Убедитесь, что устройство соответствует:

• Аппаратным требованиям для установки KESL.
  Учтите, что количество системных ресурсов, необходимых для работы KESL, может превышать указанное в требованиях. Это зависит от функциональности, которая будет использоваться, и нагрузки на устройстве. Например, если в задаче Защита от файловых угроз включена проверка архивов, приложению потребуется свободное место в директории /tmp, чтобы распаковать и проверить файлы.
• Программным требованиям для установки KESL.
  Если версии вашей ОС нет в списке поддерживаемых, она может быть уже снята с поддержки производителем или, наоборот, выпущена после релиза KESL.

Если у вас уже есть лицензия, убедитесь, что с ее помощью можно активировать KESL. Для этого посмотрите список совместимых приложений в Kaspersky CompanyAccount.

Новую лицензию вы можете выбрать и купить онлайн на официальном сайте «‎Лаборатории Касперского» или у наших партнеров.

Обратите внимание, что для архитектуры ARM потребуется отдельная лицензия. Такая лицензия действует на всей территории России, но не действует в некоторых регионах мира. Уточните условия лицензирования у региональных партнеров, если вам нужно установить KESL на устройствах с архитектурой ARM в зарубежных филиалах.

1. Выполните подготовку к установке.
2. Убедитесь, что установлен интерпретатор языка Perl версии 5.10 и выше. Для этого выполните команду:
   perl -v
   Пример вывода команды:
   This is perl 5, version 30, subversion 0 (v5.30.0) built for x86_64-linux-gnu-thread-multi
   На RHEL-системах, например РЕД ОС, дополнительно проверьте, что установлены пакеты perl-Getopt-Long и perl-File-Copy. Для этого выполните команды:
   rpm -q perl-Getopt-Long
   rpm -q perl-File-Copy
   • Если пакет установлен, вы увидите:
     perl-Getopt-Long-2.51-1.el7.noarch
   • Если пакет не установлен, вы увидите:
     package perl-Getopt-Long is not installed
   Пакеты Perl необходимы для корректной работы скрипта первоначальной настройки, который запускается после установки KESL.
3. Убедитесь, что права доступа к рабочим директориям KESL заданы корректно.

1. Скачайте самую новую сборку KESL с кумулятивным исправлением по инструкции.
2. Распакуйте архив и найдите пакет kesl, подходящий для вашей ОС. Если вы планируете использовать локально на целевом устройстве графический интерфейс, найдите пакет kesl-gui, подходящий для вашей ОС.
3. Установите пакеты kesl и kesl-gui с помощью командной строки по инструкции.
   Установить пакет kesl-gui можно только после установки пакета kesl.

1. Запустите скрипт первоначальной настройки приложения. Обратите внимание на следующие шаги работы скрипта:
   • Настройка параметров прокси-сервера.
     Необходима, если устройство выходит в интернет через прокси-сервер. KESL использует прокси-сервер, чтобы получать обновления антивирусных баз с публичных серверов «‎Лаборатории Касперского», а также для активации приложения с помощью кода активации.
   • Обновление баз приложения.
     Пакет установки KESL не содержит антивирусные базы, поэтому их нужно обновить перед использованием приложения. Без антивирусных баз приложение неработоспособно.
     Вы можете обновить базы после первоначальной настройки: запустите задачу Обновление по инструкции.
   • Активация приложения.
     Активируйте приложение с помощью кода активации или файла ключа. При активации кодом приложению понадобится доступ в интернет для подключения к серверам активации «‎Лаборатории Касперского».
2. Проверьте состояние KESL с помощью команды:
   # kesl-control --app-info
   Пример вывода команды:
   
3. Убедитесь, что:
   1. В информации о лицензии указано «‎Ключ действителен».
   2. В дате последнего выпуска баз приложения указана актуальная дата.
   3. Функциональность, которую вы планируете использовать, доступна.
      Некоторые задачи могут быть недоступны из-за ограничений лицензии.

Вы можете запустить скрипт еще раз и настроить KESL заново.

Чтобы упростить локальное развертывание на следующих устройствах, автоматизируйте первоначальную настройку по инструкции.

Задача Защита от файловых угроз по умолчанию включена.

Как работает задача

Приложение перехватывает события файловых операций и блокирует действия до окончания обработки событий. После проверки приложение может:

• снять блокировку и разрешить операцию;
• заблокировать и выполнить действия, заданные в параметрах FirstAction и SecondAction.

Как настроить задачу

Перехват событий требует времени на обработку — это влияет на производительность других приложений и ОС. Нужно настроить задачу так, чтобы соблюсти баланс между защищенностью и производительностью системы. Например, файлы данных и индексные файлы баз данных вы можете исключать из проверки. Вирусные эксперты «Лаборатории Касперского» считают, что вероятность проникновения вирусов из таких файлов очень низкая.

Мы рекомендуем настроить задачу следующим образом:

1. Укажите исключения из проверки. Таблица ниже поможет выбрать тип исключений.

   Исключения задачи	Глобальные исключения
   Задаются в параметрах задачи.	Задаются в настройках приложения.
   Вы можете указать путь к файлам, тип монтирования, маску файла, тип угрозы или путь к процессу, совершающему файловые операции.	Вы можете указать тип точки монтирования (Local, AllRemoteMounted, Mounted:NFS, Mounted:SMB или Mounted:Custom) или конкретные точки монтирования.
   KESL перехватывает и блокирует файловые операции. Затем KESL определяет, что операции производятся в исключенной области, и снимает блокировку. Объекты операций не проверяются.	KESL не отслеживает исключенные области.
   Минимальные задержки в файловых операциях.	Нет задержек в файловых операциях.

   Мы рекомендуем использовать глобальные исключения для точек монтирования, когда:
   • соединение с примонтированным удаленным ресурсом, например NFS или SMB, работает медленно;
   • даже минимальные задержки в работе приложения критичны.
2. Не включайте проверку архивов в параметре ScanArchived, если важно быстро обрабатывать такие файлы, например, упакованные объекты формата .jar.
   Проверка влияет на производительность и требует достаточного количества свободного места в директории /tmp, чтобы распаковать и проверить файлы. KESL блокирует работу с файлами до окончания проверки.

• Задача Защита от сетевых угроз по умолчанию выключена.
• Задача Защита от веб-угроз запускается автоматически при запуске приложения, если в ОС установлен веб-браузер. В остальных случаях задача по умолчанию выключена.

Чтобы выполнение задач не влияло на работу бизнес-приложений, следуйте рекомендациям ниже.

Как настроить межсетевой экран ОС

Добавьте разрешающее правило для входящих соединений с локального устройства (loopback), если в межсетевом экране ОС настроены блокирующие правила.

Пример команды для iptables:

Как настроить доступ в интернет

• Установите значение LocalCheck в параметре CertificateVerificationPolicy с помощью команды:
  # kesl-control --set-net-settings CertificateVerificationPolicy=LocalCheck
  Приложение не будет использовать интернет для проверки сертификатов.
• Настройте прямой выход в интернет для обращения к серверам «Лаборатории Касперского».
• Настройте прокси-сервер:
  • Для прокси-сервера с аутентификацией выполните команду:
    # kesl-control --set-app-settings UseProxy=Yes ProxyServer=<имя пользователя>:<пароль>@<IP-адрес прокси-сервера>:<номер порта>
  • Для прокси-сервера без аутентификации выполните команду:
    # kesl-control --set-app-settings UseProxy=Yes ProxyServer=<IP-адрес прокси-сервера>:<номер порта>

Как настроить проверку защищенных соединений

Не устанавливайте значение All в параметре MonitorNetworkPorts задачи Защита от сетевых угроз, если устройство использует подключение по протоколу SMB.

Как настроить сервер Kubernetes

Совместная работа сетевых задач и контейнеризации Kubernetes требует дополнительной тонкой и трудоемкой настройки межсетевого экрана ОС.

Совместная работа невозможна при использовании Kubernetes c Cillium CNI.

Для баз данных PostgreSQL критически важно полностью исключить задержки в файловых операциях с файлами данных и журналами предзаписи (WAL-файлами). Рекомендуем дополнительно исключить из проверки файловые операции процессов PostgreSQL.

При типовой установке PostgreSQL эти файлы находятся в следующих директориях:

• данные: /var/lib/postgresql/13/main
• WAL-файлы: /var/lib/postgresql/13/main/pg_wal
• исполняемые файлы: /usr/lib/postgresql/13/bin/

Чтобы добавить директории в глобальные исключения задачи Защита от файловых угроз:

1. Проверьте, что директории данных и WAL-файлов являются точками монтирования, с помощью команды:
   mount
   Если директорий нет в выводе команды mount:
   1. Создайте точку монтирования с помощью команды:
      mount --bind /var/lib/postgresql/13/main/ /var/lib/postgresql/13/main
      Добавлять отдельную точку монтирования для директории с WAL-файлами не нужно, она является вложенной директорией директории данных.
   2. Добавьте следующую строку в таблицу файловых систем ОС /etc/fstab, чтобы созданная точка монтирования осталась в системе после перезагрузки:
      /var/lib/postgresql/13/main /var/lib/postgresql/13/main none defaults,bind 0 0
2. Добавьте директории в глобальные исключения задачи с помощью команд:
   # kesl-control --set-app-settings ExcludedMountPoint.item_0000=/var/lib/postgresql/13/main
   # kesl-control --set-app-settings ExcludedMountPoint.item_0000=/var/lib/postgresql/13/main/pg_wal
   # kesl-control --set-app-settings ExcludedMountPoint.item_0000=/usr/lib/postgresql/13/bin/
3. Перезапустите службу KESL, чтобы применить глобальные исключения:
   # systemctl restart kesl.service

Задачи Защита от веб-угроз и Защита от сетевых угроз могут значительно увеличивать потребление системных ресурсов при высокой клиентской нагрузке на сервер и работе по протоколу HTTPS. Это происходит из-за того, что приложение расшифровывает и проверяет HTTPS-трафик.

Проанализируйте, как изменяется нагрузка на сервер во время выполнения этих задач. Обратитесь в техническую поддержку «‎Лаборатории Касперского», чтобы подобрать настройки и устранить проблемы совместимости.

Мы рекомендуем отключить задачи Защита от веб-угроз и Защита от сетевых угроз на устройстве, выполняющем функции прокси-сервера или балансировщика нагрузки.