Обнаружение сетевых устройств и создание групп администрирования

В этом разделе описаны поиск устройств и опрос сети, а также создание групп администрирования для этих устройств.

Kaspersky Security Center Cloud Console позволяет искать устройства на основании заданных критериев. Вы можете сохранить результаты поиска в текстовый файл.

Функция поиска позволяет находить следующие устройства:

• управляемые устройства в группах администрирования Сервера администрирования Kaspersky Security Center Cloud Console и его подчиненных Серверов;
• нераспределенные устройства под управлением Сервера администрирования Kaspersky Security Center Cloud Console и его подчиненных Серверов.

Сценарий: обнаружение сетевых устройств

Вам нужно выполнить поиск устройств перед первоначальным развертыванием приложений безопасности. При обнаружении сетевых устройств можно получить о них информацию и управлять ими с помощью политик. Регулярные опросы сети необходимы для проверки появления новых устройств и наличия обнаруженных ранее устройств в сети.

После завершения сценария обнаружение устройств настроено и будет выполняться в соответствии с указанным расписанием.

Предварительные требования

В Kaspersky Security Center Cloud Console обнаружение устройств выполняется точками распространения. Прежде чем начать, сделайте следующее:

• Решите, какое устройство будет выполнять роль точки распространения.
• Установите Агент администрирования на выбранное устройство.
• Вручную назначьте устройство точкой распространения.

Этапы

Сценарий состоит из следующих этапов:

1. Выбор типа обнаружения

   Определите, какой тип обнаружения устройств вы хотите регулярно использовать.

2. Настройка опросов

   В свойствах каждой точки распространения включите и настройте выбранные типы сетевого опроса: опрос сети Windows, опрос контроллеров домена или опрос IP-диапазонов. Убедитесь, что расписание опроса соответствует нуждам вашей организации.

   Если сетевые устройства включены в домен, рекомендуется использовать опрос контроллеров домена.

3. Задание правил для добавления обнаруженных устройств в группы администрирования (если требуется)

   Если в сети появились новые устройства, они будут обнаружены при опросах сети. Такие устройства автоматически попадают в группу Нераспределенные устройства. При необходимости можно настроить правила автоматического перемещения этих устройств в группу Управляемые устройства. Можно также настроить правила хранения.

   Если вы пропустили шаг, на котором задаются правила, все новые обнаруженные устройства будут помещены в группу Нераспределенные устройства. Вы можете переместить эти устройства в группу Управляемые устройства вручную. Если вы вручную переместили устройства в группу Управляемые устройства, вы можете проанализировать информацию о каждом из устройств и решить, требуется ли переместить его в группу администрирования и в какую.

Когда опрос завершен, вы можете просмотреть список новых обнаруженных устройств, распределенных в соответствии с заданными правилами. Если правила не заданы, устройства остаются в группе Нераспределенные устройства.

Опрос сети

Информацию о структуре сети и входящих в ее состав устройствах Сервер администрирования Kaspersky Security Center Cloud Console получает в ходе регулярных опросов сети Windows, IP-диапазонов и контроллеров домена Microsoft Active Directory и контроллеров домена Samba. Для контроллеров домена Samba, в качестве контроллеров домена Active Directory используется Samba 4. Опрос сети можно запустить либо вручную, либо автоматически по расписанию.

В зависимости от результатов опроса Kaspersky Security Center Cloud Console обновляет список нераспределенных устройств. Можно также настроить правила автоматического перемещения новых обнаруженных устройств в определенные группы администрирования.

Kaspersky Security Center Cloud Console использует следующие способы опроса сети:

• Опрос IP-диапазонов. Kaspersky Security Center Cloud Console опрашивает сформированные IP-диапазоны с помощью ICMP-пакетов и получает полную информацию об устройствах, входящих в IP-диапазоны.
• Опрос сети Windows. Существуют два вида опроса сети Windows: быстрый опрос и полный опрос. При быстром опросе Kaspersky Security Center Cloud Console получает только информацию о списке NetBIOS-имен устройств всех доменов и рабочих групп сети. Во время полного опроса с каждого клиентского устройства запрашивается следующая информация: имя операционной системы, IP-адрес, DNS-имя, NetBIOS-имя.
• Опрос контроллеров домена. В базу данных Kaspersky Security Center Cloud Console записывается информация о структуре групп Active Directory, а также информация о DNS-именах устройств, входящих в группы Active Directory.

Результаты опроса отображаются в разделе Обнаружение устройств и развертывание → Обнаружение устройств отдельно для опроса Windows-сети и опроса контроллеров домена.

Результаты опроса для опроса IP-диапазонов отображаются в разделе Обнаружение устройств и развертывание → Нераспределенные устройства.

Одно и то же устройство может входить в результаты нескольких способов опроса. Если устройство обнаружено в домене HQ и его IP-адрес 192.168.0.1, устройство будет отображаться в разделе Windows-домены и в разделе Нераспределенные устройства. Можно настроить параметры опроса сети для каждого способа опроса. Например, может потребоваться изменить расписание опроса или указать, нужно опрашивать весь лес Active Directory или только определенный домен.

Опрос сети Windows

Об опросе сети Windows

При быстром опросе Сервер администрирования получает только информацию о списке NetBIOS-имен устройств всех доменов и рабочих групп сети. Во время полного опроса с каждого клиентского устройства запрашивается следующая информация:

• имя операционной системы;
• IP-адрес;
• DNS-имя;
• NetBIOS-имя.

Как во время быстрого опроса, так и во время полного опроса необходимо:

• наличие открытых портов UDP 137/138, TCP 139;
• служба Microsoft Computer Browser должна использоваться, и устройство, которое выполняет роль основного браузера, должно быть доступно на точке распространения;
• служба Microsoft Computer Browser должна использоваться, и устройство, которое выполняет роль основного браузера, должно быть доступно на клиентском устройстве:
  • наличие хотя бы одного устройства, если количество сетевых устройств не превышает 32;
  • наличие как минимум одного устройства на каждые 32 сетевых устройства.

Полный опрос сети может быть запущен, только если быстрый опрос был запущен как минимум один раз.

Просмотр и изменение параметров опроса сети Windows

Чтобы изменить параметры опроса сети Windows:

1. В главном меню нажмите на значок параметров () рядом с именем требуемого Сервера администрирования.

   Откроется окно свойств Сервера администрирования.

2. На вкладке Общие выберите раздел Точки распространения.
3. Нажмите на имя точки распространения, которую вы хотите использовать для опроса сети.

   Откроется окно свойств точки распространения.

4. Выберите раздел Опрос Windows-доменов.
5. Включите или выключите опрос Windows сети, используя переключатель Разрешить опрос сети.
6. Настройте расписание быстрого опроса и полного опроса.
7. Нажмите на кнопку ОК.

Параметры сохранены и применены ко всем Windows-доменам и рабочим группам.

Опрос контроллеров домена

Kaspersky Security Center Cloud Console поддерживает опрос контроллеров домена Microsoft Active Directory и контроллеров домена Samba с только помощью точки распространения.

Kaspersky Security Center Cloud Console опрашивать контроллер домена Samba только с помощью точки распространения с операционной системой Linux. Для контроллеров домена Samba, в качестве контроллеров домена Active Directory используется Samba 4.

При опросе контроллеров домена точка распространения получает информацию о структуре домена, учетных записях пользователей, группах безопасности и о DNS-именах устройств, входящих в домен. Опрос контроллеров домена выполняется по заданному вами расписанию.

Предварительные требования

Перед опросом контроллеров домена убедитесь, что включены следующие протоколы:

• Simple Authentication and Security Layer (SASL).
• Lightweight Directory Access Protocol (LDAP).

Убедитесь, что на устройстве контроллеров домена доступны следующие порты:

• 389 для SASL.
• 636 для TLS.

Опрос контроллеров домена с помощью точки распространения

Также можно опрашивать контроллеры домена с помощью точки распространения. Управляемое устройство с операционной системой Windows или Linux может выступать в роли точки распространения.

Для точки распространения с операционной системой Linux поддерживается опрос контроллеров домена Microsoft Active Directory и контроллеров домена Samba.
Для точки распространения с операционной системой Windows поддерживается только опрос контроллеров домена Microsoft Active Directory.
Опрос с помощью точки распространения с операционной системой Mac не поддерживается.

Чтобы настроить опрос контроллеров домена с помощью точки распространения:

1. Откройте свойства точки распространения.
2. Выберите раздел Опрос контроллеров домена.
3. Выберите параметр Включить опрос контроллеров домена.
4. Выберите контроллеры домена, которые вы хотите опросить.

   Если вы используете точку распространения с операционной системой Linux, в разделе Опросить указанные домены нажмите на кнопку Добавить, а затем укажите адрес и учетные данные пользователя контроллеров домена.

   Если вы используете точку распространения с операционной системой Windows, можно выбрать один из следующих вариантов:

   • Опросить текущий домен
   • Опросить весь лес доменов
   • Опросить указанные домены
5. Нажмите на кнопку Настроить расписание опроса, чтобы указать параметры расписания опроса при необходимости.

   Опрос запускается в соответствие с расписанием. Запуск опроса вручную недоступен.

После завершения опроса в разделе Контроллеры доменов отобразится структура домена.

Если вы настроили и включили правила перемещения устройств, новые обнаруженные устройства будут автоматически перемещаться в группу Управляемые устройства. Если правила перемещения устройств не включены, новые обнаруженные устройства будут автоматически перемещаться в группу Нераспределенные устройства.

Обнаруженные учетные записи пользователей могут быть использованы для доменной аутентификации в Kaspersky Security Center Cloud Console.

Просмотр результатов опроса контроллеров домена

Чтобы просмотреть результаты опроса контроллеров домена:

1. В главном окне приложения перейдите в раздел Обнаружение устройств и развертывание → Обнаружение устройств → Контроллеры доменов.

   Отобразится список обнаруженных организационных подразделений.

2. Выберите организационное подразделение и нажмите на кнопку Устройства.

   Отобразится список устройств организационного подразделения.

Вы можете выполнить поиск устройств в списке и фильтровать результаты.

Опрос IP-диапазонов

Kaspersky Security Center Cloud Console пытается выполнить обратное преобразование имен: для каждого IP-адреса из указанного диапазона выполнить преобразование в DNS-имя с помощью стандартных DNS-запросов. Если данная операция завершается успешно, сервер отправляет запрос ICMP ECHO REQUEST (аналог команды ping) на полученное имя. Если устройство отвечает, информация об этом устройстве добавляется в базу данных Kaspersky Security Center Cloud Console. Обратное преобразование имен необходимо для исключения сетевых устройств, которые могут иметь IP-адреса, но не являются компьютерами, таких как сетевые принтеры или роутеры.

Этот способ опроса основывается на правильно настроенной локальной службе DNS. Для его использования должна быть настроена зона обратного просмотра DNS. Если эта зона не настроена, опрос IP-подсети не даст результатов. В сетях, в которых используется Active Directory, такая зона поддерживается автоматически. Но в таких сетях опрос IP-подсети не предоставляет дополнительной информации, помимо информации из опроса Active Directory. Кроме того, администраторы малых сетей часто не выполняют настройку зон обратного просмотра DNS, поскольку это не является необходимым для работы многих сетевых служб. Из-за этих причин опрос IP-подсети по умолчанию отключен.

Исходно Kaspersky Security Center Cloud Console получает IP-диапазоны для опроса из сетевых параметров устройства, выполняющего роль точки распространения, которое используется для опроса сети. Если адрес устройства 192.168.0.1, а маска подсети – 255.255.255.0, Kaspersky Security Center Cloud Console автоматически включит сеть 192.168.0.0/24 в список адресов для опроса. Kaspersky Security Center Cloud Console выполнит опрос всех адресов от 192.168.0.1 до 192.168.0.254.

Не рекомендуется использовать опрос IP-диапазонов, если вы используете опрос сети Windows и/или опрос Active Directory.

Просмотр и изменение параметров опроса IP-диапазонов

Чтобы просмотреть и изменить параметры опроса IP-диапазонов:

1. В главном меню нажмите на значок параметров () рядом с именем требуемого Сервера администрирования.

   Откроется окно свойств Сервера администрирования.

2. На вкладке Общие выберите раздел Точки распространения.
3. Нажмите на имя точки распространения, которую вы хотите использовать для опроса сети.

   Откроется окно свойств точки распространения.

4. Выберите раздел Опрос IP-диапазонов.
5. Включите или выключите опрос IP-диапазонов, используя переключатель Разрешить опрос диапазона.
6. Настройте расписание опроса. По умолчанию опрос IP-диапазонов запускается каждые 420 минут (семь часов).
7. Если необходимо, добавьте или измените IP-диапазоны для опроса.

   При указании интервала опроса убедитесь, что его значение не превышает значения параметра время действия IP-адреса. Если IP-адрес не подтвержден при опросе в течение времени действия IP-адреса, он автоматически удаляется из результатов опроса. По умолчанию срок существования запросов составляет 24 часа, поскольку динамические IP-адреса, назначенные по протоколу DHCP (Dynamic Host Configuration Protocol – протокол динамической конфигурации сетевого узла), меняются каждые 24 часа.

8. Нажмите на кнопку ОК.

Параметры будут сохранены и применены ко всем IP-диапазонам.

Настройка контроллеров домена Samba

Kaspersky Security Center Cloud Console поддерживает контроллеры домена Linux, работающие только на Samba 4.

Контроллер домена Samba поддерживает те же расширения схемы, что и контроллер домена Microsoft Active Directory. Вы можете включить полную совместимость контроллера домена Samba с контроллером домена Microsoft Active Directory, используя расширение схемы Samba 4. Это необязательное действие.

Рекомендуется включить полную совместимость контроллера домена Samba с контроллером домена Microsoft Active Directory. Это обеспечит корректное взаимодействие Kaspersky Security Center Cloud Console и контроллера домена Samba.

Чтобы включить полную совместимость контроллера домена Samba с контроллером домена Microsoft Active Directory:

1. Выполните следующую команду, чтобы использовать расширение схемы RFC2307:

   samba-tool domain provision --use-rfc2307 --interactive

2. Включите обновление схемы на контроллере домена Samba. Для этого добавьте следующую строку в файл /etc/samba/smb.conf:

   dsdb:schema update allowed = true

   Если обновление схемы завершается с ошибкой, необходимо выполнить полное восстановление контроллера домена, который выполняет роль схемы master.

Если вы хотите правильно опросить контроллер домена Samba, вам нужно указать netbios name и параметры workgroup в файле /etc/samba/smb.conf.

Добавление и изменение IP-диапазона

Развернуть все | Свернуть все

Исходно Kaspersky Security Center Cloud Console получает IP-диапазоны для опроса из сетевых параметров устройства, выполняющего роль точки распространения, которое используется для опроса сети. Если адрес устройства 192.168.0.1, а маска подсети – 255.255.255.0, Kaspersky Security Center Cloud Console автоматически включит сеть 192.168.0.0/24 в список адресов для опроса. Kaspersky Security Center Cloud Console выполнит опрос всех адресов от 192.168.0.1 до 192.168.0.254. Вы можете изменять автоматически определенные IP-диапазоны или добавлять собственные IP-диапазоны.

Чтобы добавить новый IP-диапазон:

1. В главном меню нажмите на значок параметров () рядом с именем требуемого Сервера администрирования.

   Откроется окно свойств Сервера администрирования.

2. На вкладке Общие выберите раздел Точки распространения.
3. Нажмите на имя точки распространения, которую вы хотите использовать для опроса сети.

   Откроется окно свойств точки распространения.

4. Выберите раздел Опрос IP-диапазонов.
5. Чтобы добавить IP-диапазон, нажмите на кнопку Добавить.
6. В открывшемся окне настройте следующие параметры:
   • Имя

     Имя IP-диапазона. Вы можете указать IP-диапазон по имени, например, 192.168.0.0/24.

   • IP-интервал или адрес и маска подсети

     Задайте IP-диапазон, указав либо начальный и конечный IP-адреса, либо адрес подсети и маску подсети. Вы можете добавить столько подсетей, сколько необходимо. Именованные IP-диапазоны не должны пересекаться, но на неименованные подсети внутри IP-диапазонов это ограничение не распространяется.

   • Время действия IP-адреса (ч)

     При задании этого параметра убедитесь, что он превышает значение интервала опроса, заданного в расписании опроса. Если IP-адрес не подтвержден при опросе в течение времени действия IP-адреса, он автоматически удаляется из результатов опроса. По умолчанию срок существования запросов составляет 24 часа, поскольку динамические IP-адреса, назначенные по протоколу DHCP (Dynamic Host Configuration Protocol – протокол динамической конфигурации сетевого узла), меняются каждые 24 часа.

7. Нажмите на кнопку ОК.

IP-диапазон добавлен в список IP-диапазонов.

После завершения опроса вы можете просмотреть список обнаруженных устройств, нажав на кнопку Устройства. По умолчанию срок действия результатов опроса составляет 24 часа, он равен времени действия IP-адреса.

Настройка точек распространения и шлюзов соединений

Структура групп администрирования в Kaspersky Security Center Cloud Console выполняет следующие функции:

• Задание области действия политик.

  Существует альтернативный способ применения нужных наборов параметров на устройствах с помощью профилей политик. В этом случае область действия политик задается с помощью тегов, местоположения устройств в подразделениях Active Directory, членства в группах безопасности Active Directory и прочего.

• Задание области действия групповых задач.

  Существует подход к заданию области действия групповых задач, не основанный на иерархии групп администрирования: использование задач для выборок устройств и наборов устройств.

• Задание прав доступа к устройствам и подчиненным Серверам администрирования.
• Назначение точек распространения.

При построении структуры групп администрирования следует учитывать топологию сети организации для оптимального назначения точек распространения. Оптимальное распределение точек распространения позволяет уменьшить сетевой трафик внутри сети организации.

В зависимости от организационной структуры организации и топологии сетей можно выделить следующие типовые конфигурации структуры групп администрирования:

• Один офис.
• Множество небольших изолированных офисов.

Устройства, выполняющие роль точек распространения, должны быть защищены, в том числе физически, от любого типа несанкционированного доступа.

Расчет количества и конфигурации точек распространения

Чем больше клиентских устройств содержит сеть, тем больше требуется точек распространения. Используйте таблицу ниже, чтобы рассчитать количество точек распространения, необходимое для вашей сети.

Убедитесь, что устройства, которые вы хотите использовать в качестве точек распространения, имеют достаточно свободного места на диске, их не отключают регулярно и на них выключен "спящий режим".

Число уникально назначенных точек распространения в сети, содержащей один сегмент, в зависимости от количества сетевых устройств

Число уникально назначенных точек распространения в сети, содержащей несколько сегментов, в зависимости от количества сетевых устройств

Использование клиентских устройств (рабочих станций) в качестве точек распространения

Если вы планируете использовать в качестве точек распространения обычное клиентское устройство (рабочую станцию), то рекомендуется назначать точку распространения, как показано в таблице ниже, чтобы избежать чрезмерной нагрузки на каналы связи и Сервер администрирования:

Число рабочих станций, выполняющих роль точек распространения в сети, которая содержит один сегмент сети, в зависимости от количества сетевых устройств

Число рабочих станций, выполняющих роль точек распространения в сети, которая содержит несколько сегментов сети, в зависимости от количества сетевых устройств

Если точка распространения недоступна, рассмотрите возможность обновления баз, модулей приложений и приложений "Лаборатории Касперского" вручную или напрямую с серверов обновлений "Лаборатории Касперского".

Типовая конфигурация точек распространения: один офис

В типовой конфигурации "один офис" все устройства находятся в сети организации и "видят" друг друга. Сеть организации может состоять из нескольких выделенных частей (сетей или сегментов сети), связанных узкими каналами.

Возможны следующие способы построения структуры групп администрирования:

• Построение структуры групп администрирования с учетом топологии сети. Структура групп администрирования не обязательно должна точно отражать топологию сети. Достаточно того, чтобы выделенным частям сети соответствовали какие-либо группы администрирования.
• Построение структуры групп администрирования, не отражающей топологию сети. В этом случае следует в каждой выделенной части сети назначить одно или несколько устройств точками распространения на корневую группу администрирования, например, на группу Управляемые устройства. Все точки распространения окажутся на одном уровне и будут иметь одинаковую область действия "все устройства сети организации". Каждый Агент администрирования будет подключаться к той точке распространения, маршрут к которой является самым коротким. Маршрут к точке распространения можно определить с помощью утилиты tracert.

Типовая конфигурация точек распространения: множество небольших удаленных офисов

Этой типовой конфигурации соответствует множество небольших удаленных офисов, возможно, связанных с главным офисом через интернет. Каждый из удаленных офисов находится за NAT, то есть подключение из одного удаленного офиса в другой невозможно – офисы изолированы друг от друга.

Конфигурацию следует обязательно отразить в структуре групп администрирования: для каждого из удаленных офисов следует создать отдельную группу администрирования (группы Офис 1, Офис 2 на рисунке ниже).

Удаленные офисы отражены в структуре групп администрирования

На каждую группу администрирования, соответствующую офису, нужно назначить одну или несколько точек распространения. Точками распространения нужно назначать устройства удаленного офиса, имеющие достаточно места на диске. Устройства, размещенные, например, в группе Офис 1, будут обращаться к точкам распространения, назначенным на группу администрирования Офис 1.

Если некоторые пользователи физически перемещаются между офисами с ноутбуками, нужно в каждом удаленном офисе дополнительно к упомянутым выше точкам распространения выбрать два и или более устройств и назначить их точками распространения на группу администрирования верхнего уровня (группа Корневая группа для офисов на рисунке выше).

Ноутбук, находившийся в группе администрирования Офис 1, но физически перемещенный в офис, соответствующий группе Офис 2. После перемещения Агент администрирования на ноутбуке попытается обратиться к точкам распространения, назначенным на группу Офис 1, но эти точки распространения окажутся недоступны. Тогда Агент администрирования начнет обращаться к точкам распространения, назначенным на группу Корневая группа для офисов. Так как удаленные офисы изолированы друг от друга, то из всех точек распространения, назначенных на группу администрирования Корневая группа для офисов, успешными будут лишь обращения к точкам распространения, назначенным на группу Офис 2. То есть ноутбук, оставаясь в группе администрирования, соответствующей своему исходному офису, будет, тем не менее, использовать точку распространения того офиса, в котором в данный момент находится физически.

Назначение точек распространения вручную

Развернуть все | Свернуть все

Kaspersky Security Center Cloud Console позволяет вручную назначать устройства точками распространения. Рекомендуется рассчитать количество точек распространения и их конфигурацию, необходимые для вашей сети.

Точки распространения под управлением macOS не могут загружать обновления с серверов обновлений "Лаборатории Касперского".

Если устройства с операционной системой macOS находятся в области действия задачи Загрузка обновлений в хранилища точек распространения, задача завершится со статусом Сбой, даже если она успешно завершилась на всех устройствах с операционной системой Windows.

Устройства, выполняющие роль точек распространения, должны быть защищены, в том числе физически, от любого типа несанкционированного доступа.

Чтобы вручную назначить устройство точкой распространения:

1. В главном меню нажмите на значок параметров () рядом с именем требуемого Сервера администрирования.

   Откроется окно свойств Сервера администрирования.

2. На вкладке Общие выберите раздел Точки распространения.
3. Нажмите на кнопку Назначить.
4. Выберите устройство, которое вы хотите сделать точкой распространения.

   При выборе устройства учитывайте особенности работы точек распространения и требования к устройству, которое выполняет роль точки распространения.

5. Выберите группу администрирования, которую вы хотите включить в область действия выбранной точки распространения.
6. Нажмите на кнопку Добавить.

   Добавленная точка распространения появится в списке точек распространения в разделе Точки распространения.

7. Выберите в списке добавленную точку распространения, чтобы открыть окно ее свойств.
8. В окне свойств настройте параметры точки распространения:
   • В разделе Общие укажите параметры взаимодействия точки распространения с клиентскими устройствами:
     • SSL-порт

       Номер SSL-порта, по которому осуществляется защищенное подключение клиентских устройств к точке распространения с использованием протокола SSL.

       По умолчанию номер порта – 13000.

     • Использовать многоадресную IP-рассылку

       Если параметр включен, для автоматического распространения инсталляционных пакетов на клиентские устройства в пределах группы будет использоваться многоадресная IP-рассылка.

       Многоадресная IP-рассылка уменьшает время, необходимое для установки приложений из инсталляционного пакета на группу клиентских устройств, но увеличивает время установки при установке приложения на одно клиентское устройство.

     • Адрес IP-рассылки

       IP-адрес, на который будет выполняться многоадресная рассылка. IP-адрес можно задать в диапазоне 224.0.0.0 – 239.255.255.255

       По умолчанию Kaspersky Security Center Cloud Console автоматически назначает уникальный IP-адрес многоадресной рассылки в заданном диапазоне.

     • Номер порта IP-рассылки

       Номер порта многоадресной рассылки.

       Номер порта по умолчанию – 15001. Если в качестве точки распространения указано устройство, на котором установлен Сервер администрирования, то для подключения с использованием SSL-протокола по умолчанию используется порт 13001.

     • Распространять обновления

       Обновления распространяются на управляемые устройства из следующих источников:

       • Эта точка распространения, если этот параметр включен.
       • Другие точки распространения, Сервер администрирования или серверы обновлений "Лаборатории Касперского", если параметр выключен.

       Если вы используете точки распространения для распространения обновлений, вы можете сэкономить трафик, так как уменьшите количество загрузок. Также вы можете снизить нагрузку на Сервер администрирования и перераспределить нагрузку между точками распространения. Вы можете вычислить количество точек распространения в вашей сети для оптимизации трафика и нагрузки.

       Если вы выключите этот параметр, количество загрузок обновлений и нагрузка на Сервер администрирования могут увеличиться. По умолчанию параметр включен.

     • Распространять инсталляционные пакеты

       Инсталляционные пакеты распространяются на управляемые устройства из следующих источников:

       • Эта точка распространения, если этот параметр включен.
       • Другие точки распространения, Сервер администрирования или серверы обновлений "Лаборатории Касперского", если параметр выключен.

       Если вы используете точки распространения для распространения инсталляционных пакетов, вы можете сэкономить трафик, так как уменьшите количество загрузок. Также вы можете снизить нагрузку на Сервер администрирования и перераспределить нагрузку между точками распространения. Вы можете вычислить количество точек распространения в вашей сети для оптимизации трафика и нагрузки.

       Если вы выключите этот параметр, количество загрузок инсталляционных пакетов и нагрузка на Сервер администрирования могут увеличиться. По умолчанию параметр включен.

     • Запустить push-сервер

       В Kaspersky Security Center Cloud Console точка распространения может работать как push-сервер для устройств на базе Windows и Linux, управляемых Агентом администрирования. Push-сервер имеет ту же область управляемых устройств, что и точка распространения, на которой включен push-сервер. Если у вас есть несколько точек распространения, назначенных для одной и той же группы администрирования, вы можете включить push-сервер на каждой из них. В этом случае Сервер администрирования распределяет нагрузку между точками распространения.

     • Порт push-сервера

       Номер порта push-сервера. Вы можете указать номер любого свободного порта.

   • В разделе Область действия укажите область, на которую точка распространения распространяет обновления (группы администрирования и/или сетевое местоположение).

     Только устройства под управлением операционной системы Windows могут определять свое сетевое местоположение. Определение сетевого местоположения недоступно для устройств под управлением других операционных систем.

   • В разделе Прокси-сервер KSN вы можете настроить приложение так, чтобы точка распространения использовалась для пересылки KSN запросов от управляемых устройств.

     Включить прокси-сервер KSN на стороне точки распространения

     Служба прокси-сервера KSN выполняется на устройстве, которое выполняет роль точки распространения. Используйте этот параметр для перераспределения и оптимизации трафика сети.

     Такая возможность не поддерживается для точек распространения под управлением Linux или macOS.

     Точка распространения отправляет статистику KSN, указанную в Положении о Kaspersky Security Network, в "Лабораторию Касперского". По умолчанию Положение о KSN расположено в папке %ProgramFiles%\Kaspersky Lab\Kaspersky Security Center\ksneula.

     По умолчанию параметр выключен. Включение этого параметра вступает в силу только в том случае, если параметр Я принимаю условия использования Kaspersky Security Network включен в окне свойств Сервера администрирования.

     Можно назначить узлу отказоустойчивого кластера с холодным резервом (активный/пассивный) точку распространения и включить прокси-сервер KSN на этом узле.

   • Настройте опрос доменов Windows, контроллеров домена и IP-диапазонов точкой распространения:
     • Опрос Windows-доменов

       Вы можете включить обнаружение устройств для Windows-доменов и задать его расписание.

     • Опрос контроллеров домена

       Вы можете включить опрос Active Directory и задать расписание опроса.

       Если вы используете точку распространения с операционной системой Windows, можно выбрать один из следующих вариантов:

       • Опросить текущий домен Active Directory.
       • Опросить лес доменов Active Directory.
       • Опросить указанные домены Active Directory. Если вы выбрали этот вариант, добавьте один или несколько доменов Active Directory в список.

       Если вы используете точку распространения с операционной системой Linux с установленным Агентом администрирования версии 15, вы можете опрашивать только те домены Active Directory, для которых вы указываете адрес и учетные данные пользователя. Опрос текущего домена Active Directory и леса доменов Active Directory недоступен.

       Вы можете включить обнаружение устройств для контроллеров домена.

       Если вы выбрали параметр Включить опрос контроллеров домена, вы можете выбрать контроллеры домена для опроса и задать расписание.

       Если вы используете точку распространения с операционной системой Linux, в разделе Опросить указанные домены нажмите на кнопку Добавить, а затем укажите адрес и учетные данные пользователя контроллера домена.

       Если вы используете точку распространения с операционной системой Windows, можно выбрать один из следующих вариантов:

       • Опросить текущий домен
       • Опросить весь лес доменов
       • Опросить указанные домены
     • Опрос IP-диапазонов

       Вы можете включить обнаружение устройств для IPv4-диапазонов и IPv6-сетей.

       Если вы включили параметр Разрешить опрос диапазона, вы можете добавить диапазон опроса и задать расписание опроса. Вы можете добавить IP-диапазоны в список опрашиваемых диапазонов.

       Если включить параметр Использовать Zeroconf для опроса IPv6-сетей, точка распространения выполняет опрос IPv6-сети, используя сеть с нулевой конфигурацией (далее также Zeroconf). В этом случае указанные IP-диапазоны игнорируются, так как точка распространения опрашивает всю сеть. Параметр Использовать Zeroconf для опроса IPv6-сетей доступен, если точка распространения работает под управлением Linux. Чтобы использовать опрос Zeroconf IPv6, вам нужно установить утилиту avahi-browse на точке распространения.

   • В разделе Дополнительно укажите папку, которую точка распространения должна использовать для хранения распространяемых данных:
     • Использовать папку по умолчанию

       При выборе этого варианта для сохранения данных будет использоваться папка, в которую на точке распространения установлен Агент администрирования.

     • Использовать указанную папку

       При выборе этого варианта в расположенном ниже поле можно указать путь к папке. Папка может размещаться как локально на точке распространения, так и удаленно, на любом из устройств, входящих в состав сети организации.

       Учетная запись, под которой на точке распространения запускается Агент администрирования, должна иметь доступ к указанной папке для чтения и записи.

9. Нажмите на кнопку ОК.

В результате выбранные устройства будут выполнять роль точек распространения.

Изменение списка точек распространения для группы администрирования

Вы можете просмотреть список точек распространения, назначенных для определенной группы администрирования, и изменить список, добавив или удалив точки распространения.

Чтобы просмотреть и изменить список точек распространения для группы администрирования:

1. В главном окне приложения перейдите в раздел Активы (Устройства) → Группы.
2. В списке групп администрирования выберите группу администрирования, для которой вы хотите просмотреть назначенные точки распространения.
3. Откройте вкладку Точки распространения.
4. Добавьте новые точки распространения для группы администрирования с помощью кнопки Назначить или удалите назначенные точки распространения с помощью кнопки Отменить назначение.

В зависимости от изменений, точки распространения добавляются в список или существующие точки распространения удаляются из списка.

Использование точки распространения в качестве извещающего сервера

В Kaspersky Security Center Cloud Console точка распространения может работать как push-сервер для устройств на базе Windows и Linux, управляемых Агентом администрирования. Push-сервер имеет ту же область управляемых устройств, что и точка распространения, на которой включен push-сервер. Если у вас есть несколько точек распространения, назначенных для одной и той же группы администрирования, вы можете включить push-сервер на каждой из них. В этом случае Сервер администрирования распределяет нагрузку между точками распространения.

Вы можете использовать точки распространения в качестве push-серверов, чтобы установить постоянное соединение между управляемым устройством и Сервером администрирования. Постоянное соединение необходимо для некоторых операций, таких как запуск и остановка локальных задач, получение статистики для управляемого приложения или создание туннеля. Если вы используете точку распространения в качестве push-сервера, вам не нужно отправлять пакеты на UDP-порт Агента администрирования.

Чтобы использовать точку распространения в качестве push-сервера:

1. В главном меню нажмите на значок параметров () рядом с именем требуемого Сервера администрирования.

   Откроется окно свойств Сервера администрирования.

2. На вкладке Общие выберите раздел Точки распространения.
3. Выберите точку распространения, которую вы хотите использовать в качестве push-сервера.
4. В списке свойств выбранной точки распространения перейдите в раздел Общие и включите параметр Запустить push-сервер.

   Поле ввода Порт push-сервера станет доступным.

5. В поле ввода Порт push-сервера укажите порт точки распространения, который клиентские устройства будут использовать для подключения. По умолчанию номер порта – 13295.

   Чтобы установить соединение между точкой распространения, которая используется в качестве push-сервера, и управляемым устройством, необходимо вручную добавить указанный порт push-сервера в список исключений брандмауэра Microsoft Windows.

6. Нажмите ОК, чтобы закрыть окно свойств точки распространения, а затем нажмите Сохранить, чтобы применить изменения.

   После включения параметра Запустить push-сервер параметр Не разрывать соединение с Сервером администрирования автоматически включится на точке распространения, которая используется в качестве push-сервера. Этот параметр позволяет установить предварительное соединение между Агентом администрирования и Сервером администрирования.

7. Откройте окно Параметры политики Агента администрирования.
8. Перейдите в раздел Подключения → Сеть и включите параметр Использовать точку распространения для принудительного подключения к Серверу администрирования. Установите замок для этого параметра.
9. В подразделе Сеть вы также можете отключить параметр Использовать UDP-порт. После настройки push-сервер перестанет отправлять пакеты через UDP-порт и будет поддерживать непрерывное соединение между управляемым устройством и Сервером администрирования.
10. Нажмите на кнопку ОК, чтобы закрыть окно.

Точка распространения начинает выполнять роль push-сервера. Теперь он может отправлять push-уведомления на клиентские устройства.

Использование параметра "Не разрывать соединение с Сервером администрирования" для обеспечения постоянной связи между управляемым устройством и Сервером администрирования

Если вы не используете push-серверы, Kaspersky Security Center Cloud Console не обеспечивает постоянного соединения между управляемыми устройствами и Сервером администрирования. Агенты администрирования на управляемых устройствах периодически устанавливают соединение и синхронизируются с Сервером администрирования. Продолжительность периода такой синхронизации задается в политике Агента администрирования. Если требуется предварительная синхронизация, Сервер администрирования (или точка распространения, если она используется) отправляет подписанный сетевой пакет по IPv4-сети или IPv6-сети на UDP-порт Агента администрирования. Номер порта по умолчанию – 15000. Если подключение по UDP от Сервера администрирования к управляемому устройству невозможно, то синхронизация произойдет при очередном периодическом подключении Агента администрирования к Серверу в течение периода синхронизации.

Некоторые операции невозможно выполнить без предварительного соединения Агента администрирования с Сервером администрирования, например, запуск и остановка локальных задач, получение статистики по управляемому приложению или создание туннеля. Чтобы решить эту проблему, если вы не используете push-серверы, вы можете использовать параметр Не разрывать соединение с Сервером администрирования, который обеспечивает постоянное соединение между управляемым устройством и Сервером администрирования.

Чтобы проверить постоянное соединение управляемого устройства с Сервером администрирования:

1. Выполните одно из следующих действий:
   • Если управляемое устройство обращается к Серверу администрирования напрямую (то есть не через точку распространения):
     1. В главном окне приложения перейдите в раздел Устройства → Управляемые устройства.
     2. Выберите имя устройства, с которым вы хотите установить постоянное соединение.

        Откроется окно свойств управляемого устройства.

   • Если управляемое устройство обращается к Серверу администрирования через точку распространения, работающую в режиме шлюза, а не напрямую:
     1. В главном меню нажмите на значок параметров () рядом с именем требуемого Сервера администрирования.

        Откроется окно свойств Сервера администрирования.

     2. На вкладке Общие выберите раздел Точки распространения.
     3. Выберите имя нужной точки распространения из списка точек распространения.

        Откроется окно свойств выбранной точки распространения.

2. В разделе Общие открывшегося окна свойств выберите параметр Не разрывать соединение с Сервером администрирования.

Постоянное соединение установлено между управляемым устройством и Сервером администрирования.

Общее количество устройств, для которых выбран параметр Не разрывать соединение с Сервером администрирования, не должно превышать 300.

Создание групп администрирования

Исходно иерархия групп администрирования содержит только группу администрирования Управляемые устройства. При создании иерархии групп администрирования в состав группы Управляемые устройства можно включать устройства и виртуальные машины и добавлять вложенные группы. Для каждой группы администрирования окно свойств содержит информацию о политиках, задачах и устройствах, относящихся к группе.

Чтобы создать группу администрирования:

1. В главном окне приложения перейдите в раздел Активы (Устройства) → Иерархия групп.
2. Установите флажок напротив группы администрирования, для которой вы хотите создать подгруппу.
3. Нажмите на кнопку Добавить.
4. Введите имя новой группы администрирования.
5. Нажмите на кнопку Добавить.

Новая группа администрирования, с указанным именем, появится в иерархии групп администрирования.

Приложение позволяет создавать структуру групп администрирования на основе структуры Active Directory или структуры доменной сети. Также вы можете создавать структуру групп из текстового файла.

Чтобы создать структуру групп администрирования:

1. В главном окне приложения перейдите в раздел Активы (Устройства) → Иерархия групп.
2. Нажмите на кнопку Импортировать.

В результате запускается мастер создания структуры групп администрирования. Следуйте далее указаниям мастера.

Создание правил перемещения устройств

Развернуть все | Свернуть все

Можно настроить правила перемещения устройств, в соответствии с которыми устройства будут распределены по группам администрирования.

Чтобы создать правило перемещения устройств:

1. В главном окне приложения перейдите в раздел Активы (Устройства) → Правила перемещения.
2. Нажмите на кнопку Добавить.
3. В открывшемся окне укажите следующие данные на вкладке Общие:
   • Имя правила

     Укажите имя нового правила активации.

     Если вы копируете правило, новое правило получает такое же имя, как и исходное правило, но к нему добавляется индекс в скобках, например: (1).

   • Группа администрирования

     Выберите группу администрирования, в которую будут автоматически перемещаться устройства.

   • Активное правило

     Если этот параметр включен, правило включено и начинает применяться сразу после сохранения.

     Если этот параметр выключен, правило создается, но оно не включено. Правило не будет работать до тех пор, пока вы не включите этот параметр.

   • Перемещать только устройства, которые не входят ни в одну группу администрирования

     Если этот параметр включен, только нераспределенные устройства будут перемещены в выбранную группу.

     Если этот параметр выключен, устройства, которые уже принадлежат другим группам администрирования, а также нераспределенные устройства, будут перемещены в выбранную группу.

   • Применить правило

     Вы можете выбрать один из следующих вариантов:

     • Выполнять один раз для каждого устройства

       Правило применяется однократно для каждого устройства, соответствующего указанным критериям.

     • Выполнять один раз для каждого устройства и при каждой установке Агента администрирования

       Правило применяется однократно для каждого устройства, соответствующего указанным критериям, а затем только при переустановке Агента администрирования на этих устройствах.

     • Применять правило постоянно

       Правило применяется в соответствии с расписанием, автоматически задаваемым на Сервере администрирования (обычно каждые несколько часов).

4. На вкладке Условия правила укажите хотя бы один критерий, по которому устройства будут перемещены в группу администрирования.
5. Нажмите на кнопку Сохранить.

Правило перемещения создано. Оно появится в списке правил перемещения.

Чем выше положение правила в списке, тем выше его приоритет. Чтобы повысить или понизить приоритет правила перемещения, с помощью мыши переместите правило вверх или вниз по списку соответственно.

Если выбран параметр Применять правило постоянно, правило перемещения применяется независимо от приоритета. Такие правила применяются по расписанию, которое Сервер администрирования устанавливает автоматически.

Если атрибуты устройства удовлетворяют сразу нескольким правилам, то устройство будет перемещено в целевую группу того правила, которое имеет больший приоритет (стоит в списке правил выше).

Копирование правил перемещения устройств

Развернуть все | Свернуть все

Можно копировать правила перемещения устройств, например, если требуется несколько одинаковых правил для разных целевых групп администрирования.

Чтобы скопировать правило перемещения устройств:

1. Выполните одно из следующих действий:
   • В главном окне приложения перейдите в раздел Активы (Устройства) → Правила перемещения.
   • В главном окне приложения перейдите в раздел Обнаружение устройств и развертывание → Развертывание и назначение → Правила перемещения.

   Отобразится список правил перемещения устройств.

2. Установите флажок напротив правила, которое требуется скопировать.
3. Нажмите на кнопку Копировать.
4. В открывшемся окне при необходимости измените данные на вкладке Общие либо оставьте существующие значения, если требуется только скопировать правило, без изменения параметров:
   • Имя правила

     Укажите имя нового правила активации.

     Если вы копируете правило, новое правило получает такое же имя, как и исходное правило, но к нему добавляется индекс в скобках, например: (1).

   • Группа администрирования

     Выберите группу администрирования, в которую будут автоматически перемещаться устройства.

   • Активное правило

     Если этот параметр включен, правило включено и начинает применяться сразу после сохранения.

     Если этот параметр выключен, правило создается, но оно не включено. Правило не будет работать до тех пор, пока вы не включите этот параметр.

   • Перемещать только устройства, которые не входят ни в одну группу администрирования

     Если этот параметр включен, только нераспределенные устройства будут перемещены в выбранную группу.

     Если этот параметр выключен, устройства, которые уже принадлежат другим группам администрирования, а также нераспределенные устройства, будут перемещены в выбранную группу.

   • Применить правило

     Вы можете выбрать один из следующих вариантов:

     • Выполнять один раз для каждого устройства

       Правило применяется однократно для каждого устройства, соответствующего указанным критериям.

     • Выполнять один раз для каждого устройства и при каждой установке Агента администрирования

       Правило применяется однократно для каждого устройства, соответствующего указанным критериям, а затем только при переустановке Агента администрирования на этих устройствах.

     • Применять правило постоянно

       Правило применяется в соответствии с расписанием, автоматически задаваемым на Сервере администрирования (обычно каждые несколько часов).

5. На вкладке Условия правила укажите критерии для устройств, которые требуется переместить автоматически.
6. Нажмите на кнопку Сохранить.

Будет создано новое правило перемещения. Оно появится в списке правил перемещения.

Добавление устройств в состав группы администрирования вручную

Вы можете перемещать устройства в группы администрирования автоматически, создавая правила перемещения устройств, или вручную, перемещая устройства из одной группы администрирования в другую, или добавляя устройства в выбранную группу администрирования. В этом разделе описано, как вручную добавить устройства в группу администрирования.

Чтобы вручную добавить одно или несколько устройств в состав выбранной группы администрирования:

1. В главном окне приложения перейдите в раздел Активы (Устройства) → Управляемые устройства.
2. Перейдите по ссылке Текущий путь: <текущий_путь> над списком.
3. В открывшемся окне выберите группу администрирования, в которую требуется добавить устройства.
4. Нажмите на кнопку Добавить устройства.

   В результате запустится мастер перемещения устройств.

5. Составьте список устройств, которые вы хотите добавить в группу администрирования.

   В список устройств могут быть добавлены только те устройства, информация о которых уже была добавлена в базу данных Сервера администрирования при подключении устройства или в результате обнаружения устройств.

   Выберите, как вы хотите добавить устройства в список:

   • Нажмите на кнопку Добавить устройства и укажите устройства одним из следующих способов:
     • Выберите устройства из списка устройств, обнаруженных Сервером администрирования.
     • Укажите IP-адреса устройств или IP-диапазон.
     • Укажите NetBIOS-имя устройства или DNS-имя.

       Поле с именем устройства не должно содержать пробелы, отступы, а также следующие запрещенные символы: , \ / * ' " ; : & ` ~ ! @ # $ ^ ( ) = + [ ] { } | < > %

   • Нажмите на кнопку Импортировать устройства из файла, чтобы импортировать список устройств из файла формата TXT. Каждый адрес устройства (или имя устройства) должен располагаться в отдельной строке.

     Файл не должен содержать пробелы, отступы, а также следующие запрещенные символы: , \ / * ' " ; : & ` ~ ! @ # $ ^ ( ) = + [ ] { } | < > %

6. Просмотрите список устройств, которые будут добавлены в группу администрирования. Вы можете редактировать список, добавляя или удаляя устройства.
7. После того как вы убедитесь, что в списке нет ошибок, нажмите на кнопку Далее.

Мастер обрабатывает список устройств и отображает результат. После завершения работы мастера выбранные устройства включаются в состав группы администрирования и отображаются в списке устройств под именами, установленными для них Сервером администрирования.

Перемещение устройств или кластеров в состав группы администрирования вручную

Устройства можно перемещать из одной группы администрирования в другую или из группы нераспределенных устройств в группу администрирования.

Также можно перемещать кластеры или массивы серверов из одной группы администрирования в другую. При перемещении кластера или массива серверов в другую группу, все его узлы перемещаются вместе с ним, так как кластер и любой из его узлов всегда принадлежат к одной группе администрирования. При выборе одного узла кластера на вкладке Устройства, кнопка Переместить в группу становится недоступной.

Чтобы переместить одно или несколько устройств или кластеров в состав выбранной группы администрирования:

1. Откройте группу администрирования, в которую вы хотите переместить устройства. Для этого выполните одно из следующих действий:
   • Чтобы открыть группу администрирования, в главном меню перейдите в раздел Активы (Устройства) → Группы → <имя группы> → Управляемые устройства.
   • Чтобы открыть группу Нераспределенные устройства, в главном меню перейдите в раздел Обнаружение устройств и развертывание → Нераспределенные устройства.
2. Если группа администрирования содержит кластеры или массивы серверов, раздел Управляемые устройства разделен на две вкладки – Устройства и Кластеры и массивы серверов. Откройте вкладку объекта, который хотите переместить.
3. Установите флажки рядом с устройствами или кластерами, которые требуется переместить в другую группу.
4. Нажмите на кнопку Переместить в группу.
5. В иерархии групп администрирования установите флажок рядом с группой администрирования, в которую вы хотите переместить выбранные устройства или кластеры.
6. Нажмите на кнопку Переместить.

Выбранные устройства или кластеры перемещаются в выбранную группу администрирования.

Настройка правил хранения для нераспределенных устройств

Развернуть все | Свернуть все

После того как опрос сети Windows завершен, обнаруженные устройства помещаются в подгруппы группы администрирования Нераспределенные устройства. Эта группа администрирования находится по следующему пути: Обнаружение устройств и развертывание → Обнаружение устройств → Windows-домены. Папка Windows-домены является родительской группой. Папка содержит дочерние группы, имена которых соответствуют доменам и рабочим группам, обнаруженным во время опроса. Родительская группа может также содержать группы администрирования мобильных устройств. Вы можете настроить правила хранения нераспределенных устройств для родительской группы администрирования и для каждой дочерней группы. Правила хранения не зависят от параметров обнаружения устройств и работают, даже если обнаружение устройств выключено.

Правила хранения устройств не влияют на устройства, на которых один или несколько дисков зашифрованы с помощью полнодискового шифрования. Такие устройства не удаляются автоматически – вы можете удалить их только вручную. Если вам нужно удалить устройство с зашифрованным жестким диском, сначала расшифруйте диск, а затем удалите устройство.

Чтобы настроить правила хранения нераспределенных устройств:

1. В главном окне приложения перейдите в раздел Обнаружение устройств и развертывание → Обнаружение устройств → Windows-домены.
2. Выполните одно из следующих действий:
   • Чтобы настроить параметры родительской группы, нажмите на кнопку Свойства.

     Откроется окно свойств Windows-домена.

   • Чтобы настроить параметры дочерней группы, нажмите на ее имя.

     Откроется окно свойств дочерней группы.

3. Настройте следующие параметры:
   • Удалять устройство из группы, если оно неактивно больше (сут)

     Если этот параметр включен, вы можете указать временной интервал, после которого устройство автоматически удаляется из группы администрирования. По умолчанию этот параметр распространяется на дочерние группы. Временной интервал, установленный по умолчанию, составляет 7 дней.

     По умолчанию параметр включен.

   • Наследовать из родительской группы

     Если этот параметр включен, период хранения для устройств в текущей группе наследуется от родительской группы и не может быть изменен.

     Этот параметр доступен только для дочерних групп.

     По умолчанию параметр включен.

   • Обеспечить принудительное наследование для дочерних групп

     Значения параметров будут распределены по дочерним группам, но в свойствах дочерних групп эти параметры недоступны для изменений.

     По умолчанию параметр выключен.

4. Нажмите на кнопку Принять.

Ваши изменения сохранены и применены.