受管理應用程式政策
我們建議為使用的每種類型的應用程式和卡巴斯基安全管理中心元件(網路代理、Kaspersky Endpoint Security for Windows、Kaspersky Endpoint Agent 等)建立一個政策。此政策必須套用於所有受管理裝置(根管理群組)或根據配置的移動規則受管理裝置將自動移動到其中的單獨群組。
指定用於停用防護和解除安裝應用程式的密碼
為防止入侵者停用卡巴斯基安全應用程式,我們強烈推薦啟用密碼防護以停用卡巴斯基安全應用程式的防護和解除安裝。例如,您可以為 Kaspersky Endpoint Security for Windows、Kaspersky Security for Windows Servers、網路代理和其他卡巴斯基應用程式設定密碼。啟用密碼防護後,我們建議通過關閉“鎖”來鎖定這些設定。
指定將用戶端裝置手動連線到管理伺服器(klmover 公用程式)的密碼
klmover 公用程式允許您手動將用戶端裝置連線到管理伺服器。用戶端裝置上安裝網路代理時,此公用程式將同樣被複製到網路代理安裝節點。
為了防止入侵者將裝置移出管理伺服器的控制,我們強烈建議執行 klmover 公用程式時啟用密碼防護。要啟用密碼防護,請在網路代理政策設定使用解除安装密碼使用卸載密碼選項。
klmover 公用程式需要本機管理員權限。對於沒有本機管理員權限操作的裝置,可以忽略為了執行 klmover 公用程式的密碼防護。
啟用「使用解除安装密碼也會啟用 Cleaner 工具 (cleaner.exe) 的密碼防護。
使用卡巴斯基安全網路
在受管理應用程式的所有政策和管理伺服器內容中,我們建議啟用卡巴斯基安全網路 (KSN) 和接受 KSN 聲明。更新或升級管理伺服器時,您可以接受更新後的 KSN 聲明。在某些情況下,當法律或其他法規禁止使用雲端服務時,您可以停用 KSN。
定期掃描受管理裝置
對於所有裝置群組,我們建議建立一個定期執行完整裝置掃描的工作。
發現新裝置
我們建議正確配置裝置發現設定:設定與 Active Directory 的整合,並指定用於發現新裝置的 IP 位址範圍。
出於安全目的,您可以使用包含所有新裝置的預設管理群組和影響該群組的預設政策。
選取共用資料夾
如果您在執行 Windows 的裝置上佈署管理伺服器並選擇現有的共用資料夾(例如,用於放置安裝套件和儲存更新的資料庫的資料夾),我們建議確保向 Everyone 群組授予讀取權限,和向 KLAdmins 群組授予寫入權限。
頁頂