Первоначальная настройка Kaspersky Security Center Web Console

В этом разделе описаны шаги, которые необходимо выполнить после установки Kaspersky Security Center Web Console для первоначальной настройки.

Мастер первоначальной настройки (Kaspersky Security Center Web Console)

В этом разделе представлена информация о работе мастера первоначальной настройки Сервера администрирования.

Мастеру требуется доступ в интернет. Если Сервер администрирования не имеет доступа в интернет, рекомендуется выполнять все шаги мастера вручную через интерфейс Kaspersky Security Center Web Console.

Программа Kaspersky Security Center позволяет настроить минимальный набор параметров, необходимых для построения централизованной системы управления, обеспечивающей защиту сети от угроз безопасности. Эта настройка выполняется в мастере первоначальной настройки. В процессе работы мастера вы можете внести в программу следующие изменения:

• Добавить файлы ключей или ввести коды активации, которые можно автоматически распространять на устройства в группах администрирования.
• Настроить взаимодействие с
  Kaspersky Security Network (KSN)

  Инфраструктура облачных служб, предоставляющая доступ к постоянно обновляемой базе данных "Лаборатории Касперского", содержащей информацию о репутации файлов, веб-ресурсов и программного обеспечения. Kaspersky Security Network обеспечивает более высокую скорость реакции программ "Лаборатории Касперского" на угрозы, повышает эффективность работы некоторых компонентов защиты, а также снижает вероятность ложных срабатываний.

  . При разрешении использования KSN мастер включает службу прокси-сервера KSN, которая обеспечивает взаимодействие между KSN и устройствами.
• Настроить рассылку по электронной почте оповещений о событиях в работе Сервера администрирования и управляемых программ (чтобы уведомление прошло успешно, на Сервере администрирования и на всех устройствах-получателях должна быть запущена служба сообщений Messenger).
• Сформировать политику защиты рабочих станций и серверов, а также задачи поиска вирусов, получения обновлений и резервного копирования данных для верхнего уровня иерархии управляемых устройств.

  Мастер первоначальной настройки создает политики только для программ, для которых еще нет созданных политик в папке Управляемые устройства. Мастер первоначальной настройки не создает задачи, если задачи с такими именами уже созданы для верхнего уровня иерархии управляемых устройств.

Программа автоматически предлагает запустить мастер первоначальной настройки после установки Сервера администрирования при первом подключении к Серверу. Вы также можете запустить мастер первоначальной настройки вручную в любое время.

Чтобы запустить мастер первоначальной настройки вручную:

1. В главном меню нажмите на значок параметров () рядом с именем Сервера администрирования.

   Откроется окно свойств Сервера администрирования.

2. На вкладке Общие выберите раздел Общие.
3. Нажмите на кнопку Запустить мастер первоначальной настройки.

Мастер предложит произвести первоначальную настройку Сервера администрирования. Следуйте далее указаниям мастера. Для продолжения работы мастера нажмите на кнопку Далее.

Шаг 1. Указание параметров подключения к интернету

Развернуть все | Свернуть все

Укажите параметры доступа Сервера администрирования к интернету. Доступ к интернету необходимо настроить, чтобы использовать Kaspersky Security Network и загружать обновления антивирусных баз для Kaspersky Security Center и управляемых программ "Лаборатории Касперского".

Включите параметр Использовать прокси-сервер, если требуется использовать прокси-сервер для подключения к интернету. Если параметр включен, доступны поля ввода параметров. Настройте следующие параметры подключения к прокси-серверу:

• Адрес

  Адрес прокси-сервера для подключения Kaspersky Security Center к интернету.

• Номер порта

  Номер порта, через который будет установлено прокси-подключение Kaspersky Security Center.

• Не использовать прокси-сервер для локальных адресов

  При подключении к устройствам в локальной сети не будет использоваться прокси-сервер.

• Аутентификация на прокси-сервере

  Если флажок установлен, в полях ввода можно указать учетные данные для аутентификации на прокси-сервере.

  Поле ввода доступно, если установлен флажок Использовать прокси-сервер.

• Имя пользователя

  Учетная запись пользователя, от имени которого будет выполняться подключение к прокси-серверу (поле доступно, если установлен флажок Аутентификация на прокси-сервере).

• Пароль

  Пароль пользователя, с помощью учетной записи которого выполняется подключение к прокси-серверу (поле доступно, если установлен флажок Аутентификация на прокси-сервере).

  Чтобы посмотреть введенный пароль, нажмите на кнопку Показать и удерживайте ее необходимое вам время.

Вы можете настроить доступ в интернет позднее без запуска мастера первоначальной настройки.

Шаг 2. Загрузка требуемых обновлений

Необходимые обновления загружаются с серверов "Лаборатории Касперского" автоматически.

Шаг 3. Выбор активов для защиты

Развернуть все | Свернуть все

Выберите области защиты и операционные системы, которые используются в вашей сети. При выборе этих параметров вы указываете фильтры для плагинов управления программами и дистрибутивов на серверах "Лаборатории Касперского", которые вы можете загрузить для установки на клиентские устройства в вашей сети. Выберите следующие параметры:

• Области

  Вы можете выбрать одну из следующих областей защиты:

  • Рабочие станции. Выберите этот параметр, если вы хотите защитить рабочие станции в вашей сети. По умолчанию выбран параметр Рабочая станция.
  • Файловые серверы и системы хранения данных. Выберите этот параметр, если вы хотите защитить файловые серверы в вашей сети.
  • Мобильные устройства. Выберите этот параметр, если вы хотите защитить мобильные устройства, принадлежащие организации или сотрудникам организации. Если вы выбрали этот параметр, но не предоставили лицензию с возможностью Управление мобильными устройствами, отобразится сообщение о необходимости предоставить лицензию с возможностью Управление мобильными устройствами. Без этой лицензии использование возможностей Управления мобильными устройствами невозможно.
  • Виртуальные среды. Выберите этот параметр, если вы хотите защитить виртуальные машины в вашей сети.
  • Анти-Спам. Выберите этот параметр, если вы хотите защитить почтовые серверы вашей организации от спама, мошенничества и доставки вредоносных программ.
  • Банкоматы и POS-системы. Выберите этот параметр, если вы хотите защитить встроенные системы с операционной системой Windows, например банкоматы (ATM).
  • Промышленные сети. Выберите этот параметр, если вы хотите контролировать данные безопасности в промышленной сети и с конечных устройств сети, защищенных программами "Лаборатории Касперского".
  • Промышленные конечные точки. Выберите этот параметр, если вы хотите защитить отдельные узлы промышленной сети.

• Операционные системы

  Вы можете выбрать одну из следующих платформ:

  • Microsoft Windows
  • macOS
  • Android
  • Linux
  • Другое

  Дополнительные сведения о поддерживаемых версиях операционных систем см. в разделе Аппаратные и программные требования Kaspersky Security Center Web Console.

Можно выбрать инсталляционные пакеты программ "Лаборатории Касперского" из списка доступных инсталляционных пакетов позднее без запуска мастера первоначальной настройки. Для упрощения поиска необходимых инсталляционных пакетов вы можете фильтровать список доступных инсталляционных пакетов различным критериям.

Шаг 4. Выбор шифрования

Окно Шифрование отображается, только если в качестве области защиты выбран вариант Рабочие станции.

Kaspersky Endpoint Security для Windows включает инструменты шифрования информации, хранящейся на клиентских устройствах в операционной системой Windows. Эти инструменты шифрования имеют расширенный стандарт шифрования (AES), реализованный с длиной ключа 256 бит или 56 бит.

Загрузка и использование дистрибутива с длиной ключа 256 бит должна выполняться в соответствии с действующими законами и правилами. Чтобы загрузить дистрибутив Kaspersky Endpoint Security для Windows, действительный для нужд вашей организации, обратитесь к законодательству страны, в которой расположены клиентские устройства вашей организации.

В окне Шифрование выберите один из следующих типов шифрования:

• Быстрое шифрование. Для этого типа шифрования используется 56-разрядный ключ.
• Стойкое шифрование. Для этого типа шифрования используется 256-разрядный ключ.

Вы можете выбрать дистрибутив для Kaspersky Endpoint Security для Windows с необходимым типом шифрования позднее без запуска мастера первоначальной настройки.

Шаг 5. Настройка установки плагинов для управляемых программ

Развернуть все | Свернуть все

Выберите плагины для управляемых программ для установки. Отображается список плагинов, расположенных на серверах "Лаборатории Касперского". Список отфильтрован в соответствии с параметрами, выбранными на предыдущем шаге мастера. По умолчанию в полный список включены плагины всех языков. Чтобы отображался только плагин на выбранном языке, используйте фильтр. Список плагинов включает в себя следующие графы:

• Имя

  Выбраны подключаемые модули в зависимости от областей защиты и платформ, выбранных на предыдущем шаге.

• Версия

  В список включены плагины всех версий, размещенных на серверах "Лаборатории Касперского". По умолчанию выбраны плагины последних версий.

• Язык

  По умолчанию язык локализации плагина зависит от языка Kaspersky Security Center, который вы выбрали при установке. Другие языки можно выбрать в раскрывающемся списке Отображать язык Консоли администрирования или.

После выбора подключаемых модулей нажмите на кнопку Далее, чтобы начать установку.

Мастер первоначальной настройки автоматически установит выбранные плагины. Для установки некоторых плагинов вам нужно принять условия Лицензионного соглашения. Ознакомьтесь с текстом Лицензионного соглашения, который отображается на экране, установите флажок Я принимаю условия использования Kaspersky Security Network и нажмите на кнопку Установить. Если вы не согласны с условиями Лицензионного соглашения, плагин не установится.

Когда все выбранные плагины будут установлены, мастер первоначальной настройки автоматически перейдет к следующему шагу.

Шаг 6. Загрузка дистрибутивов и создание инсталляционных пакетов

Выберите дистрибутив для загрузки.

Для дистрибутивов управляемых программ может потребоваться установка определенной минимальной версии Kaspersky Security Center.

После того, как вы выбрали тип шифрования для Kaspersky Endpoint Security для Windows, отобразится список дистрибутивов для обоих типов шифрования. В списке выбран дистрибутив с выбранным типом шифрования. Вы можете выбрать дистрибутив для любого типа шифрования. Язык дистрибутива соответствует языку Kaspersky Security Center. Если дистрибутив Kaspersky Endpoint Security для Windows для языка Kaspersky Security Center не существует, выбирается дистрибутив на английском языке.

Чтобы завершить загрузку некоторых дистрибутивов вы должны принять Лицензионное соглашение. При нажатии кнопки Принять отображается текст Лицензионного соглашения. Чтобы перейти к следующему шагу мастера, вы должны принять положения и условия Лицензионного соглашения, а также условия Политики конфиденциальности "Лаборатории Касперского". Если вы не принимаете положения и условия, загрузка пакета отменяется.

После того, как вы приняли положения и условия Лицензионного соглашения, а также условия Политики конфиденциальности "Лаборатории Касперского", загрузка дистрибутивов продолжается. В дальнейшем инсталляционные пакеты можно использовать для развертывания программ "Лаборатории Касперского" на клиентских устройствах.

Шаг 7. Настройка Kaspersky Security Network

Развернуть все | Свернуть все

Настройте параметры передачи информации о работе Kaspersky Security Center в базу знаний Kaspersky Security Network. Выберите один из следующих вариантов:

• Я принимаю условия использования Kaspersky Security Network

  Kaspersky Security Center и управляемые программы, установленные на клиентских устройствах, в автоматическом режиме будут предоставлять информацию об их работе Kaspersky Security Network. Сотрудничество с Kaspersky Security Network обеспечивает более быстрое обновление баз данных о вирусах и угрозах, что увеличивает скорость реагирования на возникающие угрозы безопасности.

• Я не принимаю условия использования Kaspersky Security Network

  Kaspersky Security Center и управляемые программы не будут предоставлять информацию о своей работе Kaspersky Security Network.

  Если вы выбрали этот параметр, использование Kaspersky Security Network будет выключено.

Вы можете настроить доступ к Kaspersky Security Network (KSN) позднее без запуска мастера первоначальной настройки.

Шаг 8. Выбор способа активации программы

Развернуть все | Свернуть все

Выберите один из следующих вариантов активации Kaspersky Security Center:

• Введите ваш код активации

  Код активации – это уникальная последовательность из двадцати латинских букв и цифр. Вы вводите код активации, чтобы добавить ключ, активирующий Kaspersky Security Center. Код активации отправляется вам на адрес электронной почты, указанный при приобретении Kaspersky Security Center.

  Чтобы активировать программу с помощью кода активации, требуется доступ в интернет для подключения к серверам активации "Лаборатории Касперского".

  Если вы выбрали этот вариант активации программы, можно включить параметр Автоматически распространять лицензионный ключ на управляемые устройства.

  Если выбран этот вариант, лицензионный ключ будет распространяться на управляемые устройства автоматически.

  Если этот вариант не выбран, лицензионный ключ можно будет распространить на управляемые устройства позже, в папке Лицензии "Лаборатории Касперского" дерева консоли администрирования.

• Укажите файл ключа

  Файл ключа – это файл с расширением key, который вам предоставляет "Лаборатория Касперского". Файл ключа предназначен для добавления ключа, активирующего программу.

  Способы получения файла ключа описаны в разделе О файле ключа.

  Чтобы активировать программу с помощью файла ключа, не требуется подключение к серверам активации "Лаборатории Касперского".

  Если вы выбрали этот вариант активации программы, можно включить параметр Автоматически распространять лицензионный ключ на управляемые устройства.

  Если выбран этот вариант, лицензионный ключ будет распространяться на управляемые устройства автоматически.

  Если этот вариант не выбран, лицензионный ключ можно будет распространить на управляемые устройства позже, в папке Лицензии "Лаборатории Касперского" дерева консоли администрирования.

• Отложите активацию программы

  Программа будет работать в режиме Базовой функциональности, без поддержки Управления мобильными устройствами и Системного администрирования.

Если вы отложили активацию программы, вы можете добавить ключ позже в любое время, выбрав Операции → Лицензирование.

При работе с Kaspersky Security Center, развернутым из платного образа AMI или с использованием ежемесячных счетов за использование SKU, вы не можете указать файл ключа или ввести код активации.

Шаг 9. Указание параметров управления обновлениями программ сторонних программ

Развернуть все | Свернуть все

Этот шаг не отображается, если у вас нет лицензии на Системное администрирование, а задача Поиск уязвимостей и требуемых обновлений уже существует.

Для обновлений программ сторонних производителей выберите один из следующих вариантов:

• Искать требуемые обновления

  Задача Поиск уязвимостей и требуемых обновлений создается автоматически, если она не была создана ранее.

  По умолчанию этот вариант выбран.

• Искать и устанавливать требующиеся обновления

  Задачи Поиск уязвимостей и требуемых обновлений и Установка требуемых обновлений и закрытие уязвимостей создаются автоматически, если они не были созданы ранее.

  Этот параметр доступен при наличии лицензии на Системное администрирование.

Для обновлений Центра обновления Windows выберите один из следующих вариантов:

• Использовать и обновлять источники, определенные в политике домена

  Обновления Центра обновления Windows загружаются на клиентские устройства в соответствии с параметрами политики домена. Политика Агента администрирования создается автоматически, если она не была создана ранее.

• Использовать Сервер администрирования в роли WSUS-сервера

  Обновления Центра обновления Windows загружаются на клиентские устройства с Сервера администрирования. Задача Синхронизация обновлений Windows Update и политика Агента администрирования создаются автоматически, если они не были созданы ранее.

  Этот параметр доступен при наличии лицензии на Системное администрирование.

Шаг 10. Создание базовой конфигурации защиты сети

Вы можете проверить список созданных политик и задач.

Для перехода на следующий шаг мастера дождитесь окончания создания политик и задач.

Шаг 11. Настройка параметров отправки уведомлений по электронной почте

Развернуть все | Свернуть все

Настройте параметры рассылки оповещений о событиях, регистрируемых при работе программ "Лаборатории Касперского" на клиентских устройствах. Эти параметры будут использоваться в качестве значений по умолчанию в политиках программ.

Для настройки рассылки оповещений о возникающих событиях программ "Лаборатории Касперского" доступны следующие параметры:

• Получатели (адреса электронной почты)

  Адреса электронной почты пользователей, которым программа будет отправлять уведомления. Вы можете указать один или более адресов. Если вы указываете несколько адресов, разделяйте их точкой с запятой.

• Адрес SMTP-сервера

  Адрес или адреса почтовых серверов вашей организации.

  Если вы указываете несколько адресов, разделяйте их точкой с запятой. Вы можете использовать следующие значения параметра:

  • IPv4-адрес или IPv6-адрес;
  • Имя устройства в сети Windows (NetBIOS-имя);
  • DNS-имя SMTP-сервера.
• Порт SMTP-сервера

  Номер коммуникационного порта SMTP-сервера. Если вы используете несколько SMTP-серверов, соединение с ними устанавливается через указанный коммуникационный порт. По умолчанию установлен порт 25.

• Использовать ESMTP-аутентификацию

  Включение поддержки ESMTP-аутентификации. После установки флажка можно указать параметры ESMTP-аутентификации в полях Имя пользователя и Пароль. По умолчанию флажок снят.

• Использовать TLS

  Вы можете указать параметры подключения TLS для SMTP-сервера:

  • Не использовать TLS

    Вы можете выбрать этот параметр, если хотите выключить шифрование сообщений электронной почты.

  • Использовать TLS, если поддерживается SMTP-сервером

    Вы можете выбрать этот параметр, если хотите использовать TLS для подключения к SMTP-серверу. Если SMTP-сервер не поддерживает TLS, Сервер администрирования подключает SMTP-сервер без использования TLS.

  • Всегда использовать TLS, для проверки срока действия сертификата сервера

    Вы можете выбрать этот параметр, если хотите использовать параметры TLS-аутентификации. Если SMTP-сервер не поддерживает TLS, Сервер администрирования не сможет подключиться к SMTP-серверу.

    Рекомендуется использовать этот параметр для защиты соединения с SMTP-сервером. Если вы выберете этот параметр, вы можете установить параметры аутентификации для TLS-соединения.

    Если вы выбрали значение Всегда использовать TLS, для проверки срока действия сертификата сервера, вы можете указать сертификат для аутентификации SMTP-сервера и выбрать, хотите ли вы разрешить подключение через любую версию TLS или только через TLS 1.2 или более поздние версии. Также вы можете указать сертификат для аутентификации клиента на SMTP-сервере.

  Вы можете указать сертификат для TLS подключения, перейдя по ссылке Задать сертификаты:

  • Выберите файл сертификата SMTP-сервера:

    Вы можете получить файл со списком сертификатов от доверенного центра сертификации и загрузить его на Сервер администрирования. Kaspersky Security Center проверяет, подписан ли сертификат SMTP-сервера также доверенным центром сертификации. Kaspersky Security Center не может подключиться к SMTP-серверу, если сертификат SMTP-сервера не получен от доверенного центра сертификации.

  • Выберите файл сертификата клиента:

    Вы можете использовать сертификат, полученный из любого источника, например, от любого доверенного центра сертификации. Вам нужно указать сертификат и его закрытый ключ, используя один из следующих типов сертификатов:

    • Сертификат X-509:

      Вам нужно указать файл с сертификатом и файл с закрытым ключом. Оба файла не зависят друг от друга. Порядок загрузки файлов не имеет значения. Когда оба файла загружены, необходимо указать пароль для расшифровки закрытого ключа. Пароль может иметь пустое значение, если закрытый ключ не зашифрован.

    • Контейнер с сертификатом в формате PKCS#12:

      Вам нужно загрузить один файл, содержащий сертификат и закрытый ключ сертификата. Когда файл загружен, тогда необходимо указать пароль для расшифровки закрытого ключа. Пароль может иметь пустое значение, если закрытый ключ не зашифрован.

Вы можете проверить параметры уведомления о сообщениях электронной почты с помощью кнопки Отправить тестовое сообщение.

Вы можете настроить уведомления о событии позднее без запуска мастера первоначальной настройки.

Шаг 12. Выполнение опроса сети

Сервер администрирования выполняет первоначальный опрос сети. Во время опроса отображается ход его выполнения. После завершения опроса ссылка Просмотреть обнаруженные устройства становится доступной. Вы можете перейти по ссылке, чтобы просмотреть устройства сети, обнаруженные Сервером администрирования. Чтобы вернуться в мастер первоначальной настройки, нажмите на кнопку Escape.

Шаг 13. Завершение работы мастера первоначальной настройки

На странице завершения работы мастера первоначальной настройки установите флажок Запустить мастер развертывания защиты на рабочих станциях, если вы хотите запустить автоматическую установку антивирусных программ или Агента администрирования на устройства в вашей сети.

Для завершения работы мастера нажмите на кнопку Готово.

Подключение автономных устройств

В этом разделе описано, как подключить автономные устройства к Серверу администрирования (то есть управляемые устройства, находящиеся вне основной сети).

Сценарий: Подключение автономных устройств через шлюз соединения

В этом сценарии описано, как подключить к Серверу администрирования управляемые устройства, находящиеся вне основной сети.

Предварительные требования

Сценарий имеет следующие предварительные требования:

• В сети вашей организации организована демилитаризованная зона (DMZ).
• Сервер администрирования Kaspersky Security Center развернут в корпоративной сети.

Этапы

Этот сценарий состоит из следующих этапов:

1. Выбор клиентского устройства в демилитаризованной зоне

   Это устройство будет использоваться в качестве шлюза соединения. Выбранное устройство должно соответствовать требованиям для шлюзов соединения.

2. Установка Агента администрирования в роли шлюза соединения

   Для установки Агента администрирования на выбранное устройство рекомендуем использовать локальную установку.

   По умолчанию установочный файл находится по адресу: \\<Имя Сервера>\KLSHARE\PkgInst\NetAgent_<номер версии>.

   В окне Шлюз соединения мастера установки Агента администрирования выберите параметр Использовать в качестве шлюза соединения в демилитаризованной зоне. Этот режим одновременно активирует роль шлюза соединения и предписывает Агенту администрирования ждать соединений от Сервера администрирования, а не устанавливать соединения с Сервером администрирования.

   Также вы можете установить Агент администрирования на устройство под управлением Linux и настроить Агент администрирования для работы в качестве шлюза соединения. Обратите внимание на список ограничений Агента администрирования, работающего на устройствах под управлением Linux.

3. Разрешение соединения на сетевом экране шлюза соединения

   Чтобы Сервер администрирования мог подключаться к шлюзу соединения в демилитаризованной зоне, разрешите подключения к TCP-порту 13000 во всех сетевых экранах между Сервером администрирования и шлюзом соединения.

   Если шлюз соединения не имеет реального IP-адреса в интернете, но вместо этого расположен за Network Address Translation (далее также NAT), настройте правило для пересылки подключений через NAT.

4. Создание группы администрирования для внешних устройств

   Создайте группу внутри группы Управляемые устройства. Эта новая группа будет содержать внешние управляемые устройства.

5. Подключение шлюза соединения к Серверу администрирования

   Настроенный вами шлюз соединения ожидает соединения от Сервера администрирования. Однако Сервер администрирования не перечисляет устройство со шлюзом соединения среди управляемых устройств. Это связано с тем, что шлюз соединения не пытался установить соединение с Сервером администрирования. Следовательно, вам потребуется особая процедура, чтобы Сервер администрирования инициировал соединение со шлюзом соединения.

   Выполните следующие действия:

   1. Добавьте шлюз соединения в качестве точки распространения.
   2. Переместите шлюз соединения из группы Нераспределенные устройства в группу, которую вы создали для внешних устройств.

   Шлюз соединения подключен и настроен.

6. Подключение внешних настольных компьютеров к Серверу администрирования

   Обычно внешние настольные компьютеры не перемещаются внутрь периметра сети. Поэтому вам необходимо настроить их для подключения к Серверу администрирования через шлюз соединения при установке Агента администрирования.

7. Настройка обновлений для внешних настольных компьютеров

   Если обновления программ безопасности настроены на загрузку с Сервера администрирования, внешние компьютеры загружают обновления через шлюз соединения. Это имеет два недостатка:

   • Это лишний трафик, занимающий пропускную способность интернет-канала компании.
   • Это не обязательно самый быстрый способ получать обновления. Возможно для внешних компьютеров будет удобнее получать обновления с серверов обновлений "Лаборатории Касперского".

   Выполните следующие действия:

   1. Переместите все внешние компьютеры в отдельную группу администрирования, которую вы создали ранее.
   2. Исключить группу с внешними устройствами из задачи обновления.
   3. Создайте отдельную задачу обновления для группы с внешними устройствами.
8. Подключение ноутбуков к Серверу администрирования

   Иногда ноутбуки находятся внутри сети, а в другое время – вне сети. Для эффективного управления вам необходимо, чтобы они по-разному подключались к Серверу администрирования в зависимости от своего местоположения. Для эффективного использования трафика им также необходимо получать обновления из разных источников в зависимости от их местоположения.

   Вам необходимо настроить правила для автономных пользователей: профили подключения и описания сетевых расположений. Каждое правило определяет экземпляр Сервера администрирования, к которому должны подключаться ноутбуки в зависимости от их местоположения, и экземпляр Сервера администрирования, с которого они должны получать обновления.

Сценарий: подключение автономных устройств через подчиненный Сервер администрирования в демилитаризованной зоне

Если вы хотите подключить управляемые устройства, расположенные вне основной сети, к Серверу администрирования, вы можете сделать это с помощью подчиненного Сервера администрирования, расположенного в демилитаризованной зоне (DMZ).

Предварительные требования

Прежде чем приступать, убедитесь, что вы выполнили следующее:

• В сети вашей организации организована демилитаризованная зона (DMZ).
• Сервер администрирования Kaspersky Security Center развернут во внутренней сети организации.

Этапы

Этот сценарий состоит из следующих этапов:

1. Выбор клиентского устройства в демилитаризованной зоне

   В демилитаризованной зоне (DMZ) выберите клиентское устройство, которое будет использоваться в качестве подчиненного Сервера администрирования.

2. Установка Сервера администрирования Kaspersky Security Center.

   Установите Сервер администрирования Kaspersky Security Center на этом клиентском устройстве.

3. Создание иерархии Серверов администрирования

   Если вы размещаете подчиненный Сервер администрирования в демилитаризованной зоне, подчиненный Сервер администрирования должен принимать подключение от главного Сервера администрирования. Для этого добавьте новый Сервер администрирования в качестве подчиненного Сервера так, чтобы главный Сервер подключался к подчиненному Серверу по порту 13000. При объединении Серверов в иерархию необходимо, чтобы порт 13299 обоих Серверов был доступен. Программа Kaspersky Security Center Web Console подключается к Серверу администрирования по порту 13299.

4. Подключение автономных управляемых устройств к подчиненному Серверу администрирования

   Вы можете подключить автономные устройства к Серверу администрирования в демилитаризованной зоне аналогично тому, как устанавливается соединение между Сервером администрирования и управляемыми устройствами находящимися в основной сети. Автономные устройства инициируют подключение через порт 13000.

О подключении автономных устройств

Некоторые управляемые устройства, которые всегда находятся вне основной сети (например, компьютеры в региональных филиалах компании; киоски, банкоматы и терминалы, установленные в различных точках продаж; компьютеры в домашних офисах сотрудников), не могут быть подключены к Серверу администрирования напрямую. Некоторые устройства время от времени выходят за пределы периметра сети (например, ноутбуки пользователей, которые посещают региональные филиалы или офис клиента).

Вам по-прежнему необходимо отслеживать и управлять защитой устройств вне офиса – получать актуальную информацию об их статусе защиты и поддерживать программы безопасности на них в актуальном состоянии. Это необходимо, например, потому, что если такое устройство будет скомпрометировано, находясь вдали от основной сети, то оно может стать платформой для распространения угроз, как только подключится к основной сети. Для подключения автономных устройств к Серверу администрирования вы можете использовать два способа:

• Шлюз соединения в демилитаризованной зоне (DMZ).

  См. схему трафика данных: Сервер администрирования внутри локальной сети (LAN), управляемые устройства в интернете; использование шлюза соединения.

• Сервер администрирования в демилитаризованной зоне (DMZ)

  См. схему трафика данных: Сервер администрирования внутри демилитаризованной зоны (DMZ), управляемые устройства в интернете.

Шлюз соединения в демилитаризованной зоне

Рекомендуемый способ подключения автономных устройств к Серверу администрирования это создание демилитаризованной зоны в сети организации и установка шлюза соединения в демилитаризованной зоне. Внешние устройства будут подключаться к шлюзу соединения, а Сервер администрирования внутри сети инициирует подключение к устройствам через шлюз соединения.

По сравнению с другим способ этот является более безопасным:

• Вам не нужно открывать доступ к Серверу администрирования извне.
• Скомпрометированный шлюз соединения не представляет большого риска для безопасности сетевых устройств. Шлюз соединения ничем не управляет и не устанавливает никаких соединений.

Кроме того, шлюз соединения не требует много аппаратных ресурсов.

Однако этот способ имеет более сложный процесс настройки:

• Чтобы устройство выполняло роль шлюза соединения в демилитаризованной зоне, вам необходимо установить Агент администрирования и подключить его к Серверу администрирования особым образом.
• Вы не сможете использовать один и тот же адрес подключения к Серверу администрирования для ситуаций. С внешней стороны периметра вам нужно будет использовать не только другой адрес (адрес шлюза соединения), но и другой режим подключения: через шлюз соединения.
• Вам также необходимо определить разные параметры подключения для ноутбуков в разных месторасположениях.

Чтобы добавить шлюз соединения в ранее настроенную сеть:

1. Установите Агент администрирования в режиме шлюза соединения.
2. Переустановите Агент администрирования на устройствах, которые вы хотите подключить к вновь добавленному шлюзу соединения.

Сервер администрирования в демилитаризованной зоне (DMZ)

Другой способ это установка единого Сервера администрирования в демилитаризованной зоне.

Эта конфигурация менее безопасна, чем конфигурация первого способа. В этом случае для управления внешними ноутбуками Сервер администрирования должен принимать соединения с любого адреса из интернета. Сервер администрирования управляет всеми устройствами во внутренней сети, но из демилитаризованной зоны. Поэтому скомпрометированный Сервер может нанести огромный ущерб, несмотря на низкую вероятность такого события.

Риск значительно снижается, если Сервер администрирования в демилитаризованной зоне не управляет устройствами внутренней сети. Такая конфигурация может использоваться, например, поставщиком услуг для управления устройствами клиентов.

Вы можете использовать этот способ в следующих случаях:

• Если вы знакомы с установкой и настройкой Сервера администрирования и не хотите выполнять другую процедуру по установке и настройке шлюза соединения.
• Если вам нужно управлять большим количеством устройств. Максимальное количество устройств, которыми может управлять Сервер администрирования – 100 000 устройств, шлюз соединения может поддерживать до 10 000 устройств.

Это решение также имеет некоторые сложности:

• Серверу администрирования требуется больше аппаратных ресурсов и еще одна база данных.
• Информация об устройствах будет храниться в двух несвязанных между собой базах данных (для Сервера администрирования внутри сети и другой в демилитаризованной зоне), что усложняет контроль.
• Для управления всеми устройствами Сервер администрирования необходимо объединить в иерархию, что усложняет и контроль и управление. Экземпляр подчиненного Сервера администрирования накладывает ограничения на возможные структуры групп администрирования. Вам нужно решить, как и какие задачи и политики распространять на подчиненный Сервер администрирования.
• Настройка внешних устройств для использования Сервера администрирования в демилитаризованной зоне извне и для использования главного Сервера администрирования изнутри не проще, чем настройка подключения через шлюз.
• Высокие риски безопасности. Скомпрометированный Сервер администрирования упрощает взлом управляемых ноутбуков. Если это произойдет, хакерам просто нужно дождаться, пока один из ноутбуков вернется в корпоративную сеть, чтобы продолжить атаку на локальную сеть.

Подключение внешних настольных компьютеров к Серверу администрирования

Настольные компьютеры, которые всегда находятся вне основной сети (например, компьютеры в региональных филиалах компании; киоски, банкоматы и терминалы, установленные в различных точках продаж; компьютеры в домашних офисах сотрудников), не могут быть подключены к Серверу администрирования напрямую. Они должны быть подключены к Серверу администрирования через шлюз соединения, установленный в демилитаризованной зоне (DMZ). Такая конфигурация выполняется при установке Агента администрирования на эти устройства.

Чтобы подключить внешние настольные компьютеры к Серверу администрирования:

1. Создание инсталляционного пакета Агента администрирования.
2. Откройте свойства созданного инсталляционного пакета, перейдите в раздел Параметры → Дополнительно и выберите параметр Подключаться к Серверу администрирования через шлюз соединения.

   Параметр Подключаться к Серверу администрирования через шлюз соединения несовместим с параметром Использовать в качестве шлюза соединения в демилитаризованной зоне. Вы не можете включить оба этих параметра одновременно.

3. Укажите адрес шлюза соединения в поле Адрес шлюза соединения.

   Если шлюз соединения расположен за Network Address Translation (NAT) и не имеет собственного общедоступного адреса, настройте правило шлюза NAT для перенаправления соединений с общедоступного адреса на внутренний адрес шлюза соединения.

4. Создайте автономный инсталляционный пакет на основе созданного инсталляционного пакета.
5. Доставьте автономный инсталляционный пакет на целевые компьютеры в электронном виде или на съемном диске.
6. Установите Агент администрирования из автономного инсталляционного пакета.

К Серверу администрирования подключены внешние настольные компьютеры.

О профилях соединения для автономных пользователей

При работе автономных пользователей, использующих ноутбуки (далее также "устройства"), может понадобиться изменить способ подключения к Серверу администрирования или переключиться между Серверами администрирования в зависимости от текущего положения устройства в сети.

Профили подключения поддерживаются только для устройств под управлением Windows и macOS.

Использование различных адресов одного и того же Сервера администрирования

Устройства с установленным Агентом администрирования могут в разные периоды времени подключаться к Серверу администрирования как из внутренней сети организации, так и из интернета. В этой ситуации может потребоваться, чтобы Агент администрирования использовал различные адреса для подключения к Серверу администрирования: внешний адрес Сервера при подключении из интернета и внутренний адрес Сервера при подключении из внутренней сети.

Для этого в свойствах политики Агента администрирования добавьте профиль для подключения к Серверу администрирования из интернета (в разделе Параметры программы → Сеть → Профили соединений → Профили подключения к Серверу администрирования). В окне создания профиля выключите параметр Использовать только для получения обновлений и убедитесь, что выбран параметр Синхронизировать параметры подключения с параметрами Сервера, указанными в этом профиле. Если для доступа к Серверу администрирования используется шлюз соединений (например, в конфигурации Kaspersky Security Center, описанной в разделе Доступ из интернета: Агент администрирования в качестве шлюза соединения в демилитаризованной зоне), в профиле подключения следует указать адрес шлюза соединения в соответствующем поле.

Переключение между Серверами администрирования в зависимости от текущей сети

Если в организации несколько офисов с различными Серверами администрирования и между ними перемещается часть устройств с установленным Агентом администрирования, то необходимо, чтобы Агент администрирования подключался к Серверу администрирования локальной сети того офиса, в котором находится устройство.

В этом случае в свойствах политики Агента администрирования создайте профиль подключения к Серверу администрирования для каждого из офисов, за исключением домашнего офиса, в котором расположен исходный домашний Сервер администрирования. В профилях подключения укажите адреса соответствующих Серверов администрирования и включите (либо выключите) параметр Использовать только для получения обновлений:

• выбрать параметр, если требуется, чтобы Агент администрирования синхронизировался с домашним Сервером администрирования, а локальный Сервер использовался только для загрузки обновлений;
• выключить параметр, если необходимо, чтобы Агент администрирования полностью управлялся локальным Сервером администрирования.

Далее необходимо настроить условия переключения на созданные профили: не менее одного условия для каждого из офисов, исключая "домашний офис". Смысл каждого такого условия заключается в обнаружении в сетевом окружении деталей, присущих одному из офисов. Если условие становится истинным, происходит активация соответствующего профиля. Если ни одно из условий не является истинным, Агент администрирования переключается на домашний Сервер администрирования.

Создание профиля соединения для автономных пользователей

Развернуть все | Свернуть все

Подключение профиля Агента администрирования к Серверу администрирования доступно только для устройств под управлением операционной системы Windows и macOS.

Чтобы создать профиль подключения Агента администрирования к Серверу администрирования для автономных пользователей:

1. Если вы хотите создать профиль подключения для группы управляемых устройств, откройте политику Агента администрирования этой группы. Для этого выполните следующие:
   1. В главном окне программы перейдите в раздел Устройства → Политики и профили политик.
   2. Перейдите по ссылке на текущий путь.
   3. В открывшемся окне выберите нужную группу администрирования.

      После этого текущий путь меняется.

   4. Добавьте политику Агента администрирования для группы управляемых устройств. Если вы уже создали ее, нажмите на название политики Агента администрирования, чтобы открыть свойства политики.
2. Если вы хотите создать профиль подключения для определенного управляемого устройства, выполните следующие действия:
   1. В главном окне программы перейдите в раздел Устройства → Управляемые устройства.
   2. Нажмите на имя требуемого управляемого устройства.
   3. В открывшемся окне свойств управляемого устройства перейдите на закладку Программы.
   4. Нажмите на название политики Агента администрирования, к которой применяется только выбранное управляемое устройство.
3. В открывшемся окне свойств перейдите в раздел Параметры программы → Сеть → Профили соединений.
4. В разделе Профили подключения к Серверу администрирования нажмите на кнопку Добавить.

   По умолчанию список профилей подключения содержит профили <Офлайн-режим> и <Домашний Сервер администрирования>. Профили недоступны для изменения и удаления.

   В профиле <Офлайн-режим> не указывается Сервер для подключения. При переходе к этому профилю Агент администрирования не пытается подключиться к какому-либо Серверу, а установленные на клиентских устройствах программы используют политики для автономных пользователей. Профиль <Офлайн-режим> применяется в условиях отключения устройств от сети.

   В профиле <Домашний Сервер администрирования> указан Сервер для подключения, который был задан при установке Агента администрирования. Профиль <Домашний Сервер администрирования> применяется в условиях, когда устройство, которое работало в другой сети, вновь подключается к домашнему Серверу администрирования.

5. В открывшемся окне Настроить профиль настройте параметры профиля подключения:
   • Имя профиля

     В поле ввода можно просмотреть или изменить имя профиля подключения.

   • Адрес Сервера администрирования

     Адрес Сервера администрирования, к которому должно подключаться клиентское устройство при активации профиля.

   • Номер порта

     Номер порта, по которому будет выполняться подключение.

   • SSL-порт

     Номер порта, по которому будет осуществляться подключение с использованием SSL-протокола.

   • Использовать SSL-соединение

     Если этот параметр включен, подключение будет выполняться через защищенный порт (с использованием SSL-протокола).

     По умолчанию параметр включен. Чтобы ваше соединение оставалось безопасным, рекомендуется не выключать этот параметр.

   • Выберите параметр Использовать прокси-сервер, если требуется использовать прокси-сервер для подключения к интернету. Если параметр выбран, доступны поля ввода параметров. Настройте следующие параметры подключения к прокси-серверу:
     • Адрес

       Адрес прокси-сервера для подключения Kaspersky Security Center к интернету.

     • Номер порта

       Номер порта, через который будет установлено прокси-подключение Kaspersky Security Center.

     • Аутентификация на прокси-сервере

       Если флажок установлен, в полях ввода можно указать учетные данные для аутентификации на прокси-сервере.

     • Имя пользователя

       Учетная запись пользователя, от имени которого будет выполняться подключение к прокси-серверу (поле доступно, если установлен флажок Аутентификация на прокси-сервере).

     • Пароль

       Пароль пользователя, с помощью учетной записи которого выполняется подключение к прокси-серверу (поле доступно, если установлен флажок Аутентификация на прокси-сервере).

       Чтобы посмотреть введенный пароль, нажмите на кнопку Показать и удерживайте ее необходимое вам время.

   • Адрес шлюза соединения

     Адрес шлюза, через который устанавливается соединение клиентских устройств с Сервером администрирования.

   • Включить автономный режим, когда Сервер администрирования недоступен

     Установите этот флажок, чтобы при подключении программы, установленные на клиентском устройстве, использовали профили политик для устройств, находящихся в автономном режиме, и политики для автономных пользователей, если Сервер администрирования недоступен. В случае, если для программы политика для автономных пользователей не определена, программа будет использовать активную политику.

     Если параметр выключен, программы будут использовать активные политики.

     По умолчанию флажок снят.

   • Использовать только для получения обновлений

     Если этот параметр включен, профиль будет использоваться только при загрузке обновлений программами, установленными на клиентском устройстве. Для остальных операций подключение к Серверу администрирования будет выполняться с исходными параметрами подключения, заданными при установке Агента администрирования.

     По умолчанию параметр включен.

   • Синхронизировать параметры подключения с параметрами Сервера, указанными в этом профиле

     Если этот параметр включен, Агент администрирования подключается к Серверу администрирования, используя параметры, указанные в свойствах профиля.

     Если этот параметр выключен, Агент администрирования подключается к Серверу, используя исходные параметры, указанные при установке.

     Параметр доступен, если параметр Использовать только для получения обновлений для получения обновлений выключен.

     По умолчанию параметр выключен.

В результате будет создан профиль подключения Агента администрирования к Серверу администрирования для автономных пользователей. При подключении Агента администрирования к Серверу через этот профиль программы, установленные на клиентском устройстве, будут использовать политики для устройств, находящиеся в автономном режиме, или политики для автономных пользователей.

О переключении Агента администрирования на другой Сервер администрирования

В Kaspersky Security Center предусмотрена возможность переключения Агента администрирования клиентского устройства на другие Серверы администрирования при изменении следующих характеристик сети:

• Условие для адреса DHCP-сервера – изменение IP-адреса DHCP-сервера (Dynamic Host Configuration Protocol) в сети.
• Условие для адреса шлюза соединения по умолчанию – изменение основного шлюза сети.
• Условие для DNS-домена – изменение DNS-суффикса подсети.
• Условие для адресов DNS-сервера – изменение IP-адреса DNS-сервера в сети.
• Условие для адреса WINS-сервера – изменение IP-адреса WINS-сервера в сети. Этот параметр доступен только для устройств с операционными системами Windows.
• Условие для разрешимости имен – у клиентского устройства изменилось NetBIOS-имя или DNS-имя.
• Условие для подсети – изменение адреса и маски подсети.
• Условие для доступности Windows-домена – изменение статуса Windows-домена, к которому подключено клиентское устройство. Этот параметр доступен только для устройств с операционными системами Windows.
• Условие для доступности адреса SSL-соединения – клиентское устройство может или не может (в зависимости от выбранного вами параметра) установить SSL-соединение с Сервером (имя:порт). Для каждого Сервера вы можете дополнительно указать SSL-сертификат. В этом случае Агент администрирования проверяет сертификат Сервера администрирования в дополнение к проверке возможности SSL-соединения. Если сертификаты не совпадают, соединение не устанавливается.

Эта функция поддерживается только для Агентов администрирования, установленных на устройствах под управлением Windows или macOS.

Исходные параметры подключения Агента администрирования к Серверу задаются при установке Агента администрирования. В дальнейшем, если сформированы правила переключения Агента администрирования на другие Серверы администрирования, Агент реагирует на изменение характеристик сети следующим образом:

• Если характеристики сети соответствуют одному из сформированных правил, Агент администрирования подключается к указанному в этом правиле Серверу администрирования. Если это задано правилом, установленные на клиентских устройствах программы переходят на политики для автономных пользователей.
• Если ни одно из правил не выполняется, Агент администрирования возвращается к исходным параметрам подключения к Серверу администрирования, заданным при установке. Установленные на клиентских устройствах программы возвращаются к активным политикам.
• Если Сервер администрирования недоступен, Агент администрирования использует политики для автономных пользователей.

Агент администрирования переключается на политику для автономных пользователей, только если параметр Включить автономный режим, когда Сервер администрирования недоступен включен в параметрах политики Агента администрирования.

Параметры подключения Агента администрирования к Серверу администрирования сохраняются в профиле подключения. В профиле подключения вы можете создавать правила перехода клиентских устройств на политики для автономных пользователей, а также настраивать профиль таким образом, чтобы он использовался только для загрузки обновлений.

Создание правила переключения Агента администрирования по сетевому местоположению

Развернуть все | Свернуть все

Переключение Агента администрирования доступно только для устройств под управлением операционной системы Windows и macOS.

Чтобы создать правило для переключения Агента администрирования с одного Сервера администрирования на другой при изменении характеристик сети:

1. Если вы хотите создать правило для группы управляемых устройств, откройте политику Агента администрирования этой группы. Для этого выполните следующие:
   1. В главном окне программы перейдите в раздел Устройства → Политики и профили политик.
   2. Перейдите по ссылке на текущий путь.
   3. В открывшемся окне выберите нужную группу администрирования.

      После этого текущий путь меняется.

   4. Добавьте политику Агента администрирования для группы управляемых устройств. Если вы уже создали ее, нажмите на название политики Агента администрирования, чтобы открыть свойства политики.
2. Если вы хотите создать правило для определенного управляемого устройства, сделайте следующее:
   1. В главном окне программы перейдите в раздел Устройства → Управляемые устройства.
   2. Нажмите на имя требуемого управляемого устройства.
   3. В открывшемся окне свойств управляемого устройства перейдите на закладку Программы.
   4. Нажмите на название политики Агента администрирования, к которой применяется только выбранное управляемое устройство.
3. В открывшемся окне свойств перейдите в раздел Параметры программы → Сеть → Профили соединений.
4. В разделе Параметры сетевого местоположения нажмите на кнопку Добавить.
5. В открывшемся окне свойств настройте описание сетевого местоположения и правило переключения. Настройте следующие параметры описания сетевого местоположения:
   • Описание

     Имя описания сетевого местоположения не может превышать 255 символов и содержать специальные символы ("*<>?\/:|).

   • Использовать профиль подключения

     В раскрывающемся списке можно выбрать профиль подключения Агента администрирования к Серверу администрирования. Профиль будет использоваться при выполнении условий описания сетевого местоположения. Профиль подключения содержит параметры подключения Агента администрирования к Серверу администрирования и определяет переход клиентских устройств на политики для автономных пользователей. Профиль используется только для загрузки обновлений.

   • Описание активно

     Установите этот флажок, чтобы включить использование нового описания сетевого местоположения.

6. Выберите условия для правила переключения Агента администрирования:
   • Условие для адреса DHCP-сервера – изменение IP-адреса DHCP-сервера (Dynamic Host Configuration Protocol) в сети.
   • Условие для адреса шлюза соединения по умолчанию – изменение основного шлюза сети.
   • Условие для DNS-домена – изменение DNS-суффикса подсети.
   • Условие для адресов DNS-сервера – изменение IP-адреса DNS-сервера в сети.
   • Условие для адреса WINS-сервера – изменение IP-адреса WINS-сервера в сети. Этот параметр доступен только для устройств с операционными системами Windows.
   • Условие для разрешимости имен – у клиентского устройства изменилось NetBIOS-имя или DNS-имя.
   • Условие для подсети – изменение адреса и маски подсети.
   • Условие для доступности Windows-домена – изменение статуса Windows-домена, к которому подключено клиентское устройство. Этот параметр доступен только для устройств с операционными системами Windows.
   • Условие для доступности адреса SSL-соединения – клиентское устройство может или не может (в зависимости от выбранного вами параметра) установить SSL-соединение с Сервером (имя:порт). Для каждого Сервера вы можете дополнительно указать SSL-сертификат. В этом случае Агент администрирования проверяет сертификат Сервера администрирования в дополнение к проверке возможности SSL-соединения. Если сертификаты не совпадают, соединение не устанавливается.

   Условия правила объединяются с использованием логического оператора AND. Чтобы правило переключения по описанию сетевого местоположения сработало, все условия переключения правила должны быть выполнены.

7. В разделе с условиями укажите, когда Агент администрирования нужно переключить на другой Сервер администрирования. Для этого нажмите на кнопку Добавить и установите значение условия.

   Параметр Соответствует хотя бы одному значению списка включен по умолчанию. Можно выключить этот параметр, если вы хотите, чтобы условие выполнялось со всеми указанными значениями.

8. Сохраните изменения.

В результате будет создано правило переключения по описанию сетевого местоположения, при выполнении условий которого Агент администрирования будет использовать для подключения к Серверу администрирования указанный в описании профиль подключения.