Postępując zgodnie z tym scenariuszem możesz zainstalować Serwer administracyjny, a także zainstalować Agenta sieciowego i aplikacje zabezpieczające na urządzeniach w sieci. Możesz użyć tego scenariusza do przyjrzenia się aplikacji i do zainstalowania aplikacji.
Instalacja Kaspersky Security Center składa się na następujące etapy:
Wdrożenie Kaspersky Security Center w środowiskach chmury oraz zdalna instalacja Kaspersky Security Center dla dostawców usługi są opisane w odpowiednich sekcjach Pomocy.
Zalecane jest poświęcenie przynajmniej godziny na zainstalowanie Serwera administracyjnego i przynajmniej jednego dnia roboczego na zakończenie scenariusza. Zalecane jest także zainstalowanie aplikacji zabezpieczającej, takiej jak Kaspersky Security for Windows Server lub Kaspersky Endpoint Security, na komputerze, który będzie pełnił rolę Serwera administracyjnego Kaspersky Security Center.
Po wykonaniu scenariusza, ochrona zostanie wdrożona w sieci organizacji w następujący sposób:
Instalacja Kaspersky Security Center odbywa się w krokach:
Prace przygotowawcze
Upewnij się, że posiadasz klucz licencyjny (kod aktywacyjny) do Kaspersky Security Center lub klucze licencyjne (kody aktywacyjne) do aplikacji zabezpieczających Kaspersky.
Rozpakuj archiwum otrzymane od dostawcy. To archiwum zawiera klucze licencyjne (pliki KEY), kody aktywacyjne oraz listę aplikacji firmy Kaspersky, które można aktywować za pomocą każdego klucza licencyjnego.
Jeśli najpierw chcesz wypróbować Kaspersky Security Center, możesz uzyskać bezpłatną, 30-dniową wersję testową na stronie internetowej Kaspersky.
Aby uzyskać szczegółowe informacje na temat licencjonowania aplikacji zabezpieczających Kaspersky, które nie są zawarte w Kaspersky Security Center, możesz zapoznać się z dokumentacją tych aplikacji.
Zapoznaj się ze szczegółowymi informacjami dotyczącymi komponentów Kaspersky Security Center. Wybierz strukturę ochrony i konfigurację sieci, które najbardziej odpowiadają Twojej organizacji. W oparciu o konfigurację sieci i przepustowość kanałów komunikacji, zdefiniuj liczbę używanych Serwerów administracyjnych oraz sposób ich dystrybucji pomiędzy biurami (jeśli pracujesz w sieci rozproszonej).
Aby uzyskać i utrzymać optymalną wydajność w różnych warunkach pracy, należy wziąć pod uwagę liczbę urządzeń w sieci, topologię sieci oraz zestaw funkcji Kaspersky Security Center, jakich potrzebujesz (więcej informacji można znaleźć w Podręczniku szacowania rozmiaru Kaspersky Security Center).
Zdefiniuj, czy hierarchia Serwerów administracyjnych będzie używana w organizacji. W tym celu należy oszacować, czy jest to możliwe i korzystne, aby wszystkie urządzenia kliencie były zarządzane przez jeden Serwer administracyjny i czy konieczne jest tworzenie hierarchii Serwerów administracyjnych. Konieczne może być też utworzenie hierarchii Serwerów administracyjnych, która jest taka sama, jak struktura organizacyjna firmy, której sieć chcesz chronić.
Jeśli musisz zapewnić ochronę urządzeń mobilnych, wykonaj wszystkie wymagane wstępne działania niezbędne dla konfiguracji Serwera iOS MDM.
Upewnij się, że urządzenia, które wybrałeś jako Serwery administracyjne, a także te do zainstalowania Konsoli administracyjnej, spełniają wszystkie wymagania sprzętowe i programowe.
Jeśli infrastruktura kluczy publicznych (PKI) Twojej organizacji wymaga użycia certyfikatów niestandardowych opublikowanych przez określony Urząd certyfikacji (CA), przygotuj te certyfikaty i upewnij się, że spełniają wszystkie wymagania.
Jeśli panujesz korzystać z wersji Kaspersky Security Center z obsługą Zarządzania urządzeń mobilnych, Integracji systemów SIEM i/lub Zarządzania lukami i poprawkami, upewnij się, że posiadasz plik klucza lub kod aktywacyjny licencjonowania aplikacji.
Podczas wdrażania ochrony konieczne może być dostarczenie Kaspersky aktywnych kluczy licencyjnych dla aplikacji, którymi zamierzasz zarządzać za pośrednictwem Kaspersky Security Center (patrz lista zarządzanych aplikacji zabezpieczających). Szczegółowe informacje na temat licencjonowania każdej aplikacji zabezpieczającej można znaleźć w dokumentacji dla tej aplikacji.
Zaplanuj konfigurację sprzętową dla systemu DBMS i Serwera administracyjnego, biorąc pod uwagę liczbę urządzeń w sieci.
Podczas wybierania DBMS należy mieć na uwadze liczbę zarządzanych urządzeń, które obejmuje ten Serwer administracyjny. Jeśli Twoja sieć zawiera mniej niż 10 000 urządzeń i nie planujesz zwiększyć tej liczby, możesz wybrać bezpłatny system DBMS, taki jak SQL Express lub MySQL, i zainstalować go na tym samym urządzeniu co Serwer administracyjny. Alternatywnie możesz wybrać MariaDB DBMS, który pozwala na zarządzanie do 20 000 urządzeń. Jeśli Twoja sieć zawiera więcej niż 10 000 urządzeń (lub jeśli planujesz rozszerzyć sieć do tej liczby urządzeń), zalecane jest wybranie płatnego systemu SQL DBMS i zainstalowanie go na dedykowanym urządzeniu. Płatny system DBMS może pracować z kilkoma Serwerami administracyjnymi, ale darmowy system DBMS może pracować tylko z jednym.
Jeśli wybierzesz SQL Server DBMS, pamiętaj, że możesz migrować dane przechowywane w bazie danych do MySQL, MariaDB lub Azure SQL DBMS. Aby przeprowadzić migrację, utwórz kopię zapasową danych i przywróć je do nowego systemu DBMS.
Zapoznaj się z informacjami na temat kont do pracy z DBMS i zainstaluj swój system DBMS.
Przed instalacją wybierz obsługiwany system DBMS. Możesz wybrać na przykład PostgreSQL, Postgres Pro, Microsoft SQL Server, MySQL lub MariaDB.
Informacje o sposobie zainstalowania wybranego systemu DBMS znajdziesz w tym dokumencie.
Jeśli instalujesz MariaDB, MySQL, PostgreSQL lub Postgres Pro, użyj zalecanych ustawień, aby zapewnić prawidłowe działanie DBMS.
Zanotuj na kartce, a następnie zapisz ustawienia DBMS, ponieważ będziesz ich potrzebował podczas instalacji Serwera administracyjnego. Te ustawienia obejmują nazwę serwera SQL, numer portu używanego do łączenia z serwerem SQL, nazwę konta i hasło do uzyskania dostępu do serwera SQL.
Jeśli zdecydujesz się zainstalować PostgreSQL lub Postgres Pro DBMS, upewnij się, że określone zostało hasło superużytkownika. Jeśli hasło nie zostanie określone, Serwer administracyjny może nie być w stanie połączyć się z bazą danych.
Domyślnie, instalator Kaspersky Security Center tworzy bazę danych do przechowywania informacji Serwera administracyjnego, ale możesz zrezygnować z utworzenia tej bazy danych i zamiast tego użyć innej bazy danych. W tym przypadku upewnij się, że baza danych została utworzona, znasz jej nazwę, a konto, z poziomu którego Serwer administracyjny uzyska dostęp do tej bazy, posiada dla niej rolę db_owner.
Jeśli to konieczne, skontaktuj się z administratorem DBMS w celu uzyskania dodatkowych informacji.
Upewnij się, że wszystkie niezbędne porty są otwarte do interakcji pomiędzy komponentami zgodnie z wybraną strukturą bezpieczeństwa.
Jeśli musisz zapewnić Serwerowi administracyjnemu dostęp do internetu, skonfiguruj porty i określ ustawienia połączenia, w zależności od konfiguracji sieci.
Upewnij się, że masz wszystkie uprawnienia lokalnego administratora, wymagane do pomyślnego zainstalowania Serwera administracyjnego Kaspersky Security Center i dalszego wdrażania ochrony na urządzeniach. Uprawnienia lokalnego administratora na urządzeniach klienckich są wymagane do zainstalowania Agenta sieciowego na tych urządzeniach. Po zainstalowaniu Agenta sieciowego możesz użyć go do zdalnego zainstalowania aplikacji na urządzeniach, bez użycia konta z uprawnieniami administratora urządzenia.
Domyślnie, na urządzeniu wybranym do zainstalowania Serwera administracyjnego, instalator Kaspersky Security Center tworzy trzy konta lokalne, z poziomu których zostanie uruchomiony Serwer administracyjny oraz usługi Kaspersky Security Center:
Możesz zrezygnować z tworzenia kont dla usług Serwera administracyjnego i innych usług. Zamiast tego użyj istniejących kont, takich jak konta domeny, jeśli planujesz zainstalować Serwer administracyjny na klastrze typu failover lub z jakiegoś powodu planujesz użyć kont domeny zamiast kont lokalnych. W tym przypadku upewnij się, że konta przeznaczone do działania Serwera administracyjnego i usług Kaspersky Security Center zostały utworzone, nie są uprzywilejowane i mają wszystkie uprawnienia, które są wymagane, żeby mieć dostęp do systemu DBMS. (Jeśli planujesz dalsze wdrożenie systemów operacyjnych na urządzeniach poprzez Kaspersky Security Center, nie wycofuj się z tworzenia kont.)
Instalacja Kaspersky Security Center oraz aplikacji zabezpieczającej Kaspersky na urządzeniu z Serwerem administracyjnym
Pobierz Kaspersky Security Center ze strony internetowej Kaspersky. Możesz pobrać pełny pakiet, tylko konsolę Web Console lub tylko Konsolę administracyjną.
Zainstaluj Serwer administracyjny na wybranym urządzeniu (lub kilku urządzeniach, jeśli planujesz używać kilku Serwerów administracyjnych). Możesz wybrać standardową lub niestandardową instalację Serwera administracyjnego. Konsola administracyjna zostanie zainstalowana wraz z Serwerem administracyjnym. Zaleca się zainstalowanie Serwera administracyjnego na serwerze dedykowanym zamiast na kontrolerze domeny.
Instalacja standardowa jest zalecana, jeśli chcesz wypróbować Kaspersky Security Center, na przykład, poprzez przetestowanie działania aplikacji w małym obszarze wewnątrz sieci. Podczas instalacji standardowej konfigurujesz tylko bazę danych. Możesz także zainstalować tylko domyślny zestaw wtyczek administracyjnych dla aplikacji Kaspersky. Możesz także użyć standardowej instalacji, jeśli już masz doświadczenie w pracy z Kaspersky Security Center i jesteś w stanie określić wszystkie odpowiednie ustawienia po standardowej instalacji.
Instalacja niestandardowa jest zalecana, jeśli planujesz zmodyfikować ustawienia Kaspersky Security Center, takie jak: ścieżka dostępu do folderu współdzielonego, konta i porty dla połączenia z Serwerem administracyjnym oraz ustawienia bazy danych. Instalacja niestandardowa umożliwia określenie, które wtyczki administracyjne Kaspersky mają zostać zainstalowane. Jeśli to konieczne, możesz uruchomić instalację niestandardową w trybie cichym.
Konsola administracyjna i wersja serwerowa Agenta sieciowego są instalowane wraz z Serwerem administracyjnym. Podczas instalacji możesz także wybrać zainstalowanie Kaspersky Security Center Web Console.
Jeśli chcesz, zainstaluj Konsolę administracyjną i/lub Kaspersky Security Center Web Console na stacji roboczej administratora oddzielnie, aby zarządzać Serwerem administracyjnym poprzez sieć.
Po zakończeniu instalacji Serwera administracyjnego, przy pierwszym połączeniu z Serwerem administracyjnym Kreator wstępnej konfiguracji zostanie uruchomiony automatycznie. Przeprowadź wstępną konfigurację Serwera administracyjnego zgodnie z istniejącymi wymaganiami. Na etapie wstępnej konfiguracji kreator używa domyślnych ustawień do tworzenia zasad i zadań, które są niezbędne do wdrażania ochrony. Jednakże ustawienia domyślne mogą być mniej niż optymalne dla potrzeb Twojej organizacji. Jeśli to konieczne, możesz edytować ustawienia zasad i zadań (Konfigurowanie ochrony w sieci organizacji klienta, Scenariusz: Konfigurowanie ochrony sieci).
Jeśli planujesz używać funkcji, które są poza podstawową funkcjonalnością, użyj licencji dla aplikacji. Możesz to zrobić w jednym z kroków kreatora wstępnej konfiguracji.
Jeśli czynności ze wszystkich poprzednich kroków zostały wykonane, Serwer administracyjny jest zainstalowany i gotowy do użycia.
Upewnij się, że Konsola administracyjna jest uruchomiona i możesz połączyć się z Serwerem administracyjnym poprzez Konsolę administracyjną. Dodatkowo, upewnij się, że zadanie Pobierz aktualizacje do repozytorium Serwera administracyjnego jest dostępna na Serwerze administracyjnym (w folderze Zadania drzewa konsoli), a także dostępny jest profil dla Kaspersky Endpoint Security (w folderze Zasady drzewa konsoli).
Po zakończeniu sprawdzania, przejdź do kroków poniżej.
Scentralizowane wdrażanie aplikacji zabezpieczających Kaspersky na urządzeniach klienckich
Ten krok jest częścią kreatora wstępnej konfiguracji. Możesz także ręcznie uruchomić wykrywanie urządzeń. Kaspersky Security Center pobiera adresy i nazwy wszystkich urządzeń wykrytych w sieci. Następnie możesz użyć Kaspersky Security Center do zainstalowania aplikacji firmy Kaspersky i oprogramowania innych producentów na wykrytych urządzeniach. Kaspersky Security Center regularnie uruchamia wykrywanie urządzeń, co oznacza, że jeśli nowe instancje pojawią się w sieci, zostaną wykryte automatycznie.
Wdrożenie ochrony (Konfigurowanie ochrony w sieci organizacji klienta, Scenariusz: Konfigurowanie ochrony sieci) w sieci organizacji wiąże się z zainstalowaniem Agenta sieciowego i aplikacji zabezpieczających (na przykład: Kaspersky Endpoint Security) na urządzeniach, które zostały wykryte przez Serwer administracyjny podczas wykrywania urządzeń.
Aplikacje zabezpieczające chronią urządzenia przed wirusami i/lub innym programami stwarzającymi zagrożenie. Agent sieciowy zapewnienia komunikację pomiędzy urządzeniem a Serwerem administracyjnym. Domyślnie ustawienia Agenta sieciowego są konfigurowane automatycznie.
Jeśli chcesz, możesz zainstalować Agenta sieciowego w trybie cichym z plikiem odpowiedzi lub bez pliku odpowiedzi.
Przed rozpoczęciem instalacji Agenta sieciowego i aplikacji zabezpieczających na urządzeniach w sieci, upewnij się, że te urządzenia są dostępne (czyli są włączone). Możesz zainstalować Agenta sieciowego na maszynach wirtualnych, a także na urządzeniach fizycznych.
Aplikacje zabezpieczające i Agent sieciowy mogą zostać zainstalowani zdalnie lub lokalnie.
Zdalna instalacja — korzystając z kreatora wdrażania ochrony, możesz zdalnie zainstalować aplikację zabezpieczającą (np. Kaspersky Endpoint Security for Windows) i Agenta sieciowego na urządzeniach, które zostały wykryte przez Serwer administracyjny w sieci organizacji. Zazwyczaj zadanie Zdalna instalacja pomyślnie wdraża ochronę na większości urządzeń w sieci. Jednakże może zwrócić błąd na niektórych urządzeniach, jeśli, na przykład, urządzenie jest wyłączone lub z jakiegoś powodu nie można uzyskać do niego dostępu. W tym przypadku zalecane jest ręczne nawiązanie połączenia z urządzeniem i skorzystanie z instalacji lokalnej.
Lokalna instalacja—używana na urządzeniach w sieci, na których ochrona nie mogła zostać wdrożona przy użyciu zadania zdalnej instalacji. Aby wdrożyć ochronę na takich urządzeniach, utwórz autonomiczny pakiet instalacyjny, który możesz uruchomić lokalnie na tych urządzeniach.
Instalacja Agenta sieciowego na urządzeniach działających pod kontrolą systemów operacyjnych Linux i macOS została opisana w dokumentacji do Kaspersky Endpoint Security for Linux i Kaspersky Endpoint Security for Mac. Chociaż urządzenia działające pod kontrolą systemów operacyjnych Linux i macOS są uważane za mniej podatne na zagrożenia i ataki niż urządzenia z systemem Windows, zalecane jest zainstalowanie aplikacji zabezpieczających na tych urządzeniach.
Po zainstalowaniu, upewnij się, że aplikacja zabezpieczająca jest zainstalowana na zarządzanych urządzeniach. Otwórz raport o wersjach oprogramowania Kaspersky i przejrzyj jego wyniki.
Roześlij klucze licencyjne na urządzenia klienckie, aby aktywować zarządzane aplikacje zabezpieczające na tych urządzeniach.
Ten krok jest częścią kreatora wstępnej konfiguracji.
Jeśli chcesz zarządzać firmowymi urządzeniami mobilnymi, podejmij odpowiednie kroki w celu przygotowania i wdrożenia Zarządzania urządzeniami mobilnymi.
W niektórych przypadkach, wdrożenie ochrony na urządzeniach w sieci w najbardziej wygodny sposób może wymagać podzielenia całej puli urządzeń na grupy administracyjne, z uwzględnieniem struktury organizacji. Możesz utworzyć reguły przenoszenia urządzeń pomiędzy grupami lub możesz ręcznie przenieść urządzenia. Możesz przypisać zadania grupowe dla grup administracyjnych, zdefiniować obszar zasad oraz przypisać punkty dystrybucji.
Upewnij się, że wszystkie zarządzane urządzenia zostały poprawnie przydzielone do odpowiednich grup administracyjnych i że w sieci nie ma żadnego nieprzypisanego urządzenia.
Kaspersky Security Center przypisuje punkty dystrybucji do grup administracyjnych automatycznie, ale w razie potrzeby możesz przypisać je ręcznie. Zalecane jest użycie punktów dystrybucji w sieciach dużej skali w celu zmniejszenia obciążenia na Serwerze administracyjnym, a także w sieciach, które posiadają strukturę rozproszoną, aby zapewnić Serwerowi administracyjnemu dostęp do urządzeń (lub grup urządzeń) komunikujących się przez kanały o niskiej przepustowości. Możesz używać urządzeń działających pod kontrolą systemu Linux jako punktów dystrybucji, a także urządzeń działających pod kontrolą systemu Windows.