从 12.1 开始,Kaspersky Endpoint Security for Windows 包含一个内置代理,用于管理 Kaspersky Endpoint Detection and Response 组件,作为 Kaspersky Anti Targeted Attack Platform 解决方案的一部分。您不再需要单独的 Kaspersky Endpoint Agent 应用程序与 EDR(KATA)一起使用。Kaspersky Endpoint Agent 的所有功能将由 Kaspersky Endpoint Security 执行。Kaspersky Anti Targeted Attack Platform 服务器上的负载将保持不变。
当您在安装了 Kaspersky Endpoint Agent 的计算机上部署 Kaspersky Endpoint Security 时,Kaspersky Anti Targeted Attack Platform(EDR)解决方案将继续与 Kaspersky Endpoint Security 一起工作。此外,Kaspersky Endpoint Agent 将被从计算机卸载。当您将 Kaspersky Endpoint Security 更新到版本 12.1 或更高版本时,系统中会发生相同的行为。
Kaspersky Endpoint Security 与 Kaspersky Endpoint Agent 不兼容。您不能在同一台计算机上安装这两个应用程序。
Kaspersky Endpoint Security 必须满足以下条件才能作为 Endpoint Detection and Response(KATA)的一部分工作:
EDR(KATA)的迁移 [KES+KEA] 配置到 [KES+内置代理] 的步骤
EDR(KATA)组件可以使用 Kaspersky Endpoint Security 管理插件版本 12.1 或更高版本进行管理。根据您使用的 Kaspersky Security Center 控制台类型,更新管理控制台(MMC)中的管理插件或 Web Console 中的 Web 插件。
将 Kaspersky Endpoint Agent 设置传输到 Kaspersky Endpoint Security for Windows。下列选项可用:
如何在 Web Console 中将策略和任务设置从 Kaspersky Endpoint Agent 迁移到 Kaspersky Endpoint Security
为确保 Kaspersky Endpoint Security 在服务器上正常工作,建议将对服务器功能重要的文件添加到受信任区域。对于 SQL 服务器,您必须添加 MDF 和 LDF 数据库文件。对于 Microsoft Exchange 服务器,您必须添加 CHK、EDB、JRS、LOG 和 JSL 文件。你可以使用掩码,例如,C:\Program Files (x86)\Microsoft SQL Server\*.mdf
。
EDR 遥测排除项不会从 Kaspersky Endpoint Agent 策略迁移到 Kaspersky Endpoint Security 策略。Kaspersky Endpoint Security 有自己的排除工具 - 受信任应用程序。Kaspersky Endpoint Security 的操作经过优化,与 Kaspersky Endpoint Agent 相比,缺少单个的 EDR 遥测排除项不会对您的计算机造成任何额外负载。Kaspersky Endpoint Security 不仅将遥测用于 EDR(KATA),还用于应用程序保护组件的运行。因此,无需传输单个的 EDR 遥测排除项。如果您的计算机性能下降,请检查应用程序的运行情况(请参阅步骤 7 检查性能)。
要将 Kaspersky Endpoint Security 作为 Kaspersky Anti Targeted Attack Platform 解决方案的一部分激活,您需要单独的 Kaspersky Endpoint Detection and Response(KATA)加载项授权许可。您可以使用“添加密钥”任务添加密钥。结果,两个密钥将被添加到应用程序中:Kaspersky Endpoint Security 和 Kaspersky Endpoint Detection and Response(KATA)。
在之前激活 EDR Optimum 或 EDR Expert 功能的计算机上激活 Kaspersky Endpoint Detection and Response(KATA)加载项授权许可涉及以下特殊注意事项:
要在应用程序安装或升级期间迁移 EDR(KATA)功能,建议使用远程安装任务。创建远程安装任务时,您需要在安装包设置中选择 EDR(KATA)组件。
您还可以使用以下方法升级应用程序:
Kaspersky Endpoint Security 支持在安装了 Kaspersky Endpoint Agent 应用程序的计算机上升级应用程序时自动选择组件。组件的自动选择取决于升级应用程序的用户账户的权限。
如果您在系统账户(SYSTEM)下使用 EXE 或 MSI 文件升级 Kaspersky Endpoint Security,Kaspersky Endpoint Security 获得对卡巴斯基解决方案的当前授权许可的访问权。因此,如果计算机安装了 Kaspersky Endpoint Agent,并且激活了 EDR(KATA)解决方案,则 Kaspersky Endpoint Security 安装程序将自动配置组件集并选择 EDR(KATA)组件。这将使 Kaspersky Endpoint Security 切换到使用内置代理并卸载 Kaspersky Endpoint Agent。在系统账户(SYSTEM)下运行 MSI 安装程序通常在通过卡巴斯基更新服务升级时执行,或者当通过 Kaspersky Security Center 部署安装包时。
如果您在非特权用户账户下使用 MSI 文件升级 Kaspersky Endpoint Security,Kaspersky Endpoint Security 缺少对卡巴斯基解决方案的当前授权许可的访问权。在这种情况下,Kaspersky Endpoint Security 会根据 Kaspersky Endpoint Agent 的一组组件自动选择组件。此后,Kaspersky Endpoint Security 将切换到使用内置代理并卸载 Kaspersky Endpoint Agent。
Kaspersky Endpoint Security 支持在不重启计算机的情况下升级。您可以选择策略属性中的应用程序升级模式。
如果在应用程序安装或升级之后,计算机在 Kaspersky Security Center 控制台显示“严重”状态:
检查与 Kaspersky Anti Targeted Attack Platform 服务器的连接。为此,请执行下列操作:
如果建立了与服务器的连接,应用程序将发送事件“到 Kaspersky Anti Targeted Attack Platform 服务器的成功连接”。如果没有成功连接事件并且没有连接错误事件,检查事件日志设置并启用 Endpoint Detection and Response(KATA)的事件发送。
服务器连接状态不会影响 Kaspersky Security Center 控制台中的计算机状态。因此,如果没有连接到服务器,计算机仍然可以拥有“正常”状态。检查事件日志以验证与服务器的连接。
如果您的计算机在安装或更新应用程序后性能下降,您可以优化数据传输。为此,请执行下列操作: