Настройка точек распространения и шлюзов соединений

Структура групп администрирования в Kaspersky Security Center Cloud Console выполняет следующие функции:

• Задание области действия политик.

  Существует альтернативный способ применения нужных наборов параметров на устройствах с помощью профилей политик. В этом случае область действия политик задается с помощью тегов, местоположения устройств в подразделениях Active Directory, членства в группах безопасности Active Directory и прочего.

• Задание области действия групповых задач.

  Существует подход к заданию области действия групповых задач, не основанный на иерархии групп администрирования: использование задач для выборок устройств и наборов устройств.

• Задание прав доступа к устройствам и подчиненным Серверам администрирования.
• Назначение точек распространения.

При построении структуры групп администрирования следует учитывать топологию сети организации для оптимального назначения точек распространения. Оптимальное распределение точек распространения позволяет уменьшить сетевой трафик внутри сети организации.

В зависимости от организационной структуры организации и топологии сетей можно выделить следующие типовые конфигурации структуры групп администрирования:

• Один офис.
• Множество небольших изолированных офисов.

Устройства, выполняющие роль точек распространения, должны быть защищены, в том числе физически, от любого типа несанкционированного доступа.

Расчет количества и конфигурации точек распространения

Чем больше клиентских устройств содержит сеть, тем больше требуется точек распространения. Используйте таблицу ниже, чтобы рассчитать количество точек распространения, необходимое для вашей сети.

Убедитесь, что устройства, которые вы хотите использовать в качестве точек распространения, имеют достаточно свободного места на диске, их не отключают регулярно и на них выключен "спящий режим".

Число уникально назначенных точек распространения в сети, содержащей один сегмент, в зависимости от количества сетевых устройств

Число уникально назначенных точек распространения в сети, содержащей несколько сегментов, в зависимости от количества сетевых устройств

Использование клиентских устройств (рабочих станций) в качестве точек распространения

Если вы планируете использовать в качестве точек распространения обычное клиентское устройство (рабочую станцию), то рекомендуется назначать точку распространения, как показано в таблице ниже, чтобы избежать чрезмерной нагрузки на каналы связи и Сервер администрирования:

Число рабочих станций, выполняющих роль точек распространения в сети, которая содержит один сегмент сети, в зависимости от количества сетевых устройств

Число рабочих станций, выполняющих роль точек распространения в сети, которая содержит несколько сегментов сети, в зависимости от количества сетевых устройств

Если точка распространения недоступна, рассмотрите возможность обновления баз, модулей приложений и приложений "Лаборатории Касперского" вручную или напрямую с серверов обновлений "Лаборатории Касперского".

Типовая конфигурация точек распространения: один офис

В типовой конфигурации "один офис" все устройства находятся в сети организации и "видят" друг друга. Сеть организации может состоять из нескольких выделенных частей (сетей или сегментов сети), связанных узкими каналами.

Возможны следующие способы построения структуры групп администрирования:

• Построение структуры групп администрирования с учетом топологии сети. Структура групп администрирования не обязательно должна точно отражать топологию сети. Достаточно того, чтобы выделенным частям сети соответствовали какие-либо группы администрирования.
• Построение структуры групп администрирования, не отражающей топологию сети. В этом случае следует в каждой выделенной части сети назначить одно или несколько устройств точками распространения на корневую группу администрирования, например, на группу Управляемые устройства. Все точки распространения окажутся на одном уровне и будут иметь одинаковую область действия "все устройства сети организации". Каждый Агент администрирования будет подключаться к той точке распространения, маршрут к которой является самым коротким. Маршрут к точке распространения можно определить с помощью утилиты tracert.

Типовая конфигурация точек распространения: множество небольших удаленных офисов

Этой типовой конфигурации соответствует множество небольших удаленных офисов, возможно, связанных с главным офисом через интернет. Каждый из удаленных офисов находится за NAT, то есть подключение из одного удаленного офиса в другой невозможно – офисы изолированы друг от друга.

Конфигурацию следует обязательно отразить в структуре групп администрирования: для каждого из удаленных офисов следует создать отдельную группу администрирования (группы Офис 1, Офис 2 на рисунке ниже).

Удаленные офисы отражены в структуре групп администрирования

На каждую группу администрирования, соответствующую офису, нужно назначить одну или несколько точек распространения. Точками распространения нужно назначать устройства удаленного офиса, имеющие достаточно места на диске. Устройства, размещенные, например, в группе Офис 1, будут обращаться к точкам распространения, назначенным на группу администрирования Офис 1.

Если некоторые пользователи физически перемещаются между офисами с ноутбуками, нужно в каждом удаленном офисе дополнительно к упомянутым выше точкам распространения выбрать два и или более устройств и назначить их точками распространения на группу администрирования верхнего уровня (группа Корневая группа для офисов на рисунке выше).

Ноутбук, находившийся в группе администрирования Офис 1, но физически перемещенный в офис, соответствующий группе Офис 2. После перемещения Агент администрирования на ноутбуке попытается обратиться к точкам распространения, назначенным на группу Офис 1, но эти точки распространения окажутся недоступны. Тогда Агент администрирования начнет обращаться к точкам распространения, назначенным на группу Корневая группа для офисов. Так как удаленные офисы изолированы друг от друга, то из всех точек распространения, назначенных на группу администрирования Корневая группа для офисов, успешными будут лишь обращения к точкам распространения, назначенным на группу Офис 2. То есть ноутбук, оставаясь в группе администрирования, соответствующей своему исходному офису, будет, тем не менее, использовать точку распространения того офиса, в котором в данный момент находится физически.

Назначение точек распространения вручную

Развернуть все | Свернуть все

Kaspersky Security Center Cloud Console позволяет вручную назначать устройства точками распространения. Рекомендуется рассчитать количество точек распространения и их конфигурацию, необходимые для вашей сети.

Точки распространения под управлением macOS не могут загружать обновления с серверов обновлений "Лаборатории Касперского".

Если устройства с операционной системой macOS находятся в области действия задачи Загрузка обновлений в хранилища точек распространения, задача завершится со статусом Сбой, даже если она успешно завершилась на всех устройствах с операционной системой Windows.

Устройства, выполняющие роль точек распространения, должны быть защищены, в том числе физически, от любого типа несанкционированного доступа.

Чтобы вручную назначить устройство точкой распространения:

1. В главном меню нажмите на значок параметров () рядом с именем требуемого Сервера администрирования.

   Откроется окно свойств Сервера администрирования.

2. На вкладке Общие выберите раздел Точки распространения.
3. Нажмите на кнопку Назначить.
4. Выберите устройство, которое вы хотите сделать точкой распространения.

   При выборе устройства учитывайте особенности работы точек распространения и требования к устройству, которое выполняет роль точки распространения.

5. Выберите группу администрирования, которую вы хотите включить в область действия выбранной точки распространения.
6. Нажмите на кнопку Добавить.

   Добавленная точка распространения появится в списке точек распространения в разделе Точки распространения.

7. Выберите в списке добавленную точку распространения, чтобы открыть окно ее свойств.
8. В окне свойств настройте параметры точки распространения:
   • В разделе Общие укажите параметры взаимодействия точки распространения с клиентскими устройствами:
     • SSL-порт

       Номер SSL-порта, по которому осуществляется защищенное подключение клиентских устройств к точке распространения с использованием протокола SSL.

       По умолчанию номер порта – 13000.

     • Использовать многоадресную IP-рассылку

       Если параметр включен, для автоматического распространения инсталляционных пакетов на клиентские устройства в пределах группы будет использоваться многоадресная IP-рассылка.

       Многоадресная IP-рассылка уменьшает время, необходимое для установки приложений из инсталляционного пакета на группу клиентских устройств, но увеличивает время установки при установке приложения на одно клиентское устройство.

     • Адрес IP-рассылки

       IP-адрес, на который будет выполняться многоадресная рассылка. IP-адрес можно задать в диапазоне 224.0.0.0 – 239.255.255.255

       По умолчанию Kaspersky Security Center Cloud Console автоматически назначает уникальный IP-адрес многоадресной рассылки в заданном диапазоне.

     • Номер порта IP-рассылки

       Номер порта многоадресной рассылки.

       Номер порта по умолчанию – 15001. Если в качестве точки распространения указано устройство, на котором установлен Сервер администрирования, то для подключения с использованием SSL-протокола по умолчанию используется порт 13001.

     • Распространять обновления

       Обновления распространяются на управляемые устройства из следующих источников:

       • Эта точка распространения, если этот параметр включен.
       • Другие точки распространения, Сервер администрирования или серверы обновлений "Лаборатории Касперского", если параметр выключен.

       Если вы используете точки распространения для распространения обновлений, вы можете сэкономить трафик, так как уменьшите количество загрузок. Также вы можете снизить нагрузку на Сервер администрирования и перераспределить нагрузку между точками распространения. Вы можете вычислить количество точек распространения в вашей сети для оптимизации трафика и нагрузки.

       Если вы выключите этот параметр, количество загрузок обновлений и нагрузка на Сервер администрирования могут увеличиться. По умолчанию параметр включен.

     • Распространять инсталляционные пакеты

       Инсталляционные пакеты распространяются на управляемые устройства из следующих источников:

       • Эта точка распространения, если этот параметр включен.
       • Другие точки распространения, Сервер администрирования или серверы обновлений "Лаборатории Касперского", если параметр выключен.

       Если вы используете точки распространения для распространения инсталляционных пакетов, вы можете сэкономить трафик, так как уменьшите количество загрузок. Также вы можете снизить нагрузку на Сервер администрирования и перераспределить нагрузку между точками распространения. Вы можете вычислить количество точек распространения в вашей сети для оптимизации трафика и нагрузки.

       Если вы выключите этот параметр, количество загрузок инсталляционных пакетов и нагрузка на Сервер администрирования могут увеличиться. По умолчанию параметр включен.

     • Запустить push-сервер

       В Kaspersky Security Center Cloud Console точка распространения может работать как push-сервер для устройств на базе Windows и Linux, управляемых Агентом администрирования. Push-сервер имеет ту же область управляемых устройств, что и точка распространения, на которой включен push-сервер. Если у вас есть несколько точек распространения, назначенных для одной и той же группы администрирования, вы можете включить push-сервер на каждой из них. В этом случае Сервер администрирования распределяет нагрузку между точками распространения.

     • Порт push-сервера

       Номер порта push-сервера. Вы можете указать номер любого свободного порта.

   • В разделе Область действия укажите область, на которую точка распространения распространяет обновления (группы администрирования и/или сетевое местоположение).

     Только устройства под управлением операционной системы Windows могут определять свое сетевое местоположение. Определение сетевого местоположения недоступно для устройств под управлением других операционных систем.

   • В разделе Прокси-сервер KSN вы можете настроить приложение так, чтобы точка распространения использовалась для пересылки KSN запросов от управляемых устройств.

     Включить прокси-сервер KSN на стороне точки распространения

     Служба прокси-сервера KSN выполняется на устройстве, которое выполняет роль точки распространения. Используйте этот параметр для перераспределения и оптимизации трафика сети.

     Такая возможность не поддерживается для точек распространения под управлением Linux или macOS.

     Точка распространения отправляет статистику KSN, указанную в Положении о Kaspersky Security Network, в "Лабораторию Касперского". По умолчанию Положение о KSN расположено в папке %ProgramFiles%\Kaspersky Lab\Kaspersky Security Center\ksneula.

     По умолчанию параметр выключен. Включение этого параметра вступает в силу только в том случае, если параметр Я принимаю условия использования Kaspersky Security Network включен в окне свойств Сервера администрирования.

     Можно назначить узлу отказоустойчивого кластера с холодным резервом (активный/пассивный) точку распространения и включить прокси-сервер KSN на этом узле.

   • Настройте опрос доменов Windows, контроллеров домена и IP-диапазонов точкой распространения:
     • Опрос Windows-доменов

       Вы можете включить обнаружение устройств для Windows-доменов и задать его расписание.

     • Опрос контроллеров домена

       Вы можете включить опрос Active Directory и задать расписание опроса.

       Если вы используете точку распространения с операционной системой Windows, можно выбрать один из следующих вариантов:

       • Опросить текущий домен Active Directory.
       • Опросить лес доменов Active Directory.
       • Опросить указанные домены Active Directory. Если вы выбрали этот вариант, добавьте один или несколько доменов Active Directory в список.

       Если вы используете точку распространения с операционной системой Linux с установленным Агентом администрирования версии 15, вы можете опрашивать только те домены Active Directory, для которых вы указываете адрес и учетные данные пользователя. Опрос текущего домена Active Directory и леса доменов Active Directory недоступен.

       Вы можете включить обнаружение устройств для контроллеров домена.

       Если вы выбрали параметр Включить опрос контроллеров домена, вы можете выбрать контроллеры домена для опроса и задать расписание.

       Если вы используете точку распространения с операционной системой Linux, в разделе Опросить указанные домены нажмите на кнопку Добавить, а затем укажите адрес и учетные данные пользователя контроллера домена.

       Если вы используете точку распространения с операционной системой Windows, можно выбрать один из следующих вариантов:

       • Опросить текущий домен
       • Опросить весь лес доменов
       • Опросить указанные домены
     • Опрос IP-диапазонов

       Вы можете включить обнаружение устройств для IPv4-диапазонов и IPv6-сетей.

       Если вы включили параметр Разрешить опрос диапазона, вы можете добавить диапазон опроса и задать расписание опроса. Вы можете добавить IP-диапазоны в список опрашиваемых диапазонов.

       Если включить параметр Использовать Zeroconf для опроса IPv6-сетей, точка распространения выполняет опрос IPv6-сети, используя сеть с нулевой конфигурацией (далее также Zeroconf). В этом случае указанные IP-диапазоны игнорируются, так как точка распространения опрашивает всю сеть. Параметр Использовать Zeroconf для опроса IPv6-сетей доступен, если точка распространения работает под управлением Linux. Чтобы использовать опрос Zeroconf IPv6, вам нужно установить утилиту avahi-browse на точке распространения.

   • В разделе Дополнительно укажите папку, которую точка распространения должна использовать для хранения распространяемых данных:
     • Использовать папку по умолчанию

       При выборе этого варианта для сохранения данных будет использоваться папка, в которую на точке распространения установлен Агент администрирования.

     • Использовать указанную папку

       При выборе этого варианта в расположенном ниже поле можно указать путь к папке. Папка может размещаться как локально на точке распространения, так и удаленно, на любом из устройств, входящих в состав сети организации.

       Учетная запись, под которой на точке распространения запускается Агент администрирования, должна иметь доступ к указанной папке для чтения и записи.

9. Нажмите на кнопку ОК.

В результате выбранные устройства будут выполнять роль точек распространения.

Изменение списка точек распространения для группы администрирования

Вы можете просмотреть список точек распространения, назначенных для определенной группы администрирования, и изменить список, добавив или удалив точки распространения.

Чтобы просмотреть и изменить список точек распространения для группы администрирования:

1. В главном окне приложения перейдите в раздел Активы (Устройства) → Группы.
2. В списке групп администрирования выберите группу администрирования, для которой вы хотите просмотреть назначенные точки распространения.
3. Откройте вкладку Точки распространения.
4. Добавьте новые точки распространения для группы администрирования с помощью кнопки Назначить или удалите назначенные точки распространения с помощью кнопки Отменить назначение.

В зависимости от изменений, точки распространения добавляются в список или существующие точки распространения удаляются из списка.

Использование точки распространения в качестве извещающего сервера

В Kaspersky Security Center Cloud Console точка распространения может работать как push-сервер для устройств на базе Windows и Linux, управляемых Агентом администрирования. Push-сервер имеет ту же область управляемых устройств, что и точка распространения, на которой включен push-сервер. Если у вас есть несколько точек распространения, назначенных для одной и той же группы администрирования, вы можете включить push-сервер на каждой из них. В этом случае Сервер администрирования распределяет нагрузку между точками распространения.

Вы можете использовать точки распространения в качестве push-серверов, чтобы установить постоянное соединение между управляемым устройством и Сервером администрирования. Постоянное соединение необходимо для некоторых операций, таких как запуск и остановка локальных задач, получение статистики для управляемого приложения или создание туннеля. Если вы используете точку распространения в качестве push-сервера, вам не нужно отправлять пакеты на UDP-порт Агента администрирования.

Чтобы использовать точку распространения в качестве push-сервера:

1. В главном меню нажмите на значок параметров () рядом с именем требуемого Сервера администрирования.

   Откроется окно свойств Сервера администрирования.

2. На вкладке Общие выберите раздел Точки распространения.
3. Выберите точку распространения, которую вы хотите использовать в качестве push-сервера.
4. В списке свойств выбранной точки распространения перейдите в раздел Общие и включите параметр Запустить push-сервер.

   Поле ввода Порт push-сервера станет доступным.

5. В поле ввода Порт push-сервера укажите порт точки распространения, который клиентские устройства будут использовать для подключения. По умолчанию номер порта – 13295.

   Чтобы установить соединение между точкой распространения, которая используется в качестве push-сервера, и управляемым устройством, необходимо вручную добавить указанный порт push-сервера в список исключений брандмауэра Microsoft Windows.

6. Нажмите ОК, чтобы закрыть окно свойств точки распространения, а затем нажмите Сохранить, чтобы применить изменения.

   После включения параметра Запустить push-сервер параметр Не разрывать соединение с Сервером администрирования автоматически включится на точке распространения, которая используется в качестве push-сервера. Этот параметр позволяет установить предварительное соединение между Агентом администрирования и Сервером администрирования.

7. Откройте окно свойств политики Агента администрирования.
8. Перейдите в раздел Подключения → Сеть и включите параметр Использовать точку распространения для принудительного подключения к Серверу администрирования. Установите замок для этого параметра.
9. В подразделе Сеть вы также можете отключить параметр Использовать UDP-порт. После настройки push-сервер перестанет отправлять пакеты через UDP-порт и будет поддерживать непрерывное соединение между управляемым устройством и Сервером администрирования.
10. Нажмите на кнопку ОК, чтобы закрыть окно.

Точка распространения начинает выполнять роль push-сервера. Теперь он может отправлять push-уведомления на клиентские устройства.

Использование параметра "Не разрывать соединение с Сервером администрирования" для обеспечения постоянной связи между управляемым устройством и Сервером администрирования

Если вы не используете push-серверы, Kaspersky Security Center Cloud Console не обеспечивает постоянного соединения между управляемыми устройствами и Сервером администрирования. Агенты администрирования на управляемых устройствах периодически устанавливают соединение и синхронизируются с Сервером администрирования. Продолжительность периода такой синхронизации задается в политике Агента администрирования. Если требуется предварительная синхронизация, Сервер администрирования (или точка распространения, если она используется) отправляет подписанный сетевой пакет по IPv4-сети или IPv6-сети на UDP-порт Агента администрирования. Номер порта по умолчанию – 15000. Если подключение по UDP от Сервера администрирования к управляемому устройству невозможно, то синхронизация произойдет при очередном периодическом подключении Агента администрирования к Серверу в течение периода синхронизации.

Некоторые операции невозможно выполнить без предварительного соединения Агента администрирования с Сервером администрирования, например, запуск и остановка локальных задач, получение статистики по управляемому приложению или создание туннеля. Чтобы решить эту проблему, если вы не используете push-серверы, вы можете использовать параметр Не разрывать соединение с Сервером администрирования, который обеспечивает постоянное соединение между управляемым устройством и Сервером администрирования.

Чтобы проверить постоянное соединение управляемого устройства с Сервером администрирования:

1. Выполните одно из следующих действий:
   • Если управляемое устройство обращается к Серверу администрирования напрямую (то есть не через точку распространения):
     1. В главном окне приложения перейдите в раздел Устройства → Управляемые устройства.
     2. Выберите имя устройства, с которым вы хотите установить постоянное соединение.

        Откроется окно свойств управляемого устройства.

   • Если управляемое устройство обращается к Серверу администрирования через точку распространения, работающую в режиме шлюза, а не напрямую:
     1. В главном меню нажмите на значок параметров () рядом с именем требуемого Сервера администрирования.

        Откроется окно свойств Сервера администрирования.

     2. На вкладке Общие выберите раздел Точки распространения.
     3. Выберите имя нужной точки распространения из списка точек распространения.

        Откроется окно свойств выбранной точки распространения.

2. В разделе Общие открывшегося окна свойств выберите параметр Не разрывать соединение с Сервером администрирования.

Постоянное соединение установлено между управляемым устройством и Сервером администрирования.

Общее количество устройств, для которых выбран параметр Не разрывать соединение с Сервером администрирования, не должно превышать 300.