網路代理政策設定

延伸所有 | 折疊所有

若設定網路代理政策：

1. 在主功能表中，轉至 裝置 → 政策和設定檔。
2. 按一下網路代理政策的名稱。

   網路代理政策的內容視窗開啟。

考慮到基於 Windows、macOS 和 Linux 的裝置，有各種設定可使用。

一般

在此頁簽上，您可以修改政策狀態並指定政策設定的繼承：

• 在政策狀態下，您可以選取以下政策模式之一：
  • 作用中

    如果選取該選項，政策將變為啟用狀態。

    預設情況下已選定此選項。

  • 非作用中

    如果選取該選項，政策將變為不啟用狀態，但它仍然儲存在政策資料夾中。如果需要，您可以啟動該政策。

• 在設定繼承設定群組中，您可以配置政策繼承：
  • 從父政策繼承設定

    如果啟用此選項，則政策設定值將繼承上一級群組政策，因而會受到鎖定。

    預設情況下已啟用該選項。

  • 在子政策中強制繼承設定

    如果啟用此選項，則在套用政策變更之後，程式將執行以下操作：

    • 政策設定的值將被傳送到管理子群組的政策，也就是子政策。
    • 在每個子政策內容視窗的一般區域的設定繼承區塊，系統將自動選取從父政策繼承設定核取方塊。

    如果啟用此方塊，則會鎖定子政策設定。

    預設情況下已停用該選項。

事件配置

在此頁簽上，您可以配置事件記錄和事件通知。事件根據重要性級別分佈在以下部分中的 事件配置 頁簽上：

• 功能失效
• 警告
• 資訊

在每個區域，事件類型清單顯示事件類型和在管理伺服器上的預設事件儲存期限（天）。點擊事件類型後，您可以指定清單中已選中的事件記錄和通知設定。預設下，為整個管理伺服器指定的通用通知設定被用於所有事件類型。然後，您可以變更所需事件類型的特別設定。

例如，在警告區域，您可以配置發生了事件事件類型。例如，當發佈點的可用磁碟空間小於 2 GB（遠端安裝應用程式和下載更新至少需要 4 GB）時，此類事件可能發生。若要配置發生了事件事件，按一下它並指定儲存發生的事件的位置以及如何通知它們。

如果網路代理偵測到事件，您可以使用受管理裝置設定。

應用程式設定

設定

在設定區域，您可以配置網路代理政策：

• 僅透過發佈點分發檔案

  如果啟用此選項，受管理裝置上的網路代理僅從發佈點擷取更新。

  如果停用此選項，受管理裝置上的網路代理從發佈點或從管理伺服器擷取更新。

  請注意，受管理裝置上的安全應用程式從每個安全應用程式的更新工作中的來源集中擷取更新。如果您啟用僅透過發佈點分發檔案選項，請確保在更新工作中將卡巴斯基安全管理中心設定為更新來源。

  預設情況下已停用該選項。

• 事件佇列最大值 (MB)

  在該欄位中，您可以指定事件佇列可在磁碟機上佔據的最大空間。

  預設值為 2 MB。

• 應用程式被允許在裝置上獲取政策延伸資料

  安裝在受管理裝置的網路代理會傳輸已套用安全應用程式政策的相關資訊至安全應用程式（例如 Kaspersky Endpoint Security for Windows）。您可在安全應用程式介面檢視已傳輸的資訊。

  網路代理會傳輸以下資訊：

  • 政策傳送至受管理裝置的時間
  • 政策傳送至受管理裝置時啟用中或漫遊政策的名稱
  • 政策傳送至受管理裝置時，受管理裝置包含的管理群組名稱與連結路徑
  • 啟用政策設定檔清單

    您也可使用資訊確保套用正確政策至裝置和用於疑難排解。預設情況下已停用該選項。

• 防護網路代理服務免遭非授權的移除或終止，並防止設定變更

  如果啟用該選項，則網路代理被安裝到受管理裝置之後，沒有所需權限元件無法被移除或重新設定。網路代理服務無法被停止。此選項對網域控制器沒有影響。

  啟用此選項可防護以本機管理員權限操作的工作站上的網路代理。

  預設情況下已停用該選項。

• 使用解除安装密碼

  如果選取該方塊，則按一下修改按鈕可以指定 klmover 公用程式和網路代理遠端移除的密碼。

  預設情況下已停用該選項。

儲存區

在儲存區區域，您可以選取將其資訊從網路代理傳送到管理伺服器的物件類型。如果網路代理政策禁止本區域中某些設定，則您無法修改這些設定。

• 已安裝應用程式詳情

  如果啟用此選項，會將安裝在用戶端裝置上的應用程式資訊傳送至管理伺服器。

  預設情況下已啟用該選項。

• 包括修補程式資訊

  安裝在用戶端裝置的應用程式修補程式的資訊會傳送至管理伺服器。啟用此選項可能增加管理伺服器和 DBMS 的負載，並造成資料庫的流量增加。

  預設情況下已啟用該選項。它僅適用於 Windows。

• Windows Update 更新詳情

  如果啟用此選項，會將用戶端裝置上應該安裝的 Microsoft Windows Update 更新資訊傳送至管理伺服器。

  有時候，即使停用該選項，更新也會顯示在可用更新區域的裝置屬性中。例如，若組織的裝置具有可由這些更新修復的弱點，就可能會發生這個情況。

  預設情況下已啟用該選項。它僅適用於 Windows。

• 軟體弱點和對應更新的詳情

  若啟用此選項，協力廠商的弱點（包含 Microsoft 軟體）、受管理裝置上偵測到的資訊以及修復協力廠商弱點的軟體更新資訊（不含 Microsoft 軟體）都會傳送至管理伺服器。

  選取此選項（軟體弱點和對應更新的詳情）會增加網路負載、管理伺服器磁碟負載和網路代理的資源消耗。

  預設情況下已啟用該選項。它僅適用於 Windows。

  若要管理 Microsoft 軟體更新，請使用Windows Update 更新詳情選項。

• 硬體登錄資料詳細資訊

  安裝在裝置上的網路代理會向管理伺服器傳送關於裝置硬體的資訊。您可以在裝置內容中檢視硬體詳細資訊。

  確保在要從中獲取硬體詳細資訊的 Linux 裝置上安裝了 lshw 公用程式。根據所使用的 hypervisor，從虛擬機獲取的硬體詳細資訊可能不完整。

軟體更新和弱點

在軟體更新和弱點區域，您可以設定搜尋和發佈 Windows 更新，以及啟用掃描可執行檔以發現弱點。軟體更新和弱點區域的設定僅在執行 Windows 的裝置上可用：

• 使用管理伺服器作為 WSUS 伺服器

  如果啟用此選項，Windows 更新下載到管理伺服器。管理伺服器提供以集線模式透過網路代理下載更新到用戶端裝置的 Windows 更新服務。

  如果停用此選項，則不使用管理伺服器下載 Windows 更新。此種情況下，用戶端裝置自己接收 Windows 更新。

  預設情況下已停用該選項。

• 您可以限制使用者可以透過使用 Windows Update 手動安裝到裝置的 Windows 更新。

  在執行 Windows 10 的裝置上，如果 Windows Update 已為裝置找到更新，您在允許使用者管理 Windows Update 更新安裝下選取的新選項將僅在發現的更新被安裝後才被套用。

  在下拉清單中選取項目：

  • 允許使用者安裝所有可套用 Windows Update 更新

    使用者可以安裝所有可套用到他們裝置的 Microsoft Windows Update 更新。

    如果您不希望干預更新安裝，請選取該選項。

    當使用者手動安裝 Microsoft Windows Update 更新時，更新可能從 Microsoft 伺服器下載，而不是從管理伺服器。如果管理伺服器還未下載這些更新，這是可能的。從 Microsoft 伺服器下載更新導致額外流量。

  • 僅允許使用者安裝批准的 Windows Update 更新

    使用者可以安裝所有可應用到他們裝置的和您批准的 Microsoft Windows Update 更新。

    例如，您可能想先在測試環境中檢查更新安裝以確保它們不干預裝置操作，僅在這之後允許安裝這些批准的更新到用戶端裝置。

    當使用者手動安裝 Microsoft Windows Update 更新時，更新可能從 Microsoft 伺服器下載，而不是從管理伺服器。如果管理伺服器還未下載這些更新，這是可能的。從 Microsoft 伺服器下載更新導致額外流量。

  • 不允許使用者安裝 Windows Update 更新

    使用者無法在他們的裝置上手動安裝 Microsoft Windows Update 更新。所有可套用更新根據您的設定而安裝。

    如果您想要集中管理更新的安裝則選則此選項。

    例如，您可以想最佳化更新排程以便網路不超載。您可以計畫稍後更新，以便它們不干預使用者工作。

• 在Windows Update 搜尋模式設定群組中，您可以選取更新搜尋模式：
  • 作用中

    如果選中該選項，管理伺服器支援使用網路代理在用戶端裝置上從 Windows 更新代理傳送請求至更新來源：Windows 更新伺服器（或簡稱為 WSUS）。然後，網路代理會將從 Windows 更新代理接收到的資訊傳送給管理伺服器。

    只有選取弱點掃描和所需更新工作的連線更新伺服器更新資料選項時，此選項才會發揮效力。

    預設情況下已選定此選項。

  • 被動

    如果您選定該選項，網路代理將從上次同步更新來源之後定期從 Windows 更新代理將所擷取更新的資訊傳遞給管理伺服器。如果 Windows 更新代理沒有執行與更新來源同步，在管理伺服器上的更新資訊就不再是最新的。

    若要從更新來源的記憶體快取獲得更新，請選取此選項。

  • 已停用

    如果選中該選項，管理伺服器不會請求任何有關更新的資訊。

    若您要在本機裝置先測試更新，請選取此選項。

• 當執行可執行檔時掃描其弱點

  如果啟用此選項，系統將在執行可執行檔時掃描弱點。

  預設情況下已啟用該選項。

重新啟動管理

如果您的作業系統必須在您使用、安裝或移除安裝應用程式時重新啟動受管理裝置，請在重新啟動管理區域指定執行的操作。重新啟動管理區域的設定僅在執行 Windows 的裝置上可用：

• 不要重新啟動作業系統

  用戶端裝置在操作後不被自動重新啟動。要完成操作，您必須重新啟動裝置（例如，手動或透過裝置管理工作）。所需重新啟動的資訊被儲存在工作結果和裝置狀態。該選項適用於在需要持續操作的伺服器和其他裝置上的工作。

• 如果必要，自動重新啟動作業系統

  如果完成安裝需要重新啟動，用戶端裝置總是被自動重新啟動。該選項適用於允許中斷操作（關機或重新啟動）的裝置上的工作。

• 提示使用者操作

  用戶端裝置螢幕上將顯示重新啟動提醒，提示使用者手動重新啟動裝置。可以為該選項定義一些進階設定：使用者訊息文字、訊息顯示頻率以及強制重新啟動（不需要使用者確認）的時間間隔。該選項適用於使用者必須可以選取最方便的時間進行重新啟動的工作站。

  預設情況下已選定此選項。

  • 重複提示間隔（分鐘）

    如果啟用該選項，應用程式以指定頻率提示使用者重新啟動作業系統。

    預設情況下已啟用該選項。預設間隔是 5 分鐘。可用值介於 1 和 1440 分鐘之間。

    如果停用該選項，提示僅顯示一次。

  • 在指定時間後強制重新啟動（分鐘）

    提示使用者之後，應用程式在指定時間間隔後強制作業系統重新啟動。

    預設情況下已啟用該選項。預設延時是 30 分鐘。可用值介於 1 和 1440 分鐘之間。

  • 強制關閉已鎖定連線的應用程式

    執行應用程式可能會阻止用戶端裝置重新啟動。例如，如果文件在文書處理應用程式中編輯且未儲存，應用程式不會允許裝置重新啟動。

    如果啟用該選項，鎖定裝置上的此類應用程式在裝置重新啟動前被強制關閉。結果，使用者可能遺失他們未儲存的變更。

    如果停用該選項，鎖定裝置不被重新啟動。此裝置上的工作狀態表示裝置需要重新啟動。使用者必須手動關閉所有執行在鎖定裝置上的應用程式並重新啟動這些裝置。

    預設情況下已停用該選項。

Windows 共用桌面

您可以透過Windows 共用桌面區域啟用並設定在使用共用桌面存取時使用者的遠端裝置上執行的管理員操作的稽核。Windows 共用桌面區域的設定僅在執行 Windows 的裝置上可用：

• 啟用稽核

  如果啟用此選項，則會啟用遠端裝置上管理員的操作稽核。遠端裝置上的管理員操作是被一一記錄下來的：

  • 在遠端裝置的事件記錄中
  • 在位於遠端裝置上網路代理安裝資料夾中的副檔名為 syslog 的檔案中
  • 卡巴斯基安全管理中心的事件資料庫

  當符合以下條件時，管理員可使用操作稽核：

  • 弱點和修補程式管理授權使用中
  • 管理員有權啟動共用存取遠端裝置的桌面

  如果清除該選項，則會停用遠端裝置上的管理員操作稽核。

  預設情況下已停用該選項。

• 讀取時要監控的檔案遮罩

  清單包含檔案遮罩。啟用稽核時，應用程式會監控管理員的讀取檔案是否與已讀取檔案的遮罩和從屬資訊相符。若已選取啟用稽核核取方塊，則可使用該清單。您可編輯檔案遮罩並新增一個至清單。各個新檔案遮罩應在新行的清單中指定。

  預設，指定了以下檔案遮罩:*.txt, *.rtf, *.doc, *.xls, *.docx, *.xlsx, *.odt, *.pdf.

• 修改時要監控的檔案遮罩

  該清單包含遠端裝置上的檔案遮罩。啟用稽核時，應用程式會監控管理員在符合遮罩的檔案中所作的變更，並儲存這些修改的資訊。若已選取啟用稽核核取方塊，則可使用該清單。您可編輯檔案遮罩並新增一個至清單。各個新檔案遮罩應在新行的清單中指定。

  預設，指定了以下檔案遮罩:*.txt, *.rtf, *.doc, *.xls, *.docx, *.xlsx, *.odt, *.pdf.

管理修補程式和更新

在管理修補程式和更新區域，您可以設定更新的下載和發佈以及修補程式在受管理裝置上的安裝：

• 對未定義狀態的元件自動安裝可套用更新和修補程式

  如果啟用此選項，帶有未定義批准狀態的 Kaspersky 應用程式在從更新伺服器下載後將被自動安裝在受管理裝置。

  如果停用此選項，被下載和標注為未定義狀態的 Kaspersky 修補程式將僅在您改變其狀態為已批准是被安裝。

  預設情況下已啟用該選項。

• 提前從管理伺服器下載更新和病毒資料庫（建議）

  如果啟用此選項，離線模式更新下載被使用。當管理伺服器接收更新時，它通知網路代理（安裝網路代理的裝置）將用於受管理應用程式的更新。當網路代理接收更新的資訊後，它提前從管理伺服器下載相關檔案。在第一次連線網路代理時，管理伺服器發起更新下載。網路代理下載所有更新到用戶端裝置後，更新對該裝置上的應用程式可用。

  當用戶端裝置上的受管理應用程式嘗試存取網路代理以更新時，該網路代理檢查其是否具有所有所需的更新。如果在受管理應用程式請求更新之前 25 小時內，更新已從管理伺服器收到，則網路代理不連線到管理伺服器，而是從本機快取提供更新給受管理應用程式。當網路代理提供更新到用戶端裝置上的應用程式時，可能不會建立到管理伺服器的連線，但是更新不需要連線。

  如果停用此選項，離線模式更新下載不被使用。更新依據更新下載工作的排程被發佈。

  預設情況下已啟用該選項。

連線

連線區域包含三個子區域：

• 網路
• 連線設定檔
• 連線排程

在網路子區域，您可以設定到管理伺服器的連線、啟用 UDP 連接埠，和指定 UDP 連接埠號。

• 在連線至管理伺服器設定群組中，您可以設定到管理伺服器的連線，並指定同步用戶端裝置和管理伺服器的時間間隔：
  • 同步間隔（分鐘）

    網路代理同步管理伺服器的受管理裝置。我們建議您將同步間隔（也叫心跳）設為每 10,000 台受管理裝置 15 分鐘。

    若同步間隔社為少於 15 分鐘，同步會每 15 分鐘執行一次。若同步間隔設為 15 分鐘或更多，同步會以特定同步間隔執行。

  • 壓縮網路流量

    如果啟用此選項，則透過減少所傳輸的流量進而減少管理伺服器的負載來提高網路代理的資料傳輸速度。

    用戶端裝置上的 CPU 負載可能會增加。

    預設情況下會啟用此核取方塊。

  • 在 Microsoft Windows 防火牆上開啟網路代理連接埠

    如果啟用此選項，網路代理工作所需的 UDP 連接埠將新增到 Microsoft Windows 防火牆排除清單中。

    預設情況下已啟用該選項。

  • 使用 SSL 連線

    如果啟用此選項，則使用 SSL 通訊協定透過安全連接埠連線管理伺服器。

    預設情況下已啟用該選項。

  • 以預設連線設定在發佈點（如果可用）上使用連線閘道

    如果啟用此選項，發佈點上的連線閘道在管理群組屬性指定的設定下使用。

    預設情況下已啟用該選項。

• 使用 UDP 連接埠

  如果需要受管理裝置透過 UDP 連接埠連線到 KSN 代理伺服器，啟用使用 UDP 連接埠選項，並指定 UDP 連接埠號。預設情況下已啟用該選項。連線到 KSN 代理伺服器的預設 UDP 連接埠是 15111。

• UDP 連接埠號

  在該欄位中，您可以輸入 UDP 連接埠號。預設埠號為 15000。

  使用十進位系統記錄。

  如果用戶端裝置執行在 Windows XP Service Pack 2 系統下，則整合的防火牆會封鎖 UDP 連接埠 15000。請手動開啟此連接埠。

• 使用發佈點強制連線到管理伺服器

  如果您選取了將此發佈點用作推送伺服器發佈點設定視窗中的選項。否則，發佈點將不會作為推送伺服器。

在連線設定檔子區域中，您可以指定網路位置設定，並在管理伺服器不可用時啟用不在辦公室模式。連線設定檔區域的設定僅在執行 Windows 和 macOS 的裝置上可用：

• 網路位置設定

  網路位置設定定義用戶端裝置所連線的網路內容，並指定當網路內容改變時，網路代理從一個管理伺服器連線設定檔轉換到另一個的規則。

• 管理伺服器連線設定檔

  在該區域中，您可以檢視和設定網路代理至管理伺服器的連線。在該區域，您也可以建立當以下事件發生時，轉換網路代理到不同管理伺服器的規則：

  • 當用戶端裝置連線到另一個本機網路時
  • 當裝置與組織的本機網路遺失連線時
  • 當連線閘道的位址變更或 DNS 伺服器位址修改時

  連線設定檔僅支援執行 Windows 和 macOS 的裝置。

• 當管理伺服器不可用時啟用漫遊模式

  如果啟用此選項，則在透過該設定檔連線的情況下，用戶端裝置上安裝的應用程式將使用漫遊模式裝置的政策設定檔，以及漫遊政策。如果沒有為應用程式定義漫遊政策，則使用啟動政策。

  如果停用此選項，則應用程式將使用已啟動的政策。

  預設情況下已停用該選項。

在連線排程子區域中，可以指定網路代理傳送資料到管理伺服器的時間間隔：

• 必要時連線

  如果選中此選項，當網路代理需要傳送資料到管理伺服器時連線才被建立。

  預設情況下已選定此選項。

• 在指定時間間隔連線

  如果選中此選項，網路代理在指定時間連線到管理伺服器。您可以新增若干個連線時間段。

透過發佈點的網路輪詢

在透過發佈點的網路輪詢區域，您可以設定網路自動輪詢。輪詢設定僅在執行 Windows 的裝置上可用。您可以使用以下選項啟用輪詢並設定其頻率：

• Windows 網路

  如果啟用此選項，則管理伺服器將按照您按一下設定快速輪詢排程和設定完整輪詢排程連結所配置的排程自動輪詢網路。

  如果停用此選項，管理伺服器將以網路輪詢頻率（分鐘）欄位中指定的時間間隔輪詢網路。

  對於 10.2 之前的版本，網路代理的裝置發現間隔可在Windows 網域的輪詢頻率（分鐘）（對於快速 Windows 網路輪詢）和網路輪詢頻率（分鐘）（對於完整 Windows 網路輪詢）欄位中設定。

  預設情況下已停用該選項。

• Zeroconf

  如果啟用此選項，發佈點將使用零配置網路（也稱為 Zeroconf）用 IPv6 裝置自動輪詢網路。在這種情況下，啟用的 IP 範圍輪詢將被忽略，因為發佈點會輪詢整個網路。

  要開始使用 Zeroconf，必須滿足以下條件：

  • 發佈點必須執行 Linux。
  • 您必須在發佈點上安裝 avahi-browse 公用程式。

  如果停用此選項，則發佈點不會使用 IPv6 裝置輪詢網路。

  預設情況下已停用該選項。

• IP 範圍

  如果啟用此選項，則發佈點將按照您按一下設定輪詢排程按鈕所配置的排程自動輪詢 IP 範圍。

  如果停用此選項，則發佈點將不輪詢 IP 範圍。

  在 10.2 版之前的網路代理中，可在輪詢間隔（分鐘）欄位中配置 IP 範圍的輪詢頻率。若啟用該選項，可使用區域。

  預設情況下已停用該選項。

• Active Directory

  如果啟用此選項，則發佈點將按照您按一下設定輪詢排程連結所配置的排程自動輪詢 Active Directory。

  如果停用此選項，則管理伺服器將不輪詢 Active Directory。

  在 10.2 版之前的網路代理中，可在 輪詢間隔（分鐘） 欄位中設定 Active Directory 的輪詢頻率。如果啟用此選項，則該欄位可用。

  預設情況下已停用該選項。

發佈點網路設定

在發佈點網路設定區域中，您可以指定網際網路存取設定：

• 使用代理伺服器
• 位址
• 連接埠號
• 略過本機位址的代理伺服器

  如果啟用此選項，則不使用代理伺服器連線本機網路的裝置。

  預設情況下已停用該選項。

• 代理伺服器身分驗證

  如果選取該方塊，您可以在輸入欄位中為代理伺服器身分驗證指定憑證。

  預設情況下已清空此方塊。

• 使用者名稱
• 密碼

KSN 代理（發佈點）

在 KSN 代理（發佈點）區域，您可以設定應用程式使用發佈點，以從受管理裝置轉發卡巴斯基安全網路 (KSN) 請求。

• 在發佈點端啟用 KSN 代理

  KSN 代理服務執行在用作發佈點的裝置上。使用該功能重新分發和最佳化網路流量。

  發佈點傳送列在卡巴斯基安全網路聲明中的統計資訊到 Kaspersky。依預設，KSN 聲明位於 %ProgramFiles%\Kaspersky Lab\Kaspersky Security Center\ksneula。

  預設情況下已停用該選項。啟用該選項僅在使用管理伺服器作為代理伺服器和我同意使用卡巴斯基安全網路選項在管理伺服器內容視窗中被啟用時起作用。

  您可以指派活動被動叢集節點到發佈點並在該節點上啟用 KSN 代理伺服器。

• 轉發 KSN 請求到管理伺服器

  發佈點從受管理裝置轉發 KSN 請求到管理伺服器。

  預設情況下已啟用該選項。

• 透過網際網路直接存取 KSN 雲端 / 私有 KSN

  發佈點從受管理裝置轉發 KSN 請求到 KSN 雲端或私有 KSN。在發佈點上自行產生的 KSN 要求頁會直接傳送至 KSN 雲端或私有 KSN。

  已安裝網路代理版本 11（或更早版本）的發佈點無法直接存取私有 KSN。若要重新設定發佈點傳送 KSN 要求至私有 KSN，請為各發佈點啟用 轉發 KSN 請求到管理伺服器選項。

  已安裝網路代理版本 12（或更新版本）的發佈點可直接存取私有 KSN。

• 連接埠

  受管理裝置將用於連線到 KSN 代理伺服器的 TCP 埠號。預設埠號為 13111。

• UDP 連接埠

  如果需要受管理裝置透過 UDP 連接埠連線到 KSN 代理伺服器，啟用使用 UDP 連接埠選項，並指定 UDP 連接埠號。預設情況下已啟用該選項。連線到 KSN 代理伺服器的預設 UDP 連接埠是 15111。

更新（發佈點）

在更新（發佈點）部分，您可以啟用下載差異檔案功能，以便發佈點以差異檔案的形式從卡巴斯基更新伺服器獲取更新。

變更歷程

在此頁籤上，您可以檢視政策修訂的清單並復原對政策進行的變更（如有必要）。