Первоначальное развертывание

Если на устройстве уже установлен Агент администрирования, удаленная установка программ на такое устройство осуществляется с помощью самого Агента администрирования. При этом передача дистрибутива устанавливаемой программы вместе с заданными администратором инсталляционными параметрами осуществляется по каналам связи между Агентами администрирования и Сервером администрирования. Для передачи дистрибутива можно использовать промежуточные центры распространения в виде точек распространения, многоадресную рассылку и прочие средства. Подробные сведения об установке программ на управляемые устройства, на которых уже установлен Агент администрирования, см. далее в этом разделе.

Первоначальную установку Агента администрирования на устройства на платформе Microsoft Windows можно осуществлять следующими способами:

• С помощью сторонних средств удаленной установки программ.
• С помощью групповых политик Windows: использование стандартных средств управления Windows для групповых политик.
• Принудительно с помощью соответствующих параметров в задаче удаленной установки программ Kaspersky Security Center.
• Путем рассылки пользователям устройств ссылок на автономные пакеты, сформированные Kaspersky Security Center. Автономные пакеты представляют собой исполняемые модули, содержащие в себе дистрибутивы выбранных программ с настроенными параметрами.
• Вручную, запуская инсталляторы программ на устройствах.

На платформах, отличных от Microsoft Windows, первоначальную установку Агента администрирования на управляемых устройствах следует осуществлять имеющимися сторонними средствами либо вручную путем отправки пользователям архива с предварительно сконфигурированным дистрибутивом. Обновлять Агент администрирования до новой версии, а также устанавливать другие программы "Лаборатории Касперского" на этих платформах можно с помощью задач удаленной установки программ, используя уже имеющиеся на устройствах Агенты администрирования. Установка в этом случае происходит аналогично установке на платформе Microsoft Windows.

Выбирая способ и стратегию развертывания программ в управляемой сети, следует принимать во внимание ряд факторов (неполный список):

• конфигурацию сети организации;
• общего количества устройств;
• наличие доменов Windows в управляемой сети, возможность внесения изменений в групповые политики Active Directory в таких доменах;
• знание учетной записи (записей) с правами локального администратора на тех устройствах, где предстоит провести первоначальное развертывание программ "Лаборатории Касперского" (то есть доступность доменной учетной записи с правами локального администратора либо наличие унифицированных локальных учетных записей с административными правами на таких устройствах);
• характер связи и ширину сетевых каналов между Сервером администрирования и сетями MSP-клиентов и ширину сетевых каналов внутри этих сетей;
• используемые на момент начала развертывания параметры безопасности на удаленных устройствах (в частности, использование UAC и режима Simple File Sharing).

Настройка параметров инсталляторов

Прежде чем приступать к развертыванию в сети программ "Лаборатории Касперского", следует определить параметры инсталляции – те параметры, которые настраиваются в ходе установки программы. При установке Агента администрирования требуется задать, по крайней мере, адрес для подключения к Серверу администрирования, параметры proxy, а возможно, и некоторые дополнительные параметры. В зависимости от выбранного способа установки параметры можно задавать различными способами. В простейшем случае (при интерактивной установке вручную на выбранное устройство) необходимые параметры можно задать с помощью пользовательского интерфейса инсталлятора, так что в некоторых случаях первоначальное развертывание может даже осуществляться путем отправки пользователям ссылки на дистрибутив Агента администрирования с указанием параметров (адреса Сервера администрирования и тому подобное), которые пользователь должен будет ввести в интерфейсе инсталлятора.

Этот способ настройки параметров не рекомендуется к использованию на практике ввиду неудобства для пользователей и высокой вероятности ошибок при ручном задании ими параметров и не подходит для тихой установки программ на группы устройств. В типичном случае администратор должен централизованно указать значения параметров, которые в дальнейшем могут быть использованы для формирования автономных пакетов. Автономные пакеты являются самораспаковывающимися архивами дистрибутивов с заданными администратором параметрами. Автономные пакеты могут быть расположены на ресурсах, доступных для загрузки конечными пользователями (например, на Веб-сервере Kaspersky Security Center) и для тихой установки на выбранные устройства в сети.

Инсталляционные пакеты

Первый и основной способ настройки инсталляционных параметров приложений является универсальным и подходит для всех способов установки приложений: как средствами Kaspersky Security Center, так и с помощью большинства сторонних средств. Этот способ подразумевает создание в Kaspersky Security Center инсталляционных пакетов приложений.

Инсталляционные пакеты создаются следующими способами:

• автоматически из указанных дистрибутивов на основании входящих в их состав описателей (файлов с расширением kud, содержащих правила установки и анализа результата и другую информацию);
• из исполняемых файлов инсталляторов или инсталляторов в формате Microsoft Windows Installer (MSI) – для стандартных или поддерживаемых приложений.

Созданные инсталляционные пакеты представляют собой папки с вложенными подпапками и файлами. Помимо исходного дистрибутива, в состав инсталляционного пакета входят редактируемые параметры (включая параметры самого инсталлятора и правила обработки таких ситуаций, как необходимость перезагрузки операционной системы для завершения инсталляции), а также небольшие вспомогательные модули.

Значения параметров инсталляции, специфичные для конкретного поддерживаемого приложения, можно задавать в пользовательском интерфейсе Консоли администрирования при создании инсталляционного пакета (еще больше параметров для настройки может быть доступно в свойствах уже созданного инсталляционного пакета). В случае удаленной установки программ средствами Kaspersky Security Center инсталляционные пакеты доставляются на устройства таким образом, что при запуске инсталлятора программы ему становятся доступны все заданные администратором параметры. При использовании сторонних средств установки программ "Лаборатории Касперского" достаточно обеспечить доступность на устройстве всего инсталляционного пакета, то есть дистрибутива и его параметров. Инсталляционные пакеты создаются и хранятся Kaspersky Security Center в соответствующей папке каталога общих данных.

Не указывайте в параметрах инсталляционных пакетов данные привилегированных учетных записей.

О том, как именно можно воспользоваться этим способом настройки параметров для программ "Лаборатории Касперского" перед их развертыванием сторонними средствами, см. в разделе "Развертывание с помощью механизма групповых политик Microsoft Windows".

Сразу после установки Kaspersky Security Center автоматически создается несколько инсталляционных пакетов, готовых к установке, в том числе пакеты Агента администрирования и программы безопасности для платформы Microsoft Windows.

Использование инсталляционных пакетов для развертывания приложений в сети MSP-клиента в ряде случаев подразумевает необходимость создания инсталляционных пакетов на виртуальных Серверах, соответствующих MSP-клиентам. Создание инсталляционных пакетов на виртуальных Серверах позволяет использовать в инсталляционных пакетах для разных MSP-клиентов различные параметры инсталляции. В первую очередь это необходимо в инсталляционных пакетах Агента администрирования, так как Агенты администрирования, развернутые в сетях разных MSP-клиентов, используют различные адреса подключения к Серверу администрирования. Собственно, адрес подключения и определяет, к какому виртуальному Серверу подключается Агент администрирования.

Помимо наличия возможности создания новых инсталляционных пакетов непосредственно на виртуальном Сервере, основным режимом работы с инсталляционными пакетами на виртуальных Серверах является распространение инсталляционных пакетов главного Сервера на виртуальные. Распространять выбранные (или все) пакеты на выбранные виртуальные Серверы (в том числе все Серверы, входящие в выбранную группу администрирования) можно с помощью соответствующей задачи Сервера администрирования. Также при создании нового виртуального Сервера в мастере можно выбрать список инсталляционных пакетов главного Сервера. Выбранные пакеты будут сразу распространены на вновь созданный виртуальный Сервер.

При распространении инсталляционного пакета не происходит полного копирования его содержимого. В файловом хранилище, соответствующем распространенному инсталляционному пакету на виртуальном Сервере, хранятся только файлы параметров, специфичных для данного виртуального Сервера. Основная, неизменная часть инсталляционного пакета (включая сам дистрибутив устанавливаемого приложения) хранится только в хранилище главного Сервера. Это позволяет существенно повысить производительность системы и снизить объем требуемого дискового пространства. При работе с инсталляционными пакетами, распространенными на виртуальные Серверы (то есть при работе задач удаленной установки или при создании автономных инсталляционных пакетов) происходит "сложение" данных из исходного инсталляционного пакета главного Сервера и файлов с параметрами, соответствующих распространенному пакету на виртуальном Сервере.

Несмотря на то, что лицензионный ключ для программы можно задать в свойствах инсталляционного пакета, желательно не использовать этот способ распространения лицензий, так как файлы в папке можно прочитать, получив доступ случайно. Следует использовать автоматически распространяемые лицензионные ключи или задачи установки лицензионных ключей.

Свойства MSI и файлы трансформации

Другим способом настроить параметры инсталляции на платформе Windows является задание свойств MSI и файлов трансформации. Этот способ может быть использован при установке с помощью сторонних средств, ориентированных на работу с инсталляторами в формате Microsoft Installer, а также при установке через групповые политики Windows при помощи штатных средств Microsoft или иных сторонних инструментов для работы с групповыми политиками Windows.

Развертывание при помощи сторонних средств удаленной установки приложений

При наличии в организации каких-либо средств удаленной установки приложений (например, Microsoft System Center) целесообразно выполнять первоначальное развертывание при помощи этих средств.

Нужно выполнить следующие действия:

• Выбрать способ настройки параметров инсталляции, наиболее подходящий для используемого средства развертывания.
• Определить механизм синхронизации между изменением параметров инсталляционных пакетов через интерфейс Консоли администрирования и работой выбранных сторонних средств развертывания приложений из данных инсталляционных пакетов.

Общие сведения о задачах удаленной установки приложений Kaspersky Security Center

Kaspersky Security Center предоставляет разнообразные механизмы удаленной установки приложений, реализованные в виде задач удаленной установки приложений. Создать задачу удаленной установки можно как для указанной группы администрирования, так и для набора устройств или для выборки устройств (такие задачи отображаются в Консоли администрирования в папке Задачи). При создании задачи можно выбрать инсталляционные пакеты (Агента администрирования и / или другого приложения), подлежащие установке при помощи данной задачи, а также задать ряд параметров, определяющих способ удаленной установки.

Задачи для групп администрирования действуют не только на устройства, принадлежащие этой группе, но и на все устройства всех подгрупп выбранной группы. Если в параметрах задачи включен соответствующий параметр, задача распространяется на устройства подчиненных Серверов администрирования, расположенных в данной группе или ее подгруппах.

Задачи для наборов устройств актуализируют список клиентских устройств при каждом запуске в соответствии с составом выборки устройств на момент запуска задачи. Если в выборке устройств присутствуют устройства, подключенные к подчиненным Серверам администрирования, задача будет запускаться и на этих устройствах.

Для успешной работы задачи удаленной установки на устройствах, подключенных к подчиненным Серверам администрирования, следует при помощи задачи распространения предварительно распространить используемые задачей инсталляционные пакеты на соответствующие подчиненные Серверы администрирования.

Развертывание с помощью механизма групповых политик Microsoft Windows

Первоначальное развертывание Агентов администрирования рекомендуется осуществлять с помощью групповых политик Microsoft Windows при выполнении следующих условий:

• устройства являются членами домена Active Directory;
• разрешен доступ к контроллеру домена с правами администратора, позволяющими создавать и модифицировать групповые политики Active Directory;
• имеется возможность переноса настроенных инсталляционных пакетов в сеть управляемых устройств (в папку общего доступа, доступную на чтение для всех устройств);
• план развертывания позволяет дождаться штатной перезагрузки устройств до начала развертывания на них Агентов администрирования, или к устройствам можно принудительно применить групповую политику Windows.

Суть данного способа развертывания заключается в следующем:

• Дистрибутив приложения в формате Microsoft Installer (MSI-пакет) размещается в папке общего доступа (в папке, к которой имеют доступ на чтение учетные записи LocalSystem устройств).
• В групповой политике Active Directory создается объект установки данного дистрибутива.
• Область действия установки задается привязкой к организационному подразделению и / или к группе безопасности, в которую входят устройства.
• При очередном входе устройства в домен (до входа в систему пользователей устройства) выполняется проверка наличия требуемого приложения среди установленных приложений. Если приложение отсутствует, происходит загрузка дистрибутива с заданного в политике ресурса и его установка.

Одним из преимуществ этого способа развертывания является то, что назначенные приложения устанавливаются на устройства при загрузке операционной системы еще до входа пользователя в систему. Даже если пользователь, имеющий необходимые права, удалит приложение, при следующей загрузке операционной системы оно будет установлено снова. Недостатком этого способа развертывания является то, что произведенные администратором изменения в групповой политике не вступят в силу до перезагрузки устройств (без применения дополнительных средств).

С помощью групповых политик можно устанавливать как Агент администрирования, так и другие приложения, инсталляторы которых имеют формат Windows Installer.

Установка Агента администрирования из пакета MSI возможна только в тихом режиме. Интерактивная установка Агента из пакета MSI не поддерживается.

При выборе этого способа развертывания, помимо прочего, необходимо оценить нагрузку на файловый ресурс, с которого будет осуществляться копирование файлов на устройства при применении групповой политики Windows. Вам также необходимо выбрать способ доставки настроенного инсталляционного пакета на этот ресурс и метод синхронизации соответствующих изменений в параметрах инсталляционного пакета.

Работа с политиками Microsoft Windows с помощью задачи удаленной установки приложений Kaspersky Security Center

Данный способ развертывания возможен только в том случае, если доступ к контроллеру домена, в который входят устройства, возможен с устройства, где установлен Сервер администрирования, а с устройств доступна для чтения папка общего доступа Сервера администрирования (в которой расположены инсталляционные пакеты). Поэтому данный способ развертывания не рассматривается в контексте MSP.

Самостоятельная установка приложений с помощью политик Microsoft Windows

Администратор может самостоятельно создать в групповой политике Windows объекты, необходимые для установки. В этом случае нужно выложить пакеты на отдельный файловый сервер и сослаться на них.

Возможны следующие сценарии установки:

• Администратор создает инсталляционный пакет и настраивает его свойства в Консоли администрирования. Затем администратор копирует целиком подпапку EXEC этого пакета из папки общего доступа Kaspersky Security Center в папку на специализированном файловом ресурсе организации. Объект групповой политики ссылается MSI-файл этого пакета, лежащего в подпапке на специализированном файловом ресурсе организации.
• Администратор загружает дистрибутив приложения (в том числе дистрибутив Агента администрирования) из интернета и выкладывает его на специализированный файловый ресурс организации. Объект групповой политики ссылается MSI-файл этого пакета, лежащего в подпапке на специализированном файловом ресурсе организации. Настройка параметров инсталляции осуществляется путем настройки свойств MSI или настройкой файлов трансформации MST.

Принудительное развертывание с помощью задачи удаленной установки приложений Kaspersky Security Center

Чтобы выполнить первоначальное развертывание Агента администрирования или других программ, вы можете принудительно установить выбранные инсталляционные пакеты с помощью задачи удаленной установки Kaspersky Security Center при условии, что на каждом устройстве есть учетные записи пользователей с правами локального администратора.

Принудительная установка может быть использована и в случае, если устройства не доступны Серверу администрирования непосредственно: например, устройства расположены в изолированных сетях, или устройства расположены в локальной сети, а Сервер администрирования – в демилитаризованной зоне.

В случае первоначального развертывания Агент администрирования не устанавливается. Поэтому в параметрах задачи удаленной установки нельзя выбрать распространение файлов, необходимых для установки программы с помощью Агента администрирования. Вы можете распространять файлы, только используя ресурсы операционной системы с помощью Сервера администрирования или точки распространения.

Служба Сервера администрирования должна запускаться под учетной записью, имеющей права администратора на целевых устройствах. Также вы можете указать учетную запись, имеющую доступ к административным ресурсам общего доступа admin$, в параметрах задачи удаленной установки.

По умолчанию задача удаленной установки подключается к устройствам, используя учетные данные учетной записи, под которой запущен Сервер администрирования. Обратите внимание, что это учетная запись, используемая для доступа к административным ресурсам общего доступа admin$, а не учетная запись, под которой выполняется задача удаленной установки. Установка выполняется под учетной записью LocalSystem.

Вы можете указать целевые устройства явно (списком), выбрав группу администрирования Kaspersky Security Center, которой они принадлежат, либо созданием выборки устройств по определенному условию. Время запуска установки определяется расписанием задачи. Если в свойствах задачи включен параметр Запускать пропущенные задачи, задача может запускаться сразу при включении устройств или при переносе их в целевую группу администрирования.

Принудительная установка осуществляется путем доставки инсталляционных пакетов на целевые устройства, последующего копирования файлов на административный ресурс admin$ каждого из устройств и удаленной регистрации на них вспомогательных служб. Доставка инсталляционных пакетов на целевые устройства выполняется с помощью функции Kaspersky Security Center, отвечающей за сетевое взаимодействие. При этом должны выполняться следующие условия:

• Целевые устройства доступны со стороны Сервера администрирования или со стороны точки распространения.
• В сети корректно работает разрешение имен для устройств.
• На целевых устройствах включены административные ресурсы общего доступа admin$.
• На целевых устройствах запущены следующие системные службы:
  • Сервер (LanmanServer).

    По умолчанию эта служба запущена.

  • DCOM Server Process Launcher (DcomLaunch).
  • RPC Endpoint Mapper (RpcEptMapper).
  • Вызов удаленной процедуры (Remote Procedure Call, RpcSs).
• TCP-порт 445 открыт на целевых устройствах для обеспечения удаленного доступа с помощью инструментов Windows.

  TCP 139, UDP 137 и UDP 138 используются старыми протоколами и больше не нужны для текущих программ.

  На сетевом экране должны быть разрешены динамические исходящие порты доступа для соединения Сервера администрирования и точек распространения с целевыми устройствами.

• В параметрах безопасности политики домена Active Directory разрешено обеспечивать работу NTLM-протокола при развертывании Агента администрирования.
• На целевых устройствах под управлением Microsoft Windows XP режим Simple File Sharing выключен.
• На целевых устройствах настроена модель совместного доступа и безопасности Классическая – локальные пользователи выполняют аутентификацию самих себя. Такая модель не может быть Только гостевой – локальные пользователи выполняют аутентификацию как Гость.
• Устройства являются членами домена, либо на устройствах заблаговременно созданы унифицированные учетные записи с административными правами.

Чтобы успешно развернуть Агент администрирования или другие программы на устройстве, не подключенном к домену Active Directory с версией операционной системы Windows Server 2003 и выше, необходимо выключить удаленный UAC на этом устройстве. Удаленный UAC – это одна из причин, по которой учетные записи локальных администраторов не могут получить доступ к admin$, который требуется для принудительного развертывания Агента администрирования и других программ. Выключение удаленного UAC не влияет на локальный UAC.

При установке на новые устройства, еще не размещенные в группах администрирования Kaspersky Security Center, в свойствах задачи удаленной установки можно задать группу администрирования, в которую устройства будут перемещаться по завершении установки на них Агента администрирования.

При создании групповой задачи необходимо помнить, что групповая задача действует на устройства всех вложенных подгрупп выбранной группы. Поэтому не следует дублировать задачи установки в подгруппах.

Упрощенным способом создания задач для принудительной установки программ является автоматическая установка. Для этого в свойствах группы администрирования вам нужно открыть список инсталляционных пакетов и выбрать те пакеты, которые должны быть установлены на устройствах этой группы. В результате на всех устройствах этой группы и ее подгрупп будут автоматически установлены выбранные инсталляционные пакеты. Период, в течение которого будут установлены пакеты, зависит от пропускной способности сети и общего количества устройств в сети.

Чтобы снизить нагрузку на Сервер администрирования при распространении инсталляционных пакетов на целевые устройства, вы можете выбрать установку с помощью точек распространения в задаче установки. Следует учитывать, что данный способ установки создает значительную нагрузку на устройства, назначенные точками распространения. Рекомендуется выбирать устройства, соответствующие требованиям для точек распространения. Если вы используете точки распространения, вам нужно убедиться, что они присутствуют в каждой из изолированных подсетей, на которых размещены целевые устройства.

Использование точек распространения в качестве локальных центров установки может быть удобно и для установки на устройства в подсетях, соединенных с Сервером администрирования узким каналом связи при наличии широкого канала связи между устройствами внутри подсети.

Объем свободного места в разделе с папкой %ALLUSERSPROFILE%\Application Data\KasperskyLab\adminkit должен многократно превосходить суммарный объем дистрибутивов устанавливаемых программ.

Запуск автономных пакетов, сформированных Kaspersky Security Center

Описанные выше способы первоначального развертывания Агента администрирования и приложений могут быть реализованы не всегда из-за невозможности выполнить все необходимые условия. В таких случаях из подготовленных администратором инсталляционных пакетов с необходимыми параметрами установки средствами Kaspersky Security Center можно создать единый исполняемый файл, который называется автономным пакетом установки. Автономный инсталляционный пакет может быть опубликован как на внутреннем Веб-сервере (входящем в состав Kaspersky Security Center), если это имеет смысл (настроен доступ к этому Веб-серверу извне для пользователей устройств), так и на специально развернутом Веб-сервере, входящем в состав Kaspersky Security Center 14 Web Console. Также можно скопировать автономные пакеты на другой Веб-сервер.

При помощи Kaspersky Security Center можно разослать по электронной почте выбранным пользователям ссылку на файл автономного пакета на используемом Веб-сервере с просьбой запустить файл (интерактивно или с ключом тихой установки "-s"). Автономный инсталляционный пакет можно прикрепить к сообщению электронной почты для пользователей устройств, не имеющих доступа к Веб-серверу. Администратор может также скопировать автономный пакет на внешнее устройство и доставить пакет на нужное устройство с целью его последующего запуска.

Автономный пакет можно создать из пакета Агента администрирования, пакета другого приложения (например, программы безопасности) или сразу из обоих пакетов. Если автономный пакет создан из Агента администрирования и другого приложения, установка начнется с Агента администрирования.

При создании автономного пакета с Агентом администрирования можно указать группу администрирования, в которую будут автоматически перемещаться новые устройства (ранее не размещенные в группах администрирования) по завершении установки на них Агента администрирования.

Автономные пакеты могут работать интерактивно (по умолчанию), с отображением результата установки входящих в них приложений, или в тихом режиме (при запуске с ключом "-s"). Тихий режим может быть использован для установки из каких-либо скриптов (например, из скриптов, настраиваемых для запуска по завершении развертывания образа операционной системы, и тому подобное). Результат установки в тихом режиме определяется кодом возврата процесса.

Возможности ручной установки приложений

Администраторы или опытные пользователи могут устанавливать приложения вручную в интерактивном режиме. При этом можно использовать как исходные дистрибутивы, так и сформированные из них инсталляционные пакеты, расположенные в папке общего доступа Kaspersky Security Center. Инсталляторы по умолчанию работают в интерактивном режиме, запрашивая у пользователя все необходимые значения параметров. Но при запуске процесса setup.exe из корня инсталляционного пакета с ключом "-s" инсталлятор будет работать в тихом режиме с параметрами, заданными при настройке инсталляционного пакета.

При запуске setup.exe из корня инсталляционного пакета сначала произойдет копирование пакета во временную локальную папку, затем из локальной папки будет запущен инсталлятор приложения.

Создание MST-файла

Чтобы преобразовать содержимое пакета MSI и применить пользовательские параметры к существующему файлу MSI, необходимо создать файл преобразования в формате MST. Для этого используйте редактор Orca.exe, входящий в состав Windows SDK.

Чтобы создать MST-файл:

1. Запустите редактор Orca.exe.
2. Перейдите на вкладку File и в меню нажмите Open.
3. Выберите файл Kaspersky Network Agent.msi.
4. Перейдите на вкладку Transformation и в меню выберите New transformation.
5. В столбце Таблицы выберите Свойство и укажите следующие значения:
   • EULA=1
   • SERVERADDRESS=<Адрес Сервера администрирования>

   Нажмите на кнопку Сохранить.

6. Перейдите на вкладку Transform и в меню выберите Generate Transform.
7. В открывшемся окне укажите имя создаваемого файла трансформации и нажмите на кнопку Сохранить.

MST-файл сохранен.