Лучшие практики развертывания

Kaspersky Security Center является распределенной программой. В состав Kaspersky Security Center входят следующие программы:

• Сервер администрирования – центральный компонент, ответственный за управление устройствами организации и хранение данных в СУБД.
• Консоль администрирования – основной инструмент администратора. Консоль администрирования поставляется вместе с Сервером администрирования, но может быть также установлена отдельно на одно или несколько устройств администратора.
• Агент администрирования – служит для управления установленной на устройстве программой безопасности, а также для получения информации об устройстве и передаче этой информации на Сервер администрирования. Агенты администрирования устанавливаются на устройства организации.

Развертывание Kaspersky Security Center в сети организации осуществляется следующим образом:

• установка Сервера администрирования;
• установка Консоли администрирования на устройстве администратора;
• установка Агента администрирования и программы безопасности на устройства организации.

Подготовка к развертыванию

В этом разделе описаны шаги, которые вам нужно выполнить перед развертыванием Kaspersky Security Center.

Планирование развертывания Kaspersky Security Center

Этот раздел содержит информацию об оптимальных вариантах развертывания компонентов Kaspersky Security Center в сети организации в зависимости от следующих критериев:

• общего количества устройств;
• наличия организационно или географически обособленных подразделений (офисов, филиалов);
• наличия обособленных сетей, связанных узкими каналами;
• необходимости доступа к Серверу администрирования из интернета.

Типовые способы развертывания системы защиты

В этом разделе описаны типовые способы развертывания системы защиты в сети организации с помощью Kaspersky Security Center.

Необходимо обеспечить защиту системы от несанкционированного доступа всех видов. Перед установкой программы на устройство рекомендуется установить все доступные обновления безопасности для операционной системы и обеспечить физическую защиту Серверов администрирования и точек распространения.

Вы можете развернуть систему защиты в сети организации с помощью Kaspersky Security Center, используя следующие схемы развертывания:

• Развертывание системы защиты средствами Kaspersky Security Center одним из следующих способов:
  • через Консоль администрирования;
  • через Kaspersky Security Center Web Console.

  Установка программ "Лаборатории Касперского" на клиентские устройства и подключение клиентских устройств к Серверу администрирования происходит автоматически с помощью Kaspersky Security Center.

  Основной схемой развертывания является развертывание системы защиты через Консоль администрирования. Использование Kaspersky Security Center Web Console позволяет запускать установку программ "Лаборатории Касперского" через браузер.

• Развертывание системы защиты вручную с помощью автономных инсталляционных пакетов, сформированных в Kaspersky Security Center.

  Установка программ "Лаборатории Касперского" на клиентские устройства и рабочее место администратора производится вручную, параметры подключения клиентских устройств к Серверу администрирования задаются при установке Агента администрирования.

  Этот вариант развертывания рекомендуется применять в случаях, когда невозможно провести удаленную установку.

Kaspersky Security Center также позволяет разворачивать систему защиты с помощью групповых политик Active Directory.

О планировании развертывания Kaspersky Security Center в сети организации

Один Сервер администрирования может обслуживать не более чем 100 000 устройств. Если общее количество устройств в сети организации превышает 100 000, следует разместить в сети организации несколько Серверов администрирования, объединенных в иерархию для удобства централизованного управления.

Если в составе организации есть крупные географически удаленные офисы (филиалы) с собственными администраторами, целесообразно разместить в этих офисах Серверы администрирования. В ином случае такие офисы следует рассматривать как обособленные сети, связанные узкими каналами, см. раздел "Типовая конфигурация: несколько крупных офисов с собственными администраторами".

При наличии обособленных сетей, связанных узкими каналами, в целях экономии трафика в таких сетях следует назначить один или несколько Агентов администрирования точками распространения (см. таблицу для расчета количества точек распространения). В этом случае все устройства обособленной сети будут получать обновления с таких "локальных центров обновлений". Точки распространения могут загружать обновления как с Сервера администрирования (поведение по умолчанию), так и с размещенных в интернете серверов "Лаборатории Касперского", см. раздел "Типовая конфигурация: множество небольших изолированных офисов".

В разделе "Типовые конфигурации Kaspersky Security Center" приведены подробные описания типовых конфигураций Kaspersky Security Center. При планировании развертывания следует, в зависимости от структуры организации, выбрать наиболее подходящую типовую конфигурацию.

На этапе планирования развертывания следует рассмотреть необходимость задания Серверу администрирования специального сертификата X.509. Задание сертификата X.509 для Сервера администрирования может быть целесообразно в следующих случаях (неполный список):

• для инспекции SSL трафика посредством SSL termination proxy или для использования Reverse Proxy;
• для интеграции с инфраструктурой открытых ключей (PKI) организации;
• для задания желательных значений полей сертификата;
• для обеспечения желаемой криптографической стойкости сертификата.

Выбор структуры защиты организации

Выбор структуры защиты организации определяют следующие факторы:

• Топология сети организации.
• Организационная структура.
• Число сотрудников, отвечающих за защиту сети, и распределение обязанностей между ними.
• Аппаратные ресурсы, которые могут быть выделены для установки компонентов управления защитой.
• Пропускная способность каналов связи, которые могут быть выделены для работы компонентов защиты в сети организации.
• Допустимое время выполнения важных административных операций в сети организации. К важным административным операциям относятся, например, распространение обновлений антивирусных баз и изменение политик для клиентских устройств.

При выборе структуры защиты рекомендуется сначала определить имеющиеся сетевые и аппаратные ресурсы, которые могут использоваться для работы централизованной системы защиты.

Для анализа сетевой и аппаратной инфраструктуры рекомендуется следующий порядок действий:

1. Определить следующие параметры сети, в которой будет развертываться защита:
   • число сегментов сети;
   • скорость каналов связи между отдельными сегментами сети;
   • число управляемых устройств в каждом из сегментов сети;
   • пропускную способность каждого канала связи, которая может быть выделена для функционирования защиты.
2. Определить допустимое время выполнения ключевых операций администрирования для всех управляемых устройств.
3. Проанализировать информацию из пунктов 1 и 2, а также данные нагрузочного тестирования системы администрирования. На основании проведенного анализа ответить на следующие вопросы:
   • Возможно ли обслуживание всех клиентов одним Сервером администрирования или требуется иерархия Серверов администрирования?
   • Какая аппаратная конфигурация Серверов администрирования требуется для обслуживания всех клиентов за время, определенное в пункте 2?
   • Требуется ли использование точек распространения для снижения нагрузки на каналы связи?

После ответа на перечисленные вопросы вы можете составить набор допустимых структур защиты организации.

В сети организации можно использовать одну из следующих типовых структур защиты:

• Один Сервер администрирования. Все клиентские устройства подключены к одному Серверу администрирования. Роль точки распространения выполняет Сервер администрирования.
• Один Сервер администрирования с точками распространения. Все клиентские устройства подключены к одному Серверу администрирования. В сети выделены клиентские устройства, выполняющие роль точек распространения.
• Иерархия Серверов администрирования. Для каждого сегмента сети выделен отдельный Сервер администрирования, включенный в общую иерархию Серверов администрирования. Роль точки распространения выполняет главный Сервер администрирования.
• Иерархия Серверов администрирования с точками распространения. Для каждого сегмента сети выделен отдельный Сервер администрирования, включенный в общую иерархию Серверов администрирования. В сети выделены клиентские устройства, выполняющие роль точек распространения.

Типовые конфигурации Kaspersky Security Center

В этом разделе описаны следующие типовые конфигурации размещения компонентов Kaspersky Security Center в сети организации:

• один офис;
• несколько крупных географически распределенных офисов с собственными администраторами;
• множество небольших географически распределенных офисов.

Типовая конфигурация: один офис

В сети организации может быть размещен один или несколько Серверов администрирования. Количество Серверов может быть выбрано как исходя из наличия доступного аппаратного обеспечения, так и в зависимости от общего количества управляемых устройств.

Один Сервер администрирования может обслуживать до 100 000 устройств. Нужно учесть возможность увеличения количества управляемых устройств в ближайшем будущем: может оказаться желательным подключение несколько меньшего количества устройств к одному Серверу администрирования.

Серверы администрирования могут быть размещены как во внутренней сети, так и в демилитаризованной зоне, в зависимости от того, нужен ли доступ к Серверам администрирования из интернета.

Если Серверов несколько, рекомендуется объединить их в иерархию. Наличие иерархии Серверов администрирования позволяет избежать дублирования политик и задач, работать со всем множеством управляемых устройств, как если бы они все управлялись одним Сервером администрирования (то есть выполнять поиск устройств, создавать выборки устройств, создавать отчеты).

Типовая конфигурация: несколько крупных офисов с собственными администраторами

При наличии нескольких крупных удаленных офисов следует рассмотреть возможность размещения Серверов администрирования в каждом из офисов. По одному или по несколько Серверов администрирования в каждом офисе, в зависимости от количества клиентских устройств и доступного аппаратного обеспечения. В таком случае каждый из офисов может быть рассмотрен как "Типовая конфигурация: один офис". Для упрощения администрирования все Серверы администрирования следует объединить в иерархию, возможно, многоуровневую.

При наличии сотрудников, которые перемещаются между офисами вместе с устройствами (ноутбуками), в политике Агента администрирования следует создать профили подключения Агента администрирования. Профили подключения Агента администрирования поддерживают только устройства с операционными системами Windows и macOS.

Типовая конфигурация: множество небольших удаленных офисов

Эта типовая конфигурация предусматривает один главный офис и множество небольших удаленных офисов, которые могут связываться с главным офисом через интернет. Каждый из удаленных офисов находится за Network Address Translation (далее также NAT), то есть подключение из одного удаленного офиса в другой невозможно, офисы изолированы друг от друга.

В главном офисе следует поместить Сервер администрирования, а в остальных офисах назначить по одной или по несколько точек распространения. Так как связь между офисами осуществляется через интернет, целесообразно создать для точек распространения задачу Загрузка обновлений в хранилища точек распространения, так, чтобы точки распространения загружали обновления не с Сервера администрирования, а непосредственно с серверов "Лаборатории Касперского", локальной или сетевой папок.

Если в удаленном офисе часть устройств не имеет прямого доступа к Серверу администрирования (например, доступ к Серверу администрирования осуществляется через интернет, но доступ в интернет есть не у всех устройств), то точки распространения следует переключить в режим шлюза. В таком случае Агенты администрирования на устройствах в удаленном офисе будут подключаться (с целью синхронизации) к Серверу администрирования не напрямую, а через шлюз.

Поскольку Сервер администрирования, скорее всего, не сможет опрашивать сеть в удаленном офисе, целесообразно возложить выполнение этой функции на одну из точек распространения.

Сервер администрирования не сможет посылать уведомления на порт 15000 UDP управляемым устройствам, размещенным за NAT в удаленном офисе. Для решения этой проблемы вы можете включить в свойствах устройств, являющихся точками распространения, режим постоянного соединения с Сервером администрирования (флажок Не разрывать соединение с Сервером администрирования). Этот режим доступен, если общее количество точек распространения не превышает 300. Используйте push-серверы, чтобы обеспечить постоянную связь между управляемым устройством и Сервером администрирования. Дополнительную информацию см. в следующих разделах: Использование точки распространения в качестве извещающего сервера.

О выборе СУБД для Сервера администрирования

При выборе СУБД, используемой Сервером администрирования, следует руководствоваться количеством устройств, которые обслуживает Сервер администрирования.

SQL Server Express Edition ограничен по количеству используемой памяти, по количеству используемых ядер процессора и по максимальному размеру базы данных. Поэтому SQL Server Express Edition не может использоваться, если Сервер администрирования обслуживает более 10 000 устройств, либо если на управляемых устройствах используется компонент Контроль программ. Если Сервер администрирования используется в качестве сервера Windows Server Update Services (WSUS), вы не можете также использовать SQL Server Express Edition.

Если Сервер администрирования управляет более 10 000 устройств, рекомендуется использовать версии SQL Server с меньшим количеством ограничений, например: SQL Server Workgroup Edition, SQL Server Web Edition, SQL Server Standard Edition или SQL Server Enterprise Edition.

Если Сервер администрирования обслуживает не более 50 000 устройств и если на управляемых устройствах не используется компонент Контроль программ, вы можете использовать в качестве СУБД также MySQL версии 8.0.20 и выше.

Если Сервер администрирования обслуживает не более 20 000 устройств и если на управляемых устройствах не используется компонент Контроль программ, вы можете использовать в качестве СУБД MariaDB Server 10.3.

Если Сервер администрирования обслуживает не более 10 000 устройств и если на управляемых устройствах не используется компонент Контроль программ, вы можете использовать в качестве СУБД также MySQL 5.5, 5.6, 5.7.

Не поддерживаются версии MySQL 5.5.1, 5.5.2, 5.5.3, 5.5.4, 5.5.5.

Если в качестве СУБД вы используете SQL Server 2019 и у вас нет накопительного исправления CU12 или выше, после установки Kaspersky Security Center необходимо выполнить следующие действия:

1. Подключитесь к SQL-серверу с помощью SQL Management Studio.
2. Выполните следующую команду (если вы выбрали другое имя для базы данных, используйте это имя вместо KAV):

   USE KAV

   GO

   ALTER DATABASE SCOPED CONFIGURATION SET TSQL_SCALAR_UDF_INLINING = OFF

   GO

3. Перезапустите службу SQL Server 2019.

В противном случае использование SQL Server 2019 может завершиться с ошибкой, например, "Во 'внутреннем' пуле ресурсов недостаточно памяти для выполнения запроса".

Выбор СУБД

В процессе инсталляции Сервера администрирования необходимо выбрать СУБД, которую будет использовать Сервер администрирования. При выборе СУБД, используемой Сервером администрирования, следует руководствоваться количеством устройств, которые обслуживает Сервер администрирования.

В таблице ниже перечислены допустимые варианты СУБД и ограничения их использования.

Ограничения СУБД

Если в качестве СУБД вы используете SQL Server 2019 и у вас нет накопительного исправления CU12 или выше, после установки Kaspersky Security Center необходимо выполнить следующие действия:

1. Подключитесь к SQL-серверу с помощью SQL Management Studio.
2. Выполните следующую команду (если вы выбрали другое имя для базы данных, используйте это имя вместо KAV):

   USE KAV

   GO

   ALTER DATABASE SCOPED CONFIGURATION SET TSQL_SCALAR_UDF_INLINING = OFF

   GO

3. Перезапустите службу SQL Server 2019.

В противном случае использование SQL Server 2019 может завершиться с ошибкой, например, "Во 'внутреннем' пуле ресурсов недостаточно памяти для выполнения запроса".

Недопустимо совместное использование СУБД SQL Server Express Edition Сервером администрирования и какой-либо другой программой.

Управление мобильными устройствами с установленным Kaspersky Endpoint Security для Android

Управление мобильными устройствами с установленным приложением Kaspersky Endpoint Security для Android (далее KES-устройства) осуществляется с помощью Сервера администрирования. Kaspersky Security Center поддерживает следующие возможности управления KES-устройствами:

• работа с мобильными устройствами как с клиентскими устройствами:
  • членство в группах администрирования;
  • мониторинг, например просмотр статусов, событий и отчетов;
  • изменение локальных параметров и назначение политик для приложения Kaspersky Endpoint Security для Android;
• централизованная отправка команд;
• удаленная установка пакетов мобильных приложений.

Сервер администрирования управляет KES-устройствами по протоколу TLS, TCP-порт 13292.

Предоставление доступа к Серверу администрирования из интернета

В ряде случаев необходимо предоставить доступ к Серверу администрирования из интернета:

• Регулярное обновление баз, программных модулей и программ "Лаборатории Касперского".
• Обновление программ сторонних производителей

  По умолчанию Сервер администрирования не требует подключения к интернету для установки обновлений программ Microsoft на управляемые устройства. Например, управляемые устройства могут загружать обновления программ Microsoft непосредственно с серверов обновлений Microsoft или с Windows Server со службами Microsoft Windows Server Update Services (WSUS), развернутыми в сети вашей организации. Сервер администрирования должен быть подключен к интернету в следующих случаях:

  • Когда вы используете Сервер администрирования в роли WSUS-сервера.
  • Для установки обновлений программ сторонних производителей, отличных от программ Microsoft.
• Закрытие уязвимостей в программах сторонних производителей

  Подключение Сервера администрирования к интернету необходимо для выполнения следующих задач:

  • Составление списка рекомендуемых исправлений уязвимостей в программах Microsoft. Список формируется и регулярно обновляется специалистами "Лаборатории Касперского".
  • Закрытие уязвимостей в программах сторонних производителей, отличных от приложений Microsoft.
• Для управления устройствами (ноутбуками) автономных пользователей.
• Для управления устройствами, находящимися в удаленных офисах.
• При взаимодействии с главным или подчиненными Серверами администрирования, находящимися в удаленных офисах.
• для управления мобильными устройствами.

В этом разделе рассмотрены типичные способы обеспечения доступа к Серверу администрирования из интернета. Во всех случаях предоставления доступа к Серверу администрирования из интернета может понадобиться задать Серверу администрирования специальный сертификат.

Доступ из интернета: Сервер администрирования в локальной сети

Если Сервер администрирования располагается во внутренней сети организации, вы можете сделать порт Сервера администрирования 13000 TCP доступным извне с помощью механизма "Port Forwarding". Если требуется управление мобильными устройствами, вы можете сделать TCP-порт 13292 доступным.

Доступ из интернета: Сервер администрирования в демилитаризованной зоне

Если Сервер администрирования располагается в демилитаризованной зоне сети организации, у него отсутствует доступ во внутреннюю сеть организации. Как следствие, возникают следующие ограничения:

• Сервер администрирования не может самостоятельно обнаруживать новые устройства.
• Сервер администрирования не может выполнять первоначальное развертывание Агента администрирования посредством принудительной установки на устройства внутренней сети организации.

Речь идет только о первоначальной установке Агента администрирования. Последующие обновления версии Агента администрирования или установка программы безопасности уже могут быть выполнены Сервером администрирования. Однако первоначальное развертывание Агентов администрирования может быть выполнено иными средствами, например, при помощи групповых политик Microsoft Active Directory.

• Сервер администрирования не может посылать управляемым устройствам уведомления на порт 15000 UDP, что не является критичным для работы Kaspersky Security Center.
• Сервер администрирования не может опрашивать Active Directory. Однако результаты опроса Active Directory не нужны в большинстве сценариев.

Если описанные выше ограничения критичны, они могут быть сняты при помощи точек распространения, размещенных в сети организации:

• Для выполнения первоначального развертывания на устройствах без Агента администрирования следует предварительно установить Агент администрирования на одно из устройств и назначить это устройство точкой распространения. В результате первоначальная установка Агента администрирования на прочие устройства будет выполняться Сервером администрирования через эту точку распространения.
• Для обнаружения новых устройств во внутренней сети организации и для опроса Active Directory следует на одной из точек распространения включить желаемые виды опроса сети.

Для успешной отправки уведомлений управляемым устройствам, размещенным во внутренней сети организации, на порт 15000 UDP, следует покрыть всю сеть предприятия точками распространения. В свойствах назначенных точек распространения установите флажок Не разрывать соединение с Сервером администрирования. В результате Сервер администрирования будет иметь постоянную связь с точками распространения, а точки распространения смогут посылать уведомления на порт 15000 UDP устройствам, размещенным во внутренней сети организации (это может быть IPv4-сеть или IPv6-сеть).

Доступ из интернета: Агент администрирования в качестве шлюза соединения в демилитаризованной зоне

Сервер администрирования может располагаться во внутренней сети организации, а в демилитаризованной зоне сети может находиться устройство с Агентом администрирования, работающим в качестве шлюза соединения с обратным направлением подключения (Сервер администрирования устанавливает соединение с Агентом администрирования). В этом случае для организации доступа из интернета нужно выполнить следующие условия:

• На устройство, находящееся в демилитаризованной зоне, следует установить Агент администрирования. При установке Агента администрирования в окне Шлюз соединения мастера установки выберите Использовать в качестве шлюза соединения в демилитаризованной зоне.
• Устройство с установленным шлюзом соединения необходимо добавить в качестве точки распространения. Когда вы добавляете шлюз соединения, в окне Добавление точки распространения выберите параметр Выбрать → Добавить шлюз соединений, находящийся в демилитаризованной зоне, по адресу.
• Чтобы использовать интернет для подключения внешних настольных компьютеров к Серверу администрирования, необходимо изменить инсталляционный пакет Агента администрирования. В свойствах созданного инсталляционного пакета выберите параметр Дополнительно →Подключаться к Серверу администрирования через шлюз соединения и укажите вновь созданный шлюз соединения.

Для шлюза соединений, находящегося в демилитаризованной зоне, Сервер администрирования создает сертификат, подписанный сертификатом Сервера администрирования. Если администратор принял решение задать Серверу администрирования пользовательский сертификат, то это следует сделать до создания шлюза соединений в демилитаризованной зоне.

При наличии сотрудников с ноутбуками, которые могут подключаться к Серверу администрирования как из локальной сети, так и из интернета, может быть целесообразно создать в политике Агента администрирования правило переключения Агента администрирования.

О точках распространения

Устройства с установленным Агентом администрирования могут быть использованы в качестве точки распространения. В этом режиме Агент администрирования может выполнять следующие функции:

• Раздавать обновления, причем обновления могут быть получены как с Сервера администрирования, так и с серверов "Лаборатории Касперского". В последнем случае для устройства, являющегося точкой распространения, должна быть создана задача Загрузка обновлений в хранилища точек распространения:
  • Устанавливать программное обеспечение на другие устройства, в том числе выполнять первоначальное развертывание Агентов администрирования на устройствах.
  • Опрашивать сеть с целью обнаружения новых устройств и обновления информации об уже известных устройствах. Точка распространения может использовать те же методы обнаружения устройств, что и Сервер администрирования.

Размещение точек распространения в сети организации преследует следующие цели:

• Уменьшение нагрузки на Сервер администрирования.
• Оптимизация трафика.
• Предоставление Серверу администрирования доступ к устройствам в труднодоступных частях сети организации. Наличие точки распространения в находящейся за NAT (по отношению к Серверу администрирования) сети позволяет Серверу администрирования выполнять следующие действия:
  • отправлять уведомления на устройства через UDP в IPv4-сети или IPv6-сети;
  • опрос IPv4-сети или IPv6-сети;
  • выполнять первоначальное развертывание;
  • использовать в качестве push-сервера.

Точка распространения назначается на группу администрирования. В этом случае областью действия точки распространения будут устройства, находящиеся в этой группе администрирования и всех ее подгруппах. При этом устройство, являющееся точкой распространения, не обязано находиться в группе администрирования, на которую она назначена.

Вы можете сделать точку распространения шлюзом соединений. В этом случае, устройства, находящиеся в области действия точки распространения, будут подключаться к Серверу администрирования не напрямую, а через шлюз. Данный режим полезен в сценариях, когда между Сервером администрирования и управляемыми устройствами невозможно прямое соединение.

Если вы используете устройство под управлением Linux в качестве точки распространения, настоятельно рекомендуется увеличить ограничения дескрипторов файлов для службы klnagent, так как, если в область действия точки распространения входит много устройств, может не хватить максимального количества файлов, которые могут быть открыты по умолчанию.

Увеличение ограничения дескрипторов файлов для службы klnagent

Если область распространения точки распространения под управлением Linux включает в себя большое количество устройств, ограничения на количество открываемых файлов (дескрипторов файлов), которое было установлено по умолчанию, может быть недостаточно. Чтобы этого избежать, вы можете увеличить ограничение дескрипторов файлов для службы klnagent.

Чтобы увеличить ограничение дескрипторов файлов для службы klnagent

1. На устройстве под управлением Linux, которое выполняет роль точки распространения, откройте файл /lib/systemd/system/klnagent64.service и укажите жесткие и мягкие ограничения дескрипторов файлов в параметре LimitNOFILE раздела [Service]:

   LimitNOFILE=<мягкое ограничение ресурсов>:жесткое ограничение ресурсов>

   Например, LimitNOFILE=32768:131072. Обратите внимание, что мягкие ограничения дескрипторов файлов должны быть меньше или равны жесткому ограничению.

2. Выполните следующую команду, чтобы убедиться, что параметры указаны правильно:

   systemd-analyze verify klnagent64.service

   Если параметры указаны неверно, эта команда может вывести одну из следующих ошибок:

   • /lib/systemd/system/klnagent64.service:11: Не удалось проанализировать значение ресурса, пропущено: 32768:13107

     Если эта ошибка возникла, значит, символы в строке LimitNOFILE указаны неверно. Вам нужно проверить и исправить введенную строку.

   • /lib/systemd/system/klnagent64.service:11: Мягкие ограничения ресурсов выбраны выше жесткого ограничения, пропущено: 32768:13107

     Если эта ошибка возникла, мягкое ограничение введенных вами дескрипторов файлов превышает жесткое ограничение. Вам нужно проверить введенную строку и убедиться, что мягкое ограничение дескрипторов файлов меньше или равно жесткому ограничению.

3. Выполните следующую команду, чтобы перезагрузить процесс systemd:

   systemctl daemon-reload

4. Выполните следующую команду, чтобы перезапустить службу Агента администрирования:

   systemctl restart klnagent

5. Выполните следующую команду, чтобы убедиться, что указанные параметры применяются правильно:

   less /proc/<nagent_proc_id>/limits

   где параметр <nagent_proc_id> является идентификатором процесса Агента администрирования. Вы можете выполнить следующую команду, чтобы получить идентификатор:

   ps -ax | grep klnagent

Для точки распространения с операционной системой Linux количество открываемых файлов увеличено.

Расчет количества и конфигурации точек распространения

Чем больше клиентских устройств содержит сеть, тем больше требуется точек распространения. Рекомендуется не отключать автоматическое назначение точек распространения. При включенном автоматическом назначении точек распространения Сервер администрирования назначает точки распространения, если число клиентских устройств достаточно велико, и определяет их конфигурацию.

Использование специально выделенных точек распространения

Если вы планируете использовать в качестве точек распространения какие-то определенные устройства (например, выделенные для этого серверы), то можно не использовать автоматическое назначение точек распространения. В этом случае убедитесь, что устройства, которые вы хотите назначить точками распространения, имеют достаточно свободного места на диске, их не отключают регулярно и на них выключен "спящий режим".

Число уникально назначенных точек распространения в сети, содержащей один сегмент, в зависимости от количества сетевых устройств

Число уникально назначенных точек распространения в сети, содержащей несколько сегментов, в зависимости от количества сетевых устройств

Использование клиентских устройств (рабочих станций) в качестве точек распространения

Если вы планируете использовать в качестве точек распространения обычное клиентское устройство (рабочую станцию), то рекомендуется назначать точку распространения, как показано в таблице ниже, чтобы избежать чрезмерной нагрузки на каналы связи и Сервер администрирования:

Число рабочих станций, выполняющих роль точек распространения в сети, которая содержит один сегмент сети, в зависимости от количества сетевых устройств

Число рабочих станций, выполняющих роль точек распространения в сети, которая содержит несколько сегментов сети, в зависимости от количества сетевых устройств

Если точка распространения отключена или по другим причинам недоступна, то управляемые устройства из области действия этой точки распространения могут обращаться за обновлениями к Серверу администрирования.

Иерархия Серверов администрирования

У MSP может быть более одного Сервера администрирования. Администрировать несколько разрозненных Серверов неудобно, поэтому целесообразно объединять их в иерархию. Взаимодействие "главный – подчиненный" между двумя Серверами администрирования предоставляет следующие возможности:

• Подчиненный Сервер наследует с главного Сервера политики и задачи, устраняется дублирование параметров.
• Выборки устройств на главном Сервере могут включать в себя устройства с подчиненных Серверов.
• Отчеты на главном Сервере могут включать в себя данные (в том числе и детальные) с подчиненных Серверов.

Главный Сервер администрирования получает данные только от не виртуальных подчиненных Серверов администрирования в рамках перечисленных выше параметров. Это ограничение не распространяется на виртуальные Серверы администрирования, которые совместно используют базу данных со своим главным Сервером администрирования.

Виртуальные Серверы администрирования

В рамках физического Сервера администрирования можно создать несколько виртуальных Серверов администрирования, во многом подобных подчиненным Серверам. По сравнению с моделью разделения доступа, основанной на списках контроля доступа (ACL), модель виртуальных Серверов более функциональна и предоставляет большую степень изоляции. В дополнение к структуре групп администрирования, предназначенной для назначения устройствам политик и задач, каждый виртуальный Сервер администрирования имеет собственную группу нераспределенных устройств, собственные наборы отчетов, выборки устройств и события, инсталляционные пакеты, правила перемещения и т. д. Функциональность виртуальных Серверов администрирования может быть использована как поставщиками услуг (xSP) для максимальной изоляции разных заказчиков друг от друга, так и крупными организациями со сложной структурой и большим количеством администраторов.

Виртуальные Серверы во многом подобны подчиненным Серверам администрирования, однако имеют следующие отличия:

• виртуальный Сервер не имеет большинства глобальных параметров и собственных TCP-портов;
• у виртуального Сервера не может быть подчиненных Серверов;
• у виртуального Сервера не может быть собственных виртуальных Серверов;
• на физическом Сервере администрирования видны устройства, группы, события и объекты с управляемых устройств (элементы карантина, реестра программ и прочее) всех его виртуальных Серверов;
• виртуальный Сервер может сканировать сеть только посредством подключенных к нему точек распространения.

Информация об ограничениях Kaspersky Security Center

В таблице ниже приведены ограничения текущей версии Kaspersky Security Center.

Ограничения Kaspersky Security Center

Нагрузка на сеть

В этом разделе приводится информация об объеме сетевого трафика, которым обмениваются между собой клиентские устройства и Сервер администрирования в ходе выполнения ключевых административных сценариев.

Основная нагрузка на сеть связана с выполнением следующих административных сценариев:

• Первоначальное развертывание антивирусной защиты
• Первоначальное обновление антивирусных баз
• Синхронизация клиентского устройства с Сервером администрирования
• Регулярное обновление антивирусных баз
• Обработка событий на клиентских устройствах Сервером администрирования

Первоначальное развертывание антивирусной защиты

В этом разделе приведен расход трафика при установке на клиентском устройстве Агента администрирования версии 14 и Kaspersky Endpoint Security для Windows (см. таблицу ниже).

Агент администрирования устанавливается путем принудительной установки, когда требуемые для установки файлы копируются Сервером администрирования в папку общего доступа на клиентском устройстве. После установки Агент администрирования получает дистрибутив Kaspersky Endpoint Security для Windows, используя соединение с Сервером администрирования.

Расход трафика

После установки Агентов администрирования на клиентские устройства можно назначить одно из устройств в группе администрирования точкой распространения. Он будет использоваться для распространения инсталляционных пакетов. В этом случае объем трафика, передаваемого при первоначальном развертывании антивирусной защиты, существенно отличается в зависимости от того, используется ли многоадресная IP-рассылка.

В случае использования многоадресной IP-рассылки инсталляционные пакеты рассылаются один раз по всем включенным устройствам в группе администрирования. Таким образом, общий трафик уменьшится примерно в N раз, где N – общее число включенных устройств в группе администрирования. Если многоадресная IP-рассылка не используется, общий трафик совпадает с трафиком загрузки дистрибутивов с Сервера администрирования. При этом источником инсталляционных пакетов является точка распространения, а не Сервер администрирования.

Первоначальное обновление антивирусных баз

Скорости трафика при первичном обновлении антивирусных баз (при первом запуске задачи обновления баз на клиентском устройстве) следующие:

• Трафик от клиентского устройства к Серверу администрирования: 1.8 МБ.
• Трафик от Сервера администрирования к клиентскому устройству: 113 МБ.
• Общий трафик (для одного клиентского устройства): 114 МВ.

Данные могут несколько отличаться в зависимости от текущей версии антивирусных баз.

Синхронизация клиента с Сервером администрирования

Этот сценарий характеризует состояние системы администрирования в случае, когда происходит активная синхронизация данных между клиентским устройством и Сервером администрирования. Клиентские устройства подключаются к Серверу администрирования с периодом, заданным администратором. Сервер администрирования сравнивает состояние данных на клиентском устройстве с состоянием данных на Сервере, регистрирует данные о последнем подключении клиентского устройства в базе данных и проводит синхронизацию данных.

В разделе приведена информация о расходе трафика для основных административных сценариев при подключении клиента к Серверу администрирования с синхронизацией (см. таблицу ниже). Данные, приведенные в таблице, могут несколько отличаться в зависимости от текущей версии антивирусных баз.

Расход трафика

Объем общего трафика существенно изменяется в зависимости от того, используется ли многоадресная IP-рассылка внутри групп администрирования. В случае использования многоадресной IP-рассылки общий трафик для группы уменьшается примерно в N раз, где N – число включенных устройств в группе администрирования.

Объем трафика при первоначальной синхронизации до и после обновления баз указан для следующих случаев:

• установка на клиентское устройство Агента администрирования и программы безопасности;
• перенос клиентского устройства в группу администрирования;
• применение к клиентскому устройству политики и задач, созданных для группы по умолчанию.

В таблице указан объем трафика при изменении одного из параметров защиты, входящих в параметры политики Kaspersky Endpoint Security. Данные для других параметров политики могут отличаться от данных, представленных в таблице.

Добавочное обновление антивирусных баз

Расход трафика при инкрементальном обновлении антивирусных баз спустя 20 часов после предыдущего обновления следующий:

• Трафик от клиентского устройства к Серверу администрирования: 169 КБ.
• Трафик от Сервера администрирования к клиентскому устройству: 16 МБ.
• Общий трафик (для одного клиентского устройства): 16.3 МБ.

Данные, приведенные в таблице, могут несколько отличаться в зависимости от текущей версии антивирусных баз.

Объем трафика существенно изменяется в зависимости от того, используется ли многоадресная IP-рассылка внутри групп администрирования. В случае использования многоадресной IP-рассылки общий трафик для группы уменьшается примерно в N раз, где N – число включенных устройств в группе администрирования. 

Обработка событий клиентов Сервером администрирования

В этом разделе приведен расход трафика при возникновении на клиентском устройстве события "Найден вирус", информация о котором передается на Сервер администрирования и регистрируется в базе данных (см. таблицу ниже). 

Расход трафика

Данные, приведенные в таблице, могут несколько отличаться в зависимости от текущей версии антивирусной программы и в зависимости от того, какие именно события определены в политике как требующие регистрации в базе данных Сервера администрирования. 

Расход трафика за сутки

В этом разделе приведена информация о расходе трафика за сутки работы системы администрирования в состоянии "покоя", когда не происходит изменений данных ни со стороны клиентских устройств, ни со стороны Сервера администрирования (см. таблицу ниже).

Данные, приведенные в таблице, характеризуют состояние сети после стандартной установки Kaspersky Security Center и завершения работы мастера первоначальной настройки. Период синхронизации клиентского устройства с Сервером администрирования составлял 20 минут, загрузка обновлений в хранилище Сервера администрирования происходила каждый час.

Уровень трафика за сутки в состоянии простоя

Подготовка к управлению мобильными устройствами

Этот раздел содержит информацию:

• о сервере мобильных устройств Exchange ActiveSync для управления мобильными устройствами по протоколу Exchange ActiveSync;
• о сервере iOS MDM для управления iOS-устройствами путем установки на них специализированных iOS MDM-профилей;
• об управлении мобильными устройствами с установленным приложением Kaspersky Endpoint Security для Android.

Сервер мобильных устройств Exchange ActiveSync

Сервер мобильных устройств Exchange ActiveSync позволяет управлять мобильными устройствами, которые подключаются к Серверу администрирования по протоколу Exchange ActiveSync (EAS-устройствами).

Способы развертывания Сервера мобильных устройств Exchange ActiveSync

Если в организации развернуто несколько серверов Microsoft Exchange с ролью клиентского доступа, объединенных в массив (Client Access Server Array), то Сервер мобильных устройств Exchange ActiveSync следует устанавливать на каждый сервер в массиве. В мастере установки Сервера мобильных устройств Exchange ActiveSync необходимо выбрать Режим кластера. В этом случае совокупность экземпляров Сервера мобильных устройств Exchange ActiveSync, установленных на серверы массива, будет называться кластером Серверов мобильных устройств Exchange ActiveSync.

Если в организации не развернут массив серверов Microsoft Exchange с ролью клиентского доступа, то Сервер мобильных устройств Exchange ActiveSync следует устанавливать на сервер Microsoft Exchange, имеющий роль Client Access. При этом в мастере установки Сервера мобильных устройств Exchange ActiveSync необходимо выбрать Обычный режим.

Вместе с Сервером мобильных устройств Exchange ActiveSync на устройство необходимо установить Агент администрирования, с помощью которого осуществляется интеграция Сервера с Kaspersky Security Center.

По умолчанию область проверки Сервера мобильных устройств Exchange ActiveSync – это текущий домен Active Directory, в котором он установлен. В случае развертывания Сервера мобильных устройств Exchange ActiveSync на сервере Microsoft Exchange 2010–2013 имеется возможность расширить область сканирования на весь лес доменов, см. раздел Настройка области проверки. Запрашиваемая при проверке информация включает в себя учетные записи пользователей сервера Microsoft Exchange, политики Exchange ActiveSync и мобильные устройства пользователей, подключенные к серверу Microsoft Exchange по протоколу Exchange ActiveSync.

В пределах одного домена недопустима установка нескольких экземпляров Сервера мобильных устройств Exchange ActiveSync, работающих в Обычный режим и управляемых одним и тем же Сервером администрирования. В пределах одного леса доменов Active Directory также недопустима установка нескольких экземпляров Сервера мобильных устройств Exchange ActiveSync (или нескольких кластеров Сервера мобильных устройств Exchange ActiveSync), работающих в Обычный режим, с расширенной областью проверки на весь лес доменов и подключенных к одному и тому же Серверу администрирования.

Необходимые права для развертывания Сервера мобильных устройств Exchange ActiveSync

Для развертывания Сервера мобильных устройств Exchange ActiveSync на серверах Microsoft Exchange 2010–2013 требуются права доменного администратора и роль Organization Management. Для развертывания Сервера мобильных устройств Exchange ActiveSync на сервере Microsoft Exchange 2007 требуются права доменного администратора и членство в группе безопасности Exchange Organization Administrators.

Учетная запись для работы службы Exchange ActiveSync

В процессе установки Сервера мобильных устройств Exchange ActiveSync в Active Directory автоматически создается учетная запись:

• на сервере Microsoft Exchange 2010–2013 – учетная запись KLMDM4ExchAdmin***** с ролью KLMDM Role Group;
• на сервере Microsoft Exchange 2007 – учетная запись KLMDM4ExchAdmin*****, являющаяся членом группы безопасности KLMDM Secure Group.

Под этой учетной записью работает служба Сервера мобильных устройств Exchange ActiveSync.

Если вы хотите отказаться от автоматического создания учетной записи, то необходимо создать собственную учетную запись, обладающую следующими правами:

• В случае использования сервера Microsoft Exchange 2010–2013 учетная запись должна обладать ролью, для которой разрешено выполнение следующих командлетов:
  • Get-CASMailbox;
  • Set-CASMailbox;
  • Remove-ActiveSyncDevice;
  • Clear-ActiveSyncDevice;
  • Get-ActiveSyncDeviceStatistics;
  • Get-AcceptedDomain;
  • Set-AdServerSettings;
  • Get-ActiveSyncMailboxPolicy;
  • New-ActiveSyncMailboxPolicy;
  • Set-ActiveSyncMailboxPolicy;
  • Remove-ActiveSyncMailboxPolicy.
• В случае использования сервера Microsoft Exchange 2007, для учетной записи должны быть назначены права доступа к объектам Active Directory (см. таблицу ниже).

  Права доступа к объектам Active Directory

  Доступ	Объект	Командлет
  Полный	Ветка "CN=Mobile Mailbox Policies,CN=<Название организации>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<Имя домена>"	Add-ADPermission -User <Имя пользователя или группы> -Identity "CN=Mobile Mailbox Policies,CN=<Название организации>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<Имя домена>" -InheritanceType All -AccessRight GenericAll
  Чтение	Ветка "CN=<Название организации>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<Имя домена>"	Add-ADPermission -User <Имя пользователя или группы> -Identity "CN=<Название организации>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<Имя домена>" -InheritanceType All -AccessRight GenericRead
  Чтение и запись	Свойства msExchMobileMailboxPolicyLink и msExchOmaAdminWirelessEnable для объектов в Active Directory	Add-ADPermission -User <Имя пользователя или группы> -Identity "DC=<Имя домена>" -InheritanceType All -AccessRight ReadProperty,WriteProperty -Properties msExchMobileMailboxPolicyLink, msExchOmaAdminWirelessEnable
  Расширенное право ms-Exch-Store-Active	Хранилища почтовых ящиков Exchange-сервера, ветка "CN=Databases,CN=Exchange Administrative Group (FYDIBOHF23SPDLT),CN=Administrative Groups,CN=<Название организации>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<Имя домена>"	Get-MailboxDatabase | Add-ADPermission -User <Имя пользователя или группы> -ExtendedRights ms-Exch-Store-Admin

Сервер iOS MDM

Сервер iOS MDM позволяет осуществлять управление iOS-устройствами путем установки на них специализированных iOS MDM-профилей. Поддерживаются следующие функции:

• блокирование устройства;
• сброс пароля;
• удаление данных устройства;
• установка или удаление приложений;
• применение iOS MDM-профиля с дополнительными параметрами (такими как параметры VPN, почты, Wi-Fi, камеры, сертификаты, и так далее).

Сервер iOS MDM представляет собой веб-службу, которая принимает входящие соединения от мобильных устройств на свой TLS-порт (по умолчанию порт 443) и управляется со стороны Kaspersky Security Center с помощью Агента администрирования. Агент администрирования устанавливается локально на устройстве с развернутым Сервером iOS MDM.

В процессе развертывания Сервера iOS MDM администратору необходимо выполнить следующие действия:

• обеспечить Агенту администрирования доступ к Серверу администрирования;
• обеспечить мобильным устройствам доступ к TCP-порту Сервера iOS MDM.

В этом разделе рассмотрены две типовые конфигурации Сервера iOS MDM.

Типовая конфигурация: Kaspersky Device Management для iOS в демилитаризованной зоне

Сервер iOS MDM располагается в демилитаризованной зоне сети организации с доступом в интернет. Особенностью данного подхода является отсутствие проблем с доступностью веб-службы iOS MDM из интернета со стороны устройств.

Так как для управления Сервером iOS MDM требуется локально установленный Агент администрирования, необходимо обеспечить взаимодействие этого Агента администрирования с Сервером администрирования. Это можно сделать следующими способами:

• Поместить Сервер администрирования в демилитаризованную зону.
• Использовать шлюз соединений:
  1. На устройстве с развернутым Сервером iOS MDM подключить Агент администрирования к Серверу администрирования через шлюз соединений.
  2. На устройстве с развернутым Сервером iOS MDM назначить Агент администрирования шлюзом соединений.

Типовая конфигурация: Сервер iOS MDM в локальной сети организации

Сервер iOS MDM располагается во внутренней сети организации. Порт 443 (порт по умолчанию) должен быть доступным извне, например, путем публикации веб-службы iOS MDM на обратном прокси-сервере, который поддерживает использование Kerberos Constrained Delegation.

В любой типовой конфигурации потребуется обеспечить доступность для Сервера iOS MDM веб-сервисов Apple (диапазон адресов 17.0.0.0/8) по порту TCP 2197. Этот порт используется для оповещения устройств о новых командах через специализированный сервис APNs.

Управление мобильными устройствами с установленным Kaspersky Endpoint Security для Android

Управление мобильными устройствами с установленным приложением Kaspersky Endpoint Security для Android (далее KES-устройства) осуществляется с помощью Сервера администрирования. Kaspersky Security Center поддерживает следующие возможности управления KES-устройствами:

• работа с мобильными устройствами как с клиентскими устройствами:
  • членство в группах администрирования;
  • мониторинг, например просмотр статусов, событий и отчетов;
  • изменение локальных параметров и назначение политик для приложения Kaspersky Endpoint Security для Android;
• централизованная отправка команд;
• удаленная установка пакетов мобильных приложений.

Сервер администрирования управляет KES-устройствами по протоколу TLS, TCP-порт 13292.

Сведения о производительности Сервера администрирования

В разделе представлены результаты тестирования производительности Сервера администрирования для разных аппаратных конфигураций, а также ограничения на подключение управляемых устройств к Серверу администрирования.

Ограничения подключений к Серверу администрирования

Сервер администрирования поддерживает управление до 100 000 устройств без потери производительности.

Ограничения на подключения к Серверу администрирования без потери производительности:

• Один Сервер администрирования может поддерживать до 500 виртуальных Серверов администрирования.
• Главный Сервер администрирования поддерживает одновременно не более 1000 сеансов.
• Виртуальные Серверы администрирования поддерживают одновременно не более 1000 сеансов.

Результаты тестов производительности Сервера администрирования

Результаты тестов производительности Сервера администрирования позволили определить максимальные количества клиентских устройств, с которыми Сервер администрирования может выполнить синхронизацию за указанные промежутки времени. Вы можете использовать эту информацию для выбора оптимальной схемы развертывания антивирусной защиты в компьютерных сетях.

Для тестирования использовались устройства со следующими аппаратными конфигурациями (см. таблицы ниже):

Аппаратная конфигурация Сервера администрирования

Аппаратная конфигурация устройства с SQL Server

Сервер администрирования поддерживал создание 500 виртуальных Серверов администрирования.

Период синхронизации составлял по 15 минут на каждые 10 000 управляемых устройств (см. таблицу ниже).

Обобщенные результаты нагрузочного тестирования Сервера администрирования

При подключении Сервера администрирования к серверу базы данных MySQL и SQL Express не рекомендуется использовать программу для управления более чем 10 000 устройств. Для системы управления базами данных MariaDB максимальное рекомендуемое количество управляемых устройств составляет 20 000.

Результаты тестирования производительности прокси-сервера KSN

Если ваша корпоративная сеть включает в себя большое количество клиентских устройств, и они используют Сервер администрирования в качестве прокси-сервера KSN, Сервер администрирования должен удовлетворять определенным аппаратным требованиям, чтобы обрабатывать запросы с клиентских устройств. Вы можете использовать результаты тестирования ниже для оценки загрузки Сервера администрирования в вашей сети и планирования аппаратных ресурсов, для обеспечения нормальной работы службы прокси-сервера KSN.

В таблице ниже приведена конфигурация аппаратного обеспечения Сервера администрирования и SQL Server. Эта конфигурация была использована для тестирования.

Аппаратная конфигурация Сервера администрирования

Аппаратная конфигурация SQL Server

В таблице ниже приведены результаты тестирования.

Обобщенные результаты тестирования производительности прокси-сервера KSN

Сетевые параметры для взаимодействия с внешними сервисами

Kaspersky Security Center использует следующие сетевые параметры для взаимодействия с внешними сервисами.

Сетевые параметры

Для корректного взаимодействия Kaspersky Security Center с внешними службами соблюдайте следующие рекомендации:
- Незашифрованный сетевой трафик должен быть разрешен на портах 443 и 1443 на сетевом оборудовании и прокси-сервере вашей организации.
- При взаимодействии Сервера администрирования с серверами обновлений "Лаборатории Касперского" и серверами Kaspersky Security Network необходимо избегать перехвата сетевого трафика с подменой сертификатов (

Чтобы загрузить обновления по протоколу HTTP или HTTPS с помощью утилиты klscflag:

1. Запустите командную строку Windows с правами администратора, а затем измените текущую директорию на директорию с утилитой klscflag. Утилита klscflag расположена в папке установки Сервера администрирования. Путь установки по умолчанию: <Диск>:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Center.
2. Если вы хотите загружать обновления по протоколу HTTP, выполните одну из следующих команд:
   • На устройстве, на котором установлен Сервер администрирования:

     klscflag.exe -fset -pv klserver -s Updater -n DisableKLHttps -t d -v 1

   • На точку распространения:

     klscflag.exe -fset -pv klnagent -s Updater -n DisableKLHttps -t d -v 1

   Если вы хотите загружать обновления по протоколу HTTPS, выполните одну из следующих команд:

   • На устройстве, на котором установлен Сервер администрирования:

     klscflag.exe -fset -pv klserver -s Updater -n DisableKLHttps -t d -v 0

   • На точку распространения:

     klscflag.exe -fset -pv klnagent -s Updater -n DisableKLHttps -t d -v 0

Развертывание Агента администрирования и программы безопасности

Для управления устройствами организации требуется установить на устройства Агент администрирования. Развертывание распределенного приложения Kaspersky Security Center на устройствах организации обычно начинается с установки на них Агента администрирования.

В Microsoft Windows XP Агент администрирования может некорректно выполнять следующие операции: загрузка обновлений напрямую с серверов "Лаборатории Касперского" (если выполняет роль точки распространения); функционирование в качестве прокси-сервера KSN (если выполняет роль точки распространения); и обнаружение уязвимостей программ сторонних производителей (при использовании Системного администрирования).

Первоначальное развертывание

Если на устройстве уже установлен Агент администрирования, удаленная установка программ на такое устройство осуществляется с помощью самого Агента администрирования. При этом передача дистрибутива устанавливаемой программы вместе с заданными администратором инсталляционными параметрами осуществляется по каналам связи между Агентами администрирования и Сервером администрирования. Для передачи дистрибутива можно использовать промежуточные центры распространения в виде точек распространения, многоадресную рассылку и прочие средства. Подробные сведения об установке программ на управляемые устройства, на которых уже установлен Агент администрирования, см. далее в этом разделе.

Первоначальную установку Агента администрирования на устройства на платформе Microsoft Windows можно осуществлять следующими способами:

• С помощью сторонних средств удаленной установки программ.
• Путем клонирования образа жесткого диска с операционной системой и установленным Агентом администрирования: средствами, предоставляемыми Kaspersky Security Center для работы с образами дисков, или сторонними средствами.
• Через механизм групповых политик Microsoft Windows: с помощью штатных средств управления групповыми политиками Microsoft Windows или автоматизированно, с помощью соответствующего параметра в задаче удаленной установки программ Kaspersky Security Center.
• Принудительно с помощью соответствующих параметров в задаче удаленной установки программ Kaspersky Security Center.
• Путем рассылки пользователям устройств ссылок на автономные пакеты, сформированные Kaspersky Security Center. Автономные пакеты представляют собой исполняемые модули, содержащие в себе дистрибутивы выбранных программ с настроенными параметрами.
• Вручную, запуская инсталляторы программ на устройствах.

На управляемых устройствах, работающих под управлением платформ отличных от Microsoft Windows, вы можете выполнить удаленную установку Агента администрирования. Перед выполнением удаленной установки Агента администрирования на устройство с операционной системой Linux или macOS необходимо подготовить устройство. Вы также можете установить Агент администрирования на устройство с операционной системой Linux в тихом режиме с помощью файла ответов. Обновлять Агент администрирования до новой версии, а также устанавливать другие программы "Лаборатории Касперского" на этих платформах можно с помощью задач удаленной установки программ, используя уже имеющиеся на устройствах Агенты администрирования. Установка в этом случае происходит аналогично установке на платформе Microsoft Windows.

Выбирая способ и стратегию развертывания программ в управляемой сети, следует принимать во внимание ряд факторов (неполный список):

• конфигурацию сети организации;
• общее количество устройств;
• наличие в сети организации устройств, не являющихся членами доменов Active Directory, и наличие унифицированных учетных записей с административными правами на таких устройствах;
• ширину канала между Сервером администрирования и устройствами;
• тип связи между Сервером администрирования и удаленными подсетями и ширину сетевых каналов внутри таких подсетей;
• используемые на момент начала развертывания параметры безопасности на удаленных устройствах (в частности использование UAC и режима Simple File Sharing).

Настройка параметров инсталляторов

Прежде чем приступать к развертыванию в сети программ "Лаборатории Касперского", следует определить параметры инсталляции – те параметры, которые настраиваются в ходе установки программы. При установке Агента администрирования требуется задать по крайней мере адрес для подключения к Серверу администрирования, а возможно, и некоторые дополнительные параметры. В зависимости от выбранного способа установки параметры можно задавать различными способами. В простейшем случае (при интерактивной установке вручную на выбранное устройство) необходимые параметры можно задать с помощью пользовательского интерфейса инсталлятора.

Этот способ настройки параметров не подходит для тихой установки программ на группы устройств. В типичном случае администратор должен централизованно указать значения параметров, которые в дальнейшем могут быть использованы для тихой установки на выбранные устройства в сети.

Инсталляционные пакеты

Первый и основной способ настройки инсталляционных параметров приложений является универсальным и подходит для всех способов установки приложений: как средствами Kaspersky Security Center, так и с помощью большинства сторонних средств. Этот способ подразумевает создание в Kaspersky Security Center инсталляционных пакетов приложений.

Инсталляционные пакеты создаются следующими способами:

• автоматически из указанных дистрибутивов на основании входящих в их состав описателей (файлов с расширением kud, содержащих правила установки и анализа результата и другую информацию);
• из исполняемых файлов инсталляторов или инсталляторов в собственном формате (.msi, .deb, .rpm) – для стандартных или поддерживаемых приложений.

Созданные инсталляционные пакеты представляют собой папки с вложенными подпапками и файлами. Помимо исходного дистрибутива, в состав инсталляционного пакета входят редактируемые параметры (включая параметры самого инсталлятора и правила обработки таких ситуаций, как необходимость перезагрузки операционной системы для завершения инсталляции), а также небольшие вспомогательные модули.

Значения параметров инсталляции, специфичные для конкретного поддерживаемого приложения, можно задавать в пользовательском интерфейсе Консоли администрирования при создании инсталляционного пакета. В случае удаленной установки приложений средствами Kaspersky Security Center инсталляционные пакеты доставляются на устройства таким образом, что при запуске инсталлятора приложения ему становятся доступны все заданные администратором параметры. При использовании сторонних средств установки приложений "Лаборатории Касперского" достаточно обеспечить доступность на устройстве всего инсталляционного пакета, то есть дистрибутива и его параметров. Инсталляционные пакеты создаются и хранятся Kaspersky Security Center в соответствующей подпапке папки общего доступа.

Не указывайте в параметрах инсталляционных пакетов данные привилегированных учетных записей.

О том, как именно можно воспользоваться этим способом настройки параметров для приложений "Лаборатории Касперского" перед их развертыванием сторонними средствами, см. в разделе "Развертывание с помощью механизма групповых политик Microsoft Windows".

Сразу после установки Kaspersky Security Center автоматически создается несколько инсталляционных пакетов, готовых к установке, в том числе пакеты Агента администрирования и программы безопасности для платформы Microsoft Windows.

Несмотря на то, что лицензионный ключ для лицензии на приложение можно задать в свойствах инсталляционного пакета, желательно не использовать этот способ распространения лицензий из-за широкой доступности инсталляционных пакетов на чтение. Следует использовать автоматически распространяемые лицензионные ключи или задачи установки лицензионных ключей.

Свойства MSI и файлы трансформации

Другим способом настроить параметры инсталляции на платформе Windows является задание свойств MSI и файлов трансформации. Этот способ может быть использован в следующих случаях:

• при установке через групповые политики Windows при помощи штатных средств Microsoft или иных сторонних инструментов для работы с групповыми политиками Windows;
• при установке с помощью сторонних средств, ориентированных на работу с инсталляторами в формате Microsoft Installer.

Развертывание при помощи сторонних средств удаленной установки приложений

При наличии в организации каких-либо средств удаленной установки приложений (например, Microsoft System Center) целесообразно выполнять первоначальное развертывание при помощи этих средств.

Нужно выполнить следующие действия:

• Выбрать способ настройки параметров инсталляции, наиболее подходящий для используемого средства развертывания.
• Определить механизм синхронизации между изменением параметров инсталляционных пакетов через интерфейс Консоли администрирования и работой выбранных сторонних средств развертывания приложений из данных инсталляционных пакетов.
• В случае установки из папки общего доступа убедиться в достаточной производительности этого файлового ресурса.

О задачах удаленной установки программ Kaspersky Security Center

Kaspersky Security Center предоставляет разнообразные механизмы удаленной установки приложений, реализованные в виде задач удаленной установки приложений (принудительная установка, установка с помощью копирования образа жесткого диска, установка с помощью групповых политик Microsoft Windows). Создать задачу удаленной установки можно как для указанной группы администрирования, так и для набора устройств или для выборки устройств (такие задачи отображаются в Консоли администрирования в папке Задачи). При создании задачи можно выбрать инсталляционные пакеты (Агента администрирования и / или другого приложения), подлежащие установке при помощи данной задачи, а также задать ряд параметров, определяющих способ удаленной установки. Кроме того, можно воспользоваться мастером удаленной установки приложений, в основе которого также лежит создание задачи удаленной установки приложений и мониторинг результатов.

Задачи для групп администрирования действуют не только на устройства, принадлежащие этой группе, но и на все устройства всех подгрупп выбранной группы. Если в параметрах задачи включен соответствующий параметр, задача распространяется на устройства подчиненных Серверов администрирования, расположенных в данной группе или ее подгруппах.

Задачи для наборов устройств актуализируют список клиентских устройств при каждом запуске в соответствии с составом выборки устройств на момент запуска задачи. Если в выборке устройств присутствуют устройства, подключенные к подчиненным Серверам администрирования, задача будет запускаться и на этих устройствах. Подробнее об этих параметрах и способах установки будет рассказано далее в этом разделе.

Для успешной работы задачи удаленной установки на устройствах, подключенных к подчиненным Серверам администрирования, следует при помощи задачи ретрансляции предварительно ретранслировать используемые задачей инсталляционные пакеты на соответствующие подчиненные Серверы администрирования.

Развертывание захватом и копированием образа жесткого диска устройства

Если нужно инсталлировать Агент администрирования на устройства, на которые также предстоит установить (или переустановить) операционную систему и прочее программное обеспечение, можно воспользоваться механизмом захвата и копирования образа жесткого диска устройства.

Чтобы выполнить развертывание путем захвата и копирования жесткого диска:

1. Создать эталонное устройство с установленной операционной системой и необходимым для работы набором программного обеспечения, включая Агент администрирования и программу безопасности.
2. Захватить образ "эталонного" устройства и далее распространять этот образ на новые устройства посредством задачи Kaspersky Security Center.

   Для захвата и установки образов диска можно воспользоваться как имеющимися в организации сторонними средствами, так и функциональностью, предоставляемой (при наличии лицензии на Системное администрирование) Kaspersky Security Center.

Если для работы с образами диска используются сторонние инструменты, необходимо при развертывании на устройство из эталонного образа обеспечить удаление информации, с помощью которой Kaspersky Security Center идентифицирует управляемое устройство. В противном случае Сервер администрирования не сможет в дальнейшем корректно различать устройства, созданные путем копирования одного и того же образа.

При захвате образа диска средствами Kaspersky Security Center эта проблема решается автоматически.

Копирование образа жесткого диска сторонними инструментами

При использовании сторонних инструментов для захвата образа устройства с установленным Агентом администрирования следует воспользоваться одним из следующих методов:

• Рекомендуемый метод. При установке Агента администрирования на эталонное устройство захватить образ устройства до первого запуска службы Агента администрирования (так как уникальная информация, идентифицирующая устройство, создается при первом подключении Агента администрирования к Серверу администрирования). В дальнейшем рекомендуется не допускать запуск службы Агента администрирования вплоть до выполнения операции захвата образа.
• На эталонном устройстве остановить службу Агента администрирования и запустить утилиту klmover с ключом -dupfix. Утилита klmover входит в состав инсталляционного пакета Агента администрирования. В дальнейшем не допускать запуск службы Агента администрирования вплоть до выполнения операции захвата образа.
• Обеспечить запуск утилиты klmover с ключом -dupfix до (это важно) первого запуска службы Агента администрирования на устройствах при первом старте операционной системы после развертывания образа. Утилита klmover входит в состав инсталляционного пакета Агента администрирования.

Если образ жесткого диска был скопирован неправильно, вы можете решить эту проблему.

Можно применять альтернативный вариант развертывания Агента администрирования на новые устройства с использованием образов операционной системы:

• Захваченный образ не содержит установленный Агент администрирования.
• В список исполняемых файлов, запускаемых по завершении развертывания образа на устройствах, добавлен автономный инсталляционный пакет Агента администрирования, расположенный в папке общего доступа Kaspersky Security Center.

Этот вариант развертывания дает большую гибкость: можно использовать один образ операционной системы совместно с различными вариантами установки Агента и/или программы безопасности, включая правила перемещения устройства, связанные с автономным пакетом. При этом несколько усложняется процесс развертывания, требуется обеспечить доступ к сетевой папке с автономными инсталляционными пакетами с устройства.

Неверно выполнено копирование образа жесткого диска

Если копирование образа жесткого диска с установленным Агентом администрирования было выполнено без учета правил развертывания, часть устройств в Консоли администрирования может отображаться как один значок устройства, постоянно меняющий имя.

Можно использовать следующие способы решения этой проблемы:

• Удаление Агента администрирования.

  Этот способ является самым надежным. На устройствах, которые были скопированы из образа неправильно, нужно при помощи сторонних средств удалить Агент администрирования, а затем установить его заново. Удаление Агента администрирования не может быть выполнено средствами Kaspersky Security Center, поскольку для Сервера администрирования все проблемные устройства неразличимы (им всем соответствует один и тот же значок в Консоли администрирования).

• Запуск утилиты klmover с ключом "-dupfix".

  На проблемных устройствах (на всех, которые были скопированы из образа неправильно) необходимо при помощи сторонних средств однократно запустить утилиту klmover с ключом "-dupfix" (klmover -dupfix), расположенную в папке установки Агента администрирования. Запуск утилиты не может быть выполнен средствами Kaspersky Security Center, поскольку для Сервера администрирования все проблемные устройства неразличимы (им всем соответствует один и тот же значок в Консоли администрирования).

  Затем следует удалить значок, на который отображались проблемные устройства до запуска утилиты.

• Ужесточение правила обнаружения неправильно скопированных устройств.

  Этот способ можно использовать только в случае, если установлены Сервер администрирования и Агенты администрирования версии 10 Service Pack 1 или новее.

  Следует ужесточить правило обнаружения неправильно скопированных Агентов администрирования таким образом, чтобы изменение NetBIOS-имени устройства приводило к автоматической "починке" таких Агентов администрирования (предполагается, что скопированные устройства имеют различные NetBIOS-имена).

  На устройстве с Сервером администрирования нужно импортировать в Реестр представленный ниже reg-файл и перезапустить службу Сервера администрирования.

  • Если на устройстве с Сервером администрирования установлена 32-разрядная операционная система:

  REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\Components\34\1093\1.0.0.0\ServerFlags] "KLSRV_CheckClones"=dword:00000003

  • Если на устройстве с Сервером администрирования установлена 64-разрядная операционная система:

  REGEDIT4 HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\KasperskyLab\Components\34\1093\1.0.0.0\ServerFlags "KLSRV_CheckClones"=dword:00000003

Развертывание с помощью механизма групповых политик Microsoft Windows

Первоначальное развертывание Агентов администрирования рекомендуется осуществлять с помощью групповых политик Microsoft Windows при выполнении следующих условий:

• устройства являются членами домена Active Directory;
• план развертывания позволяет дождаться штатной перезагрузки устройств до начала развертывания на них Агентов администрирования, или к устройствам можно принудительно применить групповую политику Windows.

Суть данного способа развертывания заключается в следующем:

• Дистрибутив приложения в формате Microsoft Installer (MSI-пакет) размещается в папке общего доступа (в папке, к которой имеют доступ на чтение учетные записи LocalSystem устройств).
• В групповой политике Active Directory создается объект установки данного дистрибутива.
• Область действия установки задается привязкой к организационному подразделению и / или к группе безопасности, в которую входят устройства.
• При очередном входе устройства в домен (до входа в систему пользователей устройства) выполняется проверка наличия требуемого приложения среди установленных приложений. Если приложение отсутствует, происходит загрузка дистрибутива с заданного в политике ресурса и его установка.

Одним из преимуществ этого способа развертывания является то, что назначенные приложения устанавливаются на устройства при загрузке операционной системы еще до входа пользователя в систему. Даже если пользователь, имеющий необходимые права, удалит приложение, при следующей загрузке операционной системы оно будет установлено снова. Недостатком этого способа развертывания является то, что произведенные администратором изменения в групповой политике не вступят в силу до перезагрузки устройств (без применения дополнительных средств).

С помощью групповых политик можно устанавливать как Агент администрирования, так и другие приложения, инсталляторы которых имеют формат Windows Installer.

При выборе этого способа развертывания, помимо прочего, необходимо оценить нагрузку на файловый ресурс, с которого будет осуществляться копирование файлов на устройства при применении групповой политики Windows.

Работа с политиками Microsoft Windows с помощью задачи удаленной установки приложений Kaspersky Security Center

Самым простым способом установки программ с помощью групповых политик Microsoft Windows является выбор параметра Назначить установку инсталляционного пакета в групповых политиках Active Directory в свойствах задачи удаленной установки приложений Kaspersky Security Center. В этом случае при запуске задачи Сервер администрирования самостоятельно выполнит следующие действия:

• Создаст необходимые объекты в групповой политике Microsoft Windows.
• Создаст специальные группы безопасности, в которые включит устройства, и назначит установку выбранных приложений для этих групп безопасности. Состав групп безопасности будет актуализироваться при каждом запуске задачи в соответствии с набором устройств на момент запуска.

Для обеспечения работоспособности данной функции следует указать в параметрах задачи учетную запись, имеющую права на редактирование групповых политик Active Directory.

Если с помощью одной задачи предполагается установить и Агент администрирования, и другое приложение, выбор параметра Назначить установку инсталляционного пакета в групповых политиках Active Directory приведет к созданию в политике Active Directory объекта установки только для Агента администрирования. Второе выбранное в задаче приложение будет устанавливаться уже средствами Агента администрирования, как только он будет установлен на устройстве. Если по какой-то причине необходимо установить отличное от Агента администрирования приложение именно с помощью групповых политик Windows, то нужно создать задачу установки только для этого инсталляционного пакета (без пакета Агента администрирования). Не все приложения могут быть установлены с помощью групповых политик Microsoft Windows. О такой возможности вы можете узнать, обратившись к информации о способах установки приложения.

В случае, когда необходимые объекты создаются в групповой политике средствами Kaspersky Security Center, в качестве источника инсталляционного пакета будет использована папка общего доступа Kaspersky Security Center. При планировании развертывания следует соотнести скорость чтения из этой папки с количеством устройств и размером устанавливаемого дистрибутива. Возможно, будет целесообразно расположить папку общего доступа Kaspersky Security Center в мощном специализированном файловом хранилище.

Помимо простоты, автоматическое создание групповых политик Windows средствами Kaspersky Security Center имеет еще одно преимущество: при планировании установки Агента администрирования легко указать группу администрирования Kaspersky Security Center, в которую будут автоматически перемещаться устройства по завершении установки. Группу можно указать в мастере создания задачи или в окне параметров задачи удаленной установки.

При работе с групповыми политиками Windows средствами Kaspersky Security Center задание устройств для объекта групповой политики осуществляется путем создания группы безопасности. Kaspersky Security Center синхронизирует состав группы безопасности с текущим набором устройств задачи. При использовании иных средств для работы с групповыми политиками можно привязывать объекты групповых политик непосредственно к выбранным подразделениям Active Directory.

Самостоятельная установка приложений с помощью политик Microsoft Windows

Администратор может самостоятельно создать в групповой политике Windows объекты, необходимые для установки. В этом случае можно сослаться на пакеты, лежащие в папке общего доступа Kaspersky Security Center, или выложить пакеты на отдельный файловый сервер и сослаться на них.

Возможны следующие сценарии установки:

• Администратор создает инсталляционный пакет и настраивает его свойства в Консоли администрирования. Объект групповой политики ссылается на MSI-файл этого сконфигурированного пакета, лежащего в папке общего доступа Kaspersky Security Center.
• Администратор создает инсталляционный пакет и настраивает его свойства в Консоли администрирования. Затем администратор копирует целиком подпапку EXEC этого пакета из папки общего доступа Kaspersky Security Center в папку на специализированном файловом ресурсе организации. Объект групповой политики ссылается MSI-файл этого пакета, лежащего в подпапке на специализированном файловом ресурсе организации.
• Администратор загружает дистрибутив приложения (в том числе дистрибутив Агента администрирования) из интернета и выкладывает его на специализированный файловый ресурс организации. Объект групповой политики ссылается MSI-файл этого пакета, лежащего в подпапке на специализированном файловом ресурсе организации. Настройка параметров инсталляции осуществляется путем настройки свойств MSI или настройкой файлов трансформации MST.

Принудительное развертывание с помощью задачи удаленной установки приложений Kaspersky Security Center

Чтобы выполнить первоначальное развертывание Агента администрирования или других программ, вы можете принудительно установить выбранные инсталляционные пакеты с помощью задачи удаленной установки Kaspersky Security Center при условии, что на каждом устройстве есть учетные записи пользователей с правами локального администратора.

Принудительная установка может быть использована и в случае, если устройства не доступны Серверу администрирования непосредственно: например, устройства расположены в изолированных сетях, или устройства расположены в локальной сети, а Сервер администрирования – в демилитаризованной зоне.

В случае первоначального развертывания Агент администрирования не устанавливается. Поэтому в параметрах задачи удаленной установки нельзя выбрать распространение файлов, необходимых для установки программы с помощью Агента администрирования. Вы можете распространять файлы, только используя ресурсы операционной системы с помощью Сервера администрирования или точки распространения.

Служба Сервера администрирования должна запускаться под учетной записью, имеющей права администратора на целевых устройствах. Также вы можете указать учетную запись, имеющую доступ к административным ресурсам общего доступа admin$, в параметрах задачи удаленной установки.

По умолчанию задача удаленной установки подключается к устройствам, используя учетные данные учетной записи, под которой запущен Сервер администрирования. Обратите внимание, что это учетная запись, используемая для доступа к административным ресурсам общего доступа admin$, а не учетная запись, под которой выполняется задача удаленной установки. Установка выполняется под учетной записью LocalSystem.

Вы можете указать целевые устройства явно (списком), выбрав группу администрирования Kaspersky Security Center, которой они принадлежат, либо созданием выборки устройств по определенному условию. Время запуска установки определяется расписанием задачи. Если в свойствах задачи включен параметр Запускать пропущенные задачи, задача может запускаться сразу при включении устройств или при переносе их в целевую группу администрирования.

Принудительная установка осуществляется путем доставки инсталляционных пакетов на целевые устройства, последующего копирования файлов на административный ресурс admin$ каждого из устройств и удаленной регистрации на них вспомогательных служб. Доставка инсталляционных пакетов на целевые устройства выполняется с помощью функции Kaspersky Security Center, отвечающей за сетевое взаимодействие. При этом должны выполняться следующие условия:

• Целевые устройства доступны со стороны Сервера администрирования или со стороны точки распространения.
• В сети корректно работает разрешение имен для устройств.
• На целевых устройствах включены административные ресурсы общего доступа admin$.
• На целевых устройствах запущены следующие системные службы:
  • Сервер (LanmanServer).

    По умолчанию эта служба запущена.

  • DCOM Server Process Launcher (DcomLaunch).
  • RPC Endpoint Mapper (RpcEptMapper).
  • Вызов удаленной процедуры (Remote Procedure Call, RpcSs).
• TCP-порт 445 открыт на целевых устройствах для обеспечения удаленного доступа с помощью инструментов Windows.

  TCP 139, UDP 137 и UDP 138 используются старыми протоколами и больше не нужны для текущих программ.

  На сетевом экране должны быть разрешены динамические исходящие порты доступа для соединения Сервера администрирования и точек распространения с целевыми устройствами.

• В параметрах безопасности политики домена Active Directory разрешено обеспечивать работу NTLM-протокола при развертывании Агента администрирования.
• На целевых устройствах под управлением Microsoft Windows XP режим Simple File Sharing выключен.
• На целевых устройствах настроена модель совместного доступа и безопасности Классическая – локальные пользователи выполняют аутентификацию самих себя. Такая модель не может быть Только гостевой – локальные пользователи выполняют аутентификацию как Гость.
• Устройства являются членами домена, либо на устройствах заблаговременно созданы унифицированные учетные записи с административными правами.

Чтобы успешно развернуть Агент администрирования или другие программы на устройстве, не подключенном к домену Active Directory с версией операционной системы Windows Server 2003 и выше, необходимо выключить удаленный UAC на этом устройстве. Удаленный UAC – это одна из причин, по которой учетные записи локальных администраторов не могут получить доступ к admin$, который требуется для принудительного развертывания Агента администрирования и других программ. Выключение удаленного UAC не влияет на локальный UAC.

При установке на новые устройства, еще не размещенные в группах администрирования Kaspersky Security Center, в свойствах задачи удаленной установки можно задать группу администрирования, в которую устройства будут перемещаться по завершении установки на них Агента администрирования.

При создании групповой задачи необходимо помнить, что групповая задача действует на устройства всех вложенных подгрупп выбранной группы. Поэтому не следует дублировать задачи установки в подгруппах.

Упрощенным способом создания задач для принудительной установки программ является автоматическая установка. Для этого в свойствах группы администрирования вам нужно открыть список инсталляционных пакетов и выбрать те пакеты, которые должны быть установлены на устройствах этой группы. В результате на всех устройствах этой группы и ее подгрупп будут автоматически установлены выбранные инсталляционные пакеты. Период, в течение которого будут установлены пакеты, зависит от пропускной способности сети и общего количества устройств в сети.

Чтобы снизить нагрузку на Сервер администрирования при распространении инсталляционных пакетов на целевые устройства, вы можете выбрать установку с помощью точек распространения в задаче установки. Следует учитывать, что данный способ установки создает значительную нагрузку на устройства, назначенные точками распространения. Рекомендуется выбирать устройства, соответствующие требованиям для точек распространения. Если вы используете точки распространения, вам нужно убедиться, что они присутствуют в каждой из изолированных подсетей, на которых размещены целевые устройства.

Использование точек распространения в качестве локальных центров установки может быть удобно и для установки на устройства в подсетях, соединенных с Сервером администрирования узким каналом связи при наличии широкого канала связи между устройствами внутри подсети.

Объем свободного места в разделе с папкой %ALLUSERSPROFILE%\Application Data\KasperskyLab\adminkit должен многократно превосходить суммарный объем дистрибутивов устанавливаемых программ.

Запуск автономных пакетов, сформированных Kaspersky Security Center

Описанные выше способы первоначального развертывания Агента администрирования и приложений могут быть реализованы не всегда из-за невозможности выполнить все необходимые условия. В таких случаях из подготовленных администратором инсталляционных пакетов с необходимыми параметрами установки средствами Kaspersky Security Center можно создать единый исполняемый файл, который называется автономным пакетом установки. Автономный инсталляционный пакет размещается в папке общего доступа Kaspersky Security Center.

При помощи Kaspersky Security Center можно разослать по электронной почте выбранным пользователям ссылку на этот файл в папке общего доступа с просьбой запустить файл (интерактивно или с ключом тихой установки "-s"). Автономный инсталляционный пакет можно прикрепить к сообщению электронной почты для пользователей устройств, не имеющих доступа к папке общего доступа Kaspersky Security Center. Администратор может скопировать автономный пакет на съемный диск и доставить пакет на нужное устройство с целью его последующего запуска.

Автономный пакет можно создать из пакета Агента администрирования, пакета другого приложения (например, программы безопасности) или сразу из обоих пакетов. Если автономный пакет создан из Агента администрирования и другого приложения, установка начнется с Агента администрирования.

При создании автономного пакета с Агентом администрирования можно указать группу администрирования, в которую будут автоматически перемещаться новые устройства (ранее не размещенные в группах администрирования) по завершении установки на них Агента администрирования.

Автономные пакеты могут работать интерактивно (по умолчанию), с отображением результата установки входящих в них приложений, или в тихом режиме (при запуске с ключом "-s"). Тихий режим может быть использован для установки из каких-либо скриптов (например, из скриптов, настраиваемых для запуска по завершении развертывания образа операционной системы, и тому подобное). Результат установки в тихом режиме определяется кодом возврата процесса.

Возможности ручной установки приложений

Администраторы или опытные пользователи могут устанавливать приложения вручную в интерактивном режиме. При этом можно использовать как исходные дистрибутивы, так и сформированные из них инсталляционные пакеты, расположенные в папке общего доступа Kaspersky Security Center. Инсталляторы по умолчанию работают в интерактивном режиме, запрашивая у пользователя все необходимые значения параметров. Но при запуске процесса setup.exe из корня инсталляционного пакета с ключом "-s" инсталлятор будет работать в тихом режиме с параметрами, заданными при настройке инсталляционного пакета.

При запуске setup.exe из корня инсталляционного пакета расположенного в папке общего доступа Kaspersky Security Center, сначала произойдет копирование пакета во временную локальную папку, затем из локальной папки будет запущен инсталлятор приложения.

Создание MST-файла

Чтобы преобразовать содержимое пакета MSI и применить пользовательские параметры к существующему файлу MSI, необходимо создать файл преобразования в формате MST. Для этого используйте редактор Orca.exe, входящий в состав Windows SDK.

Чтобы создать MST-файл:

1. Запустите редактор Orca.exe.
2. Перейдите на вкладку File и в меню нажмите Open.
3. Выберите файл Kaspersky Network Agent.msi.
4. Перейдите на вкладку Transformation и в меню выберите New transformation.
5. В столбце Таблицы выберите Свойство и укажите следующие значения:
   • EULA=1
   • SERVERADDRESS=<Адрес Сервера администрирования>

   Нажмите на кнопку Сохранить.

6. Перейдите на вкладку Transform и в меню выберите Generate Transform.
7. В открывшемся окне укажите имя создаваемого файла трансформации и нажмите на кнопку Сохранить.

MST-файл сохранен.

Удаленная установка программ на устройства с установленным Агентом администрирования

Если на устройстве установлен работоспособный Агент администрирования, подключенный к главному Серверу администрирования или к одному из его подчиненных Серверов, то на этом устройстве можно обновлять версию Агента администрирования, а также устанавливать, обновлять или удалять с помощью Агента администрирования любые поддерживаемые приложения.

Эта функция включается параметром C помощью Агента администрирования в свойствах задачи удаленной установки приложений.

Если параметр выбран, то передача на устройства инсталляционных пакетов с заданными администратором инсталляционными параметрами осуществляется по каналам связи между Агентом администрирования и Сервером администрирования.

Для оптимизации нагрузки на Сервер администрирования и минимизации трафика между Сервером администрирования и устройствами целесообразно назначать в каждой удаленной сети или в каждом широковещательном домене точки распространения (см. разделы "О точках распространения" и "Построение структуры групп администрирования и назначение точек распространения"). В этом случае распространение инсталляционных пакетов и параметров инсталлятора осуществляется с Сервера администрирования на устройства через точки распространения.

Также с использованием точек распространения можно выполнять широковещательную (многоадресную) рассылку инсталляционных пакетов, что позволяет многократно снизить сетевой трафик в ходе развертывания программ.

При передаче инсталляционных пакетов на устройства по каналам связи между Агентами администрирования и Сервером администрирования подготовленные к передаче инсталляционные пакеты дополнительно кешируются в папке %ALLUSERSPROFILE%\Application Data\KasperskyLab\adminkit\1093\.working\FTServer. При использовании большого числа различных инсталляционных пакетов большого размера и при большом количестве точек распространения размер этой папки может существенно увеличиваться.

Удалять файлы из папки FTServer вручную нельзя. При удалении исходных инсталляционных пакетов соответствующие данные будут автоматически удаляться и из папки FTServer.

Данные, принимаемые точками распространения, сохраняются в папке %ALLUSERSPROFILE%\Application Data\KasperskyLab\adminkit\1103\$FTClTmp.

Удалять файлы из папки $FTClTmp вручную нельзя. По мере завершения задач, использующих данные из папки, содержимое этой папки будет удаляться автоматически.

Поскольку инсталляционные пакеты распространяются по каналам связи между Сервером администрирования и Агентами администрирования из промежуточного хранилища в оптимизированном для передачи по сети формате, нельзя вносить изменения в инсталляционные пакеты в исходной папке инсталляционного пакета. Такие изменения не будут автоматически учтены Сервером администрирования. Если необходимо изменить вручную файлы инсталляционных пакетов (хотя делать это не рекомендуется), нужно обязательно изменить какие-либо параметры инсталляционного пакета в Консоли администрирования. Изменение параметров инсталляционного пакета в Консоли администрирования заставит Сервер администрирования обновить образ пакета в кеше, подготовленном для передачи на устройства.

Управление перезагрузкой устройств в задаче удаленной установки

Часто для завершения удаленной установки приложений (особенно на платформе Windows) требуется перезагрузка устройства.

Если используется задача удаленной установки приложений Kaspersky Security Center, в мастере создания задачи или в окне свойств созданной задачи (раздел Перезагрузка операционной системы) можно выбрать вариант действия при необходимости перезагрузки:

• Не перезагружать устройство. В этом случае автоматическая перезагрузка не будет выполнена. Для завершения установки потребуется перезагрузить устройство (например, вручную или с помощью задачи управления устройствами). Информация о необходимости перезагрузки будет сохранена в результатах выполнения задачи и в статусе устройства. Этот вариант подходит для задач установки на серверы и другие устройства, для которых критически важна бесперебойная работа.
• Перезагрузить устройство. В этом случае перезагрузка всегда выполняется автоматически, если перезагрузка требуется для завершения установки. Этот вариант подходит для задач установки на устройства, для которых допустимы периодические перерывы в работе (выключение, перезагрузка).
• Запрашивать у пользователя. На экране клиентского устройства будет выводиться сообщение о том, что устройство должно быть перезагружено вручную. Для этого варианта можно настроить дополнительные параметры: текст сообщения для пользователя, периодичность сообщения, а также время, после которого перезагрузка будет выполнена принудительно (без подтверждения пользователя). Вариант Запрашивать у пользователя наиболее подходит для рабочих станций, пользователи которых должны иметь возможность выбрать наиболее подходящий момент для перезагрузки.

Целесообразность обновления баз в инсталляционном пакете программы безопасности

Перед началом развертывания защиты необходимо учитывать возможность обновления антивирусных баз (включая модули автопатчей), распространяемых вместе с дистрибутивом программы безопасности. Целесообразно перед началом развертывания принудительно обновить базы в составе инсталляционного пакета приложения (например, с помощью соответствующей команды в контекстном меню выбранного инсталляционного пакета). Это уменьшит количество перезагрузок, требующихся для завершения развертывания защиты на устройствах.

Использование средств удаленной установки приложений Kaspersky Security Center для запуска на управляемых устройствах произвольных исполняемых файлов

С помощью мастера создания инсталляционного пакета можно выбрать произвольный исполняемый файл и задать для него параметры командной строки. При этом в инсталляционный пакет можно поместить как сам выбранный файл, так и всю папку, в которой этот файл содержится. Затем следует создать задачу удаленной установки и выбрать созданный инсталляционный пакет.

В ходе работы задачи на устройствах будет запущен указанный при создании исполняемый файл с заданными параметрами командной строки.

Если используются инсталляторы в формате Microsoft Windows Installer (MSI), Kaspersky Security Center использует штатные возможности по анализу результата установки.

Если есть лицензия на Системное администрирование, при создании инсталляционного пакета для одного из поддерживаемых приложений, распространенных в корпоративной среде, Kaspersky Security Center также использует правила установки и анализа результатов установки, имеющиеся в его обновляемой базе.

В иных случаях для исполняемых файлов задача по умолчанию дожидается завершения запущенного процесса и всех порожденных им дочерних процессов. По завершении запущенных процессов задача будет завершена успешно независимо от кода возврата исходного процесса. Чтобы изменить такое поведение задачи, перед созданием задачи следует изменить вручную файлы с расширением kpd, сформированные Kaspersky Security Center в папке созданного инсталляционного пакета и в его подпапках.

Для того чтобы задача не ожидала завершения запущенного процесса, в секции [SetupProcessResult] нужно задать значение 0 для параметра Wait:

Для того чтобы на платформе Windows задача ожидала только завершения исходного процесса, но не порожденных им дочерних процессов, нужно в секции [SetupProcessResult] задать значение 0 для параметра WaitJob, например:

Для того чтобы задача завершалась успешно или с ошибкой в зависимости от кода возврата запущенного процесса, нужно перечислить успешные коды возврата в секции [SetupProcessResult_SuccessCodes], например:

В этом случае любой код, отличный от перечисленных, будет означать ошибку.

Для того чтобы в результатах задачи отображалась строка с комментарием об успешном завершении задачи или сообщения об ошибках, нужно задать краткие описания ошибок, соответствующих кодам возврата процесса, в секциях [SetupProcessResult_SuccessCodes] и [SetupProcessResult_ErrorCodes], например:

Для того чтобы задействовать средства Kaspersky Security Center по управлению перезагрузкой устройства (если перезагрузка необходима для завершения операции), нужно дополнительно перечислить коды возврата процесса, означающие необходимость перезагрузки, в секции [SetupProcessResult_NeedReboot]:

Мониторинг развертывания

Для контроля развертывания Kaspersky Security Center, а также для контроля наличия на управляемых устройствах программы безопасности и Агента администрирования, следует обращать внимание на цветовой индикатор в блоке Развертывание. Индикатор расположен в рабочей области узла Сервер администрирования в главном окне Консоли администрирования. Индикатор отображает текущее состояние развертывания. Рядом с индикатором отображается количество устройств с установленными Агентами администрирования и программами безопасности. При наличии активных задач установки отображается прогресс выполнения задач. При наличии ошибок установки, здесь отображается количество ошибок. Просмотреть детальную информацию об ошибке можно по ссылке.

Также можно воспользоваться диаграммой развертывания в рабочей области папки Управляемые устройства на закладке Группы. Диаграмма отражает процесс развертывания: количество устройств без Агента администрирования, с Агентом администрирования, с Агентом администрирования и программой безопасности.

Более детальное описание хода развертывания (или работы конкретной задачи установки) можно увидеть в окне результатов выполнения соответствующей задачи удаленной установки: В контекстном меню задачи выберите Результаты. В окне отображаются два списка: в верхнем списке содержится список состояний задачи на устройствах, а в нижнем – список событий задачи на устройстве, которое в данный момент выбрано в верхнем списке.

Информация об ошибках при развертывании записывается в журнал событий Kaspersky Event Log Сервера администрирования. Информация об ошибках также доступна в соответствующей выборке событий в узле Сервера администрирования на закладке События.

Настройка параметров инсталляторов

В разделе содержится информация о файлах инсталляторов Kaspersky Security Center и параметрах установки, а также рекомендации по установке Сервера администрирования и Агента администрирования в тихом режиме.

Общая информация

Инсталляторы компонентов Kaspersky Security Center 14 – Сервера администрирования, Агента администрирования, Консоли администрирования – построены на технологии Windows Installer. Ядром инсталлятора является MSI-пакет. Этот формат упаковки дистрибутива позволяет использовать все преимущества технологии Windows Installer: масштабируемость, возможность использовать систему патчевания, систему трансформации, возможность установки централизованно сторонними решениями, прозрачность регистрации в операционной системе.

Установка в тихом режиме (с файлом ответов)

В инсталляторах Сервера администрирования и Агента администрирования реализована возможность работы с файлом ответов (ss_install.xml), в котором записаны параметры для установки в тихом режиме без участия пользователя. Файл ss_install.xml расположен в той же папке, что и MSI-пакет, и используется автоматически при установке в тихом режиме. Вы можете включить режим автоматической установки с помощью ключа командной строки "/s".

Пример запуска:

Прежде чем запускать программу установки в тихом режиме, прочтите Лицензионное соглашение. Если в состав дистрибутива Kaspersky Security Center не входит TXT файл с текстом Лицензионного соглашения, вы можете загрузить этот файл с сайта "Лаборатории Касперского".

Файл ss_install.xml представляет собой внутренний формат параметров инсталлятора Kaspersky Security Center. В составе дистрибутивов поставляется файл ss_install.xml с параметрами по умолчанию.

Не следует изменять файл ss_install.xml вручную. Этот файл изменяется средствами Kaspersky Security Center при изменении параметров инсталляционных пакетов в Консоли администрирования.

Чтобы изменить файл ответов для установки Сервера администрирования:

1. Откройте дистрибутив Kaspersky Security Center. Если вы используете полный пакет EXE-файла, распакуйте его.
2. Сформируйте папку Сервер, откройте командную строку и выполните следующую команду:

   setup.exe /r ss_install.xml

   Запустится программа установки Kaspersky Security Center.

3. Следуйте инструкциям мастера, чтобы настроить установку Kaspersky Security Center.

По завершении работы мастера файл ответов автоматически изменится в соответствии с новыми параметрами, указанными вами.

Установка Агента администрирования в тихом режиме (без файла ответов)

Агент администрирования можно установить при помощи одного только msi-пакета, задавая при этом значения свойств MSI стандартным образом. Такой сценарий позволяет устанавливать Агент администрирования, используя групповые политики.

Не переименовывайте инсталляционный пакет Kaspersky Network Agent.msi. Переименование пакета может привести к ошибкам установки при обновлении Агента администрирования.

Для того чтобы не возникал конфликт между параметрами, заданными с помощью свойств MSI, и параметрами, заданными в файле ответов, предусмотрена возможность отключения файла ответов путем задания свойства DONT_USE_ANSWER_FILE=1. MSI-файл расположен в дистрибутиве программы Kaspersky Security Center в папке Packages\NetAgent\exec. Ниже приведен пример запуска инсталлятора Агента администрирования с помощью msi-пакета.

Установка Агента администрирования в неинтерактивном режиме требует принятия Лицензионного соглашения. Используйте параметр EULA=1, только если вы полностью прочитали, понимаете и принимаете условия Лицензионного соглашения.

Также параметры инсталляции msi-пакета можно задать, подготовив предварительно файл трансформации (файл с расширением mst). Команда будет выглядеть следующим образом:

В одной команде можно указать более одного файла трансформации.

Частичная настройка параметров установки через setup.exe

Запуская установку программ через setup.exe, можно передавать в MSI-пакет значения любых свойств MSI.

Команда будет выглядеть следующим образом:

Параметры установки Сервера администрирования

В таблице ниже описаны свойства MSI, которые можно настраивать при установке Сервера администрирования. Все параметры являются необязательными, кроме EULA и PRIVACYPOLICY.

Параметры установки Сервера администрирования в тихом режиме

Параметры установки Агента администрирования

В таблице ниже описаны свойства MSI, которые можно настраивать при установке Агента администрирования. Все параметры являются необязательными, кроме EULA и SERVERADDRESS.

Параметры установки Агента администрирования в тихом режиме

Виртуальная инфраструктура

Kaspersky Security Center поддерживает работу с виртуальными машинами. Вы можете установить Агент администрирования и программы безопасности на каждую виртуальную машину, а также вы можете защищать виртуальные машины на уровне гипервизора. В первом случае для защиты виртуальных машин можно использовать как обычную программу безопасности, так и Kaspersky Security для виртуальных сред Легкий агент. Во втором случае вы можете использовать Kaspersky Security для виртуальных сред Защита без агента.

Kaspersky Security Center поддерживает откат виртуальных машин к предыдущему состоянию.

Рекомендации по снижению нагрузки на виртуальные машины

В случае инсталляции Агента администрирования на виртуальную машину следует рассмотреть возможность отключения той части функциональности Kaspersky Security Center, которая не очень полезна для виртуальных машин.

При установке Агента администрирования на виртуальную машину или на шаблон, из которого в дальнейшем будут получены виртуальные машины, рекомендуется выполнить следующие действия:

• если выполняется удаленная установка, в окне свойств инсталляционного пакета Агента администрирования (в разделе Дополнительно) выбрать параметр Оптимизировать параметры для VDI;
• если выполняется интерактивная установка с помощью мастера, в окне мастера выбрать параметр Оптимизировать параметры Агента администрирования для виртуальной инфраструктуры.

Выбор параметров изменит параметры Агента администрирования таким образом, чтобы по умолчанию (до применения политики) были выключены следующие функции:

• получение информации об установленном программном обеспечении;
• получение информации об аппаратном обеспечении;
• получение информации о наличии уязвимостей;
• получение информации о необходимых обновлениях.

Как правило, перечисленные функции не нужны на виртуальных машинах в силу того, что программное обеспечение и виртуальное аппаратное обеспечение на них единообразны.

Выключение функций обратимо. Если любая из выключенных функций все же нужна, ее можно включить при помощи политики Агента администрирования, или в локальных параметрах Агента администрирования. Локальные параметры Агента администрирования доступны из контекстного меню соответствующего устройства в Консоли администрирования.

Поддержка динамических виртуальных машин

Kaspersky Security Center поддерживает динамические виртуальные машины. Если в сети организации развернута виртуальная инфраструктура, то в некоторых случаях могут использоваться динамические (временные) виртуальные машины. Такие машины создаются с уникальными именами из заранее подготовленного администратором шаблона. Пользователь работает с созданной машиной некоторое время, а после выключения виртуальная машина удаляется из виртуальной инфраструктуры. Если в сети организации развернут Kaspersky Security Center, то виртуальная машина с установленным на ней Агентом администрирования добавляется в базу данных Сервера администрирования. После выключения виртуальной машины запись о ней должна быть также удалена и из базы данных Сервера администрирования.

Чтобы функциональность автоматического удаления записей о виртуальных машинах работала, при установке Агента администрирования на шаблон, из которого будут созданы динамические виртуальные машины, нужно выбрать параметр Включить динамический режим для VDI:

• в случае удаленной установки – в окне свойств инсталляционного пакета Агента администрирования (раздел Дополнительно);
• в случае интерактивной установки – в мастере установки Агента администрирования.

Параметр Включить динамический режим для VDI не следует выбирать при установке Агента администрирования на физические устройства.

Если нужно, чтобы события с динамических виртуальных машин сохранялись на Сервере администрирования некоторое время после удаления машин, то следует в окне свойств Сервера администрирования в разделе Хранилище событий выбрать параметр Хранить события после удаления устройств и указать максимальное время хранения событий в днях.

Поддержка копирования виртуальных машин

Копирование виртуальной машины с установленным на нее Агентом администрирования или ее создание из шаблона с установленным Агентом администрирования эквивалентно развертыванию Агентов администрирования захватом и копированием образа жесткого диска. Поэтому в общем случае при копировании виртуальных машин нужно выполнять те же действия, что и при развертывании копированием образа диска.

Однако в описанных ниже двух случаях Агент администрирования обнаруживает факт копирования автоматически. Поэтому выполнять сложные действия, описанные в разделе "Развертывание захватом и копированием жесткого диска устройства", необязательно:

• При установке Агента администрирования был выбран параметр Включить динамический режим для VDI: после каждой перезагрузки операционной системы такая виртуальная машина будет считаться новым устройством, независимо от факта ее копирования.
• Используется один из следующих гипервизоров: VMware, HyperV или Xen: Агент администрирования определит факт копирования виртуальной машины по изменившимся идентификаторам виртуального аппаратного обеспечения.

Анализ изменений виртуального аппаратного обеспечения не абсолютно надежен. Прежде чем широко использовать данный метод, следует предварительно проверить его работоспособность на небольшом количестве виртуальных машин для используемой в организации версии гипервизора.

Поддержка отката файловой системы для устройств с Агентом администрирования

Kaspersky Security Center является распределенной программой. Откат файловой системы в предыдущее состояние на одном из устройств с установленным Агентом администрирования приведет к рассинхронизации данных и неправильной работе Kaspersky Security Center.

Откат файловой системы (или ее части) в предыдущее состояние может происходить в следующих случаях:

• при копировании образа жесткого диска;
• при восстановлении состояния виртуальной машины средствами виртуальной инфраструктуры;
• при восстановлении данных из резервной копии или точки восстановления.

Для Kaspersky Security Center критичны только те сценарии, при которых стороннее программное обеспечение на устройствах с установленным Агентом администрирования затрагивает папку %ALLUSERSPROFILE%\Application Data\KasperskyLab\adminkit\. Поэтому следует всегда исключать эту папку из процедуры восстановления, если это возможно.

Поскольку в ряде организаций регламент работы предполагает выполнение отката состояния файловой системы устройств, в Kaspersky Security Center, начиная с версии 10 Maintenance Release 1 (Сервер администрирования и Агенты администрирования должны быть версии 10 Maintenance Release 1 или выше), была добавлена поддержка обнаружения отката файловой системы на устройствах с установленным Агентом администрирования. В случае обнаружения такие устройства автоматически переподключаются к Серверу администрирования с полной очисткой и полной синхронизацией данных.

В Kaspersky Security Center 14 поддержка обнаружения отката файловой системы включена по умолчанию.

Следует при любой возможности избегать отката папки %ALLUSERSPROFILE%\Application Data\KasperskyLab\adminkit\ на устройствах с установленным Агентом администрирования, так как полная повторная синхронизация данных требует большого количества ресурсов.

Для устройства с установленным Сервером администрирования откат состояния системы недопустим. Недопустимым также является откат в предыдущее состояние базы данных, используемой Сервером администрирования.

Восстановить состояние Сервера администрирования из резервной копии можно только при помощи штатной утилиты klbackup.

Локальная установка программ

В этом разделе описана процедура установки программ, которые могут быть установлены на устройства только локально.

Для проведения локальной установки программ на выбранном клиентском устройстве вам необходимо обладать правами администратора на этом устройстве.

Чтобы установить программы локально на выбранное клиентское устройство:

1. Установите на клиентское устройство Агент администрирования и настройте связь клиентского устройства с Сервером администрирования.
2. Установите на устройство необходимые программы согласно описаниям, изложенным в Руководствах к этим программам.
3. Установите на рабочее место администратора плагин управления для каждой из установленных программ.

Kaspersky Security Center также поддерживает возможность локальной установки программ с помощью автономного инсталляционного пакета. Kaspersky Security Center не поддерживает установку всех программ "Лаборатории Касперского".

Локальная установка Агента администрирования

Развернуть все | Свернуть все

Чтобы установить Агент администрирования на устройство локально:

1. На устройстве запустите файл setup.exe из дистрибутива, полученного через интернет. Дополнительную информацию см. в следующих разделах: Получение инсталляционного пакета Агента администрирования из комплекта поставки Kaspersky Security Center.

   Откроется окно с выбором программ "Лаборатории Касперского" для установки.

2. В окне с выбором программ по ссылке Установить только Агент администрирования Kaspersky Security Center 14 запустите мастер установки Агента администрирования. Следуйте далее указаниям мастера.
   1. Сервер администрирования

      Порт

      Указан незащищенный порт, используемый Сервером администрирования для приема подключений от Агентов администрирования.

      По умолчанию номер порта – 14000.

      SSL-порт

      Указан SSL-порт, используемый Сервером администрирования для приема подключений от Агентов администрирования.

      По умолчанию номер порта – 13000.

      Использовать SSL для соединения с Сервером администрирования

      Если этот параметр включен, подключение к Серверу администрирования будет выполняться через защищенный порт с использованием SSL-протокола.

      По умолчанию параметр включен.

      Разрешить Агенту администрирования открыть UDP-порт

      Если этот параметр включен, программа установки автоматически открывает порт, используемый Сервером администрирования для управления клиентским устройством и получения информации о нем.

      По умолчанию параметр включен.

      UDP-порт

      Позволяет настроить порт, используемый Сервером администрирования для управления клиентским устройством и получения информации о нем.

      По умолчанию номер порта – 15000.

   2. Конфигурация прокси-сервера

      Использовать прокси-сервер

      Если этот параметр включен, можно указать учетные данные для аутентификации на прокси-сервере.

      Рекомендуется указывать данные учетной записи с минимальными правами, необходимыми только для аутентификации на прокси-сервере.

      По умолчанию параметр выключен.

      Адрес

      Порт

      Учетная запись

      Имя пользователя учетной записи, от имени которой будет выполняться подключение к прокси-серверу.

      Рекомендуется указывать данные учетной записи с минимальными правами, необходимыми только для аутентификации на прокси-сервере.

      Пароль

      Пароль учетной записи, от имени которой будет выполняться подключение к прокси-серверу.

      Рекомендуется указывать данные учетной записи с минимальными правами, необходимыми только для аутентификации на прокси-сервере.

   3. Шлюз соединения

      Не использовать шлюз соединения

      Использовать в качестве шлюза соединения в демилитаризованной зоне

      Выберите этот параметр, чтобы использовать Агент администрирования в качестве шлюза соединения в демилитаризованной зоне (DMZ) для подключения к Серверу администрирования, связи с ним и сохранения данных в безопасности на Агенте администрирования, во время передачи данных.

      Подключаться к Серверу администрирования через шлюз соединения

      Выберите этот параметр и укажите устройство, которое будет выполнять роль шлюза соединения.

   4. Сертификат Сервера администрирования
   5. Теги агента
   6. Дополнительные параметры

      Автоматически устанавливать применимые обновления и патчи для компонентов со статусом "Не определено"

      Рекомендуется оставить этот параметр включенным. Вы можете снять этот флажок, чтобы отключить автоматическое обновление и установку патчей для компонентов Kaspersky Security Center. Администратор может снова включить автоматическую установку позже с помощью политики.

      По умолчанию параметр выключен.

      Включить защиту службы Агента администрирования

      После того, как Агент администрирования был установлен на управляемом устройстве, компонент не может быть удален или изменен без требуемых прав. Работа Агента администрирования не может быть остановлена. Этот параметр не влияет на контроллеры домена.

      Включите этот параметр, чтобы защитить Агент администрирования на рабочих станциях, управляемых с правами локального администратора.

      По умолчанию параметр выключен.

      Включить динамический режим для VDI

      Если параметр включен, для Агента администрирования, установленного на виртуальной машине, будет включен динамический режим для Virtual Desktop Infrastructure (VDI).

      По умолчанию параметр выключен.

      Оптимизировать параметры Агента администрирования Kaspersky Security Center для виртуальной инфраструктуры. Выключить поиск уязвимостей и инвентаризацию программ и оборудования. Вы можете изменить заданные параметры, используя политики Агента администрирования.

      Если параметр включен, в параметрах Агента администрирования выключены следующие функции:

      • получение информации об установленном программном обеспечении;
      • получение информации об аппаратном обеспечении;
      • получение информации о наличии уязвимостей;
      • получение информации о необходимых обновлениях.

      По умолчанию параметр выключен.

   7. Запуск программы

По окончании работы мастера установки Агент администрирования будет установлен на устройстве.

Вы можете просмотреть свойства службы Агента администрирования Kaspersky Security Center, а также запускать, останавливать и контролировать активность Агента администрирования с помощью стандартных инструментов Microsoft Windows: Управление компьютером\Службы.

Установка Агента администрирования в тихом режиме

Агент администрирования может быть установлен в тихом режиме, то есть без интерактивного ввода параметров установки. Для тихой установки используется инсталляционный пакет (MSI) Агента администрирования. MSI-файл расположен в дистрибутиве программы Kaspersky Security Center в папке Packages\NetAgent\exec.

Не переименовывайте инсталляционный пакет Kaspersky Network Agent.msi. Переименование пакета может привести к ошибкам установки при обновлении Агента администрирования.

Установка Агента администрирования из пакета MSI возможна только в тихом режиме. Интерактивная установка Агента из пакета MSI не поддерживается.

Чтобы установить Агент администрирования на локальном устройстве в тихом режиме:

1. Прочитайте Лицензионное соглашение. Используйте команду ниже, только если вы поняли и принимаете условия Лицензионного соглашения.
2. Выполните команду

   msiexec /i "Kaspersky Network Agent.msi" /qn <setup_parameters>

   где setup_parameters – список параметров и их значений, отделенных друг от друга пробелом (PROP1=PROP1VAL PROP2=PROP2VAL).

   В список параметров вы должны включить параметр EULA=1. В противном случае Агент администрирования не будет установлен.

Если вы используете стандартные параметры подключения для Kaspersky Security Center и Агента администрирования на удаленных устройствах, выполните команду:

/l*vx – ключ для записи в журнал событий. Журнал событий создается при установке Агента администрирования и сохраняется в папке C:\windows\temp\nag_inst.log.

Помимо nag_inst.log, программа создает файл $klssinstlib.log, который содержит журнал событий установки. Этот файл хранится в папке %windir%\temp or %temp%. Для устранения неполадок вам или специалисту Службы технической поддержки "Лаборатории Касперского" могут потребоваться оба файла журнала – nag_inst.log и $klssinstlib.log.

Если вам необходимо дополнительно указать порт для подключения к Серверу администрирования, введите команду:

Параметр SERVERPORT соответствует номеру порта подключения к Серверу администрирования.

Имена и возможные значения параметров, которые можно использовать при установке Агента администрирования в тихом режиме, приведены в разделе Параметры установки Агента администрирования.

Установка Агента администрирования для Linux в тихом режиме (с файлом ответов)

Вы можете установить Агент администрирования на устройства с операционной системой Linux с помощью файла ответов – текстового файла, который содержит пользовательский набор параметров установки: переменные и их соответствующие значения. Использование файла ответов позволяет запустить установку в тихом режиме, то есть без участия пользователя.

Чтобы выполнить установку Агента администрирования для Linux в тихом режиме:

1. Подготовьте требуемое устройство с операционной системой Linux для удаленной установки. Загрузите и создайте пакет удаленной установки, используя пакет Агента администрирования .deb или .rpm, с помощью любой подходящей системы управления пакетами.
2. Если вы хотите установить Агент администрирования на устройства с операционной системой SUSE Linux Enterprise Server 15, сначала установите пакет insserv-compat, чтобы настроить Агент администрирования.
3. Прочитайте Лицензионное соглашение. Следуйте шагам ниже, только если вы понимаете и принимаете условия Лицензионного соглашения.
4. Задайте значение переменной среды KLAUTOANSWERS, введя полное имя файла ответов (включая путь), например, следующим образом:

   export KLAUTOANSWERS=/tmp/nagent_install/answers.txt

5. Создайте файл ответов (в формате TXT) в каталоге, который вы указали в переменной среды. Добавьте в файл ответов список переменных в формате VARIABLE_NAME = variable_value, каждая переменная находится на отдельной строке.

   Для правильного использования файла ответов вы должны включить в него минимальный набор из трех обязательных переменных:

   • KLNAGENT_SERVER
   • KLNAGENT_AUTOINSTALL
   • EULA_ACCEPTED

   Вы также можете добавить любые дополнительные переменные, чтобы использовать более конкретные параметры вашей удаленной установки. В следующей таблице перечислены все переменные, которые можно включать в файл ответов:

   Переменные файла ответов, используемые в качестве параметров установки Агента администрирования для Linux в тихом режиме

   Переменные файла ответов, используемые в качестве параметров установки Агента администрирования для Linux в тихом режиме

   Имя переменной	Обязательная	Описание	Возможные значения
   KLNAGENT_SERVER	Да	Содержит имя Сервера администрирования, представленное как полное доменное имя (FQDN) или IP-адрес.	DNS-имя устройства или IP-адрес.
   KLNAGENT_AUTOINSTALL	Да	Определяет, включен ли тихий режим установки.	1 – тихий режим включен; пользователю не предлагается никаких действий во время установки. Другое – тихий режим выключен; пользователю могут быть предложены действия во время установки.
   EULA_ACCEPTED	Да	Определяет, принимает ли пользователь Лицензионное соглашение Агента администрирования; если переменная не указана это может быть истолковано как отклонение Лицензионного соглашения.	1 – Я подтверждаю, что полностью прочитал(а), понимаю и принимаю положения и условия настоящего Лицензионного соглашения. Другое значение или не задано – Я не согласен с условиями Лицензионного соглашения (установка не выполняется).
   KLNAGENT_PROXY_USE	Нет	Определяет, будет ли соединение с Сервером администрирования использовать параметры прокси-сервера. По умолчанию указано значение 0.	1 – используются параметры прокси-сервера. Другое – параметра прокси-сервера не используются.
   KLNAGENT_PROXY_ADDR	Нет	Определяет адрес прокси-сервера, используемого для соединения с Сервером администрирования.	DNS-имя устройства или IP-адрес.
   KLNAGENT_PROXY_LOGIN	Нет	Определяет имя пользователя, используемое для входа на прокси-сервер.	Любое существующее имя пользователя.
   KLNAGENT_PROXY_PASSWORD	Нет	Определяет пароль пользователя, используемый для входа на прокси-сервер.	Любой набор букв и цифр, разрешенных форматом пароля в операционной системе.
   KLNAGENT_VM_VDI	Нет	Определяет, установлен ли Агент администрирования на образ для создания динамических виртуальных машин.	1 – Агент администрирования установлен на образ, который затем будет использован для создания динамических виртуальных машин. Другое – во время установки образ не используется.
   KLNAGENT_VM_OPTIMIZE	Нет	Определяет, являются ли параметры Агента администрирования оптимальными для гипервизора.	1 – локальные параметры Агента администрирования по умолчанию изменены таким образом, что они позволяют оптимизировать использование на гипервизоре.
   KLNAGENT_TAGS	Нет	Перечисляет теги, назначенные экземпляру Агента администрирования.	Один или несколько тегов, разделенных точкой с запятой.
   KLNAGENT_UDP_PORT	Нет	Определяет UDP-порт, используемый Агентом администрирования. По умолчанию указано значение 15000.	Любой существующий номер порта.
   KLNAGENT_PORT	Нет	Определяет порт (не TLS), используемый Агентом администрирования. По умолчанию указано значение 14000.	Любой существующий номер порта.
   KLNAGENT_SSLPORT	Нет	Определяет TLS-порт, используемый Агентом администрирования. По умолчанию указано значение 13000.	Любой существующий номер порта.
   KLNAGENT_USESSL	Нет	Определяет, используется ли безопасность транспортного уровня (TLS) для подключения.	1 (по умолчанию) – используется TLS. Другое – TLS не используется.
   KLNAGENT_GW_MODE	Нет	Определяет, используется ли шлюз соединения.	1 (по умолчанию) – текущие параметры не изменяются (при первом вызове шлюз соединения не указывается). 2 – шлюз соединения не используется. 3 – используется шлюз соединения. 4 – экземпляр Агента администрирования используется в качестве шлюза соединения в демилитаризованной зоне (DMZ).
   KLNAGENT_GW_ADDRESS	Нет	Определяет адрес шлюза соединения. Значение применимо, только если KLNAGENT_GW_MODE = 3.	DNS-имя устройства или IP-адрес.

6. Установка Агента администрирования:
   • Чтобы установить Агент администрирования из RPM-пакета на устройство с 32-разрядной операционной системой, выполните следующую команду:
     # rpm -i klnagent-<номер сборки>.i386.rpm
   • Чтобы установить Агент администрирования из RPM-пакета на устройство с 64-разрядной операционной системой, выполните следующую команду:
     # rpm -i klnagent64-<номер сборки>.x86_64.rpm
   • Чтобы установить Агент администрирования из RPM-пакета на устройство архитектуры ARM с 64-разрядной операционной системой, выполните следующую команду:
     # rpm -i klnagent64-<номер сборки>.aarch64.rpm
   • Чтобы установить Агент администрирования из DEB-пакета на устройство с 32-разрядной операционной системой, выполните следующую команду:
     # apt-get install ./klnagent_<номер сборки>_i386.deb
   • Чтобы установить Агент администрирования из DEB-пакета на устройство с 64-разрядной операционной системой, выполните следующую команду:
     # apt-get install ./klnagent64_<номер сборки>_amd64.deb
   • Чтобы установить Агент администрирования из DEB-пакета на устройство архитектуры ARM с 64-разрядной операционной системой, выполните следующую команду:
     # apt-get install ./klnagent64_<номер сборки>_arm64.deb

Установка Агента администрирования для Linux начинается в тихом режиме; пользователю не предлагается выполнять никаких действий во время процесса.

Установка Агента администрирования на Astra Linux в режиме замкнутой программной среды

В этом разделе описывается, как установить Агент администрирования для Linux на устройство с операционной системой Astra Linux Special Edition.

Перед установкой:

• Убедитесь, что на устройстве, на которое вы хотите установить Агент администрирования Linux, работает один из поддерживаемых дистрибутивов Linux.
• Загрузите ключ программы kaspersky_astra_pub_key.gpg.
• Загрузите установочный файл Агента администрирования с сайта "Лаборатории Касперского".

Выполните команды, представленные в этой инструкции, под учетной записью root.

Чтобы установить Агент администрирования для Linux на устройство с операционной системой Astra Linux Special Edition (обновление 1.7) и Astra Linux Special Edition (обновление 1.6):

1. Откройте файл /etc/digsig/digsig_initramfs.conf и укажите следующие параметры:

   DIGSIG_ELF_MODE=1

2. В командной строке введите следующую команду, чтобы установить пакет совместимости:

   apt install astra-digsig-oldkeys

3. Создайте директорию для ключа программы:

   mkdir -p /etc/digsig/keys/legacy/kaspersky/

4. Поместите ключ программы в директорию, созданную на предыдущем шаге:

   cp kaspersky_astra_pub_key.gpg /etc/digsig/keys/legacy/kaspersky/

5. Обновите оперативную память дисков:

   update-initramfs -u -k all

   Перезагрузите систему.

6. Установка Агента администрирования:
   • Чтобы установить Агент администрирования из DEB-пакета на устройство с 32-разрядной операционной системой, выполните следующую команду:
     # apt-get install ./klnagent_<номер сборки>_i386.deb
   • Чтобы установить Агент администрирования из DEB-пакета на устройство с 64-разрядной операционной системой, выполните следующую команду:
     # apt-get install ./klnagent64_<номер сборки>_amd64.deb
   • Чтобы установить Агент администрирования из DEB-пакета на устройство архитектуры ARM с 64-разрядной операционной системой, выполните следующую команду:
     # apt-get install ./klnagent64_<номер сборки>_arm64.deb

Агент администрирования для Linux установлен.

Установка Агента администрирования для Linux в интерактивном режиме

В этой статье описывается, как установить Агент администрирования на устройства с операционной системой Linux в интерактивном режиме, указав параметры установки шаг за шагом. Вы также можете использовать файл ответов – текстовый файл, который содержит пользовательский набор параметров установки: переменные и их соответствующие значения. Использование файла ответов позволяет запустить установку в тихом режиме, то есть без участия пользователя.

Чтобы установить Агент администрирования в интерактивном режиме:

1. Запустите инсталляционный пакет Агент администрирования. В зависимости от вашего дистрибутива Linux выполните одну из следующих команд:
   • Чтобы установить Агент администрирования из RPM-пакета на устройство с 32-битной операционной системой:

     # yum -i klnagent-<номер сборки>.i386.rpm

   • Чтобы установить Агент администрирования из RPM-пакета на устройство с 64-битной операционной системой:

     # yum -i klnagent64-<номер сборки>.x86_64.rpm

   • Чтобы установить Агент администрирования из RPM-пакета на устройство с 64-битной операционной системой для Arm-архитектуры:

     # yum -i klnagent64-<номер сборки>.aarch64.rpm

   • Чтобы установить Агент администрирования из DEB-пакета на устройство с 32-битной операционной системой:

     # apt install ./klnagent_<номер сборки>_i386.deb

   • Чтобы установить Агент администрирования из DEB-пакета на устройство с 64-битной операционной системой:

     # apt install ./klnagent64_<номер сборки>_amd64.deb

   • Чтобы установить Агент администрирования из DEB-пакета на устройство с 64-битной операционной системой для Arm-архитектуры:

     # apt install ./klnagent64_<номер сборки>_arm64.deb

2. Запустите настройку Агента администрирования:

   # /opt/kaspersky/klnagent64/bin/setup/postinstall.pl

3. Прочитайте Лицензионное соглашение. Текст отображается в окне командной строки. Нажмите пробел, чтобы просмотреть следующий фрагмент текста. При отображении запроса введите одно из следующих значений:
   • Введите y, если вы понимаете и принимаете условия Лицензионного соглашения.
   • Введите n, если вы не принимаете условия Лицензионного соглашения. Чтобы использовать Агент администрирования, вам нужно принять условия Лицензионного соглашения.
   • Введите r, чтобы снова отобразить Лицензионное соглашение.
4. Введите DNS-имя Сервера администрирования или IP-адрес.
5. Введите номер порта Сервера администрирования. По умолчанию номер порта – 14000.
6. Введите номер SSL-порта Сервера администрирования. По умолчанию номер порта – 13000.
7. Введите y, если вы хотите использовать SSL-шифрование для трафика между Агентом администрирования и Сервером администрирования. Иначе введите n.
8. Выберите один из следующих способов настройки Агента администрирования:
   • [1] – не настраивать шлюз соединения.

     Ваше устройство не будет выступать в роли шлюза соединения и не будет подключаться к Серверу администрирования через шлюз соединения.

   • [2] – не использовать шлюз соединения.

     Ваше устройство не будет подключаться к Серверу администрирования через шлюз соединения.

   • [3] – подключитесь к Серверу с помощью шлюза соединения.

     Ваше устройство будет подключаться к Серверу администрирования через шлюз соединения.

   • [4] – использовать в качестве шлюза соединения.

     Ваше устройство будет выступать в роли шлюза соединения.

Агент администрирования установлен на устройстве с операционной системой Linux.

Локальная установка плагина управления программой

Чтобы установить плагин управления программой,

на устройстве, где установлена Консоль администрирования, запустите исполняемый файл klcfginst.exe, входящий в дистрибутив этой программы.

Файл klcfginst.exe входит в состав всех программ, которыми может управлять Kaspersky Security Center. Установка сопровождается мастером и не требует настройки параметров.

Установка программ в тихом режиме

Чтобы установить программу в тихом режиме:

1. Откройте главное окно программы Kaspersky Security Center.
2. В папке дерева консоли Удаленная установка во вложенной папке Инсталляционные пакеты выберите инсталляционный пакет нужной программы или сформируйте для этой программы новый инсталляционный пакет.

   Инсталляционный пакет будет сохранен на Сервере администрирования в папке общего доступа в служебной папке Packages. При этом каждому инсталляционному пакету соответствует отдельная вложенная папка.

3. Откройте папку нужного инсталляционного пакета одним из следующих способов:
   • Скопируйте папку, соответствующую нужному инсталляционному пакету, с Сервера администрирования на клиентское устройство. Затем откройте скопированную папку на клиентском устройстве.
   • С клиентского устройства откройте на Сервере администрирования папку общего доступа, соответствующую нужному инсталляционному пакету.

   Если папка общего доступа расположена на устройстве с установленной операционной системой Microsoft Windows Vista, необходимо установить значение Выключено для параметра Управление учетными записями пользователей: все администраторы работают в режиме одобрения администратором (Пуск → Панель управления → Администрирование → Локальная политика безопасности → Параметры безопасности).

4. В зависимости от выбранной программы выполните следующие действия:
   • Для Антивируса Касперского для Windows Workstations, Антивируса Касперского для Windows Servers и Kaspersky Security Center перейдите во вложенную папку exec и запустите исполняемый файл (файл с расширением exe) с ключом /s.
   • Для остальных программ "Лаборатории Касперского" запустите из открытой папки исполняемый файл (файл с расширением exe) с ключом /s.

   Запуск исполняемого файла с ключами EULA=1 и PRIVACYPOLICY=1 означает, что вы полностью прочитали, поняли и принимаете положения Лицензионного соглашения и Политики конфиденциальности соответственно. Вам также известно, что ваши данные будут обрабатываться и передаваться (в том числе в третьи страны), как описано в Политике конфиденциальности. Текст Лицензионного соглашения и текст Политики конфиденциальности входят в комплект поставки Kaspersky Security Center. Согласие с положениями Лицензионного соглашения и Политики конфиденциальности является необходимым условием для установки программы или обновления предыдущей версии программы.

Установка программ с помощью автономных пакетов

Kaspersky Security Center позволяет формировать автономные инсталляционные пакеты программ. Автономный инсталляционный пакет представляет собой исполняемый файл, который можно разместить на Веб-сервере, отправить по почте или передать на клиентское устройство другим способом. Полученный файл можно запустить локально на клиентском устройстве для выполнения установки программы без участия Kaspersky Security Center.

Чтобы установить программу с помощью автономного инсталляционного пакета:

1. Подключитесь к нужному Серверу администрирования.
2. В дереве консоли в папке Удаленная установка выберите вложенную папку Инсталляционные пакеты.
3. В рабочей области выберите инсталляционный пакет нужной программы.
4. Запустите процесс создания автономного инсталляционного пакета одним из следующих способов:
   • В контекстном меню инсталляционного пакета выберите пункт Создать автономный инсталляционный пакет.
   • Перейдите по ссылке Создать автономный инсталляционный пакет в рабочей области инсталляционного пакета.

   В результате запускается мастер создания автономного инсталляционного пакета. Следуйте далее указаниям мастера.

   На завершающем шаге мастера выберите способ передачи автономного инсталляционного пакета на клиентское устройство.

5. Передайте автономный инсталляционный пакет программы на клиентское устройство.
6. Запустите автономный инсталляционный пакет на клиентском устройстве.

В результате программа будет установлена на клиентском устройстве с параметрами, указанными в автономном пакете.

При создании автономный инсталляционный пакет автоматически публикуется на Веб-сервере. Ссылка для загрузки автономного пакета отображается в списке созданных автономных инсталляционных пакетов. При необходимости вы можете отменить публикацию выбранного автономного пакета и снова опубликовать его на Веб-сервере. По умолчанию для загрузки автономных инсталляционных пакетов используется порт 8060.

Параметры инсталляционного пакета Агента администрирования

Развернуть все | Свернуть все

Чтобы настроить параметры инсталляционного пакета Агента администрирования:

1. В дереве консоли в папке Удаленная установка выберите вложенную папку Инсталляционные пакеты.

   Папка Удаленная установка по умолчанию вложена в папку Дополнительно.

2. В контекстном меню инсталляционного пакета Агента администрирования выберите пункт Свойства.

Откроется окно свойств инсталляционного пакета Агента администрирования.

Общие

Раздел Общие содержит общую информацию об инсталляционном пакете:

• название инсталляционного пакета;
• имя и версию программы, для которой сформирован инсталляционный пакет;
• размер инсталляционного пакета;
• дата создания инсталляционного пакета;
• путь к папке размещения инсталляционного пакета.

Параметры

В этом разделе можно настроить параметры, необходимые для обеспечения работоспособности Агента администрирования сразу после его установки. Параметры этого раздела доступны только для устройств под управлением Windows.

В блоке параметров Папка назначения можно выбрать папку на клиентском устройстве, в которую будет установлен Агент администрирования.

• Устанавливать в папку по умолчанию

  Если выбран этот вариант, Агент администрирования будет установлен в папку <Диск>:\Program Files\Kaspersky Lab\NetworkAgent. Если такой папки нет, она будет создана автоматически.

  По умолчанию выбран этот вариант.

• Устанавливать в заданную папку

  Если выбран этот вариант, Агент администрирования будет установлен в папку, указанную в поле ввода.

В блоке параметров ниже можно задать пароль для задачи удаленной деинсталляции Агента администрирования:

• Использовать пароль деинсталляции

  Если параметр включен, при нажатии на кнопку Изменить можно ввести пароль для удаления программы (доступно только для Агента администрирования на устройствах под управлением операционных систем семейства Windows).

  По умолчанию параметр выключен.

• Статус

  Статус пароля: Пароль задан или Пароль не задан.

  По умолчанию пароль не установлен.

• Защитить службу Агента администрирования от неавторизованного удаления, остановки или изменения параметров работы

  После того, как Агент администрирования был установлен на управляемом устройстве, компонент не может быть удален или изменен без требуемых прав. Работа Агента администрирования не может быть остановлена. Этот параметр не влияет на контроллеры домена.

  Включите этот параметр, чтобы защитить Агент администрирования на рабочих станциях, управляемых с правами локального администратора.

  По умолчанию параметр выключен.

• Автоматически устанавливать применимые обновления и патчи для компонентов со статусом "Не определено"

  Если этот параметр включен, все загруженные обновления и патчи для Сервера администрирования, Агента администрирования, Консоли администрирования, Сервера мобильных устройств Exchange ActiveSync и Сервера iOS MDM будут установлены автоматически.

  Если этот параметр выключен, то загруженные обновления и патчи будут установлены только после того, как вы измените их статус на Одобрено. Обновления и патчи со статусом Не определено не будут установлены.

  По умолчанию параметр включен.

Подключение

В этом разделе можно настроить параметры подключения Агента администрирования к Серверу администрирования. Для установления соединения можно использовать SSL-протокол или UDP-протокол. Для настройки соединения укажите следующие параметры:

• Сервер администрирования

  Адрес устройства, на котором установлен Сервер администрирования.

• Порт

  Номер порта, по которому будет выполняться подключение.

• SSL-порт

  Номер порта, по которому будет выполняться подключение с использованием протокола SSL.

• Использовать сертификат Сервера

  Если этот параметр включен, для аутентификации доступа Агента администрирования к Серверу администрирования будет использоваться файл сертификата, который можно указать при нажатии на кнопку Обзор.

  Если этот параметр выключен, файл сертификата будет получен с Сервера администрирования при первом подключении Агента администрирования по адресу, указанному в поле Адрес сервера.

  Не рекомендуется выключать параметр, так как автоматическое получение сертификата Сервера администрирования Агентом администрирования при подключении к Серверу является небезопасным.

  По умолчанию флажок установлен.

• Использовать SSL

  Если этот параметр включен, подключение к Серверу администрирования будет выполняться через защищенный порт с использованием SSL-протокола.

  По умолчанию параметр выключен. Чтобы ваше соединение оставалось безопасным, рекомендуется не выключать этот параметр.

• Использовать UDP-порт

  Если этот параметр включен, подключение Агента администрирования к Серверу администрирования будет выполняться через UDP-порт. Это позволяет управлять клиентскими устройствами и получать информацию о них.

  UDP-порт должен быть открыт на управляемых устройствах, на которых установлен Агент администрирования. Поэтому рекомендуется не выключать этот параметр.

  По умолчанию параметр включен.

• Номер UDP-порта

  В поле можно указать номер порта подключения Сервера администрирования к Агенту администрирования по протоколу UDP.

  По умолчанию номер UDP-порта – 15000.

• Открывать порты Агента администрирования в брандмауэре Microsoft Windows

  Если параметр включен, порты, используемые Агентом администрирования, будут добавлены в список исключений брандмауэра Microsoft Windows.

  По умолчанию параметр включен.

• Использовать прокси-сервер

  Если этот параметр выключен, для подключения устройства к Серверу администрирования используется прямое соединение.

  Если этот параметр включен, укажите параметры прокси-сервера:

  • Адрес прокси-сервера
  • Порт прокси-сервера

  Если ваш прокси-сервер требует аутентификации, включите параметр Аутентификация на прокси-сервере и укажите Имя пользователя и Пароль той учетной записи, под которой установлено соединение с прокси-сервером. Рекомендуется указывать данные учетной записи с минимальными правами, необходимыми только для аутентификации на прокси-сервере.

В целях совместимости не рекомендуется указывать параметры подключения к прокси-серверу в параметрах инсталляционного пакета Агента администрирования.

Дополнительно

В разделе Дополнительно, вы можете настроить, как использовать шлюз соединения. Для этого можно выполнить следующие действия:

• Используйте Агент администрирования в качестве шлюза соединения в демилитаризованной зоне (DMZ) для подключения к Серверу администрирования, связи с ним и сохранения данных в безопасности на Агенте администрирования, во время передачи данных.
• Подключайтесь к Серверу администрирования с помощью шлюза соединения, чтобы уменьшить количество подключений к Серверу администрирования. В этом случае введите адрес устройства, которое будет выступать в качестве шлюза соединения в поле Адрес шлюза соединения.
• Настройте подключение для Virtual Desktop Infrastructure (VDI), если в вашей сети есть виртуальные машины. Для этого выполните следующее:
  • Включить динамический режим для VDI

    Если параметр включен, для Агента администрирования, установленного на виртуальной машине, будет включен динамический режим для Virtual Desktop Infrastructure (VDI).

    По умолчанию параметр выключен.

  • Оптимизировать параметры для VDI

    Если параметр включен, в параметрах Агента администрирования выключены следующие функции:

    • получение информации об установленном программном обеспечении;
    • получение информации об аппаратном обеспечении;
    • получение информации о наличии уязвимостей;
    • получение информации о необходимых обновлениях.

    По умолчанию параметр выключен.

Дополнительные компоненты

В этом разделе можно выбрать дополнительные компоненты для совместной установки с Агентом администрирования.

Теги

В разделе Теги отображается список ключевых слов (тегов), которые можно добавлять клиентским устройствам после установки на них Агента администрирования. Вы можете добавлять и удалять теги из списка, а также переименовывать теги.

Если рядом с тегом установлен флажок, тег будет автоматически добавлен управляемым устройствам при установке на них Агента администрирования.

Если флажок рядом с тегом снят, тег не будет автоматически добавлен управляемым устройствам при установке на них Агента администрирования. Этот тег можно добавить устройствам вручную.

При удалении тега из списка тег автоматически снимается со всех устройств, которым он добавлен.

История ревизий

В этом разделе можно посмотреть историю ревизий инсталляционного пакета. Вы можете сравнивать ревизии, просматривать ревизии, сохранять ревизии в файл, добавлять и изменять описания ревизий.

Параметры инсталляционного пакета Агента администрирования доступны для конкретной операционной системы, которые приведены в таблице ниже.

Параметры инсталляционного пакета Агента администрирования

Просмотр Политики конфиденциальности

Политика конфиденциальности доступна в интернете на странице https://www.kaspersky.ru/products-and-services-privacy-policy; также она доступна в офлайн-режиме. Вы можете ознакомиться с Политикой конфиденциальности, например, перед установкой Агента администрирования.

Чтобы прочитать Политику конфиденциальности в офлайн-режиме:

1. Запустите установщик Kaspersky Security Center.
2. В окне установщика перейдите по ссылке Извлечь инсталляционные пакеты.
3. В открывшемся списке выберите Агент администрирования Kaspersky Security Center 14 и нажмите на кнопку Далее.

Файл privacy_policy.txt появится на вашем устройстве в указанной вами папке в подпапке NetAgent_<номер текущей версии>.

Развертывание систем управления мобильными устройствами

В этом разделе описано развертывание систем управления мобильных устройств по протоколам Exchange ActiveSync, iOS MDM и Kaspersky Endpoint Security.

Развертывание системы управления по протоколу Exchange ActiveSync

Kaspersky Security Center позволяет управлять мобильными устройствами, которые подключаются к Серверу администрирования по протоколу Exchange ActiveSync. Мобильными устройствами Exchange ActiveSync (EAS-устройствами) называются мобильные устройства, подключенные к Серверу мобильных устройств Exchange ActiveSync и находящиеся под управлением Сервера администрирования.

Протокол Exchange ActiveSync поддерживает следующие операционные системы:

• Windows Phone 8.
• Windows Phone 8.1.
• Windows 10 Mobile.
• Android. 
• iOS.

Набор параметров управления устройством Exchange ActiveSync зависит от операционной системы, под управлением которой находится мобильное устройство. С особенностями поддержки протокола Exchange ActiveSync для конкретной операционной системы можно ознакомиться в документации для этой операционной системы.

Развертывание системы управления мобильными устройствами по протоколу Exchange ActiveSync выполняется в следующей последовательности:

1. Администратор устанавливает на выбранное клиентское устройство Сервер мобильных устройств Exchange ActiveSync.
2. Администратор создает в Консоли администрирования профиль (профили) управления EAS-устройствами и добавляет профиль к почтовым ящикам пользователей Exchange ActiveSync.

   Профиль управления мобильными устройствами Exchange ActiveSync – это политика ActiveSync, которая используется на сервере Microsoft Exchange для управления мобильными устройствами Exchange ActiveSync. Почтовому ящику Microsoft Exchange может быть назначен только один профиль управления EAS-устройствами.

   Пользователи мобильных EAS-устройств подключаются к своим почтовым ящикам Exchange. Профиль управления накладывает ограничения на мобильные устройства.

Установка Сервера мобильных устройств Exchange ActiveSync

Сервер мобильных устройств Exchange ActiveSync устанавливается на клиентское устройство с установленным сервером Microsoft Exchange. Рекомендуется устанавливать Сервер мобильных устройств Exchange ActiveSync на сервер Microsoft Exchange с ролью Client Access. Если в одном домене несколько серверов Microsoft Exchange с ролью Client Access объединены в массив (Client Access Array), то рекомендуется устанавливать Сервер мобильных устройств Exchange ActiveSync в режиме кластера на каждый сервер Microsoft Exchange в массиве.

Чтобы установить Сервер мобильных устройств Exchange ActiveSync на локальном устройстве:

1. Запустите исполняемый файл setup.exe.

   Откроется окно с выбором программ "Лаборатории Касперского" для установки.

2. В окне с выбором программ по ссылке Установить Сервер мобильных устройств Exchange ActiveSync запустите мастер установки Сервера мобильных устройств Exchange ActiveSync.
3. В окне Настройка установки выберите тип установки Сервера мобильных устройств Exchange ActiveSync:
   • Если вы хотите установить Сервер мобильных устройств Exchange ActiveSync с использованием параметров по умолчанию, выберите вариант Стандартная установка и нажмите на кнопку Далее.
   • Если вы хотите задать вручную значения параметров установки Сервера мобильных устройств Exchange ActiveSync, выберите вариант Расширенная установка и нажмите на кнопку Далее. Затем выполните следующие действия:
     1. В окне Папка назначения выберите папку назначения. По умолчанию это <Диск>:\Program Files\Kaspersky Lab\Mobile Device Management for Exchange. Если такой папки нет, она будет создана автоматически в процессе установки. Вы можете изменить папку назначения с помощью кнопки Обзор.
     2. В окне Режим установки выберите режим установки Сервера мобильных устройств Exchange ActiveSync: обычный режим или режим кластера.
     3. В окне Выбор учетной записи выберите учетную запись, которая будет использоваться для управления мобильными устройствами:
        • Создать учетную запись и ролевую группу автоматически. Учетная запись будет создана автоматически.
        • Задать учетную запись. Учетную запись следует выбрать вручную. Нажмите на кнопку Обзор, чтобы выбрать пользователя, учетная запись которого будет использоваться, и укажите пароль. Выбранный пользователь должен входить в группу с правами на управление мобильными устройствами через ActiveSync.
     4. В окне Настройка IIS разрешите или запретите автоматическую настройку параметров веб-сервера Internet Information Services (IIS).

        Если вы запретили автоматическую настройку параметров IIS, включите вручную механизм аутентификации "Windows authentication" в параметрах IIS для виртуальной директории PowerShell. Если механизм аутентификации "Windows authentication" не будет включен, установленный Сервер мобильных устройств Exchange ActiveSync будет неработоспособен. Информацию о работе с параметрами IIS можно прочитать в документации для этого веб-сервера.

     5. Нажмите Далее.
4. В открывшемся окне проверьте значения параметров установки Сервера мобильных устройств Exchange ActiveSync и нажмите на кнопку Установить.

В результате работы мастера будет выполнена установка Сервера мобильных устройств Exchange ActiveSync на локальное устройство. Сервер мобильных устройств Exchange ActiveSync будет отображаться в папке Управление мобильными устройствами дерева консоли.

Подключение мобильных устройств к Серверу мобильных устройств Exchange ActiveSync

Перед подключением мобильных устройств должен быть настроен Microsoft Exchange Server для возможности соединения устройств по протоколу ActiveSync.

Чтобы подключить мобильное устройство к Серверу мобильных устройств Exchange ActiveSync, пользователь с мобильного устройства подключается к своему почтовому ящику Microsoft Exchange, используя ActiveSync. При подключении пользователь в клиенте ActiveSync должен указать параметры подключения, например, адрес электронной почты, пароль электронной почты.

Мобильное устройство пользователя, подключенное к серверу Microsoft Exchange, отображается в папке Мобильные устройства, вложенной в папку Управление мобильными устройствами дерева консоли.

После подключения мобильного устройства Exchange ActiveSync к Серверу мобильных устройств Exchange ActiveSync администратор может управлять подключенным мобильным устройством Exchange ActiveSync.

Настройка веб-сервера Internet Information Services

При использовании Microsoft Exchange Server версий 2010 и 2013 в настройках веб-сервера Internet Information Services (IIS) необходимо активировать механизм аутентификации Windows для виртуальной директории Windows PowerShell. Активация этого механизма аутентификации выполняется автоматически, если в мастере установки Сервера мобильных устройств Exchange ActiveSync выбран параметр Настроить Microsoft Internet Information Services (IIS) автоматически (поведение по умолчанию).

В противном случае необходимо активировать механизм аутентификации самостоятельно.

Чтобы активировать механизм аутентификации Windows для виртуальной директории PowerShell вручную:

1. В консоли Internet Information Services Manager откройте свойства виртуальной директории PowerShell.
2. Перейдите в раздел Authentication.
3. Выберите Microsoft Windows Authentication и нажмите на кнопку Enable.
4. Откройте дополнительные параметры Advanced Settings.
5. Выберите параметр Enable Kernel-mode authentication.
6. В раскрывающемся списке Extended protection выберите Required.

При использовании Microsoft Exchange Server версии 2007 настройка веб-сервера IIS не требуется.

Локальная установка Сервера мобильных устройств Exchange ActiveSync

Для локальной установки Сервера мобильных устройств Exchange ActiveSync администратор должен выполнить следующие действия:

1. Из дистрибутива Kaspersky Security Center скопировать содержимое папки \Server\Packages\MDM4Exchange\ на клиентское устройство.
2. Запустите исполняемый файл setup.exe.

Локальная установка подразумевает два типа инсталляции:

• Стандартная установка – упрощенная установка, не требующая со стороны администратора настройки каких-либо параметров, рекомендуется в большинстве случаев.
• Расширенная установка – установка, требующая от администратора настройки следующих параметров:
  • путь для установки Сервера мобильных устройств Exchange ActiveSync;
  • режим работы Сервера мобильных устройств Exchange ActiveSync: обычный или в режиме кластера;
  • возможность указания учетной записи, под которой будет работать служба Сервера мобильных устройств Exchange ActiveSync;
  • включение / выключение автоматической настройки веб-сервера IIS.

Мастер установки Сервера мобильных устройств Exchange ActiveSync следует запускать под учетной записью, обладающей необходимыми правами.

Удаленная установка Сервера мобильных устройств Exchange ActiveSync

Для настройки удаленной установки Сервера мобильных устройств Exchange ActiveSync администратор должен выполнить следующие действия:

1. В дереве Консоли администрирования Kaspersky Security Center выбрать папку Удаленная установка, в ней вложенную папку Инсталляционные пакеты.
2. Во вложенной папке Инсталляционные пакеты открыть свойства пакета Сервер мобильных устройств Exchange ActiveSync.
3. Перейти в раздел Параметры.

   В разделе содержатся те же параметры, что и для локальной установки программы.

После настройки удаленной установки можно приступить к установке Сервера мобильных устройств Exchange ActiveSync.

Для установки Сервера мобильных устройств Exchange ActiveSync необходимо выполнить следующие действия:

1. В дереве Консоли администрирования Kaspersky Security Center выбрать папку Удаленная установка, в ней вложенную папку Инсталляционные пакеты.
2. Во вложенной папке Инсталляционные пакеты выбрать пакет Сервер мобильных устройств Exchange ActiveSync.
3. Открыть контекстное меню пакета и выбрать пункт Установить программу.
4. В открывшемся мастере удаленной установки выбрать одно устройство (или несколько устройств при установке в режиме кластера).
5. В поле Запускать мастер установки под указанной учетной записью указать учетную запись, под которой будет запущен процесс установки на удаленном устройстве.

   Учетная запись должна обладать необходимыми правами.

Развертывание системы управления по протоколу iOS MDM

Kaspersky Security Center позволяет управлять мобильными устройствами на платформе iOS. Мобильными устройствами iOS MDM называются мобильные устройства iOS, подключенные к Серверу iOS MDM и находящиеся под управлением Сервера администрирования.

Подключение мобильных устройств к Серверу iOS MDM выполняется в следующей последовательности:

1. Администратор устанавливает на выбранное клиентское устройство Сервер iOS MDM. Установка Сервера iOS MDM выполняется штатными средствами операционной системы.
2. Администратор получает сертификат Apple Push Notification Service (APNs-сертификат).

   APNs-сертификат позволяет Серверу администрирования подключаться к серверу APNs для отправки push-уведомлений на мобильные устройства iOS MDM.

3. Администратор устанавливает на Сервере iOS MDM APNs-сертификат.
4. Администратор формирует iOS MDM-профиль для пользователя мобильного устройства iOS.

   iOS MDM-профиль содержит набор параметров подключения мобильных устройств iOS к Серверу администрирования.

5. Администратор выписывает пользователю общий сертификат.

   Общий сертификат необходим для подтверждения того, что мобильное устройство принадлежит пользователю.

6. Пользователь переходит по ссылке, высланной администратором, и загружает инсталляционный пакет на мобильное устройство.

   Инсталляционный пакет содержит сертификат и iOS MDM-профиль.

   После загрузки iOS MDM-профиля и синхронизации с Сервером администрирования мобильное устройство iOS MDM отображается в папке Мобильные устройства, вложенной в папку Управление мобильными устройствами дерева консоли.

7. Администратор добавляет конфигурационный профиль на Сервер iOS MDM и после подключения мобильного устройства устанавливает на него конфигурационный профиль.

   Конфигурационный профиль содержит набор параметров и ограничений для мобильного устройства iOS MDM, например, параметры установки приложений и использования различных функций устройства, параметры работы с электронной почтой и календарем. Конфигурационный профиль позволяет настраивать мобильные устройства iOS MDM в соответствии с политиками безопасности организации.

8. При необходимости администратор добавляет на Сервер iOS MDM provisioning-профили, а затем устанавливает provisioning-профили на мобильные устройства.

   Provisioning-профиль – это профиль, который используется для управления приложениями, распространяемыми не через App Store. Provisioning-профиль содержит информацию о лицензии и привязан к конкретному приложению.

Инсталляция Сервера iOS MDM

Чтобы установить Сервер iOS MDM на локальное устройство:

1. Запустите исполняемый файл setup.exe.

   Откроется окно с выбором программ "Лаборатории Касперского" для установки.

   В окне с выбором программ по ссылке Установить Сервер iOS MDM запустите мастер установки Сервера iOS MDM.

2. Выберите папку назначения.

   Папка назначения по умолчанию <Диск>:\Program Files\Kaspersky Lab\Mobile Device Management for iOS. Если такой папки нет, она будет создана автоматически в процессе установки. Вы можете изменить папку назначения с помощью кнопки Обзор.

3. В окне мастера Параметры подключения к Серверу iOS MDM в поле Внешний порт подключения к службе iOS MDM укажите внешний порт для подключения мобильных устройств к службе iOS MDM.

   Внешний порт 5223 используется мобильными устройствами для связи с APNs-сервером. Убедитесь, что в сетевом экране открыт порт 5223 для подключения к диапазону адресов 17.0.0.0/8.

   Для подключения устройства к Серверу iOS MDM по умолчанию используется порт 443. Если порт 443 уже используется другим сервисом или приложением, то его можно изменить, например, на порт 9443.

   Сервер iOS MDM использует внешний порт 2197 для отправки уведомлений на APNs-сервер.

   APNs-серверы работают в режиме сбалансированной нагрузки. Мобильные устройства не всегда подключаются к одним и тем же IP-адресам для получения уведомлений. Диапазон адресов 17.0.0.0/8 назначен компании Apple, поэтому рекомендуется указать весь этот диапазон как разрешенный в параметрах сетевого экрана.

4. Если вы хотите вручную настроить порты для взаимодействия между компонентами программы, выберите параметр Настроить локальные порты вручную, а затем укажите значения следующих параметров:
   • Порт подключения к Агенту администрирования. Укажите в поле порт подключения службы iOS MDM к Агенту администрирования. По умолчанию установлен порт 9799.
   • Локальный порт подключения к службе iOS MDM. Укажите в поле локальный порт подключения Агента администрирования к службе iOS MDM. По умолчанию установлен порт 9899.

   Рекомендуется использовать значения по умолчанию.

5. В окне мастера Внешний адрес Сервера мобильных устройств в поле Веб-адрес удаленного соединения с Сервером мобильных устройств укажите адрес клиентского устройства, на котором будет установлен Сервер iOS MDM.

   Этот адрес будет использоваться для подключения управляемых мобильных устройств к службе iOS MDM. Клиентское устройство должно быть доступно для подключения к нему iOS MDM-устройств.

   Вы можете указать адрес клиентского устройства в одном из следующих форматов:

   • FQDN-имя устройства (например, mdm.example.com);
   • NetBIOS-имя устройства.

   Не следует включать в строку с адресом URL-схему и номер порта: эти значения будут добавлены автоматически.

В результате работы мастера Сервер iOS MDM будет установлен на локальное устройство. Сервер iOS MDM отображается в папке Управление мобильными устройствами дерева консоли.

Установка Сервера iOS MDM в тихом режиме

Kaspersky Security Center позволяет устанавливать Сервер iOS MDM на локальное устройство в тихом режиме, то есть без интерактивного ввода параметров установки.

Чтобы установить Сервер iOS MDM на локальное устройство в тихом режиме:

1. Прочитайте Лицензионное соглашение. Используйте команду ниже, только если вы поняли и принимаете условия Лицензионного соглашения.
2. Выполните следующую команду:

   .\exec\setup.exe /s /v"DONT_USE_ANSWER_FILE=1 EULA=1 <setup_parameters>"

   где setup_parameters – перечень параметров и их значений, отделенных друг от друга пробелом (PROP1=PROP1VAL PROP2=PROP2VAL). Файл setup.exe расположен в папке Server внутри дистрибутива Kaspersky Security Center.

Имена и возможные значения параметров, которые можно использовать при установке Сервера iOS MDM в тихом режиме, приведены в таблице ниже. Параметры можно указывать в любом порядке.

Параметры установки Сервера iOS MDM в тихом режиме

Параметры установки Сервера iOS MDM подробно описаны в разделе "Установка Сервера iOS MDM".

Схемы развертывания Сервера iOS MDM

Количество установленных копий Сервера iOS MDM может быть выбрано как исходя из наличия доступного аппаратного обеспечения, так и в зависимости от общего количества обслуживаемых мобильных устройств.

Следует учесть, что на одну установку Kaspersky Device Management для iOS рекомендуется не более 50 000 мобильных устройств. С целью уменьшения нагрузки все множество устройств можно распределить между несколькими серверами с установленным Сервером iOS MDM.

Аутентификация iOS MDM-устройств осуществляется при помощи пользовательских сертификатов (профиль, устанавливаемый на устройство, содержит сертификат того пользователя, которому оно принадлежит). Поэтому возможны две схемы развертывания Сервера iOS MDM:

• упрощенная схема;
• схема развертывания с использованием принудительного делегирования Kerberos Constrained Delegation (KCD).

Упрощенная схема развертывания

При развертывании Сервера iOS MDM по упрощенной схеме мобильные устройства напрямую подключаются к веб-службе iOS MDM. При этом для аутентификации устройств могут быть использованы только пользовательские сертификаты, выпущенные Сервером администрирования. Интеграция с инфраструктурой открытых ключей (Public Key Infrastructure, PKI) для пользовательских сертификатов невозможна.

Схема развертывания с использованием принудительного делегирования Kerberos Constrained Delegation (KCD)

Для использования схемы развертывания с принудительным делегированием Kerberos Сервер администрирования и Сервер iOS MDM должны располагаться во внутренней сети организации.

Эта схема развертывания предполагает:

• интеграция с обратным прокси-сервером;
• использование для аутентификации мобильных устройств принудительного делегирования Kerberos Constrained Delegation;
• интеграцию с инфраструктурой открытых ключей (PKI) для использования пользовательских сертификатов.

При использовании этой схемы развертывания следует учесть следующее:

• В Консоли администрирования в параметрах веб-службы iOS MDM необходимо установить флажок Обеспечить совместимость с Kerberos constrained delegation.
• В качестве сертификата веб-службы iOS MDM следует указать особый (кастомизированный) сертификат, заданный на TMG при публикации на обратном прокси-сервере.
• Пользовательские сертификаты для iOS-устройств должны выписываться доменным Центром сертификации (Certification authority, далее CA). Если в домене несколько корневых CA, то пользовательские сертификаты должны быть выписаны CA, указанным при публикации веб-службы iOS MDM на обратном прокси-сервере.

  Обеспечить соответствие пользовательского сертификата указанному требованию возможно несколькими способами:

  • Указать пользовательский сертификат в мастере создания iOS MDM-профиля и в мастере установки сертификатов.
  • Интегрировать Сервер администрирования с доменным PKI и настроить соответствующий параметр в правилах выписки сертификатов:
    1. В дереве консоли в папке Управление мобильными устройствами выберите вложенную папку Сертификаты.
    2. В рабочей области папки Сертификаты по кнопке Настроить правила выпуска сертификатов откройте окно Правила выпуска сертификатов.
    3. В разделе Интеграция с PKI настройте интеграцию с инфраструктурой открытых ключей.
    4. В разделе Выпуск мобильных сертификатов укажите источник сертификатов.

Рассмотрим пример настройки ограниченного делегирования KCD со следующими допущениями:

• веб-служба iOS MDM запущена на 443 порте;
• имя устройства с обратного прокси-сервера – firewall.mydom.local;
• имя устройства с веб-службой iOS MDM – iosmdm.mydom.local;
• имя внешней публикации веб-службой iOS MDM – iosmdm.mydom.global.

Service Principal Name для http/iosmdm.mydom.local

В домене требуется прописать Service Principal Name (SPN) для устройства с веб-службой iOS MDM (iosmdm.mydom.local):

setspn -a http/iosmdm.mydom.local iosmdm

Настройка доменных свойств устройств с обратным прокси-сервером (firewall.mydom.local)

Для делегирования трафика можно доверить устройство с обратным прокси-сервером (firewall.mydom.local) службе, определенной по SPN (http/iosmdm.mydom.local).

Чтобы доверить устройство с обратным прокси-сервером службе, определенной по SPN (http/iosmdm.mydom.local), администратору нужно выполнить следующие действия:

1. В оснастке Microsoft Management Console "Active Directory Users and Computers" выбрать устройство с установленным обратным прокси-сервером (firewall.mydom.local).
2. В свойствах устройства на закладке Delegation для переключателя Trust this computer for delegation to specified service only выбрать вариант Use any authentication protocol.
3. В список Services to which this account can present delegated credentials добавить SPN http/iosmdm.mydom.local.

Особый (кастомизированный) сертификат для публикуемой веб-службы (iosmdm.mydom.global)

Требуется выписать особый (кастомизированный) сертификат для веб-службы iOS MDM на FQDN iosmdm.mydom.global и указать его взамен сертификата по умолчанию в параметрах веб-службы iOS MDM в Консоли администрирования.

Следует учесть, что в контейнере с сертификатом (файл с расширением p12 или pfx) также должна присутствовать цепочка корневых сертификатов (публичные части).

Публикации веб-службы iOS MDM на обратном прокси-сервере

На обратном прокси-сервере для трафика, идущего со стороны мобильного устройства на 443 порт iosmdm.mydom.global, необходимо настроить KCD на SPN http/iosmdm.mydom.local с использованием сертификата, выписанного для FQDN iosmdm.mydom.global. При этом следует учесть, что как на публикации, так и на публикуемой веб-службе должен быть один и тот же серверный сертификат.

Получение APNs-сертификата

Если у вас уже есть APNs-сертификат, обновите его, вместо создания нового. При замене существующего APNs-сертификата на вновь созданный Сервер администрирования теряет управление над подключенными в данный момент мобильными устройствами iOS.

После создания запроса Certificate Signing Request (далее CSR-запрос) на первом шаге мастера получения APNs-сертификата приватная часть будущего сертификата (private key) сохраняется в оперативной памяти устройства. Поэтому все шаги мастера должны быть завершены в рамках одной сессии работы с программой.

Чтобы получить APNs-сертификат:

1. В дереве консоли в папке Управление мобильными устройствами выберите вложенную папку Серверы мобильных устройств.
2. В рабочей области папки Серверы мобильных устройств выберите Сервер iOS MDM.
3. В контекстном меню Сервера iOS MDM выберите пункт Свойства.

   Откроется окно свойств Сервера iOS MDM.

4. В окне свойств Сервера iOS MDM выберите раздел Сертификаты.
5. В разделе Сертификаты в блоке параметров Сертификат Apple Push Notification нажмите на кнопку Запросить новый.

   Запустится мастер получения APNs-сертификата, откроется окно Запросить новый.

6. Создайте запрос Certificate Signing Request (далее CSR-запрос). Для этого выполните следующие действия:
   1. Нажмите на кнопку Создать CSR.
   2. В открывшемся окне Создание CSR укажите название запроса, название компании и департамента, город, область и страну.
   3. Нажмите на кнопку Сохранить и укажите имя файла, в котором будет сохранен CSR-запрос.

   Приватная часть (private key) будущего сертификата будет сохранена в памяти устройства.

7. Отправьте созданный файл с CSR-запросом на подпись в "Лабораторию Касперского" через ваш CompanyAccount.

   Подписание CSR-запроса доступно только после загрузки на портал CompanyAccount ключа, разрешающего использование Управления мобильными устройствами.

   После обработки вашего электронного запроса вы получите файл CSR-запроса, подписанный "Лабораторией Касперского".

8. Отправьте подписанный файл CSR-запроса на веб-сайт Apple Inc., используя произвольный Apple ID.

   Не рекомендуется использовать персональный Apple ID. Создайте отдельный Apple ID, чтобы использовать его как корпоративный. Созданный Apple ID привяжите к почтовому ящику организации, а не отдельного сотрудника.

   После обработки CSR-запроса в Apple Inc. вы получите публичную часть APNs-сертификата. Сохраните полученный файл на диск.

9. Экспортируйте APNs-сертификат вместе с приватным ключом, созданным при формировании CSR-запроса, в файл формата PFX. Для этого выполните следующие действия:
   1. В окне Запрос нового APNs-сертификата нажмите на кнопку Завершить CSR.
   2. В открывшемся окне Открыть выберите файл с публичной частью сертификата, полученный после обработки CSR-запроса в Apple Inc., и нажмите на кнопку Открыть.

      Запустится экспорт сертификата.

   3. В открывшемся окне введите пароль для приватного ключа, нажмите на кнопку ОК.

      Заданный пароль будет использоваться для установки APNs-сертификата на Сервер iOS MDM.

   4. В открывшемся окне Сохранение APNs-сертификата укажите имя файла для сохранения APNs-сертификата, выберите папку, в которую он будет сохранен, и нажмите на кнопку Сохранить.

Приватная и публичная части сертификата будут объединены, APNs-сертификат будет сохранен в файл формата PFX. После этого вы можете установить на Сервере iOS MDM APNs-сертификат.

Обновление APNs-сертификата

Чтобы обновить APNs-сертификат:

1. В дереве консоли в папке Управление мобильными устройствами выберите вложенную папку Серверы мобильных устройств.
2. В рабочей области папки Серверы мобильных устройств выберите Сервер iOS MDM.
3. В контекстном меню Сервера iOS MDM выберите пункт Свойства.

   Откроется окно свойств Сервера iOS MDM.

4. В окне свойств Сервера iOS MDM выберите раздел Сертификаты.
5. В разделе Сертификаты в блоке параметров Сертификат Apple Push Notification нажмите на кнопку Обновить.

   Запустится мастер обновления APNs-сертификата, откроется окно Обновление APNs-сертификата.

6. Создайте запрос Certificate Signing Request (далее CSR-запрос). Для этого выполните следующие действия:
   1. Нажмите на кнопку Создать CSR.
   2. В открывшемся окне Создание CSR укажите название запроса, название компании и департамента, город, область и страну.
   3. Нажмите на кнопку Сохранить и укажите имя файла, в котором будет сохранен CSR-запрос.

   Приватная часть (private key) будущего сертификата будет сохранена в памяти устройства.

7. Отправьте созданный файл с CSR-запросом на подпись в "Лабораторию Касперского" через ваш CompanyAccount.

   Подписание CSR-запроса доступно только после загрузки на портал CompanyAccount ключа, разрешающего использование Управления мобильными устройствами.

   После обработки вашего электронного запроса вы получите файл CSR-запроса, подписанный "Лабораторией Касперского".

8. Отправьте подписанный файл CSR-запроса на веб-сайт Apple Inc., используя произвольный Apple ID.

   Не рекомендуется использовать персональный Apple ID. Создайте отдельный Apple ID, чтобы использовать его как корпоративный. Созданный Apple ID привяжите к почтовому ящику организации, а не отдельного сотрудника.

   После обработки CSR-запроса в Apple Inc. вы получите публичную часть APNs-сертификата. Сохраните полученный файл на диск.

9. Запросите публичную часть сертификата. Для этого выполните следующие действия:
   1. Перейдите на портал Apple Push Certificates. Для авторизации на портале потребуется Apple Id, полученный при первичном запросе сертификата.
   2. В списке сертификатов выберите сертификат, APSP-имя которого (имя в формате "APSP: <номер>") совпадает с APSP-именем сертификата, используемого Сервером iOS MDM, и нажмите на кнопку Обновить.

      APNs-сертификат будет обновлен.

   3. Сохраните созданный порталом сертификат.
10. Экспортируйте APNs-сертификат вместе с приватным ключом, созданным при формировании CSR-запроса, в файл формата PFX. Для этого выполните следующие действия:
    1. В окне Обновление APNs-сертификата нажмите на кнопку Завершить CSR.
    2. В открывшемся окне Открыть выберите файл с публичной частью сертификата, полученный после обработки CSR-запроса в Apple Inc., и нажмите на кнопку Открыть.

       Запустится экспорт сертификата.

    3. В открывшемся окне введите пароль для приватного ключа, нажмите на кнопку ОК.

       Заданный пароль будет использоваться для установки APNs-сертификата на Сервер iOS MDM.

    4. В открывшемся окне Обновление APNs-сертификата укажите имя файла для сохранения APNs-сертификата, выберите папку, в которую он будет сохранен, и нажмите на кнопку Сохранить.

Приватная и публичная части сертификата будут объединены, APNs-сертификат будет сохранен в файл формата PFX.

Настройка резервного сертификата Сервера iOS MDM

Функциональность Сервера iOS MDM позволяет выписать резервный сертификат. Этот сертификат предназначен для использования в iOS MDM-профилях, чтобы обеспечить переключение управляемых iOS-устройств после истечения срока действия сертификата Сервера iOS MDM.

Если ваш Сервер iOS MDM использует сертификат выданный "Лабораторией Касперского" по умолчанию, вы можете выпустить резервный сертификат (или указать свой собственный сертификат в качестве резервного) до истечения срока действия сертификата Сервера iOS MDM. По умолчанию резервный сертификат автоматически выпускается за 60 дней до истечения срока действия сертификата Сервера iOS MDM. Резервный сертификат Сервера iOS MDM становится основным сразу после истечения срока действия сертификата Сервера iOS MDM. Открытый ключ распространяется на все управляемые устройства через конфигурационные профили, поэтому вам не нужно передавать его вручную.

Чтобы выпустить резервный сертификат Сервера iOS MDM или указать пользовательский резервный сертификат:

1. В дереве консоли в папке Управление мобильными устройствами выберите вложенную папку Серверы мобильных устройств.
2. В списке Серверов мобильных устройств выберите соответствующий Сервер iOS MDM и на правой панели нажмите на кнопку Настроить параметры Сервера iOS MDM.
3. В открывшемся окне свойств Сервера iOS MDM выберите раздел Сертификаты.
4. В блоке параметров Резервный сертификат выполните одно из следующих действий:
   • Если вы планируете и дальше использовать самоподписанный сертификат (то есть выписанный "Лабораторией Касперского"):
     1. Нажмите на кнопку Выпуск.
     2. В открывшемся окне Дата активации выберите один из двух вариантов даты, когда необходимо применить резервный сертификат:
        • Если вы хотите применить резервный сертификат в момент истечения срока действия текущего сертификата, выберите параметр Дата истечения срока действия текущего сертификата.
        • Если вы хотите применить резервный сертификат до истечения срока действия текущего сертификата, выберите параметр После указанного периода (сут). В поле ввода рядом с этим параметром укажите продолжительность периода, по истечении которого резервный сертификат должен заменить текущий сертификат.

        Срок действия указанного вами резервного сертификата не может превышать срок действия текущего сертификата Сервера iOS MDM.

     3. Нажмите на кнопку ОК.

     Резервный сертификат Сервера iOS MDM выпущен.

   • Если вы планируете использовать пользовательский сертификат, выпущенный доверенным центром сертификации:
     1. Нажмите на кнопку Добавить.
     2. В открывшемся окне проводника укажите файл сертификата в формате PEM, PFX или P12, который хранится на вашем устройстве, и нажмите на кнопку Открыть.

     Пользовательский сертификат указан как резервный сертификат Сервера iOS MDM.

Резервный сертификат Сервера iOS MDM указан. Подробная информация о резервном сертификате отображается в блоке параметров Резервный сертификат (название сертификата, название того, кто выписал сертификат, срок действия и дата применения резервного сертификата, если есть).

Установка APNs-сертификата на Сервер iOS MDM

После получения APNs-сертификата необходимо установить APNs-сертификат на Сервер iOS MDM.

Чтобы установить APNs-сертификат на Сервер iOS MDM:

1. В дереве консоли в папке Управление мобильными устройствами выберите вложенную папку Серверы мобильных устройств.
2. В рабочей области папки Серверы мобильных устройств выберите Сервер iOS MDM.
3. В контекстном меню Сервера iOS MDM выберите пункт Свойства.

   Откроется окно свойств Сервера iOS MDM.

4. В окне свойств Сервера iOS MDM выберите раздел Сертификаты.
5. В разделе Сертификаты в блоке параметров Сертификат Apple Push Notification нажмите на кнопку Установить.
6. Выберите файл формата PFX, содержащий APNs-сертификат.
7. Введите пароль приватного ключа, указанный при экспорте APNs-сертификата.

В результате APNs-сертификат будет установлен на Сервер iOS MDM. Информация о сертификате будет отображаться в окне свойств Сервера iOS MDM в разделе Сертификаты.

Настройка доступа к сервису Apple Push Notification

Для корректной работы веб-службы iOS MDM, а также для обеспечения своевременного реагирования мобильных устройств на команды администратора, в параметрах Сервера iOS MDM следует указать сертификат Apple Push Notification Service (далее APNs-сертификат).

Взаимодействуя с сервисом Apple Push Notification (далее APNs), веб-служба iOS MDM подключается к внешнему адресу api.push.apple.com по порту 2197 (исходящий). Поэтому веб-службе iOS MDM необходимо предоставить доступ к порту TCP 2197 для диапазона адресов 17.0.0.0/8. Со стороны iOS-устройства – доступ к порту TCP 5223 для диапазона адресов 17.0.0.0/8.

Если доступ к APNs со стороны веб-службы iOS MDM предполагается осуществлять через прокси-сервер, то на устройстве с установленным веб-службой iOS MDM необходимо выполнить следующие действия:

1. Прописать в Реестр следующие строки:
   • Для 32-разрядной операционной системы:

   HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\Components\34\Connectors\KLIOSMDM\1.0.0.0\Conset "ApnProxyHost"="<Proxy Host Name>" "ApnProxyPort"="<Proxy Port>" "ApnProxyLogin"="<Proxy Login>" "ApnProxyPwd"="<Proxy Password>"

   • Для 64-разрядной операционной системы:

   HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\KasperskyLab\Components\34\Connectors\KLIOSMDM\1.0.0.0\Conset "ApnProxyHost"="<Proxy Host Name>" "ApnProxyPort"="<Proxy Port>" "ApnProxyLogin"="<Proxy Login>" "ApnProxyPwd"="<Proxy Password>"

2. Перезапустить веб-службу iOS MDM.

Выписка и установка общего сертификата на мобильное устройство

Чтобы выписать общий сертификат пользователю:

1. В дереве консоли в папке Учетные записи пользователей выберите учетную запись пользователя.
2. В контекстном меню учетной записи пользователя выберите пункт Установить сертификат.

Будет запущен мастер установки сертификата. Следуйте далее указаниям мастера.

В результате работы мастера сертификат будет создан и добавлен в список сертификатов пользователя.

Выписанный сертификат пользователь загружает вместе с установочным пакетом, в котором содержится iOS MDM-профиль.

После подключения мобильного устройства к Серверу iOS MDM на устройстве пользователя будут применены параметры iOS MDM-профиля. Администратор сможет управлять подключенным устройством.

Мобильное устройство пользователя, подключенное к Серверу iOS MDM, отображается в папке Мобильные устройства, вложенной в папку Управление мобильными устройствами дерева консоли.

Добавление KES-устройства в список управляемых устройств

Чтобы добавить KES-устройство пользователя в список управляемых устройств с помощью ссылки на Google Play:

1. В дереве консоли выберите папку Учетные записи пользователей.

   По умолчанию папка Учетные записи пользователей вложена в папку Дополнительно.

2. Выберите учетную запись пользователя, мобильное устройство которого вы хотите добавить в список управляемых устройств.
3. В контекстном меню учетной записи пользователя выберите пункт Добавить мобильное устройство.

   Запустится мастер подключения мобильного устройства. В окне мастера Источник сертификата требуется указать способ создания общего сертификата, с помощью которого Сервер администрирования идентифицирует мобильное устройство. Вы можете задать общий сертификат одним из двух способов:

   • автоматически создать общий сертификат средствами Сервера администрирования и доставить сертификат на устройство;
   • указать файл общего сертификата.
4. В окне мастера Тип устройства выберите вариант Ссылка на Google Play.
5. В окне мастера Способ уведомления пользователей настройте параметры уведомления пользователя мобильного устройства о создании сертификата (с помощью SMS-сообщения, по электронной почте или информация будет отображена после окончания работы мастера).
6. В окне мастера Информация о сертификате нажмите на кнопку Готово для завершения работы мастера.

В результате работы мастера на устройство пользователя будет отправлена ссылка и QR-код для загрузки Kaspersky Endpoint Security для Android с Google Play. Пользователь переходит в магазин приложений Google Play по ссылке или отсканировав QR-код. После этого операционная система устройства запрашивает у пользователя согласие на установку Kaspersky Endpoint Security для Android. После загрузки и установки Kaspersky Endpoint Security для Android мобильное устройство подключается к Серверу администрирования и загружает общий сертификат. После установки сертификата на мобильное устройство это устройство будет отображаться в папке Мобильные устройства, вложенной в папку Управление мобильными устройствами дерева консоли.

Если приложение Kaspersky Endpoint Security для Android уже установлено на устройство, пользователю нужно самостоятельно ввести параметры подключения к Серверу администрирования, получив их у администратора. После настройки параметров подключения мобильное устройство подключается к Серверу администрирования. Администратор выписывает общий сертификат для устройства и отправляет пользователю сообщение электронной почты или SMS с именем пользователя и паролем для загрузки сертификата. Пользователь загружает и устанавливает общий сертификат. После установки сертификата на мобильное устройство это устройство будет отображаться в папке Мобильные устройства, вложенной в папку Управление мобильными устройствами дерева консоли. Повторная загрузка и установка Kaspersky Endpoint Security для Android в этом случае не выполняются.

Подключение KES-устройств к Серверу администрирования

В зависимости от способа подключения устройств к Серверу администрирования существует две схемы развертывания Kaspersky Device Management для iOS для KES-устройств:

• схема развертывания с использованием прямого подключения устройств к Серверу администрирования;
• схема развертывания с использованием обратного прокси-сервера, поддерживающего Kerberos Constrained Delegation.

Прямое подключение устройств к Серверу администрирования

KES-устройства могут напрямую подключаться к порту 13292 Сервера администрирования.

В зависимости от способа аутентификации существуют два варианта подключения KES-устройств к Серверу администрирования:

• подключение устройств с использованием пользовательского сертификата;
• подключение устройств без пользовательского сертификата.

Подключение устройства с использованием пользовательского сертификата

При подключении устройства с использованием пользовательского сертификата происходит привязка этого устройства к учетной записи пользователя, для которой средствами Сервера администрирования назначен соответствующий сертификат.

В этом случае будет использована двусторонняя аутентификация SSL (mutual authentication). Как Сервер администрирования, так и устройство будут аутентифицированы с помощью сертификатов.

Подключение устройства без пользовательского сертификата

При подключении устройства без пользовательского сертификата оно не будет привязано ни к одной учетной записи пользователя на Сервере администрирования. Но при получении устройством любого сертификата будет произведена привязка этого устройства к пользователю, которому средствами Сервера администрирования назначен соответствующий сертификат.

При подключении устройства к Серверу администрирования будет использована односторонняя SSL-аутентификация (one-way SSL authentication), при которой только Сервер администрирования аутентифицируется с помощью сертификата. После получения устройством пользовательского сертификата тип аутентификации будет изменен на двустороннюю аутентификацию SSL (2-way SSL authentication, mutual authentication).

Схема подключения KES-устройств к Серверу с использованием принудительного делегирования Kerberos (KCD)

Схема подключения KES-устройств к Серверу администрирования с использованием Kerberos Constrained Delegation (KCD) предполагает:

• интеграция с обратным прокси-сервером;
• использование принудительного делегирования Kerberos Constrained Delegation (далее KCD) для аутентификации мобильных устройств;
• интеграцию с инфраструктурой открытых ключей (Public Key Infrastructure, далее PKI) для использования пользовательских сертификатов.

При использовании этой схемы подключения следует учесть следующее:

• Тип подключения KES-устройств к обратному прокси-серверу должен быть "two-way SSL authentication", то есть устройство должно подключаться к обратному прокси-серверу по своему пользовательскому сертификату. Для этого в инсталляционный пакет Kaspersky Endpoint Security для Android, который установлен на устройстве, необходимо интегрировать пользовательский сертификат. Этот KES-пакет должен быть создан Сервером администрирования специально для данного устройства (пользователя).
• Вместо серверного сертификата по умолчанию для мобильного протокола следует указать особый (кастомизированный) сертификат:
  1. В окне свойств Сервера администрирования в разделе Параметры установить флажок Открыть порт для мобильных устройств и в раскрывающемся списке выбрать Добавить сертификат.
  2. В открывшемся окне указать тот же сертификат, что задан на обратном прокси-сервере при публикации точки доступа к мобильному протоколу на Сервере администрирования.
• Пользовательские сертификаты для KES-устройств должны выписываться доменным Certificate Authority (CA). Следует учесть, если в домене несколько корневых CA, то пользовательские сертификаты должны быть выписаны тем CA, который прописан в публикации на обратном прокси-сервере.

  Обеспечить соответствие пользовательского сертификата заявленному выше требованию возможно несколькими способами:

  • Указать особый пользовательский сертификат в мастере создания инсталляционных пакетов и в мастере установки сертификатов.
  • Интегрировать Сервер администрирования с доменным PKI и настроить соответствующий параметр в правилах выписки сертификатов:
    1. В дереве консоли в папке Управление мобильными устройствами выберите вложенную папку Сертификаты.
    2. В рабочей области папки Сертификаты по кнопке Настроить правила выпуска сертификатов откройте окно Правила выпуска сертификатов.
    3. В разделе Интеграция с PKI настройте интеграцию с инфраструктурой открытых ключей.
    4. В разделе Выпуск мобильных сертификатов укажите источник сертификатов.

Рассмотрим пример настройки ограниченного делегирования KCD со следующими допущениями:

• точка доступа к мобильному протоколу на Сервере администрирования поднята на 13292 порте;
• имя устройства с обратного прокси-сервера – firewall.mydom.local;
• имя устройства с Сервером администрирования – ksc.mydom.local;
• имя внешней публикации точки доступа к мобильному протоколу – kes4mob.mydom.global.

Доменная учетная запись для Сервера администрирования

Необходимо создать доменную учетную запись (например, KSCMobileSrvcUsr), под которой будет работать служба Сервера администрирования. Указать учетную запись для службы Сервера администрирования можно при установке Сервера администрирования или с помощью утилиты klsrvswch. Утилита klsrvswch расположена в папке установки Сервера администрирования. Путь установки по умолчанию: <Диск>:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Center.

Указать доменную учетную запись необходимо по следующим причинам:

• Функциональность по управлению KES-устройствами является неотъемлемой частью Сервера администрирования.
• Для правильной работы принудительного делегирования (KCD) принимающая сторона, которой является Сервер администрирования, должна работать под доменной учетной записью.

Service Principal Name для http/kes4mob.mydom.local

В домене под учетной записью KSCMobileSrvcUsr требуется прописать Service Principal Name (SPN) для публикации сервиса мобильного протокола на 13292 порту устройства с Сервером администрирования. Для устройства kes4mob.mydom.local с Сервером администрирования это будет выглядеть следующим образом:

setspn -a http/kes4mob.mydom.local:13292 mydom\KSCMobileSrvcUsr

Настройка доменных свойств устройств с обратным прокси-сервером (firewall.mydom.local)

Для делегирования трафика нужно доверить устройство с обратным прокси-сервером (firewall.mydom.local) службе, определенной по SPN (http/kes4mob.mydom.local:13292).

Чтобы доверить устройство с обратным прокси-сервером службе, определенной по SPN (http/kes4mob.mydom.local:13292), администратору нужно выполнить следующие действия:

1. В оснастке Microsoft Management Console "Active Directory Users and Computers" выбрать устройство с установленным обратным прокси-сервером (firewall.mydom.local).
2. В свойствах устройства на закладке Delegation для переключателя Trust this computer for delegation to specified service only выбрать вариант Use any authentication protocol.
3. В список Services to which this account can present delegated credentials добавить SPN http/kes4mob.mydom.local:13292.

Особый (кастомизированный) сертификат для публикации (kes4mob.mydom.global)

Для публикации мобильного протокола Сервера администрирования требуется выписать особый (кастомизированный) сертификат на FQDN kes4mob.mydom.global и указать его взамен серверного сертификата по умолчанию в параметрах мобильного протокола Сервера администрирования в Консоли администрирования. Для этого в окне свойств Сервера администрирования в разделе Параметры необходимо установить флажок Открыть порт для мобильных устройств и в раскрывающемся списке выбрать Добавить сертификат.

Следует учесть, что в контейнере с серверным сертификатом (файл с расширением p12 или pfx) должна также присутствовать цепочка корневых сертификатов (публичные части).

Настройка публикации на обратном прокси-сервере

На обратном прокси-сервере для трафика, идущего со стороны мобильного устройства на 13292 порт kes4mob.mydom.global, необходимо настроить KCD на SPN http/kes4mob.mydom.local:13292 с использованием серверного сертификата, выписанного для FQND kes4mob.mydom.global. При этом следует учесть, что как на публикации, так и на публикуемой точке доступа (13292 порт Сервера администрирования) должен быть один и тот же серверный сертификат.

Использование Google Firebase Cloud Messaging

Для обеспечения своевременного реагирования KES-устройств под управлением Android на команды администратора в свойствах Сервера администрирования следует включить использование сервиса Google Firebase Cloud Messaging (далее FCM).

Чтобы включить использование FCM:

1. В Консоли администрирования выберите узел Управление мобильными устройствами и папку Мобильные устройства.
2. В контекстном меню папки Мобильные устройства выберите пункт Свойства.
3. В окне свойств папки выберите раздел Параметры Google Firebase Cloud Messaging.
4. В полях Идентификатор отправителя и Ключ сервера укажите параметры FCM: SENDER_ID и API Key.

Сервис FCM работает на следующих диапазонах адресов:

• Со стороны KES-устройства необходим доступ на порты 443 (HTTPS), 5228 (HTTPS), 5229 (HTTPS), 5230 (HTTPS) следующих адресов:
  • google.com;
  • fcm.googleapis.com;
  • android.apis.google.com;
  • либо на все IP из списка "Google ASN 15169".
• Со стороны Сервера администрирования необходим доступ на порт 443 (HTTPS) следующих адресов:
  • fcm.googleapis.com;
  • либо на все IP из списка "Google ASN 15169".

В случае если в Консоли администрирования в свойствах Сервера администрирования заданы параметры прокси-сервера (Дополнительно / Параметры доступа к сети Интернет), то они будут использованы для взаимодействия с FCM.

Настройка FCM: получение SENDER_ID, API Key

Для настройки работы с FCM администратор должен выполнить следующие действия:

1. Зарегистрироваться на портале Google.
2. Перейти на портал для разработчиков.
3. Создать новый проект по кнопке Create Project, указать имя проекта и ID проекта.
4. Дождаться создания проекта.

   На первой странице проекта, в верхней части страницы, в поле Project Number указан искомый SENDER_ID.

5. Перейти в раздел APIs & auth / APIs, включить Google Firebase Cloud Messaging for Android.
6. Перейти в раздел APIs & auth / Credentials и нажать на кнопку Create New Key.
7. Нажмите на кнопку Ключ сервера.
8. Если есть, задать ограничения, нажать на кнопку Create.
9. Получить API Key из свойств только что созданного ключа (поле Ключ сервера).

Интеграция с инфраструктурой открытых ключей

Интеграция с инфраструктурой открытых ключей (Public Key Infrastructure, далее PKI) в первую очередь предназначена для упрощения выпуска доменных пользовательских сертификатов Сервером администрирования.

Администратор может назначить для пользователя доменный сертификат в Консоли администрирования. Это можно сделать одним из следующих способов:

• назначить пользователю особый (кастомизированный) сертификат из файла в мастере подключения нового устройства либо в мастере установки сертификатов;
• выполнить интеграцию с PKI и назначить PKI источником сертификатов для конкретного типа сертификатов либо для всех типов сертификатов.

Параметры интеграции с PKI доступны в рабочей области папки Управление мобильными устройствами / Сертификаты при переходе по ссылке Интегрировать с инфраструктурой открытых ключей.

Общий принцип интеграции с PKI для выпуска доменных сертификатов пользователей

В Консоли администрирования по ссылке Интегрировать с инфраструктурой открытых ключей в рабочей области папки Управление мобильными устройствами / Сертификаты следует задать доменную учетную запись, которая будет использована Сервером администрирования для выписки доменных пользовательских сертификатов посредством доменного CA (далее – учетная запись, под которой производится интеграция с PKI).

Обратите внимание:

• В параметрах интеграции с PKI существует возможность указать шаблон по умолчанию для всех типов сертификатов. Тогда как в правилах выпуска сертификатов (правила доступны в рабочей области папки Управление мобильными устройствами / Сертификаты по кнопке Настроить правила выпуска сертификатов) присутствует возможность задать шаблон для каждого типа сертификата отдельно.
• На устройстве с установленным Сервером администрирования в хранилище сертификатов учетной записи, под которой производится интеграция с PKI, должен быть установлен специализированный сертификат Enrollment Agent (EA). Сертификат Enrollment Agent (EA) выписывает администратор доменного CA (Certificate Authority).

Учетная запись, под которой производится интеграция с PKI, должна соответствовать следующим критериям:

• Является доменным пользователем.
• Является локальным администратором устройства с установленным Сервером администрирования, с которого производится интеграция с PKI.
• Обладает правом Вход в качестве службы.
• Под этой учетной записью необходимо хотя бы один раз запустить устройство с установленным Сервером администрирования, чтобы создать постоянный профиль пользователя.

Веб-сервер Kaspersky Security Center

Веб-сервер Kaspersky Security Center (далее Веб-сервер) – это компонент Kaspersky Security Center. Веб-сервер предназначен для публикации автономных инсталляционных пакетов, автономных инсталляционных пакетов для мобильных устройств, iOS MDM-профилей, а также файлов из папки общего доступа.

Созданные iOS MDM-профили и инсталляционные пакеты публикуются на Веб-сервере автоматически и удаляются после первой загрузки. Администратор может передать сформированную ссылку пользователю любым удобным способом, например, по электронной почте.

По полученной ссылке пользователь может загрузить на мобильное устройство предназначенную для него информацию.

Настройка Веб-сервера

Для тонкой настройки Веб-сервера в свойствах Веб-сервера Консоли администрирования предусмотрена возможность смены портов для протоколов HTTP (8060) и HTTPS (8061). Также, помимо смены портов, возможна смена серверного сертификата для HTTPS-протокола и смена FQDN-имени веб-сервера для HTTP-протокола.