- 卡巴斯基安全管理中心 13 說明
- 新增內容
- 卡巴斯基安全管理中心 13
- 關於卡巴斯基安全管理中心
- 基本概念
- 架構
- 主要安裝情境
- 卡巴斯基安全管理中心使用的連接埠
- 關於卡巴斯基安全管理中心憑證
- 資料流量和連接埠使用的 schema
- 佈署最佳實踐
- 佈署準備
- 佈署網路代理和安全應用程式
- 佈署行動裝置管理系統
- 卡巴斯基安全管理中心的安裝
- 準備安裝
- 使用 DBMS 的帳戶
- 情境:驗證 Microsoft SQL Server
- 管理伺服器安裝建議
- 標準安裝
- 自訂安裝
- 在 Windows 伺服器容錯移轉叢集上安裝管理伺服器
- 步驟 1。檢視產品授權協議和隱私政策
- 步驟 2。選取叢集上的安裝類型
- 步驟 3。指定虛擬管理伺服器的名稱
- 步驟 4。指定虛擬管理伺服器的網路詳細資訊
- 步驟 5。指定叢集群組
- 步驟 6。選取一個叢集資料儲存空間
- 步驟 7。指定用於遠端安裝的帳戶
- 步驟 8。選取要安裝的元件
- 步驟 9。選擇網路大小
- 步驟 10。選取一個資料庫
- 步驟 11。設定 SQL Server
- 步驟 12。選取身分驗證模式
- 步驟 13。選取帳戶以啟動管理伺服器
- 步驟 14。選取帳戶以執行卡巴斯基安全管理中心服務
- 步驟 15。選取共用資料夾
- 步驟 16。設定與管理伺服器的連線
- 步驟 17。定義管理伺服器位址
- 步驟 18。指定行動裝置連線到管理伺服器的位址
- 步驟 19。在硬碟磁碟機上解壓縮並安裝檔案
- 在靜默模式下安裝管理伺服器
- 在管理員的電腦上安裝管理主控台
- 卡巴斯基安全管理中心安裝後系統的變化
- 移除程式
- 從先前版本升級卡巴斯基安全管理中心
- 卡巴斯基安全管理中心的初始化配置
- 發現網路裝置
- 產品授權
- Kaspersky 應用程式。集中佈署
- Kaspersky 應用程式:產品授權和啟動
- 配置網路防護
- 情境:配置網路防護
- 政策設定和傳播:以裝置為中心的方法
- 關於以裝置為中心和以使用者為中心的安全管理方法
- Kaspersky Endpoint Security 政策的手動設定
- Kaspersky Endpoint Security 更新群組工作的手動設定
- Kaspersky Endpoint Security 裝置掃描群組工作的手動設定
- 排程「尋找弱點和所需更新」工作
- 更新安裝和弱點修復群組工作的手動設定
- 設定事件儲存區中的最大事件數量
- 設定修復弱點資訊的最長儲存期間
- 管理工作
- 在虛擬管理伺服器上建立您所需要的管理群組
- 政策和政策設定檔
- 裝置移動規則
- 克隆裝置移動規則
- 軟體分類
- 安裝應用程式到用戶端組織裝置的先決條件
- 檢視和編輯本機應用程式設定
- 更新卡巴斯基安全管理中心和受管理應用程式
- 情境:定期更新 Kaspersky 資料庫與應用程式
- 關於更新 Kaspersky 資料庫、軟體模組和應用程式
- 關於使用 diff 檔案更新 Kaspersky 資料庫和軟體模組
- 啟用下載 diff 檔案功能:方案
- 建立管理伺服器的「將更新下載至儲存區」工作
- 建立“將更新下載至發佈點儲存區”工作
- 設定管理伺服器的「將更新下載至儲存區」工作
- 驗證已下載的更新
- 設定測試政策和輔助工作
- 瀏覽已下載的更新
- 在裝置上自動安裝 Kaspersky Endpoint Security 更新
- 行動模式更新下載
- 啟用和停用行動模式更新下載
- 卡巴斯基安全管理中心元件的自動更新和修補程式
- 啟用和停用卡巴斯基安全管理中心元件的自動更新和修補程式
- 自動發佈更新
- 從儲存區刪除軟體更新
- 為叢集模式中的 Kaspersky 應用程式安裝修補程式
- 管理用戶端裝置上的協力廠商應用程式
- 監控和報告
- 發佈點和連線閘道器的調整
- 其他日常工作
- 管理管理伺服器
- 對管理群組進行管理
- 管理用戶端裝置
- 將用戶端裝置連線至管理伺服器
- 將用戶端裝置手動連線至管理伺服器。Klmover 公用程式
- 要建立用戶端裝置與管理伺服器之間的通道連線
- 用戶端裝置的遠端桌面連線
- 透過 Windows 桌面共用連線到用戶端裝置
- 設定重新啟動用戶端裝置
- 稽核在遠端用戶端裝置上執行的操作
- 檢查用戶端裝置與管理伺服器之間的連線
- 在管理伺服器上識別用戶端裝置
- 將裝置移動至管理群組
- 變更用戶端裝置的管理伺服器
- 叢集和伺服器陣列
- 遠端開啟、關閉和重新啟動用戶端裝置
- 對本機工作和統計資訊的存取,“不從管理伺服器斷開連線”核取方塊
- 關於強制同步
- 關於連線排程
- 傳送訊息到裝置使用者
- 管理 Kaspersky Security for Virtualization
- 設定裝置狀態轉換
- 標記裝置和檢視分配的標籤
- 用戶端裝置的遠端診斷。卡巴斯基安全管理中心遠端診斷公用程式
- UEFI 防護裝置
- 受管理裝置設定
- 一般政策設定
- 網路代理政策設定
- 管理使用者帳戶
- 遠端佈署作業系統和應用程式
- 管理物件修訂
- 物件刪除
- 行動裝置管理
- 資料加密與防護
- 資料儲存區
- 卡巴斯基安全網路 (KSN)
- 在線上說明和離線說明之間切換
- 匯出到 SIEM 系統的事件
- 使用 SNMP 將統計資訊發送到協力廠商應用程式
- 使用雲端環境
- 附錄
- 卡巴斯基安全管理中心 13 網頁主控台
- 關於卡巴斯基安全管理中心 13 網頁主控台
- 卡巴斯基安全管理中心 13 網頁主控台的硬體和軟體需求
- 由卡巴斯基安全管理中心 13 網頁主控台支援的 Kaspersky 應用程式和解決方案清單
- 卡巴斯基安全管理中心管理伺服器佈署圖表和卡巴斯基安全管理中心 13 網頁主控台
- 卡巴斯基安全管理中心 13 網頁主控台使用的連接埠
- 情景:卡巴斯基安全管理中心 13 網頁主控台安裝和初始化設定
- 安裝
- 設定 MariaDB x64 伺服器以與卡巴斯基安全管理中心 13 一起使用
- 設定 MySQL x64 伺服器以與卡巴斯基安全管理中心 13 一起使用
- 安裝卡巴斯基安全管理中心 13 網頁主控台
- 安裝卡巴斯基安全管理中心 13 網頁主控台到 Linux 平台
- 安裝連線到安裝在 Windows Server 容錯移轉叢集節點上的管理伺服器的卡巴斯基安全管理中心 13.2 網頁主控台
- 升級卡巴斯基安全管理中心網頁主控台
- 在卡巴斯基安全管理中心 13 網頁主控台中,為受信任的管理伺服器指定憑證
- 取代卡巴斯基安全管理中心 13 網頁主控台憑證
- 重新發佈卡巴斯基安全管理中心網頁主控台憑證
- 將 PFX 憑證轉換為 PEM 格式
- 關於移轉至卡巴斯基安全管理中心雲端主控台
- 登入到卡巴斯基安全管理中心 13 網頁主控台並登出
- 使用 NTLM 和 Kerberos 通訊協定設定網域身分驗證
- 快速設定精靈(卡巴斯基安全管理中心 13 網頁主控台)
- 防護佈署精靈
- 設定管理伺服器
- 透過卡巴斯基安全管理中心 13 網頁主控台佈署 Kaspersky 應用程式
- 發現網路裝置
- Kaspersky 應用程式:產品授權和啟動
- 配置網路防護
- 情境:升級卡巴斯基安全管理中心和受管理安全應用程式
- 更新 Kaspersky 資料庫和應用程式
- 管理用戶端裝置上的協力廠商應用程式
- 監控和報告
- 卡巴斯基安全管理中心 13 網頁主控台活動記錄
- 卡巴斯基安全管理中心和其他解決方案之間的整合
- 在雲端環境中搭配卡巴斯基安全管理中心 13 網頁主控台使用
- 用戶端裝置的遠端診斷
- 變更卡巴斯基安全管理中心 13 網頁主控台介面的語言
- API 參考手冊
- 服務供應商最佳實踐
- 度量手冊
- 聯絡技術支援
- 有關程式的資訊來源
- 詞彙表
- Amazon EC2 實例
- Amazon 系統映像 (AMI)
- AWS Application Program Interface (AWS API)
- AWS IAM 存取金鑰
- AWS 管理主控台
- EAS 裝置
- Exchange 行動裝置伺服器
- HTTPS
- IAM 使用者
- IAM 角色
- iOS MDM 伺服器
- iOS MDM 裝置
- iOS MDM 設定檔
- JavaScript
- Kaspersky 更新伺服器
- KES 裝置
- Provisioning 設定檔
- SSL
- UEFI 防護裝置
- Windows Server 更新服務 (WSUS)
- 不相容應用程式
- 中間人攻擊
- 事件儲存區
- 事件嚴重等級
- 修補程式重要等級
- 備份資料夾
- 備用訂購金鑰
- 內部使用者
- 共用憑證
- 卡巴斯基安全管理中心操作員
- 卡巴斯基安全管理中心管理員
- 卡巴斯基安全管理中心系統健康驗證程式 (SHV)
- 卡巴斯基安全管理中心網頁伺服器
- 卡巴斯基安全網路 (KSN)
- 卡巴斯基私有安全網路 (KPSN)
- 受管理裝置
- 可用更新
- 安裝套件
- 工作
- 工作設定
- 廣播網域
- 弱點
- 強制安裝
- 應用程式商店
- 手動安裝
- 指定裝置的工作
- 授權檔案
- 授權的應用程式群組
- 政策
- 啟動產品授權
- 更新
- 服務供應商管理員
- 本機安裝
- 本機工作
- 歸屬管理伺服器
- 產品授權期限
- 用戶端管理員
- 病毒活動臨界值
- 病毒爆發
- 病毒資料庫
- 病毒防護服務供應商
- 發佈點
- 直接應用程式管理
- 程式設定
- 管理主控台
- 管理伺服器
- 管理伺服器憑證
- 管理伺服器用戶端(用戶端裝置)
- 管理伺服器資料備份
- 管理員工作站
- 管理員權限
- 管理外掛程式
- 管理群組
- 網路代理
- 網路病毒防護
- 網路防護狀態
- 群組工作
- 虛擬管理伺服器
- 行動裝置伺服器
- 裝置所有者
- 角色群組
- 設定檔
- 設定檔
- 身分和存取管理 (IAM)
- 身分驗證代理
- 連線閘道
- 遠端安裝
- 還原
- 還原管理伺服器資料
- 防護狀態
- 隔離區域 (DMZ)
- 集中式應用程式管理
- 雲端環境
- 有關協力廠商代碼的資訊
- 商標聲明
- 限制和警告
服務供應商最佳實踐 > 佈署和初始化設定 > 佈署行動裝置管理功能 > 將 KES 裝置連線至管理伺服器 > 連線 KES 裝置到 Kerberos constrained delegation (KCD) 伺服器的方案
連線 KES 裝置到 Kerberos constrained delegation (KCD) 伺服器的方案
連線 KES 裝置到 Kerberos constrained delegation (KCD) 管理伺服器的方案包括如下:
- 與 Microsoft Forefront TMG 的整合。
- 將 Kerberos Constrained Delegation (KCD) 用於行動裝置身分驗證。
- 與公共金鑰基礎架構 (PKI) 整合以套用使用者憑證。
當使用該連線方案時,請注意以下幾點:
- 連線 KES 裝置到 TMG 的類型必須是“雙向 SSL 身分驗證”,就是,裝置必須透過先前使用者憑證連線到 TMG。為此,您不要整合使用者憑證到 Kaspersky Endpoint Security for Android 安裝套件。該 KES 套件必須由裝置指定的管理伺服器建立。
- 您必須指定特定(自訂)憑證,而不是行動協定的預設伺服器憑證:
- 在管理伺服器的內容視窗,在設定區域,選取為行動裝置開啟連接埠核取方塊,然後在下拉清單中選取新增憑證。
- 在開啟的視窗中,指定當到行動協定的存取點被發佈在管理伺服器時設定在 TMG 上的憑證。
- KES 裝置的使用者憑證必須由網域中的 Certificate Authority (CA) 發佈。記住,如果網域包含多個多個根 CA,使用者憑證必須被該 CA 發佈,這已設定在 TMG 發佈中。
您可以透過以下方法確保使用者憑證與上述需求相容:
- 在新增安裝套件精靈和憑證安裝精靈中指定使用者憑證。
- 將管理伺服器與網域的 PKI 整合並在憑證發佈規則中定義對應的設定:
- 在主控台樹狀目錄中,延伸行動裝置管理資料夾並選擇憑證子資料夾。
- 在憑證資料夾中點擊配置憑證發佈規則按鈕,開啟憑證發佈規則視窗。
- 在與 PKI 整合區域,配置與公共金鑰基礎架構的整合。
- 在行動憑證發佈區域,指定憑證來源。
以下是使用以下假定設定 Kerberos Constrained Delegation (KCD) 的例子:
- 管理伺服器到行動協定的存取點被設定成連接埠 13292。
- TMG 裝置名稱是 tmg.mydom.local。
- 管理伺服器裝置名稱是 ksc.mydom.local。
- 存取點到行動協定的外部發佈位址是 kes4mob.mydom.global。
管理伺服器網域帳戶
您必須建立執行管理伺服器服務的網域帳戶(例如,KSCMobileSrvcUsr)。您可以在安裝管理伺服器或使用 klsrvswch 實用程式時指定管理伺服器服務帳戶。klsrvswch 實用程式位於管理伺服器安裝資料夾。預設安裝路徑:<Disk>:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Center.
網域帳戶必須由以下原因指定:
- KES 裝置管理功能是管理伺服器的一部分。
- 要確保 Kerberos Constrained Delegation (KCD) 的正常功能,接收端(例如,管理伺服器)必須執行在網域帳戶下。
http/kes4mob.mydom.local 的服務主體名稱
在網域中,在 KSCMobileSrvcUsr 帳戶下,新增 SPN 以在管理伺服器裝置的連接埠 13292 發佈行動協議服務。對於管理伺服器裝置 kes4mob.mydom.local,將是如下:
setspn -a http/kes4mob.mydom.local:13292 mydom\KSCMobileSrvcUsr
配置 TMG 裝置的網域內容 (tmg.mydom.local)
要授權流量,您必須信任 TMG 裝置 (tmg.mydom.local) 到由 SPN 定義的服務 (http/kes4mob.mydom.local:13292)。
要信任 TMG 裝置 (tmg.mydom.local) 到由 SPN 定義的服務 (http/kes4mob.mydom.local:13292),管理員必須執行以下操作:
- 在名稱為「Active Directory 使用者和電腦」的 Microsoft Management Console 中,選取安裝了 TMG 的裝置 (tmg.mydom.local)。
- 在裝置內容視窗,在授權頁籤,設定信任此電腦到指定服務的授權轉換鍵到使用任何身分驗證協議。
- 在該帳戶可以展示已授權憑證的服務清單,新增 SPN http/kes4mob.mydom.local:13292。
要發佈的特定(自訂)憑證 (kes4mob.mydom.global)
要發佈管理伺服器行動協議,您必須發佈一個 FQDN kes4mob.mydom.global 特定(自訂)憑證並在管理主控台中管理伺服器的行動協議設定中指定它以代替預設伺服器憑證。為此,在管理伺服器的內容視窗,在設定區域,選取為行動裝置開啟連接埠核取方塊,然後在下拉清單中選取新增憑證。
請注意伺服器憑證容器(帶有 .p12 或 .pfx 副檔名的檔案)必須也包含根憑證鏈(公共金鑰)。
在 TMG 上配置發佈
在 TMG 上,對於從行動裝置到連接埠 kes4mob.mydom.global 連接埠 13292 的流量,您必須在 SPN (http/kes4mob.mydom.local:13292) 上配置 KCD,使用為 FQND kes4mob.mydom.global 發佈的憑證。請注意,正發佈和已發佈的存取點(管理伺服器連接埠 13292)必須共用相同的伺服器憑證。
|
另請參閱: |
文章 ID: 92523_1, 上次審閱: 2024年6月17日