Управление Серверами администрирования

Этот раздел содержит информацию о работе с Серверами администрирования и о настройке параметров Сервера администрирования.

Создание иерархии Серверов администрирования: добавление подчиненного Сервера администрирования

Вы можете добавить Сервер администрирования в качестве подчиненного Сервера, установив таким образом отношение иерархии "главный Сервер – подчиненный Сервер". Добавление возможно независимо от того, доступен ли Сервер, который вы хотите сделать подчиненным, для подключения через Консоль администрирования.

При объединении Серверов в иерархию необходимо, чтобы порт 13291 обоих Серверов был доступен. Порт 13291 необходим для приема подключений от Консоли администрирования к Серверу администрирования.

Подключение Сервера администрирования в качестве подчиненного к главному Серверу

Вы можете добавить Сервер администрирования в качестве подчиненного Сервера с подключением к главному Серверу по порту 13000. Вам потребуется устройство с установленной Консолью администрирования, с которого доступны порты TCP 13291 обоих Серверов администрирования:

Чтобы добавить Сервер администрирования, доступный для подключения через Консоль, в качестве подчиненного Сервера:

1. Убедитесь, что порт 13000 поддерживаемого главного Сервера доступен для приема подключений от подчиненных Серверов администрирования.
2. С помощью Консоли администрирования подключитесь к будущему главному Серверу администрирования.
3. Выберите группу администрирования, в которую вы планируете добавить подчиненный Сервер администрирования.
4. В рабочей области узла Серверы администрирования выбранной группы перейдите по ссылке Добавить подчиненный Сервер администрирования.

   Запустится мастер добавления подчиненного Сервера администрирования.

5. На первом шаге мастера (ввод адреса Сервера администрирования, добавляемого в группу) введите сетевое имя будущего подчиненного Сервера администрирования.
6. Следуйте далее указаниям мастера.

Отношение "Главный Сервер – подчиненный Сервер" будет установлено. Подчиненный Сервер будет принимать подключение от главного Сервера.

Если у вас нет устройства с установленной Консолью администрирования, с которого доступны порты TCP 13291 обоих Серверов администрирования (например, если будущий подчиненный Сервер находится в удаленном офисе, а системный администратор удаленного офиса из соображений безопасности не делает доступным порт 13291 через интернет), вы все равно можете добавить подчиненный Сервер.

Чтобы добавить Сервер администрирования, недоступный для подключения через Консоль, в качестве подчиненного Сервера:

1. Убедитесь, что порт 13000 будущего главного Сервера доступен для подключения от подчиненных Серверов администрирования.
2. Запишите файл сертификата будущего главного Сервера администрирования на внешнее устройство (например, съемный диск) либо перешлите системному администратору того удаленного офиса, в котором находится Сервер администрирования.

   Файл сертификата Сервера администрирования находится на Сервере администрирования по адресу %ALLUSERSPROFILE%\Application Data\KasperskyLab\adminkit\1093\cert\klserver.cer.

3. Запишите файл сертификата будущего подчиненного Сервера администрирования на внешнее устройство (например, съемный диск). Если будущий подчиненный Сервер находится в удаленном офисе, попросите системного администратора удаленного офиса переслать вам сертификат.

   Файл сертификата Сервера администрирования находится на Сервере администрирования по адресу %ALLUSERSPROFILE%\Application Data\KasperskyLab\adminkit\1093\cert\klserver.cer.

4. С помощью Консоли администрирования подключитесь к будущему главному Серверу администрирования.
5. Выберите группу администрирования, в которую вы планируете добавить подчиненный Сервер администрирования.
6. Нажмите на кнопку Добавить подчиненный Сервер администрирования в рабочей области узла Серверы администрирования.

   Запустится мастер добавления подчиненного Сервера администрирования.

7. На первом шаге мастера (ввод адреса) оставьте поле Адрес подчиненного Сервера администрирования (необязательно) пустым.
8. В окне Файл сертификата подчиненного Сервера администрирования нажмите на кнопку Обзор и выберите сохраненный ранее файл сертификата подчиненного Сервера.
9. После завершения работы мастера подключитесь с помощью другой Консоли администрирования к будущему подчиненному Серверу администрирования. Если этот Сервер находится в удаленном офисе, попросите системного администратора удаленного офиса подключиться к будущему подчиненному Серверу администрирования и выполнить на нем дальнейшие шаги.
10. В контекстном меню узла Сервер администрирования выберите Свойства.
11. В свойствах Сервера администрирования перейдите в раздел Дополнительно и затем в раздел Иерархия Серверов администрирования.
12. Установите флажок Данный Сервер администрирования является подчиненным в иерархии.

    Поля ввода станут доступными для ввода и редактирования.

13. В поле Адрес главного Сервера администрирования введите сетевое имя будущего главного Сервера администрирования.
14. Выберите ранее сохраненный файл сертификата будущего главного Сервера, нажав на кнопку Обзор.
15. Нажмите на кнопку ОК.

Отношение "Главный Сервер – подчиненный Сервер" будет установлено. Вы сможете подключаться к подчиненному Серверу через Консоль администрирования. Подчиненный Сервер будет принимать подключение от главного Сервера.

Подключение главного Сервера администрирования к подчиненному Серверу

Вы можете добавить новый Сервер администрирования в качестве подчиненного Сервера так, чтобы главный Сервер подключался к подчиненному Серверу по порту 13000. Это целесообразно, например, если вы размещаете подчиненный Сервер в демилитаризованной зоне.

Вам потребуется устройство с установленной Консолью администрирования, с которого доступны порты TCP 13291 обоих Серверов администрирования:

Чтобы добавить новый Сервер администрирования в качестве подчиненного и подключить главный Сервер к нему по порту 13000:

1. Убедитесь, что порт 13000 будущего подчиненного Сервера доступен для приема подключений от главного Сервера администрирования.
2. С помощью Консоли администрирования подключитесь к будущему главному Серверу администрирования.
3. Выберите группу администрирования, в которую вы планируете добавить подчиненный Сервер администрирования.
4. В рабочей области узла Серверы администрирования нужной группы администрирования перейдите по ссылке Добавить подчиненный Сервер администрирования.

   Запустится мастер добавления подчиненного Сервера администрирования.

5. На первом шаге мастера (ввод адреса Сервера администрирования, добавляемого в группу) введите сетевое имя будущего подчиненного Сервера администрирования, и установите флажок Подключать главный Сервер к подчиненному Серверу в демилитаризованной зоне.
6. Если вы подключаетесь к будущему подчиненному Серверу через прокси-сервер, на первом шаге мастера установите флажок Использовать прокси-сервер и введите параметры подключения.
7. Следуйте далее указаниям мастера.

Будет установлена иерархия Серверов администрирования. Подчиненный Сервер будет принимать подключение от главного Сервера.

Подключение к Серверу администрирования и переключение между Серверами администрирования

При запуске программа Kaspersky Security Center предпринимает попытку соединения с Сервером администрирования. Если в сети существует несколько Серверов администрирования, запрашивается тот Сервер, с которым было установлено соединение во время предыдущего сеанса работы программы Kaspersky Security Center.

Если программа запускается в первый раз после установки, выполняется попытка соединения с Сервером администрирования, указанным при установке Kaspersky Security Center.

После соединения с Сервером администрирования структура папок этого Сервера отображается в дереве консоли.

Если в дерево консоли добавлено несколько Серверов администрирования, вы можете переключаться между ними.

Для работы с каждым Сервером администрирования необходима Консоль администрирования. Перед первым подключением к новому Серверу администрирования убедитесь, что на нем открыт порт 13291, по которому принимаются подключения от Консоли, и все остальные порты для связи Сервера администрирования с другими компонентами Kaspersky Security Center.

Чтобы переключиться на другой Сервер администрирования:

1. В дереве консоли выберите узел с именем нужного вам Сервера администрирования.
2. В контекстном меню узла Сервера администрирования выберите пункт Подключиться к Серверу администрирования.
3. В открывшемся окне Параметры подключения в поле Адрес Сервера администрирования укажите имя Сервера администрирования, к которому вы хотите подключиться. В качестве имени Сервера администрирования вы можете указать IP-адрес или имя устройства в сети Windows. При нажатии на кнопку Дополнительно в нижней части окна вы можете настроить параметры подключения к Серверу администрирования (см. рис. ниже).

   Для подключения к Серверу администрирования через порт, отличный от установленного по умолчанию, в поле Адрес Сервера администрирования требуется ввести значение в формате <Имя Сервера администрирования>:<Порт>.

   Чтобы подключиться к виртуальному Серверу администрирования, введите значение в поле Адрес Сервера администрирования в формате <Адрес Сервера администрирования>/<имя виртуального Сервера>.

   Пользователям, не обладающим правами на Чтение, будет отказано в доступе к Серверу администрирования.

   

   Процесс подключения к Серверу администрирования

4. Нажмите на кнопку ОК для завершения переключения между Серверами.

После соединения с Сервером администрирования структура папок соответствующего ему узла в дереве консоли обновляется.

Права доступа к Серверу администрирования и его объектам

Группы пользователей KLAdmins и KLOperators создаются автоматически во время установки Kaspersky Security Center. Этим группам предоставляются права на подключение к Серверу администрирования и на работу с его объектами.

В зависимости от того, под какой учетной записью проводится установка Kaspersky Security Center, группы KLAdmins и KLOperators создаются следующим образом:

• Если установка проводится под учетной записью пользователя, входящего в домен, группы создаются в домене, в который входит Сервер администрирования, и на Сервере администрирования.
• Если установка проводится под учетной записью системы, группы создаются только на Сервере администрирования.

Просмотр групп KLAdmins и KLOperators и внесение необходимых изменений в права пользователей групп KLAdmins и KLOperators можно осуществлять при помощи стандартных средств администрирования операционной системы.

Группе KLAdmins предоставлены все права, группе KLOperators – права на чтение и выполнение. Набор прав, предоставленных группе KLAdmins, недоступен для изменения.

Пользователи, входящие в группу KLAdmins, называются администраторами Kaspersky Security Center, пользователи из группы KLOperators – операторами Kaspersky Security Center.

Помимо пользователей, входящих в группу KLAdmins, права администратора Kaspersky Security Center предоставляются локальным администраторам устройств, на которых установлен Сервер администрирования.

Локальных администраторов можно исключать из списка пользователей, имеющих права администратора Kaspersky Security Center.

Все операции, запущенные администраторами Kaspersky Security Center, выполняются с правами учетной записи Сервера администрирования.

Для каждого Сервера администрирования в сети можно сформировать свою группу KLAdmins, обладающую правами только в рамках работы с этим Сервером.

Если устройства, относящиеся к одному домену, входят в группы администрирования разных Серверов, то администратор домена является администратором Kaspersky Security Center в рамках всех этих групп администрирования. Группа KLAdmins для этих групп администрирования едина и создается при установке первого Сервера администрирования. Операции, запущенные администратором Kaspersky Security Center, выполняются с правами учетной записи того Сервера администрирования, для которого они запущены.

После установки программы администратор Kaspersky Security Center может выполнять следующие действия:

• изменять права, предоставляемые группам KLOperators;
• определять права доступа к функциям программы Kaspersky Security Center другим группам безопасности и отдельным пользователям, зарегистрированным на рабочем месте администратора;
• определять права доступа пользователей к работе в каждой группе администрирования.

Администратор Kaspersky Security Center может назначать права доступа к каждой группе администрирования или к другим объектам Сервера администрирования в разделе Безопасность окна свойств выбранного объекта.

Вы можете отследить действия пользователя при помощи записей о событиях в работе Сервера администрирования. Записи о событиях отображаются в узле Сервер администрирования на закладке События. Эти события имеют уровень важности Информационные события; типы событий начинаются со слова Аудит.

Условия подключения к Серверу администрирования через интернет

Если Сервер администрирования является удаленным, то есть находится вне сети организации, клиентские устройства подключаются к нему через интернет.

Для подключения устройств к Серверу администрирования через интернет должны быть выполнены следующие условия:

• Удаленный Сервер администрирования должен иметь внешний IP-адрес, и на нем должен быть открыт входящий порт 13000 (для подключения от Агентов администрирования). Рекомендуется также открыть порт UDP 13000 (для приема уведомлений о выключении устройств).
• На устройствах должны быть установлены Агенты администрирования.
• При установке Агента администрирования на устройства должен быть указан внешний IP-адрес удаленного Сервера администрирования. Если для установки используется инсталляционный пакет, внешний IP-адрес требуется указать вручную в свойствах инсталляционного пакета в разделе Параметры.
• Для управления программами и задачами устройства с помощью удаленного Сервера администрирования требуется установить флажок Не разрывать соединение с Сервером администрирования в окне свойств этого устройства в разделе Общие. После установки флажка необходимо дождаться синхронизации Сервера администрирования с удаленным устройством. Непрерывное соединение с Сервером администрирования могут поддерживать не более 300 клиентских устройств одновременно.

Для ускорения выполнения задач, поступающих от удаленного Сервера администрирования, можно открыть на устройстве порт 15000. В этом случае для запуска задачи Сервер администрирования посылает специальный пакет Агенту администрирования по порту 15000, не дожидаясь синхронизации с устройством.

Защищенное подключение к Серверу администрирования

Обмен информацией между клиентскими устройствами и Сервером администрирования, а также подключение Консоли администрирования к Серверу администрирования могут производиться с использованием протокола TLS (Transport Layer Security). Протокол TLS позволяет идентифицировать стороны, взаимодействующие при подключении, осуществлять шифрование передаваемых данных и обеспечивать их защиту от изменения при передаче. В основе протокола TLS лежит аутентификация взаимодействующих сторон и шифрование данных по методу открытых ключей.

Аутентификация Сервера при подключении устройства

При первом подключении клиентского устройства к Серверу администрирования Агент администрирования на устройстве получает копию сертификата Сервера администрирования и сохраняет его локально.

При локальной установке Агента администрирования на устройство сертификат Сервера администрирования можно выбрать вручную.

На основании полученной копии сертификата осуществляется проверка прав и полномочий Сервера администрирования при следующих соединениях.

В дальнейшем, при каждом подключении устройства к Серверу администрирования Агент администрирования запрашивает сертификат Сервера администрирования и сравнивает его с локальной копией. Если они не совпадают, доступ Сервера администрирования к устройству не разрешается.

Аутентификация Сервера при подключении Консоли администрирования

При первом подключении к Серверу администрирования Консоль администрирования запрашивает сертификат Сервера администрирования и сохраняет его копию локально на рабочем месте администратора. На основании полученной копии сертификата при последующих подключениях Консоли администрирования к этому Серверу администрирования осуществляется идентификация Сервера администрирования.

Если сертификат Сервера администрирования не совпадает с копией сертификата, хранящейся на рабочем месте администратора, Консоль администрирования выводит запрос на подтверждение подключения к Серверу администрирования с заданным именем и на получение нового сертификата. После подключения Консоль администрирования сохраняет копию нового сертификата Сервера администрирования, которая будет использоваться для идентификации Сервера в дальнейшем.

Настройка списка разрешенных IP-адресов для подключения к Серверу администрирования

По умолчанию пользователи могут войти в Kaspersky Security Center с любого устройства, на котором они могут открыть Kaspersky Security Center Web Console или на котором установлена Консоль администрирования на основе консоли Microsoft Management Console (MMC). Настроить Сервер администрирования можно таким образом, чтобы пользователи могли подключаться к нему только с устройств с разрешенными IP-адресами. В этом случае, даже если злоумышленник похитит учетную запись Kaspersky Security Center, он не сможет войти в Kaspersky Security Center, так как IP-адрес устройства злоумышленника отсутствует в списке разрешенных.

IP-адрес проверяется, когда пользователь входит в Kaspersky Security Center или запускает

программу

Например, к таким программам относятся Kaspersky Anti Targeted Attack Platform и Kaspersky Security для виртуальных сред. Также это может быть клиент, разработанный вами на основе OpenAPI.

Требования к списку разрешенных IP-адресов

IP-адреса проверяются только при попытке подключения к Серверу администрирования следующих программ:

• Сервер Kaspersky Security Center Web Console

  Если вы входите в Web Console на одном устройстве, а Сервер Web Console установлен на другом устройстве, вы можете настроить сетевой экран на устройстве с Сервером Web Console штатными средствами операционной системы. Тогда, если кто-то попытается войти в Web Console, сетевой экран поможет предотвратить вмешательство злоумышленников.

• Консоль администрирования
• Программы, взаимодействующие с Сервером администрирования через объекты автоматизации klakaut.
• Программы, взаимодействующие с Сервером администрирования через OpenAPI, такие как Kaspersky Anti Targeted Attack Platform или Kaspersky Security для виртуальных сред.

Поэтому укажите адреса устройств, на которых установлены перечисленные выше программы.

Вы можете установить IPv4-адреса и IPv6-адреса. Указать диапазоны IP-адресов нельзя.

Как создать список разрешенных IP-адресов

Если вы еще не установили список разрешенных, следуйте приведенным ниже инструкциям.

Чтобы создать список разрешенных IP-адресов для входа в Kaspersky Security Center:

1. На устройстве Сервера администрирования запустите командную строку под учетной записью с правами администратора.
2. Измените текущую директорию на папку установки Kaspersky Security Center (обычно это <Диск>:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Center).
3. Введите следующую команду, используя права администратора:

   klscflag -fset -pv klserver -n KLSRV_FLAG_ALLOWED_IP_ADDRESSES_FOR_GUI -v "<IP addresses>" -t s

   Укажите IP-адреса, соответствующие перечисленным выше требованиям. Несколько IP-адресов должны быть разделены точкой с запятой.

   Пример того, как разрешить подключение к Серверу администрирования только одному устройству:

   klscflag -fset -pv klserver -n KLSRV_FLAG_ALLOWED_IP_ADDRESSES_FOR_GUI -v "192.0.2.0" -t s

   Пример того, как разрешить нескольким устройствам подключаться к Серверу администрирования:

   klscflag -fset -pv klserver -n KLSRV_FLAG_ALLOWED_IP_ADDRESSES_FOR_GUI -v "192.0.2.0; 198.51.100.0; 203.0.113.0" -t s

4. Перезапустите службу Сервера администрирования.

Узнать, успешно настроен список разрешенных IP-адресов, можно в журнале событий Kaspersky Event Log на Сервере администрирования.

Как изменить список разрешенных IP-адресов

Вы можете изменить список разрешенных точно так же, как и при его создании. Для этого выполните ту же команду и укажите новый список разрешенных:

klscflag -fset -pv klserver -n KLSRV_FLAG_ALLOWED_IP_ADDRESSES_FOR_GUI -v "<IP addresses>" -t s

Если вы хотите удалить некоторые IP-адреса из списка разрешенных, перепишите его. Например, ваш список разрешенных включает следующие IP-адреса: 192.0.2.0; 198.51.100.0; 203.0.113.0. Вы хотите удалить IP-адрес 198.51.100.0. Для этого в командной строке введите следующую команду:

klscflag -fset -pv klserver -n KLSRV_FLAG_ALLOWED_IP_ADDRESSES_FOR_GUI -v "192.0.2.0; 203.0.113.0" -t s

Не забудьте перезапустить службу Сервера администрирования.

Как сбросить настроенный список разрешенных IP-адресов

Чтобы сбросить уже настроенный список разрешенных IP-адресов:

1. Введите следующую команду в командной строке с правами администратора:

   klscflag -fset -pv klserver -n KLSRV_FLAG_ALLOWED_IP_ADDRESSES_FOR_GUI -v "" -t s

2. Перезапустите службу Сервера администрирования.

После этого IP-адреса больше не проверяются.

Использование утилиты klscflag для закрытия порта 13291

Порт 13291 Сервера администрирования используется для приема подключений от Консолей администрирования. По умолчанию порт открыт. Если вы не хотите использовать Консоль администрирования на основе консоли Microsoft Management Console (MMC) или утилиту klakaut, вы можете закрыть этот порт с помощью утилиты klscflag. Эта утилита изменяет значение параметра KLSRV_SP_SERVER_SSL_PORT_GUI_OPEN.

Чтобы закрыть порт 13291:

1. Запустите командную строку Windows с правами администратора, а затем измените текущую директорию на директорию с утилитой klscflag. Утилита klscflag расположена в папке установки Сервера администрирования. Путь установки по умолчанию: <Диск>:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Center.
2. Выполните следующую команду в командной строке:

   klscflag -ssvset -pv klserver -s 87 -n KLSRV_SP_SERVER_SSL_PORT_GUI_OPEN -sv false -svt BOOL_T -ss "|ss_type = \"SS_SETTINGS\";"

3. Перезапустите службу Сервера администрирования Kaspersky Security Center.

Порт 13291 закрыт.

Чтобы проверить, был ли успешно закрыт порт 13291:

Выполните следующую команду в командной строке:

klscflag -ssvget -pv klserver -s 87 -n KLSRV_SP_SERVER_SSL_PORT_GUI_OPEN -svt BOOL_T -ss "|ss_type = \"SS_SETTINGS\";"

Эта команда возвращает следующий результат:

+--- (PARAMS_T)

+---KLSRV_SP_SERVER_SSL_PORT_GUI_OPEN = (BOOL_T)false

Значение false означает, что порт закрыт. В противном случае отображается значение true.

Отключение от Сервера администрирования

Чтобы отключиться от Сервера администрирования:

1. В дереве консоли выберите узел, соответствующий Серверу администрирования, от которого нужно отключиться.
2. В контекстном меню узла выберите пункт Отключиться от Сервера администрирования.

Добавление Сервера администрирования в дерево консоли

Чтобы добавить в дерево консоли Сервер администрирования:

1. В главном окне программы Kaspersky Security Center выберите в дереве консоли узел Kaspersky Security Center 14.
2. В контекстном меню узла выберите пункт Новый → Сервер администрирования.

В результате в дереве консоли будет создан узел с именем Сервер администрирования – <Имя устройства> (Не подключен), с которого вы можете подключиться к любому из установленных в сети Серверов администрирования.

Удаление Сервера администрирования из дерева консоли

Чтобы удалить Сервер администрирования из дерева консоли:

1. В дереве консоли выберите узел, соответствующий удаляемому Серверу администрирования.
2. В контекстном меню узла выберите пункт Удалить.

Добавление виртуального Сервера администрирования в дерево консоли

Чтобы добавить в дерево консоли виртуальный Сервер администрирования:

1. В дереве консоли выберите узел с именем нужного вам Сервера администрирования, для которого нужно создать виртуальный Сервер администрирования.
2. В узле Сервера администрирования выберите папку Серверы администрирования.

3. В рабочей области папки Серверы администрирования перейдите по ссылке Добавить виртуальный Сервер администрирования.

   Запустится мастер добавления виртуального Сервера администрирования.

4. В окне Имя виртуального Сервера администрирования укажите имя создаваемого виртуального Сервера.

   Имя виртуального Сервера администрирования не может превышать 255 символов и содержать специальные символы ("*<>?\:|).

5. В окне Ввод адреса подключения устройств к виртуальному Серверу укажите адрес подключения устройств.

   Адрес подключения виртуального Сервера администрирования – это сетевой адрес, по которому к нему будут подключаться устройства. Адрес подключения состоит из двух частей: сетевого адреса физического Сервера администрирования и имени виртуального Сервера, разделенных символом косой черты (слешем). Имя виртуального Сервера будет подставлено автоматически. Указанный адрес будет использоваться на этом виртуальном Сервере как адрес по умолчанию в инсталляционных пакетах Агента администрирования.

6. В окне Создание учетной записи администратора виртуального Сервера назначьте администратором виртуального Сервера пользователя из списка или добавьте новую учетную запись для администратора по кнопке Создать.

   Вы можете указать несколько учетных записей.

В результате в дереве консоли будет создан узел с именем Сервер администрирования – <Имя виртуального Сервера>.

Смена учетной записи службы Сервера администрирования. Утилита klsrvswch

Если вам требуется изменить учетную запись службы Сервера администрирования, заданную при установке программы Kaspersky Security Center, вы можете воспользоваться утилитой смены учетной записи Сервера администрирования klsrvswch.

При установке Kaspersky Security Center утилита автоматически копируется в папку установки программы.

Количество запусков утилиты не ограничено.

Вам нужно запустить утилиту klsrvswch на устройстве Сервера администрирования под учетной записью с правами администратора, которая использовалась для установки Сервера администрирования.

Утилита klsrvswch позволяет менять тип учетной записи. Например, если вы используете локальную учетную запись, вы можете сменить ее на доменную учетную запись либо на управляемую учетную запись службы (и наоборот). Утилита klsrvswch не позволяет изменить тип учетной записи на групповую управляемую учетную запись службы (gMSA).

Windows Vista и более поздние версии Windows не позволяют использовать учетную запись LocalSystem для Сервера администрирования. В этих версиях операционных систем Windows учетная запись LocalSystem неактивна.

Чтобы изменить учетную запись службы Сервера администрирования на доменную учетную запись:

1. Запустите утилиту klsrvswch из папки установки Kaspersky Security Center. Путь установки по умолчанию: <Диск>:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Center.

   В результате запускается мастер изменения учетной записи службы Сервера администрирования. Следуйте далее указаниям мастера.

2. В окне Учетная запись службы Сервера администрирования выберите Учетная запись LocalSystem.

В результате работы мастера учетная запись Сервера администрирования изменяется. Служба Сервера администрирования запустится под учетной записью LocalSystem и будет использовать ее учетные данные.

Для правильной работы Kaspersky Security Center требуется, чтобы учетная запись для запуска службы Сервера администрирования обладала правами администратора ресурса для размещения информационной базы Сервера администрирования.

Чтобы изменить учетную запись службы Сервера администрирования на учетную запись пользователя или на управляемую учетную запись службы:

1. Запустите утилиту klsrvswch из папки установки Kaspersky Security Center. Путь установки по умолчанию: <Диск>:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Center.

   В результате запускается мастер изменения учетной записи службы Сервера администрирования. Следуйте далее указаниям мастера.

2. В окне Учетная запись службы Сервера администрирования выберите Учетная запись пользователя.
3. Нажмите на кнопку Найти.

   Откроется окно Выбор пользователя.

4. В окне Выбор пользователя нажмите на кнопку Типы объекта.
5. В списке типов объекта выберите Пользователи (если вы хотите использовать учетную запись пользователя) или Учетная запись для служб (если вы хотите использовать управляемую учетную запись службы) и нажмите на кнопку ОК.
6. В поле для имени объекта введите имя учетной записи или часть имени и нажмите на кнопку Проверить имена.
7. В списке соответствующих имен выберите необходимое имя и нажмите на кнопку ОК.
8. Если вы выбрали Учетные записи служб, в окне Пароль учетной записи, оставьте поля Пароль и Подтверждение пароля пустыми. Если вы выбрали Пользователи, введите пароль для пользователя и подтвердите его.

Учетная запись службы Сервера администрирования будет запускаться под выбранной вами учетной записью.

При использовании Microsoft SQL-сервера в режиме аутентификации учетной записи пользователя средствами Windows требуется обеспечить доступ к базе данных. Учетная запись пользователя должна быть владельцем базы данных Kaspersky Security Center. По умолчанию требуется использовать схему dbo.

Изменение учетных данных СУБД

Иногда может потребоваться изменить учетные данные СУБД, например, чтобы выполнить ротацию учетных данных в целях безопасности.

Чтобы изменить учетные данные СУБД в среде Windows с помощью утилиты klsrvswch.exe:

1. Запустите утилиту klsrvswch, которая расположена в папке установки Kaspersky Security Center. Путь установки по умолчанию: <Диск>:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Center.

   Вам нужно запустить утилиту klsrvswch на устройстве Сервера администрирования под учетной записью с правами администратора, которая использовалась для установки Сервера администрирования.

2. Нажимайте на кнопку Далее мастера, пока не дойдете до шага Изменить учетные данные для доступа к СУБД.
3. На шаге мастера Изменить учетные данные для доступа к СУБД выполните следующие действия:
   • Выберите параметр Применить новые учетные данные.
   • Укажите новое имя учетной записи в поле Учетная запись.
   • Укажите новый пароль для учетной записи в поле Пароль.
   • Подтвердите новый пароль в поле Подтвердить пароль.

   Вы должны указать учетные данные учетной записи, которая существует в СУБД.

4. Нажмите на кнопку Далее.

После завершения работы мастера учетные данные СУБД изменяются.

Решение проблем с узлами Сервера администрирования

Дерево в левой панели Консоли администрирования содержит узлы, соответствующие Серверам администрирования. Вы можете добавить в дерево консоли столько Серверов администрирования, сколько вам нужно.

Консоль управления Microsoft Management Console (MMC) сохраняет список узлов Сервера администрирования в дереве консоли в теневую копию файла .msc. Теневая копия этого файла хранится в папке %USERPROFILE%\AppData\Roaming\Microsoft\MMC\ на устройстве, на котором установлена Консоль администрирования. Для каждого узла Сервера администрирования в файле содержится следующая информация:

• Адрес Сервера администрирования
• Номер порта
• Используется ли TLS

  Этот параметр зависит от номера порта, используемого для подключения Консоли администрирования к Серверу администрирования.

• Имя пользователя
• Сертификат Сервера администрирования

Устранение неисправностей

При подключении Консоли администрирования к Серверу администрирования сохраненный локально сертификат сравнивается с сертификатом Сервера администрирования. Если сертификаты не совпадают, в Консоли администрирования возникает ошибка. Несовпадение сертификатов может произойти, например, при замене сертификата Сервера администрирования. В этом случае необходимо повторно создать узел Сервер администрирования в консоли.

Чтобы повторно создать узел Сервера администрирования:

1. Закройте окно Консоли администрирования Kaspersky Security Center.
2. Удалите файл Kaspersky Security Center 14 из папки %USERPROFILE%\AppData\Roaming\Microsoft\MMC\.
3. Запустить Консоль администрирования Kaspersky Security Center.

   Отобразится предложение подключиться к Серверу администрирования и принять его существующий сертификат.

4. Выполните одно из следующих действий:
   • Примите существующий сертификат, нажав на кнопку Да.
   • Чтобы указать ваш сертификат, нажмите на кнопку Нет и перейдите к файлу сертификата, используемого для аутентификации Сервера администрирования.

Проблема с сертификатом решена. Вы можете использовать Консоль администрирования для подключения к Серверу администрирования.

Просмотр и изменение параметров Сервера администрирования

Вы можете настраивать параметры Сервера администрирования в окне свойств Сервера администрирования.

Чтобы открыть окно Свойства: Сервер администрирования,

в контекстном меню узла Сервера администрирования в дереве консоли выберите пункт Свойства.

Настройка общих параметров Сервера администрирования

Вы можете настраивать общие параметры Сервера администрирования в разделах Общие, Параметры подключения к Серверу администрирования, Хранилище событий и Безопасность окна свойств Сервера администрирования.

Раздел Безопасность не отображается в окне свойств Сервера администрирования, если его отображение выключено в интерфейсе Консоли администрирования.

Чтобы включить отображение раздела Безопасность в Консоли администрирования:

1. В дереве консоли выберите требуемый Сервер администрирования.
2. В меню Вид главного окна программы выберите пункт Настройка интерфейса.
3. В открывшемся окне Настройка интерфейса установите флажок Отображать разделы с параметрами безопасности и нажмите на кнопку ОК.
4. В окне с сообщением программы нажмите на кнопку ОК.

Раздел Безопасность отобразится в окне свойств Сервера администрирования.

Параметры интерфейса Консоли администрирования

Вы можете настроить параметры интерфейса Консоли администрирования для отображения или скрытия элементов управления пользовательского интерфейса, связанных со следующими функциями:

• Системное администрирование.
• Шифрование и защита данных.
• Параметры контроля рабочего места.
• Управление мобильными устройствами.
• Подчиненные Серверы администрирования.
• Разделы с параметрами безопасности.

Чтобы настроить параметры интерфейса Консоли администрирования:

1. В дереве консоли выберите требуемый Сервер администрирования.
2. В меню Вид главного окна программы выберите пункт Настройка интерфейса.
3. В открывшемся окне Настройка интерфейса установите флажок рядом с функциональностью, которая должна отображаться, и нажмите на кнопку ОК.
4. В окне с сообщением программы нажмите на кнопку ОК.

Выбранная функциональность отображается в интерфейсе Консоли администрирования.

Обработка и хранение событий на Сервере администрирования

Информация о событиях, возникших в работе программы и управляемых устройств, сохраняется в базе данных Сервера администрирования. Каждое событие относится к определенному типу и уровню важности (Критическое событие, Отказ функционирования, Предупреждение, Информационное сообщение). В зависимости от условий, при которых произошло событие, программа может присваивать событиям одного типа разные уровни важности.

Вы можете просматривать типы и уровни важности событий в разделе Настройка событий окна свойств Сервера администрирования. В разделе Настройка событий вы также можете настроить параметры обработки каждого события Сервером администрирования:

• регистрацию событий на Сервере администрирования и в журналах событий операционной системы на устройстве и на Сервере администрирования;
• способ уведомления администратора о событии (например, SMS, сообщение электронной почты).

В разделе Хранилище событий окна свойств Сервера администрирования можно настроить параметры хранения событий в базе данных Сервера администрирования: ограничить количество записей о событиях и время хранения записей. Когда вы указываете максимальное количество событий, программа вычисляет приблизительный размер дискового пространства для хранения указанного числа событий. Вы можете использовать этот расчет, чтобы оценить, достаточно ли у вас свободного дискового пространства, чтобы избежать переполнения базы данных. По умолчанию емкость базы данных Сервера администрирования – 400 000 событий. Максимальная рекомендованная емкость базы данных – 45 000 000 событий.

Программа проверяет базу данных каждые 10 минут. Если количество событий достигает на 10 000 больше указанного максимального значения, программа удаляет самые старые события, чтобы осталось только указанное максимальное количество событий.

Когда Сервер администрирования удаляет старые события, он не может сохранять новые события в базе данных. В течение этого периода информация о событиях, которые были отклонены, записывается в журнал событий Kaspersky Event Log. Новые события помещаются в очередь, а затем сохраняются в базе данных после завершения операции удаления.

Можно изменить параметры любой задачи, чтобы сохранять события, связанные с ходом выполнения задачи, или сохранять только результаты выполнения задачи. Таким образом вы уменьшаете количество событий в базе данных, увеличиваете скорость работы сценариев, связанных с анализом таблицы событий в базе данных, и снижаете риск вытеснения критических событий большим количеством событий.

Просмотр журнала подключений к Серверу администрирования

Можно сохранить в файл журнала историю подключений и попыток подключения к Серверу администрирования в процессе его работы. Информация в файле позволит отследить не только подключения внутри инфраструктуры сети, но и попытки несанкционированного доступа к Серверу администрирования.

Чтобы настроить регистрацию событий подключения к Серверу администрирования:

1. В дереве консоли выберите Сервер администрирования, для которого нужно включить регистрацию событий подключения.
2. В контекстном меню Сервера администрирования выберите пункт Свойства.
3. В открывшемся окне свойств в разделе Параметры подключения к Серверу администрирования выберите вложенный раздел Порты подключения.
4. Включите параметр Записывать события соединения с Сервером администрирования в журнал.
5. Нажмите на кнопку ОК, чтобы закрыть окно свойств Сервера администрирования.

Все последующие события входящих подключений к Серверу администрирования, результаты аутентификации и ошибки SSL будут записываться в файл %ProgramData%\KasperskyLab\adminkit\logs\sc.syslog.

Контроль возникновения вирусных эпидемий

Kaspersky Security Center позволяет вам своевременно реагировать на возникновение угроз вирусных эпидемий. Оценка угрозы вирусной эпидемии производится путем контроля вирусной активности на устройствах.

Вы можете настраивать правила оценки угрозы вирусной эпидемии и действия в случае ее возникновения в разделе Вирусная атака окна свойств Сервера администрирования.

Порядок оповещения о событии Вирусная атака можно задать в разделе Настройка событий окна свойств Сервера администрирования, в окне свойств события Вирусная атака.

Событие Вирусная атака формируется при возникновении событий Обнаружен вредоносный объект в работе программ безопасности. Поэтому для распознавания вирусной эпидемии информацию о событиях Обнаружен вредоносный объект требуется сохранять на Сервере администрирования.

Параметры сохранения информации о событии Обнаружен вредоносный объект задаются в политиках программ безопасности.

При подсчете событий Обнаружен вредоносный объект учитывается только информация с устройств главного Сервера администрирования. Информация с подчиненных Серверов администрирования не учитывается. Для каждого подчиненного Сервера параметры события Вирусная атака требуется настраивать индивидуально.

Ограничение трафика

Развернуть все | Свернуть все

Для снижения трафика в сети предусмотрена возможность ограничения скорости передачи данных на Сервер администрирования с отдельных IP-диапазонов и IP-интервалов.

Вы можете создавать и настраивать правила ограничения трафика в разделе Трафик окна свойств Сервера администрирования.

Чтобы создать правила ограничения трафика:

1. В дереве консоли выберите узел с именем нужного вам Сервера администрирования, для которого нужно создать правила ограничения трафика.
2. В контекстном меню Сервера администрирования выберите пункт Свойства.
3. В окне свойств Сервера администрирования выберите раздел Трафик.
4. Нажмите на кнопку Добавить.
5. В разделе Новое правило укажите следующие параметры:

   В блоке Интервал IP-адресов, для которых нужно ограничивать трафик можно выбрать способ задания подсети или диапазона, для которого ограничивается скорость передачи, и указать значения параметров для выбранного способа. Выберите один из следующих способов:

   • Задать интервал адресом и маской подсети

     Трафик ограничивается по параметрам подсети. Укажите в полях ввода адрес подсети и маску подсети для определения интервала, в пределах которого будет ограничен трафик.

     Нажмите на кнопку Обзор, чтобы добавить подсеть из глобального списка подсетей.

   • Задать интервал начальным и конечным IP-адресом

     Трафик ограничивается по интервалу IP-адресов. Укажите интервал IP-адресов в полях ввода Начальный IP-адрес и Конечный IP-адрес.

     По умолчанию этот вариант выбран.

   В блоке Ограничение трафика можно настроить следующие параметры ограничения скорости передачи данных:

   • Период

     Временной интервал, во время которого будет действовать ограничение трафика. Границы временного интервала можно указать в полях ввода.

   • Ограничение (КБ/сек)

     Предельное значение суммарной скорости передачи входящих и исходящих данных Сервера администрирования. Ограничение действует только в течение временного интервала, заданного в поле Период.

   • Ограничивать трафик на оставшееся время (КБ/сек)

     Трафик ограничивается не только в течение интервала, указанного в поле Период, но и в остальное время.

     По умолчанию флажок снят. Значение поля может не совпадать со значением поля Ограничение (КБ/сек).

В первую очередь правила ограничения трафика влияют на передачу файлов. Эти правила не применяются к трафику, который возникает при синхронизации между Сервером администрирования и Агентом администрирования, или между главным Сервером администрирования и подчиненным Сервером администрирования.

Настройка параметров Веб-сервера

Веб-сервер используется для публикации автономных инсталляционных пакетов, iOS MDM-профилей, а также файлов из папки общего доступа.

Вы можете настроить параметры подключения Веб-сервера к Серверу администрирования и задать сертификат Веб-сервера в разделе Веб-сервер окна свойств Сервера администрирования.

Работа с внутренними пользователями

Учетные записи внутренних пользователей используются для работы с виртуальными Серверами администрирования. В программе Kaspersky Security Center внутренние пользователи обладают правами реальных пользователей.

Учетные записи внутренних пользователей создаются и используются только внутри Kaspersky Security Center. Сведения о внутренних пользователях не передаются операционной системе. Аутентификацию внутренних пользователей осуществляет Kaspersky Security Center.

Вы можете настраивать параметры учетных записей внутренних пользователей в папке Учетные записи пользователей дерева консоли.

Резервное копирование и восстановление параметров Сервера администрирования

Для резервного копирования параметров Сервера администрирования и используемой им базы данных предусмотрены задача резервного копирования и утилита klbackup. Резервная копия включает в себя все основные параметры и объекты Сервера администрирования: сертификаты Сервера администрирования, мастер-ключи шифрования дисков управляемых устройств, ключи для лицензий, структуру групп администрирования со всем содержимым, задачи, политики и так далее. Имея резервную копию, можно восстановить работу Сервера администрирования в кратчайшие сроки – от десятков минут до двух часов.

В случае отсутствия резервной копии сбой может привести к безвозвратной потере сертификатов и всех параметров Сервера администрирования. Это повлечет необходимость заново настраивать Kaspersky Security Center, а также заново выполнять первоначальное развертывание Агента администрирования в сети организации. Кроме того, будут потеряны и мастер-ключи шифрования дисков управляемых устройств, что создаст риск безвозвратной потери зашифрованных данных на устройствах с Kaspersky Endpoint Security. Поэтому не следует отказываться от регулярного создания резервных копий Сервера администрирования с помощью штатной задачи резервного копирования.

Мастер первоначальной настройки программы создает задачу резервного копирования параметров Сервера администрирования с ежедневным запуском в четыре часа ночи. Резервные копии по умолчанию сохраняются в папке %ALLUSERSPROFILE%\Application Data\KasperskySC.

Если в качестве СУБД используется экземпляр Microsoft SQL Server, установленный на другом устройстве, следует изменить задачу резервного копирования: указать в качестве папки для хранения сделанных резервных копий UNC-путь, доступный на запись как службе Сервера администрирования, так и службе SQL Server. Это требование является следствием особенности резервного копирования в СУБД Microsoft SQL Server.

Если в качестве СУБД используется локальный экземпляр Microsoft SQL Server, также рекомендуется сохранять резервные копии на отдельном носителе, чтобы обезопасить их от повреждения одновременно с Сервером администрирования.

Поскольку резервная копия содержит важные данные, в задаче резервного копирования и в утилите klbackup предусмотрена защита резервных копий паролем. По умолчанию задача резервного копирования создается с пустым паролем. Следует обязательно задать пароль в свойствах задачи резервного копирования. Несоблюдение этого требования приведет к тому, что ключи сертификатов Сервера администрирования, ключи для лицензий и мастер-ключи шифрования дисков управляемых устройств окажутся незашифрованными.

Помимо регулярного резервного копирования, следует также создавать резервную копию перед всеми значимыми изменениями, в том числе перед обновлением Сервера администрирования до новой версии и перед установкой патчей Сервера администрирования.

Если вы используете Microsoft SQL Server в качестве СУБД, вы можете минимизировать размер резервных копий. Для этого установите флажок Сжимать резервные копии (Compress backup) в параметрах SQL Server.

Восстановление из резервной копии выполняется с помощью утилиты klbackup на только что установленном и работоспособном экземпляре Сервера администрирования той версии, для которой была сделана резервная копия (или более новой).

Инсталляция Сервера администрирования, на которую выполняется восстановление, должна использовать СУБД того же типа (например, тот же SQL Server или MariaDB) той же самой или более новой версии. Версия Сервера администрирования может быть той же самой (с аналогичным или более новым патчем) или более новой.

В этом разделе описаны типовые сценарии восстановления параметров и объектов Сервера администрирования.

Использование снимка файловой системы для уменьшения времени резервного копирования

В Kaspersky Security Center 14 уменьшено по сравнению с более ранними версиями время простоя Сервера администрирования во время резервного копирования данных. Кроме того, в параметры задачи добавлена функция Использовать моментальный снимок файловой системы для резервного копирования данных. Эта функция позволяет дополнительно уменьшить время простоя за счет того, что утилита klbackup создает при выполнении резервного копирования теневую копию диска (это занимает несколько секунд) и одновременно производит копирование базы данных (это занимает не более нескольких минут). Создав теневую копию диска и сделав копию базы данных, klbackup снова делает Сервер администрирования доступным для соединения.

Вы можете пользоваться функцией создания снимка файловой системы только при соблюдении двух условий:

• Папка общего доступа Сервера администрирования и папка %ALLUSERSPROFILE%\KasperskyLab находятся на одном логическом диске и локальны по отношению к Серверу администрирования.
• Внутри папки %ALLUSERSPROFILE%\KasperskyLab нет созданных вручную символических ссылок.

Не используйте функцию, если хотя бы одно из этих условий не выполняется. В ответ на попытку создать снимок файловой системы программа выдаст сообщение об ошибке.

Для использования функции необходимо иметь учетную запись с правами на создание снимков логического диска, на котором расположена папка %ALLUSERSPROFILE%. Учетная запись службы сервера администрирования не имеет таких прав.

Чтобы воспользоваться функцией создания снимка файловой системы для уменьшения времени резервного копирования:

1. В разделе Задачи выберите задачу резервного копирования.
2. В контекстном меню выберите пункт Свойства.
3. В отобразившемся окне свойств задачи выберите раздел Параметры.
4. Установите флажок Использовать моментальный снимок файловой системы для резервного копирования данных.
5. В полях Имя пользователя и Пароль введите имя и пароль от учетной записи, имеющей право на создание снимков логического диска, на котором расположена папка %ALLUSERSPROFILE%.
6. Нажмите на кнопку Применить.

При следующих запусках задачи резервного копирования утилита klbackup будет создавать снимки файловой системы, и время простоя Сервера администрирования во время выполнения задачи уменьшится.

Вышло из строя устройство с Сервером администрирования

Если в результате сбоя вышло из строя устройство с Сервером администрирования, рекомендуется выполнить следующие действия:

• Новому Серверу назначить тот же самый адрес: NetBIOS-имя, FQDN-имя, статический IP – в зависимости от того, что было задано при развертывании Агентов администрирования.
• Установить Сервер администрирования с использованием СУБД того же типа, той же или более новой версии. Можно установить ту же версию Сервера с тем же или более новым патчем, или более новую версию. После установки не следует выполнять первоначальную настройку с помощью мастера.
• Из меню Пуск запустить утилиту резервного копирования klbackup и выполнить восстановление.

Повреждены параметры Сервера администрирования или база данных

Если Сервер администрирования стал неработоспособен в результате повреждения параметров или базы данных (например, из-за сбоя питания), рекомендуется использовать следующий сценарий восстановления:

1. Выполнить проверку файловой системы на пострадавшем устройстве.
2. Деинсталлировать неработоспособную версию Сервера администрирования.
3. Заново установить Сервер администрирования с использованием СУБД того же типа, той же или более новой версии. Можно установить ту же версию Сервера с тем же или более новым патчем, или более новую версию. После установки не следует выполнять первоначальную настройку с помощью мастера.
4. Из меню Пуск запустить утилиту резервного копирования klbackup и выполнить восстановление.

Недопустимо восстанавливать Сервер администрирования любым другим способом, кроме штатной утилиты klbackup.

Во всех случаях восстановления Сервера с помощью стороннего программного обеспечения неизбежно произойдет рассинхронизация данных на узлах распределенной программы Kaspersky Security Center и, как следствие, неправильная работа программы.

Резервное копирование и восстановление данных Сервера администрирования

Резервное копирование данных позволяет переносить Сервер администрирования с одного устройства на другое без потерь информации. С помощью резервного копирования вы можете восстанавливать данные при переносе информационной базы Сервера администрирования на другое устройство или при переходе на более позднюю версию Kaspersky Security Center. Также вы можете использовать резервное копирование данных для переноса данных Сервера администрирования Kaspersky Security Center Windows под управление Kaspersky Security Center Linux (перенос данных из Kaspersky Security Center Linux в Kaspersky Security Center Windows не поддерживается).

Обратите внимание, что резервные копии установленных плагинов управления не сохраняются. После восстановления данных Сервера администрирования из резервной копии необходимо загрузить и переустановить плагины управляемых программ.

Прежде чем создавать резервную копию данных Сервера администрирования, проверьте, добавлен ли виртуальный Сервер администрирования в группу администрирования. Если виртуальный Сервер администрирования добавляется перед резервным копированием, убедитесь, что этому виртуальному Серверу назначен администратор. Вы не можете предоставить права администратора к виртуальному Серверу администрирования после резервного копирования. Обратите внимание, если учетные данные администратора утеряны, вы не сможете назначить нового администратора виртуальному Серверу администратора.

Вы можете создать резервную копию данных Сервера администрирования одним из следующих способов:

• Создать и запустить задачу резервного копирования данных через Консоль администрирования.
• Запустить утилиту klbackup на устройстве, где установлен Сервер администрирования. Утилита входит в состав комплекта поставки Kaspersky Security Center. После установки Сервера администрирования утилита находится в корне папки назначения, указанной при установке программы.

В резервной копии данных Сервера администрирования сохраняются следующие данные:

• база данных Сервера администрирования (политики, задачи, параметры программ, сохраненные на Сервере администрирования события);
• конфигурационная информация о структуре групп администрирования и клиентских устройствах;
• хранилище дистрибутивов программ для удаленной установки;
• сертификат Сервера администрирования.

Восстановление данных Сервера администрирования возможно только с помощью утилиты klbackup.

Задача Резервное копирование данных Сервера администрирования

Создание задачи Резервное копирование данных Сервера администрирования

Задача резервного копирования – это задача Сервера администрирования; она создается с помощью мастера первоначальной настройки. Если задача резервного копирования, созданная мастером первоначальной настройки, была удалена, вы можете создать ее вручную.

Чтобы создать задачу резервного копирования данных Сервера администрирования:

1. В дереве консоли выберите папку Задачи.
2. Запустите процесс создания одним из следующих способов:
   • В контекстном меню папки дерева консоли Задачи выберите пункт Создать → Задачу.
   • Нажмите на кнопку Создать задачу, расположенную в рабочей области.

Запустится мастер создания задачи. Следуйте далее указаниям мастера. В окне мастера Выбор типа задачи выберите тип задачи Резервное копирование данных Сервера администрирования.

Задачу Резервное копирование данных Сервера администрирования можно создать только в одном экземпляре. Если задача резервного копирования данных Сервера администрирования уже создана для Сервера администрирования, то она не отображается в окне выбора типа задачи мастера создания задачи.

Настройка задачи Резервное копирование данных Сервера администрирования

После создания задачи резервного копирования вы можете настроить параметры задачи.

Чтобы настроить параметры задачи Резервное копирование данных Сервера администрирования:

1. В дереве консоли выберите папку Задачи.
2. В контекстном меню задачи Резервное копирование данных Сервера администрирования выберите пункт Свойства.

Откроется окно свойств задачи Резервное копирование данных Сервера администрирования. Доступны следующие свойства:

• Общие

  В разделе Общие вы можете указать имя задачи, просмотреть дату создания задачи, дату последней команды, статусы запуска задачи и результаты выполнения задачи.

• Уведомление

  В разделе Уведомление вы можете указать параметры хранения задач и настроить уведомления о результатах выполнения задачи.

• Расписание

  В разделе Расписание вы можете указать расписание запуска задачи.

• Назначение

  В разделе Назначение вы можете указать путь к папке, в которой хранятся резервные копии данных Сервера администрирования.

• Параметры

  В разделе Параметры вы можете установить защиту паролем резервных копий данных и количество резервных копий, если это необходимо.

  Вы также можете создать теневую копию логического диска с папкой% ALLUSERSPROFILE% и скопировать базу данных Сервера администрирования. Для этого необходимо включить параметр Использовать моментальный снимок файловой системы для резервного копирования данных и указать имя и пароль учетной записи, у которой есть разрешение на создание моментальных снимков.

• История ревизий

  В разделе История ревизий вы можете контролировать изменения задачи. Каждый раз, когда вы сохраняете изменения задачи, создается ревизия.

Утилита резервного копирования и восстановления данных (klbackup)

Вы можете выполнять копирование данных Сервера администрирования для резервного хранения и последующего восстановления с помощью утилиты klbackup, входящей в состав дистрибутива Kaspersky Security Center.

Утилита klbackup может работать в двух режимах:

• интерактивный;
• тихий.

Резервное копирование и восстановление данных в интерактивном режиме

Развернуть все | Свернуть все

Чтобы создать резервную копию данных Сервера администрирования в интерактивном режиме:

1. Запустите утилиту klbackup, расположенную в папке установки Kaspersky Security Center.

   В результате запустится мастер выполнения резервного копирования и восстановления данных.

2. В первом окне мастера выберите Выполнить резервное копирование данных Сервера администрирования.

   При выборе параметра Выполнять резервное копирование и восстановление только для сертификата Сервера администрирования будут сохранены только резервная копия сертификата Сервера администрирования и закрытый ключ. Резервное копирование сертификата и закрытого ключа Сервера администрирования может быть полезно для переключения управляемых устройств под управление другого Сервера администрирования.

   Нажмите Далее.

3. В следующем окне мастера укажите параметры:
   • Целевая папка для резервной копии данных
   • Перенос данных в формате MySQL/MariaDB

     Включите этот параметр, если в настоящее время вы используете SQL Server в качестве СУБД для Сервера администрирования и хотите перенести данные с SQL Server на MySQL или MariaDB. Kaspersky Security Center создаст резервную копию данных, совместимую с MySQL и MariaDB. После этого вы можете восстановить данные из резервной копии в MySQL или MariaDB.

   • Перенести в формат Azure

     Включите этот параметр, если в настоящее время вы используете SQL Server в качестве СУБД для Сервера администрирования и хотите перенести данные из SQL Server в Azure SQL. Kaspersky Security Center создаст резервную копию данных, совместимую с Azure SQL. После этого вы можете восстановить данные из резервной копии в Azure SQL.

   • Включать текущую дату и время в имя папки назначения для резервных копий
   • Пароль для резервной копии данных
4. Нажмите на кнопку Далее для выполнения резервного копирования.
5. Если вы работаете с базой данных в облачном окружении, таком как Amazon Web Services (AWS) или Microsoft Azure, заполните следующие поля в окне Войти в онлайн-хранилище:
   • Для AWS:
     • Имя корзины S3

       Имя корзины S3, которое вы создали для резервной копии данных.

     • ID ключа доступа

       Вы получили ID ключа (последовательность из букв и цифр), когда создали учетную запись IAM-пользователя для работы с корзиной S3 в хранилище инстансов.

       Поле доступно, если вы выбрали базу RDS для контейнера S3.

     • Секретный ключ

       Секретный ключ, который вы получили с ID ключа доступа при создании учетной записи IAM-пользователя.

       Символы секретного ключа отображаются в виде звездочек. После того, как вы начали вводить секретный ключ, отображается кнопка Показать. Нажмите на эту кнопку и удерживайте ее необходимое вам время, чтобы просмотреть введенные символы.

       Поле доступно, если вы выбрали для авторизации ключ доступа AWS IAM, а не IAM-роль.

   • Для Microsoft Azure:
     • Имя учетной записи хранения Azure

       Вы создали имя учетной записи хранения Azure для работы с Kaspersky Security Center.

     • Идентификатор подписки Azure

       Вы создали подписку на портале Azure.

     • Пароль Azure

       Вы получили пароль к идентификатору приложения при создании ID приложения в Azure.

       Символы пароля отображаются в виде звездочек. После того, как вы начали вводить пароль, отображается кнопка Показать. Нажмите и удерживайте эту кнопку, чтобы просмотреть введенные символы.

     • Идентификатор приложения в Azure.

       Вы создали этот идентификатор приложения на портале Azure.

       Вы можете указать только один идентификатор приложения в Azure для опроса и других целей. Если необходимо опрашивать другой сегмент Azure, вам нужно сначала удалить первый сегмент в существующем соединении Azure.

     • Имя SQL-сервера Azure

       Имя и группа источника доступны в свойствах SQL-сервера Azure.

     • Группа источника SQL-сервера Azure

       Имя и группа источника доступны в свойствах SQL-сервера Azure.

     • Ключ доступа хранилища Azure

       Доступен в свойствах учетной записи хранения в разделе "Access Keys". Вы можете использовать любой ключ (key1 или key2).

Чтобы восстановить данные Сервера администрирования в интерактивном режиме:

1. Запустите утилиту klbackup, расположенную в папке установки Kaspersky Security Center. Запустите утилиту под той же учетной записью, под которой был установлен Сервер администрирования.

   В результате запустится мастер выполнения резервного копирования и восстановления данных.

2. В первом окне мастера выберите Выполнить восстановление данных Сервера администрирования и нажмите на кнопку Далее.

   Если вы выбрали параметр Выполнять резервное копирование и восстановление только для сертификата Сервера администрирования будет выполнено только восстановление сертификата Сервера администрирования и закрытого ключа.

   При запуске утилиты klbackup на неактивном узле отказоустойчивого кластера вам будет предложено выбрать один из вариантов: указать сертификат Сервера администрирования или автоматически получать данные с Сервера администрирования.

3. В окне мастера Параметры восстановления:
   • Укажите папку, содержащую резервную копию данных Сервера администрирования.

     Если вы работаете в облачном окружении, таком как AWS или Azure, укажите адрес хранилища. Также убедитесь, что файл называется backup.zip.

   • Укажите пароль, введенный при резервном копировании данных.

     При восстановлении данных необходимо указать тот же пароль, который был введен во время резервного копирования. Если после резервного копирования путь к общей папке изменился, проверьте работу задач, использующих восстановленные данные (задачи восстановления и задачи удаленной установки). При необходимости отредактируйте параметры этих задач. Пока данные восстанавливаются из файла резервной копии, никто не должен иметь доступ к общей папке Сервера администрирования. Учетная запись, под которой запускается утилита klbackup, должна иметь полный доступ к общей папке.

4. Нажмите на кнопку Далее для восстановления данных.

Резервное копирование и восстановление данных в тихом режиме

Чтобы создать резервную копию данных или восстановить данные Сервера администрирования в тихом режиме,

в командной строке устройства, на котором установлен Сервер администрирования, запустите утилиту klbackup с необходимым набором ключей.

При использовании утилиты klbackup флаги Агента администрирования не восстанавливаются. Вам необходимо вручную настроить флаги Агента администрирования.

Синтаксис командной строки утилиты:

klbackup -path BACKUP_PATH [-linux_path LINUX_PATH][-node_cert CERT_PATH] [-logfile LOGFILE] [-use_ts]|[-restore] [-password PASSWORD] [-online]

Если не задать пароль в командной строке утилиты klbackup, утилита запросит его ввод интерактивно.

Описания ключей:

• -path BACKUP_PATH – сохранить информацию в папке BACKUP_PATH или использовать для восстановления данные из папки BACKUP_PATH (обязательный параметр).

  Учетная запись сервера базы данных и утилита klbackup должны обладать правами на изменение данных в папке BACKUP_PATH.

• -linux_path LINUX_PATH – локальный путь к папке с резервной копией данных для SQL Server для Linux.

  Учетная запись сервера базы данных и утилита klbackup должны обладать правами на изменение данных в папке LINUX_PATH.

• -node_cert CERT_PATH – файл сертификата Сервера для настройки неактивного узла отказоустойчивого кластера после восстановления. Если параметр не указан, он будет автоматически получен с Сервера.

  При запуске утилиты klbackup на неактивном узле отказоустойчивого кластера используйте этот ключ, чтобы указать путь к сертификату Сервера администрирования.

• -logfile LOGFILE – сохранить отчет о копировании или восстановлении данных Сервера администрирования.
• -use_ts – при сохранении данных копировать информацию в папку BACKUP_PATH, во вложенную папку с именем, отображающим текущую системную дату и время операции в формате klbackup ГГГГ-ММ-ДД # ЧЧ-ММ-СС (в формате UTC). Если ключ не задан, информация сохраняется в корне папки BACKUP_PATH.

  При попытке сохранить информацию в папку, в которой уже есть резервная копия, появится сообщение об ошибке. Обновление информации не произойдет.

  Наличие ключа -use_ts позволяет вести архив данных Сервера администрирования. Например, если ключом -path была задана папка C:\KLBackups, то в папке klbackup 2022-06-19 # 11-30-18, сохранится информация о состоянии Сервера администрирования на дату 19 июня 2022 года, 11 часов 30 минут 18 секунд.

• -restore – выполнить восстановление данных Сервера администрирования. Восстановление данных осуществляется на основании информации, представленной в папке BACKUP_PATH. Если ключ отсутствует, производится резервное копирование данных в папку BACKUP_PATH.
• -password PASSWORD – пароль для защиты конфиденциальных данных.

  Забытый пароль не может быть восстановлен. Требования к паролю отсутствуют. Длина пароля не ограничена, также возможна нулевая длина пароля (то есть без пароля).

  При восстановлении данных необходимо указать тот же пароль, который был введен во время резервного копирования. Если после резервного копирования путь к общей папке изменился, проверьте работу задач, использующих восстановленные данные (задачи восстановления и задачи удаленной установки). При необходимости отредактируйте параметры этих задач. Пока данные восстанавливаются из файла резервной копии, никто не должен иметь доступ к общей папке Сервера администрирования. Учетная запись, под которой запускается утилита klbackup, должна иметь полный доступ к общей папке. Рекомендуется запускать утилиту на только что установленном Сервере администрирования.

• -online – создать резервную копию данных Сервера администрирования, создав моментальный снимок, чтобы минимизировать время автономного состояния Сервера администрирования. Если вы используете утилиту резервного копирования и восстановления данных, этот параметр игнорируется.

Использование утилиты klbackup для переключения управляемых устройств под управление другого Сервера администрирования

Утилита klbackup позволяет переключать управляемые устройства под управление другого Сервера администрирования. Вы можете переносить управляемые устройства между Серверами администрирования Kaspersky Security Center Windows.

Чтобы переключить управляемые устройства под управление другого Сервера администрирования с помощью утилиты klbackup:

1. На предыдущем устройстве создайте резервную копию сертификата и закрытого ключа Сервера администрирования с помощью утилиты klbackup.

   Запустите утилиту klbackup, расположенную в папке установки Kaspersky Security Center, а затем создайте резервную копию с помощью параметра Выполнять резервное копирование и восстановление только для сертификата Сервера администрирования.

2. На предыдущем устройстве отключите Сервер администрирования от сети.
3. Назначьте тому же устройству адрес с другим Сервером администрирования.

   Новому Серверу администрирования можно присвоить имя NetBIOS, FQDN и статический IP-адрес. Это зависит от того, какой адрес Сервера администрирования был установлен в инсталляционном пакете Агента администрирования, когда были развернуты Агенты администрирования. Также вы можете использовать адрес подключения, определяющий Сервер администрирования, к которому подключается Агент администрирования (вы можете получить этот адрес на управляемых устройствах с помощью утилиты klnagchk).

4. На устройстве с другим Сервером администрирования восстановите сертификат Сервера администрирования и закрытый ключ из резервной копии.

   Вы можете восстановить резервную копию данных одним из следующих способов:

   • С помощью утилиты klbackup

     Запустите утилиту klbackup и восстановите резервную копию, используя параметр Выполнять резервное копирование и восстановление только для сертификата Сервера администрирования.

   • С помощью командной строки (для Серверов администрирования Kaspersky Security Center 15.1 и выше).

     Запустите утилиту klbackup с ключом -cert_only из командной строки, чтобы восстановить резервную копию сертификата и закрытого ключа Сервера администрирования:

     klbackup -path <путь к резервной копии сертификата Сервера администрирования> -restore -cert_only

Управляемые устройства перейдут под управление другого Сервера администрирования. Вы можете перейти на Сервер администрирования и убедиться, что управляемые устройства видны в сети и что на них установлен и запущен Агент администрирования (значение Да в столбцах Видимо в сети, Агент администрирования установлен и Агент администрирования запущен).

Резервное копирование и восстановление данных Сервера администрирования при использовании MySQL или MariaDB

Вы можете использовать резервное копирование данных, чтобы перенести данные Сервера администрирования из Kaspersky Security Center Windows под управление Kaspersky Security Center Linux. Перенос данных с использованием резервной копии данных Сервера администрирования поддерживается только для переноса в Kaspersky Security Center Linux 15.2 или более позднюю версию из любой поддерживаемой версии Kaspersky Security Center Windows.

Если вы используете MySQL или MariaDB в качестве СУБД для Kaspersky Security Center Windows и для Kaspersky Security Center Linux, параметр lower_case_table_names должен совпадать в текущей и новой СУБД. Иначе данные Сервера администрирования будут перенесены некорректно.

Прежде чем вы создадите резервную копию данных Сервера администрирования Kaspersky Security Center Windows, проверьте значение параметра lower_case_table_names. Если вы не указали этот параметр ранее во время установки СУБД, используется значение параметра по умолчанию. Значение параметра lower_case_table_names по умолчанию для Windows – 1.

При установке MySQL или MariaDB для Kaspersky Security Center Linux, установите то же значение параметра lower_case_table_names, которое указано для этого параметра для Windows. Подробнее см. инструкцию с веб-сайта MySQL. Если вы не указали этот параметр, используется значение параметра по умолчанию. Для операционных систем на основе Linux значение параметра lower_case_table_names по умолчанию отличается от значения по умолчанию для Windows.

Если вы хотите установить MySQL 8.0, параметр lower_case_table_names, который задан в соответствии с этой инструкцией может, не сработать. В этом случае, сначала вам нужно установить MySQL 5.7, указать параметр lower_case_table_names, как описано в инструкции, а затем обновить MySQL 5.7 до MySQL 8.0. Если параметр lower_case_table_names не совпадает в текущей и новой СУБД, данные Сервера администрирования будут восстановлены некорректно.

Перенос данных в Kaspersky Security Center Linux с использованием резервной копии данных Сервера администрирования

Вы можете использовать резервную копию данных для переноса данных Сервера администрирования Kaspersky Security Center Windows под управление Kaspersky Security Center Linux. Перед переносом данных убедитесь, что необходимые функции Kaspersky Security Center Windows поддерживаются в Kaspersky Security Center Linux.

Ограничения:

• Перенос данных с использованием резервной копии данных Сервера администрирования поддерживается только для переноса в Kaspersky Security Center Linux 15.2 или более позднюю версию из любой поддерживаемой версии Kaspersky Security Center Windows.
• Тип СУБД, используемый для Kaspersky Security Center Linux, должен соответствовать типу СУБД в резервной копии данных Kaspersky Security Center Windows.

  Исключение составляет случай, когда вы используете Microsoft SQL Server в качестве СУБД для Kaspersky Security Center Windows. Поскольку Kaspersky Security Center Linux не поддерживает Microsoft SQL Server, вы можете перенести данные Сервера администрирования, хранящиеся в базе данных Microsoft SQL Server, в MySQL или MariaDB.

• Если вы используете MySQL или MariaDB в качестве СУБД для Kaspersky Security Center Windows и для Kaspersky Security Center Linux, параметр lower_case_table_names должен совпадать в текущей и новой СУБД.

  Прежде чем приступить к созданию резервной копии данных, проверьте параметр lower_case_table_names. Тогда при установке MySQL или MariaDB для Kaspersky Security Center Linux, вам нужно установить то же значение параметра, которое указано для этого параметра для Windows.

Чтобы выполнить перенос данных Сервера администрирования в Kaspersky Security Center Linux:

1. Создайте актуальную резервную копию данных Сервера администрирования.
   • Для переноса данных на тот же тип СУБД: используйте утилиту klbackup или задачу резервного копирования данных на устройстве, на котором установлен Сервер администрирования.
   • Для переноса данных Microsoft SQL Server в MySQL или MariaDB: используйте утилиту klbackup с включенным параметром Перенос данных в формате MySQL/MariaDB.
2. На предыдущем устройстве отключите Сервер администрирования от сети.
3. Выберите новое устройство, на которое будет установлен Сервер администрирования. Это устройство должно соответствовать аппаратным и программным требованиям. Проверьте, что порты, используемые на Сервере администрирования доступны.
4. Назначьте новому устройству тот же адрес.

   Новому Серверу администрирования можно присвоить имя NetBIOS, FQDN и статический IP-адрес. Это зависит от того, какой адрес Сервера администрирования был установлен в инсталляционном пакете Агента администрирования, когда были развернуты Агенты администрирования. Также вы можете использовать адрес подключения, определяющий Сервер администрирования, к которому подключается Агент администрирования (вы можете получить этот адрес на управляемых устройствах с помощью утилиты klnagchk).

5. Выберите тип СУБД, который обеспечивает оптимальную производительность. Учитывайте количество сетевых устройств, топологию сети и нагрузку на сеть. Вы можете выбрать одну из поддерживаемых СУБД.
6. Установите СУБД в соответствии с типом СУБД, выбранным при создании резервной копии. Сведения о том, как установить выбранную СУБД, см. в документации к ней.

   Новая версия базы данных не должна быть ниже текущей.

7. Настройте СУБД для работы с Kaspersky Security Center Linux.
8. Установите Kaspersky Security Center Linux на новом устройстве.
9. После завершения установки восстановите данные Сервера администрирования на новом устройстве с помощью утилиты klbackup.
10. Установите Kaspersky Security Center Web Console.

    Если приложение Kaspersky Security Center Web Console было установлено ранее, переустановите его с тем же файлом ответов.

11. Откройте Kaspersky Security Center Web Console и подключитесь к Серверу администрирования.

    Процесс инициализации данных обычно занимает до 15 минут после восстановления данных Сервера администрирования, но время зависит от производительности оборудования и размера данных Сервера администрирования. В течение этого периода Kaspersky Security Center Web Console может не подключаться и отображать ошибки.

12. Проверьте функциональность основных функций Сервера администрирования после завершения инициализации данных в базе данных. Убедитесь, что Сервер администрирования синхронизируется с управляемыми устройствами и данные Сервера администрирования восстановлены.
13. Выполните опрос контроллеров доменов для восстановления информации о структуре домена, учетных записях пользователей, группах безопасности и о DNS-именах устройств, входящих в домены.
14. При необходимости удалите Сервер администрирования и сервер баз данных с предыдущего устройства.

    Не должно быть нескольких Серверов администрирования в одной сети с одним и тем же адресом подключения и сертификатом Сервера администрирования.

Администратор имеет доступ к данным Сервера администрирования и управляемым устройствам, к которым был доступ в Kaspersky Security Center Windows, учитывая функциональность, поддерживаемую в Kaspersky Security Center Linux.

Перенос Сервера администрирования и сервера баз данных на другое устройство

Развернуть все | Свернуть все

Если вам нужно использовать Сервер администрирования на новом устройстве, вы можете перенести его одним из следующих способов:

• Переместить Сервер администрирования и сервер базы данных на новое устройство (сервер базы данных может быть установлен на новом устройстве вместе с Сервером администрирования или на другом устройстве).
• Оставить сервер баз данных на старом устройстве и перенести на новое устройство только Сервер администрирования.

Чтобы перенести Сервер администрирования и сервер баз данных на новое устройство:

1. На предыдущем устройстве создайте резервную копию данных Сервера администрирования.

   Для этого запустите задачу резервного копирования данных с помощью Консоли администрирования или запустите утилиту klbackup.

   Если вы используете SQL Server в качестве СУБД для Сервера администрирования, можно перенести данные с SQL Server на СУБД MySQL или MariaDB. Для создания резервной копии данных запустите утилиту klbackup в интерактивном режиме. Включите параметр Перенос данных в формате MySQL/MariaDB в окне Параметры резервного копирования мастера резервного копирования и восстановления данных. Kaspersky Security Center создаст резервную копию данных, совместимую с MySQL и MariaDB. После этого вы можете восстановить данные из резервной копии в MySQL или MariaDB.

   Также можно включить параметр Перенести в формат Azure, если вы хотите перенести данные из SQL Server в СУБД Azure SQL.

2. На предыдущем устройстве отключите Сервер администрирования от сети.
3. Выберите новое устройство, на которое будет установлен Сервер администрирования. Убедитесь, что аппаратное и программное обеспечение на выбранном устройстве соответствует требованиям для Сервера администрирования, Консоли администрирования и Агента администрирования. Проверьте, что порты, используемые на Сервере администрирования доступны.
4. Назначьте новому устройству тот же адрес.

   Новому Серверу администрирования можно присвоить имя NetBIOS, FQDN и статический IP-адрес. Это зависит от того, какой адрес Сервера администрирования был установлен в инсталляционном пакете Агента администрирования, когда были развернуты Агенты администрирования. Также вы можете использовать адрес подключения, определяющий Сервер администрирования, к которому подключается Агент администрирования (вы можете получить этот адрес на управляемых устройствах с помощью утилиты klnagchk).

5. При необходимости на другом устройстве установите систему управления базами данных (СУБД), которую будет использовать Сервер администрирования.

   База данных может быть установлена на новом устройстве вместе с Сервером администрирования или на другом устройстве. Убедитесь, что это устройство соответствует аппаратным и программным требованиям. При выборе СУБД учитывайте количество устройств, которые обслуживает Сервер администрирования.

6. Запустите установку Сервера администрирования на новом устройстве.
7. Во время установки Сервера администрирования настройте параметры подключения к серверу баз данных.

   

   Пример окна параметров подключения для Microsoft SQL Server

   В зависимости от того, где вам нужно разместить сервер базы данных, выполните одно из следующих действий:

   • Оставьте сервер базы данных на предыдущем устройстве.
     1. Нажмите на кнопку Обзор рядом с полем Имя SQL-сервера и выберите имя предыдущего устройства в появившемся списке.

        Обратите внимание, что предыдущее устройство должно быть доступно для связи с новым Сервером администрирования.

     2. Введите имя предыдущей базы данных в поле Имя базы данных.
   • Переместите сервер базы данных на другое устройство.
     1. Нажмите на кнопку Обзор рядом с полем Имя SQL-сервера и выберите имя устройства в появившемся списке.
     2. Введите имя новой базы данных в поле Имя базы данных.

        Обратите внимание, что имя новой базы данных должно совпадать с именем базы данных на предыдущем устройстве. Имена баз должны совпадать, чтобы можно было использовать резервную копию Сервера администрирования. Имя базы данных по умолчанию KAV.

8. После завершения установки восстановите данные Сервера администрирования на новом устройстве с помощью утилиты klbackup.

   Если вы используете SQL Server в качестве СУБД на предыдущем и новом устройствах, обратите внимание, что версия SQL Server, установленная на новом устройстве, должна быть такой же или выше, чем версия SQL Server, установленная на предыдущем устройстве. Иначе вы не сможете восстановить данные Сервера администрирования на новом устройстве.

9. Откройте Консоль администрирования и подключитесь к Серверу администрирования.
10. Убедитесь, что все управляемые устройства подключены к Серверу администрирования.
11. Удалите Сервер администрирования и сервер баз данных с предыдущего устройства.

Также можно использовать Kaspersky Security Center Web Console, чтобы перенести Сервер администрирования и сервер баз данных на другое устройство.

Избегание конфликтов между Серверами администрирования

Если в сети имеется несколько Серверов администрирования, они могут видеть одни и те же клиентские устройства. Это может привести к тому, что, например, несколько Серверов администрирования будут выполнять удаленную установку одной и той же программы на одно устройство, а также к другим конфликтам. Чтобы избежать такой ситуации, в Kaspersky Security Center 14 можно запретить установку программы на устройство, управляемое другим Сервером администрирования.

Свойство Под управлением другого Сервера администрирования можно также использовать как критерий для следующих операций:

• Поиск устройств
• Выборки устройств
• Правила перемещения устройств
• Правила автоматического назначения тегов

В Kaspersky Security Center 14 используется эвристический подход для определения, какой Сервер администрирования управляет клиентским устройством: тот, на котором вы работаете, или другой.

Двухэтапная проверка

В этом разделе описывается использование двухэтапной проверки для снижения риска несанкционированного доступа к Консоли администрирования или Kaspersky Security Center Web Console.

О двухэтапной проверке

Если для учетной записи включена двухэтапная проверка, для входа в Консоль администрирования или Kaspersky Security Center Web Console, помимо имени пользователя и пароля, требуется одноразовый код безопасности. Если доменная аутентификация включена, пользователю достаточно ввести одноразовый код безопасности.

Чтобы использовать двухэтапную проверку, установите на мобильное устройство или компьютер приложение для аутентификации, которое генерирует одноразовые коды безопасности. Вы можете использовать любое приложение проверки подлинности, которое поддерживает алгоритм формирования одноразового пароля на основе времени (TOTP), такие как:

• Google Authenticator.
• Microsoft Authenticator.
• Bitrix24 OTP.
• Яндекс ключ.

Настоятельно рекомендуется сохранить секретный ключ или QR-код и хранить его в надежном месте. Это поможет вам восстановить доступ к Kaspersky Security Center Web Console в случае потери доступа к мобильному устройству.

Чтобы обезопасить использование Kaspersky Security Center, вы можете включить двухэтапную проверку для своей учетной записи и включить двухэтапную проверку для всех пользователей.

Вы можете исключить учетные записи из двухэтапной проверки. Это может быть необходимо для служебных учетных записей, которые не могут получить защитный код для аутентификации.

Правила и ограничения

Чтобы иметь возможность активировать двухэтапную проверку для всех пользователей и деактивировать двухэтапную проверку для отдельных пользователей:

• Убедитесь, что вашей учетной записи есть право Изменение списков управления доступом объектов в функциональной области Общий функционал: Права пользователей.
• Включите двухэтапную проверку для вашей учетной записи.

Чтобы выключить двухэтапную проверку для всех пользователей:

• Убедитесь, что вашей учетной записи есть право Изменение списков управления доступом объектов в функциональной области Общий функционал: Права пользователей.
• Войдите в Kaspersky Security Center Web Console с помощью двухэтапной проверки.

Если для учетной записи на Сервере администрирования Kaspersky Security Center версии 13 или выше включена двухэтапная проверка, то пользователь не сможет войти в программу Kaspersky Security Center Web Console версий 12, 12.1 или 12.2.

Перевыпуск секретного ключа

Любой пользователь может повторно выпустить секретный ключ, используемый для двухэтапной проверки. Когда пользователь входит на Сервер администрирования с перевыпущенным секретным ключом, новый секретный ключ сохраняется для учетной записи пользователя. Если пользователь неправильно вводит новый секретный ключ, новый секретный ключ не сохраняется, а текущий секретный ключ остается действительным.

Код безопасности имеет идентификатор, называемый также имя издателя. Имя издателя кода безопасности используется в качестве идентификатора Сервера администрирования в приложении для аутентификации. Имя издателя кода безопасности имеет значение по умолчанию, такое же, как имя Сервера администрирования. Вы можете изменить имя издателя кода безопасности. Если вы изменили имя издателя кода безопасности, необходимо выпустить новый секретный ключ и передать его приложению для аутентификации.

Сценарий: Настройка двухэтапной проверки для всех пользователей

В этом сценарии описывается, как включить двухэтапную проверку для всех пользователей и как исключить учетные записи пользователей из двухэтапной проверки. Если вы не включили двухэтапную проверку для своей учетной записи, прежде чем включить ее для других пользователей, программа сначала откроет окно включения двухэтапной проверки для вашей учетной записи. В этом сценарии также описано, как включить двухэтапную проверку для вашей учетной записи.

Если вы включили двухэтапную проверку для своей учетной записи, вы можете перейти к включению двухэтапной проверки для всех пользователей.

Предварительные требования

Прежде чем начать:

• Убедитесь, что ваша учетная запись имеет право Изменение списков управления доступом объектов в функциональной области Общий функционал: Права пользователей для изменения параметров безопасности учетных записей других пользователей.
• Убедитесь, что другие пользователи Сервера администрирования установили на свои устройства приложение для аутентификации.

Этапы

Включение двухэтапной проверки для всех пользователей состоит из следующих этапов:

1. Установка приложения для аутентификации на устройство

   Вы можете установить любое приложение проверки подлинности, которое поддерживает алгоритм формирования одноразового пароля на основе времени (TOTP), такие как:

   • Google Authenticator.
   • Microsoft Authenticator.
   • Bitrix24 OTP.
   • Яндекс ключ.

   Категорически не рекомендуется устанавливать приложение для аутентификации на том же устройстве, с которого выполняется подключение к Серверу администрирования.

2. Синхронизация времени приложения для аутентификации и время устройства, на котором установлен Сервер администрирования

   Убедитесь, что время, установленное в приложении для аутентификации, синхронизировано со временем Сервера администрирования.

3. Включение двухэтапной проверки и получение секретного ключа для своей учетной записи

   Инструкции:

   • Для Консоли администрирования на основе MMC: Включение двухэтапной проверки для вашей учетной записи.
   • Для Kaspersky Security Center Web Console: Включение двухэтапной проверки для вашей учетной записи.

   После включения двухэтапной проверки для своей учетной записи вы можете включить двухэтапную проверку для всех пользователей.

4. Включение двухэтапной проверки для всех пользователей

   Пользователи с включенной двухэтапной проверкой должны использовать ее для входа на Сервер администрирования.

   Инструкции:

   • Для Консоли администрирования на основе MMC: Включение двухэтапной проверки для всех пользователей.
   • Для Kaspersky Security Center Web Console: Включение двухэтапной проверки для всех пользователей.
5. Изменение имени издателя кода безопасности

   Если у вас несколько Серверов администрирования с похожими именами, возможно, вам придется изменить имена издателей кода безопасности для лучшего распознавания разных Серверов администрирования.

   Инструкции:

   • Для Консоли администрирования на основе MMC: Изменение имени издателя кода безопасности.
   • Для Kaspersky Security Center Web Console: Изменение имени издателя кода безопасности.
6. Исключение учетных записей пользователей, для которых не требуется включать двухэтапную проверку

   При необходимости исключите учетные записи пользователей из двухэтапной проверки. Пользователям с исключенными учетными записями не нужно использовать двухэтапную проверку для входа на Сервер администрирования.

   Инструкции:

   • Для Консоли администрирования на основе MMC: Исключение учетных записей из двухэтапной проверки.
   • Для Kaspersky Security Center Web Console: Исключение учетных записей из двухэтапной проверки.

Результаты

После выполнения этого сценария:

• Двухэтапная проверка для вашей учетной записи включена.
• Двухэтапная проверка включена для всех учетных записей пользователей Сервера администрирования, кроме исключенных учетных записей пользователей.

Включение двухэтапной проверки для вашей учетной записи

Перед тем как включить двухэтапную проверку для своей учетной записи, убедитесь, что на мобильном устройстве установлено приложение для аутентификации. Убедитесь, что время, установленное в приложении для аутентификации, синхронизировано со временем Сервера администрирования.

Чтобы включить двухэтапную проверку для учетной записи:

1. В дереве консоли Kaspersky Security Center откройте контекстное меню узла Сервер администрирования по правой клавише мыши и выберите пункт Свойства.
2. В окне свойств Сервера администрирования в панели Разделы перейдите в раздел Дополнительно, а затем Двухэтапная проверка.
3. В разделе Двухэтапная проверка нажмите на кнопку Настроить.

   Если для вашей учетной записи уже включена двухэтапная проверка, при нажатии на кнопку Настроить сбрасывается секретный ключ, чтобы можно было перенастроить двухэтапную проверку.

   В открывшемся окне свойств двухэтапной проверки отображается секретный ключ.

4. Введите секретный ключ в приложение для аутентификации, чтобы получить одноразовый код безопасности. Вы можете указать секретный ключ в приложении для аутентификации вручную или отсканировать QR-код с помощью приложения для аутентификации на мобильном устройстве.
5. Укажите код безопасности, сгенерированный приложением для аутентификации, а затем нажмите на кнопку ОК, чтобы закрыть окно свойств двухэтапной проверки.
6. Нажмите на кнопку Применить.
7. Нажмите на кнопку ОК.

Двухэтапная проверка для вашей учетной записи включена.

Включение двухэтапной проверки для всех пользователей

Вы можете включить двухэтапную проверку для всех пользователей Сервера администрирования, если у вашей учетной записи есть право Изменение списков управления доступом объектов в функциональной области Общий функционал: Права пользователей и если вы выполнили аутентификацию с помощью двухэтапной проверки. 

Чтобы включить двухэтапную проверку для всех пользователей:

1. В дереве консоли Kaspersky Security Center откройте контекстное меню узла Сервер администрирования по правой клавише мыши и выберите пункт Свойства.
2. В окне свойств Сервера администрирования в панели Разделы выберите раздел Дополнительно, а затем Двухэтапная проверка.
3. Нажмите на кнопку Установить как обязательную, чтобы включить двухэтапную проверку для всех пользователей.
4. Если вы не включили двухэтапную проверку для своей учетной записи, программа откроет окно включения двухэтапной проверки для вашей учетной записи.
   1. Введите секретный ключ в приложение для аутентификации, чтобы получить одноразовый код безопасности. Введите секретный ключ вручную в приложении для аутентификации или отсканируйте QR-код с помощью приложения для аутентификации на мобильном устройстве, чтобы получить одноразовый код безопасности.
   2. Укажите код безопасности, сгенерированный приложением для аутентификации, а затем нажмите на кнопку ОК, чтобы закрыть окно свойств двухэтапной проверки.
5. В разделе Двухэтапная проверка нажмите на кнопку Применить и нажмите на кнопку ОК.

Двухэтапная проверка для всех пользователей включена. Пользователям Сервера администрирования, включая пользователей, которые были добавлены после включения этого параметра, необходимо настроить двухэтапную проверку для своих учетных записей, за исключением пользователей, учетные записи которых исключены из двухэтапной проверки.

Выключение двухэтапной проверки для учетной записи пользователя

Чтобы выключить двухэтапную проверку для вашей учетной записи:

1. В дереве консоли Kaspersky Security Center откройте контекстное меню узла Сервер администрирования по правой клавише мыши и выберите пункт Свойства.
2. В окне свойств Сервера администрирования в панели Разделы выберите раздел Дополнительно, а затем Двухэтапная проверка.
3. В разделе Двухэтапная проверка нажмите на кнопку Выключить.
4. Нажмите на кнопку Применить.
5. Нажмите на кнопку ОК.

Двухэтапная проверка для вашей учетной записи выключена.

Вы можете выключить двухэтапную проверку для других учетных записей пользователей. Эта защита используется, например, если пользователь потеряет или сломает мобильное устройство.

Вы можете выключить двухэтапную проверку для другой учетной записи пользователя, только если у вашей учетной записи есть право Изменение списков управления доступом объектов в функциональной области Общий функционал: Права пользователей и если вы выполнили аутентификацию с помощью двухэтапной проверки. Следуя приведенным ниже инструкциям, вы также можете выключить двухэтапную проверку для своей учетной записи.

Чтобы выключить двухэтапную проверку для учетной записи любого пользователя:

1. В дереве консоли откройте папку Учетные записи пользователей.

   Папка Учетные записи пользователей по умолчанию вложена в папку Дополнительно.

2. В рабочей области папки нажмите на учетную запись пользователя, для которой вы хотите выключить двухэтапную проверку.

   Для всех учетных записей пользователей, для которых включена двухэтапная проверка, в столбце Требуется 2FA установите значение Да.

3. В окне Свойства: <Имя пользователя> выберите раздел Двухэтапная проверка.
4. В разделе Двухэтапная проверка выберите следующие параметры:
   • Если вы хотите выключить двухэтапную проверку для выбранной учетной записи пользователя, нажмите на кнопку Выключить.
   • Если вы хотите исключить эту учетную запись пользователя из двухэтапной проверки, выберите параметр Пользователь может пройти аутентификацию, используя только имя пользователя и пароль.
5. Нажмите на кнопку Применить.
6. Нажмите на кнопку ОК.

Двухэтапная проверка учетной записи пользователя выключена.

Если вы хотите восстановить доступ пользователя, который не может войти в Консоль администрирования с помощью двухэтапной проверки, выключите двухэтапную проверку для этой учетной записи пользователя и выберите параметр Пользователь может пройти аутентификацию, используя только имя пользователя и пароль в разделе Двухэтапная проверка, как описано выше. После этого войдите в Консоль администрирования под учетной записью пользователя, для которого вы выключили двухэтапную проверку, и снова включите проверку.

Выключение обязательной двухэтапной проверки для всех пользователей

Вы можете выключить обязательную двухэтапную проверку для всех пользователей Сервера администрирования, если у вас есть право Изменение списков управления доступом объектов в функциональной области Общий функционал: Права пользователей и если вы выполнили аутентификацию с помощью двухэтапной проверки.

Чтобы выключить двухэтапную проверку для всех пользователей:

1. В дереве консоли Kaspersky Security Center откройте контекстное меню узла Сервер администрирования по правой клавише мыши и выберите пункт Свойства.
2. В окне свойств Сервера администрирования в панели Разделы выберите раздел Дополнительно, а затем Двухэтапная проверка.
3. Нажмите на кнопку Установить как необязательную, чтобы выключить двухэтапную проверку для всех пользователей.
4. Нажмите на кнопку Применить в разделе Двухэтапная проверка.
5. Нажмите на кнопку ОК в разделе Двухэтапная проверка.

Двухэтапная проверка для всех пользователей выключена. Выключение двухэтапной проверки для всех пользователей не применяется к конкретным учетным записям, для которых двухэтапная проверка ранее была включена отдельно.

Исключение учетных записей из двухэтапной проверки

Вы можете исключить учетную запись из двухэтапной проверки, если у вашей учетной записи есть право Изменение списков управления доступом объектов в функциональной области Общий функционал: Права пользователей.

Если учетная запись пользователя исключена из двухэтапной проверки, этот пользователь может войти в Консоль администрирования или Kaspersky Security Center Web Console без использования двухэтапной проверки.

Исключение учетных записей из двухэтапной проверки может быть необходимо для служебных учетных записей, которые не могут передать код безопасности во время аутентификации.

Чтобы исключить учетную запись пользователя из двухэтапной проверки:

1. Если вы хотите исключить учетную запись Active Directory, выполните опрос Active Directory, чтобы обновить список пользователей Сервера администрирования.
2. В дереве консоли откройте папку Учетные записи пользователей.

   Папка Учетные записи пользователей по умолчанию вложена в папку Дополнительно.

3. В рабочей области папки нажмите на учетную запись пользователя, которую вы хотите исключить из двухэтапной проверки.
4. В окне Свойства: <Имя пользователя> выберите раздел Двухэтапная проверка.
5. В открывшемся разделе выберите параметр Пользователь может пройти аутентификацию, используя только имя пользователя и пароль.
6. В разделе Двухэтапная проверка нажмите на кнопку Применить и нажмите на кнопку ОК.

Эта учетная запись пользователя исключена из двухэтапной проверки. Вы можете проверить исключенные учетные записи в списке учетных записей пользователей.

Изменение имени издателя кода безопасности

У вас может быть несколько идентификаторов (также их называют издателями) для разных Серверов администрирования. Вы можете изменить имя издателя кода безопасности, например, Сервер администрирования уже использует аналогичное имя издателя кода безопасности для другого Сервера администрирования. По умолчанию имя издателя кода безопасности совпадает с именем Сервера администрирования.

После изменения имени издателя кода безопасности необходимо повторно выпустить новый секретный ключ и передать его приложению для аутентификации.

Чтобы указать новое имя издателя кода безопасности:

1. В дереве консоли Kaspersky Security Center откройте контекстное меню узла Сервер администрирования по правой клавише мыши и выберите пункт Свойства.
2. В окне свойств Сервера администрирования в панели Разделы выберите раздел Дополнительно, а затем Двухэтапная проверка.
3. Укажите новое имя издателя кода безопасности в поле Кем выдан код безопасности.
4. Нажмите на кнопку Применить в разделе Двухэтапная проверка.
5. Нажмите на кнопку ОК в разделе Двухэтапная проверка.

Для Сервера администрирования указано новое имя издателя кода безопасности.

Изменение общей папки Сервера администрирования

Общая папка Сервера администрирования указывается при установке Сервера администрирования. Месторасположение папки общего доступа можно изменить в свойствах Сервера администрирования.

Чтобы изменить общую папку:

1. Создайте сетевую папку общего доступа и настройте разрешения для общей папки и для структуры папок, чтобы предоставить права полного контроля для подгруппы Everyone.
2. В дереве консоли Kaspersky Security Center откройте контекстное меню узла Сервер администрирования по правой клавише мыши и выберите пункт Свойства.
3. В окне свойства Сервера администрирования в панели Разделы перейдите в раздел Дополнительно и выберите Папка общего доступа Сервера администрирования.
4. В разделе Папка общего доступа Сервера администрирования нажмите на кнопку Изменить.
5. Выберите папку, которую вы хотите использовать как общую.
6. Нажмите на кнопку ОК, чтобы закрыть окно свойств Сервера администрирования.
7. Назначить права на чтение для подгруппы Everyone для папки, которую вы выбрали как общую.