Richtlinieneinstellungen des Administrationsagenten
Alle erweitern | Alles ausblenden
Gehen Sie folgendermaßen vor, um die Richtlinieneinstellungen des Administrationsagenten anzupassen:
- Wählen Sie in der Konsolenstruktur den Ordner Richtlinien aus.
- Wählen Sie im Arbeitsbereich des Ordners die Richtlinie des Administrationsagenten aus.
- Klicken Sie mit der rechten Maustaste auf die Richtlinie, und wählen Sie Eigenschaften aus.
Das Eigenschaftenfenster der Richtlinie des Administrationsagenten wird geöffnet.
Allgemein
Im Abschnitt Allgemein können Sie den Richtlinienstatus ändern und die Vererbung der Richtlinieneinstellungen anpassen:
- Im Block Richtlinienstatus können Sie einen der Richtlinienmodi auswählen:
- Aktive Richtlinie
Bei Auswahl dieser Option wird die Richtlinie aktiv.
Diese Variante ist standardmäßig ausgewählt.
- Richtlinie für mobile Benutzer
Bei Auswahl dieser Option wird die Richtlinie aktiv, sobald das Gerät vom Unternehmensnetzwerk getrennt wird.
- Inaktive Richtlinie
Bei Auswahl dieser Option wird die Richtlinie inaktiv, aber im Ordner Richtlinien gespeichert. Bei Bedarf kann die Richtlinie aktiviert werden.
- In der Einstellungsgruppe Einstellungen erben können Sie Einstellungen für die Vererbung der Richtlinie anpassen:
- Einstellungen aus übergeordneter Richtlinie erben
Ist diese Option aktiviert, so werden die Werte der Richtlinieneinstellungen aus der Richtlinie der obersten Hierarchie-Ebene vererbt und können nicht geändert werden.
Diese Option ist standardmäßig aktiviert.
- Vererben der Einstellungen für untergeordnete Richtlinien erzwingen
Ist diese Option aktiviert, so werden die folgenden Aktionen ausgeführt, nachdem die Richtlinienänderungen übernommen wurden:
- Einstellungen der Richtlinie werden in die Tochter-Richtlinien, d.h. in die Richtlinien der untergeordneten Administrationsgruppen, übertragen.
- Im Block Einstellungen erben des Abschnitts Allgemein im Eigenschaftenfenster aller untergeordneten Richtlinien wird die Option Einstellungen aus Richtlinie der höheren Ebene erben automatisch aktiviert.
Ist diese Option aktiviert, so können die Einstellungen der untergeordneten Richtlinien nicht geändert werden.
Diese Option ist standardmäßig deaktiviert.
Konfiguration von Ereignissen
Im Abschnitt Konfiguration von Ereignissen können Sie die Ereignisprotokollierung und die Benachrichtigung über Ereignisse konfigurieren. Die Ereignisse werden anhand der Ereigniskategorie auf folgende Registerkarten aufgeteilt:
Jede Registerkarte enthält eine Liste mit Ereignistypen und der Standard-Speicherdauer des Ereignisses auf dem Administrationsserver (in Tagen). Über die Schaltfläche Eigenschaften können die Eigenschaften für die Protokollierung und die Benachrichtigung über die aus der Liste ausgewählten Ereignisse festgelegt werden. Standardmäßig werden die allgemeinen Benachrichtigungseinstellungen, die für den gesamten Administrationsserver festgelegt wurden, für alle Ereignistypen verwendet. Bestimmte Einstellungen können jedoch für die gewünschten Ereignistypen angepasst werden.
Sie können beispielsweise auf der Registerkarte Warnung den Ereignistyp Es ist ein Sicherheitsproblem aufgetreten konfigurieren. Solche Ereignisse können beispielsweise eintreten, wenn der freie Speicherplatz eines Verteilungspunkts weniger als 2 GB beträgt (es sind mindestens 4 GB erforderlich, um Programme remote zu installieren und Updates herunterzuladen). Um das Ereignis Es ist ein Sicherheitsproblem aufgetreten zu konfigurieren, wählen Sie es aus und klicken Sie auf die Schaltfläche Eigenschaften. Danach können Sie angeben, wo die aufgetretenen Ereignisse gespeichert werden sollen und wie die Benachrichtigung darüber stattfinden soll.
Wenn der Administrationsagent einen Sicherheitsvorfall entdeckt hat, können Sie diesen Vorfall mithilfe der Einstellungen eines verwalteten Geräts verwalten.
Für die Auswahl mehrerer Ereignistypen verwenden Sie die Tasten Umschalt oder Strg, und für die Auswahl aller Typen verwenden Sie die Schaltfläche Alle auswählen.
Einstellungen
Im Abschnitt Einstellungen können Sie die Richtlinieneinstellungen des Administrationsagenten anpassen:
- Dateien nur über Verteilungspunkte übertragen
Wenn diese Option aktiviert ist, beziehen die Administrationsagenten auf verwalteten Geräten die Updates ausschließlich von Verteilungspunkten.
Wenn diese Option deaktiviert ist, beziehen die Administrationsagenten auf verwalteten Geräten die Updates von Verteilungspunkten oder vom Administrationsserver.
Beachten Sie, dass die Sicherheitsanwendungen auf verwalteten Geräten die Updates aus der Quelle abrufen, die in der Update-Aufgabe für jede Sicherheitsanwendung festgelegt wurde. Wenn Sie die Option Dateien nur über Verteilungspunkte übertragen aktivieren, stellen Sie sicher, dass Kaspersky Security Center in den Update-Aufgaben als Update-Quelle festgelegt ist.
Diese Option ist standardmäßig deaktiviert.
- Maximale Größe der Ereigniswarteschlange (MB)
In diesem Feld können Sie den maximalen Speicherplatz eingeben, welchen die Ereigniswarteschlange auf dem Laufwerk einnehmen kann.
Standardmäßig ist der Wert auf 2 MB eingestellt.
- Dem Programm ist es erlaubt, auf dem Gerät erweiterte Daten über Richtlinien zu erfassen
Der Administrationsagent, der auf einem verwalteten Gerät installiert ist, überträgt Informationen über die angewendete Sicherheitsanwendungs-Richtlinie an die Sicherheitsanwendung (z. B. Kaspersky Endpoint Security für Windows). Die übertragenen Informationen können Sie auf der Benutzeroberfläche der Sicherheitsanwendung einsehen.
Der Administrationsagent überträgt die folgenden Informationen:
- Zeit, zu der die Richtlinie dem verwalteten Gerät zugestellt wurde
- Name der aktiven Richtlinie oder der Richtlinie für mobile Benutzer, als die Richtlinie an das verwaltete Gerät zugestellt wurde
- Name und vollständiger Pfad der Administrationsgruppe, zu der das verwaltete Gerät gehörte, als die Richtlinie an das verwaltete Gerät zugestellt wurde
- Liste der aktiven Richtlinienprofile
Sie können diese Informationen verwenden, um sicherzustellen, dass für das Gerät die richtige Richtlinie verwendet wird, und um Probleme zu lösen. Diese Option ist standardmäßig deaktiviert.
- Dienst des Administrationsagenten vor unberechtigter Deinstallation und Beendigung schützen sowie Änderung der Einstellungen verhindern
Wenn diese Option aktiviert ist, kann nach der Installation des Administrationsagenten auf einem verwalteten Gerät die Komponente nicht ohne die entsprechenden Berechtigungen entfernt oder neu konfiguriert werden. Der Dienst des Administrationsagenten kann nicht beendet werden. Diese Option hat keine Auswirkung auf Domänencontroller.
Aktivieren Sie diese Option, um den Administrationsagenten auf Workstations zu schützen, die mit lokalen Administratorrechten betrieben werden.
Diese Option ist standardmäßig deaktiviert.
- Deinstallationskennwort verwenden
Wenn diese Option aktiviert ist, können Sie das Kennwort für das Tool "klmover" und für die Aufgabe zur Remote-Deinstallation des Administrationsagenten angeben. Klicken Sie dazu auf die Schaltfläche Ändern.
Diese Option ist standardmäßig deaktiviert.
Datenverwaltung
Im Abschnitt Datenverwaltung können Sie die Objekttypen auswählen, deren Daten vom Administrationsagenten an den Administrationsserver übertragen werden sollen. Wenn das Ändern der in diesem Abschnitt angegebenen Einstellungen in der Richtlinie des Administrationsagenten unterbunden ist, können Sie diese Einstellungen nicht ändern. Die Einstellungen im Abschnitt Datenverwaltung sind nur auf Geräten verfügbar, die unter Windows laufen:
- Informationen über Windows-Updates
Wenn diese Option aktiviert ist, werden auf den Administrationsserver Informationen über Microsoft Windows-Updates übertragen, die auf den Client-Geräten installiert werden sollen.
Selbst wenn die Option deaktiviert ist, werden Aktualisierungen manchmal in den Geräteeigenschaften im Abschnitt Verfügbare Updates angezeigt. Dies kann beispielsweise vorkommen, wenn die Geräte der Organisation Schwachstellen aufweisen, die durch diese Updates behoben werden können.
Diese Option ist standardmäßig aktiviert. Sie ist nur für Windows verfügbar.
- Informationen zu Schwachstellen in Programmen und entsprechenden Updates
Wenn diese Option aktiviert ist, werden Informationen über Schwachstellen in Dritthersteller-Anwendungen (Microsoft-Software eingeschlossen), die auf verwalteten Geräten erkannt wurden, sowie Informationen über Software-Updates zum Beheben der Dritthersteller-Schwachstellen (Microsoft-Software ausgeschlossen) an den Administrationsserver gesendet.
Das Aktivieren der Option (Informationen zu Schwachstellen in Programmen und entsprechenden Updates) erhöht die Netzwerkbelastung, den Speicherbedarf des Administrationsservers und den Ressourcenverbrauch des Administrationsagenten.
Diese Option ist standardmäßig aktiviert. Sie ist nur für Windows verfügbar.
Um Updates von Microsoft-Software zu verwalten, verwenden Sie die Option Informationen über Windows-Updates.
- Informationen über die Hardware-Inventur
Der auf einem Gerät installierte Administrationsagent sendet Informationen über die Geräte-Hardware an den Administrationsserver. Sie können die Hardware-Details in den Geräteeigenschaften anzeigen.
Stellen Sie sicher, dass das Tool "lshw" auf den Linux-Geräten installiert ist, von denen Sie die Hardwaredetails abrufen möchten. Die von virtuellen Maschinen abgerufenen Hardwaredetails können je nach verwendetem Hypervisor unvollständig sein.
- Details zu installierten Programmen
Ist diese Option aktiviert, werden auf den Administrationsserver Informationen über die auf den Client-Geräten installierten Programme übertragen.
Diese Option ist standardmäßig aktiviert.
- Informationen über Patches einbinden
Informationen über die auf den Client-Geräten installierten Patches werden an den Administrationsserver übertragen. Das Aktivieren dieser Option kann die Auslastung des Administrationsservers und des DBMS erhöhen und eine Zunahme des Datenbankvolumens verursachen.
Diese Option ist standardmäßig aktiviert. Sie ist nur für Windows verfügbar.
Software-Updates und -Schwachstellen
Im Abschnitt Software-Updates und Schwachstellen können Sie die Suche und Verteilung von Windows-Updates anpassen sowie die Untersuchung von ausführbaren Dateien auf Schwachstellen aktivieren. Die Einstellungen im Abschnitt Software-Updates und Schwachstellen sind nur auf Geräten verfügbar, die unter Windows laufen:
- Administrationsserver als WSUS-Server verwenden
Wenn diese Option aktiviert ist, werden die Windows-Updates auf den Administrationsserver heruntergeladen. Die heruntergeladenen Updates werden vom Administrationsserver zentralisiert für die Windows Update-Dienste mithilfe der Administrationsagenten auf den Client-Geräten bereitgestellt.
Ist die Option deaktiviert, wird der Administrationsserver für den Download von Windows-Updates nicht verwendet. In diesem Fall erhalten die Client-Geräte die Windows-Updates selbständig.
Diese Option ist standardmäßig deaktiviert.
- Unter Benutzern die Verwaltung von Windows-Updates erlauben können Sie Windows-Updates beschränken, die Benutzer auf ihren Geräten manuell mithilfe von Windows Update installieren können.
Wenn auf Windows 10-Geräten der Windows Update-Dienst bereits Updates für das Gerät gefunden hat, wird die neue Option, die Sie unter Benutzern die Verwaltung von Windows-Updates erlauben auswählen können, erst angewendet, wenn die gefundenen Updates installiert wurden.
Wählen Sie ein Element in der Dropdown-Liste:
- Benutzern die Installation aller anwendbaren Windows-Updates erlauben
Benutzer können alle Microsoft Windows-Updates installieren, die für ihre Geräte anwendbar sind.
Wählen Sie diese Option aus, wenn Sie nicht in die Installation von Updates eingreifen möchten.
Wenn der Benutzer Microsoft Windows-Updates manuell installiert, können die Updates von Microsoft-Servern statt vom Administrationsserver heruntergeladen werden. Dies ist möglich, wenn der Administrationsserver diese Updates noch nicht heruntergeladen hat. Update-Download von Microsoft‑Servern führt zu zusätzlichem Datenverkehr.
- Benutzern nur die Installation von genehmigten Windows-Updates erlauben
Benutzer können alle Microsoft Windows-Updates installieren, die für ihre Geräte anwendbar und die von Ihnen genehmigt sind.
Beispielsweise können Sie zuerst die Installation von Updates in einer Testumgebung überprüfen und sich vergewissern, dass sie den Betrieb von Geräten nicht stören, und erst dann die Installation dieser genehmigten Updates auf Client-Geräten erlauben.
Wenn der Benutzer Microsoft Windows-Updates manuell installiert, können die Updates von Microsoft-Servern statt vom Administrationsserver heruntergeladen werden. Dies ist möglich, wenn der Administrationsserver diese Updates noch nicht heruntergeladen hat. Update-Download von Microsoft‑Servern führt zu zusätzlichem Datenverkehr.
- Benutzern die Installation von Windows-Updates nicht erlauben
Benutzer können Microsoft Windows-Updates nicht manuell auf Ihren Geräten installieren. Alle anwendbaren Updates werden so installiert, wie sie von Ihnen angepasst wurden.
Wählen Sie diese Variante aus, wenn Sie die Installation von Updates zentral verwalten möchten.
Beispielsweise können Sie den Update-Zeitplan so optimieren, dass das Netzwerk nicht überlastet wird. Sie können Updates nach Büroschluss planen, damit sie sich nicht auf die Produktivität der Benutzer auswirken.
- In der Einstellungsgruppe Modus für die Suche nach Windows-Updates können Sie den Modus für die Suche nach Updates auswählen:
- Aktiv
Wenn diese Option aktiviert ist, initiiert der Administrationsserver mit Unterstützung des Administrationsagenten eine Anfrage vom Windows Update-Agent des Client-Geräts zur Update-Quelle: Windows Update Server oder WSUS. Der Administrationsagent überträgt die vom Windows Update-Agent abgerufenen Daten an den Administrationsserver.
Die Option wird nur wirksam, wenn die Option Mit dem Update-Server verbinden, um Daten zu aktualisieren der Aufgabe Suche nach Schwachstellen und erforderlichen Updates ausgewählt ist.
Diese Variante ist standardmäßig ausgewählt.
- Offline
Bei Auswahl dieser Option überträgt der Administrationsagent regelmäßig Informationen über Updates, die bei der letzten Synchronisierung des Windows Update-Agent mit der Update-Quelle abgerufen wurden, vom Windows-Update-Agenten an den Administrationsserver. Wird die Synchronisierung des Windows Update-Agenten mit der Update-Quelle nicht ausgeführt, veralten die Daten über Updates auf dem Administrationsserver.
Wählen Sie diese Option aus, wenn Sie Updates aus dem Speicher-Cache der Update-Quelle abrufen möchten.
- Deaktiviert
Bei Auswahl dieser Option fragt der Administrationsserver keine Informationen über Updates ab.
Wählen Sie diese Option aus, wenn Sie beispielsweise zuerst die Updates auf Ihrem lokalen Gerät testen möchten.
- Ausführbare Dateien beim Start auf Schwachstellen untersuchen
Bei aktiviertem Kontrollkästchen werden ausführbare Dateien bei deren Start auf Schwachstellen untersucht.
Diese Option ist standardmäßig aktiviert.
Verwaltung des Neustarts
Im Abschnitt Verwaltung des Neustarts können Sie die Aktion festlegen, die ausgeführt werden soll, wenn zur korrekten Ausführung, Installation oder Deinstallation des Programms ein Neustart des Betriebssystems des verwalteten Geräts erforderlich ist. Die Einstellungen im Abschnitt Verwaltung des Neustarts sind nur auf Geräten verfügbar, die unter Windows laufen:
- Betriebssystem nicht neu starten
Es wird kein Neustart des Betriebssystems durchgeführt.
- Betriebssystem bei Bedarf automatisch neu starten
Bei Bedarf wird automatisch ein Neustart des Betriebssystems durchgeführt.
- Benutzer fragen
Das Programm benötigt die Erlaubnis des Benutzers, um das Betriebssystem neu zu starten.
Diese Variante ist standardmäßig ausgewählt.
- Aufforderung regelmäßig wiederholen alle (Min.)
Wenn diese Option aktiviert ist, fordert das Programm den Benutzer in dem neben dem Kontrollkästchen angegebenen Intervall auf, das Betriebssystem neu zu starten. Standardeinstellungen beträgt das Intervall für eine erneute Aufforderung 5 Minuten.
Ist die Option deaktiviert, fragt das Programm nicht erneut um Erlaubnis zum Neustart.
Diese Option ist standardmäßig aktiviert.
- Neustart erzwingen nach (Min.)
Wenn diese Option aktiviert ist, wird nach der Aufforderung des Benutzers und Ablauf der im Feld neben dem Kontrollkästchen angegebenen Zeitspanne ein Neustart des Betriebssystems erzwungen.
Ist die Option deaktiviert, erfolgt kein erzwungener Neustart.
Diese Option ist standardmäßig aktiviert.
- Wartezeit vor dem erzwungenen Schließen von Programmen in gesperrten Sitzungen (Min.)
Erzwungenes Schließen der Programmausführung, wenn das Gerät des Benutzers gesperrt ist (automatisch nach einer Phase der Inaktivität oder manuell).
Wenn diese Option aktiviert ist, werden die Programme auf einem gesperrten Gerät nach Ablauf der im Eingabefeld angegebenen Zeitspanne automatisch geschlossen.
Wenn diese Option deaktiviert ist, werden die Programme auf einem gesperrten Gerät nicht geschlossen.
Diese Option ist standardmäßig deaktiviert.
Windows Desktopfreigabe
In dem Abschnitt Windows Desktopfreigabe können Sie das Audit der Tätigkeiten des Administrators bei Desktopfreigabe auf einem Remote-Gerät des Benutzers aktivieren und konfigurieren. Die Einstellungen im Abschnitt Windows Desktopfreigabe sind nur auf Geräten verfügbar, die unter Windows laufen:
- Audit aktivieren
Wenn diese Option aktiviert ist, dann ist das Audit des Administrators auf dem Remote-Gerät aktiviert. Einträge über die Aktionen des Administrators auf dem Remote-Gerät werden wie folgt gespeichert:
- Im Ereignisprotokoll auf dem Remote-Gerät
- In einer Datei mit der Erweiterung syslog, die sich im Installationsordner des Administrationsagenten auf dem Remote-Gerät befindet
- In der Ereignisdatenbank von Kaspersky Security Center
Das Audit des Administrators ist unter folgenden Bedingungen verfügbar:
- Die Lizenz für das Schwachstellen- und Patch-Management wird verwendet
- Der Administrator verfügt über die Berechtigung zum Start der Desktopfreigabe auf dem Remote-Gerät
Wenn diese Option deaktiviert ist, dann ist das Audit des Administrators auf dem Remote-Gerät deaktiviert.
Diese Option ist standardmäßig deaktiviert.
- Masken der Dateien, die bei Lesezugriff überwacht werden sollen
Diese Liste enthält Dateimasken. Wenn das Audit aktiviert ist, verfolgt das Programm, welche Dateien der entsprechenden Masken vom Administrator gelesen werden, und speichert Informationen über das Lesen von Dateien. Die Liste ist verfügbar, wenn das Kontrollkästchen Audit aktivieren aktiviert ist. Die Dateimasken können geändert und neue Masken zur Liste hinzugefügt werden. Neue Dateimasken müssen in der Liste in einer neuen Zeile hinzugefügt werden.
Standardmäßig sind die Dateimasken *.txt, *.rtf, *.doc, *.xls, *.docx, *.xlsx, *.odt, *.pdf angegeben.
- Masken der Dateien, die auf Änderung überwacht werden sollen
Die Liste enthält die Dateimasken auf dem Remote-Gerät. Wenn das Audit aktiviert ist, verfolgt das Programm, welche Dateien der entsprechenden Masken vom Administrator geändert werden, und speichert Informationen über die Änderung der Dateien. Die Liste ist verfügbar, wenn das Kontrollkästchen Audit aktivieren aktiviert ist. Die Dateimasken können geändert und neue Masken zur Liste hinzugefügt werden. Neue Dateimasken müssen in der Liste in einer neuen Zeile hinzugefügt werden.
Standardmäßig sind die Dateimasken *.txt, *.rtf, *.doc, *.xls, *.docx, *.xlsx, *.odt, *.pdf angegeben.
Verwaltung von Patches und Updates
Im Abschnitt Verwaltung von Patches und Updates können Sie das Abrufen und Verteilen der Updates sowie die Installation der Patches auf den verwalteten Geräten anpassen:
- Anwendbare Updates und Patches für Komponenten mit dem Status "Nicht definiert" automatisch installieren
Ist diese Option aktiviert, so werden Kaspersky-Patches, die den Genehmigungsstatus Nicht definiert haben, sofort automatisch auf den verwalteten Geräten installiert, nachdem sie von den Update-Servern heruntergeladen wurden.
Wenn die Option deaktiviert ist, werden die Patches von Kaspersky, die heruntergeladen und mit dem Status Nicht festgestellt markiert sind, erst installiert, wenn Sie ihren Status auf Genehmigt ändern.
Diese Option ist standardmäßig aktiviert.
- Updates und Antiviren-Datenbanken vom Administrationsserver vorab herunterladen (empfohlen)
Wenn diese Option aktiviert ist, wird das autonome Modell für das Abrufen von Updates verwendet. Wenn der Administrationsserver Updates empfängt, benachrichtigt der Administrationsagent (auf Geräten, auf denen er installiert ist) von den Updates, die für verwaltete Apps erforderlich sind. Wenn der Administrationsagent Informationen über diese Updates erhalten, ladet er die erforderlichen Dateien vom Administrationsserver im Voraus herunter. Bei der ersten Verbindung zum Administrationsagenten wird ein Updatedownload vom Administrationsserver initiiert. Nachdem der Administrationsagent alle Updates auf das Client-Gerät heruntergeladen hat, stehen die Updates den Programmen auf dem Gerät zur Verfügung.
Wenn ein verwaltetes Programm auf dem Client-Gerät versucht, auf den Administrationsagenten zuzugreifen, um Updates herunterzuladen, überprüft der Administrationsagent, ob er über alle erforderlichen Updates verfügt. Wurden die Updates nicht mehr als 25 Stunden vor der Anfrage des verwalteten Programms vom Administrationsserver abgerufen, stellt der Administrationsagent keine Verbindung zum Administrationsserver her, sondern stellt dem verwalteten Programm die Updates aus dem lokalen Cache bereit. Eine Verbindung mit dem Administrationsserver wird möglicherweise nicht hergestellt, wenn der Administrationsagent Updates für Programme auf Client-Geräten bereitgestellt, für die Updates jedoch keine Verbindung erforderlich ist.
Wenn diese Option deaktiviert ist, wird das autonome Modell für das Abrufen von Updates nicht verwendet. Updates werden gemäß dem Zeitplan der Aufgaben zum Update-Download verteilt.
Diese Option ist standardmäßig aktiviert.
Konnektivität
Der Abschnitt Konnektivität beinhaltet drei untergeordnete Unterabschnitte:
- Netzwerk
- Verbindungsprofile (nur für Windows und macOS)
- Verbindungszeitplan
Im Unterabschnitt Netzwerk können Sie die Verbindungseinstellungen für den Administrationsserver konfigurieren, die Nutzung des UDP-Ports aktivieren und dessen Nummer festlegen. Es sind folgende Optionen verfügbar:
- In der Einstellungsgruppe Verbindung mit dem Administrationsserver können Sie die Verbindungseinstellungen für den Administrationsserver anpassen und das Synchronisierungsintervall der Client-Geräte mit dem Administrationsserver festlegen:
- Netzwerkverkehr komprimieren
Aktivieren Sie diese Option, um die Geschwindigkeit der Datenübertragung durch den Administrationsagenten zu steigern, das Datenvolumen zu komprimieren und die Belastung für den Administrationsserver zu reduzieren.
Die CPU-Auslastung des Client-Computers kann ansteigen.
Dieses Kontrollkästchen ist standardmäßig aktiviert.
- Ports des Administrationsagenten in der Windows-Firewall öffnen
Wenn diese Option aktiviert ist, werden die Ports, die für die Arbeit des Administrationsagenten erforderlich sind, zur Ausschlussliste der Microsoft Windows Firewall hinzugefügt.
Diese Option ist standardmäßig aktiviert.
- SSL verwenden
Wenn diese Option aktiviert ist, erfolgt die Verbindung zum Administrationsserver über einen gesicherten Port mit SSL-Protokoll.
Diese Option ist standardmäßig aktiviert.
- Verbindungs-Gateway auf Verteilungspunkt (falls vorhanden) unter Standard-Verbindungseinstellungen verwenden
Wenn die Option aktiviert ist, wird das Verbindungs-Gateway auf dem Verteilungspunkt mit den Einstellungen verwendet, die in den Administrationsgruppeneigenschaften festgelegt sind.
Diese Option ist standardmäßig aktiviert.
- UDP-Port verwenden
Wenn es erforderlich ist, dass sich der Administrationsagent über einen UDP-Port mit dem Administrationsserver verbindet, aktivieren Sie die Option UDP-Port verwenden und geben Sie eine UDP-Portnummer an. Diese Option ist standardmäßig aktiviert. Der standardmäßige UDP-Port für die Verbindung zum Administrationsserver ist 15000.
- UDP-Port
Im Eingabefeld können Sie die Nummer des UDP-Ports eingeben. Standardmäßig wird Portnummer 15000 verwendet.
Für die Eingabe wird das Dezimalformat verwendet.
Wenn auf einem Client-Gerät das Betriebssystem Microsoft Windows XP Service Pack 2 installiert ist, blockiert die integrierte Firewall den UDP-Port mit der Nummer 15000. In diesem Fall muss der Port manuell geöffnet werden.
- Verbindung zum Administrationsserver mittels Verteilungspunkt erzwingen
Wählen Sie diese Option, wenn Sie im Fenster mit den Einstellungen des Verteilungspunktes die Option Diesen Verteilungspunkt als Push-Server verwenden ausgewählt haben. Andernfalls wird der Verteilungspunkt nicht als Push-Server fungieren.
Im Unterabschnitt Verbindungsprofile können Sie die Einstellungen des Netzwerkspeicherorts angeben, die Profile für die Verbindung mit dem Administrationsserver konfigurieren und den Modus für mobile Benutzer aktivieren, wenn der Administrationsserver nicht verfügbar ist. Die Einstellungen im Abschnitt Verbindungsprofile sind nur auf Geräten verfügbar, die unter Windows und macOS laufen:
- Einstellungen des Netzwerkstandorts
Die Einstellungen des Netzwerkspeicherorts bestimmen die Merkmale des Netzwerks, mit dem das Client-Gerät verbunden ist, und legen die Regeln für den Wechsel des Administrationsagenten von einem Administrationsserver-Verbindungsprofil zu einem anderen fest (im Falle sich ändernder Merkmale des Netzwerks).
- Verbindungsprofile des Administrationsservers
In diesem Abschnitt können Sie ein Profil für die Verbindung des Administrationsagenten mit dem Administrationsserver anzeigen und hinzufügen. In diesem Abschnitt können ferner die Umschaltregeln des Administrationsagenten auf andere Administrationsserver im Fall des Auftretens folgender Ereignisse festgelegt werden:
- Verbindung des Client-Geräts mit einem anderen lokalen Netzwerk.
- Trennung der Verbindung des Geräts vom lokalen Unternehmensnetzwerk.
- Änderung der Verbindungs-Gateway-Adresse oder der Adresse des DNS-Servers.
Verbindungsprofile werden nur für Geräte mir Windows oder macOS unterstützt.
- Modus für mobile Benutzer aktivieren, wenn der Administrationsserver nicht verfügbar ist
Wenn diese Option aktiviert ist, und eine Verbindung über dieses Profil besteht, verwenden Programme, die auf dem Client-Gerät installiert sind, Richtlinienprofile für Geräte im Modus für mobile Benutzer sowie Richtlinien für mobile Benutzer. Wurde für das Programm keine Richtlinie für mobile Benutzer definiert, verwendet das Programm die aktive Richtlinie.
Wenn diese Option deaktiviert ist, wenden die Anwendungen die aktiven Richtlinien an.
Diese Option ist standardmäßig deaktiviert.
Im Unterabschnitt Verbindungszeitplan können Sie Zeitintervalle festlegen, in denen der Administrationsagent Daten auf den Administrationsserver übertragen soll:
- Verbindung bei Bedarf herstellen
Bei dieser Variante wird eine Verbindung dann hergestellt, wenn Daten vom Administrationsagenten an den Administrationsserver übertragen werden sollen.
Diese Variante ist standardmäßig ausgewählt.
- Verbindung in den angegebenen Zeiträumen herstellen
Bei dieser Variante wird eine Verbindung des Administrationsagenten mit dem Administrationsserver in den vorgegebenen Zeiträumen hergestellt. Sie können mehrere Zeiträume für die Verbindung hinzufügen.
Verteilungspunkte
Der Abschnitt Verteilungspunkte beinhaltet vier untergeordnete Unterabschnitte:
- Netzwerk durchsuchen
- Einstellungen der Internetverbindung
- KSN Proxy
- Updates
Im Unterabschnitt Netzwerk durchsuchen können Sie die automatische Abfrage des Netzwerks anpassen. Sie können drei Arten von Abfragen aktivieren: Netzwerkabfragen, Abfragen eines IP-Bereichs und Abfragen des Active Directory:
- Netzwerkabfrage erlauben
Wenn diese Option aktiviert ist, fragt der Administrationsserver das Netzwerk automatisch gemäß dem Zeitplan ab, den Sie über die Links Zeitplan für schnelle Abfrage festlegen und Zeitplan für vollständige Abfrage festlegen eingerichtet haben.
Wenn diese Option deaktiviert ist, fragt der Administrationsserver das Netzwerk mit jenem Intervall ab, das im Feld Intervall für Netzwerkabfragen (Min.) angegeben ist.
Das Intervall der Gerätesuche kann für Versionen des Administrationsagenten bis Version 10.2 in den Feldern Intervall für Abfrage von Windows-Domänen (Min.) (für schnelle Abfragen eines Windows-Netzwerks) und Intervall für Netzwerkabfragen (Min.) (für vollständige Abfragen eines Windows-Netzwerks) angepasst werden.
Diese Option ist standardmäßig deaktiviert.
- Abfrage des IP-Bereichs zulassen
Wenn diese Option aktiviert ist, fragt der Verteilungspunkt die IP-Bereiche automatisch gemäß dem Zeitplan ab, den Sie über die Schaltfläche Abfragezeitplan festlegen eingerichtet haben.
Wenn diese Option deaktiviert ist, fragt der Verteilungspunkt keine IP-Bereiche ab.
Das Intervall der Abfrage des IP-Bereichs kann für Versionen des Administrationsagenten bis Version 10.2 im Feld Abfrageintervall (Min.) eingestellt werden. Der Abschnitt ist verfügbar, wenn die Option aktiviert ist.
Diese Option ist standardmäßig deaktiviert.
- Zeroconf-Abfragen verwenden (nur auf Linux-Plattformen; manuell angegebene IP-Bereiche werden ignoriert)
Wenn diese Option aktiviert ist, fragt der Verteilungspunkt das Netzwerk mit IPv6-Geräten unter Verwendung von Zero-configuration Networking (auch als Zeroconf bezeichnet) automatisch ab. In diesem Fall werden aktivierte IP-Bereichsabfragen ignoriert, da der Verteilungspunkt das gesamte Netzwerk abfragt.
Um Zeroconf verwenden zu können, müssen die folgenden Bedingungen erfüllt sein:
- Der Verteilungspunkt muss unter Linux laufen.
- Sie müssen auf dem Verteilungspunkt das Tool "avahi-browse" installieren.
Wenn diese Option deaktiviert ist, fragt der Verteilungspunkt Netzwerke mit IPv6-Geräten nicht ab.
Diese Option ist standardmäßig deaktiviert.
- Abfrage des Active Directory zulassen
Wenn diese Option aktiviert ist, führt der Verteilungspunkt automatisch eine Abfrage des Active Directory gemäß dem Zeitplan durch, den Sie über den Link Abfragezeitplan festlegen eingestellt haben.
Wenn diese Option deaktiviert ist, fragt der Administrationsserver das Active Directory nicht ab.
Das Intervall der Abfrage des Active Directory kann für Versionen des Administrationsagenten bis Version 10.2 im Feld Abfrageintervall (Min.) eingestellt werden. Der Feld ist verfügbar, wenn diese Option aktiviert ist.
Diese Option ist standardmäßig deaktiviert.
Im Unterabschnitt Internetverbindungseinstellungen können Sie die Einstellungen für den Internetzugang festlegen:
- Proxyserver verwenden
Wenn Sie das Kontrollkästchen aktivieren, können Sie in den Eingabefeldern die Verbindungseinstellungen zum Proxyserver angeben.
Dieses Kontrollkästchen ist standardmäßig nicht aktiviert.
- Proxyserver-Adresse
- Port
Nummer des Ports, über den die Verbindung erfolgt.
- Proxyserver für lokale Adressen umgehen
Wenn die Option aktiviert ist, wird bei der Verbindung mit den Geräten im lokalen Netzwerk kein Proxyserver verwendet.
Diese Option ist standardmäßig deaktiviert.
- Authentifizierung am Proxyserver
Wenn das Kästchen aktiviert ist, können Sie in den Eingabefeldern Ihre Benutzerdaten zur Authentifizierung am Proxyserver angeben.
Dieses Kontrollkästchen ist standardmäßig nicht aktiviert.
- Benutzername
Benutzerkonto, unter dessen Namen die Verbindung mit dem Proxy-Server hergestellt wird.
- Kennwort
Kennwort des Benutzerkontos, unter dessen Namen die Aufgabe gestartet wird.
Im Unterabschnitt KSN Proxy können Sie das Programm anpassen, um den Verteilungspunkt zum Weiterleiten von KSN-Anfragen von den verwalteten Geräten zu verwenden:
- KSN Proxy auf dem Verteilungspunkt aktivieren
Der KSN Proxy-Service wird auf dem Gerät ausgeführt, das als Verteilungspunkt verwendet wird. Verwenden Sie diese Funktion, um Datenverkehr im Netzwerk neu zu verteilen und zu optimieren.
Der Verteilungspunkt sendet die KSN-Statistik, die in der Erklärung zu Kaspersky Security Network aufgeführt sind, an Kaspersky. Standardmäßig befindet sich die KSN-Erklärung unter %ProgramFiles%\Kaspersky Lab\Kaspersky Security Center\ksneula.
Diese Option ist standardmäßig deaktiviert. Die Aktivierung dieser Option wird erst wirksam, wenn im Fenster mit den Eigenschaften des Administrationsservers die Optionen Administrationsserver als Proxyserver verwenden und Ich akzeptiere die Nutzungsbedingungen von Kaspersky Security Network aktiviert sind.
Sie können dem Knoten eines aktiv-passiven Clusters die Rolle als Verteilungspunkt zuweisen und den KSN-Proxyserver auf diesem Knoten aktivieren.
- KSN-Anfragen an den Administrationsserver weiterleiten
Der Verteilungspunkt leitet KSN-Anfragen von den verwalteten Geräten an den Administrationsserver weiter.
Diese Option ist standardmäßig aktiviert.
- Direkt über das Internet auf KSN Cloud/KPSN zugreifen
Der Verteilungspunkt leitet KSN-Anfragen von den verwalteten Geräten an die KSN Cloud oder an KPSN weiter. KSN-Anfragen, die der Verteilungspunkt selbst generiert, werden ebenso direkt an KSN Cloud oder KPSN gesendet.
Verteilungspunkte, auf denen der Administrationsagent bis einschließlich Version 11 installiert ist, können nicht direkt auf KPSN zugreifen. Um die Verteilungspunkte so anzupassen, dass KSN-Anfragen an KPSN gesendet werden, aktivieren Sie für jeden Verteilungspunkt die Option KSN-Anfragen an den Administrationsserver weiterleiten.
Verteilungspunkte, auf denen der Administrationsagent ab Version 12 installiert ist, können direkt auf KPSN zugreifen.
- TCP-Port
Die Nummer des TCP-Ports, den die verwalteten Geräte verwenden werden, um eine Verbindung mit dem KSN-Proxyserver herzustellen. Standardmäßig wird Portnummer 13111 verwendet.
- UDP-Port verwenden
Wenn es erforderlich ist, dass sich der Administrationsagent über einen UDP-Port mit dem Administrationsserver verbindet, aktivieren Sie die Option UDP-Port verwenden und geben Sie eine UDP-Portnummer an. Diese Option ist standardmäßig aktiviert. Der standardmäßige UDP-Port für die Verbindung zum Administrationsserver ist 15000.
In dem Unterabschnitt Updates können Sie durch Aktivieren oder Deaktivieren der Option Diff-Dateien herunterladen angeben, ob der Administrationsagent Diff-Dateien herunterladen soll (Diese Option ist standardmäßig aktiviert).
Revisionsverlauf
Auf der Registerkarte Revisionsverlauf können Sie den Revisionsverlauf für die Richtlinien des Administrationsagenten anzeigen. Sie können Revisionen vergleichen, Revisionen ansehen und erweiterte Aktionen ausführen, z. B. Revisionen in einer Datei speichern, ein Rollback auf eine bestimmte Revision vornehmen und Beschreibungen von Revisionen hinzufügen und ändern.
Funktionsvergleich der Betriebssysteme von Administrationsagenten
Die folgende Tabelle zeigt, welche Richtlinieneinstellungen des Administrationsagenten Sie verwenden können, um den Administrationsagenten mit einem bestimmten Betriebssystem zu konfigurieren.
Richtlinieneinstellungen des Administrationsagenten: Vergleich nach Betriebssystemen
Richtlinienabschnitt
|
Windows
|
Mac
|
Linux
|
Allgemein
|
|
|
|
Konfiguration von Ereignissen
|
|
|
|
Einstellungen
|
|
|
Es sind folgende Optionen verfügbar:
- Dateien nur über Verteilungspunkte übertragen
- Maximale Größe der Ereigniswarteschlange (MB)
- Dem Programm ist es erlaubt, auf dem Gerät erweiterte Daten über Richtlinien zu erfassen
|
Datenverwaltung
|
|
|
Es sind folgende Optionen verfügbar:
- Details zu installierten Programmen
- Informationen über die Hardware-Inventur
|
Software-Updates und Schwachstellen
|
|
|
|
Verwaltung des Neustarts
|
|
|
|
Windows Desktopfreigabe
|
|
|
|
Verwaltung von Patches und Updates
|
|
|
|
Konnektivität → Netzwerk
|
|
|
Mit Ausnahme der Option Ports des Administrationsagenten in der Windows-Firewall öffnen.
|
Konnektivität → Verbindungsprofile
|
|
|
|
Konnektivität → Verbindungszeitplan
|
|
|
|
Verteilungspunkte → Netzwerk durchsuchen
|
|
|
Es sind folgende Optionen verfügbar:
|
Verteilungspunkte → Einstellungen der Internetverbindung
|
|
|
|
Verteilungspunkte → KSN Proxy
|
|
|
|
Verteilungspunkte → Updates
|
|
|
|
Revisionsverlauf
|
|
|
|
Nach oben