網路代理政策設定

延伸所有 | 折疊所有

若設定網路代理政策：

1. 在主控台樹狀目錄中，選取政策資料夾。
2. 在資料夾的工作區中，選取網路代理政策。
3. 在政策的上下文功能表中，選取內容。

網路代理政策的內容視窗開啟。

一般

在一般區域，您可以修改政策狀態並指定政策設定的繼承：

• 在政策狀態區塊中，您可以選取一種政策模式：
  • 啟用政策

    如果選取該選項，政策將變為啟用狀態。

    預設情況下已選定此選項。

  • 漫遊政策

    如果選取該選項，政策將在裝置離開企業網路時變為啟用狀態。

  • 停用政策

    如果選取該選項，政策將變為不啟用狀態，但它仍然儲存在政策資料夾中。如果需要，您可以啟動該政策。

• 在設定繼承設定群組中，您可以配置政策繼承：
  • 從父政策繼承設定

    如果啟用此選項，則政策設定值將繼承上一級群組政策，因而會受到鎖定。

    預設情況下已啟用該選項。

  • 在子政策中強制繼承設定

    如果啟用此選項，則在套用政策變更之後，程式將執行以下操作：

    • 政策設定的值將被傳送到管理子群組的政策，也就是子政策。
    • 在每個子政策內容視窗的一般區域的設定繼承區塊，系統將自動選取從父政策繼承設定核取方塊。

    如果啟用此方塊，則會鎖定子政策設定。

    預設情況下已停用該選項。

事件配置

事件配置區域可讓您配置事件記錄和事件通知。事件根據嚴重等級用下面的標籤分佈：

• 緊急

  緊急頁籤不會顯示在網路代理政策內容中。

• 功能失效
• 警告
• 資訊

在每個標籤，清單顯示在管理伺服器上事件類型和預設事件儲存的期限（天）。點擊內容 按鈕，您可以指定清單中已選中的事件記錄和通知設定。預設下，為整個管理伺服器指定的通用通知設定被用於所有事件類型。然後，您可以變更所需事件類型的特別設定。

例如，在警告頁簽上，您可以配置發生了事件事件類型。例如，當發佈點的可用磁碟空間小於 2 GB（遠端安裝應用程式和下載更新至少需要 4 GB）時，此類事件可能發生。要配置發生了事件事件，請選擇它並點擊內容按鈕。之後，您可以指定將發生的事件儲存在何處以及如何通知它們。

如果網路代理偵測到事件，您可以使用受管理裝置設定。

要選取多個事件種類，使用 Shift 或 Ctrl 鍵；要選取所有類型，使用選擇所有按鈕。

設定

在設定區域，您可以配置網路代理政策：

• 僅透過發佈點分發檔案

  如果啟用此選項，受管理裝置上的網路代理僅從發佈點擷取更新。

  如果停用此選項，受管理裝置上的網路代理從發佈點或從管理伺服器擷取更新。

  請注意，受管理裝置上的安全應用程式從每個安全應用程式的更新工作中的來源集中擷取更新。如果您啟用僅透過發佈點分發檔案選項，請確保在更新工作中將卡巴斯基安全管理中心設定為更新來源。

  預設情況下已停用該選項。

• 事件佇列最大值(MB)

  在該欄位中，您可以指定事件佇列可在磁碟機上佔據的最大空間。

  預設值為 2 MB。

• 應用程式被允許在裝置上獲取政策延伸資料

  安裝在受管理裝置的網路代理會傳輸已套用安全應用程式政策的相關資訊至安全應用程式（例如 Kaspersky Endpoint Security for Windows）。您可在安全應用程式介面檢視已傳輸的資訊。

  網路代理會傳輸以下資訊：

  • 政策傳送至受管理裝置的時間
  • 政策傳送至受管理裝置時啟用中或漫遊政策的名稱
  • 政策傳送至受管理裝置時，受管理裝置包含的管理群組名稱與連結路徑
  • 啟用政策設定檔清單

    您也可使用資訊確保套用正確政策至裝置和用於疑難排解。預設情況下已停用該選項。

• 防護網路代理服務免遭非授權的移除或終止，並防止設定變更

  如果啟用該選項，則網路代理被安裝到受管理裝置之後，沒有所需權限元件無法被移除或重新設定。網路代理服務無法被停止。此選項對網域控制器沒有影響。

  啟用此選項可防護以本機管理員權限操作的工作站上的網路代理。

  預設情況下已停用該選項。

• 使用解除安装密碼

  如果選取該方塊，則按一下修改按鈕可以指定 klmover 公用程式和網路代理遠端移除的密碼。

  預設情況下已停用該選項。

儲存區

在儲存區區域，您可以選取將其資訊從網路代理傳送到管理伺服器的物件類型。如果網路代理政策禁止本區域中某些設定，則您無法修改這些設定。儲存區區域的設定僅在執行 Windows 的裝置上可用：

• Windows Update 更新詳情

  如果啟用此選項，會將用戶端裝置上應該安裝的 Microsoft Windows Update 更新資訊傳送至管理伺服器。

  有時候，即使停用該選項，更新也會顯示在可用更新區域的裝置屬性中。例如，若組織的裝置具有可由這些更新修復的弱點，就可能會發生這個情況。

  預設情況下已啟用該選項。它僅適用於 Windows。

• 軟體弱點和對應更新的詳情

  若啟用此選項，協力廠商的弱點（包含 Microsoft 軟體）、受管理裝置上偵測到的資訊以及修復協力廠商弱點的軟體更新資訊（不含 Microsoft 軟體）都會傳送至管理伺服器。

  選取此選項（軟體弱點和對應更新的詳情）會增加網路負載、管理伺服器磁碟負載和網路代理的資源消耗。

  預設情況下已啟用該選項。它僅適用於 Windows。

  若要管理 Microsoft 軟體更新，請使用Windows Update 更新詳情選項。

• 硬體登錄資料詳細資訊

  安裝在裝置上的網路代理會向管理伺服器傳送關於裝置硬體的資訊。您可以在裝置內容中檢視硬體詳細資訊。

  確保在要從中獲取硬體詳細資訊的 Linux 裝置上安裝了 lshw 公用程式。根據所使用的 hypervisor，從虛擬機獲取的硬體詳細資訊可能不完整。

• 已安裝應用程式詳情

  如果啟用此選項，會將安裝在用戶端裝置上的應用程式資訊傳送至管理伺服器。

  預設情況下已啟用該選項。

• 包括修補程式資訊

  安裝在用戶端裝置的應用程式修補程式的資訊會傳送至管理伺服器。啟用此選項可能增加管理伺服器和 DBMS 的負載，並造成資料庫的流量增加。

  預設情況下已啟用該選項。它僅適用於 Windows。

軟體更新和弱點

在軟體更新和弱點區域，您可以設定搜尋和發佈 Windows 更新，以及啟用掃描可執行檔以發現弱點。軟體更新和弱點區域的設定僅在執行 Windows 的裝置上可用：

• 使用管理伺服器作為 WSUS 伺服器

  如果啟用此選項，Windows 更新下載到管理伺服器。管理伺服器提供以集線模式透過網路代理下載更新到用戶端裝置的 Windows 更新服務。

  如果停用此選項，則不使用管理伺服器下載 Windows 更新。此種情況下，用戶端裝置自己接收 Windows 更新。

  預設情況下已停用該選項。

• 在允許使用者管理 Windows Update 更新的安裝下，您可以限制使用者可以使用 Windows Update 在他們的裝置上手動安裝的 Windows 更新。

  在執行 Windows 10 的裝置上，如果 Windows Update 已為裝置找到更新，您在允許使用者管理 Windows Update 更新安裝下選取的新選項將僅在發現的更新被安裝後才被套用。

  在下拉清單中選取項目：

  • 允許使用者安裝所有可套用 Windows Update 更新

    使用者可以安裝所有可套用到他們裝置的 Microsoft Windows Update 更新。

    如果您不希望干預更新安裝，請選取該選項。

    當使用者手動安裝 Microsoft Windows Update 更新時，更新可能從 Microsoft 伺服器下載，而不是從管理伺服器。如果管理伺服器還未下載這些更新，這是可能的。從 Microsoft 伺服器下載更新導致額外流量。

  • 僅允許使用者安裝批准的 Windows Update 更新

    使用者可以安裝所有可應用到他們裝置的和您批准的 Microsoft Windows Update 更新。

    例如，您可能想先在測試環境中檢查更新安裝以確保它們不干預裝置操作，僅在這之後允許安裝這些批准的更新到用戶端裝置。

    當使用者手動安裝 Microsoft Windows Update 更新時，更新可能從 Microsoft 伺服器下載，而不是從管理伺服器。如果管理伺服器還未下載這些更新，這是可能的。從 Microsoft 伺服器下載更新導致額外流量。

  • 不允許使用者安裝 Windows Update 更新

    使用者無法在他們的裝置上手動安裝 Microsoft Windows Update 更新。所有可套用更新根據您的設定而安裝。

    如果您想要集中管理更新的安裝則選則此選項。

    例如，您可以想最佳化更新排程以便網路不超載。您可以計畫稍後更新，以便它們不干預使用者工作。

• 在Windows Update 搜尋模式設定群組中，您可以選取更新搜尋模式：
  • 作用中

    如果選中該選項，管理伺服器支援使用網路代理在用戶端裝置上從 Windows 更新代理傳送請求至更新來源：Windows 更新伺服器（或簡稱為 WSUS）。然後，網路代理會將從 Windows 更新代理接收到的資訊傳送給管理伺服器。

    只有選取弱點掃描和所需更新工作的連線更新伺服器更新資料選項時，此選項才會發揮效力。

    預設情況下已選定此選項。

  • 被動

    如果您選定該選項，網路代理將從上次同步更新來源之後定期從 Windows 更新代理將所擷取更新的資訊傳遞給管理伺服器。如果 Windows 更新代理沒有執行與更新來源同步，在管理伺服器上的更新資訊就不再是最新的。

    若要從更新來源的記憶體快取獲得更新，請選取此選項。

  • 已停用

    如果選中該選項，管理伺服器不會請求任何有關更新的資訊。

    若您要在本機裝置先測試更新，請選取此選項。

• 當執行可執行檔時掃描其弱點

  如果啟用此選項，系統將在執行可執行檔時掃描弱點。

  預設情況下已啟用該選項。

重新啟動管理

如果您的作業系統必須在您使用、安裝或移除安裝應用程式時重新啟動受管理裝置，請在重新啟動管理區域指定執行的操作。重新啟動管理區域的設定僅在執行 Windows 的裝置上可用：

• 不要重新啟動作業系統

  作業系統將不重新啟動。

• 如果必要，自動重新啟動作業系統

  如果必要，作業系統自動重新啟動。

• 提示使用者操作

  程式提示使用者重新啟動作業系統。

  預設情況下已選定此選項。

  • 重複提示間隔（分鐘）

    如果啟用此選項，程式會以方塊旁邊的欄位指定的頻率提示使用者重新啟動作業系統。預設情況下，提示頻率為 5 分鐘。

    如果停用此選項，應用程式不會反復提示使用者重新啟動。

    預設情況下已啟用該選項。

  • 在指定時間後強制重新啟動（分鐘）

    如果啟用此選項，提示使用者之後，程式強制作業系統在方塊旁邊欄位指定的時間間隔結束後進行重新啟動。

    如果停用此選項，程式不會強制重新啟動。

    預設情況下已啟用該選項。

  • 在此時間後強制關閉封鎖連線中的應用程式 (分鐘)

    使用者裝置鎖定時，程式以強制模式關閉（指定不活動間隔之後自動鎖定，或手動鎖定）。

    如果啟用此選項，一旦輸入區域指定的時間間隔結束，鎖定裝置上的程式以強制模式關閉。

    如果停用此選項，鎖定裝置上的程式將不會關閉。

    預設情況下已停用該選項。

Windows 桌面共用

您可以透過Windows 共用桌面區域啟用並設定在使用共用桌面存取時使用者的遠端裝置上執行的管理員操作的稽核。Windows 共用桌面區域的設定僅在執行 Windows 的裝置上可用：

• 啟用稽核

  如果啟用此選項，則會啟用遠端裝置上管理員的操作稽核。遠端裝置上的管理員操作是被一一記錄下來的：

  • 在遠端裝置的事件記錄中
  • 在位於遠端裝置上網路代理安裝資料夾中的副檔名為 syslog 的檔案中
  • 卡巴斯基安全管理中心的事件資料庫

  當符合以下條件時，管理員可使用操作稽核：

  • 弱點和修補程式管理授權使用中
  • 管理員有權啟動共用存取遠端裝置的桌面

  如果清除該選項，則會停用遠端裝置上的管理員操作稽核。

  預設情況下已停用該選項。

• 讀取時要監控的檔案遮罩

  清單包含檔案遮罩。啟用稽核時，應用程式會監控管理員的讀取檔案是否與已讀取檔案的遮罩和從屬資訊相符。若已選取啟用稽核核取方塊，則可使用該清單。您可編輯檔案遮罩並新增一個至清單。各個新檔案遮罩應在新行的清單中指定。

  預設，指定了以下檔案遮罩:*.txt, *.rtf, *.doc, *.xls, *.docx, *.xlsx, *.odt, *.pdf.

• 修改時要監控的檔案遮罩

  該清單包含遠端裝置上的檔案遮罩。啟用稽核時，應用程式會監控管理員在符合遮罩的檔案中所作的變更，並儲存這些修改的資訊。若已選取啟用稽核核取方塊，則可使用該清單。您可編輯檔案遮罩並新增一個至清單。各個新檔案遮罩應在新行的清單中指定。

  預設，指定了以下檔案遮罩:*.txt, *.rtf, *.doc, *.xls, *.docx, *.xlsx, *.odt, *.pdf.

管理修補程式和更新

在管理修補程式和更新區域，您可以設定更新的下載和發佈以及修補程式在受管理裝置上的安裝：

• 對未定義狀態的元件自動安裝可套用更新和修補程式

  如果啟用此選項，帶有未定義批准狀態的 Kaspersky 應用程式在從更新伺服器下載後將被自動安裝在受管理裝置。

  如果停用此選項，被下載和標注為未定義狀態的 Kaspersky 修補程式將僅在您改變其狀態為已批准是被安裝。

  預設情況下已啟用該選項。

• 提前從管理伺服器下載更新和病毒資料庫（建議）

  如果啟用此選項，離線模式更新下載被使用。當管理伺服器接收更新時，它通知網路代理（安裝網路代理的裝置）將用於受管理應用程式的更新。當網路代理接收更新的資訊後，它提前從管理伺服器下載相關檔案。在第一次連線網路代理時，管理伺服器發起更新下載。網路代理下載所有更新到用戶端裝置後，更新對該裝置上的應用程式可用。

  當用戶端裝置上的受管理應用程式嘗試存取網路代理以更新時，該網路代理檢查其是否具有所有所需的更新。如果在受管理應用程式請求更新之前 25 小時內，更新已從管理伺服器收到，則網路代理不連線到管理伺服器，而是從本機快取提供更新給受管理應用程式。當網路代理提供更新到用戶端裝置上的應用程式時，可能不會建立到管理伺服器的連線，但是更新不需要連線。

  如果停用此選項，離線模式更新下載不被使用。更新依據更新下載工作的排程被發佈。

  預設情況下已啟用該選項。

連線

連線區域包含三個嵌套子區域：

• 網路
• 連線設定檔（僅限 Windows 和macOS）
• 連線排程

在網路子區域，您可以設定到管理伺服器的連線、啟用 UDP 連接埠，和指定埠號。提供以下功能：

• 在到管理伺服器的連線設定群組中，您可以設定到管理伺服器的連線，並指定同步用戶端裝置和管理伺服器的時間間隔：
  • 壓縮網路流量

    如果啟用此選項，則透過減少所傳輸的流量進而減少管理伺服器的負載來提高網路代理的資料傳輸速度。

    用戶端裝置上的 CPU 負載可能會增加。

    預設情況下會啟用此核取方塊。

  • 在 Microsoft Windows 防火牆中開啟網路代理連接埠

    如果啟用此選項，網路代理工作所需的 UDP 連接埠將新增到 Microsoft Windows 防火牆排除清單中。

    預設情況下已啟用該選項。

  • 使用 SSL

    如果啟用此選項，則使用 SSL 通訊協定透過安全連接埠連線管理伺服器。

    預設情況下已啟用該選項。

  • 以預設連線設定在發佈點（如果可用）上使用連線閘道

    如果啟用此選項，發佈點上的連線閘道在管理群組屬性指定的設定下使用。

    預設情況下已啟用該選項。

• 使用 UDP 連接埠

  如果需要受管理裝置透過 UDP 連接埠連線到 KSN 代理伺服器，啟用使用 UDP 連接埠選項，並指定 UDP 連接埠號。預設情況下已啟用該選項。連線到 KSN 代理伺服器的預設 UDP 連接埠是 15111。

• UDP 連接埠號

  在該欄位中，您可以輸入 UDP 連接埠號。預設埠號為 15000。

  使用十進位系統記錄。

  如果用戶端裝置執行在 Windows XP Service Pack 2 系統下，則整合的防火牆會封鎖 UDP 連接埠 15000。請手動開啟此連接埠。

• 使用發佈點強制連線到管理伺服器

  如果您選取了將此發佈點用作推送伺服器發佈點設定視窗中的選項。否則，發佈點將不會作為推送伺服器。

在連線設定檔區域中，您可以指定網路位置設定，為管理伺服器配置連線設定檔，和在管理伺服器不可用時啟用漫遊模式。連線設定檔區域的設定僅在執行 Windows 和 macOS 的裝置上可用：

• 網路位置設定

  網路位置設定定義用戶端裝置所連線的網路內容，並指定當網路內容改變時，網路代理從一個管理伺服器連線設定檔轉換到另一個的規則。

• 管理伺服器連線設定檔

  在該區域中，您可以檢視和設定網路代理至管理伺服器的連線。在該區域，您也可以建立當以下事件發生時，轉換網路代理到不同管理伺服器的規則：

  • 當用戶端裝置連線到另一個本機網路時
  • 當裝置與組織的本機網路遺失連線時
  • 當連線閘道的位址變更或 DNS 伺服器位址修改時

  連線設定檔僅支援執行 Windows 和 macOS 的裝置。

• 當管理伺服器不可用時啟用漫遊模式

  如果啟用此選項，則在透過該設定檔連線的情況下，用戶端裝置上安裝的應用程式將使用漫遊模式裝置的政策設定檔，以及漫遊政策。如果沒有為應用程式定義漫遊政策，則使用啟動政策。

  如果停用此選項，則應用程式將使用已啟動的政策。

  預設情況下已停用該選項。

在連線排程子區域中，可以指定網路代理傳送資料到管理伺服器的時間間隔：

• 必要時連線

  如果選中此選項，當網路代理需要傳送資料到管理伺服器時連線才被建立。

  預設情況下已選定此選項。

• 在指定時間間隔連線

  如果選中此選項，網路代理在指定時間連線到管理伺服器。您可以新增若干個連線時間段。

發佈點

發佈點區域包含四個嵌套子區域：

• 網路輪詢
• 網際網路連線設定
• KSN 代理
• 更新

在網路輪詢子區域，您可以設定網路自動輪詢。您可以啟用三種類型的輪詢，即網路輪詢、IP 範圍輪詢和 Active Directory 輪詢：

• 啟用網路輪詢

  如果啟用此選項，則管理伺服器將按照您按一下設定快速輪詢排程和設定完整輪詢排程連結所配置的排程自動輪詢網路。

  如果停用此選項，管理伺服器將以網路輪詢頻率（分鐘）欄位中指定的時間間隔輪詢網路。

  對於 10.2 之前的版本，網路代理的裝置發現間隔可在Windows 網域的輪詢頻率（分鐘）（對於快速 Windows 網路輪詢）和網路輪詢頻率（分鐘）（對於完整 Windows 網路輪詢）欄位中設定。

  預設情況下已停用該選項。

• 啟用 IP 範圍輪詢

  如果啟用此選項，則發佈點將按照您按一下設定輪詢排程按鈕所配置的排程自動輪詢 IP 範圍。

  如果停用此選項，則發佈點將不輪詢 IP 範圍。

  在 10.2 版之前的網路代理中，可在輪詢間隔（分鐘）欄位中配置 IP 範圍的輪詢頻率。若啟用該選項，可使用區域。

  預設情況下已停用該選項。

• 使用 Zeroconf 輪詢（僅限 Linux 平台；將略過手動指定的 IP 範圍）

  如果啟用此選項，發佈點將使用零配置網路（也稱為 Zeroconf）用 IPv6 裝置自動輪詢網路。在這種情況下，啟用的 IP 範圍輪詢將被忽略，因為發佈點會輪詢整個網路。

  要開始使用 Zeroconf，必須滿足以下條件：

  • 發佈點必須執行 Linux。
  • 您必須在發佈點上安裝 avahi-browse 公用程式。

  如果停用此選項，則發佈點不會使用 IPv6 裝置輪詢網路。

  預設情況下已停用該選項。

• 啟用 Active Directory 輪詢

  如果啟用此選項，則發佈點將按照您按一下設定輪詢排程連結所配置的排程自動輪詢 Active Directory。

  如果停用此選項，則管理伺服器將不輪詢 Active Directory。

  在 10.2 版之前的網路代理中，可在 輪詢間隔（分鐘） 欄位中設定 Active Directory 的輪詢頻率。如果啟用此選項，則該欄位可用。

  預設情況下已停用該選項。

在網際網路連線設定子區域，您可以指定網際網路連線設定：

• 使用代理伺服器

  如果選取該方塊，您可以在輸入欄位中配置代理伺服器連線。

  預設情況下已清空此方塊。

• 代理伺服器位址

  代理伺服器位址。

• 連接埠號

  用於連線的埠號。

• 略過本機位址的代理伺服器

  如果啟用此選項，則不使用代理伺服器連線本機網路的裝置。

  預設情況下已停用該選項。

• 代理伺服器身分驗證

  如果選取該方塊，您可以在輸入欄位中為代理伺服器身分驗證指定憑證。

  預設情況下已清空此方塊。

• 使用者名稱

  建立連線代理伺服器的使用者帳戶。

• 密碼

  工作執行時使用的帳戶的密碼。

在 KSN 代理子區域，您可以設定應用程式使用發佈點，以從受管理裝置轉發 KSN 請求：

• 在發佈點端啟用 KSN 代理

  KSN 代理服務執行在用作發佈點的裝置上。使用該功能重新分發和最佳化網路流量。

  發佈點傳送列在卡巴斯基安全網路聲明中的統計資訊到 Kaspersky。依預設，KSN 聲明位於 %ProgramFiles%\Kaspersky Lab\Kaspersky Security Center\ksneula。

  預設情況下已停用該選項。啟用該選項僅在使用管理伺服器作為代理伺服器和我同意使用卡巴斯基安全網路選項在管理伺服器內容視窗中被啟用時起作用。

  您可以指派活動被動叢集節點到發佈點並在該節點上啟用 KSN 代理伺服器。

• 轉發 KSN 請求到管理伺服器

  發佈點從受管理裝置轉發 KSN 請求到管理伺服器。

  預設情況下已啟用該選項。

• 透過網際網路直接存取 KSN 雲端 / 私有 KSN

  發佈點從受管理裝置轉發 KSN 請求到 KSN 雲端或私有 KSN。在發佈點上自行產生的 KSN 要求頁會直接傳送至 KSN 雲端或私有 KSN。

  已安裝網路代理版本 11（或更早版本）的發佈點無法直接存取私有 KSN。若要重新設定發佈點傳送 KSN 要求至私有 KSN，請為各發佈點啟用 轉發 KSN 請求到管理伺服器選項。

  已安裝網路代理版本 12（或更新版本）的發佈點可直接存取私有 KSN。

• TCP 連接埠

  受管理裝置將用於連線到 KSN 代理伺服器的 TCP 埠號。預設埠號為 13111。

• 使用 UDP 連接埠

  如果需要受管理裝置透過 UDP 連接埠連線到 KSN 代理伺服器，啟用使用 UDP 連接埠選項，並指定 UDP 連接埠號。預設情況下已啟用該選項。連線到 KSN 代理伺服器的預設 UDP 連接埠是 15111。

在更新子區段，您可以透過啟用或停用下載差異檔案選項指定網路代理是否應該下載差異檔案。（預設啟用該選項。）

變更歷程

在變更歷程頁籤，您可以檢視網路代理政策修訂歷程。您可以比較修訂、檢視修訂以及執行進階操作，例如儲存修訂到檔案、回溯到修訂和新增/編輯修訂敘述。

網路代理作業系統的功能比較

下表顯示了您可以使用哪些網路代理政策設定來配置具有特定作業系統的網路代理。

網路代理政策設定：按作業系統比較