受管理应用程序策略
我们建议为每种类型使用的应用程序和 Kaspersky Security Center 组件(网络代理、Kaspersky Endpoint Security for Windows、Kaspersky Endpoint Agent 等)创建一个策略。此组策略必须应用于所有受管理设备(根管理组)或根据配置的移动规则新的受管理设备将自动移动到其中的单独组。
指定用于禁用保护和卸载应用程序的密码
为防止入侵者禁用卡巴斯基安全应用程序,我们强烈建议为禁用保护和卸载卡巴斯基安全应用程序启用密码保护。您可以为(例如)Kaspersky Endpoint Security for Windows、Kaspersky Security for Windows Server、网络代理和其他卡巴斯基应用程序设置密码。启用密码保护后,我们建议通过关闭“锁”来锁定这些设置。
指定将客户端设备手动连接到管理服务器的密码(klmover 实用程序)
klmover 实用程序允许您手动将客户端设备连接到管理服务器。在客户端设备上安装网络代理时,自动将该实用程序复制到网络代理安装文件夹。
为了防止入侵者将设备移出管理服务器的控制,我们强烈建议为运行 klmover 实用程序启用密码保护。要启用密码保护,请在网络代理策略设置使用卸载密码使用卸载密码选项。
klmover 实用程序需要本地管理员权限。对于没有本地管理员权限操作的设备,可以忽略运行 klmover 实用程序的密码保护。
启用使用卸载密码还会为清理工具 (cleaner.exe) 启用密码保护。
配置卡巴斯基安全网络
在受管理应用程序的所有策略和管理服务器属性中,我们建议启用卡巴斯基安全网络 (KSN) 的使用并接受 KSN 声明。更新或升级管理服务器时,您可以接受更新后的 KSN 声明。在某些情况下,当法律或其他法规禁止使用云服务时,您可以禁用 KSN。
定期扫描受管理设备
对于所有设备组,我们建议创建一个定期运行完整设备扫描的任务。
发现新设备
我们建议正确配置设备发现设置:设置与 Active Directory 的集成,并指定用于发现新设备的 IP 地址范围。
出于安全目的,您可以使用包含所有新设备的默认管理组和影响该组的默认策略。
选择共享文件夹
如果您在运行 Windows 的设备上部署管理服务器并选择现有的共享文件夹(例如,用于放置安装包和存储更新的数据库的文件夹),我们建议确保向 Everyone 组授予读取权限,和向 KLAdmins 组授予写入权限。
页顶