Сценарий: создание иерархии Серверов администрирования, управляемых с помощью Kaspersky Security Center Cloud Console

Развернуть все | Свернуть все

В этом сценарии описываются действия, которые необходимо выполнить для создания иерархии Серверов администрирования, управляемых с помощью Kaspersky Security Center Cloud Console, которая, таким образом, выполняет роль главного Сервера администрирования. Эта иерархия может впоследствии использоваться для переноса данных управляемых устройств и объектов из программы Kaspersky Security Center в программу Kaspersky Security Center Cloud Console, а также для управления подчиненными Серверами администрирования и устройствами с помощью Kaspersky Security Center Cloud Console.

Kaspersky Security Center Cloud Console может выполнять роль только главного Сервера администрирования, а локальные Серверы администрирования могут выполнять роль только подчиненных Серверов администрирования. Другие схемы иерархии недоступны.

Предварительные требования

Убедитесь, что выполнены следующие предварительные требования:

• Обновление Сервера администрирования, работающего локально, до версии 12 или выше.
• Установка Kaspersky Security Center Web Console на Сервера администрирования, работающего локально.
• Установка веб-плагинов для программ, которыми вы планируете управлять с помощью Kaspersky Security Center Cloud Console.
• Обновление управляемых программ до версий, поддерживаемых Kaspersky Security Center Cloud Console.
• Убедитесь, что в задаче Загрузка обновлений в хранилище Сервера администрирования на локальном Сервере администрирования главный Сервер администрирования не назначен в качестве источника обновлений. Измените параметры задачи, если это необходимо.

После того, как создана иерархия политики и задачи, которые действуют в Kaspersky Security Center Cloud Console, применяются на подчиненном Сервере администрирования, заменяя существующие политики и задачи. Чтобы избежать такой ситуации, удалите все политики и задачи Kaspersky Security Center Cloud Console перед созданием иерархии. Также вы можете изменить состояние каждой политики Kaspersky Security Center Cloud Console на Неактивна в ее параметрах и выключить параметр Распространить на подчиненные и виртуальные Серверы администрирования в свойствах каждой задачи Kaspersky Security Center Cloud Console.

Вы можете удалить иерархию Серверов администрирования в любое время, если это необходимо.

Этапы создания иерархии

Основной сценарий предусматривает подчиненный Сервер администрирования, к которому невозможно получить доступ из интернета. Однако набор действий некоторых из описанных ниже шагов может отличаться, если подчиненный Сервер администрирования доступен из интернета. Также в этом случае некоторые шаги нужно пропустить.

Создание иерархии Серверов администрирования состоит из следующих этапов:

1. Получение сертификата подчиненного Сервера администрирования

   Если подчиненный Сервер администрирования доступен из интернета, пропустите этот шаг.

   В программе Kaspersky Security Center Web Console, работающей локально, откройте свойства Сервера администрирования и на вкладке Общие откройте раздел Общие. Перейдите по ссылке Просмотреть сертификат Сервера администрирования. Файл сертификата в формате CER автоматически сохраняется в папке, указанной в параметрах вашего браузера.

2. Получение параметров подключения и сертификатов из Kaspersky Security Center Cloud Console

   Если подчиненный Сервер администрирования доступен из интернета, пропустите этот шаг.

   В программе Kaspersky Security Center Cloud Console откройте свойства Сервера администрирования на вкладке Общие и откройте раздел Иерархия Серверов администрирования. Отображаются следующие параметры подключения:

   • HDS-адрес

     Отображается веб-адрес, используемый для подключения к Hosted Discovery Service (HDS).

   • HDS-порт

     Отображается номер порта, используемого для подключения к HDS.

   Раздел также содержит две ссылки:

   • Просмотреть сертификат Сервера администрирования

     При переходе по этой ссылке начинается загрузка открытого ключа экземпляра сертификата Kaspersky Security Center Cloud Console.

   • HDS-сертификат, выпущенный корневым центром сертификации

     При переходе по этой ссылке начинается загрузка файла с расширением pem, который содержит список доверенных корневых сертификатов, подписанных аккредитованным Центром сертификации (CA). Этот файл предназначен для использования подчиненным Сервером администрирования: он требуется для проверки HDS-сертификата.

   Скопируйте параметры подключения вручную, с помощью буфера обмена или любым другим удобным способом, и сохраните их в файл любого удобного формата. Перейдите по ссылке Просмотреть сертификат Сервера администрирования и дождитесь загрузки файла сертификата. Перейдите по ссылке HDS-сертификат, выпущенный корневым центром сертификации и дождитесь загрузки файла со списком доверенных корневых сертификатов, подписанных аккредитованным Центром сертификации. Оба файла сохраняются в папке, указанной в параметрах вашего браузера.

3. Выбор подчиненного Сервера администрирования для подключения

   В свойствах Сервера администрирования перейдите на вкладку Серверы администрирования. В иерархии групп администрирования установите флажок рядом с группой администрирования, в которой вы хотите разместить подчиненный Сервер администрирования со всеми его управляемыми устройствами. Нажмите на кнопку Подключить подчиненный Сервер администрирования.

   На открывшейся странице в поле Имя подчиненного Сервера администрирования укажите имя, под которым подчиненный Сервер администрирования должен отображаться в иерархии. Это имя используется только для вашего удобства и поэтому при необходимости может отличаться от реального имени подчиненного Сервера администрирования. Нажмите на кнопку Далее.

   Если подчиненный Сервер администрирования доступен из интернета, вы также должны указать адрес подчиненного Сервера администрирования в поле Адрес подчиненного Сервера администрирования (необязательно).

   На следующей странице нажмите на кнопку Обзор и укажите файл с расширением pem, который вы сохранили с подчиненного Сервера администрирования. Нажмите на кнопку Далее.

4. Включение и настройка параметров прокси-сервера

   Действия этого этапа являются необязательными. Выполняйте их, только если в вашем случае соединение требует использование прокси-сервера.

   Нажмите на кнопку Далее. На странице Задайте параметры подключения подчиненного Сервера к главному Серверу администрирования, вы можете включить и настроить использование прокси-сервера, если это необходимо. Установите флажок Использовать прокси-сервер и укажите следующие параметры прокси-сервера:

   • Адрес

     Адрес прокси-сервера.

   • Имя пользователя

     Имя пользователя для входа на прокси-сервер.

   • Пароль

     Пароль для входа на прокси-сервер.

5. Задание параметров аутентификации и добавление подчиненного Сервера администрирования в иерархию

   Нажмите на кнопку Далее. На странице Учетные данные подчиненного Сервера администрирования укажите следующие параметры:

   • Имя пользователя

     Имя пользователя, под которым вы входите на подчиненный Сервер администрирования.

   • Пароль

     Пароль, используемый для входа на подчиненный Сервер администрирования.

   Нажмите на кнопку Далее и дождитесь появления подчиненного Сервера администрирования в иерархии.

   Если подчиненный Сервер администрирования доступен из интернета, он подключается к главному Серверу администрирования.

   Если подчиненный Сервер администрирования доступен из интернета и соединение между двумя Серверами администрирования успешно установлено, пропустите все следующие шаги.

   Если к подчиненному Серверу администрирования невозможно получить доступ из интернета, он становится видимым, но для получения над ним контроля необходимо выполнить дополнительные действия на подчиненном Сервере администрирования.

6. Настройка подключения в программе Kaspersky Security Center Web Console, работающей локально

   В программе Kaspersky Security Center Web Console, работающей локально, откройте свойства Сервера администрирования и на вкладке Общие откройте раздел Иерархия Серверов администрирования. Установите флажок Данный Сервер администрирования является подчиненным в иерархии. В списке Тип главного Сервера администрирования выберите параметр Cloud Console.

   Kaspersky Security Center Web Console проверяет, указан ли главный Сервер администрирования в качестве источника обновлений в задаче Загрузить обновления в хранилище Сервера администрирования. Если в качестве источника обновлений указан главный Сервер администрирования, вы получите соответствующее сообщение и ссылку на параметры задачи. Вы можете изменить параметры, а затем вернуться к созданию иерархии, или вы можете пропустить это действие и продолжить создание иерархии.

   В группе Параметры для соединения между подчиненным и главным Серверами администрирования укажите следующие параметры:

   • Адрес HDS-сервера (для главного Сервера администрирования на Kaspersky Security Center Cloud Console)

     Введите адрес HDS-сервера в формате полного доменного имени (FQDN); вы скопировали и сохранили этот адрес из свойств Сервера администрирования в Kaspersky Security Center Cloud Console.

   • Порты HDS-сервера

     Введите номера портов HDS-сервера, которые вы скопировали и сохранили из свойств Сервера администрирования в Kaspersky Security Center Cloud Console.

7. Добавление сертификатов на подчиненный Сервер администрирования

   Нажмите на кнопку Укажите сертификат главного Сервера администрирования и укажите файл сертификата, который вы сохранили в свойствах Сервера администрирования в Kaspersky Security Center Cloud Console.

   Нажмите на кнопку Укажите сертификат службы Hosted Discovery Service и укажите файл .pem, который вы сохранили из свойств Сервера администрирования в Kaspersky Security Center Cloud Console.

   Если вы включили использование прокси-сервера при подключении подчиненного Сервера администрирования в Kaspersky Security Center Cloud Console, установите флажок Использовать прокси-сервер и укажите параметры прокси-сервера, как и в Kaspersky Security Center Cloud Console.

   Вы также можете установить флажок Подключать главный Сервер к подчиненному Серверу в демилитаризованной зоне, если подчиненный Сервер администрирования находится в демилитаризованной зоне (DMZ).

   Демилитаризованная зона – это сегмент локальной сети, в которой находятся серверы, отвечающие на запросы из глобальной сети. В целях обеспечения безопасности локальной сети организации доступ в локальную сеть из демилитаризованной зоны ограничен и защищен сетевым экраном.

   Подчиненный Сервер администрирования подключается к главному Серверу администрирования.

Результаты

Выполнив вышеуказанные шаги, вы можете убедиться, что иерархия создана успешно:

• Активные политики главного Сервера администрирования вступают в силу на подчиненном Сервере администрирования. Задачи главного Сервера администрирования распространяются на подчиненный Сервер администрирования. Если параметр Распространить на подчиненные и виртуальные Серверы администрирования включен в параметрах групповой задачи, каждая такая задача также распространяется на подчиненный Сервер администрирования.
• Параметры политики, заблокированные для изменений на главном Сервере администрирования, отображаются как заблокированные для изменений во всех политиках на подчиненном Сервере администрирования.
• Политики, примененные на главном Сервере администрирования, отображаются в списке политик подчиненного Сервера администрирования (Устройства → Политики и профили политик).
• Групповые задачи, распространенные главным Сервером администрирования, отображаются в списке задач подчиненного Сервера администрирования (Устройства → Задачи).
• Политики и задачи, созданные на главном Сервере администрирования, невозможно изменить на подчиненном Сервере администрирования.
• В структуре групп администрирования Kaspersky Security Center Cloud Console подчиненный Сервер администрирования отображается в группе, выбранной вами при добавлении Сервера администрирования.