该方案允许您部署管理服务器以及安装网络代理和安全应用程序到网络设备。您可以使用该方案更好的查看应用程序和安装应用程序。
有关部署 Kaspersky Security Center 云控制台的信息,请参阅 Kaspersky Security Center 云控制台文档。
Kaspersky Security Center 的安装和部署包括以下步骤:
部署 Kaspersky Security Center 到云环境和为服务提供商部署 Kaspersky Security Center 描述在对应的 Help 区域。
我们建议您分配至少一小时用于管理服务器安装和至少一个工作日用于完成方案。我们还建议您在将充当 Kaspersky Security Center 管理服务器的计算机上安装安全应用程序,例如 Kaspersky Security for Windows Server 或 Kaspersky Endpoint Security。
该方案完成后,将通过以下方式在组织网络中部署保护功能:
Kaspersky Security Center 部署分步骤进行:
准备部署
确保您拥有 Kaspersky Security Center 的授权许可密钥(激活码)或 Kaspersky 安全应用程序的授权许可密钥(激活码)。
解压缩从供应商处收到的存档。该存档包含两个授权许可密钥(KEY 文件)和两个文本文件。激活 Kaspersky Security Center 需要一个授权许可密钥,激活 Kaspersky 安全应用程序需要另一个授权许可密钥。一个文本文件提供有关授权许可密钥的信息,以及每个授权许可密钥可以激活的 Kaspersky 应用程序列表。另一个文本文件包含一个激活码。
如果您想先试用 Kaspersky Security Center,则可以在卡巴斯基网站获得 30 天免费试用。
有关对 Kaspersky Security Center 未包含的 Kaspersky 安全应用程序进行授权的详细信息,可以参考这些应用程序的文档。
找到更多 Kaspersky Security Center 组件。选择最适合您组织的保护结构和网络配置。基于网络配置和通信渠道的吞吐量,定义要使用的管理服务器数量以及如何在您的办公室间分发它们(如果您的组织运行分布式网络)。
要在不同的操作条件下获取和维持优化运行,请考虑网络设备数量、网络拓扑和您需要的 Kaspersky Security Center 功能集(更多详情,请参考 Kaspersky Security Center 层级指南)。
定义是否管理服务器层级将被用于您的组织。为此,您必须评估您的情况是否适合用单一管理服务器覆盖所有客户端设备,或者是否有必要创建一个管理服务器层级。您可能必须创建一个对应于您要保护的组织的组织结构的管理服务器层级。
如果您必须确保对移动设备的保护,请执行配置 Exchange 移动设备服务器和 iOS MDM 服务器所需的所有先决操作。
确保您选为管理服务器以及安装管理控制台的设备满足所有的硬件和软件需求。
如果组织的公钥基础结构 (PKI) 要求您使用由特定证书颁发机构 (CA) 颁发的自定义证书,请准备这些证书并确保它们满足所有要求。
如果您计划使用支持“移动设备管理”、“与 SIEM 系统集成”和/或“漏洞和补丁管理”的 Kaspersky Security Center 版本,确保您有应用程序授权许可密钥文件或激活码。
在部署保护功能的过程中,您将必须向 Kaspersky 提供您要通过 Kaspersky Security Center 管理的应用程序的活动授权许可密钥(参见可管理安全应用程序列表)。对于任何安全应用程序的授权许可详情,参见对应的应用程序的帮助系统。
计划 DBMS 和管理服务器硬件配置,需要考虑您网络设备的数量。
当选择 DBMS 时注意要由该管理服务器覆盖的受管理设备数量。如果您的网络包含少于 10,000 台设备且您不打算增加该数量,您可以选择免费 DBMS,例如 SQL Express 或 MySQL,并将其安装到管理服务器所在的同一设备。还可以选择 MariaDB DBMS,它允许管理多达 2 万台设备。如果您的网络包含多于 10,000 台设备(或如果您计划扩展您的网络到该数量的设备),我们建议您选择付费 SQL DBMS 并将其安装到专用设备。付费 DBMS 可以用于多个管理服务器,但免费 DBMS 仅可以用于一个。
找到更多使用 DBMS 的账户详情并安装所选的 DBMS。
安装之前选择受支持的 DBMS。例如,您可以选择 Microsoft SQL Server、MySQL 或 MariaDB。
对于如何安装所选 DBMS 的信息,请参考其文档。
如果您安装 MariaDB 或 MySQL,请使用建议的设置以确保 DBMS 正常运行。
写下并保存 DBMS 设置,因为您将在管理服务器安装时需要它们。这些设置包括 SQL Server 名称、连接 SQL Server 的端口号、访问 SQL Server 的账户名和密码。
默认下,Kaspersky Security Center 安装程序创建管理服务器信息存储数据库,但是您可以取消创建该数据库并使用其他数据库。此种情况下,确保数据库已被创建,您知道它的名称,管理服务器将再次访问该数据库的账户具有 db_owner 角色。
如果必要,联系您的 DBMS 管理员获取更多信息。
确保所有必要的端口都打开以便与您选择的安全结构对应的各组件间进行交互。
如果您必须提供互联网访问给管理服务器,根据网络配置来配置端口并指定连接设置。
确保您具有所有在设备上成功安装 Kaspersky Security Center 管理服务器和后续保护部署所需的本地管理员权限。在客户端设备上安装网络代理时,需要本地管理员权限。安装网络代理后,您可以使用它远程安装应用程序到设备,而不使用带有设备管理员权限的账户。
默认下,在用于安装管理服务器的设备上,Kaspersky Security Center 安装程序创建运行管理服务器和 Kaspersky Security Center 服务的本地账户:
您可以不必为管理服务器服务和其他服务创建账户。您使用您的现有账户,例如域账户,如果您计划安装管理服务器到故障转移集群,或者由于其他原因计划使用域账户而不是本地账户。在这种情况下,请确保已创建用于运行管理服务器和 Kaspersky Security Center 服务的帐户,这些帐户是非特权帐户并且具有访问 DBMS 所需的所有权限。(如果您计划通过 Kaspersky Security Center 在设备上进一步部署操作系统,请不要选择退出创建帐户。)
在管理服务器设备上安装 Kaspersky Security Center 和 Kaspersky 安全应用程序
从卡巴斯基网站下载 Kaspersky Security Center。您可以下载完整包,也可以仅下载 Web Console 或管理控制台。
安装管理服务器到所选设备(或多个设备,如果您计划使用多个管理服务器)。您可以选择管理服务器标准或自定义安装。管理控制台将同管理服务器一起安装。建议将管理服务器安装在专用服务器上,而不是域控制器上。
标准安装用在您要尝试 Kaspersky Security Center 并在网络中的小区域测试其操作的时候。在标准安装期间,您仅配置数据库。您还可以仅安装 Kaspersky 应用程序的管理插件的默认集合。如果您有过使用 Kaspersky Security Center 的经验,因此您可以在标准安装后指定所有相关设置,您也可以使用标准安装。
自定义安装允许您修改 Kaspersky Security Center 设置,例如共享文件夹路径、账户和连接管理服务器的端口,以及数据库设置。自定义安装允许您指定安装哪些 Kaspersky 管理插件。如果必要,您可以在静默模式启动自定义安装。
管理控制台和网络代理的服务器版本与管理服务器一起安装。您也可以在安装过程中选择安装 Kaspersky Security Center 13 Web Console。
如果您想,安装管理控制台和/或 Kaspersky Security Center 13 Web Console 到管理员的工作站以通过网络管理管理服务器。
当管理服务器安装完成后,在第一次连接到管理服务器时,快速启动向导自动开始。根据现有需求指定管理服务器初始化配置。在初始化配置步骤,向导使用默认设置创建部署保护所需的策略和任务。然而,默认设置可能少于您组织需要的最优设置。如果必要,您可以编辑策略和任务设置(方案:配置网络保护、在客户端组织网络中配置保护)。
当所有先前步骤完成后,管理服务器被安装并准备使用。
确保管理控制台正在运行且您可以通过管理控制台连接到管理服务器。此外,确保“将更新下载至管理服务器存储库”任务在管理服务器(在控制台树的“任务”文件夹)以及 Kaspersky Endpoint Security 策略(在控制台树的“策略”文件夹)中可用。
当检查完成时,继续以下步骤。
在客户端设备上集中部署 Kaspersky 安全应用程序
该步骤是快速启动向导的一部分。您也可以手动启动设备发现。Kaspersky Security Center 接收网络中检测到的所有设备的地址和名称。然后您可以使用 Kaspersky Security Center 在检测到的设备上安装 Kaspersky 应用程序和其他供应商的软件。Kaspersky Security Center 定期启动设备发现,这意味着如果任何新实例出现在网络,它们将被自动检测。
部署保护(方案:配置网络保护、在客户端组织网络中配置保护)到组织网络涉及到在设备发现中管理服务器检测到的设备上安装网络代理和安全应用程序(例如,Kaspersky Endpoint Security)。
安全应用程序用于保护设备,以防范病毒和/或其他威胁程序。网络代理确保设备和管理服务器之间的通信。网络代理设置默认被自动配置。
如果需要,可以以静默模式安装网络代理,其中包含响应文件或不包含响应文件。
在您开始安装网络代理和安全应用程序到网络设备之前,确保这些设备是可访问的(开启)。
安全应用程序和网络代理可以被远程或本地安装。
远程安装 – 使用保护部署向导,您可以远程安装安全应用程序(例如 Kaspersky Endpoint Security for Windows)和网络代理到组织网络管理服务器发现的设备。通常,远程安装任务成功部署保护到大多数网络设备。然而,它可能在一些设备上返回错误,如果,例如设备被关闭或由于其他原因无法访问。此种情况下,我们建议您手动连接到设备并使用本地安装。
本地安装用于不能使用远程安装任务部署保护的网络设备。要安装保护到此类设备,创建独立安装包以便在这些设备本地运行。
对于运行 Linux 和 MacOS 操作系统的设备,请参阅 Kaspersky Endpoint Security for Linux 和 Kaspersky Endpoint Security for Mac 的相关文档了解网络代理安装描述。尽管运行 Linux 和 MacOS 操作系统的设备被认为比运行 Windows 的设备漏洞少,我们建议您也在此类设备上安装安全应用程序。
安装后,确保安全应用程序被安装到了受管理设备。运行 Kaspersky 软件版本报告并查看结果。
部署授权许可密钥到客户端设备以在这些设备上激活受管理安全应用程序。
该步骤是快速启动向导的一部分。
在一些情况下,最方便的部署保护到网络设备的方式需要您分割整个设备池到管理组,根据组织结构。您可以创建移动规则以在组间分发设备,或者您可以手动分发设备。您可以为管理组分配组任务,定义策略范围并分配分发点。
确保所有受管理设备被正确分配到适当的管理组,且网络中不再有未分配的设备。
分发点被自动分配到管理组,但您也可以在必要时手动分配它们。我们建议您在大规模网络中使用分发点以降低管理服务器负载,以及在具有分布式结构的网络中提供管理服务器通过窄通道访问到设备(或设备组)。您可以使用运行 Linux 的设备作为分发点,也可以使用运行 Windows 的设备。