Параметры политики Агента администрирования

Развернуть все | Свернуть все

Чтобы настроить параметры политики Агента администрирования:

1. В главном окне приложения перейдите в раздел Активы (Устройства) → Политики и профили политик.
2. Нажмите на имя политики Агента администрирования.

   Откроется окно свойств политики Агента администрирования. Окно свойств содержит вкладки и параметры, описанные ниже.

Обратите внимание, что для устройств под управлением Linux и Windows, доступны различные параметры.

Общие

На этой вкладке можно изменить имя политики, состояние политики и настроить наследование параметров политики:

• В поле Имя вы можете изменить имя политики.
• В блоке Состояние политики можно выбрать один из вариантов действия политики:
  • Активна

    Если выбран этот вариант, политика становится активной.

    По умолчанию выбран этот вариант.

  • Неактивна

    Если выбран этот вариант, политика становится неактивной, но сохраняется в папке Политики. При необходимости ее можно сделать активной.

• В блоке Наследование параметров можно настроить параметры наследования политики:
  • Наследовать параметры родительской политики

    Если параметр включен, значения параметров политики наследуются из политики для группы верхнего уровня иерархии и недоступны для изменения.

    По умолчанию параметр включен.

  • Обеспечить принудительное наследование параметров для дочерних политик

    Если параметр включен, после применения изменений в политике будут выполнены следующие действия:

    • значения параметров политики будут распространены на политики вложенных групп администрирования – дочерние политики;
    • в блоке Наследование параметров раздела Общие окна свойств каждой дочерней политики будет автоматически включен параметр Наследовать параметры родительской политики.

    Когда параметр включен, значения параметров дочерних политик недоступны для изменения.

    По умолчанию параметр выключен.

Настройка событий

На этой вкладке можно настроить регистрацию событий и оповещение о событиях. События распределяются по уровням важности в следующих разделах:

• Отказ функционирования
• Предупреждение
• Информационное сообщение

В каждом разделе в списке событий отображаются названия событий и срок хранения событий на Сервере администрирования по умолчанию (в днях). После того как вы нажмете на тип события, можно настроить параметры регистрации и уведомления о событиях, выбранных в списке. По умолчанию общие настройки уведомлений, указанные для всего Сервера администрирования, используются для всех типов событий. Однако можно изменить определенные параметры для заданных типов событий.

Например, в разделе Предупреждение, вы можете настроить тип события Произошла проблема безопасности. Такие события могут произойти, например, когда свободное место на диске точки распространения меньше 2 ГБ (для установки приложений и удаленной загрузки обновлений требуется не менее 4 ГБ). Чтобы настроить событие Произошла проблема безопасности, нажмите на него и укажите, где хранить произошедшие события и как о них уведомлять.

Если Агент администрирования обнаруживает проблему безопасности, вы можете управлять этой проблемой безопасности с помощью параметров управляемого устройства.

Параметры приложения

Параметры

В разделе Параметры можно настроить параметры политики Агента администрирования:

• Распространять файлы только через точки распространения

  Если этот параметр включен, Агенты администрирования на управляемых устройствах получают обновления только от точек распространения.

  Если этот параметр выключен, Агенты администрирования на управляемых устройствах получают обновления от точек распространения или от Сервера администрирования.

  Обратите внимание, что приложения безопасности на управляемых устройствах получают обновления от источника, заданного в задаче обновления для каждого приложения безопасности. Если вы включили параметр Распространять файлы только через точки распространения, убедитесь, что Kaspersky Security Center Linux установлен в качестве источника обновлений в задачах обновления.

  По умолчанию параметр выключен.

• Максимальный размер очереди событий (МБ)

  В поле можно указать максимальное место на диске, которое может занимать очередь событий.

  По умолчанию указано значение 2 МБ.

• Приложение может получать расширенные данные политики на устройстве

  Агент администрирования, установленный на управляемом устройстве, передает информацию о применяемой политике в приложение безопасности (например, Kaspersky Endpoint Security для Linux). Передаваемая информация отображается в интерфейсе приложения безопасности.

  Агент администрирования передает следующую информацию:

  • время доставки политики на управляемое устройство;
  • имя активной политики и политики для автономных пользователей в момент доставки политики на управляемое устройство;
  • имя и полный путь группы администрирования, которой принадлежит управляемое устройство на момент доставки политики на управляемое устройство;
  • список активных профилей политики.

    Вы можете использовать эту информацию, чтобы обеспечить применение правильной политики к устройству и в целях устранения неполадок. По умолчанию параметр выключен.

• Защитить службу Агента администрирования от неавторизованного удаления, остановки или изменения параметров работы

  Если этот параметр включен, после того, как Агент администрирования был установлен на управляемом устройстве, компонент не может быть удален или изменен без требуемых прав. Работа Агента администрирования не может быть остановлена. Этот параметр не влияет на контроллеры домена.

  Включите этот параметр, чтобы защитить Агент администрирования на рабочих станциях, управляемых с правами локального администратора.

  По умолчанию параметр выключен.

• Использовать пароль деинсталляции

  Если параметр включен, при нажатии на кнопку Изменить можно указать пароль для утилиты klmover и задачи удаленной деинсталляции Агента администрирования.

  По умолчанию параметр выключен.

Хранилища

В разделе Хранилища можно выбрать типы объектов, информацию о которых Агент администрирования будет отправлять на Сервер администрирования. Если в политике Агента администрирования наложен запрет на изменение параметров, указанных в этом разделе, эти параметры недоступны для изменения. Параметры раздела Хранилища доступны только для устройств под управлением Windows:

• Информация об установленных приложениях

  Если этот параметр включен, на Сервер администрирования отправляется информация о приложениях, установленных на клиентских устройствах.

  По умолчанию параметр включен.

• Включить информацию о патчах

  Информация о патчах приложений, установленных на клиентских устройствах, отправляется на Сервер администрирования. Включение этого параметра может увеличить нагрузку на Сервер администрирования и СУБД, а также вызвать увеличение объема базы данных.

  По умолчанию параметр включен. Доступен только для Windows.

• Информация об обновлениях Центра обновления Windows

  Если параметр установлен, на Сервер администрирования отправляется информация об обновлениях Центра обновления Windows, которые необходимо установить на клиентских устройствах.

  По умолчанию параметр включен. Доступен только для Windows.

• Информация об уязвимостях в приложениях и соответствующих обновлениях

  Если этот параметр включен, информация об уязвимостях в приложениях сторонних производителей (включая программное обеспечение Microsoft), обнаруженных на управляемых устройствах, и об обновлениях программного обеспечения для закрытия уязвимостей (не включая программное обеспечение Microsoft) отправляется на Сервер администрирования.

  Выбор этого параметра (Информация об уязвимостях в приложениях и соответствующих обновлениях) увеличивает нагрузку на сеть, загрузку диска Сервера администрирования и потребление ресурсов Агентом администрирования.

  По умолчанию параметр включен. Доступен только для Windows.

  Для управления обновлениями приложений Microsoft используйте параметр Информация об обновлениях Центра обновления Windows.

• Информация о реестре оборудования

  Установленный на устройстве Агент администрирования отправляет информацию об оборудовании устройства на Сервер администрирования. Вы можете просмотреть информацию об оборудовании в свойствах устройства.

  Убедитесь, что утилита lshw установлена на устройствах Linux, с которых вы хотите получить информацию об оборудовании. Сведения об оборудовании, полученные с виртуальных машин, могут быть неполными в зависимости от используемого гипервизора

Обновления и уязвимости в приложениях

В разделе Обновления и уязвимости в приложениях вы можете включить проверку исполняемых файлов на наличие уязвимостей:

• Проверять исполняемые файлы на наличие уязвимостей при запуске

  Если параметр включен, при запуске исполняемых файлов выполняется их проверка на наличие уязвимостей.

  По умолчанию параметр включен.

Управление перезагрузкой

В разделе Управление перезагрузкой можно выбрать и настроить действие, если в ходе работы, установки или удаления приложения требуется перезагрузка операционной системы управляемого устройства. Параметры раздела Управление перезагрузкой доступны только для устройств под управлением Windows:

• Не перезагружать операционную систему

  Клиентские устройства не будут автоматически перезагружаться после выполнения операции. Для завершения операции потребуется перезагрузить устройство (например, вручную или с помощью задачи управления устройствами). Информация о необходимости перезагрузки сохранена в результатах выполнения задачи и в статусе устройства. Этот вариант подходит для задач на серверах и других устройствах, для которых критически важна бесперебойная работа.

• При необходимости перезагрузить операционную систему автоматически

  В этом случае перезагрузка всегда выполняется автоматически, если перезагрузка требуется для завершения операции. Этот вариант подходит для задач на устройствах, для которых допустимы периодические перерывы в работе (выключение, перезагрузка).

• Запрашивать у пользователя

  На экране клиентского устройства будет выводиться сообщение о том, что устройство должно быть перезагружено вручную. Для этого варианта можно настроить дополнительные параметры: текст сообщения для пользователя, периодичность сообщения, а также время, после которого перезагрузка будет выполнена принудительно (без подтверждения пользователя). Этот вариант является оптимальным для рабочих станций, чтобы пользователи могли выбрать наиболее удобное время для перезагрузки.

  По умолчанию выбран этот вариант.

  • Повторять запрос периодически через (мин)

    Если выбран этот вариант, приложение с определенной частотой предлагает пользователю выполнить перезагрузку операционной системы.

    По умолчанию параметр включен. По умолчанию интервал составляет 5 минут. Допустимые значения: от 1 до 1440 минут.

    Если параметр выключен, предложение перезагрузки отображается только один раз.

  • Принудительно перезагружать через (мин)

    После предложения пользователю перезагрузить операционную систему, приложение выполняет принудительную перезагрузку по истечении указанного времени.

    По умолчанию параметр включен. По умолчанию интервал времени составляет 30 минут. Допустимые значения: от 1 до 1440 минут.

  • Принудительно закрывать приложения в заблокированных сеансах

    Запущенные приложения могут не позволить перезагрузить клиентское устройство. Например, если выполняется работа с документом в текстовом редакторе и изменения не сохранены, приложение не позволяет перезагрузить устройство.

    Если этот параметр включен, такие приложения на заблокированных устройствах принудительно закрываются перед перезагрузкой устройства. В результате пользователи могут потерять несохраненную работу.

    Если этот параметр выключен, заблокированное устройство не перезагружается. Состояние задачи на этом устройстве указывает на необходимость перезапуска устройства. Пользователям необходимо вручную закрыть все приложения, которые запущены на заблокированных устройствах, и перезагрузить эти устройства.

    По умолчанию параметр выключен.

Управление патчами и обновлениями

В разделе Управление патчами и обновлениями можно настроить получение и распространение обновлений и установку патчей на управляемые устройства:

• Автоматически устанавливать применимые обновления и патчи для компонентов со статусом "Не определено"

  Если флажок установлен, патчи "Лаборатории Касперского" со статусом одобрения Не определено устанавливаются автоматически на управляемые устройства сразу после загрузки с серверов обновлений.

  Если флажок снят, загруженные патчи "Лаборатории Касперского" со статусом Не определено устанавливаются после того, как администратор изменит их статус на Одобрен.

  По умолчанию параметр включен.

• Загружать обновления и антивирусные базы с Сервера администрирования заранее (рекомендуется)

  Если флажок снят, офлайн-модель получения обновлений выключена. Когда Сервер администрирования получает обновления, он уведомляет Агент администрирования (на устройствах, где он установлен) об обновлениях, которые потребуются для управляемых приложений. Когда Агенты администрирования получают информацию об обновлениях, они загружают нужные файлы с Сервера администрирования заранее. При первом соединении с Агентом администрирования Сервер инициирует загрузку обновлений этим Агентом. После того как Агент администрирования на клиентском устройстве загрузит все обновления, обновления становятся доступными для приложений на устройстве.

  Когда управляемое приложение на клиентском устройстве обращается к Агенту администрирования за обновлениями, Агент проверяет, есть ли у него необходимые обновления. Если обновления были получены от Сервера администрирования не раньше, чем за 25 часов с момента запроса управляемого приложения, Агент администрирования не подключается к Серверу администрирования и предоставляет управляемому приложению обновления из локального кеша. Соединение с Сервером администрирования может не выполняться, когда Агент администрирования предоставляет обновления для приложений на клиентских устройствах, но подключение не требуется для обновления.

  Если параметр выключен, офлайн-модель получения обновлений не используется. Обновления распространяются в соответствии с расписанием задачи загрузки обновлений.

  По умолчанию параметр включен.

Подключения

Раздел Подключения включает три вложенных раздела:

• Сеть
• Профили соединений
• Расписание соединений

В разделе Сеть можно настроить параметры подключения к Серверу администрирования, включить возможность использования UDP-порта и указать его номер.

• В блоке Подключиться к Серверу администрирования можно настроить параметры подключения к Серверу администрирования и указать период синхронизации клиентских устройств с Сервером администрирования:
  • Период синхронизации (мин)

    Агент администрирования синхронизирует управляемые устройства с Сервером администрирования. Рекомендуется задать период синхронизации (периодический сигнал) равным 15 минут на 10 000 управляемых устройств.

    Если установлен период синхронизации меньше 15 минут, то синхронизация выполняется каждые 15 минут. Если период синхронизации установлен на 15 минут или более, синхронизация выполняется с указанным периодом.

  • Сжимать сетевой трафик

    Если параметр выключен, будет увеличена скорость передачи данных Агентом администрирования, сокращен объем передаваемой информации и уменьшена нагрузка на Сервер администрирования.

    Нагрузка на центральный процессор клиентского компьютера может возрасти.

    По умолчанию флажок установлен.

  • Открывать порты Агента администрирования в брандмауэре Microsoft Windows

    Если параметр включен, UDP-порт, необходимый для работы Агента администрирования, будет добавлен в список исключений сетевого экрана Microsoft Windows.

    По умолчанию параметр включен.

  • Использовать SSL-соединение

    Если этот параметр включен, подключение к Серверу администрирования будет выполняться через защищенный порт с использованием SSL-протокола.

    По умолчанию параметр включен.

  • Использовать шлюз соединения точки распространения (при наличии) в параметрах подключения по умолчанию

    Если параметр включен, то используется шлюз соединений точки распространения, параметры которой заданы в свойствах группы администрирования.

    По умолчанию параметр включен.

• Использовать UDP-порт

  Чтобы управляемое устройство подключалось к прокси-серверу KSN через UDP-порт, установите флажок Использовать UDP-порт и укажите Номер UDP-порт. По умолчанию параметр включен. По умолчанию подключение к прокси-серверу KSN выполняется через UDP-порт 15111.

• Номер UDP-порта

  В поле можно ввести номер UDP-порта. По умолчанию установлен порт 15000.

  Используется десятичная форма записи.

• Использовать точку распространения для принудительного подключения к Серверу администрирования

  Выберите этот параметр, если вы выбрали параметр Использовать эту точку распространения в качестве push-сервера в окне параметров точки распространения. Иначе точка распространения не будет выполнять роль push-сервера.

В подразделе Профили соединений можно задать параметры сетевого местоположения и включить автономный режим, когда Сервер администрирования недоступен. Параметры раздела Профили соединений доступны только для устройств под управлением Windows:

• Параметры сетевого местоположения

  Параметры сетевого местоположения определяют характеристики сети, к которой подключено клиентское устройство, и задают правила переключения Агента администрирования с одного профиля подключения Сервера администрирования на другой при изменении характеристик сети.

• Профили подключения к Серверу администрирования

  Профили подключения поддерживаются только для устройств под управлением Windows.

  Вы можете просмотреть и добавить профили подключения Агента администрирования к Серверу администрирования. В этом разделе также можно сформировать правила переключения Агента администрирования на другие Серверы администрирования при возникновении следующих событий:

  • подключении клиентского устройства к другой локальной сети;
  • отключении устройства от локальной сети организации;
  • изменении адреса шлюза соединения или изменении адреса DNS-сервера.
• Включить автономный режим, когда Сервер администрирования недоступен

  Если параметр включен, при подключении через этот профиль приложения, установленные на клиентском устройстве, будут использовать профили политик для устройств, находящихся в автономном режиме, и политики для автономных пользователей. В случае, если для приложения политика для автономных пользователей не определена, приложение будет использовать активную политику.

  Если параметр выключен, приложения будут использовать активные политики.

  По умолчанию параметр выключен.

В разделе Расписание соединений можно задать временные интервалы, в которые Агент администрирования будет передавать данные на Сервер администрирования:

• Подключаться при необходимости

  Если выбран этот вариант, подключение будет устанавливаться тогда, когда Агенту администрирования нужно передать данные на Сервер администрирования.

  По умолчанию выбран этот вариант.

• Подключаться в указанные периоды

  Если выбран этот вариант, подключение Агента администрирования к Серверу администрирования выполняется в заданные периоды времени. Можно добавить несколько периодов подключения.

Опрос сети точками распространения

В разделе Опрос сети точками распространения вы можете настроить автоматический опрос сети. Вы можете использовать следующие параметры, чтобы включить опрос и настроить его расписание:

• IP-диапазоны

  Если этот параметр включен, точка распространения автоматически опрашивает IP-диапазоны в соответствии с расписанием, настроенным по кнопке Настроить расписание опроса.

  Если параметр выключен, точка распространения не выполняет опрос IP-диапазонов.

  Периодичность опроса IP-диапазонов для версий Агента администрирования версий ниже 10.2 можно настроить в поле Период опроса (мин). Поле доступно, если параметр включен.

  По умолчанию параметр выключен.

• Zeroconf

  Если этот параметр включен, точка распространения автоматически опрашивает сеть с устройствами IPv6, используя сеть с нулевой конфигурацией (далее также Zeroconf). В этом случае включенный опрос IP-диапазонов игнорируется, так как точка распространения опрашивает всю сеть.

  Чтобы можно было начать использовать Zeroconf, должны быть выполнены следующие условия:

  • Точка распространения должна работать под управлением Linux.
  • Вам нужно установить утилиту avahi-browse на точку распространения.

  Если этот параметр отключен, точка распространения не опрашивает сети с устройствами IPv6.

  По умолчанию параметр выключен.

• Контроллеры доменов

  Если этот параметр включен, точка распространения автоматически выполняет опрос контроллеров домена в соответствии с расписанием, настроенным по кнопке Настроить расписание опроса.

  Если параметр выключен, точка распространения не выполняет опрос контроллеров домена.

  Периодичность опроса контроллеров домена для версий Агента администрирования ниже 10.2 можно настроить в поле Период опроса (мин). Поле доступно, если этот параметр включен.

  По умолчанию параметр выключен.

Параметры сети для точек распространения

В разделе Параметры сети для точек распространения вы можете указать параметры доступа к интернету:

• Использовать прокси-сервер
• Адрес
• Номер порта
• Не использовать прокси-сервер для локальных адресов

  Если параметр включен, то при подключении к устройствам в локальной сети не используется прокси-сервер.

  По умолчанию параметр выключен.

• Аутентификация на прокси-сервере

  Если флажок установлен, в полях ввода можно указать учетные данные для аутентификации на прокси-сервере.

  По умолчанию флажок снят.

Прокси-сервер KSN (точки распространения)

В разделе Прокси-сервер KSN (точки распространения) вы можете настроить приложение так, чтобы точка распространения использовалась для пересылки Kaspersky Security Network (KSN) запросов от управляемых устройств:

• Включить прокси-сервер KSN на стороне точки распространения

  Служба прокси-сервера KSN выполняется на устройстве, которое выполняет роль точки распространения. Используйте этот параметр для перераспределения и оптимизации трафика сети.

  Точка распространения отправляет статистику KSN, указанную в Положении о Kaspersky Security Network, в "Лабораторию Касперского".

  По умолчанию параметр выключен. Включение этого параметра вступает в силу только в том случае, если параметры Использовать Сервер администрирования как прокси-сервер и Я принимаю условия использования Kaspersky Security Network включены в окне свойств Сервера администрирования.

  Можно назначить узлу отказоустойчивого кластера с холодным резервом (активный / пассивный) точку распространения и включить прокси-сервер KSN на этом узле.

• Пересылать KSN запрос Серверу администрирования

  Точка распространения пересылает KSN запросы от управляемых устройств Серверу администрирования.

  По умолчанию параметр включен.

• Доступ к облачной службе KSN/KPSN непосредственно через интернет

  Точка распространения пересылает KSN запросы от управляемых устройств облачной-службе KSN или KPSN. Запросы KSN, сгенерированные на самой точке распространения, также отправляются непосредственно в KSN Cloud или KPSN.

• TCP-порт

  Номер TCP-порта, который управляемые устройства используют для подключения к прокси-серверу KSN. По умолчанию установлен порт 13111.

• UDP-порт

  Чтобы управляемое устройство подключалось к прокси-серверу KSN через UDP-порт, установите флажок Использовать UDP-порт и укажите Номер UDP-порт. По умолчанию параметр включен. По умолчанию подключение к прокси-серверу KSN выполняется через UDP-порт 15111.

• Через HTTPS-порт

  Если вам нужно, чтобы управляемые устройства подключались к прокси-серверу KSN через порт HTTPS, включите параметр Использовать HTTPS и укажите номер порта в поле Через HTTPS-порт. По умолчанию параметр выключен. По умолчанию подключение к прокси-серверу KSN выполняется через HTTPS-порт 17111.

Обновления (точки распространения)

В разделе Обновления (точки распространения) вы можете включить функцию загрузки файлов различий, так как точки распространения получают обновления в виде файлов различий с серверов обновлений "Лаборатории Касперского".

Управление учетными записями (только для Linux)

Раздел Управление учетными записями (только для Linux) состоит из трех подразделов:

• Управление пользовательскими сертификатами
• Добавление или изменение групп локальных администраторов
• Загрузка референсного файла, для защиты файла sudoers на устройстве пользователя от изменений

В подразделе Управление пользовательскими сертификатами вы можете указать, какие корневые сертификаты устанавливать. Эти сертификаты могут использоваться, например, для проверки подлинности веб-сайтов или веб-серверов.

• Установить корневые сертификаты

  Если этот параметр включен, сертификаты, добавленные в таблицу, будут установлены на указанных устройствах.

  Если этот параметр выключен, сертификаты не будут установлены на указанные устройства.

  По умолчанию параметр выключен.

• Добавить

  Нажав на эту кнопку открывается окно, в котором можно добавить сертификат.

  Размер сертификата должен быть меньше 10 МБ.

  Kaspersky Security Center поддерживает сертификаты с расширениями CER, CRT, CERT, PEM и KEY.

В подразделе Добавление или изменение групп локальных администраторов вы можете управлять группами локальных администраторов. Эти группы используются, например, при отзыве прав локального администратора. Вы также можете проверить список учетных записей привилегированных пользователей, используя Отчет о привилегированных пользователях устройств (только для Linux).

• Добавить

  Нажмите на эту кнопку, чтобы добавить локальную группу администраторов.

• Изменить

  Нажмите на эту кнопку, чтобы изменить локальную группу администраторов.

  Эта кнопка доступна, если установлен флажок рядом с группой локальных администраторов.

• Удалить

  Нажмите на эту кнопку, чтобы удалить выбранную группу локальных администраторов из таблицы.

  Эта кнопка доступна, если установлен флажок рядом с группой локальных администраторов.

В подразделе Загрузка референсного файла, для защиты файла sudoers на устройстве пользователя от изменений вы можете настроить управление файлом sudoers. Привилегированные группы и пользователи устройства определяются файлом sudoers на устройстве. Файл sudoers находится в папке /etc/sudoers. Вы можете загрузить референсный файл sudoers, чтобы защитить файл sudoers от изменений. Это предотвратит нежелательные изменения файла sudoers.

Недопустимый референсный файл sudoers может привести к неисправности устройства пользователя.

• Контролировать файл sudoers

  Если этот параметр включен, файл sudoers будет заменен текущим референсным файлом sudoers.

  Если этот параметр выключен, файл sudoers остается без изменений.

  По умолчанию параметр выключен.

• Референсный файл sudoers

  В этом поле отображается имя загруженного референсного файла sudoers.

• Загрузить

  Нажмите на эту кнопку, чтобы загрузить референсный файл sudoers.

• Текущий референсный файл sudoers

  Нажмите на эту кнопку, чтобы просмотреть текущий файл sudoers.

История ревизий

На вкладке История ревизий вы можете:

• Просмотреть и сохранить историю изменений политики.
• Откатить к ревизии политики.
• Добавить и изменить описание ревизии политики.