Руководство по миграции с KEA на KES для EDR (KATA)

Начиная с версии Kaspersky Endpoint Security для Windows 12.1 в приложение добавлен встроенный агент для работы с компонентом Kaspersky Endpoint Detection and Response в составе решения Kaspersky Anti Targeted Attack Platform. Теперь вам не нужно отдельное приложение Kaspersky Endpoint Agent для работы EDR (KATA). Все функции Kaspersky Endpoint Agent будет выполнять Kaspersky Endpoint Security. При этом нагрузка на серверы Kaspersky Anti Targeted Attack Platform останется прежней.

При развертывании Kaspersky Endpoint Security на компьютеры с установленным приложением Kaspersky Endpoint Agent решение Kaspersky Anti Targeted Attack Platform (EDR) продолжит работу с Kaspersky Endpoint Security. Также приложение Kaspersky Endpoint Agent будет удалено с компьютера. Такое же поведение в системе будет при обновлении Kaspersky Endpoint Security до версии 12.1 или выше.

Kaspersky Endpoint Security несовместим с Kaspersky Endpoint Agent. Установить оба этих приложения на одном компьютере невозможно.

Для работы Kaspersky Endpoint Security в составе Endpoint Detection and Response (KATA) должны быть выполнены следующие условия:

• Kaspersky Anti Targeted Attack Platform версии 4.1 или выше.
• Kaspersky Security Center версии 13.2 или выше (включая Агент администрирования). В более ранних версиях Kaspersky Security Center невозможно активировать функциональность Endpoint Detection and Response (KATA).

Этапы миграции конфигурации [KES+KEA] на [KES+встроенный агент] для EDR (KATA)

1. Обновление плагина управления Kaspersky Endpoint Security

   Управление компонентом EDR (KATA) доступно с помощью плагина управления Kaspersky Endpoint Security версии 12.1 или выше. В зависимости от консоли Kaspersky Security Center, которую вы используете, обновите плагин управления в Консоли администрирования (MMC) или веб-плагин в Web Console.

2. Миграция политик и задач

   Перенесите параметры работы Kaspersky Endpoint Agent в приложение Kaspersky Endpoint Security для Windows. Вам доступны следующие способы:

   • Мастер миграции c Kaspersky Endpoint Agent. Мастер миграции с Kaspersky Endpoint Agent работает только в Web Console.

     Как перенести параметры политик и задач с помощью Мастера миграции с Kaspersky Endpoint Agent в Web Console

     В главном окне Web Console выберите Операции → Миграция с Kaspersky Endpoint Agent.

     В результате запустится мастер миграции политик и задач. Следуйте его указаниям.

     Шаг 1. Миграция политик

     Мастер миграции создает новую политику, в которой будут объединены параметры политик Kaspersky Endpoint Security и Kaspersky Endpoint Agent. В списке политик выберите политики Kaspersky Endpoint Agent, параметры которых вы хотите объединить с политикой Kaspersky Endpoint Security. Нажмите на политику Kaspersky Endpoint Agent, чтобы выбрать политику Kaspersky Endpoint Security, с которой вы хотите объединить параметры. Убедитесь, что политики выбраны верно и перейдите к следующем шагу.

     Шаг 2. Миграция задач

     Мастер миграции не поддерживает задачи EDR (KATA). Пропустите этот шаг.

     Шаг 3. Завершение работы мастера

     Завершите работу мастера. В результате работы мастера будет создана новая политика Kaspersky Endpoint Security. В политике объединены параметры Kaspersky Endpoint Security и Kaspersky Endpoint Agent. Политика называется <Название политики Kaspersky Endpoint Security> & <Название политики Kaspersky Endpoint Agent>. Новая политика имеет статус Неактивна. Для продолжения работы измените статусы политик Kaspersky Endpoint Agent и Kaspersky Endpoint Security на Неактивна и активируйте новую объединенную политику.

     Мастер миграции в Web Console пропускает и не переносит следующие параметры политики:

     • Запрет на изменение параметров Настройки подключения к серверам KATA ("замок").

       По умолчанию изменение параметров разрешено ("замок" открыт). Поэтому параметры не будут применены на компьютере. Вам нужно запретить изменение параметров и закрыть "замок".

     • Криптоконтейнер.

       Если вы используете двустороннюю аутентификацию для подключения к серверам Central Node, нужно добавить криптоконтейнер повторно.

     Так как Мастер миграции не переносит эти параметры, могут возникнуть ошибки подключения компьютера к серверам Central Node. Для устранения ошибок вам нужно перейти в свойства политики и настроить параметры подключения.

   • Стандартный Мастер массовой конвертации политик и задач. Мастер массовой конвертации политик и задач доступен в Консоли администрирования (MMC). Подробнее о Мастере массовой конвертации политик и задач см. в справке Kaspersky Security Center.

   Для корректной работы Kaspersky Endpoint Security на серверах рекомендуется добавить в доверенную зону файлы, важные для выполнения сервером своих функций. Для SQL-серверов вам нужно добавить файлы баз данных MDF и LDF. Для Microsoft Exchange-серверов вам нужно добавить файлы CHK, EDB, JRS, LOG и JSL. Вы можете использовать маски, например, C:\Program Files (x86)\Microsoft SQL Server\*.mdf.

   Исключения EDR-телеметрии не мигрируют из политики Kaspersky Endpoint Agent в политику Kaspersky Endpoint Security. Kaspersky Endpoint Security имеет собственные инструменты исключений – доверенные приложения. Работа Kaspersky Endpoint Security оптимизирована таким образом, что отсутствие отдельных исключений EDR-телеметрии не приводит к дополнительной нагрузке на компьютер в сравнении с Kaspersky Endpoint Agent. Kaspersky Endpoint Security использует телеметрию не только для EDR (KATA), но и для работы компонентов защиты приложения. Поэтому переносить отдельные исключения EDR-телеметрии не требуется. Если вы наблюдаете снижение производительности компьютера, проверьте работу приложения (см. п. 7. Проверка производительности).

3. Лицензирование функции EDR (KATA)

   Для активации Kaspersky Endpoint Security в составе решения Kaspersky Anti Targeted Attack Platform вам потребуется отдельная лицензия Kaspersky Endpoint Detection and Response (KATA) Add-on. Вы можете добавить ключ с помощью задачи Добавление ключа. Таким образом, в приложение будет добавлено два ключа: Kaspersky Endpoint Security и Kaspersky Endpoint Detection and Response (KATA).

   Лицензирование Kaspersky Endpoint Detection and Response (KATA) Add-on на компьютерах с уже активированными функциями EDR Optimum или EDR Expert имеет следующие особенности:

   • Если для лицензирования Kaspersky Endpoint Security c функциями EDR Optimum или EDR Expert вы используете файл ключа, добавить отдельный ключ Kaspersky Endpoint Detection and Response (KATA) Add-on невозможно. Вы можете или перейти на использование кода активации для лицензирования, или обратиться к поставщику услуг за новым файлом ключа для активации Kaspersky Endpoint Security и функций EDR. Поставщик услуг предоставит вам один или несколько файлов ключей для лицензирования.
   • Если для лицензирования Kaspersky Endpoint Security без функций EDR Optimum или EDR Expert вы используете файл ключа, вы можете добавить отдельный ключ Kaspersky Endpoint Detection and Response (KATA) Add-on без перевыпуска файлов ключей.
   • Если для лицензирования вы используете код активации, сервер активации "Лаборатории Касперского" автоматически перевыпустит ключи, и функции EDR (KATA) будут доступны автоматически. При этом функции EDR Optimum и EDR Expert будут выключены.
   • Kaspersky Endpoint Security позволяет добавлять до двух активных ключей: ключ Kaspersky Endpoint Security и ключ типа Add-on. Также вы можете добавлять до двух резервных ключей. Один резервный ключ Kaspersky Endpoint Security и один резервный ключ типа Add-on.
4. Установка / Обновление версии приложения Kaspersky Endpoint Security

   Для миграции функций EDR (KATA) во время установки или обновления приложения рекомендуется использовать задачу удаленной установки. При создании задачи удаленной установки вам нужно выбрать компонент EDR (KATA) в параметрах инсталляционного пакета.

   Также вы можете обновить приложение следующими способами:

   • Через службу обновлений "Лаборатории Касперского".
   • Локально с помощью мастера установки.

   Kaspersky Endpoint Security поддерживает автоматический выбор компонентов при обновлении приложения на компьютере с установленным приложением Kaspersky Endpoint Agent. Автоматический выбор компонентов зависит от прав учетной записи пользователя, который обновляет приложение.

   Если вы обновляете Kaspersky Endpoint Security с помощью EXE-файла или с помощью MSI-файла под системной учетной записью (SYSTEM), Kaspersky Endpoint Security получает доступ к действующим лицензиям решений "Лаборатории Касперского". Таким образом, если на компьютере установлено приложение Kaspersky Endpoint Agent и активировано решение EDR (KATA), установщик Kaspersky Endpoint Security автоматически сконфигурирует набор компонентов и выберет компонент EDR (KATA). При этом Kaspersky Endpoint Security перейдет на работу со встроенным агентом и удалит Kaspersky Endpoint Agent. Запуск установщика MSI под системной учетной записью (SYSTEM) обычно выполняется при обновлении через службу обновлений "Лаборатории Касперского" или при развертывании инсталляционного пакета через Kaspersky Security Center.

   Если вы обновляете Kaspersky Endpoint Security с помощью MSI-файла под учетной записью непривилегированного пользователя, у Kaspersky Endpoint Security отсутствует доступ к действующим лицензиям решений "Лаборатории Касперского". При этом Kaspersky Endpoint Security автоматически выбирает компоненты на основании состава компонентов Kaspersky Endpoint Agent. Далее Kaspersky Endpoint Security перейдет на работу со встроенным агентом и удалит Kaspersky Endpoint Agent.

   Kaspersky Endpoint Security поддерживает обновление без перезагрузки компьютера. Вы можете выбрать режим обновления приложения в параметрах политики.

5. Проверка работы приложения

   Если после установки или обновления приложения компьютер имеет статус Критический в консоли Kaspersky Security Center, выполните следующие действия:

   • Убедитесь, что на компьютере установлен Агент администрирования версии 13.2 или выше.
   • Проверьте статус работы встроенного агента с помощью отчета Отчет о статусе компонентов программы. Если компонент имеет статус Не установлен, установите компонент с помощью задачи Изменение состава компонентов приложения. Если компонент имеет статус Не поддерживается лицензией, убедитесь, что вы активировали функцию встроенного агента.
   • Убедитесь, что вы приняли условия Положения о Kaspersky Security Network в новой политике Kaspersky Endpoint Security для Windows.
6. Проверка подключения к серверу Kaspersky Anti Targeted Attack Platform

   Проверьте подключение к серверу Kaspersky Anti Targeted Attack Platform. Для этого выполните следующие действия:

   1. Проверьте наличие действительного сертификата.
   2. Проверьте параметры подключения к серверу.
   3. Проверьте журнал событий.

      Если подключение к серверу установлено, приложение отправляет событие Успешное подключение к серверу Kaspersky Anti Targeted Attack Platform. Если события об успешном подключении нет, а также отсутствуют события с ошибками подключения, проверьте параметры журналов событий и включите отправку событий для Endpoint Detection and Response (KATA).

   Статус подключения к серверу не влияет на статус компьютера в консоли Kaspersky Security Center. То есть, если подключение к серверу отсутствует, компьютер может иметь статус OK. Для проверки подключения к серверу проверьте журнал событий.

7. Проверка производительности

   Если после установки или обновления приложения производительность компьютера снизилась, вы можете оптимизировать передачу данных. Для этого выполните следующие действия:

   1. Выключите компонент EDR (KATA) и убедитесь, что снижение производительности происходит именно из-за EDR (KATA).
   2. Для доверенных приложений выключите сбор телеметрии по операциям консольного ввода (по умолчанию включен).
   3. Добавьте приложения, которые снижают производительность компьютера, в список доверенных приложений.
   4. Обратитесь в Службу технической поддержки "Лаборатории Касперского". Специалисты помогут настроить фильтрацию телеметрии в Kaspersky Anti Targeted Attack Platform. Это уменьшит расход трафика. Если на производительность компьютера влияет определенное приложение, прикрепите дистрибутив этого приложения к обращению.