Kaspersky Security Center 14 Windows
14
Русский

Содержание

Предоставление доступа к Серверу администрирования из интернета

В ряде случаев необходимо предоставить доступ к Серверу администрирования из интернета:

  • Регулярное обновление баз, программных модулей и программ "Лаборатории Касперского".
  • Обновление программ сторонних производителей

    По умолчанию Сервер администрирования не требует подключения к интернету для установки обновлений программ Microsoft на управляемые устройства. Например, управляемые устройства могут загружать обновления программ Microsoft непосредственно с серверов обновлений Microsoft или с Windows Server со службами Microsoft Windows Server Update Services (WSUS), развернутыми в сети вашей организации. Сервер администрирования должен быть подключен к интернету в следующих случаях:

    • Когда вы используете Сервер администрирования в роли WSUS-сервера.
    • Для установки обновлений программ сторонних производителей, отличных от программ Microsoft.
  • Закрытие уязвимостей в программах сторонних производителей

    Подключение Сервера администрирования к интернету необходимо для выполнения следующих задач:

    • Составление списка рекомендуемых исправлений уязвимостей в программах Microsoft. Список формируется и регулярно обновляется специалистами "Лаборатории Касперского".
    • Закрытие уязвимостей в программах сторонних производителей, отличных от приложений Microsoft.
  • Для управления устройствами (ноутбуками) автономных пользователей.
  • Для управления устройствами, находящимися в удаленных офисах.
  • При взаимодействии с главным или подчиненными Серверами администрирования, находящимися в удаленных офисах.
  • для управления мобильными устройствами.

В этом разделе рассмотрены типичные способы обеспечения доступа к Серверу администрирования из интернета. Во всех случаях предоставления доступа к Серверу администрирования из интернета может понадобиться задать Серверу администрирования специальный сертификат.

В этом разделе

Доступ из интернета: Сервер администрирования в локальной сети

Доступ из интернета: Сервер администрирования в демилитаризованной зоне

Доступ из интернета: Агент администрирования в качестве шлюза соединения в демилитаризованной зоне

См. также:

Основной сценарий установки
В начало
[Topic 92236]

Доступ из интернета: Сервер администрирования в локальной сети

Если Сервер администрирования располагается во внутренней сети организации, вы можете сделать порт Сервера администрирования 13000 TCP доступным извне с помощью механизма "Port Forwarding". Если требуется управление мобильными устройствами, вы можете сделать TCP-порт 13292 доступным.

См. также:

Порты, используемые Kaspersky Security Center

Основной сценарий установки

Сценарий: развертывание Управления мобильными устройствами

Схемы трафика данных и использования портов
В начало
[Topic 92237]

Доступ из интернета: Сервер администрирования в демилитаризованной зоне

Если Сервер администрирования располагается в демилитаризованной зоне сети организации, у него отсутствует доступ во внутреннюю сеть организации. Как следствие, возникают следующие ограничения:

  • Сервер администрирования не может самостоятельно обнаруживать новые устройства.
  • Сервер администрирования не может выполнять первоначальное развертывание Агента администрирования посредством принудительной установки на устройства внутренней сети организации.

Речь идет только о первоначальной установке Агента администрирования. Последующие обновления версии Агента администрирования или установка программы безопасности уже могут быть выполнены Сервером администрирования. Однако первоначальное развертывание Агентов администрирования может быть выполнено иными средствами, например, при помощи групповых политик Microsoft Active Directory.

  • Сервер администрирования не может посылать управляемым устройствам уведомления на порт 15000 UDP, что не является критичным для работы Kaspersky Security Center.
  • Сервер администрирования не может опрашивать Active Directory. Однако результаты опроса Active Directory не нужны в большинстве сценариев.

Если описанные выше ограничения критичны, они могут быть сняты при помощи точек распространения, размещенных в сети организации:

  • Для выполнения первоначального развертывания на устройствах без Агента администрирования следует предварительно установить Агент администрирования на одно из устройств и назначить это устройство точкой распространения. В результате первоначальная установка Агента администрирования на прочие устройства будет выполняться Сервером администрирования через эту точку распространения.
  • Для обнаружения новых устройств во внутренней сети организации и для опроса Active Directory следует на одной из точек распространения включить желаемые виды опроса сети.

Для успешной отправки уведомлений управляемым устройствам, размещенным во внутренней сети организации, на порт 15000 UDP, следует покрыть всю сеть предприятия точками распространения. В свойствах назначенных точек распространения установите флажок Не разрывать соединение с Сервером администрирования. В результате Сервер администрирования будет иметь постоянную связь с точками распространения, а точки распространения смогут посылать уведомления на порт 15000 UDP устройствам, размещенным во внутренней сети организации (это может быть IPv4-сеть или IPv6-сеть).

См. также:

Сервер администрирования внутри демилитаризованной зоны (DMZ), управляемые устройства в интернете
В начало
[Topic 92238]

Доступ из интернета: Агент администрирования в качестве шлюза соединения в демилитаризованной зоне

Сервер администрирования может располагаться во внутренней сети организации, а в демилитаризованной зоне сети может находиться устройство с Агентом администрирования, работающим в качестве шлюза соединения с обратным направлением подключения (Сервер администрирования устанавливает соединение с Агентом администрирования). В этом случае для организации доступа из интернета нужно выполнить следующие условия:

  • На устройство, находящееся в демилитаризованной зоне, следует установить Агент администрирования. При установке Агента администрирования в окне Шлюз соединения мастера установки выберите Использовать в качестве шлюза соединения в демилитаризованной зоне.
  • Устройство с установленным шлюзом соединения необходимо добавить в качестве точки распространения. Когда вы добавляете шлюз соединения, в окне Добавление точки распространения выберите параметр ВыбратьДобавить шлюз соединений, находящийся в демилитаризованной зоне, по адресу.
  • Чтобы использовать интернет для подключения внешних настольных компьютеров к Серверу администрирования, необходимо изменить инсталляционный пакет Агента администрирования. В свойствах созданного инсталляционного пакета выберите параметр ДополнительноПодключаться к Серверу администрирования через шлюз соединения и укажите вновь созданный шлюз соединения.

Для шлюза соединений, находящегося в демилитаризованной зоне, Сервер администрирования создает сертификат, подписанный сертификатом Сервера администрирования. Если администратор принял решение задать Серверу администрирования пользовательский сертификат, то это следует сделать до создания шлюза соединений в демилитаризованной зоне.

При наличии сотрудников с ноутбуками, которые могут подключаться к Серверу администрирования как из локальной сети, так и из интернета, может быть целесообразно создать в политике Агента администрирования правило переключения Агента администрирования.

См. также:

Подключение автономных устройств
В начало
[Topic 92239]