Управление профилями политик

В этом разделе описывается управление профилями политики и предоставляется информация о просмотре профилей политики, изменении приоритета профиля политики, создании профиля политики, изменении профиля политики, копировании профиля политики, создании правила активации профиля политики и удалении профиля политики.

Управление профилями политик

Профиль политики – это именованный набор параметров политики, который активируется на клиентском устройстве (компьютере, мобильном устройстве), если устройство удовлетворяет заданным правилам активации. При активации профиля изменяются параметры политики, действовавшие на устройстве до активации профиля. Эти параметры принимают значения, указанные в профиле.

Профили политики нужны для того, чтобы устройства внутри одной группы администрирования могли иметь разные параметры политики. Например, возможна ситуация, когда в группе администрирования для некоторых устройств параметры политики должны быть изменены. В этом случае для такой политики можно настроить профили политики, использование которых позволяет изменять параметры политики не для всех устройств группы администрирования. Например, политика запрещает запуск программ городской навигации для всех устройств группы администрирования "Пользователи". Программы городской навигации необходимы для работы только одного устройства пользователя, выполняющего роль курьера, в группе администрирования "Пользователи". На этом устройстве можно установить тег "Курьер" и настроить профиль политики таким образом, чтобы был разрешен запуск программ городской навигации только на устройстве с тегом "Курьер", с сохранением всех остальных параметров политики. В этом случае если в группе администрирования "Пользователи" появляется устройство с тегом "Курьер", на нем будет разрешен запуск программ городской навигации. Запуск программ городской навигации на других устройствах в группе администрирования "Пользователи", у которых тег "Курьер" отсутствует, будет запрещен.

Профили поддерживаются только для следующих политик:

• политики Kaspersky Endpoint Security для Windows;
• политики Kaspersky Endpoint Security для Mac;
• политики плагина Kaspersky Mobile Device Management версий от 10 Service Pack 1 до 10 Service Pack 3 Maintenance Release 1;
• политики плагина Kaspersky Device Management для iOS;
• политики Kaspersky Security для виртуальных сред 5.1 Легкий агент для Windows;
• политики Kaspersky Security для виртуальных сред 5.1 Легкий агент для Linux.

Профили политик облегчают управление клиентскими устройствами, на которых применены политики:

• Параметры профиля политики могут отличаться от параметров самой политики.
• Не требуется поддерживать и применять вручную несколько копий одной политики, которые различаются только небольшим количеством параметров.
• Не требуется отдельная политика для автономных пользователей.
• Вы можете экспортировать и импортировать профили политики, а также создавать новые профили на основе существующих.
• Для одной политики несколько профилей политики могут быть активными. К устройству будут применены те из профилей, которые удовлетворяют правилам активации на этом устройстве.
• Профили подчиняются иерархии политик. Унаследованная политика содержит все профили политики верхнего уровня.

Приоритеты профилей

Профили, созданные для политики, упорядочены в порядке убывания приоритета. Например, если профиль X находится выше профиля Y в списке профилей, то профиль X имеет более высокий приоритет, чем Y. К одному устройству одновременно могут быть применены несколько профилей. Если значение какого-то параметра различается в профилях, на устройстве применится значение параметра из того профиля, который имеет более высокий приоритет.

Правила активации профиля

Профиль политики активируется на клиентском устройстве при выполнении правила активации. Правила активации – набор условий, при выполнении которых профиль политики начинает работать на устройстве. Правило активации может содержать следующие условия:

• Агент администрирования на клиентском устройстве подключается к Серверу с определенным набором параметров подключения, например, адрес Сервера, номер порта и так далее.
• Клиентское устройство находится в автономном режиме.
• Клиентскому устройству назначены определенные теги.
• Клиентское устройство явно (устройство находится непосредственно в указанном подразделении) или неявно (устройство находится в подразделении, которое находится внутри указанного подразделения на любом уровне вложенности) размещено в определенном подразделении Active Directory, устройство или его владелец находятся в группе безопасности Active Directory.
• Клиентское устройство принадлежит определенному владельцу или владелец устройства находится во внутренней группе безопасности Kaspersky Security Center.
• Владельцу клиентского устройства была назначена определенная роль.

Политики в иерархии групп администрирования

Если вы создаете политику в группе администрирования нижнего уровня, то новая политика наследует профили активной политики для группы верхнего уровня. Профили с одинаковыми именами объединяются. Профили политики для группы более высокого уровня имеют более высокий приоритет. Например, в группе администрирования А политика Р(А) имеет профили X1, X2, и X3, в порядке убывания приоритета. В группе администрирования В, которая является подгруппой группы А, создана политика Р(В), с профилями X2, X4, X5. Тогда политика Р(В) будет изменена политикой P(A), так, что в политике P(B) список профилей в порядке убывания приоритета будет X1, X2, X3, X4, X5. Приоритет профиля X2 будет зависеть от начального состояния X2 политики P(B) и X2 политики P(A). После создания политики Р(В) политика P(A) не будет отображаться в подгруппе В.

Активная политика вычисляется каждый раз заново при запуске Агента администрирования, при включении и выключении автономного режима, а также при изменении списка тегов, назначенных клиентскому устройству. Например, устройству увеличили объем оперативной памяти, в результате активировался профиль политики, который применяется для устройств с большим объемом оперативной памяти.

Свойства и ограничения профиля политики

Профили имеют следующие свойства:

• Профили неактивной политики не влияют на клиентские устройства.
• Если для политики установлено состояние Политика для автономных пользователей, профили политики также будут применяться при отключении устройства от корпоративной сети.
• Профили не поддерживают статический анализ доступа к исполняемым файлам.
• Профиль политики не может содержать параметры оповещений о событиях.
• Если используется UDP-порт 15000 для подключения устройства к Серверу администрирования, то при назначении тега устройству соответствующий профиль политики активируется в течение одной минуты.
• Вы можете использовать правила подключения Агента администрирования к Серверу администрирования, когда вы создаете правила активации профиля политики.

Создание профиля политики

Создание профиля доступно только для политик следующих программ:

• Kaspersky Endpoint Security 10 Service Pack 1 для Windows и выше;
• Kaspersky Endpoint Security 10 Service Pack 1 для Mac;
• плагина Kaspersky Mobile Device Management до версий 10 Service Pack 3 Maintenance Release 1;
• плагина Kaspersky Device Management для iOS;
• Kaspersky Security для виртуальных сред 5.1 Легкий агент для Windows и Linux.

Чтобы создать профиль политики:

1. В дереве консоли выберите группу администрирования, для политики которой нужно создать профиль политики.
2. В рабочей области группы администрирования выберите закладку Политики.
3. Выберите политику и с помощью контекстного меню перейдите в окно свойств политики.
4. Выберите раздел Профили политики в окне свойств политики и нажмите на кнопку Добавить.

   Запустится мастер создания профиля политики.

5. В окне мастера Имя профиля политики укажите:
   1. Имя профиля политики.

      Имя профиля не может превышать 100 символов.

   2. Состояние профиля политики (Включен или Выключен).

      Рекомендуется создавать неактивные профили политики и включать их только после полного завершения настройки параметров и условий активации профилей политики.

6. Установите флажок После закрытия мастера создания профиля политики перейти к настройке правила активации профиля политики, чтобы запустить мастер создания правила активации профиля политики. Следуйте инструкциям мастера.
7. Измените параметры профиля политики в окне свойств профиля политики, как вам необходимо.
8. Сохраните изменения, нажав на кнопку ОК.

   Профиль будет сохранен. Профиль будет активирован на устройствах, удовлетворяющих правилам активации.

Для одной политики можно создать несколько профилей политики. Профили, созданные для политики, отображаются в свойствах политики в разделе Профили политики. Вы можете изменить профиль политики и приоритет профиля, а также удалить профиль.

Изменение профиля политики

Изменение параметров профиля политики

Изменение профиля доступно только для политик Kaspersky Endpoint Security для Windows.

Чтобы изменить профиль политики:

1. В дереве консоли выберите группу администрирования, для которой нужно изменить профиль политики.
2. В рабочей области группы выберите закладку Политики.
3. Выберите политику и с помощью контекстного меню перейдите в окно свойств политики.
4. Откройте раздел Профили политики в свойствах политики.

   В разделе содержится список профилей, созданных для политики. Профили в списке отображаются в соответствии с их приоритетом.

5. Выберите профиль политики и нажмите на кнопку Свойства.
6. В окне свойств настройте параметры профиля:
   • Если необходимо, в разделе Общие измените имя профиля и включите или выключите профиль с помощью флажка Включить профиль.
   • В разделе Правила активации измените правила активации профиля.
   • Измените параметры политики в соответствующих разделах.
7. Нажмите на кнопку ОК.

Измененные параметры начнут действовать после синхронизации устройства с Сервером администрирования (если профиль политики активен) либо после выполнения правила активации (если профиль политики неактивен).

Изменение приоритета профиля политики

Приоритет профилей политик определяет порядок активации профилей на клиентском устройстве. Приоритет используется, если для разных профилей политики заданы одинаковые правила активации.

Например, созданы два профиля политики: Профиль 1 и Профиль 2, отличающиеся друг от друга значениями одного параметра (Значение 1 и Значение 2). Приоритет Профиля 1 выше, чем приоритет Профиля 2. Кроме того, существуют профили с более низким приоритетом, чем Профиль 2. Правила активации профилей совпадают.

При выполнении правила активации будет активирован Профиль 1. Параметр на устройстве примет Значение 1. Если удалить Профиль 1, то Профиль 2, будет иметь самый высокий приоритет, и параметр примет Значение 2.

В списке профилей политики профили отображаются в соответствии с их приоритетом. На первом месте в списке стоит профиль с самым высоким приоритетом. Приоритет профиля можно изменять с помощью кнопок со стрелкой вверх и со стрелкой вниз .

Удаление профиля политики

Чтобы удалить профиль политики:

1. Выберите в дереве консоли группу администрирования, для которой нужно удалить профиль политики.
2. В рабочей области группы администрирования выберите закладку Политики.
3. Выберите политику и с помощью контекстного меню перейдите в окно свойств политики.
4. Откройте раздел Профили политики в свойствах политики Kaspersky Endpoint Security.
5. Выберите профиль политики, который нужно удалить, и нажмите на кнопку Удалить.

В результате профиль политики будет удален. Активным станет либо другой профиль политики, правила активации которого выполняются на устройстве, либо политика.

Создание правила активации профиля политики

Развернуть все | Свернуть все

Чтобы создать правило активации профиля политики:

1. В дереве консоли выберите группу администрирования, для которой нужно создать правило активации профиля политики.
2. В рабочей области группы выберите закладку Политики.
3. Выберите политику и с помощью контекстного меню перейдите в окно свойств политики.
4. Выберите раздел Профили политики в окне свойств политики.
5. Выберите профиль политики, для которого нужно создать правило активации, и нажмите на кнопку Свойства.

   В результате откроется окно свойств профиля политики.

   Если список профилей политики пуст, вы можете создать профиль политики.

6. Выберите раздел Правила активации и нажмите на кнопку Добавить.

   В результате запустится мастер создания правила активации профиля политики.

7. В окне Правила активации профиля политики установите флажки напротив условий, которые должны влиять на активацию создаваемого профиля политики:
   • Общие правила активации профиля политики

     Установите флажок, чтобы настроить правила активации профиля политики на устройстве в зависимости от состояния автономного режима устройства, правила подключения устройства к Серверу администрирования и назначенных устройству тегов.

   • Правила для использования Active Directory

     Установите флажок, чтобы настроить правила активации профиля политики на устройстве в зависимости от размещения устройства в подразделении Active Directory или же от членства устройства или его владельца в группе безопасности Active Directory.

   • Правила для определенного владельца устройства

     Установите флажок, чтобы настроить правила активации профиля политики на устройстве в зависимости от того, кто является владельцем устройства, и от членства устройства во внутренней группе безопасности Kaspersky Security Center.

   • Правило для характеристик оборудования

     Установите флажок, чтобы настроить условие активации политики на устройстве в зависимости от объема памяти и количества логических процессоров устройства.

   От выбора параметров на этом шаге зависит дальнейшее количество окон мастера. Вы можете изменить правила активации профиля политики позже.

8. В разделе Общие условия укажите следующие параметры:
   • В поле Устройство в автономном режиме в раскрывающемся списке укажите условие нахождения устройства в сети:
     • Да

       Устройство находится во внешней сети, то есть Сервер администрирования недоступен.

     • Нет

       Устройство находится в сети, Сервер администрирования доступен.

     • Значение не выбрано

       Критерий не применяется.

   • В поле Устройство находится в указанном сетевом местоположении с помощью раскрывающихся списков настройте активацию профиля политики при выполнении/невыполнении на устройстве правила подключения к Серверу администрирования:
     • Выполняется/Не выполняется

       Условие активации профиля политики (правило выполняется или не выполняется).

     • Rule name

       Описание сетевого местоположения устройства для подключения к Серверу администрирования, при выполнении или невыполнении условий которого профиль политики будет активирован.

       Описание сетевого местоположения устройств для подключения к Серверу администрирования можно создать или настроить в правиле переключения Агента администрирования.

   Окно Общие условия отображается, если был установлен флажок Общие правила активации профиля политики.

9. В разделе Условия с использованием тегов укажите следующие параметры:
   • Список тегов

     В списке тегов задайте правило включения устройств в профиль политики, установив флажки нужным тегам.

     Вы можете добавить в список новые теги, введя их в поле над списком и нажав на кнопку Добавить.

     В профиль политики будут включены устройства, в описании которых есть все выбранные теги. Если флажки сняты, критерий не применяется. По умолчанию флажки сняты.

   • Применить к устройствам без выбранных тегов

     Включите параметр, если необходимо инвертировать выбор тегов.

     Если параметр включен, в профиль политики будут включены устройства, в описании которых нет выбранных тегов. Если этот параметр выключен, критерий не применяется.

     По умолчанию параметр выключен.

   Окно Условия с использованием тегов отображается, если установлен флажок Общие правила активации профиля политики.

10. В разделе Условия с использованием Active Directory укажите следующие параметры:
    • Членство владельца устройства в группе безопасности Active Directory

      Если параметр включен, профиль политики активируется на устройстве, владелец которого является членом указанной группы безопасности. Если параметр выключен, критерий активации профиля не применяется. По умолчанию параметр выключен.

    • Членство устройства в группе безопасности Active Directory

      Если параметр включен, профиль политики активируется на устройстве. Если параметр выключен, критерий активации профиля не применяется. По умолчанию параметр выключен.

    • Размещение устройства в подразделении Active Directory

      Если параметр включен, профиль политики активируется на устройстве, которое входит в указанное подразделение Active Directory. Если параметр выключен, критерий активации профиля не применяется.

      По умолчанию параметр выключен.

    Окно Условия с использованием Active Directory отображается, если установлен флажок Правила для использования Active Directory.

11. В разделе Условия с использованием владельца устройства укажите следующие параметры:
    • Владелец устройства

      Включите параметр, чтобы настроить и включить правило активации профиля на устройстве по владельцу устройства. В раскрывающемся списке под флажком можно выбрать критерий активации профиля:

      • устройство принадлежит указанному владельцу (знак "=");
      • устройство не принадлежит указанному владельцу (знак "#").

        Если параметр включен, активация профиля на устройстве выполняется в соответствии с настроенным критерием. Вы можете указать владельца устройства, когда параметр включен. Если параметр выключен, критерий активации профиля не применяется. По умолчанию параметр выключен.

    • Владелец устройства входит во внутреннюю группу безопасности

      Включите параметр, чтобы настроить и включить правило активации профиля на устройстве по членству владельца устройства во внутренней группе безопасности Kaspersky Security Center. В раскрывающемся списке под флажком можно выбрать критерий активации профиля:

      • владелец устройства является членом указанной группы безопасности (знак "=");
      • владелец устройства не является членом указанной группы безопасности (знак "#").

        Если параметр включен, активация профиля на устройстве выполняется в соответствии с настроенным критерием. Вы можете указать группу безопасности Kaspersky Security Center. Если параметр выключен, критерий активации профиля не применяется. По умолчанию параметр выключен.

    • Активировать профиль политики по наличию роли у владельца устройства

      Включите этот параметр, чтобы настроить и включить правило активации профиля политики на устройстве в зависимости от наличия определенной роли у его владельца. Добавить роль вручную из списка существующих ролей.

      Если параметр включен, активация профиля на устройстве выполняется в соответствии с настроенным критерием.

    Окно Условия с использованием владельца устройства отображается, если установлен флажок Правила для определенного владельца устройства.

12. В разделе Условия с использованием характеристик оборудования укажите следующие параметры:
    • Объем оперативной памяти (МБ)

      Включите параметр, чтобы настроить и включить правило активации профиля на устройстве по объему оперативной памяти устройства. В раскрывающемся списке под флажком можно выбрать критерий активации профиля:

      • объем оперативной памяти устройства меньше указанного значения (знак "<");
      • объем оперативной памяти устройства больше указанного значения (знак ">").

      Если параметр включен, активация профиля на устройстве выполняется в соответствии с настроенным критерием. Вы можете указать объем оперативной памяти устройства. Если параметр выключен, критерий активации профиля не применяется. По умолчанию параметр выключен.

    • Количество логических процессоров

      Включите параметр, чтобы настроить и включить правило активации профиля на устройстве по количеству логических процессоров устройства. В раскрывающемся списке под флажком можно выбрать критерий активации профиля:

      • количество логических процессоров устройства меньше или равно указанному значению (знак "<");
      • количество логических процессоров устройства больше или равно указанному значению (знак ">").

      Если параметр включен, активация профиля на устройстве выполняется в соответствии с настроенным критерием. Вы можете указать количество логических процессоров устройства. Если параметр выключен, критерий активации профиля не применяется. По умолчанию параметр выключен.

    Окно Условия с использованием характеристик оборудования отображается, если установлен флажок Правило для характеристик оборудования.

13. В окне Имя правила активации профиля политики в поле Имя правила укажите название правила.

В результате профиль будет сохранен. Профиль будет активирован на устройстве, когда будут выполнены правила активации.

Правила активации профиля политики, созданные для профиля, отображаются в свойствах профиля политики в разделе Правила активации. Вы можете изменить или удалить правило активации профиля политики.

Несколько правил активации могут выполняться одновременно.