該情境允許您佈署管理伺服器以及安裝網路代理和安全應用程式到網路裝置。您可以使用該情境更好的檢視應用程式和安裝應用程式。
卡巴斯基安全管理中心的安裝套件括以下步驟:
在其它「說明」區段會說明佈署卡巴斯基安全管理中心到雲端環境和為服務提供者佈署卡巴斯基安全管理中心。
建議您分配至少一小時用於管理伺服器安裝和至少一個工作日用於完成情境。我們也建議您在將作為卡巴斯基安全管理中心管理伺服器的電腦上安裝安全應用程式,例如 Kaspersky Security for Windows Server 或 Kaspersky Endpoint Security。
情境完成時會以下列方式在組織網路中佈署防護:
卡巴斯基安全管理中心安裝分步驟進行:
準備工作
確保您擁有卡巴斯基安全管理中心的產品授權金鑰(啟動碼)或 Kaspersky Security 應用程式的產品授權金鑰(啟動碼)。
解壓縮從供應商處收到的檔案。此封存包含授權金鑰(金鑰檔案),啟動碼,以及可以透過每個授權金鑰啟動的 Kaspersky 應用程式清單。
如果您想先試用卡巴斯基安全管理中心,則可以在 Kaspersky 網站取得 30 天的免費試用版。
有關卡巴斯基安全管理中心中未包含的 Kaspersky Security 應用程式產品授權的詳細資訊,您可以參考這些應用程式的文件。
找到更多卡巴斯基安全管理中心元件。選取最適合您組織的防護結構和網路配置。基於網路配置和通訊管道的輸送量,定義要使用的管理伺服器數量以及如何在您的辦公室間分發它們(如果您的組織執行分散式網路)。
要在不同的操作條件下獲取和維持最佳化執行,請考慮網路裝置數量、網路拓撲和您需要的卡巴斯基安全管理中心功能集(更多詳情,請參考卡巴斯基安全管理中心層級手冊)。
定義是否管理伺服器階層將被用於您的組織。為此,您必須評估您的情況是否適合用單一管理伺服器覆蓋所有用戶端裝置,或者是否有必要建立一個管理伺服器階層。您可能必須建立一個對應於您要防護的組織的組織結構的管理伺服器階層。
如果您必須確保行動裝置的防護,請執行所有設定 iOS MDM 伺服器所需的先決操作。
確保您選為管理伺服器以及安裝管理主控台的裝置滿足所有的硬體和軟體需求。
如果組織的金鑰基礎結構 (PKI) 要求您使用由特定憑證頒發機構 (CA) 頒發的自訂憑證,請準備這些憑證並確保它們滿足所有要求。
如果您排程使用帶有與 SIEM 系統整合的行動裝置管理和/或弱點和修補程式管理系統支援的卡巴斯基安全管理中心版本,請確保您有應用程式產品授權金鑰檔案或啟動碼。
在防護佈署過程中,您將必須提供 Kaspersky 要透過卡巴斯基安全管理中心管理之應用程式的啟動金鑰(請參閱可管理安全應用程式清單)。對於任何安全應用程式的產品授權詳情,參見此應用程式的文件。
計畫 DBMS 和管理伺服器硬體配置,需要考慮您網路裝置的數量。
當選取 DBMS 時注意要由該管理伺服器覆蓋的受管理裝置數量。如果您的網路包含少於 10,000 台裝置且您不計畫增加該數字,您可以選取免費 DBMS,例如 SQL Express 或 MySQL,並將其安裝到管理伺服器裝置。另外,您可以選擇 MariaDB DBMS,它最多可以管理 20000 台裝置。如果您的網路包含多於 10,000 台裝置(或如果您計畫延伸您的網路到該數量的裝置),我們建議您選取付費 SQL DBMS 並將其安裝到專用裝置。付費 DBMS 可以用於多個管理伺服器,但免費 DBMS 僅可以用於一個。
如果您選取 SQL Server DBMS,請注意您可以將儲存在資料庫中的資料遷移到 MySQL、MariaDB 或 Azure SQL DBMS。要執行遷移,請備份您的資料並將其還原到新的 DBMS 中。
找到更多使用 DBMS 的帳戶詳情並安裝您的 DBMS。
安裝之前選擇支援的 DBMS 。例如,您可以選取 PostgreSQL、Postgres Pro、Microsoft SQL Server、MySQL 或 MariaDB。
對於如何安裝所選 DBMS 的資訊,請參考其文件。
如要安裝 MariaDB、MySQL、PostgreSQL 或 Postgres Pro,請使用建議的設定以確保 DBMS 正常運行。
寫下並儲存 DBMS 設定,因為您將在管理伺服器安裝時需要它們。這些設定包括 SQL Server 名稱、連線 SQL Server 的埠號、存取 SQL Server 的帳戶名稱和密碼。
如果您決定安裝 PostgreSQL 或 Postgres Pro DBMS,請務必為超級使用者指定密碼。如未指定密碼,管理伺服器可能無法連線到資料庫。
預設下,卡巴斯基安全管理中心安裝程式建立管理伺服器資訊儲存資料庫,但是您可以取消建立該資料庫並使用其他資料庫。此種情況下,確保資料庫已被建立,您知道它的名稱,管理伺服器將再次存取該資料庫的帳戶具有 db_owner 角色。
如果必要,聯絡您的 DBMS 管理員獲取更多資訊。
確保所有必要的連接埠都開啟以便與您選取的安全結構對應的各元件間進行互動。
如果您必須提供網際網路存取給管理伺服器,依據網路設定配置連接埠並指定連線設定。
確保您具有所有在裝置上成功安裝卡巴斯基安全管理中心管理伺服器和後續防護佈署所需的本機管理員權限。安裝網路代理到這些裝置上時需要用戶端裝置上的本機管理員權限。安裝網路代理後,您可以使用它遠端安裝應用程式到裝置,而不使用帶有裝置管理員權限的帳戶。
預設下,在用於安裝管理伺服器的裝置上,卡巴斯基安全管理中心安裝程式建立執行管理伺服器和卡巴斯基安全管理中心服務的本機帳戶:
您可以不必為管理伺服器服務和其他服務建立帳戶。您使用您的現有帳戶,例如網域帳戶,如果您計畫安裝管理伺服器到容錯移轉叢集,或者由於其他原因計畫使用網域帳戶而不是本機帳戶。此種情況下,確保執行管理伺服器和卡巴斯基安全管理中心服務的帳戶被建立,且具有存取 DBMS 所需的所有權限。(如果您計畫透過卡巴斯基安全管理中心進一步佈署作業系統到裝置,不要結束建立帳戶。)
在管理伺服器裝置上安裝卡巴斯基安全管理中心和 Kaspersky 安全應用程式
從 Kaspersky 網站下載卡巴斯基安全管理中心。您可下載完整套件,或是只下載網頁主控台或管理主控台。
安裝管理伺服器到所選裝置(或多個裝置,如果您計畫使用多個管理伺服器)。您可以選取管理伺服器標準或自訂安裝。管理主控台將同管理伺服器一起安裝。建議將管理伺服器安裝在專用伺服器上而不是網域控制器上。
標準安裝用在您要嘗試卡巴斯基安全管理中心並在網路中的小區域測試其操作的時候。在標準安裝期間,您僅設定資料庫。您還可以僅安裝 Kaspersky 應用程式的管理外掛程式的預設集合。如果您有過使用卡巴斯基安全管理中心的經驗,因此您可以在標準安裝後指定所有相關設定,您也可以使用標準安裝。
自訂安裝允許您修改卡巴斯基安全管理中心設定,例如共用資料夾路徑、帳戶和連線管理伺服器的連接埠,以及資料庫設定。自訂安裝允許您指定安裝哪些 Kaspersky 管理外掛程式。如果必要,您可以在靜默模式啟動自訂安裝。
管理主控台和網路代理的伺服器版本與管理伺服器一起安裝。您也可以在安裝過程中選取安裝卡巴斯基安全管理中心網頁主控台。
如果您想,安裝管理主控台和/或卡巴斯基安全管理中心網頁主控台到管理員的工作站以透過網路管理管理伺服器。
當管理伺服器安裝完成後,在第一次連線至管理伺服器時,快速啟動精靈自動開始。依據現有需求指定管理伺服器初始化設定。在初始化配置步驟,精靈使用預設設定建立防護佈署所需的政策和工作。然而,預設設定可能少於您組織需要的最優設定。如果必要,您可以編輯政策和工作設定(在用戶端組織網路中設定防護、情境:設定網路防護)。
當所有先前步驟完成後,管理伺服器被安裝並準備使用。
確保管理主控台正在執行且您可以透過管理主控台連線到管理伺服器。而且,確保管理伺服器中可使用「將更新下載至管理伺服器儲存區」的工作(在主控台樹狀目錄的工作資料夾),以及 Kaspersky Endpoint Security 政策是可用的(在主控台樹狀目錄的政策資料夾)。
當檢查完成時,繼續以下步驟。
在用戶端裝置上集中式佈署 Kaspersky 安全應用程式
該步驟是快速啟動精靈的一部分。您也可以手動啟動裝置發現。卡巴斯基安全管理中心接收網路中偵測到的所有裝置的位址和名稱。然後您可以使用卡巴斯基安全管理中心在偵測到的裝置上安裝 Kaspersky 應用程式和其他供應商的軟體。卡巴斯基安全管理中心定期啟動裝置發現,這意味著如果任何新實例出現在網路,它們將被自動偵測。
將防護功能(在用戶端組織網路中設定防護、情境:設定網路防護)佈署到組織網路,則需要在裝置發現期間管理伺服器偵測到的裝置上安裝網路代理和安全應用程式(例如,Kaspersky Endpoint Security)。
安全應用程式防護裝置以防病毒和/或其他威脅程式。網路代理確保裝置和管理伺服器之間的通訊。網路代理設定預設被自動配置。
如有需要,您可以靜默模式搭配回應檔案或不搭配回應檔案來安裝網路代理。
在您開始安裝網路代理和安全應用程式到網路裝置之前,確保這些裝置是可存取的(即開啟)。您可以在虛擬機和物理裝置上安裝網路代理。
安全應用程式和網路代理可以被遠端或本機安裝。
遠端安裝 – 使用防護佈署精靈,您可以遠端安裝安全應用程式(例如 Kaspersky Endpoint Security for Windows)和網路代理到組織網路管理伺服器發現的裝置。通常,遠端安裝工作成功佈署防護到大多數網路裝置。然而,它可能在一些裝置上回傳錯誤,如果,例如裝置被關閉或由於其他原因無法存取。此種情況下,我們建議您手動連線到裝置並使用本機安裝。
本機安裝用於不能使用遠端安裝工作佈署防護的網路裝置。要安裝防護到此類裝置,建立獨立安裝套件以便在這些裝置本機執行。
有關 Linux 和 macOS 作業系統裝置的網路代理安裝說明,請分別參閱 Kaspersky Endpoint Security for Linux 和 Kaspersky Endpoint Security for Mac 的相關文件。雖然我們認為 Linux 和 macOS 作業系統裝置比 Windows 作業系統裝置的弱點少,但建議您也在這類裝置上安裝安全應用程式。
安裝後,確保安全應用程式被安裝到了受管理裝置。執行 Kaspersky 軟體版本報告並檢視結果。
佈署產品授權金鑰到用戶端裝置以在這些裝置上啟動受管理安全應用程式。
該步驟是快速啟動精靈的一部分。
在一些情況下,最方便的佈署防護到網路裝置的方式需要您分割整個裝置池到管理群組,依據組織結構。您可以建立移動規則以在群組間分發裝置,或者您可以手動分發裝置。您可以為管理群組分配群組工作,定義政策範圍並分配發佈點。
確保所有受管理裝置被正確分配到適當的管理群組,且網路中不再有未配置的裝置。
卡巴斯基安全中心指派分佈點自動指派給管理組,但您可以根據需要手動指派它們。我們建議您在大規模網路中使用發佈點以降低管理伺服器負載,以及在具有分散式結構的網路中提供管理伺服器透過窄通道存取裝置(或裝置群組)。您可以使用執行 Linux 的裝置作為發佈點,也可以使用執行 Windows 的裝置。