從版本 12.1 開始,Kaspersky Endpoint Security for Windows 包含一個內建代理,用於管理 Kaspersky Endpoint Detection and Response 元件,作為 Kaspersky Anti Targeted Attack Platform 解決方案的一部分。您再也無需分開 Kaspersky Endpoint Agent 應用程式來使用 EDR (KATA)。Kaspersky Endpoint Agent 的所有功能將由 Kaspersky Endpoint Security 執行。Kaspersky Anti Targeted Attack Platform 伺服器上的負載將保持不變。
當您在安裝了 Kaspersky Endpoint Agent 的電腦上部署 Kaspersky Endpoint Security 時,Kaspersky Anti Targeted Attack Platform (EDR) 解決方案將繼續與 Kaspersky Endpoint Security 一起工作。此外,Kaspersky Endpoint Agent 將被從電腦移除。當您將 Kaspersky Endpoint Security 更新到版本 12.1 或者更高版本時,系統中會發生相同的行為。
Kaspersky Endpoint Security 與 Kaspersky Endpoint Agent 不相容。您不能在同一台電腦上同時安裝這些應用程式。
Kaspersky Endpoint Security 必須滿足以下條件才能作為 Endpoint Detection and Response (KATA) 的一部分工作:
將 [KES+KEA] 配置遷移到 [KES+built-in agent] for EDR (KATA) 的步驟
EDR (KATA) 元件可以使用 Kaspersky Endpoint Security 管理外掛程式版本 12.1 或更高版本進行管理。根據您使用的卡巴斯基安全管理中心主控台類型,更新管理主控台 (MMC) 中的管理外掛程式或網頁主控台中的 Web 外掛程式。
將 Kaspersky Endpoint Agent 設定傳輸到 Kaspersky Endpoint Security for Windows。下列選項可用:
如何將政策和工作設定從 Kaspersky Endpoint Agent 遷移到網頁主控台中的 Kaspersky Endpoint Security
為確保 Kaspersky Endpoint Security 在伺服器上正常工作,建議將對伺服器功能重要的檔案新增到受信任區域。對於 SQL 伺服器,您必須新增 MDF 和 LDF 資料庫檔案。對於 Microsoft Exchange 伺服器,您必須新增 CHK、EDB、JRS、LOG 和 JSL 檔案。您可以使用遮罩,例如,C:\Program Files (x86)\Microsoft SQL Server\*.mdf。
從 Kaspersky Endpoint Security 12.6 for Windows 開始,掃描排除項目和 受信任應用程式被新增到受信任區域。預先定義的掃描排除項目和受信任應用程式有助於在 SQL 伺服器、Microsoft Exchange 伺服器和 System Center Configuration Manager 上快速設定 Kaspersky Endpoint Security。這意味著您無需在伺服器上為應用程式手動設定受信任區域。
EDR 遙測排除項目不會從 Kaspersky Endpoint Agent 政策遷移到 Kaspersky Endpoint Security 政策。Kaspersky Endpoint Security 有自己的排除工具:可信任應用程式。Kaspersky Endpoint Security 的操作經過最佳化,與 Kaspersky Endpoint Agent 相比,缺少單個 EDR 遙測排除項目不會對您的電腦造成任何額外負載。Kaspersky Endpoint Security 不僅將遙測用於 EDR (KATA),還用於應用程式防護元件的運行。因此,無需傳輸單個 EDR 遙測排除項目。如果您經歷電腦效能下降,請檢查應用程式的運行情況(請參閱步驟 7 檢查效能)。
要將 Kaspersky Endpoint Security 作為 Kaspersky Anti Targeted Attack Platform 解決方案的一部分啟動,您需要單獨的 Kaspersky Endpoint and Detection and Response (KATA) 附加產品授權。您可以使用“新增金鑰”工作新增金鑰。結果,兩個金鑰將被新增到應用程式:Kaspersky Endpoint Security 和 Kaspersky Endpoint and Detection and Response (KATA)。
在具有先前啟動的 EDR Optimum 或 EDR Expert 功能的電腦上許可 Kaspersky Endpoint Detection and Response (KATA) 附加涉及以下特殊注意事項:
要在應用程式安裝或升級期間遷移 EDR (KATA) 功能,建議使用遠端安裝工作。建立遠端安裝工作時,您需要在安裝套件設定中選擇 EDR(KATA)元件。
您還可以使用以下方法升級應用程式:
當在安裝了 Kaspersky Endpoint Agent 的電腦上升級應用程式時,Kaspersky Endpoint Security 支援自動選擇元件。自動選擇元件取決於升級應用程式的使用者帳戶的權限。
如果在系統帳戶 (SYSTEM) 下使用 EXE 或 MSI 檔案升級 Kaspersky Endpoint Security,Kaspersky Endpoint Security 將獲得對 Kaspersky 解決方案的目前產品授權的存取權限。因此,如果電腦安裝了 Kaspersky Endpoint Agent 且啟動了 EDR (KATA) 解決方案,Kaspersky Endpoint Security 安裝程式將自動配置元件集合並選擇 EDR (KATA) 元件。這將使得 Kaspersky Endpoint Security 切換到使用內建代理並刪除 Kaspersky Endpoint Agent。在系統帳戶 (SYSTEM) 下執行 MSI 安裝程式通常在透過 Kaspersky 更新服務升級或透過卡巴斯基安全管理中心部署安裝套件時進行。
如果在沒有權限的帳戶下使用 MSI 檔案升級 Kaspersky Endpoint Security,Kaspersky Endpoint Security 將缺少對 Kaspersky 解決方案的目前產品授權的存取權限。在這種情況下,Kaspersky Endpoint Security 會根據 Kaspersky Endpoint Agent 的一組元件自動選擇元件。此後,Kaspersky Endpoint Security 將切換到使用內建代理並刪除 Kaspersky Endpoint Agent。
Kaspersky Endpoint Security 支援在不重啟電腦的情況下升級。您可以選擇政策屬性中的應用程式升級模式。
如果安裝或升級後應用程式後電腦在卡巴斯基安全管理中心主控台中具有“緊急”狀態:
檢查與 Kaspersky Anti Targeted Attack Platform 伺服器的連線。為此,請執行以下操作:
如果建立了與伺服器的連線,應用程式將傳送事件 成功連線到 Kaspersky Anti Targeted Attack Platform 伺服器。如果沒有成功連線事件並且沒有連線錯誤事件,檢查事件記錄設定並為 Endpoint Detection and Response (KATA) 啟用事件傳送。
伺服器連線狀態不會影響卡巴斯基安全管理中心主控台中的電腦狀態。因此,如果沒有連線到伺服器,電腦仍然可以擁有“確定”狀態。檢查事件日誌以驗證與伺服器的連線。
如果您的電腦在安裝或更新應用程式後效能下降,您可以最佳化資料傳輸。為此,請執行以下操作: