通过 Kaspersky Security Center 远程安装任务的强制部署

要执行网络代理或其他应用程序的初始部署，您可以使用 Kaspersky Security Center 的远程安装任务强制安装选定的安装包，前提是每台设备都有具有本地管理员权限的用户账户。

强制安装也可以在设备无法被管理服务器直接访问时应用：例如，设备在隔离网络中，或者设备在本地网络但管理服务器在 DMZ。

初始部署时，不会安装网络代理。因此，在远程安装任务的设置中，无法选择使用网络代理安装应用程序所需的文件分发。您只能选择通过管理服务器或分发点使用操作系统资源来分发文件。

管理服务器服务必须使用在目标设备上具有管理权限的账户运行。或者，您可以在远程安装任务的设置中指定有权访问 admin$ share 的账户。

默认情况下，远程安装任务使用管理服务器运行所用账户的凭据连接到设备。需要澄清的是，这是用于访问 admin$ share 的账户，而不是运行远程安装任务的账户。安装在 LocalSystem 账户下进行。

您可以明确指定目标设备(使用列表)、通过选择它们所属的 Kaspersky Security Center 管理组或通过基于指定标准创建设备分类。安装开始时间定义在任务计划中。如果任务属性中启用了运行错过的任务设置，任务可以在设备开启时立即运行，或设备被移动到目标管理组时立即运行。

强制安装包括传送安装包到目标设备、随后复制文件到每个目标设备的 admin$ 资源，和在这些设备上远程注册支持服务。传送安装包到目标设备通过 Kaspersky Security Center 的网络交互功能运行。以下条件必须在此种情况下被满足：

• 目标设备可以从管理服务器端或分发点端访问。
• 目标设备的名称解析在网络中运行正常。
• 设备上的管理共享(admin$)保持启用。
• 以下系统服务正在目标设备上运行：
  • 服务器（LanmanServer）

    默认情况下，该服务正在运行。

  • DCOM 服务器进程启动器 (DcomLaunch)
  • RPC 端点映射器 (RpcEptMapper)
  • 远程过程调用 (RpcSs)
• TCP 445 端口在目标设备上打开，以便通过 Windows 工具实现远程访问。

  TCP 139、UDP 137 和 UDP 138 由较旧的协议使用，对于当前应用程序来说不再是必需的。

  防火墙必须允许动态出站访问端口，以便从管理服务器和分发点连接到目标设备。

• 在网络代理部署期间，允许 Active Directory 域策略安全设置提供 NTLM 协议的操作。
• 在运行 Microsoft Windows XP 的目标设备上，简单文件共享模式被禁用。
• 在目标设备上，访问共享和安全模型被设置为经典 - 本地用户以自身进行身份验证。它绝不可以是仅限访客 — 本地用户需要以访客身份进行身份验证。
• 目标设备是域成员，或带有管理员权限的统一账户提前在目标设备上被创建。

要成功部署网络代理或其他应用程序到未加入 Windows Server 2003 或更高版本的 Active Directory 域的设备，您必须在该设备上禁用远程 UAC。远程 UAC 是阻止本地管理账户访问 admin$ 的原因之一，这对于强制部署网络代理或其他应用程序必不可少。禁用远程 UAC 不会影响本地 UAC。

在未分配到任何 Kaspersky Security Center 管理组的新设备上进行安装时，您可以打开远程安装任务属性并指定网络代理安装后设备要移动到的管理组。

当创建组任务时，记住每个组任务都影响所选组的潜逃组中的所有设备。因此，您必须避免在子组中的重复安装任务。

创建强制安装应用程序的任务的一个简化方法是自动安装。为此，您必须打开管理组属性，打开安装包列表，然后选择必须在该组中设备上安装的包。结果，所选安装包将被自动安装在该组和其所有子组中的所有设备上。包被安装的时间间隔取决于网络吞吐量和网络设备总数。

为了减轻管理服务器在向目标设备传送安装包时的负载，您可以在安装任务中选择通过分发点进行安装。注意，该安装方法给作为分发点的设备增加了大量负载。因此，建议您选择符合分布点要求的设备。如果您使用分发点，您必须确保它们存在于托管目标设备的每个隔离子网中。

使用分发点作为本地安装中心也可以用在与管理服务器具有窄通道通信的子网设备上的安装，此时子网中的通道带宽很高。

文件夹 %ALLUSERSPROFILE%\Application Data\KasperskyLab\adminkit 所在分区的磁盘剩余空间必须超过所安装应用程序的分发包的总大小的好几倍。

页顶