Нераспределенные устройства

В этом разделе представлена информация о работе с устройствами сети организации, не входящими в группы администрирования.

Обнаружение устройств

В этом разделе описаны типы обнаружения устройств, доступные в Kaspersky Security Center, а также приведена информация об использовании каждого из них.

Во время регулярных опросов сети Сервер администрирования получает информацию о структуре сети и устройствах в сети. Данные записываются в базу данных Сервера администрирования. Сервер администрирования может проводить следующие типы опросов сети:

• Опрос сети Windows. Сервер администрирования может проводить два типа опросов сети Windows: быстрый и полный. При быстром опросе Сервер администрирования получает только информацию о списке NetBIOS-имен устройств всех доменов и рабочих групп сети. При полном опросе с каждого клиентского устройства запрашивается более подробная информация, например, имя операционной системы, IP-адрес, DNS-имя и NetBIOS-имя. По умолчанию включены быстрый и полный опрос. При опросе сети Windows может не удаться обнаружить устройства, например, если роутером или сетевым экраном закрыты порты UDP 137, UDP 138, TCP 139.
• Опрос Active Directory. Сервер администрирования получает информацию о структуре групп Active Directory, а также информацию о DNS-именах устройств, входящих в группы Active Directory. По умолчанию этот тип опроса включен. При использовании Active Directory рекомендуется использовать опрос Active Directory. В противном случае Сервер администрирования не сможет обнаружить устройства. Если используется Active Directory, но отдельные сетевые устройства не являются его членами, эти устройства не удастся обнаружить при опросе Active Directory.
• Опрос IP-диапазонов. Сервер администрирования опрашивает указанные IP-диапазоны с помощью ICMP-пакетов или NBNS-протоколов и получает полную информацию об устройствах, входящих в IP-диапазоны. По умолчанию этот тип опроса выключен. Не рекомендуется использовать этот тип опроса, если вы используете опрос сети Windows и/или опрос Active Directory.
• Опрос Zeroconf. Точка распространения выполняет опрос IPv6-сети, используя сеть с нулевой конфигурацией (далее также Zeroconf). По умолчанию этот тип опроса выключен. Вы можете использовать опрос Zeroconf, если точка распространения работает под управлением Linux.

Если вы настроили и включили правила перемещения устройств, новые обнаруженные устройства будут автоматически перемещаться в группу Управляемые устройства. Если правила перемещения устройств не включены, новые обнаруженные устройства будут автоматически перемещаться в группу Нераспределенные устройства.

Можно изменить параметры обнаружения устройств для каждого типа. Например, может потребоваться изменить расписание опроса или указать, нужно опрашивать весь лес Active Directory или только определенный домен.

Опрос сети Windows

Развернуть все | Свернуть все

Об опросе сети Windows

При быстром опросе Сервер администрирования получает только информацию о списке NetBIOS-имен устройств всех доменов и рабочих групп сети. Во время полного опроса с каждого клиентского устройства запрашивается следующая информация:

• имя операционной системы;
• IP-адрес;
• DNS-имя;
• NetBIOS-имя.

Как во время быстрого опроса, так и во время полного опроса необходимо:

• наличие открытых портов UDP 137/138, TCP 139, UDP 445, TCP 445;
• служба Microsoft Computer Browser должна использоваться, и устройство, которое выполняет роль основного браузера, должно быть доступно на Сервере администрирования;
• служба Microsoft Computer Browser должна использоваться, и устройство, которое выполняет роль основного браузера, должно быть доступно на клиентском устройстве:
  • наличие хотя бы одного устройства, если количество сетевых устройств не превышает 32;
  • наличие как минимум одного устройства на каждые 32 сетевых устройства.

Полный опрос сети может быть запущен, только если быстрый опрос был запущен как минимум один раз.

Просмотр и изменение параметров опроса сети Windows

Чтобы изменить параметры опроса сети Windows:

1. В дереве консоли в папке Обнаружение устройств выберите вложенную папку Домены.

   Вы можете перейти в папку Обнаружение устройств из папки Нераспределенные устройства по кнопке Опросить сейчас.

   В рабочей области подпапки Домены отображается список устройств.

2. Нажмите на кнопку Опросить сейчас.

   Откроется окно свойств домена. При необходимости настройте параметры опроса сети Windows:

   • Включить опрос сети Windows

     По умолчанию этот вариант выбран. Если не требуется выполнять опрос сети Windows (например, если достаточно опроса Active Directory), можно отменить выбор данного параметра.

   • Настроить расписание быстрого опроса

     По умолчанию интервал времени составляет 15 минут.

     При быстром опросе Сервер администрирования получает только информацию о списке NetBIOS-имен устройств всех доменов и рабочих групп сети.

     Данные, полученные при каждом последующем опросе, полностью замещают предыдущие данные.

     Доступны следующие варианты расписания опроса сети:

     • Каждые N дней

       Опрос выполняется регулярно, с заданным интервалом в днях, начиная с указанной даты и времени.

       По умолчанию опрос запускается каждые шесть часов, начиная с текущей системной даты и времени.

     • Каждые N минут

       Опрос выполняется регулярно, с заданным интервалом в минутах, начиная с указанного времени.

       По умолчанию опрос запускается каждые пять минут, начиная с текущего системного времени.

     • По дням недели

       Опрос выполняется регулярно, в указанные дни недели, в указанное время.

       По умолчанию опрос запускается каждую пятницу в 18:00:00.

     • Ежемесячно, в указанные дни выбранных недель

       Опрос выполняется регулярно, в указанные дни каждого месяца, в указанное время.

       По умолчанию дни месяца не выбраны; время начала по умолчанию – 18:00:00.

     • Запускать пропущенные задачи

       Если Сервер администрирования выключен или недоступен в течение времени, на которое запланирован опрос, Сервер администрирования может либо начать опрос сразу после его включения, либо дождаться следующего планового опроса.

       Если этот параметр включен, Сервер администрирования начинает опрос сразу после его включения.

       Если этот параметр выключен, Сервер администрирования ждет следующего планового опроса.

       По умолчанию параметр включен.

   • Настроить расписание полного опроса

     По умолчанию период опроса составляет один час. Данные, полученные при каждом последующем опросе, полностью замещают предыдущие данные.

     Доступны следующие варианты расписания опроса сети:

     • Каждые N дней

       Опрос выполняется регулярно, с заданным интервалом в днях, начиная с указанной даты и времени.

       По умолчанию опрос запускается каждые шесть часов, начиная с текущей системной даты и времени.

     • Каждые N минут

       Опрос выполняется регулярно, с заданным интервалом в минутах, начиная с указанного времени.

       По умолчанию опрос запускается каждые пять минут, начиная с текущего системного времени.

     • По дням недели

       Опрос выполняется регулярно, в указанные дни недели, в указанное время.

       По умолчанию опрос запускается каждую пятницу в 18:00:00.

     • Ежемесячно, в указанные дни выбранных недель

       Опрос выполняется регулярно, в указанные дни каждого месяца, в указанное время.

       По умолчанию дни месяца не выбраны; время начала по умолчанию – 18:00:00.

     • Запускать пропущенные задачи

       Если Сервер администрирования выключен или недоступен в течение времени, на которое запланирован опрос, Сервер администрирования может либо начать опрос сразу после его включения, либо дождаться следующего планового опроса.

       Если этот параметр включен, Сервер администрирования начинает опрос сразу после его включения.

       Если этот параметр выключен, Сервер администрирования ждет следующего планового опроса.

       По умолчанию параметр включен.

Если требуется запустить опрос сети сразу, нажмите на кнопку Опросить сейчас. Будут запущены оба типа опроса.

На виртуальном Сервере администрирования просмотр и изменение параметров опроса сети Windows осуществляется в окне свойств точки распространения, в разделе Обнаружение устройств.

Опрос Active Directory

Развернуть все | Свернуть все

Используйте опрос Active Directory, если вы используете Active Directory; в противном случае рекомендуется использовать другие типы опросов. Если используется Active Directory, но отдельные сетевые устройства не являются его членами, эти устройства не удастся обнаружить при опросе Active Directory.

Просмотр и изменение параметров опроса Active Directory

Чтобы просмотреть и изменить параметры опроса групп Active Directory:

1. В дереве консоли в папке Обнаружение устройств выберите вложенную папку Active Directory.

   Также вы можете перейти в папку Обнаружение устройств из папки Нераспределенные устройства по кнопке Опросить сейчас.

2. Нажмите на кнопку Настроить параметры опроса.

   В результате откроется окно свойств Active Directory. При необходимости настройте параметры опроса групп Active Directory:

   • Разрешить опрос Active Directory

     По умолчанию этот вариант выбран. Однако если Active Directory не используется, в результаты опроса ничего найдено не будет. В этом случае можно отменить выбор данного параметра.

   • Настроить расписание опроса

     По умолчанию период опроса составляет один час. Данные, полученные при каждом последующем опросе, полностью замещают предыдущие данные.

     Доступны следующие варианты расписания опроса сети:

     • Каждые N дней

       Опрос выполняется регулярно, с заданным интервалом в днях, начиная с указанной даты и времени.

       По умолчанию опрос запускается каждые шесть часов, начиная с текущей системной даты и времени.

     • Каждые N минут

       Опрос выполняется регулярно, с заданным интервалом в минутах, начиная с указанного времени.

       По умолчанию опрос запускается каждые пять минут, начиная с текущего системного времени.

     • По дням недели

       Опрос выполняется регулярно, в указанные дни недели, в указанное время.

       По умолчанию опрос запускается каждую пятницу в 18:00:00.

     • Ежемесячно, в указанные дни выбранных недель

       Опрос выполняется регулярно, в указанные дни каждого месяца, в указанное время.

       По умолчанию дни месяца не выбраны; время начала по умолчанию – 18:00:00.

     • Запускать пропущенные задачи

       Если Сервер администрирования выключен или недоступен в течение времени, на которое запланирован опрос, Сервер администрирования может либо начать опрос сразу после его включения, либо дождаться следующего планового опроса.

       Если этот параметр включен, Сервер администрирования начинает опрос сразу после его включения.

       Если этот параметр выключен, Сервер администрирования ждет следующего планового опроса.

       По умолчанию параметр включен.

   • Дополнительно

     Можно выбрать домены Active Directory для опроса:

     • Домен Active Directory, к которому относится Kaspersky Security Center.
     • Лес доменов, к которому относится Kaspersky Security Center.
     • Указанный список доменов Active Directory.

       При выборе этого параметра можно добавлять домены в область опроса:

       • Нажмите на кнопку Добавить.
       • В соответствующих полях укажите адрес доменного контроллера, а также имя и пароль учетной записи для доступа к нему.
       • Нажмите на кнопку ОК, чтобы сохранить изменения.

       Можно выбрать адрес доменного контроллера в списке и нажать на кнопку Изменить или Удалить, чтобы изменить или удалить его.

     • Нажмите на кнопку ОК, чтобы сохранить изменения.

Если требуется запустить опрос сети сразу, нажмите на кнопку Опросить сейчас.

На виртуальном Сервере администрирования просмотр и изменение параметров опроса групп Active Directory осуществляются в окне свойств точки распространения, в разделе Обнаружение устройств.

Опрос IP-диапазонов

Развернуть все | Свернуть все

Сервер администрирования опрашивает указанные IP-диапазоны с помощью ICMP-пакетов или NBNS-протоколов и получает полную информацию об устройствах, входящих в IP-диапазоны. По умолчанию этот тип опроса выключен. Не рекомендуется использовать этот тип опроса, если вы используете опрос сети Windows и/или опрос Active Directory.

Просмотр и изменение параметров опроса IP-диапазонов

Чтобы просмотреть и изменить параметры опроса групп IP-диапазона:

1. В дереве консоли в папке Обнаружение устройств выберите вложенную папку IP-диапазоны.

   Вы можете перейти в папку Нераспределенные устройства из папки Обнаружение устройств по кнопке Опросить сейчас.

2. Если вы хотите, в подпапке IP-диапазоны нажмите на кнопку Добавить подсеть, чтобы добавить IP-диапазон для опроса, а затем нажмите ОК.
3. Нажмите на кнопку Настроить параметры опроса.

   Откроется окно свойств IP-диапазонов. Если требуется, можно поменять параметры опроса IP-диапазонов:

   • Разрешить опрос IP-диапазона

     По умолчанию этот вариант не выбран. Не рекомендуется использовать этот тип опроса, если вы используете опрос сети Windows и/или опрос Active Directory.

   • Настроить расписание опроса

     По умолчанию интервал времени составляет 420 минут. Данные, полученные при каждом последующем опросе, полностью замещают предыдущие данные.

     Доступны следующие варианты расписания опроса сети:

     • Каждые N дней

       Опрос выполняется регулярно, с заданным интервалом в днях, начиная с указанной даты и времени.

       По умолчанию опрос запускается каждые шесть часов, начиная с текущей системной даты и времени.

     • Каждые N минут

       Опрос выполняется регулярно, с заданным интервалом в минутах, начиная с указанного времени.

       По умолчанию опрос запускается каждые пять минут, начиная с текущего системного времени.

     • По дням недели

       Опрос выполняется регулярно, в указанные дни недели, в указанное время.

       По умолчанию опрос запускается каждую пятницу в 18:00:00.

     • Ежемесячно, в указанные дни выбранных недель

       Опрос выполняется регулярно, в указанные дни каждого месяца, в указанное время.

       По умолчанию дни месяца не выбраны; время начала по умолчанию – 18:00:00.

     • Запускать пропущенные задачи

       Если Сервер администрирования выключен или недоступен в течение времени, на которое запланирован опрос, Сервер администрирования может либо начать опрос сразу после его включения, либо дождаться следующего планового опроса.

       Если этот параметр включен, Сервер администрирования начинает опрос сразу после его включения.

       Если этот параметр выключен, Сервер администрирования ждет следующего планового опроса.

       По умолчанию параметр включен.

Если требуется запустить опрос сети сразу, нажмите на кнопку Опросить сейчас. Эта кнопка доступна, только если выбран параметр Разрешить опрос IP-диапазона.

На виртуальном Сервере администрирования просмотр и изменение параметров опроса IP-диапазонов осуществляются в окне свойств точки распространения, в разделе Обнаружение устройств. Клиентские устройства, найденные в результате опроса IP-диапазонов, отображаются в папке Домены виртуального Сервера.

Опрос Zeroconf

Этот тип опроса поддерживается только для точек распространения с операционными системами Linux.

Точка распространения может опрашивать сети, в которых есть устройства с IPv6-адресами. В этом случае IP-диапазоны не указываются, и точка распространения опрашивает всю сеть, используя сеть с нулевой конфигурацией (далее также Zeroconf). Чтобы начать использовать Zeroconf, вы должны установить утилиту avahi-browse на точке распространения.

Чтобы включить опрос Zeroconf:

1. В дереве консоли в папке Обнаружение устройств выберите вложенную папку IP-диапазоны.

   Вы можете перейти в папку Нераспределенные устройства из папки Обнаружение устройств по кнопке Опросить сейчас.

2. Нажмите на кнопку Настроить параметры опроса.
3. В открывшемся окне свойств IP-диапазонов выберите Включить опрос с помощью технологии Zeroconf.

После этого точка распространения начинает опрашивать вашу сеть. В этом случае указанные IP-диапазоны игнорируются.

Работа с Windows-доменами Просмотр и изменение параметров домена

Чтобы изменить параметры домена:

1. В дереве консоли в папке Обнаружение устройств выберите вложенную папку Домены.
2. Выберите домен и откройте окно его свойств одним из следующих способов:
   • В контекстном меню домена выберите пункт Свойства.
   • По ссылке Показать свойства группы.

Откроется окно Свойства: <Имя домена> можно настроить параметры выбранного домена.

Настройка правил хранения для нераспределенных устройств

Развернуть все | Свернуть все

После того как опрос сети Windows завершен, обнаруженные устройства помещаются в подгруппы группы администрирования Нераспределенные устройства. Эта группа администрирования находится по следующему пути: Дополнительно → Обнаружение устройств → Домены. Папка Домены является родительской группой. Папка содержит дочерние группы, имена которых соответствуют доменам и рабочим группам, которые были обнаружены во время опроса сети. Родительская группа может также содержать группы администрирования мобильных устройств. Вы можете настроить правила хранения нераспределенных устройств для родительской группы администрирования и для каждой дочерней группы. Правила хранения не зависят от параметров опроса сети и работают, даже если опрос сети выключен.

Чтобы настроить правила хранения нераспределенных устройств:

1. В дереве консоли в папке Обнаружение устройств выполните одно из следующих действий:
   • Чтобы настроить параметры родительской группы, в контекстном меню папки Домены выберите пункт Свойства.

     Откроется окно свойств родительской группы.

   • Чтобы настроить параметры дочерней группы, в контекстном меню дочерней группы выберите пункт Свойства.

     Откроется окно свойств дочерней группы.

2. В разделе Устройства укажите следующие параметры:
   • Удалять устройство из группы, если оно неактивно больше (сут)

     Если этот параметр включен, вы можете указать временной интервал, после которого устройство автоматически удаляется из группы администрирования. По умолчанию этот параметр распространяется на дочерние группы. Временной интервал, установленный по умолчанию, составляет 7 дней.

     По умолчанию параметр включен.

   • Наследовать из родительской группы

     Если этот параметр включен, период хранения для устройств в текущей группе наследуется от родительской группы и не может быть изменен.

     Этот параметр доступен только для дочерних групп.

     По умолчанию параметр включен.

   • Обеспечить принудительное наследование для дочерних групп

     Значения параметров будут распределены по дочерним группам, но в свойствах дочерних групп эти параметры недоступны для изменений.

     По умолчанию параметр выключен.

Ваши изменения сохранены и применены.

Работа с IP-диапазонами

Вы можете настраивать параметры существующих IP-диапазонов, а также создавать новые IP-диапазоны.

Создание IP-диапазона

Чтобы создать IP-диапазон:

1. В дереве консоли в папке Обнаружение устройств выберите вложенную папку IP-диапазоны.
2. В контекстном меню папки выберите пункт Новый → IP-диапазон.
3. В открывшемся окне Новый IP-диапазон настройте параметры создаваемого IP-диапазона.

В результате созданный IP-диапазон появится в составе папки IP-диапазоны.

Просмотр и изменение параметров IP-диапазона

Чтобы изменить параметры IP-диапазона:

1. В дереве консоли в папке Обнаружение устройств выберите вложенную папку IP-диапазоны.
2. Выберите IP-диапазон и откройте окно его свойств одним из следующих способов:
   • В контекстном меню IP-диапазона выберите пункт Свойства.
   • По ссылке Показать свойства группы.

Откроется окно Свойства: <Название IP-диапазона> можно настроить параметры выбранного IP-диапазона.

Работа с группами Active Directory. Просмотр и изменение параметров группы

Чтобы изменить параметры группы Active Directory:

1. В дереве консоли в папке Обнаружение устройств выберите вложенную папку Active Directory.
2. Выберите группу Active Directory и откройте окно ее свойств одним из следующих способов:
   • В контекстном меню IP-диапазона выберите пункт Свойства.
   • По ссылке Показать свойства группы.

Откроется окно Свойства: <Название группы Active Directory> можно настроить параметры выбранной группы Active Directory.

Создание правил автоматического перемещения устройств в группы администрирования

Вы можете настроить автоматическое перемещение устройств, обнаруживаемых при опросе сети организации, в группы администрирования.

Чтобы настроить правила автоматического перемещения устройств в группы администрирования:

1. В дереве консоли выберите папку Нераспределенные устройства.
2. В рабочей области папки нажмите на кнопку Настроить правила.

Откроется окно Свойства: Нераспределенные устройства window. Настройте правила автоматического перемещения устройств в группы администрирования в разделе Перемещение устройств.

На устройстве будет выполнено первое применимое правило в списке (сверху вниз в списке).

Использование динамического режима VDI на клиентских устройствах

В сети организации может быть развернута виртуальная инфраструктура с использованием временных виртуальных машин. Kaspersky Security Center обнаруживает временные виртуальные машины и добавляет данные о них в базу данных Сервера администрирования. После завершения работы пользователя с временной виртуальной машиной машина удаляется из виртуальной инфраструктуры. Однако запись об удаленной виртуальной машине может сохраниться в базе данных Сервера администрирования. Кроме того, несуществующие виртуальные машины могут отображаться в Консоли администрирования.

Чтобы избежать сохранения данных о несуществующих виртуальных машинах, в Kaspersky Security Center реализована поддержка динамического режима для Virtual Desktop Infrastructure (VDI). Администратор может включить поддержку динамического режима для VDI в свойствах инсталляционного пакета Агента администрирования, который будет установлен на временной виртуальной машине.

Во время выключения временной виртуальной машины Агент администрирования информирует Сервер администрирования о выключении. В случае успешного выключения виртуальной машины, она удаляется из списка устройств, подключенных к Серверу администрирования. Если выключение виртуальной машины выполнено некорректно и Агент администрирования не послал Серверу уведомление о выключении, используется дублирующий сценарий. Согласно этому сценарию виртуальная машина удаляется из списка устройств, подключенных к Серверу администрирования, после трех неудачных попыток синхронизации с Сервером.

Включение динамического режима VDI в свойствах инсталляционного пакета Агента администрирования

Чтобы включить динамический режим VDI:

1. В дереве консоли в папке Удаленная установка выберите вложенную папку Инсталляционные пакеты.
2. В контекстном меню инсталляционного пакета Агента администрирования выберите пункт Свойства.

   Откроется окно Свойства: Агент администрирования Kaspersky Security Center.

3. В открывшемся окне Свойства: Агент администрирования Kaspersky Security Center выберите раздел Дополнительно.
4. В разделе Дополнительно выберите параметр Включить динамический режим для VDI.

Устройство, на которое устанавливается Агент администрирования, будет являться частью VDI.

Поиск устройств, являющихся частью VDI

Чтобы найти устройства, являющиеся частью VDI:

1. В контекстном меню папки Нераспределенные устройства выберите пункт Поиск.
2. В окне Искать устройства на закладке Виртуальные машины в раскрывающемся списке Является виртуальной машиной выберите Да.
3. Нажмите на кнопку Найти.

Будет выполнен поиск устройств, являющихся частью Virtual Desktop Infrastructure.

Перемещение в группу администрирования устройств, являющихся частью VDI

Чтобы переместить устройства, являющиеся частью VDI, в группу администрирования:

1. В рабочей области папки Нераспределенные устройства нажмите на кнопку Настроить правила.

   В результате откроется окно свойств папки Нераспределенные устройства.

2. В окне свойств папки Нераспределенные устройства в разделе Перемещение устройств нажмите на кнопку Добавить.

   Откроется окно Новое правило.

3. В окне Новое правило выберите раздел Виртуальные машины.
4. В раскрывающемся списке Является виртуальной машиной выберите Да.

Будет создано правило перемещения устройств в группу администрирования.