Настройка защиты сети

В этом разделе содержится информация о настройке вручную политик и задач, о ролях пользователей, о построении структуры групп администрирования и об иерархии задач.

Сценарий: настройка защиты сети

Мастер первоначальной настройки создает политики и задачи с параметрами по умолчанию. Эти параметры могут оказаться не оптимальными или даже запрещенными в организации. Поэтому рекомендуется настроить эти политики и задачи и создать дополнительные политики и задачи, если это необходимо для вашей сети.

Предварительные требования

Прежде чем приступать, убедитесь, что вы выполнили следующее:

• Установили Сервер администрирования Kaspersky Security Center.
• Установили Kaspersky Security Center Web Console.
• Выполнили основной сценарий установки Kaspersky Security Center.
• Мастер первоначальной настройки завершен или следующие политики и задачи созданы вручную в группе администрирования Управляемые устройства:
  • политика Kaspersky Endpoint Security;
  • групповая задача обновления Kaspersky Endpoint Security;
  • политика Агента администрирования.

Настройка защиты сети состоит из следующих этапов:

1. Настройка и распространение политик и профилей политик для программ "Лаборатории Касперского"

   Для настройки и распространения параметров программ "Лаборатории Касперского", установленных на управляемых устройствах, можно использовать два различных подхода управления безопасностью: ориентированный на пользователей и ориентированный на устройства. Можно комбинировать эти два подхода.

2. Настройка задач для удаленного управления программами "Лаборатории Касперского"

   Проверьте задачи, созданные с помощью мастера первоначальной настройки, и при необходимости оптимизируйте их параметры.

   Инструкции: Настройка групповой задачи обновления Kaspersky Endpoint Security.

   При необходимости создайте дополнительные задачи управления программами "Лаборатории Касперского", установленными на клиентских устройствах.

3. Оценка и ограничение загрузки событий в базу данных

   Информация о событиях, которые возникают во время работы управляемых программ, передается с клиентского устройства и регистрируется в базе данных Сервера администрирования. Чтобы снизить нагрузку на Сервер администрирования, оцените и ограничьте максимальное количество событий, которые могут храниться в базе данных.

   Инструкции: Настройка количества событий в хранилище событий.

Результаты

После завершения этого сценария ваша сеть будет защищена благодаря настройке программ "Лаборатории Касперского", задач и событий, получаемых Сервером администрирования:

• Программы "Лаборатории Касперского" настроены в соответствии с политиками и профилями политик.
• Управление программами осуществляется с помощью набора задач.
• Задано максимальное количество событий, которые могут храниться в базе данных.

После завершения настройки защиты сети вы можете приступить к настройке регулярных обновлений баз и программ "Лаборатории Касперского".

Настройка и распространение политик: подход, ориентированный на устройства

После завершения этого сценария программы будут настроены на всех управляемых устройствах в соответствии с политиками программ и профилями политики, которые вы определяете.

Предварительные требования

Убедитесь, что вы установили Сервер администрирования Kaspersky Security Center и Kaspersky Security Center Web Console (если требуется). Если вы установили Kaspersky Security Center Web Console, вам может быть интересно также управление безопасностью, ориентированное на пользователей, в качестве альтернативы или дополнения к управлению безопасностью, ориентированному на устройства.

Этапы

Сценарий управления программами "Лаборатории Касперского", ориентированный на устройства, содержит следующие шаги:

1. Настройка политик программ

   Настройте параметры установленных программ "Лаборатории Касперского" на управляемых устройствах с помощью создания политики для каждой программы. Этот набор политик будет применен к клиентским устройствам.

   При настройке защиты сети с помощью мастера первоначальной настройки Kaspersky Security Center создает политику по умолчанию для следующих программ:

   • Kaspersky Endpoint Security для Windows – для клиентских устройств с операционной системой Windows.
   • Kaspersky Endpoint Security для Linux – для клиентских устройств с операционной системой Linux.

   Если вы завершили процесс настройки с помощью этого мастера, вам не нужно создавать новую политику для этой программы. Перейдите к настройке политики Kaspersky Endpoint Security вручную.

   Если у вас иерархическая структура нескольких Серверов администрирования и/или групп администрирования, подчиненные Серверы администрирования и дочерние группы администрирования наследуют политики от главного Сервера администрирования по умолчанию. Вы можете принудительно наследовать параметры дочерними группами и подчиненными Серверами администрирования, чтобы запретить любые изменения параметров политик вниз по иерархии. Если вы хотите разрешить наследовать только часть параметров, вы можете заблокировать их выше по иерархии политики. Остальные незаблокированные параметры будут доступны для изменения в политике ниже по иерархии. Созданная иерархия политик позволяет эффективно управлять устройствами в группах администрирования.

   Инструкции:

   • Консоль администрирования: Создание политики.
   • Kaspersky Security Center Web Console: Создание политики.
2. Создание профилей политики (если требуется)

   Если вы хотите, чтобы к устройствам из одной группы администрирования применялись разные параметры политики, создайте профили политики для этих устройств. Профиль политики представляет собой именованное подмножество параметров политики. Это подмножество параметров распространяется на устройства вместе с политикой и дополняет политику при выполнении определенного условия – условия активации профиля. Профили содержат только те параметры, которые отличаются от "базовой" политики, действующей на управляемом устройстве.

   Используя условия активации профиля, вы можете применять различные профили политики, например, к устройствам, расположенным в определенном подразделении или группе безопасности Active Directory, имеющим определенную конфигурацию программного обеспечения или имеющим заданные теги. Используйте теги для фильтрации устройств, соответствующих определенным критериям. Например, вы можете создать тег Windows, назначить его всем устройствам под управлением операционной системы Windows, а затем указать этот тег в правилах активации профиля политики. В результате на устройствах под управлением операционной системы Windows установленные программы "Лаборатории Касперского" будут управляться своим профилем политики.

   Инструкции:

   • Консоль администрирования:
     • Создание профиля политики
     • Создание правила активации профиля политики
   • Kaspersky Security Center Web Console:
     • Создание профиля политики
     • Создание правила активации профиля политики
3. Распространение политик и профилей политик на управляемые устройства

   По умолчанию синхронизация управляемых устройств с Сервером администрирования происходит раз в 15 минут. Вы можете пропустить автоматическую синхронизацию и запустить синхронизацию вручную с помощью команды Синхронизировать принудительно. Также принудительная синхронизация выполняется после создания или изменения политики или профиля политики. Во время синхронизации новые или измененные политики и профили политик применяются к управляемым устройствам.

   Если вы используете Kaspersky Security Center Web Console, можно проверить, доставлены ли политики и профили политик на устройства. Kaspersky Security Center определяет дату и время доставки в свойствах устройства.

   Инструкции:

   • Консоль администрирования: Принудительная синхронизация.
   • Kaspersky Security Center Web Console: Принудительная синхронизация.

Результаты

После завершения сценария, ориентированного на устройства, программы "Лаборатории Касперского" будут настроены в соответствии с параметрами, указанными и распространенными через иерархию политик.

Политики программ и профили политик будут автоматически применяться к новым устройствам, добавленным в группы администрирования.

Подходы к управлению безопасностью, ориентированные на устройства и на пользователей

Вы можете управлять параметрами безопасности с позиции функций устройства и с позиции пользовательских ролей. Первый подход называется управление безопасностью, ориентированное на устройства, второй подход называется управление безопасностью, ориентированное на пользователей. Чтобы применить разные параметры программ к разным устройствам, вы можете использовать один или оба типа управления в комбинации. Для реализации ориентированного на устройства метода управления безопасностью подходят средства Консоли администрирования на основе консоли управления Microsoft Management Console (MMC) и Kaspersky Security Center Web Console. Для реализации ориентированного на пользователей метода управления безопасностью подходит только Kaspersky Security Center Web Console.

Управление безопасностью, ориентированное на устройства, позволяет вам применять различные параметры программы безопасности к управляемым устройствам в зависимости от особенностей устройства. Например, вы можете применить различные параметры к устройствам, которые размещены в разных группах администрирования. Вы также можете разграничить устройства по использованию этих устройств в Active Directory или по характеристикам аппаратного обеспечения.

Управление безопасностью, ориентированное на пользователя, позволяет вам применять различные параметры программ безопасности к различным ролям пользователей. Вы можете создать несколько пользовательских ролей, назначить соответствующую пользовательскую роль каждому пользователю и определить различные параметры программы для устройств, принадлежащих пользователям с различными ролями. Например, можно применить различные параметры программ к устройствам бухгалтеров и к устройствам специалистов отдела кадров. В результате внедрения управления безопасностью, ориентированного на пользователей, каждый отдел – отдел бухгалтерии и отдел кадров – получит свою собственную конфигурацию параметров для работы с программами "Лаборатории Касперского". Конфигурация параметров определяет, какие параметры программы могут быть изменены пользователями, а какие принудительно установлены и заблокированы администратором.

Управление безопасностью, ориентированное на пользователей, позволяет применять заданные параметры программ для отдельных пользователей. Это может потребоваться, если сотруднику назначена уникальная роль в организации или если требуется проконтролировать инциденты безопасности, связанные с определенным сотрудником. В зависимости от роли этого сотрудника в компании, можно расширить или сократить его права, чтобы изменить параметры программы. Например, может потребоваться расширить права системного администратора, управляющего клиентскими устройствами в локальном офисе.

Вы также можете комбинировать подходы к управлению безопасностью, ориентированные на пользователей и ориентированные на устройства. Например, можно настроить разные политики для каждой группы администрирования, а затем дополнительно создать профили политик для одной или нескольких пользовательских ролей вашей организации. В этом случае политики и профили политик применяются в следующем порядке:

1. Применяются политики, созданные для управления безопасностью, ориентированного на устройства.
2. Они модифицируются профилями политик в соответствии с приоритетом профилей политик.
3. Политики модифицируются профилями политик, связанными с ролями пользователей.

Ручная настройка политики Kaspersky Endpoint Security

Этот раздел содержит рекомендации по настройке параметров политики Kaspersky Endpoint Security, которую создает мастер первоначальной настройки. Вы можете выполнить настройку в окне свойств политики.

При изменении параметра следует помнить, что для того, чтобы значение параметра использовалось на рабочей станции, следует нажать на кнопку с "замком" над параметром.

Настройка политики в разделе Продвинутая защита

Полное описание параметров этого раздела приведено в документации Kaspersky Endpoint Security для Windows.

В разделе Продвинутая защита можно настроить использование Kaspersky Security Network для Kaspersky Endpoint Security для Windows. Можно также настроить модули Kaspersky Endpoint Security для Windows, такие как Анализ поведения, Защита от эксплойтов, Предотвращение вторжений и Откат вредоносных действий.

В подразделе Kaspersky Security Network рекомендуется включить параметр Kaspersky Security Network. Использование этого параметра поможет перераспределить и оптимизировать трафик сети. Если параметр Kaspersky Security Network выключен, вы можете включить прямое использование серверов KSN.

Настройка политики в разделе Базовая защита

Полное описание параметров этого раздела приведено в документации Kaspersky Endpoint Security для Windows.

В разделе Базовая защита окна свойств политики рекомендуется указать дополнительные параметры в подразделах Сетевой экран и Защита от файловых угроз.

Подраздел Сетевой экран содержит параметры, позволяющие контролировать сетевую активность программ на клиентских устройствах. Клиентское устройство использует сеть, которой присвоен один из следующих статусов: общедоступная, локальная или доверенная. В зависимости от состояния сети Kaspersky Endpoint Security может разрешить или запретить сетевую активность на устройстве. Когда вы добавляете новую сеть в свою организацию, вы должны присвоить ей соответствующий сетевой статус. Например, если клиентским устройством является ноутбук, рекомендуется, чтобы это устройство использовало общедоступную или доверенную сеть, так как ноутбук не всегда подключен к локальной сети. В подразделе Сетевой экран можно проверить, правильно ли вы присвоили статусы используемым в вашей организации сетям.

Чтобы проверить список сетей:

1. В свойствах политики перейдите в раздел Базовая защита → Сетевой экран.
2. В блоке Доступные сети нажмите на кнопку Настройки.
3. В открывшемся окне Сетевой экран перейдите на вкладку Сети для просмотра списка сетей.

В подразделе Защита от файловых угроз можно отключить проверку сетевых дисков. Проверка сетевых дисков может создавать значительную нагрузку на сетевые диски. Целесообразнее осуществлять проверку непосредственно на файловых серверах.

Чтобы выключить проверку сетевых дисков:

1. В свойствах политики перейдите в раздел Базовая защита → Защита от файловых угроз.
2. В блоке Уровень безопасности нажмите на кнопку Настройки.
3. В открывшемся окне Защита от файловых угроз на вкладке Общие снимите флажок Все сетевые диски.

Настройка политики в разделе Дополнительные параметры

Полное описание параметров этого раздела приведено в документации Kaspersky Endpoint Security для Windows.

В разделе Общие настройки окна свойств политики, рекомендуется указать дополнительные параметры в подразделах Отчеты и хранилище и Интерфейс.

В подразделе Отчеты и хранилище перейдите в раздел Передача данных на Сервер администрирования. Флажок О запускаемых приложениях указывает, сохраняется ли в базе данных Сервера администрирования информация обо всех версиях всех модулей программ на устройствах в сети организации. Если этот флажок установлен, сохраненная информация может занимать значительный объем в базе данных Kaspersky Security Center (десятки гигабайтов). Снимите флажок О запускаемых приложениях, если он установлен в политике верхнего уровня.

Если Консоль администрирования управляет защитой от угроз в сети организации централизованно, выключите отображение пользовательского интерфейса Kaspersky Endpoint Security для Windows на рабочих станциях. Для этого в подразделе Интерфейс перейдите в раздел Взаимодействие с пользователем и выберите параметр Не отображать.

Чтобы включить защиту паролем на рабочих станциях, в подразделе Интерфейс перейдите в раздел Защита паролем, нажмите на кнопку Параметры и установите флажок Включить защиту паролем.

Настройка политики в разделе Настройка событий

В разделе Настройка событий следует выключить сохранение на Сервере администрирования всех событий, за исключением перечисленных ниже:

• На вкладке Критическое:
  • Автозапуск приложения выключен
  • Доступ запрещен
  • Запуск приложения запрещен
  • Лечение невозможно
  • Нарушено Лицензионное соглашение
  • Не удалось загрузить модуль шифрования
  • Невозможен запуск двух задач одновременно
  • Обнаружена активная угроза. Требуется запуск процедуры лечения активного заражения
  • Обнаружена сетевая атака
  • Обновлены не все компоненты
  • Ошибка активации
  • Ошибка активации портативного режима
  • Ошибка взаимодействия с Kaspersky Security Center
  • Ошибка деактивации портативного режима
  • Ошибка изменения состава компонентов приложения
  • Ошибка применения правил шифрования / расшифровки файлов
  • Политика не может быть применена
  • Процесс завершен
  • Сетевая активность запрещена
• На вкладке Отказ функционирования: Ошибка в настройках задачи. Настройки задачи не применены
• На вкладке Предупреждение:
  • Самозащита приложения выключена
  • Некорректный резервный ключ
  • Пользователь отказался от политики шифрования
• На вкладке Информационное: Запуск приложения запрещен в тестовом режиме.

Ручная настройка групповой задачи обновления Kaspersky Endpoint Security

Оптимальный и рекомендуемый вариант расписания для Kaspersky Endpoint Security версии 10 и выше – При загрузке обновлений в хранилище при установленном флажке Использовать автоматическое определение случайного интервала между запусками задачи.

Ручная настройка групповой задачи проверки устройства Kaspersky Endpoint Security

Мастер первоначальной настройки создает групповую задачу проверки устройства. По умолчанию для задачи выбрано расписание Запускать по пятницам в 19:00 с автоматической рандомизацией и снят флажок Запускать пропущенные задачи.

Это означает, что если устройства организации выключаются по пятницам, например, в 18:30, то задача проверки устройства никогда не будет запущена. Следует настроить оптимальное расписание этой задачи исходя из принятого в организации регламента работы.

Настройка расписания задачи Поиск уязвимостей и требуемых обновлений

Мастер первоначальной настройки создает для Агента администрирования групповую задачу Поиск уязвимостей и требуемых обновлений. По умолчанию для задачи выбрано расписание Запускать по вторникам в 19:00 с автоматической рандомизацией и установлен флажок Запускать пропущенные задачи.

Если регламент работы организации предусматривает выключение устройств в это время, то задача Поиск уязвимостей и требуемых обновлений будет запущена после включения устройства (в среду утром). Такое поведение может быть нежелательным, так как поиск уязвимостей может вызывать повышенную нагрузку на процессор и дисковую подсистему устройства. Следует настроить оптимальное расписание задачи исходя из принятого в организации регламента работы.

Ручная настройка групповой задачи установки обновлений и закрытия уязвимостей

Мастер первоначальной настройки создает для Агента администрирования групповую задачу установки обновлений и поиска уязвимостей. По умолчанию настроен запуск задачи ежедневно в 1:00 с автоматической рандомизацией, параметр Запускать пропущенные задачи выключен.

Если регламент работы организации предусматривает отключение устройств на ночь, то задача установки обновлений никогда не будет запущена. Следует задать оптимальное расписание задачи поиска уязвимостей исходя из принятого в организации регламента работы. Кроме того, следует учитывать, что в результате установки обновлений может потребоваться перезагрузка устройства.

Настройка количества событий в хранилище событий

В разделе Хранилище событий окна свойств Сервера администрирования можно настроить параметры хранения событий в базе данных Сервера администрирования: ограничить количество записей о событиях и время хранения записей. Когда вы указываете максимальное количество событий, программа вычисляет приблизительный размер дискового пространства для хранения указанного числа событий. Вы можете использовать этот расчет, чтобы оценить, достаточно ли у вас свободного дискового пространства, чтобы избежать переполнения базы данных. По умолчанию емкость базы данных Сервера администрирования – 400 000 событий. Максимальная рекомендованная емкость базы данных – 45 000 000 событий.

Программа проверяет базу данных каждые 10 минут. Если количество событий достигает на 10 000 больше указанного максимального значения, программа удаляет самые старые события, чтобы осталось только указанное максимальное количество событий.

Когда Сервер администрирования удаляет старые события, он не может сохранять новые события в базе данных. В течение этого периода информация о событиях, которые были отклонены, записывается в журнал событий Kaspersky Event Log. Новые события помещаются в очередь, а затем сохраняются в базе данных после завершения операции удаления.

Чтобы ограничить количество событий, которые можно сохранить в хранилище событий на Сервере администрирования:

1. В контекстном меню Сервера администрирования выберите пункт Свойства.

   Откроется окно свойств Сервера администрирования.

2. В разделе Хранилище событий укажите максимальное количество событий, хранящихся в базе данных.
3. Нажмите на кнопку ОК.

Также можно изменить параметры любой задачи, чтобы сохранять события, связанные с ходом выполнения задачи, или сохранять только результаты выполнения задачи. Таким образом вы уменьшаете количество событий в базе данных, увеличиваете скорость работы сценариев, связанных с анализом таблицы событий в базе данных, и снижаете риск вытеснения критических событий большим количеством событий.

Установка максимального срока хранения информации о закрытых уязвимостях

Чтобы установить максимальный срок хранения в базе данных информации об уже закрытых уязвимостях на управляемых устройствах:

1. В контекстном меню Сервера администрирования выберите пункт Свойства.

   Откроется окно свойств Сервера администрирования.

2. В разделе Хранилище событий укажите максимальный срок хранения информации о закрытых уязвимостях в базе данных.

   Срок, заданный по умолчанию, – 90 дней.

3. Нажмите на кнопку ОК.

Максимальный срок хранения информации о закрытых уязвимостях ограничен указанным количеством дней. После этого задача обслуживания Сервера администрирования удалит устаревшую информацию из базы данных.

Управление задачами

Kaspersky Security Center управляет работой программ, установленных на устройствах, путем создания и запуска различных задач. С помощью задач выполняются установка, запуск и остановка программ, проверка файлов, обновление баз и модулей программ, другие действия с программами.

Задачи делятся на следующие типы:

• Групповые задачи. Задачи, которые выполняются на устройствах выбранной группы администрирования.
• Задачи Сервера администрирования. Задачи, которые выполняются на Сервере администрирования.
• Задачи для наборов устройств. Глобальные задачи – это задачи, которые выполняются на выбранных устройствах, независимо от их вхождения в группы администрирования.
• Локальные задачи. Локальные задачи – это задачи, которые выполняются на конкретном устройстве.

Создание задач для программы возможно только в случае, если на рабочее место администратора установлен плагин управления этой программой.

Список устройств, для которых будет создана задача (до 1000 устройств), можно сформировать одним из следующих способов:

• Выбрать устройства, обнаруженные в сети Сервером администрирования.
• Задать список устройств вручную. В качестве адреса устройства вы можете использовать IP-адрес (или IP-интервал), NetBIOS- или DNS-имя.
• Импортировать список устройств из файла формата TXT, содержащего перечень адресов добавляемых устройств (каждый адрес должен располагаться в отдельной строке).

  Если список устройств импортируется из файла или формируется вручную, а устройства идентифицируются по имени, то в список могут быть добавлены только те устройства, информация о которых уже занесена в базу данных Сервера администрирования при подключении устройств или в результате обнаружения устройств.

Для каждой программы вы можете создавать любое количество групповых задач, задач для наборов устройств и локальных задач.

Обмен информацией о задачах между программой, установленной на устройстве, и информационной базой Kaspersky Security Center происходит в момент соединения Агента администрирования с Сервером администрирования.

Вы можете вносить изменения в параметры задач, наблюдать за выполнением задач, копировать, экспортировать и импортировать, а также удалять задачи.

Запуск задач на устройстве выполняется только в том случае, если запущена программа, для которой созданы эти задачи. При остановке программы выполнение всех запущенных задач прекращается.

Результаты выполнения задач сохраняются в журналах событий Microsoft Windows и в Kaspersky Security Center как централизованно на Сервере администрирования, так и локально на каждом устройстве.

Не используйте в параметрах задач конфиденциальные данные. Например, старайтесь не указывать пароль доменного администратора.

Управление задачами для программ, поддерживающих мультитенантность

Групповая задача для мультитенантных программ применяется к программам в зависимости от иерархии Серверов администрирования и клиентских устройств. Виртуальный Сервер администрирования, на котором создана задача, должен быть в той же группе администрирования, что и клиентское устройство, на котором установлена программа, или в группе более низкого уровня.

В событиях, которые соответствуют результатам выполнения задачи, администратору поставщика услуг отображается информация об устройстве, на котором выполнена задача. В свою очередь, администратору тенанта отображается Мультитенантный узел.

Создание задачи

В Консоли администрирования можно создавать задачи непосредственно в папке группы администрирования, для которой создается задача, и в рабочей области папки Задачи.

Чтобы создать групповую задачу в папке группы администрирования:

1. В дереве консоли выберите группу администрирования, для которой нужно создать задачу.
2. В рабочей области выберите закладку Задачи.
3. Запустите мастер создания задачи по кнопке Создать задачу.

Запустится мастер создания задачи. Следуйте далее указаниям мастера.

Чтобы создать задачу в рабочей области папки Задачи:

1. В дереве консоли выберите папку Задачи.
2. Запустите мастер создания задачи по кнопке Завершить.

Запустится мастер создания задачи. Следуйте далее указаниям мастера.

Не используйте в параметрах задач конфиденциальные данные. Например, старайтесь не указывать пароль доменного администратора.

Создание задачи Сервера администрирования

Сервер администрирования выполняет следующие функции:

• Рассылка отчетов.
• Загрузка обновлений в хранилище Сервера администрирования.
• Резервное копирование данных Сервера администрирования.
• Обслуживание Сервера администрирования.
• Выполнение синхронизации обновлений Центра обновления Windows.
• Создание инсталляционного пакета на основе образа ОС эталонного устройства.
• Удаленная установка программ.
• Удаленная деинсталляция программ.
• Распространять инсталляционные пакеты.
• Установка программ на подчиненные Серверы администрирования.

На виртуальном Сервере администрирования доступна только задача автоматической рассылки отчетов и задача создания инсталляционного пакета на основе образа операционной системы эталонного устройства. В хранилище виртуального Сервера отображаются обновления, загруженные на главный Сервер администрирования. Резервное копирование данных виртуального Сервера осуществляется в рамках резервного копирования данных главного Сервера администрирования.

Чтобы создать задачу Сервера администрирования:

1. В дереве консоли выберите папку Задачи.
2. Запустите процесс создания одним из следующих способов:
   • В контекстном меню папки дерева консоли Задачи выберите пункт Создать → Задачу.
   • В рабочей области папки Создать задачу нажмите на кнопку Задачи.

Запустится мастер создания задачи. Следуйте далее указаниям мастера.

Задачи Загрузка обновлений в хранилище Сервера администрирования, Синхронизация обновлений Windows Update, Обслуживание Сервера администрирования и Резервное копирование данных Сервера администрирования можно создать только в одном экземпляре. Если задачи Загрузка обновлений в хранилище Сервера администрирования, Обслуживание Сервера администрирования, Резервное копирование данных Сервера администрирования и Синхронизация обновлений Windows Update уже созданы для Сервера администрирования, то они не отображаются в окне выбора типа задачи мастера создания задачи.

Создание задачи для набора устройств

В Kaspersky Security Center можно создавать задачи для произвольно выбранного набора устройств. Устройства в наборе могут входить в разные группы администрирования или не входить ни в одну группу администрирования. Kaspersky Security Center позволяет выполнять следующие основные задачи для набора устройств:

• Удаленная установка программ.
• Отправка сообщения для пользователя.
• Смена Сервера администрирования.
• Управление устройствами.
• Проверка обновлений.
• Распространять инсталляционные пакеты.
• Установка программ на подчиненные Серверы администрирования.
• Удаленная деинсталляция программ.

Чтобы создать задачу для набора устройств:

1. В дереве консоли выберите папку Задачи.
2. Запустите процесс создания одним из следующих способов:
   • В контекстном меню папки дерева консоли Задачи выберите пункт Создать → Задачу.
   • В рабочей области папки Создать задачу нажмите на кнопку Задачи.

Запустится мастер создания задачи. Следуйте далее указаниям мастера.

Создание локальной задачи

Чтобы создать локальную задачу для устройства:

1. В рабочей области группы, в состав которой входит устройство, выберите закладку Устройства.
2. В списке устройств на закладке Устройства выберите устройство, для которого нужно создать локальную задачу.
3. Запустите процесс создания задачи для выбранного устройства одним из следующих способов:
   • Нажмите на кнопку Выполнить действие и в раскрывающемся списке выберите значение Создать задачу.
   • В рабочей области устройства перейдите по ссылке Создать задачу.
   • Используйте свойства устройства следующим образом:
     1. В контекстном меню устройства выберите пункт Свойства.
     2. В открывшемся окне свойств устройства выберите раздел Задачи и нажмите на кнопку Добавить.

Запустится мастер создания задачи. Следуйте далее указаниям мастера.

Подробные описания создания и настройки локальных задач приводятся в Руководствах к соответствующим программам "Лаборатории Касперского".

Отображение унаследованной групповой задачи в рабочей области вложенной группы

Чтобы включить отображение унаследованных задач вложенной группы в рабочей области:

1. Выберите в рабочей области вложенной группы закладку Задачи.
2. В рабочей области закладки Задачи нажмите на кнопку Показывать унаследованные задачи.

В результате унаследованные задачи отображаются в списке задач со значком:

• – если они были унаследованы от группы, созданной на главном Сервере администрирования;
• – если они были унаследованы от группы верхнего уровня.

При включенном режиме наследования редактирование унаследованных задач доступно только в той группе, в которой они были созданы. Редактирование унаследованных задач недоступно в той группе, которая наследует задачи.

Автоматическое включение устройств перед запуском задачи

Kaspersky Security Center не выполняет задачи на выключенных устройствах. Вы можете настроить Kaspersky Security Center на автоматическое включение этих устройств перед запуском задачи с помощью функции Wake-on-LAN.

Чтобы настроить автоматическое включение устройств перед запуском задачи:

1. В окне свойств задачи выберите раздел Расписание.
2. Чтобы настроить действия на устройствах, перейдите по ссылке Дополнительно.
3. В открывшемся окне Дополнительно установите флажок Включить устройства перед запуском задачи функцией Wake-on-LAN за (мин) и укажите время в минутах.

В результате за указанное количество минут до запуска задачи, Kaspersky Security Center включает устройства и загружает операционную систему с помощью функции Wake-on-LAN. После выполнения задачи устройства автоматически выключаются, если пользователи устройств не входят в систему. Kaspersky Security Center автоматически выключает только те устройства, которые включены с помощью функции Wake-on-LAN.

Kaspersky Security Center может автоматически запускать операционные системы только на устройствах, поддерживающих стандарт Wake-on-LAN (WoL).

Автоматическое выключение устройства после выполнения задачи

Kaspersky Security Center позволяет настроить параметры задачи таким образом, чтобы после ее выполнения устройства, на которые она распространяется, автоматически выключались.

Чтобы устройства автоматически выключались после выполнения задачи:

1. В окне свойств задачи выберите раздел Расписание.
2. Откройте окно настройки действий с устройствами по ссылке Дополнительно.
3. В открывшемся окне Дополнительно установите флажок Выключать устройства после выполнения задачи.

Ограничение времени выполнения задачи

Чтобы ограничить время выполнения задачи на устройствах:

1. В окне свойств задачи выберите раздел Расписание.
2. Откройте окно настройки действий с клиентскими устройствами по ссылке Дополнительно.
3. В открывшемся окне Дополнительно установите флажок Остановить, если задача выполняется дольше (мин) и укажите время в минутах.

В результате, если по истечении указанного времени выполнение задачи на устройстве не будет завершено, Kaspersky Security Center автоматически остановит выполнение задачи.

Экспорт задачи

Вы можете экспортировать групповые задачи и задачи для наборов устройств в файл. Задачи Сервера администрирования также недоступны для экспорта.

Чтобы экспортировать задачу:

1. В контекстном меню задачи выберите пункт Все задачи → Экспортировать.
2. В открывшемся окне Сохранить как укажите имя файла и путь для сохранения.
3. Нажмите на кнопку Сохранить.

Права локальных пользователей не экспортируются.

Импорт задачи

Вы можете импортировать групповые задачи и задачи для наборов устройств. Задачи Сервера администрирования недоступны для импорта.

Чтобы импортировать задачу:

1. Выберите список задач, в который требуется импортировать задачу:
   • Если вы хотите импортировать задачу в список групповых задач, в рабочей области нужной вам группы администрирования выберите закладку Задачи.
   • Если вы хотите импортировать задачу в список задач для наборов устройств, в дереве консоли выберите папку Задачи.
2. Выберите один из следующих способов импорта задачи:
   • В контекстном меню списка задач выберите пункт Все задачи → Импортировать.
   • По ссылке Импортировать задачу из файла в блоке управления списком задач.
3. В открывшемся окне укажите путь к файлу, из которого вы хотите импортировать задачу.
4. Нажмите на кнопку Открыть.

В результате импортированная задача отобразится в списке задач.

Если имя новой импортированной задачи идентично имени существующей задачи, имя импортированной задачи расширяется с помощью окончания вида (<порядковый номер>), например: (1), (2).

Конвертация задач

С помощью Kaspersky Security Center можно конвертировать задачи предыдущих версий программ "Лаборатории Касперского" в задачи текущих версий программ.

Конвертация возможна для задач следующих программ:

• Антивирус Касперского 6.0 для Windows Workstations MP4;
• Kaspersky Endpoint Security 8 для Windows;
• Kaspersky Endpoint Security 10 для Windows.

Чтобы конвертировать задачи:

1. В дереве консоли выберите Сервер администрирования, для которого вы хотите выполнить конвертацию задач.
2. В контекстном меню Сервера администрирования выберите пункт Все задачи → Мастер массовой конвертации политик и задач.

В результате запускается мастер массовой конвертации политик и задач. Следуйте далее указаниям мастера.

В результате работы мастера формируются новые задачи, использующие параметры задач предыдущих версий программ.

Запуск и остановка задачи вручную

Задачи можно запускать и останавливать двумя способами: из контекстного меню задачи и в окне свойств клиентского устройства, которому назначена эта задача.

Запускать групповые задачи из контекстного меню устройства могут пользователи, входящие в группу KLAdmins.

Чтобы запустить или остановить задачу из контекстного меню или окна свойств задачи:

1. В списке задач выберите задачу.
2. Запустите или остановите задачу одним из следующих способов:
   • В контекстном меню задачи выберите пункт Запустить или Остановить.
   • В разделе Общие окна свойств задачи нажмите на кнопку Запустить или Остановить.

Чтобы запустить или остановить задачу из контекстного меню или окна свойств клиентского устройства:

1. В списке устройств выберите устройство.
2. Запустите или остановите задачу одним из следующих способов:
   • В контекстном меню устройства выберите пункт Все задачи → Запустить задачу. Из списка задач выберите требуемую.

     Список устройств, для которых назначена задача, будет замещен выбранным устройством. Задача будет запущена.

   • В окне свойств устройства в разделе Задачи нажмите на кнопку запуска () или остановки ().

Приостановка и возобновление задачи вручную

Чтобы приостановить или возобновить выполнение запущенной задачи:

1. В списке задач выберите задачу.
2. Приостановите или возобновите выполнение задачи одним из следующих способов:
   • В контекстном меню задачи выберите пункт Приостановить или Возобновить.
   • В разделе Общие окна свойств задачи нажмите на кнопку Приостановить или Возобновить.

Наблюдение за ходом выполнения задачи

Чтобы наблюдать за ходом выполнения задачи,

в окне свойств задачи выберите раздел Общие.

В средней части окна раздела Общие содержится информация о текущем состоянии задачи.

Просмотр результатов выполнения задач, хранящихся на Сервере администрирования

Kaspersky Security Center позволяет просматривать результаты выполнения групповых задач, задач для наборов устройств и задач Сервера администрирования. Просмотр результатов выполнения локальных задач недоступен.

Чтобы посмотреть результаты выполнения задачи, выполните следующие действия:

1. В окне свойств задачи выберите раздел Общие.
2. По ссылке Результаты откройте окно Результаты выполнения задачи.

Настройка фильтра информации о результатах выполнения задачи

Kaspersky Security Center позволяет фильтровать информацию о результатах выполнения групповых задач, задач для наборов устройств и задач Сервера администрирования. Для локальных задач фильтрация недоступна.

Чтобы настроить фильтр для информации о результатах выполнения задачи:

1. В окне свойств задачи выберите раздел Общие.
2. По ссылке Результаты откройте окно Результаты выполнения задачи.

   Таблица в верхней части окна содержит список всех устройств, для которых назначена задача. Таблица в нижней части окна содержит результаты выполнения задачи на выбранном устройстве.

3. В интересующей вас таблице по правой клавише мыши откройте контекстное меню и выберите в нем пункт Фильтр.
4. В открывшемся окне Применить фильтр настройте параметры фильтра в разделах окна События, Устройства и Время. Нажмите на кнопку ОК.

В результате в окне Результаты выполнения задачи будет отображаться информация, удовлетворяющая параметрам, заданным в фильтре.

Изменение задачи. Откат изменений

Чтобы изменить задачу:

1. В дереве консоли выберите папку Задачи.
2. В рабочей области папки Задачи выберите задачу и с помощью контекстного меню перейдите в окно свойств задачи.
3. Внесите необходимые изменения.

   В разделе Исключения из области действия задачи можно настроить список вложенных групп, на которые не будет распространяться задача.

4. Нажмите на кнопку Применить.

Изменения задачи будут сохранены в окне свойств задачи, в разделе История ревизий.

В случае необходимости вы можете откатить изменения задачи.

Чтобы откатить изменения задачи:

1. В дереве консоли выберите папку Задачи.
2. Выберите задачу, изменения которой нужно откатить и с помощью контекстного меню перейдите в окно свойств задачи.
3. В окне свойств задачи выберите раздел История ревизий.
4. В списке ревизий задачи выберите номер ревизии, к которой нужно откатить изменения.
5. Нажмите на кнопку Дополнительно и в раскрывающемся списке выберите значение Откатить.

Сравнение задач

Вы можете сравнивать задачи одного типа, например, можно сравнить две задачи антивирусной проверки, но нельзя сравнить задачу антивирусной проверки с задачей установки обновлений. В результате сравнения задач вы получаете отчет, показывающий, какие параметры задач совпадают, а какие различаются. Вы можете распечатать отчет сравнения задач или сохранить его в файле. Сравнение задач может потребоваться в случае, когда для разных подразделений одной компании есть различные задачи одного типа. Например, для бухгалтерии есть задача проверять на вирусы только локальные диски компьютера, а для отдела продаж, сотрудники которого переписываются с клиентами, есть задача проверять и локальные диски, и почту. Чтобы быстро увидеть такие различия, нет необходимости просматривать все параметры задачи, достаточно выполнить сравнение задач.

Сравнение можно выполнить только для задач одного типа.

Задачи можно сравнивать только попарно.

Вы можете сравнивать задачи одним из следующих способов: путем выбора одной задачи и сравнения ее с другой или путем сравнения любых двух задач из списка задач.

Чтобы выбрать одну задачу и сравнить ее с другой:

1. В дереве консоли выберите папку Задачи.
2. В рабочей области папки Задачи выберите задачу, которую нужно сравнить с другой задачей.
3. В контекстном меню задачи выберите пункт Все задачи → Сравнить с другой задачей.
4. В окне Выбор задачи выберите задачу для сравнения.
5. Нажмите на кнопку ОК.

Отобразится отчет сравнения двух задач в формате HTML.

Чтобы сравнить две задачи из списка задач:

1. В дереве консоли выберите папку Задачи.
2. В папке Задачи в списке задач с помощью клавиши SHIFT или CTRL выберите две задачи одного типа.
3. В контекстном меню выберите пункт Сравнить.

Отобразится отчет сравнения выбранных задач в формате HTML.

При сравнении задач, в случае если используемые пароли отличаются, в отчете сравнения задач будут отображаться символы ******.

Если в свойствах задачи был изменен пароль, в отчете сравнения ревизий задачи будут отображаться символы ******.

Учетные записи для запуска задач

Вы можете задавать учетную запись, под которой должна запускаться задача.

Например, для выполнения задач проверки по требованию необходимы права на доступ к проверяемому объекту, а для выполнения задач обновления – права авторизованного пользователя прокси-сервера. Возможность задать учетную запись для запуска задачи позволяет избежать ошибки при выполнении задач проверки по требованию и задач обновления, если у пользователя, запустившего задачу, нет необходимых прав доступа.

В задачах удаленной установки и деинсталляции программы учетная запись используется для загрузки на клиентские устройства файлов, необходимых для установки (удаления), если на устройстве не установлен или недоступен Агент администрирования. При установленном и доступном Агенте администрирования учетная запись используется, если согласно параметрам задачи доставка файлов выполняется только средствами Microsoft Windows из папки общего доступа. В этом случае учетная запись должна обладать следующими правами на устройстве:

• правом на удаленный запуск программ;
• правами на ресурс Admin$;
• правом Вход в качестве службы.

Если доставку файлов на устройства выполняет Агент администрирования, учетная запись использоваться не будет. Все операции по копированию и установке файлов будет выполнять Агент администрирования (Учетная запись LocalSystem).

Мастер изменения паролей задач

Для не-локальной задачи можно указать учетную запись, с правами которой будет запускаться задача. Учетную запись можно указать во время создания задачи или в свойствах существующей задачи. Если указанная учетная запись используется в соответствии с правилами безопасности, установленными в организации, эти правила могут требовать периодического изменения пароля учетной записи. После истечения срока действия пароля учетной записи и задания нового пароля, задача не будет запускаться до тех пор, пока вы не укажете новый действующий пароль в свойствах задачи.

Мастер изменения паролей задач позволяет автоматически заменить старый пароль на новый во всех задачах, в которых указана учетная запись. Вы также можете сделать это вручную в свойствах каждой задачи.

Чтобы запустить мастер изменения паролей задач:

1. В дереве консоли выберите узел Задачи.
2. В контекстном меню узла выберите пункт Мастер изменения паролей задач.

Следуйте далее указаниям мастера.

Шаг 1. Выбор учетных данных

В полях Учетная запись и Пароль укажите новые учетные данные, действующие в вашей системе (например, в Active Directory). При переходе на следующий шаг мастера, Kaspersky Security Center проверяет, совпадает ли имя указанной учетной записи с именем учетной записи в свойствах каждой не-локальной задачи. Если имена учетных записей совпадают, пароль в свойствах задачи автоматически меняется на новый.

При заполнении поля Старый пароль (необязательно) Kaspersky Security Center заменит пароль только для тех задач, для которых совпадают значения имени и старого пароля. Замена выполняется автоматически. Во всех остальных случаях необходимо выбрать действие, выполняемое на следующем шаге мастера.

Шаг 2. Выбор выполняемого действия

Если на первом шаге мастера вы не указали старый пароль или указанный старый пароль не соответствует паролям задач, необходимо выбрать действие, выполняемое с этими задачами.

Для каждой задачи со статусом Требуется одобрение определите, хотите ли вы удалить пароль в свойствах задачи или заменить его на новый. Если вы выберите удаление пароля, задача перейдет в режим запуска с правами учетной записи, заданной по умолчанию.

Шаг 3. Просмотр результатов

На последнем шаге мастера просмотрите результаты для каждой из обнаруженных задач. Для завершения работы мастера нажмите на кнопку Готово.

Создание иерархии групп администрирования, подчиненных виртуальному Серверу администрирования

После создания виртуального Сервера администрирования он по умолчанию содержит группу администрирования Управляемые устройства.

Процедура создания иерархии групп администрирования, подчиненных виртуальному Серверу администрирования, совпадает с процедурой создания иерархии групп администрирования, подчиненных физическому Серверу администрирования.

В состав групп администрирования, подчиненных виртуальному Серверу администрирования, нельзя добавлять подчиненные и виртуальные Серверы администрирования. Это связано с ограничениями виртуальных Серверов администрирования.

Политики и профили политик

В Kaspersky Security Center Web Console можно создавать политики для программ "Лаборатории Касперского". В этом разделе описаны политики и профили политик, а также приведены инструкции по их созданию и изменению.

Иерархия политик, использование профилей политик

В этом разделе содержится информация об особенностях применения политик к устройствам в группах администрирования. В этом разделе также содержится информация о профилях политик.

Иерархия политик

В Kaspersky Security Center политики предназначены для задания одинакового набора параметров на множестве устройств. Например, областью действия политики программы P, определенной для группы G, являются управляемые устройства с установленной программой P, размещенные в группе администрирования G и всех ее подгруппах, исключая те подгруппы, в свойствах которых снят флажок Наследовать из родительской группы.

Политика отличается от локальных параметров наличием "замков" () возле содержащихся в ней параметров. Установленный замок в свойствах политики означает, что соответствующий ему параметр (или группа параметров) должен, во-первых, быть использован при формировании эффективных параметров, во-вторых, должен быть записан в нижележащую политику.

Формирование на устройстве действующих параметров можно представить следующим образом: из политики берутся значения параметров с неустановленным замком, затем поверх них записываются значения локальных параметров, затем поверх полученных значений записываются взятые из политики значения параметров с установленным замком.

Политики одной и той же программы действуют друг на друга по иерархии групп администрирования: параметры с установленным замком из вышележащей политики переписывают одноименные параметры из нижележащей политики.

Существует особый вид политики – политика для автономных пользователей. Эта политика вступает в силу на устройстве, когда устройство переходит в автономный режим. Политики для автономных пользователей не действуют по иерархии групп администрирования на другие политики.

Профили политик

Применение политик к устройствам, исходя только из иерархии групп администрирования, во многих случаях неудобно. Может возникнуть необходимость создать несколько копий политики для разных групп администрирования и в дальнейшем вручную синхронизировать содержимое этих политик.

Чтобы помочь избежать подобных проблем, Kaspersky Security Center поддерживает профили политик. Профиль политики представляет собой именованное подмножество параметров политики. Это подмножество параметров распространяется на устройства вместе с политикой и дополняет политику при выполнении определенного условия – условия активации профиля. Профили содержат только те параметры, которые отличаются от "базовой" политики, действующей на клиентском устройстве (компьютере, мобильном устройстве). При активации профиля изменяются параметры политики, действовавшие на устройстве до активации профиля. Эти параметры принимают значения, указанные в профиле.

Профили политик сейчас имеют следующие ограничения:

• в политике может быть не более 100 профилей;
• профиль политики не может содержать другие профили;
• профиль политики не может содержать параметры уведомлений.

Состав профиля

Профиль политики содержит следующие составные части:

• Имя. Профили с одинаковыми именами действуют друг на друга по иерархии групп администрирования с общим правилами.
• Подмножество параметров политики. В отличие от политики, где содержатся все параметры, в профиле присутствуют лишь те параметры, которые действительно нужны (на которых установлен замок).
• Условие активации – логическое выражение над свойствами устройства. Профиль активен (дополняет политику), только когда условие активации профиля становится истинным. В остальных случаях профиль неактивен и игнорируется. В логическом выражении могут участвовать следующие свойства устройства:
  • состояние автономного режима;
  • свойства сетевого окружения – имя активного правила подключения Агента администрирования;
  • наличие или отсутствие у устройства указанных тегов;
  • местоположение устройства в подразделении Active Directory: явное (устройство находится непосредственно в указанном подразделении) или неявное (устройство находится в подразделении, которое находится внутри указанного подразделения на любом уровне вложенности);
  • членство устройства в группе безопасности Active Directory (явное или неявное);
  • членство владельца устройства в группе безопасности Active Directory (явное или неявное).
• Флажок отключения профиля. Отключенные профили всегда игнорируются, условия их активации не проверяются на истинность.
• Приоритет профиля. Условия активации профилей независимы, поэтому одновременно могут активироваться сразу несколько профилей. Если активные профили содержат непересекающиеся наборы параметров, то никаких проблем не возникает. Но если два активных профиля содержат разные значения одного и того же параметра, возникает неоднозначность. значение неоднозначной переменной будет взято из профиля с большим приоритетом (из того профиля, который располагается выше в списке профилей).

Поведение профилей при действии политик друг на друга по иерархии

Одноименные профили объединяются согласно правилам объединения политик. Профили верхней политики приоритетнее профилей нижней политики. Если в "верхней" политике запрещено изменение параметров (кнопка замок нажата), в "нижней" политике используются условия активации профиля из "верхней" политики. Если в "верхней" политике разрешено изменение параметров, то используются условия активации профиля из "нижней" политики.

Поскольку профиль политики может в условии активации содержать свойство Устройство в автономном режиме, профили полностью заменяют функциональность политик для автономных пользователей, которая в дальнейшем не будет поддерживаться.

Политика для автономных пользователей может содержать профили, но активация ее профилей может произойти не ранее, чем устройство перейдет в автономный режим.

Наследование параметров политики

Политика задается для группы администрирования. Параметры политики могут наследоваться, то есть передаваться в подгруппы (дочерние группы) групп администрирования, для которых она создана. Политика, созданная для родительской группы, также называется родительской политикой.

Можно включить или выключить два параметра наследования: Наследовать параметры родительской политики и Форсировать наследование параметров дочерними политиками.

• Если вы включили Наследовать параметры родительской политики для дочерней политики и заблокировали некоторые параметры в родительской политике, тогда вы не можете изменить эти параметры для дочерней группы. Однако вы можете изменить параметры, которые не заблокированы в родительской политике.
• Если вы выключили Наследовать параметры родительской политики для дочерней политики, тогда вы можете изменить все параметры в дочерней группе, даже если некоторые параметры заблокированы в родительской политике.
• Если в родительской группе включен параметр Обеспечить принудительное наследование параметров для дочерних политик, это включит параметр Наследовать параметры родительской политики для каждой дочерней политики. В этом случае вы не можете выключить этот параметр для дочерних политик. Все параметры, которые заблокированы в родительской политике, принудительно наследуются в дочерних группах, и вы не можете изменить эти параметры в дочерних группах.
• В политиках для группы Управляемые устройства параметр Наследовать параметры родительской политики не влияет ни на какие параметры, так как группа Управляемые устройства не имеет вышестоящих групп и, следовательно, не наследует никакие политики.

По умолчанию параметр Наследовать параметры родительской политики включен для новой политики.

Если у политики имеются профили, все дочерние политики наследуют эти профили.

Управление политиками

Централизованная настройка параметров программ, установленных на клиентских устройствах, осуществляется через определение политик.

Политики, сформированные для программ в группе администрирования, отображаются в рабочей области на закладке Политики. Перед именем каждой политики отображается значок, характеризующий ее статус.

После удаления политики или прекращения ее действия программа продолжает работу с параметрами, заданными в политике. В дальнейшем эти параметры можно изменить вручную.

Применение политики производится следующим образом: если на устройстве выполняются резидентные задачи (задачи постоянной защиты), их выполнение продолжается с новыми значениями параметров. Запущенные периодические задачи (проверка по требованию, обновление баз программ) выполняются с неизмененными значениями. Новый запуск периодических задач производится с измененными значениями параметров.

Политики для программ с поддержкой мультитенантности наследуются для групп администрирования более низкого уровня, а также для групп администрирования верхнего уровня: политика распространяется на все клиентские устройства, на которых установлена программа.

В случае использования иерархической структуры Серверов администрирования подчиненные Серверы получают политики с главного Сервера администрирования и распространяют их на клиентские устройства. При включенном механизме наследования параметры политики можно изменять на главном Сервере администрирования. После этого изменения, внесенные в параметры политики, распространяются на унаследованные политики на подчиненных Серверах администрирования.

При разрыве соединения между главным и подчиненным Серверами администрирования политика на подчиненном Сервере продолжает действовать с прежними параметрами. Параметры политики, измененные на главном Сервере администрирования, распространятся на подчиненный Сервер после восстановления соединения.

При отключенном механизме наследования параметры политики можно изменять на подчиненном Сервере независимо от главного Сервера.

Если происходит разрыв соединения между Сервером администрирования и клиентским устройством, на устройстве вступает в силу политика для автономного пользователя (если она определена), или политика продолжает действовать с прежними параметрами до восстановления соединения.

Результаты распространения политики на подчиненные Серверы администрирования отображаются в окне свойств политики на главном Сервере администрирования.

Результаты распространения политики на клиентские устройства отображаются в окне свойств политики Сервера администрирования, к которому они подключены.

Не используйте в параметрах политик конфиденциальные данные. Например, старайтесь не указывать пароль доменного администратора.

Создание политики

В Консоли администрирования можно создавать политики непосредственно в папке группы администрирования, для которой создается политика, и в рабочей области папки Политики.

Чтобы создать политику в папке группы администрирования:

1. В дереве консоли выберите группу администрирования, для которой нужно создать политику.
2. В рабочей области группы выберите закладку Политики.
3. Запустите мастер создания политики по кнопке Новая политика.

В результате запускается мастер создания политики. Следуйте далее указаниям мастера.

Чтобы создать политику в рабочей области папки Политики:

1. В дереве консоли выберите папку Политики.
2. Запустите мастер создания политики по кнопке Новая политика.

В результате запускается мастер создания политики. Следуйте далее указаниям мастера.

Для одной программы в группе можно создать несколько политик, но активной может быть только одна из них. При создании новой активной политики предыдущая активная политика становится неактивной.

При создании политики можно настроить минимальный набор параметров, без которых программа не будет работать. Остальные значения параметров устанавливаются по умолчанию и соответствуют значениям по умолчанию при локальной установке программы. Вы можете изменять политику после ее создания.

Не используйте в параметрах политик конфиденциальные данные. Например, старайтесь не указывать пароль доменного администратора.

Параметры программ "Лаборатории Касперского", которые изменяются после применения политик, подробно описаны в Руководствах к каждой из них.

После создания политики параметры, на изменение которых наложен запрет (установлен "замок" ), начинают действовать на клиентских устройствах независимо от того, какие параметры были определены для программы ранее.

Отображение унаследованной политики во вложенной группе

Чтобы включить отображение унаследованных политик для вложенной группы администрирования:

1. В дереве консоли выберите группу администрирования, для которой нужно отображать унаследованные политики.
2. В рабочей области выбранной группы выберите закладку Политики.
3. В контекстном меню списка политик выберите пункт Вид → Унаследованные политики.

В результате унаследованные политики отображаются в списке политик со значком:

• – если они были унаследованы от группы, созданной на главном Сервере администрирования;
• – если они были унаследованы от группы верхнего уровня.

При включенном режиме наследования параметров изменение унаследованных политик доступно только в той группе, в которой они были созданы. Изменение унаследованных политик недоступно в той группе, которая наследует политики.

Активация политики

Чтобы сделать политику активной для выбранной группы:

1. В рабочей области группы на закладке Политики выберите политику, которую нужно сделать активной.
2. Для активации политики выполните одно из следующих действий:
   • В контекстном меню политики выберите пункт Активная политика.
   • В окне свойств политики откройте раздел Общие и в блоке параметров Состояние политики выберите вариант Активная политика.

В результате политика становится активной для выбранной группы администрирования.

При применении политики на большом количестве клиентских устройств на некоторое время существенно возрастают нагрузка на Сервер администрирования и объем сетевого трафика.

Автоматическая активация политики по событию "Вирусная атака"

Чтобы политика активировалась автоматически при наступлении события "Вирусная атака":

1. В окне свойств Сервера администрирования откройте раздел Вирусная атака.
2. Откройте окно Активация политик по ссылке Настроить активацию политик по возникновению события "Вирусная атака" и добавьте политику в выбранный список политик, активируемых при обнаружении вирусной атаки.

В случае активации политики по событию Вирусная атака вернуться к предыдущей политике можно только вручную.

Применение политики для автономных пользователей

Политика для автономных пользователей вступает в силу на устройстве в случае его отключения от сети организации.

Чтобы применить политику для автономных пользователей:

в окне свойств политики откройте раздел Общие и в блоке параметров Состояние политики выберите вариант Политика для автономных пользователей.

В результате политика для автономных пользователей начинает действовать на устройствах в случае их отключения от сети организации.

Изменение политики. Откат изменений

Чтобы изменить политику:

1. В дереве консоли выберите папку Политики.
2. В рабочей области папки Политики выберите политику и с помощью контекстного меню перейдите в окно свойств политики.
3. Внесите необходимые изменения.
4. Нажмите на кнопку Применить.

Изменения политики будут сохранены в свойствах политики, в разделе История ревизий.

В случае необходимости вы можете откатить изменения политики.

Чтобы откатить изменения политики:

1. В дереве консоли выберите папку Политики.
2. Выберите политику, изменения которой нужно откатить и с помощью контекстного меню перейдите в окно свойств политики.
3. В окне свойств политики выберите раздел История ревизий.
4. В списке ревизий политики выберите номер ревизии, к которой нужно откатить изменения.
5. Нажмите на кнопку Дополнительно и в раскрывающемся списке выберите значение Откатить.

Сравнение политик

Вы можете сравнивать две политики для одной управляемой программы. В результате сравнения политик вы получаете отчет, показывающий, какие параметры политик совпадают, а какие различаются. Сравнивать политики бывает нужно, например, если разные администраторы в своих локальных офисах создали несколько политик для одной управляемой программы или если одна политика верхнего уровня была унаследована и изменена для каждого локального офиса. Вы можете сравнивать политики одним из следующих способов: путем выбора одной политики и сравнения ее с другой или путем сравнения любых двух политик из списка политик.

Вы можете сравнивать только те политики, у которых есть текущие ревизии в истории ревизий.

Чтобы сравнить политику с другой политикой:

1. В дереве консоли выберите папку Политики.
2. В рабочей области папки Политики выберите политику, которую нужно сравнить с другой политикой.
3. В контекстном меню политики выберите пункт Сравнить политику с другой политикой.
4. В окне Выбор политики выберите политику, с которой нужно провести сравнение.
5. Нажмите на кнопку ОК.

Отобразится отчет сравнения двух политик для программы в формате HTML.

Чтобы сравнить две политики из списка политик:

1. В папке Политики в списке политик с помощью клавиши SHIFT или CTRL выберите две политики для одной управляемой программы.
2. В контекстном меню выберите пункт Сравнить.

Отобразится отчет сравнения двух политик для программы в формате HTML.

В отчете сравнения параметров политик для программы Kaspersky Endpoint Security для Windows выполняется также сравнение профилей политики. Результаты сравнения параметров профилей политик можно свернуть. Чтобы свернуть блок, нажмите на значок стрелки () рядом с названием блока.

Удаление политики

Чтобы удалить политику:

1. В рабочей области группы администрирования на закладке Политики выберите политику, которую нужно удалить.
2. Удалите политику одним из следующих способов:
   • В контекстном меню политики выберите пункт Удалить.
   • Перейдите по ссылке Удалить политику в информационном окне выбранной политики.

Копирование политики

Чтобы скопировать политику:

1. В рабочей области нужной вам группы на закладке Политики выберите политику.
2. В контекстном меню политики выберите пункт Копировать.
3. Выберите в дереве консоли группу, в которую требуется добавить политику.

   Политику можно добавить в ту же группу, из которой она скопирована.

4. В контекстном меню списка политик для выбранной группы на закладке Политики выберите пункт Вставить.

В результате политика копируется с сохранением всех параметров и распространяется на устройства группы, в которую она перенесена. Если вы вставляете политику в ту же группу, из которой она была скопирована, индекс (<следующий порядковый номер>) автоматически добавляется к имени политики, например: (1), (2).

Активная политика при копировании становится неактивной. В случае необходимости вы можете сделать ее активной.

Экспорт политики

Чтобы экспортировать политику:

1. Экспортируйте политику одним из следующих способов:
   • В контекстном меню политики выберите пункт Все задачи → Экспортировать.
   • Перейдите по ссылке Экспортировать политику в файл в информационном окне выбранной политики.
2. В открывшемся окне Сохранить как укажите имя файла политики и путь. Нажмите на кнопку Сохранить.

Импорт политики

Чтобы импортировать политику:

1. В рабочей области нужной вам группы на закладке Политики выберите один из следующих способов импорта политики:
   • В контекстном меню списка политик выберите пункт Все задачи → Импортировать.
   • По кнопке Импортировать политику из файла в блоке управления списком политик.
2. В открывшемся окне укажите путь к файлу, из которого вы хотите импортировать политику. Нажмите на кнопку Открыть.

Импортированная политика отображается в списке политик. Также импортируются параметры и профили политики. Независимо от статуса политики, выбранной при экспорте, импортируемая политика неактивна. Вы можете изменить статус политики в свойствах политики.

Если имя новой импортированной политики идентично имени существующей политики, имя импортированной политики расширяется с помощью окончания вида (<порядковый номер>), например: (1), (2).

Конвертация политик

Kaspersky Security Center может конвертировать политики предыдущих версий управляемых программ "Лаборатории Касперского" в политики текущих версий этих программ. Преобразованные политики сохраняют текущие параметры администратора, заданные до обновления, а также включают новые параметры из актуальных версий программ. Плагины управления программами "Лаборатории Касперского" определяют, доступна ли конвертация политик этих программ. Информацию о преобразовании политик для каждой поддерживаемой программы "Лаборатории Касперского" см. в соответствующей справке из следующего списка:

• Программы "Лаборатории Касперского" для рабочих станций:
  • Kaspersky Endpoint Security для Windows
  • Kaspersky Endpoint Security для Linux
  • Kaspersky Endpoint Security для Linux Elbrus Edition
  • Kaspersky Endpoint Security для Mac
  • Kaspersky Endpoint Agent
  • Kaspersky Embedded Systems Security для Windows
• Kaspersky Industrial CyberSecurity:
  • Kaspersky Industrial CyberSecurity for Nodes
  • Kaspersky Industrial CyberSecurity for Linux Nodes
  • Kaspersky Industrial CyberSecurity for Networks (централизованное развертывание не поддерживается)
• Приложения "Лаборатории Касперского" для мобильных устройств:
  • Kaspersky Endpoint Security для Android
  • Kaspersky Security для iOS
• Программы "Лаборатории Касперского" для файловых серверов:
  • Kaspersky Security для Windows Server
  • Kaspersky Endpoint Security для Windows
  • Kaspersky Endpoint Security для Linux
• Программы "Лаборатории Касперского" для виртуальных машин:
  • Kaspersky Security для виртуальных сред Легкий агент
  • Kaspersky Security для виртуальных сред Защита без агента
• Программы "Лаборатории Касперского" для почтовых систем и серверов SharePoint / серверов совместной работы:
  • Kaspersky Security для Linux Mail Server
  • Kaspersky Secure Mail Gateway
  • Kaspersky Security для Microsoft Exchange Servers
• Программы "Лаборатории Касперского" для обнаружения целевых атак:
  • Kaspersky Sandbox
  • Kaspersky Endpoint Detection and Response Optimum
  • Kaspersky Managed Detection and Response
• Программы "Лаборатории Касперского" для устройств с операционной системой KasperskyOS:
  • Kaspersky IoT Secure Gateway
  • Kaspersky Security Management Suite (плагин для Kaspersky Thin Client)

Чтобы конвертировать политики:

1. В дереве консоли выберите Сервер администрирования, для которого вы хотите выполнить конвертацию политик.
2. В контекстном меню Сервера администрирования выберите пункт Все задачи → Мастер массовой конвертации политик и задач.

В результате запускается мастер массовой конвертации политик и задач. Следуйте далее указаниям мастера.

После завершения работы мастера создаются политики, использующие текущие параметры политик администратора и новые параметры из актуальных версий программ "Лаборатории Касперского".

Управление профилями политик

В этом разделе описывается управление профилями политики и предоставляется информация о просмотре профилей политики, изменении приоритета профиля политики, создании профиля политики, изменении профиля политики, копировании профиля политики, создании правила активации профиля политики и удалении профиля политики.

Управление профилями политик

Профиль политики – это именованный набор параметров политики, который активируется на клиентском устройстве (компьютере, мобильном устройстве), если устройство удовлетворяет заданным правилам активации. При активации профиля изменяются параметры политики, действовавшие на устройстве до активации профиля. Эти параметры принимают значения, указанные в профиле.

Профили политики нужны для того, чтобы устройства внутри одной группы администрирования могли иметь разные параметры политики. Например, возможна ситуация, когда в группе администрирования для некоторых устройств параметры политики должны быть изменены. В этом случае для такой политики можно настроить профили политики, использование которых позволяет изменять параметры политики не для всех устройств группы администрирования. Например, политика запрещает запуск программ городской навигации для всех устройств группы администрирования "Пользователи". Программы городской навигации необходимы для работы только одного устройства пользователя, выполняющего роль курьера, в группе администрирования "Пользователи". На этом устройстве можно установить тег "Курьер" и настроить профиль политики таким образом, чтобы был разрешен запуск программ городской навигации только на устройстве с тегом "Курьер", с сохранением всех остальных параметров политики. В этом случае если в группе администрирования "Пользователи" появляется устройство с тегом "Курьер", на нем будет разрешен запуск программ городской навигации. Запуск программ городской навигации на других устройствах в группе администрирования "Пользователи", у которых тег "Курьер" отсутствует, будет запрещен.

Профили поддерживаются только для следующих политик:

• политики Kaspersky Endpoint Security для Windows;
• политики Kaspersky Endpoint Security для Mac;
• политики плагина Kaspersky Mobile Device Management версий от 10 Service Pack 1 до 10 Service Pack 3 Maintenance Release 1;
• политики плагина Kaspersky Device Management для iOS;
• политики Kaspersky Security для виртуальных сред 5.1 Легкий агент для Windows;
• политики Kaspersky Security для виртуальных сред 5.1 Легкий агент для Linux.

Профили политик облегчают управление клиентскими устройствами, на которых применены политики:

• Параметры профиля политики могут отличаться от параметров самой политики.
• Не требуется поддерживать и применять вручную несколько копий одной политики, которые различаются только небольшим количеством параметров.
• Не требуется отдельная политика для автономных пользователей.
• Вы можете экспортировать и импортировать профили политики, а также создавать новые профили на основе существующих.
• Для одной политики несколько профилей политики могут быть активными. К устройству будут применены те из профилей, которые удовлетворяют правилам активации на этом устройстве.
• Профили подчиняются иерархии политик. Унаследованная политика содержит все профили политики верхнего уровня.

Приоритеты профилей

Профили, созданные для политики, упорядочены в порядке убывания приоритета. Например, если профиль X находится выше профиля Y в списке профилей, то профиль X имеет более высокий приоритет, чем Y. К одному устройству одновременно могут быть применены несколько профилей. Если значение какого-то параметра различается в профилях, на устройстве применится значение параметра из того профиля, который имеет более высокий приоритет.

Правила активации профиля

Профиль политики активируется на клиентском устройстве при выполнении правила активации. Правила активации – набор условий, при выполнении которых профиль политики начинает работать на устройстве. Правило активации может содержать следующие условия:

• Агент администрирования на клиентском устройстве подключается к Серверу с определенным набором параметров подключения, например, адрес Сервера, номер порта и так далее.
• Клиентское устройство находится в автономном режиме.
• Клиентскому устройству назначены определенные теги.
• Клиентское устройство явно (устройство находится непосредственно в указанном подразделении) или неявно (устройство находится в подразделении, которое находится внутри указанного подразделения на любом уровне вложенности) размещено в определенном подразделении Active Directory, устройство или его владелец находятся в группе безопасности Active Directory.
• Клиентское устройство принадлежит определенному владельцу или владелец устройства находится во внутренней группе безопасности Kaspersky Security Center.
• Владельцу клиентского устройства была назначена определенная роль.

Политики в иерархии групп администрирования

Если вы создаете политику в группе администрирования нижнего уровня, то новая политика наследует профили активной политики для группы верхнего уровня. Профили с одинаковыми именами объединяются. Профили политики для группы более высокого уровня имеют более высокий приоритет. Например, в группе администрирования А политика Р(А) имеет профили X1, X2, и X3, в порядке убывания приоритета. В группе администрирования В, которая является подгруппой группы А, создана политика Р(В), с профилями X2, X4, X5. Тогда политика Р(В) будет изменена политикой P(A), так, что в политике P(B) список профилей в порядке убывания приоритета будет X1, X2, X3, X4, X5. Приоритет профиля X2 будет зависеть от начального состояния X2 политики P(B) и X2 политики P(A). После создания политики Р(В) политика P(A) не будет отображаться в подгруппе В.

Активная политика вычисляется каждый раз заново при запуске Агента администрирования, при включении и выключении автономного режима, а также при изменении списка тегов, назначенных клиентскому устройству. Например, устройству увеличили объем оперативной памяти, в результате активировался профиль политики, который применяется для устройств с большим объемом оперативной памяти.

Свойства и ограничения профиля политики

Профили имеют следующие свойства:

• Профили неактивной политики не влияют на клиентские устройства.
• Если для политики установлено состояние Политика для автономных пользователей, профили политики также будут применяться при отключении устройства от корпоративной сети.
• Профили не поддерживают статический анализ доступа к исполняемым файлам.
• Профиль политики не может содержать параметры оповещений о событиях.
• Если используется UDP-порт 15000 для подключения устройства к Серверу администрирования, то при назначении тега устройству соответствующий профиль политики активируется в течение одной минуты.
• Вы можете использовать правила подключения Агента администрирования к Серверу администрирования, когда вы создаете правила активации профиля политики.

Создание профиля политики

Создание профиля доступно только для политик следующих программ:

• Kaspersky Endpoint Security 10 Service Pack 1 для Windows и выше;
• Kaspersky Endpoint Security 10 Service Pack 1 для Mac;
• плагина Kaspersky Mobile Device Management до версий 10 Service Pack 3 Maintenance Release 1;
• плагина Kaspersky Device Management для iOS;
• Kaspersky Security для виртуальных сред 5.1 Легкий агент для Windows и Linux.

Чтобы создать профиль политики:

1. В дереве консоли выберите группу администрирования, для политики которой нужно создать профиль политики.
2. В рабочей области группы администрирования выберите закладку Политики.
3. Выберите политику и с помощью контекстного меню перейдите в окно свойств политики.
4. Выберите раздел Профили политики в окне свойств политики и нажмите на кнопку Добавить.

   Запустится мастер создания профиля политики.

5. В окне мастера Имя профиля политики укажите:
   1. Имя профиля политики.

      Имя профиля не может превышать 100 символов.

   2. Состояние профиля политики (Включен или Выключен).

      Рекомендуется создавать неактивные профили политики и включать их только после полного завершения настройки параметров и условий активации профилей политики.

6. Установите флажок После закрытия мастера создания профиля политики перейти к настройке правила активации профиля политики, чтобы запустить мастер создания правила активации профиля политики. Следуйте инструкциям мастера.
7. Измените параметры профиля политики в окне свойств профиля политики, как вам необходимо.
8. Сохраните изменения, нажав на кнопку ОК.

   Профиль будет сохранен. Профиль будет активирован на устройствах, удовлетворяющих правилам активации.

Для одной политики можно создать несколько профилей политики. Профили, созданные для политики, отображаются в свойствах политики в разделе Профили политики. Вы можете изменить профиль политики и приоритет профиля, а также удалить профиль.

Изменение профиля политики

Изменение параметров профиля политики

Изменение профиля доступно только для политик Kaspersky Endpoint Security для Windows.

Чтобы изменить профиль политики:

1. В дереве консоли выберите группу администрирования, для которой нужно изменить профиль политики.
2. В рабочей области группы выберите закладку Политики.
3. Выберите политику и с помощью контекстного меню перейдите в окно свойств политики.
4. Откройте раздел Профили политики в свойствах политики.

   В разделе содержится список профилей, созданных для политики. Профили в списке отображаются в соответствии с их приоритетом.

5. Выберите профиль политики и нажмите на кнопку Свойства.
6. В окне свойств настройте параметры профиля:
   • Если необходимо, в разделе Общие измените имя профиля и включите или выключите профиль с помощью флажка Включить профиль.
   • В разделе Правила активации измените правила активации профиля.
   • Измените параметры политики в соответствующих разделах.
7. Нажмите на кнопку ОК.

Измененные параметры начнут действовать после синхронизации устройства с Сервером администрирования (если профиль политики активен) либо после выполнения правила активации (если профиль политики неактивен).

Изменение приоритета профиля политики

Приоритет профилей политик определяет порядок активации профилей на клиентском устройстве. Приоритет используется, если для разных профилей политики заданы одинаковые правила активации.

Например, созданы два профиля политики: Профиль 1 и Профиль 2, отличающиеся друг от друга значениями одного параметра (Значение 1 и Значение 2). Приоритет Профиля 1 выше, чем приоритет Профиля 2. Кроме того, существуют профили с более низким приоритетом, чем Профиль 2. Правила активации профилей совпадают.

При выполнении правила активации будет активирован Профиль 1. Параметр на устройстве примет Значение 1. Если удалить Профиль 1, то Профиль 2, будет иметь самый высокий приоритет, и параметр примет Значение 2.

В списке профилей политики профили отображаются в соответствии с их приоритетом. На первом месте в списке стоит профиль с самым высоким приоритетом. Приоритет профиля можно изменять с помощью кнопок со стрелкой вверх и со стрелкой вниз .

Удаление профиля политики

Чтобы удалить профиль политики:

1. Выберите в дереве консоли группу администрирования, для которой нужно удалить профиль политики.
2. В рабочей области группы администрирования выберите закладку Политики.
3. Выберите политику и с помощью контекстного меню перейдите в окно свойств политики.
4. Откройте раздел Профили политики в свойствах политики Kaspersky Endpoint Security.
5. Выберите профиль политики, который нужно удалить, и нажмите на кнопку Удалить.

В результате профиль политики будет удален. Активным станет либо другой профиль политики, правила активации которого выполняются на устройстве, либо политика.

Создание правила активации профиля политики

Развернуть все | Свернуть все

Чтобы создать правило активации профиля политики:

1. В дереве консоли выберите группу администрирования, для которой нужно создать правило активации профиля политики.
2. В рабочей области группы выберите закладку Политики.
3. Выберите политику и с помощью контекстного меню перейдите в окно свойств политики.
4. Выберите раздел Профили политики в окне свойств политики.
5. Выберите профиль политики, для которого нужно создать правило активации, и нажмите на кнопку Свойства.

   В результате откроется окно свойств профиля политики.

   Если список профилей политики пуст, вы можете создать профиль политики.

6. Выберите раздел Правила активации и нажмите на кнопку Добавить.

   В результате запустится мастер создания правила активации профиля политики.

7. В окне Правила активации профиля политики установите флажки напротив условий, которые должны влиять на активацию создаваемого профиля политики:
   • Общие правила активации профиля политики

     Установите флажок, чтобы настроить правила активации профиля политики на устройстве в зависимости от состояния автономного режима устройства, правила подключения устройства к Серверу администрирования и назначенных устройству тегов.

   • Правила для использования Active Directory

     Установите флажок, чтобы настроить правила активации профиля политики на устройстве в зависимости от размещения устройства в подразделении Active Directory или же от членства устройства или его владельца в группе безопасности Active Directory.

   • Правила для определенного владельца устройства

     Установите флажок, чтобы настроить правила активации профиля политики на устройстве в зависимости от того, кто является владельцем устройства, и от членства устройства во внутренней группе безопасности Kaspersky Security Center.

   • Правило для характеристик оборудования

     Установите флажок, чтобы настроить условие активации политики на устройстве в зависимости от объема памяти и количества логических процессоров устройства.

   От выбора параметров на этом шаге зависит дальнейшее количество окон мастера. Вы можете изменить правила активации профиля политики позже.

8. В разделе Общие условия укажите следующие параметры:
   • В поле Устройство в автономном режиме в раскрывающемся списке укажите условие нахождения устройства в сети:
     • Да

       Устройство находится во внешней сети, то есть Сервер администрирования недоступен.

     • Нет

       Устройство находится в сети, Сервер администрирования доступен.

     • Значение не выбрано

       Критерий не применяется.

   • В поле Устройство находится в указанном сетевом местоположении с помощью раскрывающихся списков настройте активацию профиля политики при выполнении/невыполнении на устройстве правила подключения к Серверу администрирования:
     • Выполняется/Не выполняется

       Условие активации профиля политики (правило выполняется или не выполняется).

     • Rule name

       Описание сетевого местоположения устройства для подключения к Серверу администрирования, при выполнении или невыполнении условий которого профиль политики будет активирован.

       Описание сетевого местоположения устройств для подключения к Серверу администрирования можно создать или настроить в правиле переключения Агента администрирования.

   Окно Общие условия отображается, если был установлен флажок Общие правила активации профиля политики.

9. В разделе Условия с использованием тегов укажите следующие параметры:
   • Список тегов

     В списке тегов задайте правило включения устройств в профиль политики, установив флажки нужным тегам.

     Вы можете добавить в список новые теги, введя их в поле над списком и нажав на кнопку Добавить.

     В профиль политики будут включены устройства, в описании которых есть все выбранные теги. Если флажки сняты, критерий не применяется. По умолчанию флажки сняты.

   • Применить к устройствам без выбранных тегов

     Включите параметр, если необходимо инвертировать выбор тегов.

     Если параметр включен, в профиль политики будут включены устройства, в описании которых нет выбранных тегов. Если этот параметр выключен, критерий не применяется.

     По умолчанию параметр выключен.

   Окно Условия с использованием тегов отображается, если установлен флажок Общие правила активации профиля политики.

10. В разделе Условия с использованием Active Directory укажите следующие параметры:
    • Членство владельца устройства в группе безопасности Active Directory

      Если параметр включен, профиль политики активируется на устройстве, владелец которого является членом указанной группы безопасности. Если параметр выключен, критерий активации профиля не применяется. По умолчанию параметр выключен.

    • Членство устройства в группе безопасности Active Directory

      Если параметр включен, профиль политики активируется на устройстве. Если параметр выключен, критерий активации профиля не применяется. По умолчанию параметр выключен.

    • Размещение устройства в подразделении Active Directory

      Если параметр включен, профиль политики активируется на устройстве, которое входит в указанное подразделение Active Directory. Если параметр выключен, критерий активации профиля не применяется.

      По умолчанию параметр выключен.

    Окно Условия с использованием Active Directory отображается, если установлен флажок Правила для использования Active Directory.

11. В разделе Условия с использованием владельца устройства укажите следующие параметры:
    • Владелец устройства

      Включите параметр, чтобы настроить и включить правило активации профиля на устройстве по владельцу устройства. В раскрывающемся списке под флажком можно выбрать критерий активации профиля:

      • устройство принадлежит указанному владельцу (знак "=");
      • устройство не принадлежит указанному владельцу (знак "#").

        Если параметр включен, активация профиля на устройстве выполняется в соответствии с настроенным критерием. Вы можете указать владельца устройства, когда параметр включен. Если параметр выключен, критерий активации профиля не применяется. По умолчанию параметр выключен.

    • Владелец устройства входит во внутреннюю группу безопасности

      Включите параметр, чтобы настроить и включить правило активации профиля на устройстве по членству владельца устройства во внутренней группе безопасности Kaspersky Security Center. В раскрывающемся списке под флажком можно выбрать критерий активации профиля:

      • владелец устройства является членом указанной группы безопасности (знак "=");
      • владелец устройства не является членом указанной группы безопасности (знак "#").

        Если параметр включен, активация профиля на устройстве выполняется в соответствии с настроенным критерием. Вы можете указать группу безопасности Kaspersky Security Center. Если параметр выключен, критерий активации профиля не применяется. По умолчанию параметр выключен.

    • Активировать профиль политики по наличию роли у владельца устройства

      Включите этот параметр, чтобы настроить и включить правило активации профиля политики на устройстве в зависимости от наличия определенной роли у его владельца. Добавить роль вручную из списка существующих ролей.

      Если параметр включен, активация профиля на устройстве выполняется в соответствии с настроенным критерием.

    Окно Условия с использованием владельца устройства отображается, если установлен флажок Правила для определенного владельца устройства.

12. В разделе Условия с использованием характеристик оборудования укажите следующие параметры:
    • Объем оперативной памяти (МБ)

      Включите параметр, чтобы настроить и включить правило активации профиля на устройстве по объему оперативной памяти устройства. В раскрывающемся списке под флажком можно выбрать критерий активации профиля:

      • объем оперативной памяти устройства меньше указанного значения (знак "<");
      • объем оперативной памяти устройства больше указанного значения (знак ">").

      Если параметр включен, активация профиля на устройстве выполняется в соответствии с настроенным критерием. Вы можете указать объем оперативной памяти устройства. Если параметр выключен, критерий активации профиля не применяется. По умолчанию параметр выключен.

    • Количество логических процессоров

      Включите параметр, чтобы настроить и включить правило активации профиля на устройстве по количеству логических процессоров устройства. В раскрывающемся списке под флажком можно выбрать критерий активации профиля:

      • количество логических процессоров устройства меньше или равно указанному значению (знак "<");
      • количество логических процессоров устройства больше или равно указанному значению (знак ">").

      Если параметр включен, активация профиля на устройстве выполняется в соответствии с настроенным критерием. Вы можете указать количество логических процессоров устройства. Если параметр выключен, критерий активации профиля не применяется. По умолчанию параметр выключен.

    Окно Условия с использованием характеристик оборудования отображается, если установлен флажок Правило для характеристик оборудования.

13. В окне Имя правила активации профиля политики в поле Имя правила укажите название правила.

В результате профиль будет сохранен. Профиль будет активирован на устройстве, когда будут выполнены правила активации.

Правила активации профиля политики, созданные для профиля, отображаются в свойствах профиля политики в разделе Правила активации. Вы можете изменить или удалить правило активации профиля политики.

Несколько правил активации могут выполняться одновременно.

Правила перемещения устройств

Рекомендуется автоматизировать процесс размещения устройств в группах администрирования при помощи правил перемещения устройств. Правило перемещения состоит из трех основных частей: имени, условия выполнения (логического выражения над атрибутами устройства) и целевой группы администрирования. Правило перемещает устройство в целевую группу администрирования, если атрибуты устройства удовлетворяют условию выполнения правила.

Правила перемещения устройств имеют приоритеты. Сервер администрирования проверяет атрибуты устройства на соответствие условию выполнения каждого правила, в порядке убывания приоритета правил. Если атрибуты устройства удовлетворяют условию выполнения правила, то устройство перемещается в целевую группу, и на этом обработка правил для этого устройства прекращается. Если атрибуты устройства удовлетворяют сразу нескольким правилам, то устройство будет перемещено в целевую группу того правила, которое имеет больший приоритет (стоит в списке правил выше).

Правила перемещения устройств могут создаваться неявно. Например, в свойствах пакета или задачи удаленной установки может быть указана группа администрирования, в которую должно попасть устройство после установки на нем Агента администрирования. Также правила перемещения могут быть созданы администратором Kaspersky Security Center в явном виде, в списке правил перемещения. Список расположен в Консоли администрирования в свойствах группы Нераспределенные устройства.

Правило перемещения по умолчанию предназначено для однократного первоначального размещения устройств в группах администрирования. Правило перемещает только один раз устройства, находящиеся в группе Нераспределенные устройства. Если устройство однажды было перемещено этим правилом, правило не переместит его повторно, даже если вернуть устройство вручную в группу Нераспределенные устройства. Это рекомендуемый способ использования правил перемещения.

Можно перемещать устройства, уже размещенные в группах администрирования. Для этого в свойствах правила снимите флажок Перемещать только устройства, которые не входят ни в одну группу администрирования.

Наличие правил перемещения, действующих на устройства, уже размещенные в группах администрирования, существенно увеличивает нагрузку на Сервер администрирования.

Флажок Перемещать только устройства, которые не входят ни в одну группу администрирования заблокирован в свойствах автоматически созданных правил перемещения. Такие правила создаются при добавлении задачи Удаленная установка программ или создании автономного инсталляционного пакета.

Можно создать правило перемещения, способное многократно действовать на одно и то же устройство.

Настоятельно рекомендуется избегать подхода к работе с управляемыми устройствами, при котором одно и то же устройство многократно перемещается из группы в группу, например, с целью применения к устройству особой политики, запуска специальной групповой задачи, обновления с определенной точки распространения.

Подобные сценарии не поддерживаются, так как они крайне неэффективны по нагрузке на Сервер администрирования и на сетевой трафик. Также эти сценарии противоречат модели работы Kaspersky Security Center (особенно в области прав доступа, событий и отчетов). Следует искать другое решение, например, использовать профили политик, задачи для выборок устройств, назначать Агенты администрирования согласно методике.

Копирование правил перемещения устройств

Если вам нужно создать несколько правил перемещения устройств с аналогичными параметрами, вы можете скопировать существующее правило, а затем изменить параметры скопированного правила. Например, это удобно, когда вам нужно иметь несколько одинаковых правил перемещения устройств с разными IP-диапазонами и целевыми группами.

Чтобы скопировать правило перемещения устройств:

1. Откройте главное окно программы.
2. В папке Нераспределенные устройства нажмите на кнопку Настроить правила.

   Откроется окно Свойства: Нераспределенные устройства.

3. В разделе Перемещение устройств выберите правило перемещения устройств, которое вы хотите скопировать.
4. Нажмите на кнопку Клонировать правило.

Копия выбранного правила будет добавлена в конец списка.

Новое правило будет создано выключенным. Вы можете выключить или изменить правило в любое время.

Категоризация программного обеспечения

Основным средством контроля запуска приложений являются категории "Лаборатории Касперского" (далее также KL-категории). KL-категории облегчают администратору Kaspersky Security Center работу по поддержанию категоризации ПО и минимизируют объем трафика, передаваемого на управляемые устройства.

Пользовательские категории следует создавать только для программ, не подпадающих ни под одну KL-категорию (например, для программ, разработанных на заказ). Пользовательские категории создаются на основе дистрибутива программы (MSI) или на основе папки с дистрибутивами.

В случае если имеется большая пополняемая коллекция программного обеспечения, не категоризированного при помощи KL-категорий, может быть целесообразным создать автоматически обновляемую категорию. Такая категория будет автоматически пополняться контрольными суммами исполняемых файлов при изменении папки с дистрибутивами.

Не создавайте автоматически обновляемые категории программного обеспечения для папок Мои документы, %windir%, %ProgramFiles% и %ProgramFiles(x86)%. Файлы в этих папках часто меняются, что приводит к увеличению нагрузки на Сервер администрирования и к увеличению трафика в сети. Следует создать отдельную папку с коллекцией программного обеспечения и время от времени пополнять ее.

Необходимые условия для установки программ на устройства организации-клиента

Процесс удаленной установки программ на устройства организации-клиента совпадает с процессом удаленной установки программ внутри организации.

Для установки программ на устройства организации-клиента необходимо выполнение следующих условий:

• Перед первой установкой программ на устройства организации-клиента требуется установить на них Агент администрирования.

  При настройке инсталляционного пакета Агента администрирования поставщиком услуг в программе Kaspersky Security Center в окне свойств инсталляционного пакета требуется настроить следующие параметры:

  • В разделе Подключение в строке Сервер администрирования требуется указать тот же адрес виртуального Сервера администрирования, что и при локальной установке Агента администрирования на точку распространения.
  • В разделе Дополнительно установите флажок Подключаться к Серверу администрирования через шлюз соединения. В строке Адрес шлюза соединения нужно указать адрес точки распространения. В качестве адреса устройства можно использовать IP-адрес или имя устройства в сети Windows.
• В качестве способа загрузки инсталляционного пакета Агента администрирования необходимо выбрать Средствами операционной системы c помощью точек распространения. Выбор способа загрузки осуществляется следующим образом:
  • При установке программ с помощью задач удаленной установки способ загрузки можно выбрать двумя способами:
    • при создании задачи удаленной установки в окне Параметры;
    • в окне свойств задачи удаленной установки в разделе Параметры.
  • При установке программ с помощью мастера удаленной установки способ загрузки можно выбрать в окне мастера Параметры.
• Учетная запись, под которой работает точка распространения, должна иметь доступ к ресурсу Admin$ на клиентских устройствах.

Просмотр и изменение локальных параметров программы

Система администрирования Kaspersky Security Center позволяет удаленно управлять локальными параметрами программ на устройствах через Консоль администрирования.

Локальные параметры программы – это параметры программы, индивидуальные для устройства. С помощью Kaspersky Security Center вы можете устанавливать локальные параметры программ для устройств, входящих в группы администрирования.

Подробные описания параметров программ "Лаборатории Касперского" приводятся в Руководствах для этих программ.

Чтобы просмотреть или изменить локальные параметры программы:

1. В рабочей области группы, в которую входит нужное вам устройство, выберите закладку Устройства.
2. В окне свойств в разделе Программы выберите соответствующую программу.
3. Откройте окно свойств программы двойным щелчком мыши по названию программы или нажатием на кнопку Свойства.

В результате откроется окно локальных параметров выбранной программы, которые можно просмотреть и изменить.

Вы можете изменять значения тех параметров, изменение которых не запрещено групповой политикой (параметр не закрыт замком () в политике).