Подключение KES-устройств к Серверу администрирования

В зависимости от способа подключения устройств к Серверу администрирования существуют две схемы развертывания:

• схема развертывания с прямым подключением устройств к Серверу администрирования;
• схема развертывания с использованием Forefront Threat Management Gateway (TMG).

Прямое подключение устройств к Серверу администрирования

KES-устройства могут напрямую подключаться к порту 13292 Сервера администрирования.

В зависимости от способа аутентификации существуют два варианта подключения KES-устройств к Серверу администрирования:

• с использованием пользовательского сертификата;
• без пользовательского сертификата.

Подключение устройства с использованием пользовательского сертификата

При подключении устройства с использованием пользовательского сертификата оно привязывается к учетной записи пользователя, для которой был назначен соответствующий сертификат через средства Сервера администрирования.

В этом случае будет использована двусторонняя (взаимная) аутентификация SSL. Сервер администрирования и устройство будут аутентифицированы с помощью сертификатов.

Подключение устройства без пользовательского сертификата

При подключении устройства без пользовательского сертификата оно не будет привязано ни к одной учетной записи пользователя на Сервере администрирования. Но при получении устройством любого сертификата оно будет привязано к пользователю, которому был назначен соответствующий сертификат через средства Сервера администрирования.

При подключении устройства к Серверу администрирования будет использована односторонняя SSL-аутентификация, при которой только Сервер администрирования аутентифицируется с помощью сертификата. После получения устройством пользовательского сертификата тип аутентификации будет изменен на двустороннюю (взаимную) SSL-аутентификацию.

Схема подключения KES-устройств к Серверу с использованием принудительного делегирования Kerberos Constrained Delegation (KCD)

Схема подключения KES-устройств к Серверу администрирования с использованием принудительного делегирования Kerberos Constrained Delegation (KCD) предполагает:

• интеграцию с Microsoft Forefront Threat Management Gateway (TMG);
• использование принудительного делегирования Kerberos Constrained Delegation (далее – KCD) для аутентификации мобильных устройств;
• интеграцию с инфраструктурой открытых ключей (Public Key Infrastructure, далее – PKI) для применения пользовательских сертификатов.

При использовании этой схемы подключения следует учесть следующее:

• В качестве типа подключения KES-устройств к TMG следует выбрать двустороннюю аутентификацию SSL, то есть устройство должно подключаться к TMG по своему пользовательскому сертификату. Для этого в установленный на устройстве пакет установки Kaspersky Endpoint Security для Android необходимо интегрировать пользовательский сертификат. Этот KES-пакет создается Сервером администрирования специально для данного устройства (пользователя).
• Вместо сертификата сервера, используемого по умолчанию, для мобильного протокола следует указать особый (персонализированный) сертификат:
  1. В окне свойств Сервера администрирования в разделе Параметры установите флажок Открыть порт для мобильных устройств и в раскрывающемся списке выберите Добавить сертификат.
  2. В открывшемся окне укажите тот же сертификат, что задан на TMG при публикации точки доступа к мобильному протоколу на Сервере администрирования.
• Пользовательские сертификаты для KES-устройств должны быть выпущены доменным Центром сертификации (ЦС). Следует учесть, что если в домене несколько корневых ЦС, то пользовательские сертификаты должны быть выписаны тем Центром сертификации, который указан в публикации на TMG.

  Обеспечить соответствие пользовательского сертификата заявленному выше требованию возможно несколькими способами:

  • Указать особый пользовательский сертификат в мастере создания пакета установки и в мастере установки сертификатов.
  • Интегрировать Сервер администрирования с доменной инфраструктурой открытых ключей и настроить соответствующий параметр в правилах выпуска сертификатов:
    1. В дереве консоли в папке Управление мобильными устройствами выберите вложенную папку Сертификаты.
    2. В рабочей области папки Сертификаты нажмите на кнопку Настроить правила выпуска сертификатов, чтобы открыть окно Правила выпуска сертификатов.
    3. В разделе Интеграция с инфраструктурой открытых ключей настройте интеграцию с инфраструктурой открытых ключей.
    4. В разделе Выдача мобильных сертификатов укажите источник сертификатов.

Рассмотрим пример настройки принудительного делегирования KCD со следующими допущениями:

• точка доступа к мобильному протоколу на Сервере администрирования настроена на порте 13292;
• имя устройства с TMG – tmg.mydom.local;
• имя устройства с Сервером администрирования – ksc.mydom.local;
• имя внешней публикации точки доступа к мобильному протоколу – kes4mob.mydom.global.

Доменная учетная запись для Сервера администрирования

Необходимо создать доменную учетную запись (например, KSCMobileSrvcUsr), под которой будет работать служба Сервера администрирования. Указать учетную запись для службы Сервера администрирования можно при установке Сервера администрирования или с помощью утилиты klsrvswch. Утилита klsrvswch расположена в папке установки Сервера администрирования.

Указать доменную учетную запись необходимо по следующим причинам:

• Управление KES-устройствами – неотъемлемая функция Сервера администрирования.
• Для правильной работы принудительного делегирования Kerberos Constrained Delegation (KCD) принимающая сторона (то есть Сервер администрирования) должна работать под доменной учетной записью.

Имя субъекта-службы (SPN) для http/kes4mob.mydom.local

В домене под учетной записью KSCMobileSrvcUsr требуется прописать SPN для публикации службы мобильного протокола на порте 13292 устройства с Сервером администрирования. Для устройства kes4mob.mydom.local с Сервером администрирования требуется прописать следующее:

setspn -a http/kes4mob.mydom.local:13292 mydom\KSCMobileSrvcUsr

Настройка доменных свойств устройства с TMG (tmg.mydom.local)

Для делегирования трафика нужно доверить устройство с TMG (tmg.mydom.local) службе, определенной по SPN (http/kes4mob.mydom.local:13292).

Чтобы доверить устройство с TMG службе, определенной по SPN (http/kes4mob.mydom.local:13292), администратор должен выполнить следующие действия:

1. В оснастке Microsoft Management Console под названием Active Directory Users and Computers (Консоль управления пользователями и компьютерами Active Directory) выбрать устройство с установленным TMG (tmg.mydom.local).
2. В свойствах устройства на закладке Делегирование для переключателя Доверять компьютеру делегирование только указанным службам выбрать вариант Использовать любой протокол аутентификации.
3. В список Службы, с которыми эта учетная запись может использовать делегированные учетные данные добавить SPN http/kes4mob.mydom.local:13292.

Особый (персонализированный) сертификат для публикации (kes4mob.mydom.global)

Для публикации мобильного протокола Сервера администрирования требуется выписать особый (персонализированный) сертификат на FQDN kes4mob.mydom.global и указать его вместо сертификата сервера, используемого по умолчанию, в параметрах мобильного протокола Сервера администрирования в Консоли администрирования. Для этого в окне свойств Сервера администрирования в разделе Параметры необходимо установить флажок Открыть порт для мобильных устройств и в раскрывающемся списке выбрать Добавить сертификат.

Следует учесть, что в контейнере с сертификатом сервера (файл с расширением p12 или pfx) должна также присутствовать цепочка корневых сертификатов (открытые ключи).

Настройка публикации на TMG

На TMG для трафика, идущего со стороны мобильного устройства на порт 13292 kes4mob.mydom.global, необходимо настроить KCD на SPN (http/kes4mob.mydom.local:13292) с использованием сертификата сервера, выпущенного для FQND kes4mob.mydom.global. Следует учесть, что к публикации и публикуемой точке доступа (порт 13292 Сервера администрирования) должен быть применен один и тот же сертификат сервера.

Использование Firebase Cloud Messaging

Для своевременной доставки команд на KES-устройства под управлением операционной системы Android в Kaspersky Security Center используется механизм push-нотификаций. Push-нотификации между KES-устройствами и Сервером администрирования осуществляются с помощью сервиса Firebase Cloud Messaging (далее – FCM). В Консоли администрирования Kaspersky Security Center вы можете указать параметры сервиса Cloud Messaging, чтобы подключить KES-устройства к этому сервису.

Для получения параметров Firebase Cloud Messaging вам необходимо иметь учетную запись Google.

Чтобы включить использование FCM, выполните следующие действия:

1. В Консоли администрирования выберите узел Управление мобильными устройствами и папку Мобильные устройства.
2. В контекстном меню папки Мобильные устройства выберите пункт Свойства.
3. В окне свойств папки выберите раздел Параметры Firebase Cloud Messaging.
4. В поле Номер проекта Firebase укажите Sender ID FCM.
5. В поле Файл закрытого ключа (в формате JSON) выберите файл приватного ключа.

При следующей синхронизации с Сервером администрирования KES-устройства под управлением операционной системы Android будут подключены к службе Firebase Cloud Messaging.

Вы можете изменить параметры Firebase Cloud Messaging по кнопке Сбросить параметры.

При переключении на другой проект Firebase работа FCM возобновляется через 10 минут.

Сервис FCM работает на следующих диапазонах адресов:

• Со стороны KES-устройства необходим доступ к портам 443 (HTTPS), 5228 (HTTPS), 5229 (HTTPS) и 5230 (HTTPS) следующих адресов:
  • google.com;
  • fcm.googleapis.com;
  • android.apis.google.com;
  • все IP-адреса из списка "ASN 15169 Google".
• Со стороны Сервера администрирования необходим доступ к порту 443 (HTTPS) следующих адресов:
  • fcm.googleapis.com;
  • все IP-адреса из списка "ASN 15169 Google".

В случае, если в Консоли администрирования в свойствах Сервера администрирования заданы параметры прокси-сервера (Дополнительно / Параметры доступа к интернету), они будут использованы для взаимодействия с FCM.

Настройка FCM: получение Sender ID и файла приватного ключа

Чтобы настроить FCM, выполните следующие действия:

1. Зарегистрируйтесь на портале Google.
2. Перейдите в консоль Firebase.
3. Выполните одно из следующих действий:
   • Чтобы создать новый проект, нажмите на кнопку Create a project и следуйте инструкциям на экране.
   • Откройте существующий проект.
4. Нажмите на значок шестеренки и выберите Project settings.

   Откроется окно Project settings.

5. Выберите вкладку Cloud Messaging.
6. Скопируйте Sender ID из поля Sender ID в разделе Firebase Cloud Messaging API (V1).
7. Выберите вкладку Service accounts и нажмите на кнопку Generate new private key.
8. В открывшемся окне нажмите на кнопку Generate key, чтобы сгенерировать и загрузить файл приватного ключа.

Firebase Cloud Messaging настроен.