網路代理政策設定
延伸所有 | 折疊所有
若設定網路代理政策:
- 前往裝置 → 政策和設定檔。
- 點擊網路代理政策的名稱。
網路代理政策的內容視窗開啟。
一般
在此頁簽上,您可以修改政策狀態並指定政策設定的繼承:
- 在政策狀態下,您可以選取以下政策模式之一:
- 作用中
如果選取該選項,政策將變為啟用狀態。
預設情況下已選定此選項。
- 非作用中
如果選取該選項,政策將變為不啟用狀態,但它仍然儲存在“政策”資料夾中。如果需要,您可以啟動該政策。
- 在設定繼承設定群組中,您可以配置政策繼承:
- 從父政策繼承設定
如果啟用此選項,則政策設定值將繼承上一級群組政策,因而會受到鎖定。
預設情況下已啟用該選項。
- 在子政策中強制繼承設定
如果啟用此選項,則在套用政策變更之後,程式將執行以下操作:
- 政策設定的值將被傳送到管理子群組的政策,也就是子政策。
- 在每個子政策內容視窗的一般區域的設定繼承區塊,系統將自動選取從父政策繼承設定核取方塊。
如果啟用此方塊,則會鎖定子政策設定。
預設情況下已停用該選項。
事件配置
給頁簽可讓您配置事件記錄和事件通知。事件根據重要性級別分佈在在以下部分中的 事件配置 頁簽上:
在每個區域,事件類型清單顯示事件類型和在管理伺服器上的預設事件儲存期限(天)。點擊內容按鈕,您可以指定清單中已選中的事件記錄和通知設定。預設下,為整個管理伺服器指定的通用通知設定被用於所有事件類型。然後,您可以變更所需事件類型的特別設定。
例如,在 警告 部分,您可以配置 發生了事件 事件類型。例如,當發佈點的可用磁碟空間小於 2 GB(遠端安裝應用程式和下載更新至少需要 4 GB)時,此類事件可能發生。若要配置 發生了事件 事件,點擊它並指定儲存發生的事件的位置以及如何通知它們。
如果網路代理偵測到事件,您可以使用受管理裝置設定。
應用程式設定
設定
在設定區域,您可以配置網路代理政策:
- 僅透過發佈點分發檔案
如果啟用此選項,受管理裝置上的網路代理僅從發佈點擷取更新。
如果停用此選項,受管裝置上的網路代理 從發佈點或從管理伺服器擷取更新。
請注意,受管理裝置上的安全應用程式從每個安全應用程式的更新工作中的來源集中擷取更新。如果您啟用僅透過發佈點分發檔案選項,請確保在更新工作中將卡巴斯基安全管理中心設置為更新來源。
預設情況下已停用該選項。
- 啟用 NAP
此選項已棄用。我們不建議使用它。
如果選中該核取方塊,則 Kaspersky Security Center SHV (SHV) 將被用於檢查用戶端裝置上的系統健康狀態。如果裝置上安裝了 Kaspersky Security Center SHV,則此核取方塊可用。
預設情況下已清空此方塊。
- 事件佇列最大值 (MB)
在該欄位中,您可以指定事件佇列可在磁碟機上佔據的最大空間。
預設值為 2 MB。
- 應用程式被允許在裝置上獲取政策延伸資料
安裝在受管理裝置的網路代理會傳輸已套用安全應用程式政策的相關資訊至安全應用程式(例如 Kaspersky Endpoint Security for Windows)。您可在安全應用程式介面檢視已傳輸的資訊。
網路代理會傳輸以下資訊:
- 防護網路代理服務免遭非授權的移除或終止,並防止設定變更
網路代理被安裝到受管理裝置之後,沒有所需權限元件無法被移除或重新設定。網路代理服務無法被停止。
預設情況下已停用該選項。
- 使用移除密碼
如果選取該方塊,則按一下“修改”按鈕可以指定網路代理遠端移除的密碼。
預設情況下已停用該選項。
儲存區
在儲存區區域,您可以選取將其資訊從網路代理傳送到管理伺服器的物件類型。如果網路代理政策禁止本區域中某些設定,則您無法修改這些設定。儲存區區域的設定僅在執行 Windows 的裝置上可用:
- 已安裝應用程式詳情
- 包括修補程式資訊
安裝在用戶端裝置的應用程式修補程式的資訊會傳送至管理伺服器。啟用此選項可能增加管理伺服器和 DBMS 的負載,並造成資料庫的流量增加。
預設情況下已啟用該選項。它僅適用於 Windows。
- Windows Update 更新詳情
如果啟用此選項,會將用戶端裝置上應該安裝的 Microsoft Windows Update 更新資訊傳送至管理伺服器。
有時候,即使停用該選項,更新也會顯示在可用更新區域的裝置屬性中。例如,若組織的裝置具有可由這些更新修正的弱點,就可能會發生這個情況。
預設情況下已啟用該選項。它僅適用於 Windows。
- 軟體弱點和對應更新的詳情
若啟用此選項,協力廠商的弱點(包含 Microsoft 軟體)、受管理裝置上偵測到的資訊以及修復協力廠商弱點的軟體更新資訊(不含 Microsoft 軟體)都會傳送至管理伺服器。
選取此選項(軟體弱點和對應更新的詳情)會增加網路負載、管理伺服器磁碟負載和網路代理的資源消耗。
預設情況下已啟用該選項。它僅適用於 Windows。
若要管理 Microsoft 軟體更新,請使用Windows Update 更新詳情選項。
- 硬體登錄資料詳細資訊
軟體更新和弱點
在軟體更新和弱點區域,您可以設定搜尋和發佈 Windows 更新,以及啟用掃描可執行檔以發現弱點。軟體更新和弱點區域的設定僅在執行 Windows 的裝置上可用:
重新啟動管理
如果您的作業系統必須在您使用、安裝或移除安裝應用程式時重新啟動受管理裝置,請在重新啟動管理區域指定執行的操作。重新啟動管理區域的設定僅在執行 Windows 的裝置上可用:
- 不要重新啟動作業系統
用戶端裝置在操作後不被自動重新啟動。要完成操作,您必須重新啟動裝置(例如,手動或透過裝置管理工作)。所需重新啟動的資訊被儲存在工作結果和裝置狀態。該選項適用於在需要持續操作的伺服器和其他裝置上的工作。
- 如果必要,自動重新啟動作業系統
如果完成安裝需要重新啟動,用戶端裝置總是被自動重新啟動。該選項適用於允許中斷操作(關機或重新啟動)的裝置上的工作。
- 提示使用者操作
用戶端裝置螢幕上將顯示重新啟動提醒,提示使用者手動重新啟動裝置。可以為該選項定義一些進階設定:使用者訊息文字、訊息顯示頻率以及強制重新啟動(不需要使用者確認)的時間間隔。該選項適用於使用者必須可以選取最方便的時間進行重新啟動的工作站。
預設情況下已選定此選項。
- 重複提示間隔(分鐘)
如果啟用該選項,應用程式以指定頻率提示使用者重新啟動作業系統。
預設情況下已啟用該選項。預設間隔是 5 分鐘。可用值介於 1 和 1440 分鐘之間。
如果停用該選項,提示僅顯示一次。
- 在指定時間後強制重新啟動(分鐘)
提示使用者之後,應用程式在指定時間間隔後強制作業系統重新啟動。
預設情況下已啟用該選項。預設延時是 30 分鐘。可用值介於 1 和 1440 分鐘之間。
- 強制關閉已鎖定連線的應用程式
執行應用程式可能會阻止用戶端裝置重新啟動。例如,如果文件在文書處理應用程式中編輯且未儲存,應用程式不會允許裝置重新啟動。
如果啟用該選項,鎖定裝置上的此類應用程式在裝置重新啟動前被強制關閉。結果,使用者可能遺失他們未儲存的變更。
如果停用該選項,鎖定裝置不被重新啟動。此裝置上的工作狀態表示裝置需要重新啟動。使用者必須手動關閉所有執行在鎖定裝置上的應用程式並重新啟動這些裝置。
預設情況下已停用該選項。
Windows 共用桌面
您可以透過Windows 共用桌面區域啟用並設定在使用共用桌面存取時使用者的遠端裝置上執行的管理員操作的稽核。Windows 共用桌面區域的設定僅在執行 Windows 的裝置上可用:
- 啟用稽核
如果啟用此選項,則會啟用遠端裝置上管理員的操作稽核。遠端裝置上的管理員操作是被一一記錄下來的:
- 在遠端裝置的事件記錄中
- 在位於遠端裝置上網路代理安裝資料夾中的副檔名為 syslog 的檔案中
- 卡巴斯基安全管理中心的事件資料庫
當符合以下條件時,管理員可使用操作稽核:
- 弱點和修補程式管理授權使用中
- 管理員有權啟動共用存取遠端裝置的桌面
如果清除該選項,則會停用遠端裝置上的管理員操作稽核。
預設情況下已停用該選項。
- 讀取時要監控的檔案遮罩
清單包含檔案遮罩。啟用稽核時,應用程式會監控管理員的讀取檔案是否與已讀取檔案的遮罩和從屬資訊相符。若已選取啟用稽核核取方塊,則可使用該清單。您可編輯檔案遮罩並新增一個至清單。各個新檔案遮罩應在新行的清單中指定。
預設,指定了以下檔案遮罩:*.txt, *.rtf, *.doc, *.xls, *.docx, *.xlsx, *.odt, *.pdf.
- 修改時要監控的檔案遮罩
該清單包含遠端裝置上的檔案遮罩。啟用稽核時,應用程式會監控管理員在符合遮罩的檔案中所作的變更,並儲存這些修改的資訊。若已選取啟用稽核核取方塊,則可使用該清單。您可編輯檔案遮罩並新增一個至清單。各個新檔案遮罩應在新行的清單中指定。
預設,指定了以下檔案遮罩:*.txt, *.rtf, *.doc, *.xls, *.docx, *.xlsx, *.odt, *.pdf.
管理修補程式和更新
在管理修補程式和更新區域,您可以設定更新的下載和發佈以及修補程式在受管理裝置上的安裝:
- 對未定義狀態的元件自動安裝可套用更新和修補程式
如果啟用此選項,帶有未定義批准狀態的 Kaspersky 應用程式在從更新伺服器下載後將被自動安裝在受管理裝置。帶有未定義狀態的修補程式的自動安裝對卡巴斯基安全管理中心 10 Service Pack 2 和更新版本可用。
如果停用此選項,被下載和標注為未定義狀態的 Kaspersky 修補程式將僅在您改變其狀態為已批准是被安裝。
預設情況下已啟用該選項。
- 提前從管理伺服器下載更新和病毒資料庫(建議)
如果啟用此選項,離線模式更新下載被使用。當管理伺服器接收更新時,它通知網路代理(安裝網路代理的裝置)將用於受管理應用程式的更新。當網路代理接收更新的資訊後,它提前從管理伺服器下載相關檔案。在第一次連線網路代理時,管理伺服器發起更新下載。網路代理下載所有更新到用戶端裝置後,更新對該裝置上的應用程式可用。
當用戶端裝置上的受管理應用程式嘗試存取網路代理以更新時,該網路代理檢查其是否具有所有的更新。如果在受管理應用程式請求更新之前 25 小時內,更新已從管理伺服器收到,則網路代理不連線到管理伺服器,而是從本機快取提供更新給受管理應用程式。當網路代理提供更新到用戶端裝置上的應用程式時,到管理伺服器的連線可能不被建立,但是更新不需要連線。
如果停用此選項,離線模式更新下載不被使用。更新依據更新下載工作的排程被發佈。
預設情況下已啟用該選項。
網路
網路區域包含三個子區域:
在連線子區域,您可以設定到管理伺服器的連線、啟用 UDP 連接埠,和指定 UDP 連接埠號。
在 連線設定檔 設定群組中,不能新增新項目到 管理伺服器連線設定檔 清單,所以 新增 按鈕無效。預設的連線設定檔也不能修改。
- 在連線至管理伺服器設定群組中,您可以設定到管理伺服器的連線,並指定同步用戶端裝置和管理伺服器的時間間隔:
- 同步間隔(分鐘)
網路代理同步管理伺服器的受管理裝置。我們建議您將同步間隔(也叫心跳)設為每 10,000 台受管理裝置 15 分鐘。
若同步間隔社為少於 15 分鐘,同步會每 15 分鐘執行一次。若同步間隔設為 15 分鐘或更多,同步會以特定同步間隔執行。
- 壓縮網路流量
如果啟用此選項,則透過減少所傳輸的流量進而減少管理伺服器的負載來提高網路代理的資料傳輸速度。
用戶端裝置上的 CPU 負載可能會增加。
預設情況下會啟用此核取方塊。
- 在 Microsoft Windows 防火牆上開啟網路代理連接埠
如果啟用此選項,網路代理工作所需的 UDP 連接埠將新增到 Microsoft Windows 防火牆排除清單中。
預設情況下已啟用該選項。
- 以預設連線設定在發佈點(如果可用)上使用連線閘道
如果啟用此選項,發佈點上的連線閘道在管理群組屬性指定的設定下使用。
預設情況下已啟用該選項。
- 使用 UDP 連接埠
如果需要受管理裝置透過 UDP 連接埠連線到 KSN 代理伺服器,啟用“使用 UDP 連接埠”選項,並指定“UDP 連接埠號”。預設情況下已啟用該選項。連線到 KSN 代理伺服器的預設 UDP 連接埠是 15111。
- UDP 埠號
在該欄位中,您可以輸入 UDP 埠號。預設埠號為 15000。
使用十進位系統記錄。
如果用戶端裝置執行在 Windows XP Service Pack 2 系統下,則整合的防火牆會封鎖 UDP 連接埠 15000。請手動開啟此連接埠。
- 使用發佈點強制連線到管理伺服器
如果您選取了將此發佈點用作推送伺服器發佈點設定視窗中的選項。否則,發佈點將不會作為推送伺服器。
在 網路 區域的 連線設定檔 子區域中,您可以指定網路位置設定,並在管理伺服器不可用時啟用不在辦公室模式。連線設定檔區域的設定僅在執行 Windows 的裝置上可用:
- 網路位置設定
網路位置設定定義用戶端裝置所連線的網路內容,並指定當網路內容改變時,網路代理從一個管理伺服器連線設定檔轉換到另一個的規則。
- 管理伺服器連線設定檔
在該區域中,您可以檢視和設定網路代理至管理伺服器的連線。在該區域,您也可以建立當以下事件發生時,轉換網路代理到不同管理伺服器的規則:
- 當用戶端裝置連線到另一個本機網路時
- 當裝置與組織的本機網路遺失連線時
- 當連線閘道的位址變更或 DNS 伺服器位址修改時
連線設定檔僅支援執行 Windows 和 macOS 的裝置。
- 當管理伺服器不可用時啟用漫遊模式
如果啟用此選項,則在透過該設定檔連線的情況下,用戶端裝置上安裝的應用程式將使用漫遊模式裝置的政策設定檔,以及漫遊政策。如果沒有為應用程式定義漫遊政策,則使用啟動政策。
如果停用此選項,則應用程式將使用已啟動的政策。
預設情況下已停用該選項。
在連線排程子區域中,可以指定網路代理傳送資料到管理伺服器的時間間隔:
- 必要時連線
如果選中此選項,當網路代理需要傳送資料到管理伺服器時連線才被建立。
預設情況下已選定此選項。
- 在指定時間間隔連線
如果選中此選項,網路代理在指定時間連線到管理伺服器。您可以新增若干個連線時間段。
透過發佈點的網路輪詢
在透過發佈點的網路輪詢區域,您可以設定網路自動輪詢。輪詢設定僅在執行 Windows 的裝置上可用。您可以使用以下選項啟用輪詢並設定其頻率:
- Windows 網路
如果啟用此選項,則管理伺服器將按照您按一下設定快速輪詢排程和設定完整輪詢排程連結所配置的排程自動輪詢網路。
如果此選項被停用,管理伺服器將以在網路輪詢頻率(分鐘)欄位中指定的時間間隔輪詢網路。
版本 10.2 之前的網路代理的裝置發現間隔可以在 Windows 網域的輪詢頻率(分鐘)(適用於快速 Windows 網路輪詢)和 網路輪詢頻率(分鐘)(適用於完整的 Windows 網路輪詢)欄位中進行配置。
預設情況下已停用該選項。
- IP 範圍
如果啟用此選項,則管理伺服器將按照您按一下設定輪詢排程連結所配置的排程自動輪詢 IP 範圍。
如果停用此選項,則管理伺服器將不輪詢 IP 範圍。
在 10.2 版之前的網路代理中,可在輪詢間隔(分鐘)欄位中配置 IP 範圍的輪詢頻率。若啟用該選項,可使用區域。
預設情況下已停用該選項。
- Active Directory
如果啟用此選項,則管理伺服器將按照您按一下設定輪詢排程連結所配置的排程自動輪詢 Active Directory。
如果停用此選項,則管理伺服器將不輪詢 Active Directory。
在 10.2 版之前的網路代理中,可在 輪詢間隔(分鐘) 欄位中設定 Active Directory 的輪詢頻率。如果啟用此選項,則該欄位可用。
預設情況下已停用該選項。
發佈點網路設定
在發佈點網路設定區域中,您可以指定網際網路存取設定:
- 使用代理伺服器
- 位址
- 埠號
- 略過本機位址的代理伺服器
如果啟用此選項,則不使用代理伺服器連線本機網路的裝置。
預設情況下已停用該選項。
- 代理伺服器身分驗證
如果啟用該方塊,您可以在輸入欄位中為代理伺服器身分驗證指定憑證。
預設情況下會停用此核取方塊。
- 使用者名稱
- 密碼
KSN 代理(發佈點)
在 KSN 代理(發佈點)區域,您可以設定應用程式使用發佈點,以從受管理裝置轉發 KSN 請求。
- 在發佈點端啟用 KSN 代理
KSN 代理服務執行在用作發佈點的裝置上。使用該功能重新分發和最佳化網路流量。
發佈點傳送列在卡巴斯基安全網路聲明中的統計資訊到 Kaspersky。依預設,KSN 聲明位於 %ProgramFiles%\Kaspersky Lab\Kaspersky Security Center\ksneula。
預設情況下已停用該選項。啟用此選項時,只有管理伺服器內容視窗中的使用管理伺服器作為代理伺服器和我同意使用卡巴斯基安全網路選項均為啟用時,此選項才會生效。
您可以指派活動被動叢集節點到發佈點並在該節點上啟用 KSN 代理伺服器。
- 轉發 KSN 請求到管理伺服器
發佈點從受管理裝置轉發 KSN 請求到管理伺服器。
預設情況下已啟用該選項。
- 透過網際網路直接存取 KSN 雲端 / 私有 KSN
發佈點從受管理裝置轉發 KSN 請求到 KSN 雲端或私有 KSN。在發佈點上自行產生的 KSN 要求頁會直接傳送至 KSN 雲端或私有 KSN。
已安裝網路代理版本 11(或更早版本)的發佈點無法直接存取私有 KSN。若要重新設定發佈點傳送 KSN 要求至私有 KSN,請為各發佈點啟用 轉發 KSN 請求到管理伺服器選項。
已安裝網路代理版本 12(或更早版本)的發佈點可直接存取私有 KSN。
- 連接埠
受管理裝置將用於連線到 KSN 代理伺服器的 TCP 埠號。預設埠號為 13111。
- UDP 連接埠
如果需要受管理裝置透過 UDP 連接埠連線到 KSN 代理伺服器,啟用“使用 UDP 連接埠”選項,並指定“UDP 連接埠號”。預設情況下已啟用該選項。連線到 KSN 代理伺服器的預設 UDP 連接埠是 15111。
變更歷程
變更歷程頁籤可讓您檢視政策修訂的清單,並復原對政策進行的變更(如有必要)。
對特別作業系統可用的網路代理政策設定在下表中給出。
網路代理政策設定
政策區域
|
Windows
|
Mac
|
Linux
|
一般
|
|
|
|
事件配置
|
|
|
|
設定
|
|
( 除了 使用移除密碼核取方塊)
|
(除了核取方塊
使用移除密碼)
|
儲存區
|
|
|
|
重新啟動管理
|
|
|
|
管理修補程式和更新
|
|
|
|
網路 → 連線
|
|
( 除了在 Microsoft Windows 防火牆上開啟網路代理連接埠核取方塊)
|
( 除了在 Microsoft Windows 防火牆上開啟網路代理連接埠核取方塊)
|
網路 → 連線設定檔
|
|
|
|
網路 → 連線排程
|
|
|
|
透過發佈點的網路輪詢
|
|
|
|
發佈點網路設定
|
|
|
|
KSN 代理(發佈點)
|
|
|
|
變更歷程
|
|
|
|
頁頂