционных систем всегда выполняется с использованием папки общего доступа: устройства читают из папки образы операционных систем. Если планируется развертывание образов на большом количестве устройств организации, то целесообразно располагать папку общего доступа на специализированном файловом ресурсе.

Указание адреса Сервера администрирования

При установке Сервера администрирования можно задать адрес Сервера администрирования. Этот адрес по умолчанию используется при создании инсталляционных пакетов Агента администрирования.

В качестве адреса Сервера администрирования вы можете указать:

• NetBIOS-имя Сервера администрирования, указанное по умолчанию.
• Полное доменное имя (FQDN) Сервера администрирования, если система доменных имен (DNS) в сети организации настроена и работает должным образом.
• Внешний адрес, если Сервер администрирования установлен в демилитаризованной зоне (DMZ).

В дальнейшем адрес Сервера администрирования можно будет изменить средствами Консоли администрирования, однако при этом он не изменится автоматически в уже созданных инсталляционных пакетах Агента администрирования.

Стандартная установка

Стандартная установка – это установка Сервера администрирования, при которой используются заданные по умолчанию пути для файлов программы, устанавливается набор плагинов по умолчанию и не включается Управление мобильными устройствами.

Чтобы установить Сервер администрирования Kaspersky Security Center на локальное устройство,

запустите исполняемый файл ksc_<номер версии>.<номер сборки>_full_<язык локализации>.exe.

Откроется окно с выбором программ "Лаборатории Касперского" для установки. В окне с выбором программ по ссылке Установить Сервер администрирования Kaspersky Security Center 14 запустите мастер установки Сервера администрирования. Следуйте далее указаниям мастера.

Шаг 1. Просмотр Лицензионного соглашения и Политики конфиденциальности

На этом шаге мастера установки требуется ознакомиться с Лицензионным соглашением, которое заключается между вами и "Лабораторией Касперского", и Политикой конфиденциальности.

Вам также может быть предложено ознакомиться с Лицензионными соглашениями и Политиками конфиденциальности на доступные в дистрибутиве Kaspersky Security Center плагины управления программами.

Внимательно прочитайте Лицензионное соглашение, которое заключается между вами и "Лабораторией Касперского", и Политику конфиденциальности. Если вы согласны со всеми пунктами Лицензионного соглашения и Политики конфиденциальности, в блоке Я подтверждаю, что полностью прочитал, понимаю и принимаю установите флажки:

• Положения и условия настоящего Лицензионного соглашения
• Политику конфиденциальности, которая описывает обработку данных

Установка программы будет продолжена после установки обоих флажков.

Если вы не согласны с Лицензионным соглашением или Политикой конфиденциальности, то отмените установку программы, нажав на кнопку Отмена.

Шаг 2. Выбор типа установки

В окне выбора типа установки укажите тип Стандартная.

Стандартная установка рекомендуется, если вы хотите ознакомиться с программой Kaspersky Security Center, например, протестировать ее работу на небольшом участке сети вашей организации. При стандартной установке вы настраиваете только параметры базы данных. Параметры Сервера администрирования не настраиваются, для них используются заданные по умолчанию значения. Стандартная установка не позволяет выбрать устанавливаемые плагины управления, устанавливается заданный по умолчанию набор плагинов. Во время стандартной установки инсталляционные пакеты для мобильных устройств не создаются. Вы можете создать их позже в Консоли администрирования.

Шаг 3. Установка Kaspersky Security Center Web Console

Этот шаг отображается, только если вы используете 64-разрядную операционную систему. В противном случае этот шаг не отображается, поскольку Kaspersky Security Center Web Console не работает с 32-разрядными операционными системами.

По умолчанию будут установлены и Kaspersky Security Center Web Console, и Консоль администрирования на основе консоли Microsoft Management Console (MMC).

Если вы хотите установить только Kaspersky Security Center Web Console:

1. Выберите Установить только одну из консолей.
2. В раскрывающемся списке выберите Консоль на основе веб-интерфейса.

Установка Kaspersky Security Center Web Console запускается автоматически после завершения установки Сервера администрирования.

Если вы хотите установить только Консоль администрирования на основе консоли Microsoft Management Console (MMC):

1. Выберите Установить только одну из консолей.
2. В раскрывающемся списке выберите Консоль на основе MMC.

Шаг 4. Выбор размера сети

Укажите размер сети, в которой устанавливается Kaspersky Security Center. В зависимости от количества устройств в сети мастер настраивает параметры установки и отображение интерфейса программы.

В таблице ниже перечислены параметры установки программы и отображения интерфейса при выборе разных размеров сети.

Зависимость параметров установки от выбора размеров сети

При подключении Сервера администрирования к серверу базы данных MySQL 5.7 и SQL Express не рекомендуется использовать программу для управления более чем 10 000 устройств. Для системы управления базами данных MariaDB максимальное рекомендуемое количество управляемых устройств составляет 20 000.

Шаг 5. Выбор базы данных

На этом шаге мастера выберите один из следующих вариантов, который будет использоваться для хранения системы управления базами данных (СУБД) Сервера администрирования:

• Microsoft SQL Server (SQL Server Express).
• MySQL. Выберите этот вариант, если вы хотите установить MySQL или MariaDB. Вы можете настроить любую из этих СУБД на следующем шаге мастера.

Рекомендуется устанавливать Сервер администрирования на выделенный сервер, а не на контроллер домена. Если вы устанавливаете Kaspersky Security Center на сервер, выполняющий роль контроллера домена только для чтения (RODC), Microsoft SQL Server (SQL Express) не должен быть установлен локально (на этом же устройстве). В этом случае рекомендуется установить Microsoft SQL Server (SQL Express) удаленно (на другое устройство) или использовать MySQL или MariaDB, если вам нужно установить СУБД локально.

Структура базы данных Сервера администрирования описана в файле klakdb.chm, который расположен в папке установки программы Kaspersky Security Center (этот файл в виде архива доступен на портале "Лаборатории Касперского": klakdb.zip).

Шаг 6. Настройка параметров SQL-сервера

На этом шаге мастера вы настраиваете SQL Server.

В зависимости от выбранной вами базы данных укажите следующие параметры:

• Если вы выбрали Microsoft SQL Server (SQL Server Express) на предыдущем шаге:
  • В поле Имя SQL-сервера укажите имя SQL-сервера, установленного в сети. При помощи кнопки Обзор вы можете открыть список всех SQL-серверов, установленных в сети. По умолчанию поле не заполнено.

    Если вы подключаетесь к SQL Server через пользовательский порт, то вместе с именем экземпляра SQL Server укажите через запятую номер порта, например:

    SQL_Server_host_name,1433

    Если вы защищаете соединение между Сервером администрирования и SQL Server с помощью сертификата, укажите в поле Имя SQL-сервера то же имя экземпляра, которое использовалось при создании сертификата. Если вы используете именованный экземпляр SQL Server, вместе с именем экземпляра SQL Server укажите через запятую номер порта, например:

    SQL_Server_name,1433

    Если вы используете несколько экземпляров SQL Server на одном устройстве, дополнительно укажите через обратную косую черту имя экземпляра, например:

    SQL_Server_name\SQL_Server_instance_name,1433

    Если для SQL Server в корпоративной сети включена функция Always On, укажите имя прослушивателя группы доступности в поле Имя SQL-сервера. Обратите внимание, что Сервер администрирования поддерживает только режим доступности с синхронной фиксацией, когда включена функция Always On.

  • В поле Имя базы данных задайте имя базы данных, которая была создана для размещения информации Сервера администрирования. По умолчанию указано значение KAV.

  Если на этом шаге вы хотите установить SQL-сервер на то устройство, с которого производите установку Kaspersky Security Center, нужно прервать установку и запустить ее снова после установки SQL-сервера. Поддерживаемые SQL-серверы перечислены в требованиях к системе.

  Если вы хотите установить SQL-сервер на удаленное устройство, прерывать работу мастера установки Kaspersky Security Center не требуется. Установите SQL Server и вернитесь к установке Kaspersky Security Center.

• Если вы выбрали MySQL на предыдущем шаге:
  • В поле Имя SQL-сервера укажите имя экземпляра SQL Server. По умолчанию используется IP-адрес устройства, на который устанавливается Kaspersky Security Center.
  • В поле Порт укажите порт для подключения Сервера администрирования к базе данных SQL-сервера. По умолчанию установлен порт 3306.
  • В поле Имя базы данных задайте имя базы данных, которая была создана для размещения информации Сервера администрирования. По умолчанию указано значение KAV.

Шаг 7. Выбор режима аутентификации

Определите режим аутентификации, который будет использоваться при подключении Сервера администрирования к SQL-серверу.

В зависимости от выбранной базы данных вы можете выбрать следующие режимы аутентификации:

• Для SQL Express или Microsoft SQL Server выберите один из следующих вариантов:
  • Режим аутентификации Microsoft Windows. В этом случае при проверке прав будет использоваться учетная запись для запуска Сервера администрирования.
  • Режим аутентификации SQL-сервера. В случае выбора этого варианта для проверки прав будет использоваться указанная в окне учетная запись. Заполните поля Учетная запись и Пароль.

    Чтобы посмотреть введенный пароль, нажмите на кнопку Показать и удерживайте ее необходимое вам время.

  Программа проверяет, доступна ли база данных для обоих режимов аутентификации. Если база данных недоступна, отображается сообщение об ошибке и вам нужно указать правильные учетные данные.

  Если база данных Сервера администрирования находится на другом устройстве и учетная запись Сервера администрирования не имеет доступа к серверу базы данных, то при установке или обновлении Сервера администрирования следует использовать режим аутентификации SQL-сервера. Это может происходить в случае, когда устройство с базой данных находится не в домене, или Сервер администрирования установлен под учетной записью LocalSystem.

• Для MySQL Server или MariaDB Server укажите учетную запись и пароль.

Шаг 8. Распаковка и установка файлов на жесткий диск

По окончании настройки параметров установки компонентов Kaspersky Security Center вы можете запустить установку файлов на жесткий диск.

Если для запуска установки требуются дополнительные программы, мастер установки сообщит об этом перед началом установки Kaspersky Security Center в окне Установка обязательных компонентов. Необходимые программы будут установлены автоматически после нажатия на кнопку Далее.

На последней странице можно выбрать, какую консоль требуется запустить для работы с Kaspersky Security Center:

• Запустить Консоль на основе MMC
• Запустить как Kaspersky Security Center Web Console

  Этот параметр доступен, только если на одном из предыдущих шагов вы выбрали установку Kaspersky Security Center Web Console.

Вы можете завершить работу мастера без запуска Kaspersky Security Center. Для этого нажмите на кнопку Готово. Работу с Kaspersky Security Center можно начать позже в любое время.

При первом запуске Консоли администрирования или Kaspersky Security Center Web Console вы можете выполнить первоначальную настройку программы.

По окончании работы мастера установки следующие компоненты программы будут установлены на жесткий диск, на котором установлена операционная система:

• Сервер администрирования (совместно с серверной версией Агента администрирования);
• Консоль администрирования на основе консоли управления Microsoft Management Console (MMC);
• Kaspersky Security Center Web Console (если выбрана ее установка);
• доступные в дистрибутиве плагины управления программами.

Кроме того, будет установлена программа Microsoft Windows Installer версии 4.5, если эта программа не была установлена ранее.

Выборочная установка

Выборочная установка – это установка Сервера администрирования, при которой вам предлагается выбрать компоненты для установки и указать папку, в которую будет установлена программа.

С помощью этого типа установки вы можете настроить параметры базы данных, параметры Сервера администрирования, установить компоненты, которые не включены в стандартную установку и плагины управления программами безопасности "Лаборатории Касперского". Вы можете также включить Управление мобильными устройствами.

Чтобы установить Сервер администрирования Kaspersky Security Center на локальное устройство,

запустите исполняемый файл ksc_<номер версии>.<номер сборки>_full_<язык локализации>.exe.

Откроется окно с выбором программ "Лаборатории Касперского" для установки. В окне с выбором программ по ссылке Установить Сервер администрирования Kaspersky Security Center 14 запустите мастер установки Сервера администрирования. Следуйте далее указаниям мастера.

Шаг 1. Просмотр Лицензионного соглашения и Политики конфиденциальности

На этом шаге мастера установки требуется ознакомиться с Лицензионным соглашением, которое заключается между вами и "Лабораторией Касперского", и Политикой конфиденциальности.

Вам также может быть предложено ознакомиться с Лицензионными соглашениями и Политиками конфиденциальности на доступные в дистрибутиве Kaspersky Security Center плагины управления программами.

Внимательно прочитайте Лицензионное соглашение, которое заключается между вами и "Лабораторией Касперского", и Политику конфиденциальности. Если вы согласны со всеми пунктами Лицензионного соглашения и Политики конфиденциальности, в блоке Я подтверждаю, что полностью прочитал, понимаю и принимаю установите флажки:

• Положения и условия настоящего Лицензионного соглашения
• Политику конфиденциальности, которая описывает обработку данных

Установка программы будет продолжена после установки обоих флажков.

Если вы не согласны с Лицензионным соглашением или Политикой конфиденциальности, то отмените установку программы, нажав на кнопку Отмена.

Шаг 2. Выбор типа установки

В окне выбора типа установки укажите тип Выборочная.

Выборочная установка позволяет настроить параметры Kaspersky Security Center, такие как путь к папке общего доступа, учетные записи и порты подключения к Серверу администрирования, и параметры базы данных. Выборочная установка позволяет указать, какие плагины управления программами "Лаборатории Касперского" будут установлены. При выборочной установке вы можете создать инсталляционные пакеты для мобильных устройств, указав соответствующий параметр.

Шаг 3. Выбор компонентов для установки

Выберите компоненты Сервера администрирования Kaspersky Security Center, которые вы хотите установить:

• Управление мобильными устройствами. Установите этот флажок, если требуется создать инсталляционные пакеты для мобильных устройств во время работы мастера установки Kaspersky Security Center. Вы можете также создать инсталляционные пакеты для мобильных устройств вручную, после установки Сервера администрирования средствами Консоли администрирования.
• Агент SNMP. Получает статистическую информацию для Сервера администрирования по протоколу SNMP. Компонент доступен при установке программы на устройство с установленным компонентом SNMP.

  После установки Kaspersky Security Center необходимые для получения статистической информации mib-файлы будут расположены в папке установки программы во вложенной папке SNMP.

Компоненты Агент администрирования и Консоль администрирования не отображаются в списке компонентов. Эти компоненты устанавливаются автоматически, их установку отменить нельзя.

На этом шаге мастера также следует указать папку для установки компонентов Сервера администрирования. По умолчанию компоненты устанавливаются в папку <Диск>:\Program Files\Kaspersky Lab\Kaspersky Security Center. Если папки с таким названием нет, она будет создана автоматически в процессе установки. Вы можете изменить папку назначения с помощью кнопки Обзор.

Шаг 4. Установка Kaspersky Security Center Web Console

Этот шаг отображается, только если вы используете 64-разрядную операционную систему. В противном случае этот шаг не отображается, поскольку Kaspersky Security Center Web Console не работает с 32-разрядными операционными системами.

По умолчанию будут установлены и Kaspersky Security Center Web Console, и Консоль администрирования на основе консоли Microsoft Management Console (MMC).

Если вы хотите установить только Kaspersky Security Center Web Console:

1. Выберите Установить только одну из консолей.
2. В раскрывающемся списке выберите Консоль на основе веб-интерфейса.

Установка Kaspersky Security Center Web Console запускается автоматически после завершения установки Сервера администрирования.

Если вы хотите установить только Консоль администрирования на основе консоли Microsoft Management Console (MMC):

1. Выберите Установить только одну из консолей.
2. В раскрывающемся списке выберите Консоль на основе MMC.

Шаг 5. Выбор размера сети

Укажите размер сети, в которой устанавливается Kaspersky Security Center. В зависимости от количества устройств в сети мастер настраивает параметры установки и отображение интерфейса программы.

В таблице ниже перечислены параметры установки программы и отображения интерфейса при выборе разных размеров сети.

Зависимость параметров установки от выбора размеров сети

При подключении Сервера администрирования к серверу базы данных MySQL 5.7 и SQL Express не рекомендуется использовать программу для управления более чем 10 000 устройств. Для системы управления базами данных MariaDB максимальное рекомендуемое количество управляемых устройств составляет 20 000.

Шаг 6. Выбор базы данных

На этом шаге мастера выберите один из следующих вариантов, который будет использоваться для хранения системы управления базами данных (СУБД) Сервера администрирования:

• Microsoft SQL Server (SQL Server Express).
• MySQL. Выберите этот вариант, если вы хотите установить MySQL или MariaDB. Вы можете настроить любую из этих СУБД на следующем шаге мастера.

Рекомендуется устанавливать Сервер администрирования на выделенный сервер, а не на контроллер домена. Если вы устанавливаете Kaspersky Security Center на сервер, выполняющий роль контроллера домена только для чтения (RODC), Microsoft SQL Server (SQL Express) не должен быть установлен локально (на этом же устройстве). В этом случае рекомендуется установить Microsoft SQL Server (SQL Express) удаленно (на другое устройство) или использовать MySQL или MariaDB, если вам нужно установить СУБД локально.

Структура базы данных Сервера администрирования описана в файле klakdb.chm, который расположен в папке установки программы Kaspersky Security Center (этот файл в виде архива доступен на портале "Лаборатории Касперского": klakdb.zip).

Шаг 7. Настройка параметров SQL-сервера

На этом шаге мастера вы настраиваете SQL Server.

В зависимости от выбранной вами базы данных укажите следующие параметры:

• Если вы выбрали Microsoft SQL Server (SQL Server Express) на предыдущем шаге:
  • В поле Имя SQL-сервера укажите имя SQL-сервера, установленного в сети. При помощи кнопки Обзор вы можете открыть список всех SQL-серверов, установленных в сети. По умолчанию поле не заполнено.

    Если вы подключаетесь к SQL Server через пользовательский порт, то вместе с именем экземпляра SQL Server укажите через запятую номер порта, например:

    SQL_Server_host_name,1433

    Если вы защищаете соединение между Сервером администрирования и SQL Server с помощью сертификата, укажите в поле Имя SQL-сервера то же имя экземпляра, которое использовалось при создании сертификата. Если вы используете именованный экземпляр SQL Server, вместе с именем экземпляра SQL Server укажите через запятую номер порта, например:

    SQL_Server_name,1433

    Если вы используете несколько экземпляров SQL Server на одном устройстве, дополнительно укажите через обратную косую черту имя экземпляра, например:

    SQL_Server_name\SQL_Server_instance_name,1433

    Если для SQL Server в корпоративной сети включена функция Always On, укажите имя прослушивателя группы доступности в поле Имя SQL-сервера. Обратите внимание, что Сервер администрирования поддерживает только режим доступности с синхронной фиксацией, когда включена функция Always On.

  • В поле Имя базы данных задайте имя базы данных, которая была создана для размещения информации Сервера администрирования. По умолчанию указано значение KAV.

  Если на этом шаге вы хотите установить SQL-сервер на то устройство, с которого производите установку Kaspersky Security Center, нужно прервать установку и запустить ее снова после установки SQL-сервера. Поддерживаемые SQL-серверы перечислены в требованиях к системе.

  Если вы хотите установить SQL-сервер на удаленное устройство, прерывать работу мастера установки Kaspersky Security Center не требуется. Установите SQL Server и вернитесь к установке Kaspersky Security Center.

• Если вы выбрали MySQL на предыдущем шаге:
  • В поле Имя SQL-сервера укажите имя экземпляра SQL Server. По умолчанию используется IP-адрес устройства, на который устанавливается Kaspersky Security Center.
  • В поле Порт укажите порт для подключения Сервера администрирования к базе данных SQL-сервера. По умолчанию установлен порт 3306.
  • В поле Имя базы данных задайте имя базы данных, которая была создана для размещения информации Сервера администрирования. По умолчанию указано значение KAV.

Шаг 8. Выбор режима аутентификации

Определите режим аутентификации, который будет использоваться при подключении Сервера администрирования к SQL-серверу.

В зависимости от выбранной базы данных вы можете выбрать следующие режимы аутентификации:

• Для SQL Express или Microsoft SQL Server выберите один из следующих вариантов:
  • Режим аутентификации Microsoft Windows. В этом случае при проверке прав будет использоваться учетная запись для запуска Сервера администрирования.
  • Режим аутентификации SQL-сервера. В случае выбора этого варианта для проверки прав будет использоваться указанная в окне учетная запись. Заполните поля Учетная запись и Пароль.

    Чтобы посмотреть введенный пароль, нажмите на кнопку Показать и удерживайте ее необходимое вам время.

  Программа проверяет, доступна ли база данных для обоих режимов аутентификации. Если база данных недоступна, отображается сообщение об ошибке и вам нужно указать правильные учетные данные.

  Если база данных Сервера администрирования находится на другом устройстве и учетная запись Сервера администрирования не имеет доступа к серверу базы данных, то при установке или обновлении Сервера администрирования следует использовать режим аутентификации SQL-сервера. Это может происходить в случае, когда устройство с базой данных находится не в домене, или Сервер администрирования установлен под учетной записью LocalSystem.

• Для MySQL Server или MariaDB Server укажите учетную запись и пароль.

Шаг 9. Выбор учетной записи для запуска Сервера администрирования

Выберите учетную запись, под которой Сервер администрирования будет запускаться как служба.

• Создать учетную запись автоматически. Программа создает локальную учетную запись KL-AK-*, под которой будет запускаться служба Сервера администрирования kladminserver.

  Вы можете выбрать этот вариант, если вы планируете разместить папку общего доступа и СУБД на том же устройстве, что и Сервер администрирования.

• Выбрать учетную запись. Служба Сервера администрирования (kladminserver) будет запускаться под выбранной вами учетной записью.

  Вам потребуется выбрать доменную учетную запись, например, если вы планируете использовать в качестве СУБД SQL-сервер любого выпуска, в том числе SQL-express, расположенный на другом устройстве, и/или если вы планируете разместить папку общего доступа на другом устройстве.

  Kaspersky Security Center поддерживает управляемые учетные записи службы (MSA) и групповые управляемые учетные записи службы (gMSA). Если такие учетные записи используются в вашем домене, вы можете выбрать одну из них в качестве учетной записи для службы Сервера администрирования.

  Прежде чем выбрать MSA или gMSA, необходимо установить учетную запись на том же устройстве, на котором вы хотите установить Сервер администрирования. Если учетная запись еще не установлена, отмените установку Сервера администрирования, установите учетную запись и перезапустите установку Сервера администрирования. Подробнее об установке управляемых учетных записей служб на локальном устройстве см. в официальной документации Microsoft.

  Чтобы указать MSA или gMSA:

  1. Нажмите на кнопку Обзор.
  2. В появившемся окне нажмите на кнопку Object type.
  3. Выберите тип Учетная запись для служб и нажмите на кнопку OK.
  4. Выберите нужную учетную запись и нажмите на кнопку OK.

Выбранная вами учетная запись должна обладать различными правами в зависимости от того, какую СУБД вы планируете использовать.

Из соображений безопасности не делайте учетную запись, под которой запускается Сервер администрирования, привилегированной.

Если в дальнейшем вы захотите изменить учетную запись Сервера администрирования, вы можете воспользоваться утилитой смены учетной записи Сервера администрирования (klsrvswch). Обратите внимание, что вам нужно запустить утилиту klsrvswch на устройстве Сервера администрирования под учетной записью с правами администратора, которая использовалась для установки Сервера администрирования.

Шаг 10. Выбор учетной записи для запуска служб Kaspersky Security Center

Выберите учетную запись, под которой будут запускаться службы Kaspersky Security Center на этом устройстве:

• Создать учетную запись автоматически. Kaspersky Security Center создает локальную учетную запись KlScSvc на этом устройстве в группе kladmins. Службы Kaspersky Security Center будут запускаться под созданной учетной записью.
• Выбрать учетную запись. Службы Kaspersky Security Center будут запускаться под выбранной вами учетной записью.

  Вам потребуется выбрать доменную учетную запись, например, если вы планируете сохранять отчеты в папке, расположенной на другом устройстве, или же если этого требует политика безопасности в вашей организации. Также вам может потребоваться выбрать доменную учетную запись при установке Сервера администрирования на отказоустойчивый кластер.

Из соображений безопасности не делайте учетную запись, под которой запускаются службы, привилегированной.

Под выбранной учетной записью будут запускаться службы прокси-сервера KSN (ksnproxy), прокси-сервера активации "Лаборатории Касперского" (klactprx) и портала авторизации "Лаборатории Касперского" (klwebsrv).

Шаг 11. Определение папки общего доступа

Определите место размещения и название папки общего доступа, которая будет использоваться для следующих целей:

• хранения файлов, необходимых для удаленной установки программ (файлы копируются на Сервер администрирования при создании инсталляционных пакетов);
• размещения обновлений, копируемых с источника обновлений на Сервер администрирования.

К этому ресурсу будет открыт общий доступ на чтение для всех пользователей.

Вы можете выбрать один из двух вариантов:

• Создать папку общего доступа. Создание новой папки. Укажите путь к папке в расположенном ниже поле.
• Выбрать существующую папку общего доступа. Выбор папки общего доступа из числа уже существующих.

Папка общего доступа может размещаться как локально на устройстве, с которого производится установка, так и удаленно, на любом из клиентских устройств, входящих в состав сети организации. Вы можете указать папку общего доступа с помощью кнопки Обзор или вручную, введя в соответствующем поле UNC-путь (например, \\server\Share).

По умолчанию создается локальная папка Share в папке, заданной для установки программных компонентов Kaspersky Security Center.

Вы можете определить общую папку позже, если нужно.

Шаг 12. Настройка параметров подключения к Серверу администрирования

Развернуть все | Свернуть все

Настройте параметры подключения к Серверу администрирования:

• Порт

  Номер порта, по которому выполняется подключение к Серверу администрирования.

  По умолчанию установлен порт 14000.

• SSL-порт

  Номер SSL-порта, по которому осуществляется защищенное подключение к Серверу администрирования с использованием протокола SSL.

  По умолчанию установлен порт 13000.

• Длина ключа шифрования

  Выберите длину ключа шифрования: 1024 бита или 2048 бит.

  Ключ шифрования длиной 1024 бита оказывает меньшую нагрузку на процессор, но считается устаревшим и по техническим характеристикам может не обеспечивать надежное шифрование. Также есть вероятность, что имеющееся оборудование несовместимо с SSL-сертификатами с длиной ключа 1024 бита.

  Ключ шифрования длиной 2048 бит отвечает современным стандартам шифрования. Однако использование 2048-битного ключа шифрования может привести к дополнительной нагрузке на процессор.

  По умолчанию выбран вариант 2048 бит (большая безопасность).

Также можно изменить параметры подключения к Серверу администрирования позже:

• Вы можете изменить порт и номера SSL-портов в разделе Порты подключения в свойствах Сервера администрирования. Дополнительную информацию о портах для подключения к Серверу администрирования см. в разделе Порты, используемые Kaspersky Security Center.
• Вы можете изменить длину ключа шифрования при замене сертификата Сервера администрирования утилитой klsetsrvcert с помощью параметра -o RsaKeyLen:<длина ключа>.

Шаг 13. Задание адреса Сервера администрирования

Укажите адрес Сервера администрирования одним из следующих способов:

• Имя DNS-домена. Этот способ используется в том случае, когда в сети присутствует DNS-сервер, и клиентские устройства могут получить с его помощью адрес Сервера администрирования.
• NetBIOS-имя. Этот способ используется, если клиентские устройства получают адрес Сервера администрирования с помощью протокола NetBIOS, или в сети присутствует WINS-сервер.
• IP-адрес. Этот способ используется, если Сервер администрирования имеет статический IP-адрес, который в дальнейшем не будет изменяться.

Если вы устанавливаете Kaspersky Security Center на активный узел отказоустойчивого кластера Kaspersky Security Center и создали виртуальный сетевой адаптер, во время подготовки узлов кластера укажите IP-адрес этого адаптера. В противном случае введите IP-адрес стороннего балансировщика нагрузки, который вы используете.

Шаг 14. Адрес Сервера для подключения мобильных устройств

Этот шаг мастера установки доступен, если вы выбрали для установки компонент Управление мобильными устройствами.

В окне Адрес для подключения мобильных устройств укажите внешний адрес Сервера администрирования для подключения мобильных устройств, которые находятся за пределами локальной сети. Вы можете указать IP-адрес или DNS (Domain Name System) Сервера администрирования.

Шаг 15. Выбор плагинов управления программами

Выберите плагины управления программами "Лаборатории Касперского", которые требуется установить совместно с Kaspersky Security Center.

Для удобства поиска плагины разделены на группы в зависимости от типа защищаемых объектов.

Шаг 16. Распаковка и установка файлов на жесткий диск

По окончании настройки параметров установки компонентов Kaspersky Security Center вы можете запустить установку файлов на жесткий диск.

Если для запуска установки требуются дополнительные программы, мастер установки сообщит об этом перед началом установки Kaspersky Security Center в окне Установка обязательных компонентов. Необходимые программы будут установлены автоматически после нажатия на кнопку Далее.

На последней странице можно выбрать, какую консоль требуется запустить для работы с Kaspersky Security Center:

• Запустить Консоль на основе MMC
• Запустить как Kaspersky Security Center Web Console

  Этот параметр доступен, только если на одном из предыдущих шагов вы выбрали установку Kaspersky Security Center Web Console.

Вы можете завершить работу мастера без запуска Kaspersky Security Center. Для этого нажмите на кнопку Готово. Работу с Kaspersky Security Center можно начать позже в любое время.

При первом запуске Консоли администрирования или Kaspersky Security Center Web Console вы можете выполнить первоначальную настройку программы.

Развертывание отказоустойчивого кластера Kaspersky Security Center

Этот раздел содержит общую информацию об отказоустойчивом кластере Kaspersky Security Center, а также инструкции по подготовке и развертыванию отказоустойчивого кластера Kaspersky Security Center в вашей сети.

Сценарий: Развертывание отказоустойчивого кластера Kaspersky Security Center

Отказоустойчивый кластер Kaspersky Security Center обеспечивает высокую доступность Kaspersky Security Center и минимизирует простои Сервера администрирования в случае сбоя. Отказоустойчивый кластер основан на двух идентичных экземплярах Kaspersky Security Center, установленных на двух компьютерах. Один из экземпляров работает как активный узел, а другой – как пассивный. Активный узел управляет защитой клиентских устройств, в то время как пассивный готов взять на себя все функции активного узла в случае отказа активного узла. Когда происходит сбой, пассивный узел становится активным, а активный узел становится пассивным.

Предварительные требования

У вас есть оборудование, соответствующее требованиям для отказоустойчивого кластера.

Этапы

Развертывание программ "Лаборатории Касперского" состоит из следующих этапов:

1. Создание учетной записи для служб Kaspersky Security Center

   Создайте доменную группу (в этом сценарии для группы используется имя "KLAdmins") и предоставьте права локального администратора группе на обоих узлах и на файловом сервере. Затем создайте две учетные записи пользователей домена (в этом сценарии для этих учетных записей используются имена "ksc" и "rightless") и добавьте учетные записи в доменную группу KLAdmins.

   Добавьте учетную запись пользователя, под которой будет установлен Kaspersky Security Center, в ранее созданную доменную группу KLAdmins.

2. Подготовка файлового сервера

   Подготовьте файловый сервер к работе в составе отказоустойчивого кластера Kaspersky Security Center. Убедитесь, что файловый сервер соответствует аппаратным и программным требованиям, создайте две общие папки для данных Kaspersky Security Center и настройте права доступа к общим папкам.

   Инструкции: Подготовка файлового сервера для отказоустойчивого кластера Kaspersky Security Center.

3. Подготовка активного и пассивного узлов

   Подготовьте два компьютера с идентичным аппаратным и программным обеспечением для работы в качестве активного и пассивного узлов.

   Инструкции: Подготовка узлов для отказоустойчивого кластера Kaspersky Security Center.

4. Установка системы управления базами данных (СУБД)

   Выберите любую из поддерживаемых СУБД и установите СУБД на выделенный компьютер. Сведения о том, как установить СУБД, см. в документации к ней.

5. Установка Kaspersky Security Center

   Установите Kaspersky Security Center в режиме отказоустойчивого кластера на оба узла. Сначала необходимо установить Kaspersky Security Center на активный узел, а затем установить его на пассивный.

   Также вы можете установить Kaspersky Security Center Web Console на отдельном устройстве, не являющемся узлом кластера.

   Инструкции: Установка Kaspersky Security Center на узлы отказоустойчивого кластера Kaspersky Security Center.

6. Тестирование отказоустойчивого кластера

   Убедитесь, что вы правильно настроили отказоустойчивый кластер и правильно ли он работает. Например, вы можете остановить одну из служб Kaspersky Security Center на активном узле: kladminserver, klnagent, ksnproxy, klactprx или klwebsrv. После остановки службы управление защитой должно быть автоматически переключено на пассивный узел.

Результаты

Отказоустойчивый кластер Kaspersky Security Center развернут. Пожалуйста, ознакомьтесь с событиями, которые приводят к переключению между активными и пассивными узлами.

Об отказоустойчивом кластере Kaspersky Security Center

Отказоустойчивый кластер Kaspersky Security Center обеспечивает высокую доступность Kaspersky Security Center и минимизирует простои Сервера администрирования в случае сбоя. Отказоустойчивый кластер основан на двух идентичных экземплярах Kaspersky Security Center, установленных на двух компьютерах. Один из экземпляров работает как активный узел, а другой – как пассивный. Активный узел управляет защитой клиентских устройств, в то время как пассивный готов взять на себя все функции активного узла в случае отказа активного узла. Когда происходит сбой, пассивный узел становится активным, а активный узел становится пассивным.

Аппаратные и программные требования

Для развертывания отказоустойчивого кластера Kaspersky Security Center у вас должно быть следующее оборудование:

• Два компьютера с одинаковым оборудованием и программным обеспечением. Эти компьютеры будут действовать как активный и пассивный узлы.
• Файловый сервер, поддерживающий протокол CIFS/SMB версии 2.0 или выше. Вы должны предоставить выделенный компьютер, который будет выступать в качестве файлового сервера.

  Убедитесь, что вы обеспечили высокую пропускную способность сети между файловым сервером, активным и пассивным узлами.

• Компьютер с системой управления базами данных (СУБД).

Схемы развертывания

Вы можете выбрать одну из следующих схем развертывания отказоустойчивого кластера Kaspersky Security Center:

• Схема, в которой используется дополнительный сетевой адаптер.
• Схема, в которой используется сторонняя балансировка нагрузки.

  

  Схема, в которой используется дополнительный сетевой адаптер

Условные обозначения схемы:

Сервер администрирования передает данные в базу данных. Откройте необходимые порты на устройстве, на котором расположена база данных, например порт 3306 для MySQL Server или порт 1433 для Microsoft SQL Server. Подробную информацию см. в документации СУБД.

На управляемых устройствах откройте следующие порты: TCP 13000, UDP 13000 и TCP 17000.

Схема, в которой используется сторонняя балансировка нагрузки

Условные обозначения схемы:

На сервере устройства балансировки нагрузки откройте все порты Сервера администрирования: TCP 13000, UDP 13000, TCP 13291, TCP 13299 и TCP 17000.

На управляемых устройствах откройте следующие порты: TCP 13000, UDP 13000 и TCP 17000.

Сервер администрирования передает данные в базу данных. Откройте необходимые порты на устройстве, на котором расположена база данных, например порт 3306 для MySQL Server или порт 1433 для Microsoft SQL Server. Подробную информацию см. в документации СУБД.

Условия переключения

Отказоустойчивый кластер переключает управление защитой клиентских устройств с активного узла на пассивный, если на активном узле происходит любое из следующих событий:

• Активный узел сломан из-за программного или аппаратного сбоя.
• Активный узел был временно остановлен для проведения технических работ.
• По крайней мере, одна из служб (или процессов) Kaspersky Security Center завершилась с ошибкой или была намеренно остановлена пользователем. К службам Kaspersky Security Center относятся: kladminserver, klnagent, klactprx и klwebsrv.
• Сетевое соединение между активным узлом и хранилищем на файловом сервере было прервано или разорвано.

Подготовка файлового сервера для отказоустойчивого кластера Kaspersky Security Center

Файловый сервер работает как обязательный компонент отказоустойчивого кластера Kaspersky Security Center.

Чтобы подготовить файловый сервер:

1. Убедитесь, что файловый сервер соответствует аппаратным и программным требованиям.
2. Убедитесь, что либо файловый сервер и оба узла (активный и пассивный) включены в один домен, либо файловый сервер является контроллером домена.
3. На файловом сервере создайте две общие папки. Один из них используется для хранения информации о состоянии отказоустойчивого кластера. Другая используется для хранения данных и параметров Kaspersky Security Center. Вам нужно будет указать пути к общим папкам при установке Kaspersky Security Center.
4. Предоставьте права полного доступа (как права общего доступа, так и NTFS-разрешения) к созданным общим папкам для следующих учетных записей пользователей и групп:
   • Доменная группа KLAdmins.
   • Учетные записи пользователей $<node1> и $<node2>. Здесь <node1> и <node2> – это имена компьютеров активного и пассивного узлов.

Файловый сервер подготовлен. Чтобы развернуть отказоустойчивый кластер Kaspersky Security Center, следуйте инструкциям этого сценария.

Подготовка узлов для отказоустойчивого кластера Kaspersky Security Center

Подготовьте два компьютера к работе в качестве активного и пассивного узла для отказоустойчивого кластера Kaspersky Security Center.

Чтобы подготовить узлы для отказоустойчивого кластера Kaspersky Security Center:

1. Убедитесь, что у вас есть два компьютера, соответствующих аппаратным и программным требованиям. Эти компьютеры будут действовать как активные и пассивные узлы отказоустойчивого кластера.
2. Убедитесь, что файловый сервер и оба узла включены в один домен.
3. Выполните одно из следующих действий:
   • На каждом из узлов настройте дополнительный сетевой адаптер.

     Дополнительный сетевой адаптер может быть физическим или виртуальным. Если вы хотите использовать физический сетевой адаптер, подключите и настройте его стандартными средствами операционной системы. Если вы хотите использовать виртуальный сетевой адаптер, создайте его с помощью программ сторонних производителей

     Убедитесь, что выполняются следующие условия:

     • Дополнительные сетевые адаптеры выключены.

       Вы можете создать дополнительные сетевые адаптеры в отключенном состоянии или отключить их после создания.

     • Дополнительные сетевые адаптеры на обоих узлах должны иметь одинаковый IP-адрес.
   • Используйте сторонний балансировщик нагрузки. Например, вы можете использовать сервер nginx. В этом случае сделайте следующее:
     1. Предоставьте выделенный компьютер с операционной системой Linux с установленным nginx.
     2. Настройте балансировку нагрузки. Установите активный узел в качестве основного сервера и пассивный узел в качестве резервного сервера.
     3. На сервере nginx откройте все порты Сервера администрирования: TCP 13000, UDP 13000, TCP 13291, TCP 13299 и TCP 17000.
4. Перезагрузите оба узла и файловый сервер.
5. Сопоставьте две общие папки, которые вы создали во время этапа подготовки файлового сервера, к каждому из узлов. Вы должны сопоставить общие папки как сетевые диски. При сопоставлении папок вы можете выбрать любые свободные буквы дисков. Для доступа к общим папкам используйте учетные данные учетной записи пользователя, которую вы создали на шаге 1 сценария.

Узлы подготовлены. Чтобы развернуть отказоустойчивый кластер Kaspersky Security Center, следуйте инструкциям сценария.

Установка Kaspersky Security Center на узлы отказоустойчивого кластера Kaspersky Security Center

Kaspersky Security Center устанавливается на оба узла отказоустойчивого кластера Kaspersky Security Center по отдельности. Сначала вы устанавливаете программу на активный узел, затем на пассивный. Во время установки вы выбираете, какой узел будет активным, а какой пассивным.

Только пользователь из доменной группы KLAdmins может установить Kaspersky Security Center на каждый узел.

Чтобы установить Kaspersky Security Center на активный узел отказоустойчивого кластера Kaspersky Security Center:

1. Запустите исполняемый файл ksc_14.<номер сборки>_full_<язык локализации>.exe.

   Откроется окно с выбором программ "Лаборатории Касперского" для установки. В окне с выбором программ по ссылке Установка Сервера администрирования Kaspersky Security Center 14 запустите мастер установки Сервера администрирования. Следуйте далее указаниям мастера.

2. Внимательно прочитайте Лицензионное соглашение, которое заключается между вами и "Лабораторией Касперского", и Политику конфиденциальности. Если вы согласны со всеми пунктами Лицензионного соглашения и Политики конфиденциальности, в блоке Я подтверждаю, что полностью прочитал, понимаю и принимаю установите флажки:
   • Положения и условия настоящего Лицензионного соглашения
   • Политику конфиденциальности, которая описывает обработку данных

   Установка программы будет продолжена после установки обоих флажков.

   Если вы не согласны с Лицензионным соглашением или Политикой конфиденциальности, то отмените установку программы, нажав на кнопку Отмена.

3. Выберите Первичный узел отказоустойчивого кластера "Лаборатории Касперского", чтобы установить программу на активный узел.
4. В окне Общая папка выполните следующее:
   • В полях Общая папка состояний и Общая папка данных укажите пути к общим папкам, которые вы создали на файловом сервере во время его подготовки.
   • В полях Общая папка состояний диска и Общая папка данных диска выберите сетевые диски, к которым вы подключили общие папки во время подготовки узлов.
   • Выберите режим подключения кластера: через дополнительный сетевой адаптер или сторонний балансировщик нагрузки.
5. Выполните другие шаги выборочной установки, начиная с шага 3.

   На шаге 13 укажите IP-адрес дополнительного сетевого адаптера, если вы создали адаптер, во время подготовки узлов кластера. В противном случае введите IP-адрес стороннего балансировщика нагрузки, который вы используете.

Программа Kaspersky Security Center установлена на активном узле.

Чтобы установить Kaspersky Security Center на пассивный узел отказоустойчивого кластера Kaspersky Security Center:

1. Запустите исполняемый файл ksc_14.<номер сборки>_full_<язык локализации>.exe.

   Откроется окно с выбором программ "Лаборатории Касперского" для установки. В окне с выбором программ по ссылке Установка Сервера администрирования Kaspersky Security Center 14 запустите мастер установки Сервера администрирования. Следуйте далее указаниям мастера.

2. Внимательно прочитайте Лицензионное соглашение, которое заключается между вами и "Лабораторией Касперского", и Политику конфиденциальности. Если вы согласны со всеми пунктами Лицензионного соглашения и Политики конфиденциальности, в блоке Я подтверждаю, что полностью прочитал, понимаю и принимаю установите флажки:
   • Положения и условия настоящего Лицензионного соглашения
   • Политику конфиденциальности, которая описывает обработку данных

   Установка программы будет продолжена после установки обоих флажков.

   Если вы не согласны с Лицензионным соглашением или Политикой конфиденциальности, то отмените установку программы, нажав на кнопку Отмена.

3. Выберите Вторичный узел отказоустойчивого кластера "Лаборатории Касперского", чтобы установить программу на пассивный узел.
4. В окне Общая папка в поле Общая папка состояний укажите путь к общей папке с информацией о состоянии кластера, который вы создали на файловом сервере во время его подготовки.
5. Нажмите на кнопку Установить. После завершения установки нажмите на кнопку Готово.

Программа Kaspersky Security Center установлена на пассивный узел. Теперь вы можете протестировать отказоустойчивый кластер Kaspersky Security Center, чтобы убедиться, что вы корректно его настроили и кластер работает правильно.

Запуск и остановка узла кластера вручную

Вам может потребоваться остановить весь отказоустойчивый кластер Kaspersky Security Center или временно отключить один из узлов кластера для обслуживания. В этом случае следуйте инструкциям этого раздела. Не пытайтесь запускать или останавливать службы или процессы, связанные с отказоустойчивым кластером, с помощью других средств. Это может привести к потере данных.

Запуск и остановка всего отказоустойчивого кластера для обслуживания

Чтобы запустить или остановить весь отказоустойчивый кластер:

1. На активном узле перейдите в папку <Диск>:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Center.
2. Откройте командную строку и выполните одну из следующих команд:
   • Чтобы остановить кластер, выполните: klfoc -stopcluster --stp klfoc
   • Чтобы запустить кластер, выполните: klfoc -startcluster --stp klfoc

Отказоустойчивый кластер запускается или останавливается в зависимости от команды.

Обслуживание одного из узлов

Для обслуживания одного из узлов:

1. На активном узле остановите отказоустойчивый кластер с помощью команды klfoc -stopcluster --stp klfoc.
2. На узле, который вы хотите обслуживать, перейдите в папку <Диск>:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Center.
3. Откройте командную строку и отключите узел от кластера, выполнив команду detach_node.cmd.
4. На активном узле запустите отказоустойчивый кластер с помощью команды klfoc -startcluster --stp klfoc.
5. Выполните работы по техническому обслуживанию.
6. На активном узле остановите отказоустойчивый кластер с помощью команды klfoc -stopcluster --stp klfoc.
7. На обслуживаемом узле перейдите в папку <Диск>:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Center.
8. Откройте командную строку и подключите узел к кластеру, выполнив команду attach_node.cmd.
9. На активном узле запустите отказоустойчивый кластер с помощью команды klfoc -startcluster --stp klfoc.

Узел обслуживается и подключается к отказоустойчивому кластеру.

Установка Сервера администрирования на отказоустойчивом кластере Windows Server

Процедура установки Сервера администрирования на отказоустойчивом кластере отличается как от стандартной, так и от выборочной установки на автономном устройстве.

Выполните процедуру, описанную в этом разделе, на узле, который содержит общее хранилище данных кластера.

Чтобы установить Сервер администрирования Kaspersky Security Center на кластер,

запустите исполняемый файл ksc_<номер версии>.<номер сборки>_full_<язык локализации>.exe.

Откроется окно с выбором программ "Лаборатории Касперского" для установки. В окне с выбором программ по ссылке Установить Сервер администрирования Kaspersky Security Center 14 запустите мастер установки Сервера администрирования. Следуйте далее указаниям мастера.

Шаг 1. Просмотр Лицензионного соглашения и Политики конфиденциальности

На этом шаге мастера установки требуется ознакомиться с Лицензионным соглашением, которое заключается между вами и "Лабораторией Касперского", и Политикой конфиденциальности.

Вам также может быть предложено ознакомиться с Лицензионными соглашениями и Политиками конфиденциальности на доступные в дистрибутиве Kaspersky Security Center плагины управления программами.

Внимательно прочитайте Лицензионное соглашение, которое заключается между вами и "Лабораторией Касперского", и Политику конфиденциальности. Если вы согласны со всеми пунктами Лицензионного соглашения и Политики конфиденциальности, в блоке Я подтверждаю, что полностью прочитал, понимаю и принимаю установите флажки:

• Положения и условия настоящего Лицензионного соглашения
• Политику конфиденциальности, которая описывает обработку данных

Установка программы будет продолжена после установки обоих флажков.

Если вы не согласны с Лицензионным соглашением или Политикой конфиденциальности, то отмените установку программы, нажав на кнопку Отмена.

Шаг 2. Выбор типа установки на кластер

Выберите тип установки на кластере:

• Кластер (установить на всех узлах кластера)

  Рекомендуется выбрать этот параметр. Если вы выберете этот параметр, Сервер администрирования будет установлен на всех узлах кластера одновременно.

  На шаге выбора Консоли администрирования для установки требуется выбрать Консоль, которая будет установлена на текущем узле кластера. Если вы устанавливаете Консоль только на узле кластера, в случае сбоя узла вы потеряете доступ к Серверу администрирования. Рекомендуется на этом шаге выбрать Консоль администрирования на основе консоли Microsoft Management Console (MMC) для установки на все узлы кластера. После установки Сервера администрирования установите Kaspersky Security Center Web Console на отдельном устройстве, не являющемся узлом кластера. Это позволяет управлять Сервером администрирования с помощью Kaspersky Security Center Web Console в случае сбоя узла кластера.

• Локально (установить только на это устройство)

  Если вы выберете этот параметр, Сервер администрирования будет установлен только на текущем узле, как на автономном сервере, и Сервер администрирования не будет работать как кластерная программа. Например, вы можете выбрать этот параметр для экономии свободного пространства в общем хранилище, если отказоустойчивость не требуется для Сервера администрирования. В случае выхода из строя текущего узла вам придется установить Сервер администрирования на другой узел и восстановить состояние Сервера администрирования из резервной копии данных.

Дальнейшие действия такие же, как при использовании стандартного или выборочного способа установки, начиная с шага выбора способа установки.

Шаг 3. Указание имени виртуального Сервера администрирования

Укажите сетевое имя нового виртуального Сервера администрирования. Вы сможете использовать это имя для подключения Консоли администрирования или Kaspersky Security Center Web Console к Серверу администрирования.

Указанное имя должно отличаться от имени кластера.

Шаг 4. Указание параметров сети виртуального Сервера администрирования

Чтобы указать сетевые данные нового экземпляра виртуального Сервера администрирования:

1. В разделе Сеть для использования выберите сеть домена, к которой подключен текущий узел кластера.
2. Выполните одно из следующих действий:
   • Если DHCP используется в выбранной сети для назначения IP-адресов, выберите параметр Использовать DHCP.
   • Если DHCP не используется в выбранной сети, укажите требуемый IP-адрес.

     Указанный вами IP-адрес должен отличаться от IP-адреса кластера.

3. Нажмите на кнопку Добавить, чтобы применить указанные параметры.

Вы сможете использовать автоматически назначенный или указанный IP-адрес для подключения Консоли администрирования или Kaspersky Security Center Web Console к Серверу администрирования.

Шаг 5. Указание группы кластеров

Группа кластера – это особая роль отказоустойчивого кластера, которая содержит общие ресурсы для всех узлов. У вас есть два варианта:

• Создание новой кластерной группы.

  Этот вариант рекомендуется в большинстве случаев. Новая группа кластера будет содержать все общие ресурсы, относящиеся к экземпляру Сервера администрирования.

• Выбор существующей группы кластеров.

  Выберите этот параметр, если вы хотите использовать общий ресурс, который уже связан с существующей группой кластера. Например, вы можете использовать этот вариант, если хотите использовать хранилище, связанное с существующей группой кластера, и если нет другого доступного хранилища для новой группы кластера.

Шаг 6. Выбор кластерного хранилища данных

Чтобы выбрать кластерное хранилище данных:

1. В разделе Доступные хранилища выберите хранилище, в которое будут установлены общие ресурсы экземпляра виртуального Сервера администрирования.
2. Если выбранное хранилище данных содержит несколько томов, в разделе Доступные разделы на диске выберите нужный том.
3. В поле Путь установки введите путь к общему хранилищу данных, в который будут установлены ресурсы экземпляра виртуального Сервера администрирования.

Хранилище данных выбрано.

Шаг 7. Указание учетной записи для удаленной установки

Укажите имя пользователя и пароль, которые будут использоваться для удаленной установки экземпляра виртуального Сервера администрирования на пассивный узел кластера.

Для указанной вами учетной записи должны быть предоставлены права администратора на всех узлах кластера.

Шаг 8. Выбор компонентов для установки

Выберите компоненты Сервера администрирования Kaspersky Security Center, которые вы хотите установить:

• Управление мобильными устройствами. Установите этот флажок, если требуется создать инсталляционные пакеты для мобильных устройств во время работы мастера установки Kaspersky Security Center. Вы можете также создать инсталляционные пакеты для мобильных устройств вручную, после установки Сервера администрирования средствами Консоли администрирования.
• Агент SNMP. Получает статистическую информацию для Сервера администрирования по протоколу SNMP. Компонент доступен при установке программы на устройство с установленным компонентом SNMP.

  После установки Kaspersky Security Center необходимые для получения статистической информации mib-файлы будут расположены в папке установки программы во вложенной папке SNMP.

Компоненты Агент администрирования и Консоль администрирования не отображаются в списке компонентов. Эти компоненты устанавливаются автоматически, их установку отменить нельзя.

На этом шаге мастера также следует указать папку для установки компонентов Сервера администрирования. По умолчанию компоненты устанавливаются в папку <Диск>:\Program Files\Kaspersky Lab\Kaspersky Security Center. Если папки с таким названием нет, она будет создана автоматически в процессе установки. Вы можете изменить папку назначения с помощью кнопки Обзор.

Шаг 9. Выбор размера сети

Укажите размер сети, в которой устанавливается Kaspersky Security Center. В зависимости от количества устройств в сети мастер настраивает параметры установки и отображение интерфейса программы.

В таблице ниже перечислены параметры установки программы и отображения интерфейса при выборе разных размеров сети.

Зависимость параметров установки от выбора размеров сети

При подключении Сервера администрирования к серверу базы данных MySQL 5.7 и SQL Express не рекомендуется использовать программу для управления более чем 10 000 устройств. Для системы управления базами данных MariaDB максимальное рекомендуемое количество управляемых устройств составляет 20 000.

Шаг 10. Выбор базы данных

На этом шаге мастера выберите один из следующих вариантов, который будет использоваться для хранения системы управления базами данных (СУБД) Сервера администрирования:

• Microsoft SQL Server (SQL Server Express).
• MySQL. Выберите этот вариант, если вы хотите установить MySQL или MariaDB. Вы можете настроить любую из этих СУБД на следующем шаге мастера.

Рекомендуется устанавливать Сервер администрирования на выделенный сервер, а не на контроллер домена. Если вы устанавливаете Kaspersky Security Center на сервер, выполняющий роль контроллера домена только для чтения (RODC), Microsoft SQL Server (SQL Express) не должен быть установлен локально (на этом же устройстве). В этом случае рекомендуется установить Microsoft SQL Server (SQL Express) удаленно (на другое устройство) или использовать MySQL или MariaDB, если вам нужно установить СУБД локально.

Структура базы данных Сервера администрирования описана в файле klakdb.chm, который расположен в папке установки программы Kaspersky Security Center (этот файл в виде архива доступен на портале "Лаборатории Касперского": klakdb.zip).

Шаг 11. Настройка параметров SQL-сервера

На этом шаге мастера вы настраиваете SQL Server.

В зависимости от выбранной вами базы данных укажите следующие параметры:

• Если вы выбрали Microsoft SQL Server (SQL Server Express) на предыдущем шаге:
  • В поле Имя SQL-сервера укажите имя SQL-сервера, установленного в сети. При помощи кнопки Обзор вы можете открыть список всех SQL-серверов, установленных в сети. По умолчанию поле не заполнено.

    Если вы подключаетесь к SQL Server через пользовательский порт, то вместе с именем экземпляра SQL Server укажите через запятую номер порта, например:

    SQL_Server_host_name,1433

    Если вы защищаете соединение между Сервером администрирования и SQL Server с помощью сертификата, укажите в поле Имя SQL-сервера то же имя экземпляра, которое использовалось при создании сертификата. Если вы используете именованный экземпляр SQL Server, вместе с именем экземпляра SQL Server укажите через запятую номер порта, например:

    SQL_Server_name,1433

    Если вы используете несколько экземпляров SQL Server на одном устройстве, дополнительно укажите через обратную косую черту имя экземпляра, например:

    SQL_Server_name\SQL_Server_instance_name,1433

    Если для SQL Server в корпоративной сети включена функция Always On, укажите имя прослушивателя группы доступности в поле Имя SQL-сервера. Обратите внимание, что Сервер администрирования поддерживает только режим доступности с синхронной фиксацией, когда включена функция Always On.

  • В поле Имя базы данных задайте имя базы данных, которая была создана для размещения информации Сервера администрирования. По умолчанию указано значение KAV.

  Если на этом шаге вы хотите установить SQL-сервер на то устройство, с которого производите установку Kaspersky Security Center, нужно прервать установку и запустить ее снова после установки SQL-сервера. Поддерживаемые SQL-серверы перечислены в требованиях к системе.

  Если вы хотите установить SQL-сервер на удаленное устройство, прерывать работу мастера установки Kaspersky Security Center не требуется. Установите SQL Server и вернитесь к установке Kaspersky Security Center.

• Если вы выбрали MySQL на предыдущем шаге:
  • В поле Имя SQL-сервера укажите имя экземпляра SQL Server. По умолчанию используется IP-адрес устройства, на который устанавливается Kaspersky Security Center.
  • В поле Порт укажите порт для подключения Сервера администрирования к базе данных SQL-сервера. По умолчанию установлен порт 3306.

В поле Имя базы данных задайте имя базы данных, которая была создана для размещения информации Сервера администрирования. По умолчанию указано значение KAV.

Шаг 12. Выбор режима аутентификации

Определите режим аутентификации, который будет использоваться при подключении Сервера администрирования к SQL-серверу.

В зависимости от выбранной базы данных вы можете выбрать следующие режимы аутентификации:

• Для SQL Express или Microsoft SQL Server выберите один из следующих вариантов:
  • Режим аутентификации Microsoft Windows. В этом случае при проверке прав будет использоваться учетная запись для запуска Сервера администрирования.
  • Режим аутентификации SQL-сервера. В случае выбора этого варианта для проверки прав будет использоваться указанная в окне учетная запись. Заполните поля Учетная запись и Пароль.

    Чтобы посмотреть введенный пароль, нажмите на кнопку Показать и удерживайте ее необходимое вам время.

  Программа проверяет, доступна ли база данных для обоих режимов аутентификации. Если база данных недоступна, отображается сообщение об ошибке и вам нужно указать правильные учетные данные.

  Если база данных Сервера администрирования находится на другом устройстве и учетная запись Сервера администрирования не имеет доступа к серверу базы данных, то при установке или обновлении Сервера администрирования следует использовать режим аутентификации SQL-сервера. Это может происходить в случае, когда устройство с базой данных находится не в домене, или Сервер администрирования установлен под учетной записью LocalSystem.

Для MySQL Server или MariaDB Server укажите учетную запись и пароль.

Шаг 13. Выбор учетной записи для запуска Сервера администрирования

Выберите учетную запись, под которой Сервер администрирования будет запускаться как служба.

• Создать учетную запись автоматически. Программа создает локальную учетную запись KL-AK-*, под которой будет запускаться служба Сервера администрирования kladminserver.

  Вы можете выбрать этот вариант, если вы планируете разместить папку общего доступа и СУБД на том же устройстве, что и Сервер администрирования.

• Выбрать учетную запись. Служба Сервера администрирования (kladminserver) будет запускаться под выбранной вами учетной записью.

  Вам потребуется выбрать доменную учетную запись, например, если вы планируете использовать в качестве СУБД SQL-сервер любого выпуска, в том числе SQL-express, расположенный на другом устройстве, и/или если вы планируете разместить папку общего доступа на другом устройстве.

  Kaspersky Security Center поддерживает управляемые учетные записи службы (MSA) и групповые управляемые учетные записи службы (gMSA). Если такие учетные записи используются в вашем домене, вы можете выбрать одну из них в качестве учетной записи для службы Сервера администрирования.

  Прежде чем выбрать MSA или gMSA, необходимо установить учетную запись на том же устройстве, на котором вы хотите установить Сервер администрирования. Если учетная запись еще не установлена, отмените установку Сервера администрирования, установите учетную запись и перезапустите установку Сервера администрирования. Подробнее об установке управляемых учетных записей служб на локальном устройстве см. в официальной документации Microsoft.

  Чтобы указать MSA или gMSA:

  1. Нажмите на кнопку Обзор.
  2. В появившемся окне нажмите на кнопку Object type.
  3. Выберите тип Учетная запись для служб и нажмите на кнопку OK.
  4. Выберите нужную учетную запись и нажмите на кнопку OK.

Выбранная вами учетная запись должна обладать различными правами в зависимости от того, какую СУБД вы планируете использовать.

Из соображений безопасности не делайте учетную запись, под которой запускается Сервер администрирования, привилегированной.

Если в дальнейшем вы захотите изменить учетную запись Сервера администрирования, вы можете воспользоваться утилитой смены учетной записи Сервера администрирования (klsrvswch). Обратите внимание, что вам нужно запустить утилиту klsrvswch на устройстве Сервера администрирования под учетной записью с правами администратора, которая использовалась для установки Сервера администрирования.

Шаг 14. Выбор учетной записи для запуска служб Kaspersky Security Center

Выберите учетную запись, под которой будут запускаться службы Kaspersky Security Center на этом устройстве:

• Создать учетную запись автоматически. Kaspersky Security Center создает локальную учетную запись KlScSvc на этом устройстве в группе kladmins. Службы Kaspersky Security Center будут запускаться под созданной учетной записью.
• Выбрать учетную запись. Службы Kaspersky Security Center будут запускаться под выбранной вами учетной записью.

  Вам потребуется выбрать доменную учетную запись, например, если вы планируете сохранять отчеты в папке, расположенной на другом устройстве, или же если этого требует политика безопасности в вашей организации. Также вам может потребоваться выбрать доменную учетную запись при установке Сервера администрирования на отказоустойчивый кластер.

Из соображений безопасности не делайте учетную запись, под которой запускаются службы, привилегированной.

Под выбранной учетной записью будут запускаться службы прокси-сервера KSN (ksnproxy), прокси-сервера активации "Лаборатории Касперского" (klactprx) и портала авторизации "Лаборатории Касперского" (klwebsrv).

Шаг 15. Определение папки общего доступа

Определите место размещения и название папки общего доступа, которая будет использоваться для следующих целей:

• хранения файлов, необходимых для удаленной установки программ (файлы копируются на Сервер администрирования при создании инсталляционных пакетов);
• размещения обновлений, копируемых с источника обновлений на Сервер администрирования.

К этому ресурсу будет открыт общий доступ на чтение для всех пользователей.

Вы можете выбрать один из двух вариантов:

• Создать папку общего доступа. Создание новой папки. Укажите путь к папке в расположенном ниже поле.
• Выбрать существующую папку общего доступа. Выбор папки общего доступа из числа уже существующих.

Папка общего доступа может размещаться как локально на устройстве, с которого производится установка, так и удаленно, на любом из клиентских устройств, входящих в состав сети организации. Вы можете указать папку общего доступа с помощью кнопки Обзор или вручную, введя в соответствующем поле UNC-путь (например, \\server\Share).

По умолчанию создается локальная папка Share в папке, заданной для установки программных компонентов Kaspersky Security Center.

Вы можете определить общую папку позже, если нужно.

Шаг 16. Настройка параметров подключения к Серверу администрирования

Развернуть все | Свернуть все

Настройте параметры подключения к Серверу администрирования:

• Порт

  Номер порта, по которому выполняется подключение к Серверу администрирования.

  По умолчанию установлен порт 14000.

• SSL-порт

  Номер SSL-порта, по которому осуществляется защищенное подключение к Серверу администрирования с использованием протокола SSL.

  По умолчанию установлен порт 13000.

• Длина ключа шифрования

  Выберите длину ключа шифрования: 1024 бита или 2048 бит.

  Ключ шифрования длиной 1024 бита оказывает меньшую нагрузку на процессор, но считается устаревшим и по техническим характеристикам может не обеспечивать надежное шифрование. Также есть вероятность, что имеющееся оборудование несовместимо с SSL-сертификатами с длиной ключа 1024 бита.

  Ключ шифрования длиной 2048 бит отвечает современным стандартам шифрования. Однако использование 2048-битного ключа шифрования может привести к дополнительной нагрузке на процессор.

  По умолчанию выбран вариант 2048 бит (большая безопасность).

Также можно изменить параметры подключения к Серверу администрирования позже:

• Вы можете изменить порт и номера SSL-портов в разделе Порты подключения в свойствах Сервера администрирования. Дополнительную информацию о портах для подключения к Серверу администрирования см. в разделе Порты, используемые Kaspersky Security Center.
• Вы можете изменить длину ключа шифрования при замене сертификата Сервера администрирования утилитой klsetsrvcert с помощью параметра -o RsaKeyLen:<длина ключа>.

Шаг 17. Задание адреса Сервера администрирования

Задайте адрес Сервера администрирования. Вы можете выбрать один из следующих вариантов:

• Имя DNS-домена. Этот способ используется в том случае, когда в сети присутствует DNS-сервер, и клиентские устройства могут получить с его помощью адрес Сервера администрирования.
• NetBIOS-имя. Этот способ используется, если клиентские устройства получают адрес Сервера администрирования с помощью протокола NetBIOS, или в сети присутствует WINS-сервер.
• IP-адрес. Этот способ используется, если Сервер администрирования имеет статический IP-адрес, который в дальнейшем не будет изменяться.

Шаг 18. Адрес Сервера для подключения мобильных устройств

Этот шаг мастера установки доступен, если вы выбрали для установки компонент Управление мобильными устройствами.

В окне Адрес для подключения мобильных устройств укажите внешний адрес Сервера администрирования для подключения мобильных устройств, которые находятся за пределами локальной сети. Вы можете указать IP-адрес или DNS (Domain Name System) Сервера администрирования.

Шаг 19. Распаковка и установка файлов на жесткий диск

По окончании настройки параметров установки компонентов Kaspersky Security Center вы можете запустить установку файлов на жесткий диск.

Если для запуска установки требуются дополнительные программы, мастер установки сообщит об этом перед началом установки Kaspersky Security Center в окне Установка обязательных компонентов. Необходимые программы будут установлены автоматически после нажатия на кнопку Далее.

На последней странице можно выбрать, какую консоль требуется запустить для работы с Kaspersky Security Center:

• Запустить Консоль на основе MMC
• Запустить как Kaspersky Security Center Web Console

  Этот параметр доступен, только если на одном из предыдущих шагов вы выбрали установку Kaspersky Security Center Web Console.

Вы можете завершить работу мастера без запуска Kaspersky Security Center. Для этого нажмите на кнопку Готово. Работу с Kaspersky Security Center можно начать позже в любое время.

При первом запуске Консоли администрирования или Kaspersky Security Center Web Console вы можете выполнить первоначальную настройку программы.

Установка Сервера администрирования в тихом режиме

Сервер администрирования может быть установлен в тихом режиме, то есть без интерактивного ввода параметров установки.

Чтобы установить Сервер администрирования на локальном устройстве в тихом режиме:

1. Прочитайте Лицензионное соглашение. Используйте команду ниже, только если вы поняли и принимаете условия Лицензионного соглашения.
2. Прочитайте Политику конфиденциальности. Используйте команду ниже, только если вы понимаете и соглашаетесь с тем, что мои данные будут обрабатываться и передаваться (в том числе в третьи страны), как описано в Политике конфиденциальности.
3. Выполните команду

   setup.exe /s /v"DONT_USE_ANSWER_FILE=1 EULA=1 PRIVACYPOLICY=1 <setup_parameters>"

где setup_parameters – список параметров и их значений, отделенных друг от друга пробелом (PARAM1=PARAM1VAL PARAM2=PARAM2VAL). Файл setup.exe расположен в папке Server внутри дистрибутива Kaspersky Security Center.

Имена и возможные значения параметров, которые можно использовать при установке Сервера администрирования в тихом режиме, приведены в таблице ниже.

Параметры установки Сервера администрирования в тихом режиме

Подробно параметры установки Сервера администрирования описаны в разделе Выборочная установка.

Установка Консоли администрирования на рабочее место администратора

Вы можете установить Консоль администрирования отдельно на рабочее место администратора и управлять Сервером администрирования по сети с помощью этой Консоли.

Чтобы установить Консоль администрирования на рабочее место администратора:

1. Запустите исполняемый файл setup.exe.

   Откроется окно с выбором программ "Лаборатории Касперского" для установки.

2. В окне с выбором программ по ссылке Установить только Консоль администрирования Kaspersky Security Center 14 запустите мастер установки Консоли администрирования. Следуйте далее указаниям мастера.
3. Выберите папку назначения. По умолчанию это <Диск>:\Program Files\Kaspersky Lab\Kaspersky Security Center Console. Если такой папки нет, она будет создана автоматически в процессе установки. Вы можете изменить папку назначения с помощью кнопки Обзор.
4. В завершающем окне мастера установки нажмите на кнопку Запустить, чтобы начать процесс установки Консоли администрирования.

По окончании работы мастера Консоль администрирования будет установлена на рабочем месте администратора.

Чтобы установить Консоль администрирования на рабочее место администратора в тихом режиме:

1. Прочитайте Лицензионное соглашение. Используйте команду ниже, только если вы поняли и принимаете условия Лицензионного соглашения.
2. В папке Distrib\Console дистрибутива Kaspersky Security Center запустите файл setup.exe с помощью следующей команды:

   setup.exe /s /v"EULA=1"

   Если вы хотите установить все плагины управления из папки Distrib\Console\Plugins вместе с Консолью администрирования, выполните следующую команду:

   setup.exe /s /v"EULA=1" /pALL

   Если вы хотите указать, какие плагины управления устанавливать из папки Distrib\Console\Plugins вместе с Консолью администрирования, укажите плагины управления после ключа "/p" и разделите их точкой с запятой:

   setup.exe /s /v"EULA=1" /pP1;P2;P3

   Здесь P1, P2, P3 – имена плагинов управления, которые соответствуют именам папок плагинов управления в папке Distrib\Console\Plugins. Например:

   setup.exe /s /v"EULA=1" /pKES4Mac;KESS;MDM4IOS

Консоль администрирования и плагины управления (если они были указаны) будут установлены на рабочее место администратора.

После установки Консоли администрирования следует подключиться к Серверу администрирования. Для этого нужно запустить Консоль администрирования и в открывшемся окне указать имя устройства или IP-адрес устройства, на котором установлен Сервер администрирования, а также параметры учетной записи для подключения к нему. После установления соединения с Сервером администрирования можно управлять системой антивирусной защиты с помощью этой Консоли администрирования.

Вы можете удалить Консоль администрирования стандартными средствами установки и удаления программ Microsoft Windows.

Изменения в системе после установки Kaspersky Security Center

Значок Консоли администрирования

В результате установки Консоли администрирования на вашем устройстве появится значок для запуска Консоли администрирования. Вы можете найти Консоль администрирования в меню Пуск → Программы → Kaspersky Security Center.

Службы Сервера администрирования и Агента администрирования

Сервер администрирования и Агент администрирования будут установлены на устройстве в качестве служб со свойствами, указанными в таблице ниже. В таблице также указаны атрибуты других служб, которые выполняются на устройстве после установки Сервера администрирования.

Свойства служб Kaspersky Security Center

Если вы установите Kaspersky Security Center на узлах отказоустойчивого кластера Kaspersky Security Center, станет доступна служба klfocsvc_klfoc. Службы klnagent_klfoc and klfocsvc_klfoc запускаются под учетной записью локальной системы. Служба kladminserver_klfoc должна запускаться под учетной записью "ksc"; другие службы — под учетной записью "rightless". Учетные записи "ksc" и "rightless" необходимо добавить в группу KLAdmins с правами локального администратора. Для корректной работы Kaspersky Security Center необходимо использовать для запуска служб только учетные записи "ksc" и "rightless". Не рекомендуется использовать другие учетные записи с такими же правами. В таблице ниже приведены свойства служб, которые применяются на устройстве после установки Сервера администрирования на отказоустойчивом кластере Kaspersky Security Center.

Свойства служб Kaspersky Security Center, установленных на отказоустойчивом кластере Kaspersky Security Center

Службы Kaspersky Security Center Web Console

Если вы установите Kaspersky Security Center Web Console на устройство, то на нем будут выполняться следующие службы (см. таблицу ниже):

Службы Kaspersky Security Center Web Console

Серверная версия Агента администрирования

Вместе с Сервером администрирования на устройство будет установлена серверная версия Агента администрирования. Она входит в состав Сервера администрирования, устанавливается и удаляется в его составе и может взаимодействовать только с локально установленным Сервером администрирования. Настраивать параметры подключения Агента к Серверу администрирования не требуется: настройка реализована программно с учетом того, что компоненты установлены на одном устройстве. Серверная версия Агента администрирования устанавливается с теми же атрибутами и выполняет те же функции управления программами, что и стандартный Агент администрирования. На эту версию будет действовать политика группы администрирования, в которую включено клиентское устройство Сервера администрирования. Для серверной версии Агента администрирования создаются все задачи, предусмотренные для Агента администрирования, за исключением задачи смены Сервера.

Отдельная установка Агента администрирования на устройство с Сервером администрирования невозможна.

Вы можете просматривать свойства служб Сервера и Агента администрирования, а также следить за их работой при помощи стандартных средств администрирования Microsoft Windows: Управление компьютером\Службы. Информация о работе службы Сервера администрирования сохраняется в системном журнале Microsoft Windows на устройстве, где установлен Сервер администрирования, в отдельной ветви журнала событий Kaspersky Event Log.

Не рекомендуется вручную запускать и отключать службы и менять учетные записи в настройках служб. При необходимости вы можете поменять учетную запись службы Сервера администрирования с помощью утилиты klsrvswch. Обратите внимание, что вам нужно запустить утилиту klsrvswch на устройстве Сервера администрирования под учетной записью с правами администратора, которая использовалась для установки Сервера администрирования.

Учетные записи и группы безопасности

По умолчанию инсталлятор Сервера администрирования создает следующие учетные записи:

• KL-AK-*: учетная запись службы Сервера администрирования;
• KlScSvc: учетная запись для прочих служб из состава Сервера администрирования;
• KlPxeUser: учетная запись для развертывания операционных систем.

Если на этапе работы инсталлятора вы выбирали другие учетные записи для службы Сервера администрирования и прочих служб, то будут использованы указанные вами учетные записи.

На устройстве, где установлен Сервер администрирования, также автоматически создаются локальные группы безопасности KLAdmins и KLOperators, с их соответствующими наборами прав.

Не рекомендуется устанавливать Сервер администрирования на контроллере домена. Тем не менее, если вы устанавливаете Сервер администрирования на контроллер домена, то вы должны запустить программу установки с правами администратора домена. В этом случае программа установки автоматически создаст доменные группы безопасности KLAdmins и KLOperators. Если вы устанавливаете Сервер администрирования на устройство, которое не является контроллером домена, то вы должны запустить программу установки с правами локального администратора. В этом случае программа установки автоматически создаст локальные группы безопасности KLAdmins и KLOperators.

При настройке уведомлений по электронной почте вам может потребоваться завести учетную запись на почтовом сервере для ESMTP-аутентификации.

Удаление программы

Вы можете удалить Kaspersky Security Center стандартными средствами установки и удаления программ Microsoft Windows. Для удаления программы запускается мастер, в результате работы которого с устройства будут удалены все компоненты программы (включая плагины). Мастер откроет веб-страницу в вашем браузере, используемом по умолчанию, с опросом, в котором вы можете сообщить нам, почему вы решили прекратить использование Kaspersky Security Center. Если во время работы мастера вы не задали удаление папки общего доступа (Share), то после завершения всех связанных с ней задач вы можете удалить ее вручную.

После удаления программы в системной временной папке могут оставаться файлы.

Мастер удаления программы предложит вам сохранить резервную копию Сервера администрирования.

При удалении программы с операционных систем Microsoft Windows 7 и Microsoft Windows 2008 возможно преждевременное завершение работы программы удаления. Чтобы избежать этого, отключите в операционной системе службу контроля учетных записей (UAC) и повторно запустите удаление программы.