Параметры политики Агента администрирования

Развернуть все | Свернуть все

Чтобы настроить параметры политики Агента администрирования:

1. В главном окне приложения перейдите в раздел Активы (Устройства) → Политики и профили политик.
2. Нажмите на имя политики Агента администрирования.

   Откроется окно свойств политики Агента администрирования.

Обратите внимание, что для устройств под управлением Windows, macOS и Linux, доступны различные параметры.

Вкладка Общие

На этой вкладке можно изменить состояние политики и настроить наследование параметров политики:

• В блоке Состояние политики можно выбрать один из вариантов действия политики:
  • Активна
  • Неактивна

    Если выбран этот вариант, политика становится неактивной, но сохраняется в папке Политики. При необходимости ее можно сделать активной.

• В блоке Наследование параметров можно настроить параметры наследования политики:
  • Наследовать параметры родительской политики

    Если параметр включен, значения параметров политики наследуются из политики для группы верхнего уровня иерархии и недоступны для изменения.

    По умолчанию параметр включен.

  • Обеспечить принудительное наследование параметров для дочерних политик

    Если параметр включен, после применения изменений в политике будут выполнены следующие действия:

    • значения параметров политики будут распространены на политики вложенных групп администрирования – дочерние политики;
    • в блоке Наследование параметров раздела Общие окна свойств каждой дочерней политики будет автоматически включен параметр Наследовать параметры родительской политики.

    Когда параметр включен, значения параметров дочерних политик недоступны для изменения.

    По умолчанию параметр выключен.

Вкладка Настройка событий

На этой вкладке можно настроить регистрацию событий и оповещение о событиях. События распределены по уровням важности в следующих разделах на вкладке Настройка событий:

• Отказ функционирования
• Предупреждение
• Информационное сообщение

В каждом разделе в списке типов событий отображаются названия событий и время хранения событий на Сервере администрирования по умолчанию (в днях). По кнопке Свойства можно настроить параметры регистрации и уведомления о событиях, выбранных в списке. По умолчанию общие настройки уведомлений, указанные для всего Сервера администрирования, используются для всех типов событий. Однако можно изменить определенные параметры для заданных типов событий.

Вкладка Параметры приложения

Параметры

В разделе Параметры можно настроить параметры политики Агента администрирования:

• Распространять файлы только через точки распространения

  Если этот параметр включен, клиентские устройства получают обновления только через точки распространения, а не напрямую с серверов обновлений.

  Если этот параметр выключен, клиентские устройства могут получать обновления из разных источников: напрямую с серверов обновлений, из локальной или сетевой папки.

  По умолчанию параметр выключен.

• Максимальный размер очереди событий (МБ)
• Приложение может получать расширенные данные политики на устройстве

  Агент администрирования, установленный на управляемом устройстве, передает информацию о применяемой политике в приложение безопасности (например, Kaspersky Endpoint Security для Windows). Передаваемая информация отображается в интерфейсе приложения безопасности.

  Агент администрирования передает следующую информацию:

  • время доставки политики на управляемое устройство;
  • имя активной политики и политики для автономных пользователей в момент доставки политики на управляемое устройство;
  • имя и полный путь группы администрирования, которой принадлежит управляемое устройство на момент доставки политики на управляемое устройство;
  • список активных профилей политики.

    Вы можете использовать эту информацию, чтобы обеспечить применение правильной политики к устройству и в целях устранения неполадок. По умолчанию параметр выключен.

• Защитить службу Агента администрирования от неавторизованного удаления, остановки или изменения параметров работы

  Если этот параметр включен, после того, как Агент администрирования был установлен на управляемом устройстве, компонент не может быть удален или изменен без требуемых прав. Работа Агента администрирования не может быть остановлена. Этот параметр не влияет на контроллеры домена.

  Включите этот параметр, чтобы защитить Агент администрирования на рабочих станциях, управляемых с правами локального администратора.

  По умолчанию параметр выключен.

• Использовать пароль деинсталляции

  Если параметр включен, при нажатии на кнопку Изменить можно указать пароль для утилиты klmover и задачи удаленной деинсталляции Агента администрирования.

  Обратите внимание, что утилита klmover используется только для перемещения управляемых устройств под управление виртуального Сервера администрирования.

  По умолчанию параметр выключен.

Хранилища

В разделе Хранилища можно выбрать типы объектов, информацию о которых Агент администрирования будет отправлять на Сервер администрирования. Если в политике Агента администрирования наложен запрет на изменение параметров, указанных в этом разделе, эти параметры недоступны для изменения:

• Информация об установленных приложениях
• Включить информацию о патчах

  Информация о патчах приложений, установленных на клиентских устройствах, отправляется на Сервер администрирования. Включение этого параметра может увеличить нагрузку на Сервер администрирования и СУБД, а также вызвать увеличение объема базы данных.

  По умолчанию параметр включен. Доступен только для Windows.

• Информация об обновлениях Центра обновления Windows

  Если параметр установлен, на Сервер администрирования отправляется информация об обновлениях Центра обновления Windows, которые необходимо установить на клиентских устройствах.

  Иногда, даже если параметр выключен, обновления отображаются в свойствах устройства в разделе Применимые обновления. Это может произойти, если, например, устройства организации имеют уязвимости, которые могут быть закрыты с помощью этих обновлений.

  По умолчанию параметр включен. Доступен только для Windows.

• Информация об уязвимостях в приложениях и соответствующих обновлениях

  Если этот параметр включен, информация об уязвимостях в приложениях сторонних производителей (включая программное обеспечение Microsoft), обнаруженных на управляемых устройствах, и об обновлениях программного обеспечения для закрытия уязвимостей (не включая программное обеспечение Microsoft) отправляется на Сервер администрирования.

  Выбор этого параметра (Информация об уязвимостях в приложениях и соответствующих обновлениях) увеличивает нагрузку на сеть, загрузку диска Сервера администрирования и потребление ресурсов Агентом администрирования.

  По умолчанию параметр включен. Доступен только для Windows.

  Для управления обновлениями приложений Microsoft используйте параметр Информация об обновлениях Центра обновления Windows.

• Информация о реестре оборудования

Обновления и уязвимости в приложениях

В разделе Обновления и уязвимости в приложениях можно настроить поиск обновлений Windows, а также включить проверку исполняемых файлов на наличие уязвимостей. Параметры раздела Обновления и уязвимости в приложениях доступны только для устройств под управлением Windows:

• В блоке параметров Режим поиска Центра обновления Windows можно выбрать режим поиска обновлений:
  • Активный

    Если выбран этот вариант, Сервер администрирования с помощью Агента администрирования инициирует обращение агента обновлений Windows на клиентском устройстве к источнику обновлений: Windows Update Servers или WSUS. Далее Агент администрирования передает на Сервер администрирования информацию, полученную от Агента Центра обновления Windows.

    Этот параметр применяется, только если включен параметр Соединяться с сервером обновлений для актуализации данных задачи Поиск уязвимостей и требуемых обновлений.

    По умолчанию выбран этот вариант.

  • Пассивный

    Если выбран этот вариант, Агент администрирования периодически передает на Сервер администрирования информацию об обновлениях, полученную при последней синхронизации агента обновлений Windows с источником обновления. Если синхронизация агента обновлений Windows с источником обновления не выполняется, данные об обновлениях на Сервере администрирования устаревают.

    Выберите этот параметр, если вы хотите получать обновления из кеша источника обновлений.

  • Выключен

    Если выбран этот вариант, Сервер администрирования не запрашивает информацию об обновлениях.

    Выберите этот параметр, если, например, вы хотите сначала протестировать обновления на локальном устройстве.

• Проверять исполняемые файлы на наличие уязвимостей при запуске

  Если параметр включен, при запуске исполняемых файлов выполняется их проверка на наличие уязвимостей.

  По умолчанию параметр выключен.

Управление перезагрузкой

В разделе Управление перезагрузкой можно выбрать и настроить действие, если в ходе работы, установки или удаления приложения требуется перезагрузка операционной системы управляемого устройства. Параметры раздела Управление перезагрузкой доступны только для устройств под управлением Windows:

• Не перезагружать операционную систему

  Клиентские устройства не будут автоматически перезагружаться после выполнения операции. Для завершения операции потребуется перезагрузить устройство (например, вручную или с помощью задачи управления устройствами). Информация о необходимости перезагрузки сохранена в результатах выполнения задачи и в статусе устройства. Этот вариант подходит для задач на серверах и других устройствах, для которых критически важна бесперебойная работа.

• При необходимости перезагрузить операционную систему автоматически

  В этом случае перезагрузка всегда выполняется автоматически, если перезагрузка требуется для завершения операции. Этот вариант подходит для задач на устройствах, для которых допустимы периодические перерывы в работе (выключение, перезагрузка).

• Запрашивать у пользователя

  На экране клиентского устройства будет выводиться сообщение о том, что устройство должно быть перезагружено вручную. Для этого варианта можно настроить дополнительные параметры: текст сообщения для пользователя, периодичность сообщения, а также время, после которого перезагрузка будет выполнена принудительно (без подтверждения пользователя). Этот вариант является оптимальным для рабочих станций, чтобы пользователи могли выбрать наиболее удобное время для перезагрузки.

  По умолчанию выбран этот вариант.

  • Повторять запрос периодически через (мин)

    Если выбран этот вариант, приложение с определенной частотой предлагает пользователю выполнить перезагрузку операционной системы.

    По умолчанию параметр включен. По умолчанию интервал составляет 5 минут. Допустимые значения: от 1 до 1440 минут.

    Если параметр выключен, предложение перезагрузки отображается только один раз.

  • Принудительно перезагружать через (мин)

    После предложения пользователю перезагрузить операционную систему, приложение выполняет принудительную перезагрузку по истечении указанного времени.

    По умолчанию параметр включен. По умолчанию интервал времени составляет 30 минут. Допустимые значения: от 1 до 1440 минут.

• Принудительно закрывать приложения в заблокированных сеансах

  Запущенные приложения могут не позволить перезагрузить клиентское устройство. Например, если выполняется работа с документом в текстовом редакторе и изменения не сохранены, приложение не позволяет перезагрузить устройство.

  Если этот параметр включен, такие приложения на заблокированных устройствах принудительно закрываются перед перезагрузкой устройства. В результате пользователи могут потерять несохраненную работу.

  Если этот параметр выключен, заблокированное устройство не перезагружается. Состояние задачи на этом устройстве указывает на необходимость перезапуска устройства. Пользователям необходимо вручную закрыть все приложения, которые запущены на заблокированных устройствах, и перезагрузить эти устройства.

  По умолчанию параметр выключен.

Совместный доступ к рабочему столу Windows

В разделе Совместный доступ к рабочему столу Windows можно включить и настроить аудит действий администратора на удаленном устройстве пользователя при использовании общего доступа к рабочему столу. Параметры раздела Совместный доступ к рабочему столу Windows доступны только для устройств под управлением Windows:

• Включить аудит

  Если параметр включен, аудит действий администратора на удаленном устройстве включен. Записи о действиях администратора на удаленном устройстве сохраняются:

  • в журнале событий на удаленном устройстве;
  • в файле с расширением syslog, который находится в папке установки Агента администрирования на удаленном устройстве;
  • в базе событий Kaspersky Security Center Cloud Console.

  Аудит действий администратора доступен при выполнении следующих условий:

  • лицензия на Системное администрирование уже используется;
  • у администратора есть право на запуск общего доступа к рабочему столу удаленного устройства.

  Если параметр выключен, аудит действий администратора на удаленном устройстве выключен.

  По умолчанию параметр выключен.

• Маски файлов, чтение которых нужно отслеживать

  В списке содержатся маски файлов. Когда аудит включен, приложение отслеживает чтение администратором файлов, соответствующих маскам, и сохраняет информацию о чтении файлов. Список доступен, когда установлен флажок Включить аудит. Можно изменять маски файлов и добавлять в список новые маски. Новые маски файлов нужно указывать в списке с новой строки.

  По умолчанию указаны маски файлов *.txt, *.rtf, *.doc, *.xls, *.docx, *.xlsx, *.odt, *.pdf.

• Маски файлов, изменение которых нужно отслеживать

  В списке содержатся маски файлов на удаленном устройстве. Когда аудит включен, приложение отслеживает изменение администратором файлов, соответствующих маскам, и сохраняет информацию об изменении файлов. Список доступен, когда установлен флажок Включить аудит. Можно изменять маски файлов и добавлять в список новые маски. Новые маски файлов нужно указывать в списке с новой строки.

  По умолчанию указаны маски файлов *.txt, *.rtf, *.doc, *.xls, *.docx, *.xlsx, *.odt, *.pdf.

Управление патчами и обновлениями

В разделе Управление патчами и обновлениями можно настроить получение и распространение обновлений и установку патчей на управляемые устройства: включить или выключить параметр Автоматически устанавливать применимые обновления и патчи для компонентов со статусом "Не определено".

Подключения

Раздел Подключения включает три вложенных раздела:

• Сеть
• Профили соединений
• Расписание соединений

В разделе Сеть можно настроить параметры подключения к Серверу администрирования, включить возможность использования UDP-порта и указать его номер.

• В блоке Подключение к Серверу администрирования можно указать следующие параметры:
  • Сжимать сетевой трафик

    Если параметр выключен, будет увеличена скорость передачи данных Агентом администрирования, сокращен объем передаваемой информации и уменьшена нагрузка на Сервер администрирования.

    Нагрузка на центральный процессор клиентского компьютера может возрасти.

    По умолчанию флажок установлен.

  • Открывать порты Агента администрирования в брандмауэре Microsoft Windows

    Если параметр включен, порты, необходимые для работы Агента администрирования, будут добавлены в список исключений брандмауэра Microsoft Windows.

    По умолчанию параметр включен.

  • Использовать шлюз соединения точки распространения (при наличии) в параметрах подключения по умолчанию

    Если параметр включен, то используется шлюз соединений точки распространения, параметры которой заданы в свойствах группы администрирования.

    По умолчанию параметр включен.

• Использовать UDP-порт

  Чтобы Агент администрирования подключался к Серверу администрирования через UDP-порт, установите флажок Использовать UDP-порт и в поле Номер UDP-порт укажите номер порта. По умолчанию параметр включен. По умолчанию подключение к Серверу администрирования выполняется через UDP-порт 15000.

• Номер UDP-порта

  В поле можно ввести номер UDP-порта. По умолчанию установлен порт 15000.

  Используется десятичная форма записи.

  Если клиентское устройство работает под управлением операционной системы Windows XP Service Pack 2, встроенный сетевой экран блокирует UDP-порт с номером 15000. Этот порт требуется открыть вручную.

• Использовать точку распространения для принудительного подключения к Серверу

  Выберите этот параметр, если в окне параметров точки распространения вы выбрали Запустить push-сервер. Иначе точка распространения не будет выполнять роль push-сервера.

В подраздел Профили соединений новые элементы не могут быть добавлены в список Профили подключения к Серверу администрирования, так как кнопка Добавить неактивна. Предустановленные профили соединений тоже невозможно изменить.

В разделе Расписание соединений можно задать временные интервалы, в которые Агент администрирования будет передавать данные на Сервер администрирования:

• Подключаться при необходимости
• Подключаться в указанные периоды

В разделе Расписание соединений можно задать временные интервалы, в которые Агент администрирования будет передавать данные на Сервер администрирования:

• Подключаться при необходимости

  Если выбран этот вариант, подключение будет устанавливаться тогда, когда Агенту администрирования нужно передать данные на Сервер администрирования.

  По умолчанию выбран этот вариант.

• Подключаться в указанные периоды

  Если выбран этот вариант, подключение Агента администрирования к Серверу администрирования выполняется в заданные периоды времени. Можно добавить несколько периодов подключения.

Опрос сети точками распространения

В разделе Опрос сети точками распространения вы можете настроить автоматический опрос сети. Параметры опроса сети доступны только для устройств под управлением Windows. Вы можете использовать следующие параметры, чтобы включить опрос и настроить его расписание:

• Сеть Windows

  Если параметр включен, точка распространения автоматически опрашивает сеть в соответствии с расписанием, настроенным по ссылкам Настроить расписание быстрого опроса и Настроить расписание полного опроса.

  Если этот параметр выключен, Сервер администрирования не выполняет опрос сети.

  По умолчанию параметр включен.

• IP-диапазоны

  Если параметр включен, точка распространения автоматически опрашивает IP-диапазоны в соответствии с расписанием, настроенным по ссылке Настроить расписание опроса.

  Если параметр выключен, точка распространения не выполняет опрос IP-диапазонов.

  По умолчанию параметр выключен.

• Контроллеры доменов

  Если этот параметр включен, точка распространения автоматически выполняет опрос контроллеров домена в соответствии с расписанием, настроенным по кнопке Настроить расписание опроса.

  Если параметр выключен, точка распространения не выполняет опрос контроллеров домена.

  Периодичность опроса контроллеров домена для версий Агента администрирования ниже 10.2 можно настроить в поле Период опроса (мин). Поле доступно, если этот параметр включен.

  По умолчанию параметр выключен.

Параметры сети для точек распространения

В разделе Параметры сети для точек распространения вы можете указать параметры доступа к интернету:

• Использовать прокси-сервер
• Адрес
• Номер порта
• Не использовать прокси-сервер для локальных адресов

  Если параметр включен, то при подключении к устройствам в локальной сети не используется прокси-сервер.

  По умолчанию параметр выключен.

• Аутентификация на прокси-сервере

  Если флажок установлен, в полях ввода можно указать учетные данные для аутентификации на прокси-сервере.

  По умолчанию флажок снят.

• Имя пользователя
• Пароль

Прокси-сервер KSN (точки распространения)

В разделе Прокси-сервер KSN (точки распространения) вы можете настроить приложение так, чтобы точка распространения использовалась для пересылки KSN запросов от управляемых устройств.

• Включить прокси-сервер KSN на стороне точки распространения

  Служба прокси-сервера KSN выполняется на устройстве, которое выполняет роль точки распространения. Используйте этот параметр для перераспределения и оптимизации трафика сети.

  Такая возможность не поддерживается для точек распространения под управлением Linux или macOS.

  Точка распространения отправляет статистику KSN, указанную в Положении о Kaspersky Security Network, в "Лабораторию Касперского". По умолчанию Положение о KSN расположено в папке %ProgramFiles%\Kaspersky Lab\Kaspersky Security Center\ksneula.

  По умолчанию параметр выключен. Включение этого параметра вступает в силу только в том случае, если параметр Я принимаю условия использования Kaspersky Security Network включен в окне свойств Сервера администрирования.

  Можно назначить узлу отказоустойчивого кластера с холодным резервом (активный/пассивный) точку распространения и включить прокси-сервер KSN на этом узле.

• Порт

  Номер TCP-порта, который управляемые устройства используют для подключения к прокси-серверу KSN. По умолчанию установлен порт 13111.

• UDP-порт

  Чтобы Агент администрирования подключался к Серверу администрирования через UDP-порт, установите флажок Использовать UDP-порт и в поле Номер UDP-порт укажите номер порта. По умолчанию параметр включен. По умолчанию подключение к Серверу администрирования выполняется через UDP-порт 15000.

См. также: Порты, используемые Kaspersky Security Center Cloud Console Сценарий: первоначальное развертывание приложений "Лаборатории Касперского"

В начало