Настройка доверенного соединения Kaspersky Sandbox с Kaspersky Endpoint Security для Windows

Вы можете настроить доверенное соединение Kaspersky Sandbox с Kaspersky Endpoint Security в веб-интерфейсе сервера Kaspersky Sandbox.

Установка и настройка доверенного соединения Kaspersky Sandbox с Kaspersky Endpoint Security состоит из следующих этапов:

1. Генерация или загрузка TLS-сертификата соединения с Kaspersky Endpoint Security на сервер Kaspersky Sandbox.

   Если в самостоятельно подготовленном TLS-сертификате предусмотрены ограничения по IP-адресу или имени хоста, вы можете настроить доверенное соединение Kaspersky Endpoint Security только с одним сервером Kaspersky Sandbox. Настроить доверенное соединение Kaspersky Endpoint Security c кластером серверов Kaspersky Sandbox с помощью такого сертификата невозможно.

2. Создание нового кластера на базе сервера, на который был загружен сертификат.
3. Удаление всех серверов, которые вы хотите добавить в созданный на предыдущем шаге кластер, из кластеров, в которые они входят в настоящий момент.
4. Добавление всех нужных серверов в этот кластер.
5. Добавление всех серверов этого кластера Kaspersky Sandbox в список Kaspersky Endpoint Security.
6. Настройка доверенного соединения с Kaspersky Sandbox на стороне Kaspersky Endpoint Security.

Если вы уже объединили серверы в кластер, вам требуется удалить сервер, для которого вы хотите настроить доверенное соединение с Kaspersky Endpoint Security, из кластера, затем создать новый кластер на базе этого сервера и добавить в новый кластер все серверы, предназначенные для работы решения Kaspersky Sandbox.

Если нужные вам серверы входят в другой кластер, вам нужно последовательно удалить их из кластера, в который они входят в настоящий момент, а затем добавить в новый кластер.

В этом случае установка и настройка доверенного соединения Kaspersky Sandbox с Kaspersky Endpoint Security состоит из следующих этапов:

1. Удаление сервера из кластера (если сервер входит в кластер в настоящий момент).
2. Генерация или загрузка TLS-сертификата соединения с Kaspersky Endpoint Security на сервер Kaspersky Sandbox.
3. Создание нового кластера на базе сервера, на который был загружен сертификат.
4. Удаление всех серверов, которые вы хотите добавить в созданный на предыдущем шаге кластер, из кластеров, в которые они входят в настоящий момент.
5. Добавление всех нужных серверов в этот кластер.
6. Добавление всех серверов этого кластера Kaspersky Sandbox в список Kaspersky Endpoint Security.
7. Настройка доверенного соединения с Kaspersky Sandbox на стороне Kaspersky Endpoint Security.

Настройка доверенного соединения на стороне Kaspersky Sandbox

Для настройки доверенного соединения Kaspersky Sandbox с Kaspersky Endpoint Security вам требуется сгенерировать или загрузить TLS-сертификат на стороне Kaspersky Sandbox, а затем сохранить его на компьютере для загрузки в программу Kaspersky Endpoint Security.

Чтобы сгенерировать TLS-сертификат соединения Kaspersky Sandbox с Kaspersky Endpoint Security, выполните следующие действия:

1. В окне веб-интерфейса Kaspersky Sandbox выберите раздел TLS-сертификаты.
2. В блоке TLS-сертификат для соединения с программой EPP нажмите на кнопку Сгенерировать.

   Откроется окно подтверждения действия.

3. Нажмите на кнопку Да.

Kaspersky Sandbox сгенерирует новый TLS-сертификат. Страница автоматически обновится.

Вы можете самостоятельно подготовить TLS-сертификат и загрузить его через веб-интерфейс Kaspersky Sandbox.

Файл TLS-сертификата, предназначенный для загрузки, должен удовлетворять следующим требованиям:

• Файл должен содержать сертификат и закрытый ключ шифрования соединения.
• Файл должен иметь формат PEM.
• Длина закрытого ключа должна быть 2048 бит или более.

Подробнее о подготовке TLS-сертификатов к импорту см. в документации Open SSL.

Чтобы загрузить TLS-сертификат через веб-интерфейс Kaspersky Sandbox, выполните следующие действия:

1. В окне веб-интерфейса Kaspersky Sandbox выберите раздел TLS-сертификаты.
2. В блоке TLS-сертификат для соединения с программой EPP нажмите на кнопку Загрузить.

   Откроется окно выбора файлов.

3. Выберите файл TLS-сертификата, который вы хотите загрузить, и нажмите на кнопку Открыть.

   Окно выбора файлов закроется.

   TLS-сертификат будет добавлен в Kaspersky Sandbox.

Чтобы сохранить файл TLS-сертификата соединения с Kaspersky Endpoint Security на компьютере, выполните следующие действия:

1. В окне веб-интерфейса Kaspersky Sandbox выберите раздел TLS-сертификаты.
2. В блоке TLS-сертификат для соединения с программой EPP нажмите на кнопку Скачать.

   При скачивании в браузере может отобразиться уведомление о том, что файл является потенциально опасным. Это стандартное предупреждение о файлах с расширением .crt. Файл TLS-сертификата не представляет угрозы для компьютера.

Файл TLS-сертификата будет сохранен в папке загрузки браузера.

Настройка доверенного соединения на стороне Kaspersky Endpoint Security

Вы можете настроить доверенное соединение на стороне Kaspersky Endpoint Security через Kaspersky Security Center Web Console или с помощью командной строки (доступно для версии Kaspersky Endpoint Security 11.7).

Чтобы настроить доверенное соединение на стороне Kaspersky Endpoint Security через Kaspersky Security Center Web Console, выполните следующие действия:

1. В главном окне Web Console выберите Устройства → Политики и профили политик.
2. Нажмите на название политики Kaspersky Endpoint Security.

   Откроется окно свойств политики.

3. Выберите закладку Параметры приложения.
4. Перейдите в раздел Detection and Response → Kaspersky Sandbox.
5. Перейдите по ссылке Настройки подключения к серверам.

   Откроется окно с параметрами подключения к серверам Kaspersky Sandbox.

6. В блоке TLS-сертификат серверов нажмите на кнопку Добавить и выберите файл TLS-сертификата.

   В Kaspersky Endpoint Security может быть только один TLS-сертификат сервера Kaspersky Sandbox. Если вы ранее уже добавили TLS-сертификат, то этот сертификат прекращает действовать. Только последний добавленный сертификат будет актуальным.

7. Настройте дополнительные параметры подключения к серверам Kaspersky Sandbox:
   • Время ожидания. Время ожидания соединения с сервером Kaspersky Sandbox. По истечению заданного времени ожидания Kaspersky Endpoint Security отправит запрос на следующий сервер. Вы можете увеличить время ожидания соединения с Kaspersky Sandbox, если у вас низкая скорость соединения или соединение нестабильно. Рекомендованное значение времени ожидания запроса не более 0,5 сек.
   • Очередь запросов Kaspersky Sandbox. Размер папки хранения очереди запросов. При обращении к объекту (запуск исполняемого файла или открытие документа, например, в формате DOCX или PDF) на компьютере Kaspersky Endpoint Security может отправить объект на дополнительную проверку в Kaspersky Sandbox. Если запросов несколько, Kaspersky Endpoint Security создает очередь запросов. По умолчанию размер папки хранения очереди запросов ограничен 100 МБ. После достижения максимального размера Kaspersky Sandbox перестает добавлять новые запросы в очередь и отправляет соответствующее событие в Kaspersky Security Center. Вы можете настроить размер папки хранения очереди запросов в зависимости от конфигурации сервера.
8. Сохраните внесенные изменения.

В результате Kaspersky Endpoint Security проверит TLS-сертификат. Если сертификат прошел проверку, Kaspersky Endpoint Security отправит файл сертификата на компьютер при следующей синхронизации с Kaspersky Security Center. Если вы добавили два TLS-сертификата, Kaspersky Sandbox использует последний сертификат для установки доверенного соединения.

Чтобы настроить доверенное соединение на стороне Kaspersky Endpoint Security с помощью командной строки, выполните следующие действия:

1. На компьютере с установленной программой Kaspersky Endpoint Security запустите интерпретатор командной строки cmd от имени администратора.
2. Перейдите в папку с установленной программой Kaspersky Endpoint Security, в которой расположен файл avp.com.
3. Выполните следующие команды:

   avp.com stop sandbox [/login=<имя пользователя> /password=<пароль>]

   avp.com start sandbox

   avp.com sandbox /set [--tls=yes|no] [--servers=<адрес сервера>:<порт>] [--timeout=<время ожидания соединения с сервером Kaspersky Sandbox (мс)>] [--pinned-certificate=<путь к TLS-сертификату>][/login=<имя пользователя> /password=<пароль>]

   avp.com sandbox /show

   В результате вы получите следующий ответ:

   sandbox.timeout=<время ожидания соединение с сервером Kaspersky Sandbox (мс)>

   sandbox.tls=<статус использования доверенного соединения>

   sandbox.servers=<список серверов Kaspersky Sandbox>

   Для параметров login и password требуется указывать учетные данные пользователя с необходимыми разрешениями.

Замена TLS-сертификата соединения с Kaspersky Endpoint Security

Вы можете заменить TLS-сертификат соединения с Kaspersky Endpoint Security.

Замена TLS-сертификата соединения с Kaspersky Endpoint Security состоит из следующих этапов:

1. Удаление сервера, на котором вы хотите заменить TLS-сертификат, из кластера (если сервер входит в кластер в настоящий момент)
2. Генерация или загрузка TLS-сертификата соединения с Kaspersky Endpoint Security на этот сервер

   Добавленный сертификат заменит имевшийся ранее сертификат. Использование нескольких сертификатов одновременно не предусмотрено.

3. Создание нового кластера на базе этого сервера
4. Удаление всех серверов, которые вы хотите добавить в новый кластер, из кластеров, в которые они входят в настоящий момент
5. Добавление всех нужных серверов в новый кластер
6. Добавление всех серверов нового кластера Kaspersky Sandbox в список Kaspersky Endpoint Security
7. Обновление данных TLS-сертификата Kaspersky Sandbox в Kaspersky Endpoint Security