Политики и профили политик

В Kaspersky Security Center 13.2 Web Console можно создавать политики для программ "Лаборатории Касперского". В этом разделе описаны политики и профили политик, а также приведены инструкции по их созданию и изменению.

Иерархия политик, использование профилей политик

В этом разделе содержится информация об особенностях применения политик к устройствам в группах администрирования. В разделе также содержится информация о профилях политик, которые поддерживаются в Kaspersky Security Center, начиная с версии 10 Service Pack 1.

Иерархия политик

В Kaspersky Security Center политики предназначены для задания одинакового набора параметров на множестве устройств. Например, областью действия политики программы P, определенной для группы G, являются управляемые устройства с установленной программой P, размещенные в группе администрирования G и всех ее подгруппах, исключая те подгруппы, в свойствах которых снят флажок Наследовать из родительской группы.

Политика отличается от локальных параметров наличием "замков" () возле содержащихся в ней параметров. Установленный замок в свойствах политики означает, что соответствующий ему параметр (или группа параметров) должен, во-первых, быть использован при формировании эффективных параметров, во-вторых, должен быть записан в нижележащую политику.

Формирование на устройстве действующих параметров можно представить следующим образом: из политики берутся значения параметров с неустановленным замком, затем поверх них записываются значения локальных параметров, затем поверх полученных значений записываются взятые из политики значения параметров с установленным замком.

Политики одной и той же программы действуют друг на друга по иерархии групп администрирования: параметры с установленным замком из вышележащей политики переписывают одноименные параметры из нижележащей политики.

Существует особый вид политики – политика для автономных пользователей. Эта политика вступает в силу на устройстве, когда устройство переходит в автономный режим. Политики для автономных пользователей не действуют по иерархии групп администрирования на другие политики.

Политика для автономных пользователей не будет поддерживаться в будущих версиях Kaspersky Security Center. Вместо политик для автономных пользователей следует использовать профили политик.

Профили политик

Применение политик к устройствам, исходя только из иерархии групп администрирования, во многих случаях неудобно. Может возникнуть необходимость создать несколько копий политики для разных групп администрирования и в дальнейшем вручную синхронизировать содержимое этих политик.

Во избежание подобных проблем в Kaspersky Security Center, начиная с версии 10 Service Pack 1, поддерживаются профили политики. Профиль политики представляет собой именованное подмножество параметров политики. Это подмножество параметров распространяется на устройства вместе с политикой и дополняет политику при выполнении определенного условия – условия активации профиля. Профили содержат только те параметры, которые отличаются от "базовой" политики, действующей на клиентском устройстве (компьютере, мобильном устройстве). При активации профиля изменяются параметры политики, действовавшие на устройстве до активации профиля. Эти параметры принимают значения, указанные в профиле.

Профили политик сейчас имеют следующие ограничения:

• в политике может быть не более 100 профилей;
• профиль политики не может содержать другие профили;
• профиль политики не может содержать параметры уведомлений.

Состав профиля

Профиль политики содержит следующие составные части:

• Имя. Профили с одинаковыми именами действуют друг на друга по иерархии групп администрирования с общим правилами.
• Подмножество параметров политики. В отличие от политики, где содержатся все параметры, в профиле присутствуют лишь те параметры, которые действительно нужны (на которых установлен замок).
• Условие активации – логическое выражение над свойствами устройства. Профиль активен (дополняет политику), только когда условие активации профиля становится истинным. В остальных случаях профиль неактивен и игнорируется. В логическом выражении могут участвовать следующие свойства устройства:
  • состояние автономного режима;
  • свойства сетевого окружения – имя активного правила подключения Агента администрирования;
  • наличие или отсутствие у устройства указанных тегов;
  • местоположение устройства в подразделении Active Directory: явное (устройство находится непосредственно в указанном подразделении) или неявное (устройство находится в подразделении, которое находится внутри указанного подразделения на любом уровне вложенности);
  • членство устройства в группе безопасности Active Directory (явное или неявное);
  • членство владельца устройства в группе безопасности Active Directory (явное или неявное).
• Флажок отключения профиля. Отключенные профили всегда игнорируются, условия их активации не проверяются на истинность.
• Приоритет профиля. Условия активации профилей независимы, поэтому одновременно могут активироваться сразу несколько профилей. Если активные профили содержат непересекающиеся наборы параметров, то никаких проблем не возникает. Но если два активных профиля содержат разные значения одного и того же параметра, возникает неоднозначность. Неоднозначность устраняется при помощи приоритетов профилей: значение неоднозначной переменной будет взято из профиля с большим приоритетом (из того профиля, который располагается выше в списке профилей).

Поведение профилей при действии политик друг на друга по иерархии

Одноименные профили объединяются согласно правилам объединения политик. Профили верхней политики приоритетнее профилей нижней политики. Если в "верхней" политике запрещено изменение параметров (кнопка замок нажата), в "нижней" политике используются условия активации профиля из "верхней" политики. Если в "верхней" политике разрешено изменение параметров, то используются условия активации профиля из "нижней" политики.

Поскольку профиль политики может в условии активации содержать свойство Устройство в автономном режиме, профили полностью заменяют функциональность политик для автономных пользователей, которая в дальнейшем не будет поддерживаться.

Политика для автономных пользователей может содержать профили, но активация ее профилей может произойти не ранее, чем устройство перейдет в автономный режим.

Наследование параметров политики

Политика задается для группы администрирования. Параметры политики могут наследоваться, то есть передаваться в подгруппы (дочерние группы) групп администрирования, для которых она создана. Политика, созданная для родительской группы, также называется родительской политикой.

Можно включить или выключить два параметра наследования: Наследовать параметры родительской политики и Форсировать наследование параметров дочерними политиками.

• Если вы включили Наследовать параметры родительской политики для дочерней политики и заблокировали некоторые параметры в родительской политике, тогда вы не можете изменить эти параметры для дочерней группы. Однако вы можете изменить параметры, которые не заблокированы в родительской политике.
• Если вы выключили Наследовать параметры родительской политики для дочерней политики, тогда вы можете изменить все параметры в дочерней группе, даже если некоторые параметры заблокированы в родительской политике.
• Если в родительской группе включен параметр Обеспечить принудительное наследование параметров для дочерних политик, это включит параметр Наследовать параметры родительской политики для каждой дочерней политики. В этом случае вы не можете выключить этот параметр для дочерних политик. Все параметры, которые заблокированы в родительской политике, принудительно наследуются в дочерних группах, и вы не можете изменить эти параметры в дочерних группах.
• В политиках для группы Управляемые устройства параметр Наследовать параметры родительской политики не влияет ни на какие параметры, так как группа Управляемые устройства не имеет вышестоящих групп и, следовательно, не наследует никакие политики.

По умолчанию параметр Наследовать параметры родительской политики включен для новой политики.

Если у политики имеются профили, все дочерние политики наследуют эти профили.

В начало

Управление политиками

Централизованная настройка параметров программ, установленных на клиентских устройствах, осуществляется через определение политик.

Политики, сформированные для программ в группе администрирования, отображаются в рабочей области на закладке Политики. Перед именем каждой политики отображается значок, характеризующий ее статус.

После удаления политики или прекращения ее действия программа продолжает работу с параметрами, заданными в политике. В дальнейшем эти параметры можно изменить вручную.

Применение политики производится следующим образом: если на устройстве выполняются резидентные задачи (задачи постоянной защиты), их выполнение продолжается с новыми значениями параметров. Запущенные периодические задачи (проверка по требованию, обновление баз программ) выполняются с неизмененными значениями. Новый запуск периодических задач производится с измененными значениями параметров.

Политики для программ с поддержкой мультитенантности наследуются для групп администрирования более низкого уровня, а также для групп администрирования верхнего уровня: политика распространяется на все клиентские устройства, на которых установлена программа.

В случае использования иерархической структуры Серверов администрирования подчиненные Серверы получают политики с главного Сервера администрирования и распространяют их на клиентские устройства. При включенном механизме наследования параметры политики можно изменять на главном Сервере администрирования. После этого изменения, внесенные в параметры политики, распространяются на унаследованные политики на подчиненных Серверах администрирования.

При разрыве соединения между главным и подчиненным Серверами администрирования политика на подчиненном Сервере продолжает действовать с прежними параметрами. Параметры политики, измененные на главном Сервере администрирования, распространятся на подчиненный Сервер после восстановления соединения.

При отключенном механизме наследования параметры политики можно изменять на подчиненном Сервере независимо от главного Сервера.

Если происходит разрыв соединения между Сервером администрирования и клиентским устройством, на устройстве вступает в силу политика для автономного пользователя (если она определена), или политика продолжает действовать с прежними параметрами до восстановления соединения.

Результаты распространения политики на подчиненные Серверы администрирования отображаются в окне свойств политики на главном Сервере администрирования.

Результаты распространения политики на клиентские устройства отображаются в окне свойств политики Сервера администрирования, к которому они подключены.

Не используйте в параметрах политик конфиденциальные данные. Например, старайтесь не указывать пароль доменного администратора.

Создание политики

В Консоли администрирования можно создавать политики непосредственно в папке группы администрирования, для которой создается политика, и в рабочей области папки Политики.

Чтобы создать политику в папке группы администрирования:

1. В дереве консоли выберите группу администрирования, для которой нужно создать политику.
2. В рабочей области группы выберите закладку Политики.
3. Запустите мастер создания политики по кнопке Новая политика.

В результате запускается мастер создания политики. Следуйте далее указаниям мастера.

Чтобы создать политику в рабочей области папки Политики:

1. В дереве консоли выберите папку Политики.
2. Запустите мастер создания политики по кнопке Новая политика.

В результате запускается мастер создания политики. Следуйте далее указаниям мастера.

Для одной программы в группе можно создать несколько политик, но активной может быть только одна из них. При создании новой активной политики предыдущая активная политика становится неактивной.

При создании политики можно настроить минимальный набор параметров, без которых программа не будет работать. Остальные значения параметров устанавливаются по умолчанию и соответствуют значениям по умолчанию при локальной установке программы. Вы можете изменять политику после ее создания.

Не используйте в параметрах политик конфиденциальные данные. Например, старайтесь не указывать пароль доменного администратора.

Параметры программ "Лаборатории Касперского", которые изменяются после применения политик, подробно описаны в Руководствах к каждой из них.

После создания политики параметры, на изменение которых наложен запрет (установлен "замок" ), начинают действовать на клиентских устройствах независимо от того, какие параметры были определены для программы ранее.

Отображение унаследованной политики во вложенной группе

Чтобы включить отображение унаследованных политик для вложенной группы администрирования:

1. В дереве консоли выберите группу администрирования, для которой нужно отображать унаследованные политики.
2. В рабочей области выбранной группы выберите закладку Политики.
3. В контекстном меню списка политик выберите пункт Вид → Унаследованные политики.

В результате унаследованные политики отображаются в списке политик со значком:

• – если они были унаследованы от группы, созданной на главном Сервере администрирования;
• – если они были унаследованы от группы верхнего уровня.

При включенном режиме наследования параметров изменение унаследованных политик доступно только в той группе, в которой они были созданы. Изменение унаследованных политик недоступно в той группе, которая наследует политики.

Активация политики

Чтобы сделать политику активной для выбранной группы:

1. В рабочей области группы на закладке Политики выберите политику, которую нужно сделать активной.
2. Для активации политики выполните одно из следующих действий:
   • В контекстном меню политики выберите пункт Активная политика.
   • В окне свойств политики откройте раздел Общие и в блоке параметров Состояние политики выберите вариант Активная политика.

В результате политика становится активной для выбранной группы администрирования.

При применении политики на большом количестве клиентских устройств на некоторое время существенно возрастают нагрузка на Сервер администрирования и объем сетевого трафика.

Автоматическая активация политики по событию "Вирусная атака"

Чтобы политика активировалась автоматически при наступлении события "Вирусная атака":

1. В окне свойств Сервера администрирования откройте раздел Вирусная атака.
2. Откройте окно Активация политик по ссылке Настроить активацию политик по возникновению события "Вирусная атака" и добавьте политику в выбранный список политик, активируемых при обнаружении вирусной атаки.

В случае активации политики по событию Вирусная атака вернуться к предыдущей политике можно только вручную.

Применение политики для автономных пользователей

Политика для автономных пользователей вступает в силу на устройстве в случае его отключения от сети организации.

Чтобы применить политику для автономных пользователей:

в окне свойств политики откройте раздел Общие и в блоке параметров Состояние политики выберите вариант Политика для автономных пользователей.

В результате политика для автономных пользователей начинает действовать на устройствах в случае их отключения от сети организации.

Изменение политики. Откат изменений

Чтобы изменить политику:

1. В дереве консоли выберите папку Политики.
2. В рабочей области папки Политики выберите политику и с помощью контекстного меню перейдите в окно свойств политики.
3. Внесите необходимые изменения.
4. Нажмите на кнопку Применить.

Изменения политики будут сохранены в свойствах политики, в разделе История ревизий.

В случае необходимости вы можете откатить изменения политики.

Чтобы откатить изменения политики:

1. В дереве консоли выберите папку Политики.
2. Выберите политику, изменения которой нужно откатить и с помощью контекстного меню перейдите в окно свойств политики.
3. В окне свойств политики выберите раздел История ревизий.
4. В списке ревизий политики выберите номер ревизии, к которой нужно откатить изменения.
5. Нажмите на кнопку Дополнительно и в раскрывающемся списке выберите значение Откатить.

Сравнение политик

Вы можете сравнивать две политики для одной управляемой программы. В результате сравнения политик вы получаете отчет, показывающий, какие параметры политик совпадают, а какие различаются. Сравнивать политики бывает нужно, например, если разные администраторы в своих локальных офисах создали несколько политик для одной управляемой программы или если одна политика верхнего уровня была унаследована и изменена для каждого локального офиса. Вы можете сравнивать политики одним из следующих способов: путем выбора одной политики и сравнения ее с другой или путем сравнения любых двух политик из списка политик.

Чтобы сравнить политику с другой политикой:

1. В дереве консоли выберите папку Политики.
2. В рабочей области папки Политики выберите политику, которую нужно сравнить с другой политикой.
3. В контекстном меню политики выберите пункт Сравнить политику с другой политикой.
4. В окне Выбор политики выберите политику, с которой нужно провести сравнение.
5. Нажмите на кнопку ОК.

Отобразится отчет сравнения двух политик для программы в формате HTML.

Чтобы сравнить две политики из списка политик:

1. В папке Политики в списке политик с помощью клавиши SHIFT или CTRL выберите две политики для одной управляемой программы.
2. В контекстном меню выберите пункт Сравнить.

Отобразится отчет сравнения двух политик для программы в формате HTML.

В отчете сравнения параметров политик для программы Kaspersky Endpoint Security для Windows выполняется также сравнение профилей политики. Результаты сравнения параметров профилей политик можно свернуть. Чтобы свернуть блок, нажмите на значок стрелки () рядом с названием блока.

Удаление политики

Чтобы удалить политику:

1. В рабочей области группы администрирования на закладке Политики выберите политику, которую нужно удалить.
2. Удалите политику одним из следующих способов:
   • В контекстном меню политики выберите пункт Удалить.
   • Перейдите по ссылке Удалить политику в информационном окне выбранной политики.

Копирование политики

Чтобы скопировать политику:

1. В рабочей области нужной вам группы на закладке Политики выберите политику.
2. В контекстном меню политики выберите пункт Копировать.
3. Выберите в дереве консоли группу, в которую требуется добавить политику.

   Политику можно добавить в ту же группу, из которой она скопирована.

4. В контекстном меню списка политик для выбранной группы на закладке Политики выберите пункт Вставить.

В результате политика копируется с сохранением всех параметров и распространяется на устройства группы, в которую она перенесена. Если вы вставляете политику в ту же группу, из которой она была скопирована, индекс (<следующий порядковый номер>) автоматически добавляется к имени политики, например: (1), (2).

Активная политика при копировании становится неактивной. В случае необходимости вы можете сделать ее активной.

Экспорт политики

Чтобы экспортировать политику:

1. Экспортируйте политику одним из следующих способов:
   • В контекстном меню политики выберите пункт Все задачи → Экспортировать.
   • Перейдите по ссылке Экспортировать политику в файл в информационном окне выбранной политики.
2. В открывшемся окне Сохранить как укажите имя файла политики и путь. Нажмите на кнопку Сохранить.

Импорт политики

Чтобы импортировать политику:

1. В рабочей области нужной вам группы на закладке Политики выберите один из следующих способов импорта политики:
   • В контекстном меню списка политик выберите пункт Все задачи → Импортировать.
   • По кнопке Импортировать политику из файла в блоке управления списком политик.
2. В открывшемся окне укажите путь к файлу, из которого вы хотите импортировать политику. Нажмите на кнопку Открыть.

Импортированная политика отображается в списке политик. Также импортируются параметры и профили политики. Независимо от статуса политики, выбранной при экспорте, импортируемая политика неактивна. Вы можете изменить статус политики в свойствах политики.

Если имя новой импортированной политики идентично имени существующей политики, имя импортированной политики расширяется с помощью окончания вида (<порядковый номер>), например: (1), (2).

Конвертация политик

Kaspersky Security Center может конвертировать политики предыдущих версий управляемых программ "Лаборатории Касперского" в политики текущих версий этих программ. Преобразованные политики сохраняют текущие параметры администратора, заданные до обновления, а также включают новые параметры из актуальных версий программ. Плагины управления программами "Лаборатории Касперского" определяют, доступна ли конвертация политик этих программ. Информацию о преобразовании политик для каждой поддерживаемой программы "Лаборатории Касперского" см. в соответствующей справке из следующего списка:

• Программы "Лаборатории Касперского" для рабочих станций:
  • Kaspersky Endpoint Security для Windows;
  • Kaspersky Endpoint Security для Linux;
  • Kaspersky Endpoint Security для Linux Elbrus Edition;
  • Kaspersky Endpoint Security для Linux ARM Edition;
  • Kaspersky Endpoint Security для Mac;
  • Kaspersky Endpoint Agent;
  • Kaspersky Embedded Systems Security для Windows.
• Kaspersky Industrial CyberSecurity:
  • Kaspersky Industrial CyberSecurity for Nodes;
  • Kaspersky Industrial CyberSecurity for Linux Nodes;
  • Kaspersky Industrial CyberSecurity for Networks (централизованное развертывание не поддерживается).
• Приложения "Лаборатории Касперского" для мобильных устройств:
  • Kaspersky Endpoint Security для Android;
  • Kaspersky Security для iOS.
• Программы "Лаборатории Касперского" для файловых серверов:
  • Kaspersky Security для Windows Server;
  • Kaspersky Endpoint Security для Windows;
  • Kaspersky Endpoint Security для Linux.
• Программы "Лаборатории Касперского" для виртуальных машин:
  • Kaspersky Security для виртуальных сред Легкий агент;
  • Kaspersky Security для виртуальных сред Защита без агента.
• Программы "Лаборатории Касперского" для почтовых систем и серверов SharePoint / серверов совместной работы:
  • Kaspersky Security для Linux Mail Server;
  • Kaspersky Secure Mail Gateway;
  • Kaspersky Security для Microsoft Exchange Servers.
• Программы "Лаборатории Касперского" для обнаружения целевых атак:
  • Kaspersky Sandbox;
  • Kaspersky Endpoint Detection and Response Optimum;
  • Kaspersky Managed Detection and Response.
• Программы "Лаборатории Касперского" для устройств с операционной системой KasperskyOS:
  • Kaspersky IoT Secure Gateway;
  • Kaspersky Security Management Suite (плагин для Kaspersky Thin Client).

Чтобы конвертировать политики:

1. В дереве консоли выберите Сервер администрирования, для которого вы хотите выполнить конвертацию политик.
2. В контекстном меню Сервера администрирования выберите пункт Все задачи → Мастер массовой конвертации политик и задач.

В результате запускается мастер массовой конвертации политик и задач. Следуйте далее указаниям мастера.

После завершения работы мастера создаются политики, использующие текущие параметры политик администратора и новые параметры из актуальных версий программ "Лаборатории Касперского".

Управление профилями политик

В этом разделе описывается управление профилями политики и предоставляется информация о просмотре профилей политики, изменении приоритета профиля политики, создании профиля политики, изменении профиля политики, копировании профиля политики, создании правила активации профиля политики и удалении профиля политики.

О профиле политики

Профиль политики – это именованный набор параметров политики, который активируется на клиентском устройстве (компьютере, мобильном устройстве), если устройство удовлетворяет заданным правилам активации. При активации профиля изменяются параметры политики, действовавшие на устройстве до активации профиля. Эти параметры принимают значения, указанные в профиле.

Профили политики нужны для того, чтобы устройства внутри одной группы администрирования могли иметь разные параметры политики. Например, возможна ситуация, когда в группе администрирования для некоторых устройств параметры политики должны быть изменены. В этом случае для такой политики можно настроить профили политики, использование которых позволяет изменять параметры политики не для всех устройств группы администрирования. Например, политика запрещает запуск программ городской навигации для всех устройств группы администрирования "Пользователи". Программы городской навигации необходимы для работы только одного устройства пользователя, выполняющего роль курьера, в группе администрирования "Пользователи". На этом устройстве можно установить тег "Курьер" и настроить профиль политики таким образом, чтобы был разрешен запуск программ городской навигации только на устройстве с тегом "Курьер", с сохранением всех остальных параметров политики. В этом случае если в группе администрирования "Пользователи" появляется устройство с тегом "Курьер", на нем будет разрешен запуск программ городской навигации. Запуск программ городской навигации на других устройствах в группе администрирования "Пользователи", у которых тег "Курьер" отсутствует, будет запрещен.

Профили поддерживаются только для следующих политик:

• политики программы Kaspersky Endpoint Security 10 Service Pack 1 для Windows и выше;
• политики программы Kaspersky Endpoint Security 10 Service Pack 1 для Mac;
• политики плагина Kaspersky Mobile Device Management версий от 10 Service Pack 1 до 10 Service Pack 3 Maintenance Release 1;
• политики плагина Kaspersky Device Management для iOS;
• политики Kaspersky Security для виртуальных сред 5.1 Легкий агент для Windows;
• политики Kaspersky Security для виртуальных сред 5.1 Легкий агент для Linux.

Профили политик облегчают управление клиентскими устройствами, на которых применены политики:

• Параметры профиля политики могут отличаться от параметров самой политики.
• Не требуется поддерживать и применять вручную несколько копий одной политики, которые различаются только небольшим количеством параметров.
• Не требуется отдельная политика для автономных пользователей.
• Вы можете экспортировать и импортировать профили политики, а также создавать новые профили на основе существующих.
• Для одной политики несколько профилей политики могут быть активными. К устройству будут применены те из профилей, которые удовлетворяют правилам активации на этом устройстве.
• Профили подчиняются иерархии политик. Унаследованная политика содержит все профили политики верхнего уровня.

Приоритеты профилей

Профили, созданные для политики, упорядочены в порядке убывания приоритета. Например, если профиль X находится выше профиля Y в списке профилей, то профиль X имеет более высокий приоритет, чем Y. К одному устройству одновременно могут быть применены несколько профилей. Если значение какого-то параметра различается в профилях, на устройстве применится значение параметра из того профиля, который имеет более высокий приоритет.

Правила активации профиля

Профиль политики активируется на клиентском устройстве при выполнении правила активации. Правила активации – набор условий, при выполнении которых профиль политики начинает работать на устройстве. Правило активации может содержать следующие условия:

• Агент администрирования на клиентском устройстве подключается к Серверу с определенным набором параметров подключения, например, адрес Сервера, номер порта и так далее.
• Клиентское устройство находится в автономном режиме.
• Клиентскому устройству назначены определенные теги.
• Клиентское устройство явно (устройство находится непосредственно в указанном подразделении) или неявно (устройство находится в подразделении, которое находится внутри указанного подразделения на любом уровне вложенности) размещено в определенном подразделении Active Directory, устройство или его владелец находятся в группе безопасности Active Directory.
• Клиентское устройство принадлежит определенному владельцу или владелец устройства находится во внутренней группе безопасности Kaspersky Security Center.
• Владельцу клиентского устройства была назначена определенная роль.

Политики в иерархии групп администрирования

Если вы создаете политику в группе администрирования нижнего уровня, то новая политика наследует профили активной политики для группы верхнего уровня. Профили с одинаковыми именами объединяются. Профили политики для группы более высокого уровня имеют более высокий приоритет. Например, в группе администрирования А политика Р(А) имеет профили X1, X2, и X3, в порядке убывания приоритета. В группе администрирования В, которая является подгруппой группы А, создана политика Р(В), с профилями X2, X4, X5. Тогда политика Р(В) будет изменена политикой P(A), так, что в политике P(B) список профилей в порядке убывания приоритета будет X1, X2, X3, X4, X5. Приоритет профиля X2 будет зависеть от начального состояния X2 политики P(B) и X2 политики P(A). После создания политики Р(В) политика P(A) не будет отображаться в подгруппе В.

Активная политика вычисляется каждый раз заново при запуске Агента администрирования, при включении и выключении автономного режима, а также при изменении списка тегов, назначенных клиентскому устройству. Например, устройству увеличили объем оперативной памяти, в результате активировался профиль политики, который применяется для устройств с большим объемом оперативной памяти.

Свойства и ограничения профиля политики

Профили имеют следующие свойства:

• Профили неактивной политики не влияют на клиентские устройства.
• Если для политики установлено состояние Политика для автономных пользователей, профили политики также будут применяться при отключении устройства от корпоративной сети.
• Профили не поддерживают статический анализ доступа к исполняемым файлам.
• Профиль политики не может содержать параметры оповещений о событиях.
• Если используется UDP-порт 15000 для подключения устройства к Серверу администрирования, то при назначении тега устройству соответствующий профиль политики активируется в течение одной минуты.
• Вы можете использовать правила подключения Агента администрирования к Серверу администрирования, когда вы создаете правила активации профиля политики.

Создание профиля политики

Создание профиля доступно только для политик следующих программ:

• Kaspersky Endpoint Security 10 Service Pack 1 для Windows и выше;
• Kaspersky Endpoint Security 10 Service Pack 1 для Mac;
• плагина Kaspersky Mobile Device Management до версий 10 Service Pack 3 Maintenance Release 1;
• плагина Kaspersky Device Management для iOS;
• Kaspersky Security для виртуальных сред 5.1 Легкий агент для Windows и Linux.

Чтобы создать профиль политики:

1. В дереве консоли выберите группу администрирования, для политики которой нужно создать профиль политики.
2. В рабочей области группы администрирования выберите закладку Политики.
3. Выберите политику и с помощью контекстного меню перейдите в окно свойств политики.
4. Выберите раздел Профили политики в окне свойств политики и нажмите на кнопку Добавить.

   Запустится мастер создания профиля политики.

5. В окне мастера Имя профиля политики укажите:
   1. Имя профиля политики.

      Имя профиля не может превышать 100 символов.

   2. Состояние профиля политики (Включен или Выключен).

      Рекомендуется создавать неактивные профили политики и включать их только после полного завершения настройки параметров и условий активации профилей политики.

6. Установите флажок После закрытия мастера создания профиля политики перейти к настройке правила активации профиля политики, чтобы запустить мастер создания правила активации профиля политики. Следуйте инструкциям мастера.
7. Измените параметры профиля политики в окне свойств профиля политики, как вам необходимо.
8. Сохраните изменения, нажав на кнопку ОК.

   Профиль будет сохранен. Профиль будет активирован на устройствах, удовлетворяющих правилам активации.

Для одной политики можно создать несколько профилей политики. Профили, созданные для политики, отображаются в свойствах политики в разделе Профили политики. Вы можете изменить профиль политики и приоритет профиля, а также удалить профиль.

Изменение профиля политики

Изменение параметров профиля политики

Изменение профиля доступно только для политик Kaspersky Endpoint Security для Windows.

Чтобы изменить профиль политики:

1. В дереве консоли выберите группу администрирования, для которой нужно изменить профиль политики.
2. В рабочей области группы выберите закладку Политики.
3. Выберите политику и с помощью контекстного меню перейдите в окно свойств политики.
4. Откройте раздел Профили политики в свойствах политики.

   В разделе содержится список профилей, созданных для политики. Профили в списке отображаются в соответствии с их приоритетом.

5. Выберите профиль политики и нажмите на кнопку Свойства.
6. В окне свойств настройте параметры профиля:
   • Если необходимо, в разделе Общие измените имя профиля и включите или выключите профиль с помощью флажка Включить профиль.
   • В разделе Правила активации измените правила активации профиля.
   • Измените параметры политики в соответствующих разделах.
7. Нажмите на кнопку ОК.

Измененные параметры начнут действовать после синхронизации устройства с Сервером администрирования (если профиль политики активен) либо после выполнения правила активации (если профиль политики неактивен).

Изменение приоритета профиля политики

Приоритет профилей политик определяет порядок активации профилей на клиентском устройстве. Приоритет используется, если для разных профилей политики заданы одинаковые правила активации.

Например, созданы два профиля политики: Профиль 1 и Профиль 2, отличающиеся друг от друга значениями одного параметра (Значение 1 и Значение 2). Приоритет Профиля 1 выше, чем приоритет Профиля 2. Кроме того, существуют профили с более низким приоритетом, чем Профиль 2. Правила активации профилей совпадают.

При выполнении правила активации будет активирован Профиль 1. Параметр на устройстве примет Значение 1. Если удалить Профиль 1, то Профиль 2, будет иметь самый высокий приоритет, и параметр примет Значение 2.

В списке профилей политики профили отображаются в соответствии с их приоритетом. На первом месте в списке стоит профиль с самым высоким приоритетом. Приоритет профиля можно изменять с помощью кнопок со стрелкой вверх и со стрелкой вниз .

Удаление профиля политики

Чтобы удалить профиль политики:

1. Выберите в дереве консоли группу администрирования, для которой нужно удалить профиль политики.
2. В рабочей области группы администрирования выберите закладку Политики.
3. Выберите политику и с помощью контекстного меню перейдите в окно свойств политики.
4. Откройте раздел Профили политики в свойствах политики Kaspersky Endpoint Security.
5. Выберите профиль политики, который нужно удалить, и нажмите на кнопку Удалить.

В результате профиль политики будет удален. Активным станет либо другой профиль политики, правила активации которого выполняются на устройстве, либо политика.

Создание правила активации профиля политики

Развернуть все | Свернуть все

Чтобы создать правило активации профиля политики:

1. В дереве консоли выберите группу администрирования, для которой нужно создать правило активации профиля политики.
2. В рабочей области группы выберите закладку Политики.
3. Выберите политику и с помощью контекстного меню перейдите в окно свойств политики.
4. Выберите раздел Профили политики в окне свойств политики.
5. Выберите профиль политики, для которого нужно создать правило активации, и нажмите на кнопку Свойства.

   В результате откроется окно свойств профиля политики.

   Если список профилей политики пуст, вы можете создать профиль политики.

6. Выберите раздел Правила активации и нажмите на кнопку Добавить.

   В результате запустится мастер создания правила активации профиля политики.

7. В окне Правила активации профиля политики установите флажки напротив условий, которые должны влиять на активацию создаваемого профиля политики:
   • Общие правила активации профиля политики

     Установите флажок, чтобы настроить правила активации профиля политики на устройстве в зависимости от состояния автономного режима устройства, правила подключения устройства к Серверу администрирования и назначенных устройству тегов.

   • Правила для использования Active Directory

     Установите флажок, чтобы настроить правила активации профиля политики на устройстве в зависимости от размещения устройства в подразделении Active Directory или же от членства устройства или его владельца в группе безопасности Active Directory.

   • Правила для определенного владельца устройства

     Установите флажок, чтобы настроить правила активации профиля политики на устройстве в зависимости от того, кто является владельцем устройства, и от членства устройства во внутренней группе безопасности Kaspersky Security Center.

   • Правило для характеристик оборудования

     Установите флажок, чтобы настроить условие активации профиля политики на устройстве в зависимости от объема памяти и количества логических процессоров устройства.

   От выбора параметров на этом шаге зависит дальнейшее количество окон мастера. Вы можете изменить правила активации профиля политики позже.

8. В разделе Общие условия укажите следующие параметры:
   • В поле Устройство в автономном режиме в раскрывающемся списке укажите условие нахождения устройства в сети:
     • Да

       Устройство находится во внешней сети, то есть Сервер администрирования недоступен.

     • Нет

       Устройство находится в сети, Сервер администрирования доступен.

     • Значение не выбрано

       Критерий не применяется.

   • В поле Устройство находится в указанном сетевом местоположении с помощью раскрывающихся списков настройте активацию профиля политики при выполнении/невыполнении на устройстве правила подключения к Серверу администрирования:
     • Выполняется/Не выполняется

       Условие активации профиля политики (правило выполняется или не выполняется).

     • Имя правила

       Описание сетевого местоположения устройства для подключения к Серверу администрирования, при выполнении или невыполнении условий которого профиль политики будет активирован.

       Описание сетевого местоположения устройств для подключения к Серверу администрирования можно создать или настроить в правиле переключения Агента администрирования.

   Окно Общие условия отображается, если был установлен флажок Общие правила активации профиля политики.

9. В разделе Условия с использованием тегов укажите следующие параметры:
   • Список тегов

     В списке тегов задайте правило включения устройств в профиль политики, установив флажки нужным тегам.

     Вы можете добавить в список новые теги, введя их в поле над списком и нажав на кнопку Добавить.

     В профиль политики будут включены устройства, в описании которых есть все выбранные теги. Если флажки сняты, критерий не применяется. По умолчанию флажки сняты.

   • Применить к устройствам без выбранных тегов

     Включите параметр, если необходимо инвертировать выбор тегов.

     Если параметр включен, в профиль политики будут включены устройства, в описании которых нет выбранных тегов. Если этот параметр выключен, критерий не применяется.

     По умолчанию параметр выключен.

   Окно Условия с использованием тегов отображается, если установлен флажок Общие правила активации профиля политики.

10. В разделе Условия с использованием Active Directory укажите следующие параметры:
    • Членство владельца устройства в группе безопасности Active Directory

      Если параметр включен, профиль политики активируется на устройстве, владелец которого является членом указанной группы безопасности. Если параметр выключен, критерий активации профиля не применяется. По умолчанию параметр выключен.

    • Членство устройства в группе безопасности Active Directory

      Если параметр включен, профиль политики активируется на устройстве. Если параметр выключен, критерий активации профиля не применяется. По умолчанию параметр выключен.

    • Размещение устройства в подразделении Active Directory

      Если параметр включен, профиль политики активируется на устройстве, которое входит в указанное подразделение Active Directory. Если параметр выключен, критерий активации профиля не применяется.

      По умолчанию параметр выключен.

    Окно Условия с использованием Active Directory отображается, если установлен флажок Правила для использования Active Directory.

11. В разделе Условия с использованием владельца устройства укажите следующие параметры:
    • Владелец устройства

      Включите параметр, чтобы настроить и включить правило активации профиля на устройстве по владельцу устройства. В раскрывающемся списке под флажком можно выбрать критерий активации профиля:

      • устройство принадлежит указанному владельцу (знак "=");
      • устройство не принадлежит указанному владельцу (знак "#").

        Если параметр включен, активация профиля на устройстве выполняется в соответствии с настроенным критерием. Вы можете указать владельца устройства, когда параметр включен. Если параметр выключен, критерий активации профиля не применяется. По умолчанию параметр выключен.

    • Владелец устройства входит во внутреннюю группу безопасности

      Включите параметр, чтобы настроить и включить правило активации профиля на устройстве по членству владельца устройства во внутренней группе безопасности Kaspersky Security Center. В раскрывающемся списке под флажком можно выбрать критерий активации профиля:

      • владелец устройства является членом указанной группы безопасности (знак "=");
      • владелец устройства не является членом указанной группы безопасности (знак "#").

        Если параметр включен, активация профиля на устройстве выполняется в соответствии с настроенным критерием. Вы можете указать группу безопасности Kaspersky Security Center. Если параметр выключен, критерий активации профиля не применяется. По умолчанию параметр выключен.

    • Активировать профиль политики по наличию роли у владельца устройства

      Включите этот параметр, чтобы настроить и включить правило активации профиля политики на устройстве в зависимости от наличия определенной роли у его владельца. Добавить роль вручную из списка существующих ролей.

      Если параметр включен, активация профиля на устройстве выполняется в соответствии с настроенным критерием.

    Окно Условия с использованием владельца устройства отображается, если установлен флажок Правила для определенного владельца устройства.

12. В разделе Условия с использованием характеристик оборудования укажите следующие параметры:
    • Объем оперативной памяти (МБ)

      Включите параметр, чтобы настроить и включить правило активации профиля на устройстве по объему оперативной памяти устройства. В раскрывающемся списке под флажком можно выбрать критерий активации профиля:

      • объем оперативной памяти устройства меньше указанного значения (знак "<");
      • объем оперативной памяти устройства больше указанного значения (знак ">").

      Если параметр включен, активация профиля на устройстве выполняется в соответствии с настроенным критерием. Вы можете указать объем оперативной памяти устройства. Если параметр выключен, критерий активации профиля не применяется. По умолчанию параметр выключен.

    • Количество логических процессоров

      Включите параметр, чтобы настроить и включить правило активации профиля на устройстве по количеству логических процессоров устройства. В раскрывающемся списке под флажком можно выбрать критерий активации профиля:

      • количество логических процессоров устройства меньше или равно указанному значению (знак "<");
      • количество логических процессоров устройства больше или равно указанному значению (знак ">").

      Если параметр включен, активация профиля на устройстве выполняется в соответствии с настроенным критерием. Вы можете указать количество логических процессоров устройства. Если параметр выключен, критерий активации профиля не применяется. По умолчанию параметр выключен.

    Окно Условия с использованием характеристик оборудования отображается, если установлен флажок Правило для характеристик оборудования.

13. В окне Имя правила активации профиля политики в поле Имя правила укажите название правила.

В результате профиль будет сохранен. Профиль будет активирован на устройстве, когда будут выполнены правила активации.

Правила активации профиля политики, созданные для профиля, отображаются в свойствах профиля политики в разделе Правила активации. Вы можете изменить или удалить правило активации профиля политики.

Несколько правил активации могут выполняться одновременно.