Политики управляемых приложений
Рекомендуется создать политику для каждого вида используемого приложения и компонента Kaspersky Security Center (Агент администрирования, Kaspersky Endpoint Security для Windows, Kaspersky Endpoint Agent и другие). Эта групповая политика должна применяться ко всем управляемым устройствам (корневой группе администрирования) или к отдельной группе, в которую автоматически попадают новые управляемые устройства в соответствии с настроенными правилами перемещения.
Установка пароля на выключение защиты и удаление приложения
Чтобы злоумышленники не могли отключить программы безопасности "Лаборатории Касперского", рекомендуется установить пароль для выключения защиты и удаления программ безопасности "Лаборатории Касперского". Вы можете установить пароль, например, для Kaspersky Endpoint Security для Windows, Kaspersky Security для Windows Servers, Агента администрирования и других программ "Лаборатории Касперского". После включения защиты паролем рекомендуется заблокировать эти параметры, закрыв их "замком".
Указание пароля для ручного подключения клиентского устройства к Серверу администрирования (утилита klmover)
Утилита klmover позволяет вручную подключить клиентское устройство к Серверу администрирования. При установке на клиентское устройство Агента администрирования утилита автоматически копируется в папку установки Агента администрирования.
Чтобы злоумышленники не могли вывести устройства из-под контроля вашего Сервера администрирования, настоятельно рекомендуется включить защиту паролем для запуска утилиты klmover. Чтобы включить защиту паролем, в параметрах политики Агента администрирования выберите параметр Использовать пароль деинсталляции.
Утилита klmover требует прав локального администратора. Защиту паролем для запуска утилиты klmover можно не устанавливать для устройств, работающих без прав локального администратора.
При включении параметра Использовать пароль деинсталляции также включается защита паролем средствами Cleaner (cleaner.exe).
Использование Kaspersky Security Network
Во всех политиках управляемых приложений и в свойствах Сервера администрирования рекомендуется использовать Kaspersky Security Network (KSN) и принять актуальное Положение о KSN. При обновлении Сервера администрирования вы также можете принять обновленное Положение о KSN. Когда использование облачных служб запрещено законодательством или иными нормативными актами, вы можете не включать KSN.
Регулярная проверка управляемых устройств
Для всех групп устройств вам нужно создать задачу, периодически запускающую полную проверку устройств.
Обнаружение новых устройств
Рекомендуется должным образом настроить параметры обнаружения устройств: настроить интеграцию с Active Directory и указать диапазоны IP-адресов для обнаружения новых устройств.
В целях безопасности вы можете использовать группу администрирования по умолчанию, в которую попадают все новые устройства, и политики по умолчанию, применяемые к этой группе.
Определение папки общего доступа
Если Сервер администрирования развернут на устройстве под управлением Windows, при выборе существующей папки общего доступа, (которая используется, например, для размещения инсталляционных пакетов и хранилища обновляемых баз) рекомендуем убедиться, что права на чтение предоставлены группе "Все" (Everyone), а права на запись – группе KLAdmins.
В начало