Начало работы

Следуя этому сценарию, вы установите Сервер администрирования Kaspersky Security Center Linux и Kaspersky Security Center Web Console, выполните первоначальную настройку Сервера администрирования с помощью мастера первоначальной настройки, а также установите приложения "Лаборатории Касперского" на управляемые устройства с помощью мастера развертывания защиты.

Предварительные требования

У вас должен быть лицензионный ключ (код активации) для Kaspersky Endpoint Security для бизнеса или лицензионные ключи (коды активации) для приложений безопасности "Лаборатории Касперского".

Если вы хотите попробовать Kaspersky Security Center Linux, вы можете получить пробную тридцатидневную версию на веб-сайте "Лаборатории Касперского".

Этапы

Основной сценарий установки состоит из следующих этапов:

1. Выбор структуры защиты организации

   Ознакомьтесь с компонентами Kaspersky Security Center Linux. Исходя из конфигурации сети и пропускной способности каналов связи определите, какое количество Серверов администрирования необходимо использовать и как их разместить по офисам, если вы работаете с распределенной сетью.

   Определите, будет ли в вашей организации использоваться иерархия Серверов администрирования. Для этого нужно понять, возможно и целесообразно ли обслуживание всех клиентских устройств одним Сервером администрирования или требуется выстроить иерархию Серверов администрирования. Вам также может потребоваться выстроить иерархию Серверов администрирования, совпадающую с организационной структурой предприятия, сеть которого вы хотите защитить.

2. Подготовка к использованию пользовательских сертификатов

   Если инфраструктура открытых ключей (PKI) вашей организации требует, чтобы вы использовали пользовательские сертификаты, выпущенные определенным доверенным центром сертификации (CA), подготовьте эти сертификаты и убедитесь, что они соответствуют всем требованиям.

3. Установка системы управления базами данных (СУБД)

   Установите СУБД, используемую Kaspersky Security Center Linux, или используйте существующую СУБД.

   Вы можете выбрать одну из поддерживаемых СУБД. Сведения о том, как установить выбранную СУБД, см. в документации к ней.

   Если дистрибутив вашей операционной системы на базе Linux не содержит поддерживаемую СУБД, вы можете установить СУБД из стороннего хранилища пакетов. Если установка дистрибутивов из сторонних хранилищ запрещена, вы можете установить СУБД на отдельном устройстве.

   Если вы решили установить СУБД PostgreSQL или Postgres Pro, убедитесь, что вы указали пароль для суперпользователя. Если пароль не указан, Сервер администрирования может не подключиться к базе данных.

   Если вы установите MariaDB, PostgreSQL или Postgres Pro используйте рекомендуемые параметры, чтобы обеспечить правильную работу СУБД.

   Если вы хотите изменить тип СУБД после установки, вам необходимо переустановить Kaspersky Security Center Linux. Данные могут быть частично и вручную перенесены в другую базу данных.

4. Настройка портов

   Убедитесь, что для взаимодействия компонентов согласно выбранной вами структуре защиты открыты необходимые порты.

   Если требуется предоставить доступ к Серверу администрирования из интернета, настройте порты и параметры подключения в зависимости от конфигурации сети.

5. Установка Kaspersky Security Center Linux

   Выберите устройство c операционной системой Linux, которое вы собираетесь использовать в качестве Сервера администрирования; убедитесь, что аппаратное и программное обеспечение устройства соответствует требованиям, и установите на устройство Kaspersky Security Center Linux. Вместе с компонентом Сервер администрирования автоматически будет установлена серверная версия Агента администрирования.

6. Установка Kaspersky Security Center Web Console и веб-плагинов управления

   Выберите устройство с операционной системой Linux, которое вы собираетесь использовать в качестве рабочей станции администратора; убедитесь, что аппаратное и программное обеспечение устройства соответствует требованиям, и установите на это устройство Kaspersky Security Center Web Console. Вы можете установить Kaspersky Security Center Web Console на том же устройстве, что и Сервер администрирования.

   Загрузите веб-плагин управления Kaspersky Endpoint Security для Linux и установите его на то же устройство, на котором установлено приложение Kaspersky Security Center Web Console.

7. Установка Kaspersky Endpoint Security для Linux и Агента администрирования на устройство с Сервером администрирования

   По умолчанию приложение не использует устройство с Сервером администрирования как управляемое устройство. Для защиты Сервера администрирования от вирусов и других угроз, а также для управления этим устройством рекомендуется установить Kaspersky Endpoint Security для Linux и Агент администрирования для Linux на устройство с Сервером администрирования. В этом случае Агент администрирования для Linux устанавливается и работает независимо от серверной версии Агента администрирования, которая была установлена вместе с Сервером администрирования.

8. Выполнение первоначальной настройки

   После завершения установки Сервера администрирования при первом подключении к Серверу администрирования автоматически запускается Мастер первоначальной настройки. Выполните первоначальную настройку Сервера администрирования в соответствии с вашими требованиями. На этапе первоначальной настройки мастер создает необходимые для развертывания защиты политики и задачи с параметрами по умолчанию. Эти параметры могут оказаться неоптимальными для нужд вашей организации. При необходимости вы можете изменить параметры политик и задач.

9. Обнаружение сетевых устройств

   Опросите сеть для обнаружения устройств вручную. В результате Сервер администрирования Kaspersky Security Center Linux получает адреса и имена всех устройств, зарегистрированных в сети. В дальнейшем вы можете с помощью Kaspersky Security Center Linux устанавливать приложения "Лаборатории Касперского" и других производителей на обнаруженные устройства. Kaspersky Security Center Linux запускает обнаружение устройств регулярно, поэтому, если в сети появятся новые устройства, они будут обнаружены автоматически.

10. Объединение устройств в группы администрирования

    В некоторых случаях для развертывания защиты на устройствах сети оптимальным образом может потребоваться разделить устройства на группы администрирования с учетом организационной структуры организации. Вы можете создать правила перемещения для распределения устройств по группам или распределить устройства вручную. Для групп администрирования можно назначать групповые задачи, определять область действия политик и назначать точки распространения.

    Убедитесь, что все управляемые устройства правильно распределены по соответствующим группам администрирования и что у вас в сети не осталось нераспределенных устройств.

11. Назначение точек распространения

    Точки распространения для групп администрирования назначаются автоматически, но при необходимости вы можете назначить их вручную. Точки распространения рекомендуется использовать в больших сетях для снижения нагрузки на Сервер администрирования, а также в сетях с распределенной структурой для предоставления Серверу администрирования доступа к устройствам или группам устройств, соединенным каналами с низкой пропускной способностью.

12. Установка Агента администрирования и приложений безопасности на устройства в сети

    Развертывание защиты в сети организации подразумевает установку Агента администрирования и приложений безопасности на устройства, найденные Сервером администрирования в процессе обнаружения устройств.

    Чтобы выполнить удаленную установку приложения, запустите мастер развертывания защиты.

    Приложения безопасности защищают устройства от вирусов и других приложений, представляющих угрозу. Агент администрирования обеспечивает связь устройства с Сервером администрирования. Параметры Агента администрирования автоматически настраиваются по умолчанию.

    Перед тем как установить Агент администрирования и приложения безопасности на устройства в сети, убедитесь, что эти устройства доступны (включены).

13. Распространение лицензионных ключей на клиентские устройства

    Распространите лицензионные ключи на клиентские устройства, чтобы активировать управляемые приложения безопасности на этих устройствах.

14. Настройка политик приложений "Лаборатории Касперского"

    Чтобы на различных устройствах были применены разные параметры приложений, можно использовать управление безопасностью устройств или управление безопасностью, ориентированное на пользователей. Управление безопасностью устройств реализуется с помощью политик и задач. Задачи могут выполняться только на устройствах, которые соответствуют определенным условиям. Для создания условий отбора устройств используются выборки устройств и теги.

15. Мониторинг состояния защиты сети

    Вы можете организовывать мониторинг сети с помощью веб-виджетов на информационной панели, формировать отчеты о приложениях "Лаборатории Касперского", настраивать и просматривать выборки событий, полученные от приложений на управляемых устройствах, и просматривать список уведомлений.

Установка

В этом разделе описана установка Kaspersky Security Center Linux и Kaspersky Security Center Web Console.

Настройка сервера MariaDB x64 для работы с Kaspersky Security Center Linux

Рекомендуемые параметры для файла my.cnf

Подробнее о настройке СУБД см. также в процедуре настройки учетной записи. Для получения информации об установке СУБД обратитесь к процедуре установки СУБД.

Чтобы настроить файл my.cnf:

1. Откройте файл my.cnf с помощью текстового редактора.
2. Введите следующие строки в раздел [mysqld] файла my.cnf:

   sort_buffer_size=10M

   join_buffer_size=100M

   join_buffer_space_limit=300M

   join_cache_level=8

   tmp_table_size=512M

   max_heap_table_size=512M

   key_buffer_size=200M

   innodb_buffer_pool_size=<value>

   innodb_thread_concurrency=20

   innodb_flush_log_at_trx_commit=0

   innodb_lock_wait_timeout=300

   max_allowed_packet=32M

   max_connections=151

   max_prepared_stmt_count=12800

   table_open_cache=60000

   table_open_cache_instances=4

   table_definition_cache=60000

   Значение innodb_buffer_pool_size должно быть не менее 80 процентов от ожидаемого размера базы данных KAV. Обратите внимание, что указанная память выделяется при запуске сервера. Если размер базы данных меньше указанного размера буфера, выделяется только необходимая память. Если вы используете MariaDB 10.4.3 или более раннюю версию, фактический размер выделенной памяти примерно на 10 процентов превышает указанный размер буфера.

   Рекомендуется использовать значение параметра innodb_flush_log_at_trx_commit=0, поскольку значения "1" или "2" отрицательно влияют на скорость работы MariaDB. Убедитесь, что для параметра innodb_file_per_table установлено значение 1.

   Для MariaDB 10.6 дополнительно введите в раздел [mysqld] следующие строки:

   optimizer_prune_level=0

   optimizer_search_depth=8

По умолчанию надстройки оптимизатора join_cache_incremental, join_cache_hashed, join_cache_bka включены. Если эти надстройки не включены, их необходимо включить.

Чтобы проверить, включены ли надстройки оптимизатора:

1. В клиентской консоли MariaDB выполните команду:

   SELECT @@optimizer_switch;

2. Убедитесь, что вывод содержит следующие строки:

   join_cache_incremental=on

   join_cache_hashed=on

   join_cache_bka=on

   Если эти строки присутствуют и содержат значения on, то надстройки оптимизатора включены.

   Если эти строки отсутствуют или имеют значения off, вам необходимо выполнить следующее:

   1. Откройте файл my.cnf с помощью текстового редактора.
   2. Добавьте в файл my.cnf следующие строки:

      optimizer_switch='join_cache_incremental=on'

      optimizer_switch='join_cache_hashed=on'

      optimizer_switch='join_cache_bka=on'

Надстройки join_cache_incremental, join_cache_hash и join_cache_bka включены.

Настройка сервера PostgreSQL или Postgres Pro для работы с Kaspersky Security Center Linux

Kaspersky Security Center Linux поддерживает СУБД PostgreSQL и Postgres Pro. Если вы используете одну из этих СУБД, рассмотрите возможность настройки параметров сервера СУБД для оптимизации работы СУБД с Kaspersky Security Center Linux.

Путь по умолчанию к конфигурационному файлу: /etc/postgresql/<ВЕРСИЯ>/main/postgresql.conf

Рекомендуемые параметры для PostgreSQL и Postgres Pro:

• shared_buffers = 25% от объема оперативной памяти устройства, на котором установлена СУБД

  Если оперативной памяти меньше 1 ГБ, то оставьте значение по умолчанию.

• max_stack_depth = максимальный размер стека (выполните команду 'ulimit -s', чтобы получить это значение в КБ) минус 1 МБ
• temp_buffers = 24MB
• work_mem = 16MB
• max_connections = 151
• max_parallel_workers_per_gather = 0
• maintenance_work_mem = 128MB

Убедитесь, что для параметра standard_conforming_strings значение по умолчанию установлено on. Примените конфигурацию или перезапустите службу после обновления файла postgresql.conf. Дополнительную информацию см. в документации PostgreSQL.

Если вы используете Postgres Pro 15.7 или Postgres Pro 15.7.1, выключите параметр enable_compound_index_stats:

enable_compound_index_stats = off

Подробную информацию о параметрах сервера PostgreSQL и Postgres Pro, а также о том, как указать эти параметры, см. в соответствующей документации по СУБД.

Подробнее о том, как создавать и настраивать учетные записи для PostgreSQL и Postgres Pro, см. в следующем разделе: Настройка учетных записей для работы с PostgreSQL и Postgres Pro.

Настройка сервера MySQL x64 для работы с Kaspersky Security Center Linux

Если вы используете сервер MySQL для Kaspersky Security Center, включите поддержку InnoDB и хранилища MEMORY, а также поддержку кодировок UTF-8 и UCS-2.

Рекомендуемые параметры для файла my.cnf

Подробнее о настройке СУБД см. также в процедуре настройки учетной записи. Для получения информации об установке СУБД обратитесь к процедуре установки СУБД.

Чтобы настроить файл my.cnf:

1. Откройте файл my.cnf с помощью текстового редактора.
2. Добавьте следующие строки в раздел [mysqld] файла my.cnf:

   sort_buffer_size=10M

   join_buffer_size=20M

   tmp_table_size=600M

   max_heap_table_size=600M

   key_buffer_size=200M

   innodb_buffer_pool_size=реальное значение должно быть не менее 80% от ожидаемого размера базы данных KAV

   innodb_thread_concurrency=20

   innodb_flush_log_at_trx_commit=0 (в большинстве случаев сервер использует небольшие транзакции)

   innodb_lock_wait_timeout=300

   max_allowed_packet=32M

   max_connections=151

   max_prepared_stmt_count=12800

   table_open_cache=60000

   table_open_cache_instances=4

   table_definition_cache=60000

   Обратите внимание, что память, указанная в innodb_buffer_pool_size, выделяется при запуске сервера. Если размер базы данных меньше указанного размера буфера, выделяется только необходимая память. Фактический размер выделенной памяти примерно на 10 процентов превышает указанный размер буфера. Дополнительную информацию см. в документации MySQL.

   Рекомендуется использовать значение параметра innodb_flush_log_at_trx_commit = 0, поскольку значения "1" или "2" отрицательно влияют на скорость работы MySQL. Убедитесь, что для параметра innodb_file_per_table установлено значение 1.

Установка Kaspersky Security Center Linux

В этом разделе описана установка Kaspersky Security Center Linux.

Перед установкой:

• Установите СУБД.
• Убедитесь, что на устройстве, на которое вы хотите установить Kaspersky Security Center Linux, работает один из поддерживаемых дистрибутивов Linux.

  Если вы используете операционную систему РЕД ОС 7.3.4 и выше или МСВСфера 9.2 и выше, установите пакет libxcrypt-compat для корректной работы Сервера администрирования.

Вам нужно использовать установочный файл ksc64_[номер_версии]_amd64.deb или ksc64-[номер_версии].x86_64.rpm, который соответствует дистрибутиву Linux, установленному на вашем устройстве. Вы получите установочный файл, загрузив его с сайта "Лаборатории Касперского".

Чтобы установить Kaspersky Security Center Linux, вам нужно выполнить команды, указанные в инструкции ниже, под учетной записью с правами root.

Чтобы установить Kaspersky Security Center Linux:

1. Создайте группу kladmins и непривилегированную учетную запись ksc. Учетная запись должна быть членом группы kladmins. Для этого последовательно выполните следующие команды:

   # adduser ksc

   # groupadd kladmins

   # gpasswd -a ksc kladmins

   # usermod -g kladmins ksc

2. Увеличьте установленное по умолчанию максимальное количество файлов, которые можно открывать (файловые дескрипторы) для учетных записей, используемых для работы служб Сервера администрирования. Для этого откройте файл /etc/security/limits.conf и укажите мягкие и жесткие ограничения файловых дескрипторов следующим образом:

   ksc soft nofile 32768

   ksc hard nofile 131072

3. Запустите установку Kaspersky Security Center Linux. В зависимости от вашего дистрибутива Linux выполните одну из следующих команд:
   • # apt install /<path>/ksc64_[номер_версии]_amd64.deb
   • # yum install /<path>/ksc64-[номер_версии].x86_64.rpm -y
4. Запустите настройку Kaspersky Security Center Linux:

   # /opt/kaspersky/ksc64/lib/bin/setup/postinstall.pl

5. Прочтите Лицензионное соглашение и Политику конфиденциальности. Текст отображается в окне командной строки. Нажмите пробел, чтобы просмотреть следующий фрагмент текста. При отображении запроса введите следующие значения:
   1. Введите y, если вы понимаете и принимаете условия Лицензионного соглашения. Введите n, если вы не принимаете условия Лицензионного соглашения. Чтобы использовать Kaspersky Security Center Linux, вам нужно принять условия Лицензионного соглашения.
   2. Введите y, если вы понимаете и принимаете условия Политики конфиденциальности и соглашаетесь, что ваши данные будут обрабатываться и пересылаться (в том числе в третьи страны), согласно Политике конфиденциальности. Введите n, если вы не принимаете условия Политики конфиденциальности. Чтобы использовать Kaspersky Security Center Linux, вам нужно принять условия Политики конфиденциальности.
6. При отображении запроса введите следующие параметры:
   1. Введите DNS-имя Сервера администрирования или статический IP-адрес. Этот адрес будет использоваться другими устройствами для подключения к Серверу администрирования.
   2. Введите номер SSL-порта Сервера администрирования. По умолчанию номер порта – 13000.
   3. Оцените примерное количество устройств, которыми вы планируете управлять:
      • Если у вас от 1 до 100 сетевых устройств, введите 1.
      • Если у вас от 101 до 1000 сетевых устройств, введите 2.
      • Если у вас более 1000 сетевых устройств, введите 3.
   4. Введите имя группы безопасности для служб. По умолчанию используется группа kladmins.
   5. Введите имя учетной записи для запуска службы Сервера администрирования. Учетная запись должна быть членом указанной группы безопасности. По умолчанию используется учетная запись ksc.
   6. Введите имя учетной записи, чтобы запустить другие службы. Учетная запись должна быть членом указанной группы безопасности. По умолчанию используется учетная запись ksc.
   7. Выберите СУБД, которую вы установили для работы с Kaspersky Security Center Linux:
      • Если вы установили MySQL или MariaDB, введите 1.
      • Если вы установили PostgreSQL или Postgres Pro SQL, введите 2.
   8. Введите DNS-имя или IP-адрес устройства, на котором установлена база данных. Для локальной установки СУБД адрес по умолчанию – 127.0.0.1.
   9. Введите номер порта базы данных. Этот порт используется для связи с Сервером администрирования. По умолчанию используются следующие порты:
      • порт 3306 для MySQL или MariaDB;
      • порт 5432 для PostgreSQL или Postgres Pro.
   10. Введите имя базы данных.
   11. Введите имя учетной записи root базы данных, которая используется для доступа к базе данных.
   12. Введите пароль учетной записи root базы данных, которая используется для доступа к базе данных.

       Подождите, пока службы добавятся и запустятся автоматически:

       • klnagent_srv
       • kladminserver_srv
       • klactprx_srv
       • klwebsrv_srv
   13. Создайте учетную запись, которая будет выполнять роль администратора Сервера администрирования. Введите имя пользователя и пароль.

       Пароль должен соответствовать следующим правилам:

       • Пароль пользователя не может содержать менее 8 или более 256 символов.
       • Пароль должен содержать символы как минимум трех групп списка ниже:
         • верхний регистр (A–Z);
         • нижний регистр (a–z);
         • числа (0–9);
         • специальные символы (@ # $ % ^ & * - _ ! + = [ ] { } | : ' , . ? / \ ` ~ " ( ) ;).

       Если вы пропустите этот шаг, позже вы можете использовать следующую команду для создания пользователя: /opt/kaspersky/ksc64/sbin/kladduser -n ksc -p <пароль>

Пользователь добавлен, и Kaspersky Security Center Linux установлен.

Проверка служб

Используйте следующие команды, чтобы проверить, запущена ли служба:

• # systemctl status klnagent_srv.service
• # systemctl status kladminserver_srv.service
• # systemctl status klactprx_srv.service
• # systemctl status klwebsrv_srv.service

Установка Kaspersky Security Center Linux в тихом режиме

Вы можете установить Kaspersky Security Center Linux на Linux-устройства, используя файл ответов для запуска установки в тихом режиме, то есть без участия пользователя. Файл ответов содержит настраиваемый набор параметров установки: переменные и соответствующие им значения.

Перед установкой:

• Установите систему управления базами данных (СУБД).
• Убедитесь, что на устройстве, на которое вы хотите установить Kaspersky Security Center Linux, работает один из поддерживаемых дистрибутивов Linux.

  Если вы используете операционную систему РЕД ОС 7.3.4 и выше или МСВСфера 9.2 и выше, установите пакет libxcrypt-compat для корректной работы Сервера администрирования.

Чтобы установить Kaspersky Security Center Linux в тихом режиме:

1. Прочитайте Лицензионное соглашение. Следуйте шагам ниже, только если вы понимаете и принимаете условия Лицензионного соглашения.
2. Создайте группу "kladmins" и непривилегированную учетную запись "ksc", которая должна быть членом группы "kladmins". Для этого последовательно выполните следующие команды под учетной записью с root-правами:

   # adduser ksc

   # groupadd kladmins

   # gpasswd -a ksc kladmins

   # usermod -g kladmins ksc

3. Создайте файл ответов (в формате TXT) и добавьте список переменных в формате VARIABLE_NAME=variable_value в файл ответов. Каждая переменная добавляется на отдельную строку. Файл ответов должен включать переменные, перечисленные в таблице ниже.
4. Задайте значение переменной среды KLAUTOANSWERS в корневой среде, содержащей полное имя файла ответов, включая путь, например, с помощью следующей команды:

   export KLAUTOANSWERS=/tmp/ksc_install/answers.txt

5. Запустите установку Kaspersky Security Center Linux в тихом режиме и в зависимости от вашего дистрибутива Linux выполните одну из следующих команд:
   • # apt install /<path>/ksc64_[номер_версии]_amd64.deb
   • # yum install /<path>/ksc64-[номер_версии].x86_64.rpm -y
6. Создайте учетную запись для работы с Kaspersky Security Center Web Console. Для этого выполните следующую команду под учетной записью с правами root:

   /opt/kaspersky/ksc64/sbin/kladduser -n ksc -p <пароль>, где пароль должен содержать хотя бы 8 символов.

   Переменные файла ответов, используемые в качестве параметров установки Kaspersky Security Center Linux в тихом режиме

   Имя переменной	Обязательная	Описание	Возможные значения
   EULA_ACCEPTED	Да	Подтверждает, что вы понимаете и принимаете условия Лицензионного соглашения.	1
   PP_ACCEPTED	Да	Подтверждает, что вы понимаете и принимаете условия Политики конфиденциальности.	1
   KLSRV_UNATT_SERVERADDRESS	Да	DNS-имя Сервера администрирования или статический IP-адрес.	DNS-имя устройства или IP-адрес.
   KLSRV_UNATT_PORT_SRV	Нет	Номер порта Сервера администрирования. Необязательный параметр. По умолчанию указано значение 14000.	Номер порта
   KLSRV_UNATT_PORT_SRV_SSL	Нет	Номер SSL-порта Сервера администрирования. Необязательный параметр. По умолчанию указано значение 13000.	Номер порта
   KLSRV_UNATT_PORT_KLOAPI	Нет	Номер KLOAPI-порта Сервера администрирования. Необязательный параметр. По умолчанию указано значение 13299.	Номер порта
   KLSRV_UNATT_PORT_GUI	Нет	Номер GUI-порта Сервера администрирования. Необязательный параметр. По умолчанию указано значение 13291.	Номер порта
   KLSRV_UNATT_NETRANGETYPE	Нет	Примерное количество устройств, которыми вы планируете управлять. Необязательный параметр. По умолчанию указано значение 1.	1 от 1 до 100 сетевых устройств. 2 от 101 до 1000 сетевых устройств. 3 более 1000 сетевых устройств.
   KLSRV_UNATT_DBMS_TYPE	Да	Тип системы управления базой данных: MySQL (MariaDB) или Postgres.	mysql или postgres
   KLSRV_UNATT_DBMS_INSTANCE	Да	IP-адрес сервера базы данных.	IP-адрес;
   KLSRV_UNATT_DBMS_PORT	Да	Порт сервера базы данных. Значение по умолчанию для MySQL (MariaDB) – 3306; для Postgres – 5432.	3306 или 5432
   KLSRV_UNATT_DB_NAME	Да	Имя базы данных.	kav
   KLSRV_UNATT_DBMS_LOGIN	Да	Имя пользователя, имеющего доступ к базе данных.
   KLSRV_UNATT_DBMS_PASSWORD	Да	Пароль пользователя, который имеет доступ к базе данных.
   KLSRV_UNATT_KLADMINSGROUP	Да	Имя группы безопасности для служб.	kladmins
   KLSRV_UNATT_KLSRVUSER	Да	Имя учетной записи для запуска службы Сервера администрирования. Учетная запись должна быть членом группы безопасности, указанной в переменной KLSRV_UNATT_KLADMINSGROUP.	ksc
   KLSRV_UNATT_KLSVCUSER	Да	Имя учетной записи для запуска других служб. Учетная запись должна быть членом группы безопасности, указанной в переменной KLSRV_UNATT_KLADMINSGROUP.	ksc
   Если Сервер администрирования будет развернут как отказоустойчивый кластер Kaspersky Security Center Linux, файл ответов должен включать следующие дополнительные переменные:
   KLFOC_UNATT_NODE	Да	Номер узла (1 или 2).	1 или 2
   KLFOC_UNATT_STATE_SHARE_MOUNT_PATH	Да	Точка подключения общей папки состояния.
   KLFOC_UNATT_DATA_SHARE_MOUNT_PATH	Да	Точка подключения общей папки данных.
   KLFOC_UNATT_CONN_MODE	Да	Режим подключения отказоустойчивого кластера.	VirtualAdapter Или ExternalLoadBalancer
   Если переменная KLFOC_UNATT_CONN_MODE имеет значение VirtualAdapter, файл ответов должен включать следующие дополнительные переменные:
   KLFOC_UNATT_CONN_MODE_VA_NAME	Да	Имя виртуального сетевого адаптера.
   KLFOC_UNATT_CONN_MODE_VA_IPV4	Требуется одна из этих переменных	IP-адрес виртуального сетевого адаптера.	IP-адрес;
   KLFOC_UNATT_CONN_MODE_VA_IPV6		IPv6-адрес виртуального сетевого адаптера.	IPv6-адрес.

Установка Kaspersky Security Center Linux на Astra Linux в режиме замкнутой программной среды

В этом разделе описывается, как установить Kaspersky Security Center Linux на устройство с операционной системой Astra Linux Special Edition.

Перед установкой:

• Установите СУБД.

• Загрузите ключ приложения kaspersky_astra_pub_key.gpg.

Используйте установочный файл ksc64_[номер_версии]_amd64.deb. Вы получите установочный файл, загрузив его с сайта "Лаборатории Касперского".

Под учетной записью с привилегиями root выполняйте команды, представленные в этой инструкции, с высокой степенью целостности и нулевой конфиденциальности.

Чтобы установить Kaspersky Security Center Linux на устройство с операционной системой Astra Linux Special Edition (очередное обновление 1.7.2) и Astra Linux Special Edition (очередное обновление 1.6):

1. Откройте файл /etc/digsig/digsig_initramfs.conf и укажите следующие параметры:

   DIGSIG_ELF_MODE=1

2. В командной строке введите следующую команду, чтобы установить пакет совместимости:

   apt install astra-digsig-oldkeys

3. Создайте директорию для ключа приложения:

   mkdir -p /etc/digsig/keys/legacy/kaspersky/

4. Поместите ключ приложения в директорию, созданную на предыдущем шаге:

   cp kaspersky_astra_pub_key.gpg /etc/digsig/keys/legacy/kaspersky/

5. Обновите исходный образ файловой системы RAM для всех ядер системы:

   update-initramfs -u -k all

   Перезагрузите систему.

6. Создайте группу kladmins и непривилегированную учетную запись ksc. Учетная запись должна быть членом группы kladmins. Для этого последовательно выполните следующие команды:

   # adduser ksc

   # groupadd kladmins

   # gpasswd -a ksc kladmins

   # usermod -g kladmins ksc

7. Запустите установку Kaspersky Security Center Linux:

   # apt install /<path>/ksc64_[номер_версии]_amd64.deb

8. Запустите настройку Kaspersky Security Center Linux:

   # /opt/kaspersky/ksc64/lib/bin/setup/postinstall.pl

9. Прочтите Лицензионное соглашение и Политику конфиденциальности. Текст отображается в окне командной строки. Нажмите пробел, чтобы просмотреть следующий фрагмент текста. При отображении запроса введите следующие значения:
   1. Введите y, если вы понимаете и принимаете условия Лицензионного соглашения. Введите n, если вы не принимаете условия Лицензионного соглашения. Чтобы использовать Kaspersky Security Center Linux, вам нужно принять условия Лицензионного соглашения.
   2. Введите y, если вы понимаете и принимаете условия Политики конфиденциальности и соглашаетесь, что ваши данные будут обрабатываться и пересылаться (в том числе в третьи страны), согласно Политике конфиденциальности. Введите n, если вы не принимаете условия Политики конфиденциальности. Чтобы использовать Kaspersky Security Center Linux, вам нужно принять условия Политики конфиденциальности.
10. При отображении запроса введите следующие параметры:
    1. Введите DNS-имя Сервера администрирования или статический IP-адрес.
    2. Введите номер порта Сервера администрирования. По умолчанию номер порта – 14000.
    3. Введите номер SSL-порта Сервера администрирования. По умолчанию номер порта – 13000.
    4. Оцените примерное количество устройств, которыми вы планируете управлять:
       • Если у вас от 1 до 100 сетевых устройств, введите 1.
       • Если у вас от 101 до 1000 сетевых устройств, введите 2.
       • Если у вас более 1000 сетевых устройств, введите 3.
    5. Введите имя группы безопасности для служб. По умолчанию используется группа kladmins.
    6. Введите имя учетной записи для запуска службы Сервера администрирования. Учетная запись должна быть членом указанной группы безопасности. По умолчанию используется учетная запись ksc.
    7. Введите имя учетной записи, чтобы запустить другие службы. Учетная запись должна быть членом указанной группы безопасности. По умолчанию используется учетная запись ksc.
    8. Введите IP-адрес устройства, на котором установлена база данных.
    9. Введите номер порта базы данных. Этот порт используется для связи с Сервером администрирования. По умолчанию номер порта – 3306.
    10. Введите имя базы данных.
    11. Введите имя учетной записи root базы данных, которая используется для доступа к базе данных.
    12. Введите пароль учетной записи root базы данных, которая используется для доступа к базе данных.

        Подождите, пока службы добавятся и запустятся автоматически:

        • klnagent_srv
        • kladminserver_srv
        • klactprx_srv
        • klwebsrv_srv
    13. Создайте учетную запись, которая будет выполнять роль администратора Сервера администрирования. Введите имя пользователя и пароль.

        Пароль должен соответствовать следующим правилам:

        • Пароль пользователя должен содержать не менее 8 символов, но не более 256.
        • Пароль должен содержать символы как минимум трех групп списка ниже:
          • верхний регистр (A–Z);
          • нижний регистр (a–z);
          • числа (0–9);
          • специальные символы (@ # $ % ^ & * - _ ! + = [ ] { } | : ' , . ? / \ ` ~ " ( ) ;).

Приложение Kaspersky Security Center Linux установлено и пользователь добавлен.

Проверка служб

Используйте следующие команды, чтобы проверить, запущена ли служба:

• # systemctl status klnagent_srv.service
• # systemctl status kladminserver_srv.service
• # systemctl status klactprx_srv.service
• # systemctl status klwebsrv_srv.service

Установка Kaspersky Security Center Web Console

В этом разделе описано, как установить Сервер Kaspersky Security Center Web Console (далее также Kaspersky Security Center Web Console) на устройства с операционными системами Linux. Сначала необходимо установить СУБД и Сервер администрирования Kaspersky Security Center Linux.

Если вы устанавливаете Kaspersky Security Center Web Console на Astra Linux в режиме замкнутой программной среды, следуйте инструкциям для Astra Linux.

Используйте один из следующих установочных файлов, соответствующих дистрибутиву Linux, установленному на вашем устройстве:

• Для Debian: ksc-web-console-[номер_сборки].x86_64.deb.
• Для операционных систем на базе RPM: ksc-web-console-[номер_сборки].x86_64.rpm.
• Для Альт 8 СП: ksc-web-console-[номер_сборки]-alt8p.x86_64.rpm.

Вы получите установочный файл, загрузив его с сайта "Лаборатории Касперского".

Чтобы установить Kaspersky Security Center Web Console:

1. Убедитесь, что на устройстве, на которое вы хотите установить Kaspersky Security Center Web Console, работает один из поддерживаемых дистрибутивов Linux.
2. Прочитайте Лицензионное соглашение. Если в состав дистрибутива Kaspersky Security Center Linux не входит TXT файл с текстом Лицензионного соглашения, вы можете загрузить этот файл с сайта "Лаборатории Касперского". Если вы не согласны с условиями Лицензионного соглашения, не устанавливайте приложение.
3. Создайте файл ответов, который содержит параметры для подключения Kaspersky Security Center Web Console к Серверу администрирования. Назовите этот файл ksc-web-console-setup.json и расположите его в следующей директории: /etc/ksc-web-console-setup.json.

   Пример файла ответов, содержащего минимальный набор параметров, адрес и порт по умолчанию:

   {

   "address": "127.0.0.1",

   "port": 8080,

   "trusted": "127.0.0.1|13299|/var/opt/kaspersky/klnagent_srv/1093/cert/klserver.cer|KSC Server",

   "acceptEula": true

   }

   Рекомендуется указывать номера портов больше 1024. Если вы хотите, чтобы приложение Kaspersky Security Center Web Console работало на портах ниже 1024, после установки вам нужно выполнить следующую команду:

   sudo setcap 'cap_net_bind_service=+ep' /var/opt/kaspersky/ksc-web-console/node

   При установке Kaspersky Security Center Web Console на устройство с операционной системой ALT Linux необходимо указать номер порта, отличный от 8080, так как порт 8080 используется операционной системой.

   Приложение Kaspersky Security Center Web Console не может быть обновлено с помощью того же установочного файла .rpm. Если вы хотите изменить параметры файла ответов и использовать этот файл для переустановки приложения, вам нужно сначала удалить приложение, а затем установить его снова с новым файлом ответов.

4. Под учетной записью с привилегиями root используйте командную строку для запуска установочного файла с расширением .deb или .rpm, в зависимости от вашего дистрибутива Linux.
   • Чтобы установить или обновить предыдущую версию Kaspersky Security Center Web Console из файла .deb, выполните следующую команду:

     $ sudo dpkg -i ksc-web-console-[номер_версии].x86_64.deb

   • Чтобы установить Kaspersky Security Center Web Console из файла .rpm, выполните одну из следующих команд:

     $ sudo rpm -ivh --nodeps ksc-web-console-[номер_сборки].x86_64.rpm

     Или

     $ sudo alien -i ksc-web-console-[номер_сборки].x86_64.rpm

   • Чтобы обновить предыдущую версию Kaspersky Security Center Web Console, выполните одну из следующих команд:
     • Для устройств с операционными системами RPM:

       $ sudo rpm -Uvh --nodeps --force ksc-web-console-[номер_сборки].x86_64.rpm

     • Для устройств с операционными системами Debian:

       $ sudo dpkg -i ksc-web-console-[номер_сборки].x86_64.deb

   Начнется распаковка установочного файла. Пожалуйста, дождитесь завершения установки. Kaspersky Security Center Web Console устанавливается в следующую директорию: /var/opt/kaspersky/ksc-web-console.

5. Перезапустите все службы Kaspersky Security Center Web Console, выполнив следующую команду:

   $ sudo systemctl restart KSC*

После завершения установки вы можете использовать браузер, чтобы открыть Kaspersky Security Center Web Console и осуществить вход.

Параметры установки Kaspersky Security Center Web Console

Для установки Сервера Kaspersky Security Center Web Console на устройства с операционными системами Linux необходимо создать файл ответов (файл .json), который содержит параметры подключения Kaspersky Security Center Web Console к Серверу администрирования.

Пример файла ответов, содержащего минимальный набор параметров, адрес и порт по умолчанию:

{

"address": "127.0.0.1",

"port": 8080,

"defaultLangId": 1049,

"enableLog": false,

"trusted": "127.0.0.1|13299|/var/opt/kaspersky/klnagent_srv/1093/cert/klserver.cer|KSC Server",

"acceptEula": true,

"certPath": "/var/opt/kaspersky/klnagent_srv/1093/cert/klserver.cer",

"webConsoleAccount": "Группа1:Пользователь1",

"managementServiceAccount": "Группа1:Пользователь2",

"serviceWebConsoleAccount": "Группа1:Пользователь3",

"pluginAccount": "Группа1:Пользователь4",

"messageQueueAccount": "Группа1:Пользователь5"

}

Рекомендуется указывать номера портов больше 1024. Если вы хотите, чтобы приложение Kaspersky Security Center Web Console работало на портах ниже 1024, после установки вам нужно выполнить следующую команду:

sudo setcap 'cap_net_bind_service=+ep' /var/opt/kaspersky/ksc-web-console/node

При установке Kaspersky Security Center Web Console на устройство с операционной системой ALT Linux необходимо указать номер порта, отличный от 8080, так как порт 8080 используется операционной системой.

В таблице ниже описаны параметры, которые можно указать в файле ответов.

Параметры установки Kaspersky Security Center Web Console на устройствах с операционными системами Linux

Если вы указываете параметры webConsoleAccount, managementServiceAccount, serviceWebConsoleAccount, pluginAccount или messageQueueAccount, убедитесь, что настраиваемые учетные записи пользователей принадлежат к одной и той же группе безопасности. Если эти параметры не указаны, установщик Kaspersky Security Center Web Console создает группу безопасности по умолчанию, а затем создает в этой группе учетные записи пользователей с именами по умолчанию.

Установка Kaspersky Security Center Web Console на Astra Linux в режиме замкнутой программной среды

В этом разделе описано, как установить Сервер Kaspersky Security Center Web Console (далее также Kaspersky Security Center Web Console) на устройства с операционной системой Astra Linux Special Edition. Сначала необходимо установить СУБД и Сервер администрирования Kaspersky Security Center Linux.

Чтобы установить Kaspersky Security Center Web Console:

1. Убедитесь, что на устройстве, на которое вы хотите установить Kaspersky Security Center Web Console, работает один из поддерживаемых дистрибутивов Linux.
2. Прочитайте Лицензионное соглашение. Если в состав дистрибутива Kaspersky Security Center Linux не входит TXT файл с текстом Лицензионного соглашения, вы можете загрузить этот файл с сайта "Лаборатории Касперского". Если вы не согласны с условиями Лицензионного соглашения, не устанавливайте приложение.
3. Создайте файл ответов, который содержит параметры для подключения Kaspersky Security Center Web Console к Серверу администрирования. Назовите этот файл ksc-web-console-setup.json и расположите его в следующей директории: /etc/ksc-web-console-setup.json.

   Пример файла ответов, содержащего минимальный набор параметров, адрес и порт по умолчанию:

   {

   "address": "127.0.0.1",

   "port": 8080,

   "trusted": "127.0.0.1|13299|/var/opt/kaspersky/klnagent_srv/1093/cert/klserver.cer|KSC Server",

   "acceptEula": true

   }

4. Откройте файл /etc/digsig/digsig_initramfs.conf и укажите следующие параметры:

   DIGSIG_ELF_MODE=1

5. В командной строке введите следующую команду, чтобы установить пакет совместимости:

   apt install astra-digsig-oldkeys

6. Создайте директорию для ключа приложения:

   mkdir -p /etc/digsig/keys/legacy/kaspersky/

7. Поместите ключ приложения /opt/kaspersky/ksc64/share/kaspersky_astra_pub_key.gpg в директорию, созданную на предыдущем шаге:

   cp kaspersky_astra_pub_key.gpg /etc/digsig/keys/legacy/kaspersky/

   Если в комплект поставки Kaspersky Security Center Linux не входит ключ kaspersky_astra_pub_key.gpg, вы можете загрузить этот ключ по ссылке https://media.kaspersky.com/utilities/CorporateUtilities/kaspersky_astra_pub_key.gpg.

8. Обновите оперативную память дисков:

   update-initramfs -u -k all

   Перезагрузите систему.

9. Под учетной записью с правами root используйте командную строку для запуска установочного файла. Вы получите установочный файл, загрузив его с сайта "Лаборатории Касперского".
   • Чтобы установить или обновить предыдущую версию Kaspersky Security Center Web Console, выполните следующую команду:

     $ sudo dpkg -i ksc-web-console-[номер_версии].x86_64.deb

   • Чтобы обновить предыдущую версию Kaspersky Security Center Web Console, выполните следующую команду:

     $ sudo dpkg -i ksc-web-console-[номер_сборки].x86_64.deb

   Начнется распаковка установочного файла. Пожалуйста, дождитесь завершения установки. Kaspersky Security Center Web Console устанавливается в следующую директорию: /var/opt/kaspersky/ksc-web-console.

10. Перезапустите все службы Kaspersky Security Center Web Console, выполнив следующую команду:

    $ sudo systemctl restart KSC*

После завершения установки вы можете использовать браузер, чтобы открыть Kaspersky Security Center Web Console и осуществить вход.

Развертывание отказоустойчивого кластера Kaspersky Security Center Linux

Этот раздел содержит общую информацию об отказоустойчивом кластере Kaspersky Security Center Linux, а также инструкции по подготовке и развертыванию отказоустойчивого кластера Kaspersky Security Center Linux в вашей сети.

Сценарий: развертывание отказоустойчивого кластера Kaspersky Security Center Linux

Отказоустойчивый кластер Kaspersky Security Center Linux обеспечивает высокую доступность Kaspersky Security Center Linux и минимизирует простои Сервера администрирования в случае сбоя. Отказоустойчивый кластер основан на двух идентичных экземплярах Kaspersky Security Center Linux, установленных на двух компьютерах. Один из экземпляров работает как активный узел, а другой – как пассивный. Активный узел управляет защитой клиентских устройств, в то время как пассивный готов взять на себя все функции активного узла в случае отказа активного узла. Когда происходит сбой, пассивный узел становится активным, а активный узел становится пассивным.

Предварительные требования

У вас есть оборудование, соответствующее требованиям для отказоустойчивого кластера.

Развертывание приложений "Лаборатории Касперского" состоит из следующих этапов:

1. Подготовка файлового сервера

   Подготовьте файловый сервер к работе в составе отказоустойчивого кластера Kaspersky Security Center Linux. Убедитесь, что файловый сервер соответствует аппаратным и программным требованиям, создайте две общие папки для данных Kaspersky Security Center Linux и настройте права доступа к общим папкам.

   Инструкции: Подготовка файлового сервера для отказоустойчивого кластера Kaspersky Security Center Linux.

2. Подготовка активного и пассивного узлов

   Подготовьте два компьютера с идентичным аппаратным и программным обеспечением для работы в качестве активного и пассивного узлов.

   Инструкции: Подготовка узлов для отказоустойчивого кластера Kaspersky Security Center Linux.

3. Создание учетных записей для служб Kaspersky Security Center Linux

   Выполните следующие шаги на активном узле, пассивном узле и файловом сервере:

   1. Создайте группу с именем "kladmins" и назначьте один и тот же GID всем трем группам.
   2. Создайте учетную запись с именем "ksc" и назначьте один и тот же UID всем трем учетным записям пользователей. Для созданных учетных записей укажите в качестве основной группы kladmins.
   3. Создайте учетную запись с именем "rightless" и назначьте один и тот же UID всем трем учетным записям пользователей. Для созданных учетных записей укажите в качестве основной группы kladmins.
4. Установка системы управления базами данных (СУБД)

   У вас есть два варианта:

   • Если вы хотите использовать MariaDB Galera Cluster, выделенный компьютер для СУБД не требуется. Установите кластер MariaDB Galera на каждый из узлов.
   • Если вы хотите использовать любую другую поддерживаемую СУБД, установите выбранную СУБД на выделенный компьютер.
5. Установка Kaspersky Security Center Linux

   Установите Kaspersky Security Center Linux в режиме отказоустойчивого кластера на оба узла. Сначала необходимо установить Kaspersky Security Center Linux на активный узел, а затем установить его на пассивный.

   Также вы можете установить Kaspersky Security Center Web Console на отдельном устройстве, не являющемся узлом кластера.

6. Тестирование отказоустойчивого кластера

   Убедитесь, что вы правильно настроили отказоустойчивый кластер и правильно ли он работает. Например, вы можете остановить одну из служб Kaspersky Security Center Linux на активном узле: kladminserver, klnagent, ksnproxy, klactprx или klwebsrv. После остановки службы управление защитой должно быть автоматически переключено на пассивный узел.

Результаты

Отказоустойчивый кластер Kaspersky Security Center Linux развернут. Пожалуйста, ознакомьтесь с событиями, которые приводят к переключению между активными и пассивными узлами.

Об отказоустойчивом кластере Kaspersky Security Center Linux

Отказоустойчивый кластер Kaspersky Security Center Linux обеспечивает высокую доступность Kaspersky Security Center Linux и минимизирует простои Сервера администрирования в случае сбоя. Отказоустойчивый кластер основан на двух идентичных экземплярах Kaspersky Security Center Linux, установленных на двух компьютерах. Один из экземпляров работает как активный узел, а другой – как пассивный. Активный узел управляет защитой клиентских устройств, в то время как пассивный готов взять на себя все функции активного узла в случае отказа активного узла. Когда происходит сбой, пассивный узел становится активным, а активный узел становится пассивным.

На отказоустойчивом кластере Kaspersky Security Center Linux все службы Kaspersky Security Center Linux управляются автоматически. Не пытайтесь перезапускать службы вручную.

Аппаратные и программные требования

Для развертывания отказоустойчивого кластера Kaspersky Security Center Linux у вас должно быть следующее оборудование:

• Два компьютера с одинаковым оборудованием и программным обеспечением. Эти компьютеры будут действовать как активный и пассивный узлы.
• Файловый сервер под управлением Linux с файловой системой EXT4. Вам нужно предоставить выделенный компьютер, который будет выступать в качестве файлового сервера.

  Убедитесь, что вы обеспечили высокую пропускную способность сети между файловым сервером, активным и пассивным узлами.

• Компьютер с поддерживаемой системой управления базами данных (СУБД). Если вы используете MariaDB Galera Cluster в качестве СУБД, выделенный компьютер для этой цели не требуется.

Схемы развертывания

Вы можете выбрать одну из следующих схем развертывания отказоустойчивого кластера Kaspersky Security Center Linux:

• Схема, в которой используется дополнительный сетевой адаптер.
• Схема, в которой используется сторонняя балансировка нагрузки.

  

  Схема, в которой используется дополнительный сетевой адаптер

Условные обозначения схемы:

Сервер администрирования передает данные в базу данных. Откройте необходимые порты на устройстве, на котором расположена база данных, например порт 3306 для MySQL Server или порт 5432 для PostgreSQL или Postgres Pro. Подробную информацию см. в документации СУБД.

На управляемых устройствах откройте следующие порты: TCP 13000, UDP 13000 и TCP 17000.

Компьютер с системой управления базами данных (СУБД). Если вы используете MariaDB Galera Cluster в качестве СУБД, выделенный компьютер для этой цели не требуется. Установите кластер MariaDB Galera на каждый из узлов.

Схема, в которой используется сторонняя балансировка нагрузки

Условные обозначения схемы:

На сервере устройства балансировки нагрузки откройте все порты Сервера администрирования: TCP 13000, UDP 13000, TCP 13291, TCP 13299 и TCP 17000.

На управляемых устройствах откройте следующие порты: TCP 13000, UDP 13000 и TCP 17000.

Сервер администрирования передает данные в базу данных. Откройте необходимые порты на устройстве, на котором расположена база данных, например порт 3306 для MySQL Server или порт 5432 для PostgreSQL или Postgres Pro. Подробную информацию см. в документации СУБД.

Компьютер с системой управления базами данных (СУБД). Если вы используете MariaDB Galera Cluster в качестве СУБД, выделенный компьютер для этой цели не требуется. Установите кластер MariaDB Galera на каждый из узлов.

Условия переключения

Отказоустойчивый кластер переключает управление защитой клиентских устройств с активного узла на пассивный, если на активном узле происходит любое из следующих событий:

• Активный узел сломан из-за программного или аппаратного сбоя.
• Активный узел был временно остановлен для проведения технических работ.
• По крайней мере, одна из служб (или процессов) Kaspersky Security Center Linux завершилась с ошибкой или была намеренно остановлена пользователем. К службам Kaspersky Security Center Linux относятся: kladminserver, klnagent, klactprx и klwebsrv.
• Сетевое соединение между активным узлом и хранилищем на файловом сервере было прервано или разорвано.

Подготовка файлового сервера для отказоустойчивого кластера Kaspersky Security Center Linux

Файловый сервер работает как обязательный компонент отказоустойчивого кластера Kaspersky Security Center Linux.

Чтобы подготовить файловый сервер:

1. Убедитесь, что файловый сервер соответствует аппаратным и программным требованиям.
2. Установите и настройте NFS-сервер:
   • Доступ к файловому серверу должен быть включен для обоих узлов в параметрах NFS-сервера.
   • NFS-протокол должен иметь версию 4.0 или 4.1.
   • Минимальные требования для ядра Linux:
     • 3.19.0-25, если вы используете NFS 4.0;
     • 4.4.0-176, если вы используете NFS 4.1.
3. На файловом сервере создайте две папки и дайте доступ к ним с помощью NFS. Один из них используется для хранения информации о состоянии отказоустойчивого кластера. Другая используется для хранения данных и параметров Kaspersky Security Center Linux. Вам нужно будет указать пути к общим папкам при установке Kaspersky Security Center Linux.

   В зависимости от вашего дистрибутива Linux установите либо пакет nfs-utils, либо пакет nfs-kernel-server, выполнив соответствующую команду:

   sudo yum install nfs-utils

   sudo apt install nfs-kernel-server

   Выполните следующие команды:

   sudo mkdir -p /mnt/KlFocStateShare

   sudo mkdir -p /mnt/KlFocDataShare_klfoc

   sudo chown ksc:kladmins /mnt/KlFocStateShare

   sudo chown ksc:kladmins /mnt/KlFocDataShare_klfoc

   sudo chmod -R 777 /mnt/KlFocStateShare /mnt/KlFocDataShare_klfoc

   sudo sh -c "echo /mnt/KlFocStateShare *\(rw,sync,no_subtree_check,no_root_squash\) >> /etc/exports"

   sudo sh -c "echo /mnt/KlFocDataShare_klfoc *\(rw,sync,no_subtree_check,no_root_squash\) >> /etc/exports"

   sudo exportfs -a

   sudo systemctl start rpcbind

   sudo service nfs start

   Включите автозапуск, выполнив следующую команду:

   sudo systemctl enable rpcbind

4. Перезапустите файловый сервер.

Файловый сервер подготовлен. Чтобы развернуть отказоустойчивый кластер Kaspersky Security Center Linux, следуйте инструкциям этого сценария.

Подготовка узлов для отказоустойчивого кластера Kaspersky Security Center Linux

Подготовьте два компьютера к работе в качестве активного и пассивного узла для отказоустойчивого кластера Kaspersky Security Center Linux.

Чтобы подготовить узлы для отказоустойчивого кластера Kaspersky Security Center Linux:

1. Убедитесь, что у вас есть два компьютера, соответствующих аппаратным и программным требованиям. Эти компьютеры будут действовать как активные и пассивные узлы отказоустойчивого кластера.
2. В зависимости от вашего дистрибутива Linux установите либо пакет nfs-utils, либо пакет nfs-kernel-server на каждом узле, выполнив соответствующую команду:

   sudo yum install nfs-utils

   sudo apt install nfs-kernel-server

3. Создайте точки подключения, выполнив следующие команды:

   sudo mkdir -p /mnt/KlFocStateShare

   sudo mkdir -p /mnt/KlFocDataShare_klfoc

4. Сопоставьте точки подключения и общие папки:

   sudo sh -c "echo {сервер}:{путь к папке KlFocStateShare} /mnt/KlFocStateShare nfs vers=4,auto,user,rw 0 0 >> /etc/fstab"

   sudo sh -c "echo {сервер}:{путь к папке KlFocDataShare_klfoc folder} /mnt/KlFocDataShare_klfoc nfs vers=4,noauto,user,rw,exec 0 0 >> /etc/fstab"

   Здесь {сервер}:{путь к папке KlFocStateShare} и {сервер }:{путь к папке KlFocDataShare_klfoc} – сетевые пути к общим папкам на файловом сервере.

5. Подключите общие папки, выполнив следующие команды:

   mount /mnt/KlFocStateShare

   mount /mnt/KlFocDataShare_klfoc

6. Убедитесь, что разрешения на доступ к общим папкам принадлежат ksc:kladmins.

   Выполните следующую команду:

   sudo ls -la /mnt/

7. На каждом из узлов настройте дополнительный сетевой адаптер.

   Дополнительный сетевой адаптер может быть физическим или виртуальным. Если вы хотите использовать физический сетевой адаптер, подключите и настройте его с помощью стандартных инструментов операционной системы. Если вы хотите использовать виртуальный сетевой адаптер, создайте его с помощью приложений сторонних производителей.

   Выполните одно из следующих действий:

   • Используйте виртуальный сетевой адаптер.
     1. Введите следующую команду, чтобы убедиться, что NetworkManager используется для управления физическим адаптером:

        nmcli device status

        Если в выходных данных физический адаптер отображается как неуправляемый, настройте NetworkManager для управления физическим адаптером. Точные шаги настройки зависят от вашего дистрибутива.

     2. Используйте следующую команду для идентификации интерфейсов:

        ip a

     3. Создайте конфигурационный профиль:

        nmcli connection add type macvlan dev <физический интерфейс> mode bridge ifname <виртуальный интерфейс> ipv4.addresses <маска адреса> ipv4.method manual autoconnect no

   • Используйте физический сетевой адаптер или гипервизор. В этом случае отключите программное обеспечение NetworkManager.
     1. Удалите соединения NetworkManager для целевого интерфейса:

        nmcli con del <название соединения>

        Используйте следующую команду, чтобы проверить, есть ли подключения к целевому интерфейсу:

        nmcli con show

     2. Измените файл NetworkManager.conf. Найдите раздел файла ключа и назначьте целевой интерфейс параметру unmanaged-devices.

        [keyfile]

        unmanaged-devices=interface-name:<имя интерфейса>

     3. Перезапустите NetworkManager:

        systemctl reload NetworkManager

        Чтобы проверить, что целевой интерфейс больше не является управляемым, используйте следующую команду:

        nmcli dev status

   • Используйте сторонний балансировщик нагрузки. Например, вы можете использовать сервер nginx. В этом случае сделайте следующее:
     1. Предоставьте выделенный компьютер с операционной системой Linux с установленным nginx.
     2. Настройте балансировку нагрузки. Установите активный узел в качестве основного сервера и пассивный узел в качестве резервного сервера.
     3. На сервере nginx откройте все порты Сервера администрирования: TCP 13000, UDP 13000, TCP 13291, TCP 13299 и TCP 17000.

Узлы подготовлены. Чтобы развернуть отказоустойчивый кластер Kaspersky Security Center Linux, следуйте инструкциям сценария.

Установка Kaspersky Security Center Linux на узлы отказоустойчивого кластера Kaspersky Security Center Linux

Эта процедура описывает, как установить Kaspersky Security Center Linux на узлы отказоустойчивого кластера Kaspersky Security Center Linux. Kaspersky Security Center Linux устанавливается на оба узла отказоустойчивого кластера Kaspersky Security Center Linux по отдельности. Сначала вы устанавливаете приложение на активный узел, затем на пассивный. Во время установки вы выбираете, какой узел будет активным, а какой пассивным.

Используйте установочный файл ksc64_[номер_версии]_amd64.deb или ksc64-[номер_версии].x86_64.rpm, который соответствует дистрибутиву Linux, установленному на вашем устройстве. Вы получите установочный файл, загрузив его с сайта "Лаборатории Касперского".

Установка на основной (активный) узел

Чтобы установить Kaspersky Security Center Linux на основном узле:

1. Убедитесь, что на устройстве, на которое вы хотите установить Kaspersky Security Center Linux, работает один из поддерживаемых дистрибутивов Linux.
2. В командной строке выполните команды, представленные в этой инструкции.
3. Запустите установку Kaspersky Security Center Linux. В зависимости от вашего дистрибутива Linux выполните одну из следующих команд:
   • sudo apt install /<path>/ksc64_[номер_версии]_amd64.deb
   • sudo yum install /<path>/ksc64-[номер_версии].x86_64.rpm -y
4. Запустите настройку Kaspersky Security Center Linux:

   sudo /opt/kaspersky/ksc64/lib/bin/setup/postinstall.pl

5. Прочтите Лицензионное соглашение и Политику конфиденциальности. Текст отображается в окне командной строки. Нажмите пробел, чтобы просмотреть следующий фрагмент текста. При отображении запроса введите следующие значения:
   1. Введите y, если вы понимаете и принимаете условия Лицензионного соглашения. Введите n, если вы не принимаете условия Лицензионного соглашения. Чтобы использовать Kaspersky Security Center Linux, вам нужно принять условия Лицензионного соглашения.
   2. Введите y, если вы понимаете и принимаете условия Политики конфиденциальности и соглашаетесь, что ваши данные будут обрабатываться и пересылаться (в том числе в третьи страны), согласно Политике конфиденциальности. Введите n, если вы не принимаете условия Политики конфиденциальности. Чтобы использовать Kaspersky Security Center Linux, вам нужно принять условия Политики конфиденциальности.
6. Выберите значение Основной узел кластера, в качестве режима установки Сервера администрирования.
7. При отображении запроса введите следующие параметры:
   1. Введите локальный путь к точке подключения общей папки состояния.
   2. Введите локальный путь к точке подключения общей папки данных.
   3. Выберите режим подключения отказоустойчивого кластера: через дополнительный сетевой адаптер или внешний балансировщик нагрузки.
   4. Если вы используете дополнительный сетевой адаптер, введите его имя.
   5. При появлении запроса на ввод DNS-имени или статического IP-адреса Сервера администрирования введите IP-адрес дополнительного сетевого адаптера или IP-адрес внешнего балансировщика нагрузки.
   6. Введите номер SSL-порта Сервера администрирования. По умолчанию номер порта – 13000.
   7. Оцените примерное количество устройств, которыми вы планируете управлять:
      • Если у вас от 1 до 100 сетевых устройств, введите 1.
      • Если у вас от 101 до 1000 сетевых устройств, введите 2.
      • Если у вас более 1000 сетевых устройств, введите 3.
   8. Введите имя группы безопасности для служб. По умолчанию используется группа kladmins.
   9. Введите имя учетной записи для запуска службы Сервера администрирования. Учетная запись должна быть членом указанной группы безопасности. По умолчанию используется учетная запись ksc.
   10. Введите имя учетной записи, чтобы запустить другие службы. Учетная запись должна быть членом указанной группы безопасности. По умолчанию используется учетная запись ksc.
   11. Выберите СУБД, которую вы установили для работы с Kaspersky Security Center Linux:
       • Если вы установили MySQL или MariaDB, введите 1.
       • Если вы установили PostgreSQL или Postgres Pro SQL, введите 2.
   12. Введите DNS-имя или IP-адрес устройства, на котором установлена база данных.
   13. Введите номер порта базы данных. Этот порт используется для связи с Сервером администрирования. По умолчанию используются следующие порты:
       • порт 3306 для MySQL или MariaDB;
       • порт 5432 для PostgreSQL или Postgres Pro.
   14. Введите имя базы данных.
   15. Введите имя учетной записи root базы данных, которая используется для доступа к базе данных.
   16. Введите пароль учетной записи root базы данных, которая используется для доступа к базе данных.
8. Подождите, пока службы добавятся и запустятся автоматически:
   • klfocsvc_klfoc
   • kladminserver_klfoc
   • klwebsrv_klfoc
   • klactprx_klfoc
   • klnagent_klfoc
9. Создайте учетную запись, которая будет выполнять роль администратора Сервера администрирования. Введите имя пользователя и пароль. Пароль пользователя не может содержать менее 8 или более 256 символов.

Пользователь добавлен, и Kaspersky Security Center Linux установлен на первичном узле.

Установка на вторичном (пассивном) узле

Чтобы установить Kaspersky Security Center Linux на вторичный узел:

1. Убедитесь, что на устройстве, на которое вы хотите установить Kaspersky Security Center Linux, работает один из поддерживаемых дистрибутивов Linux.
2. В командной строке выполните команды, представленные в этой инструкции.
3. Запустите установку Kaspersky Security Center Linux. В зависимости от вашего дистрибутива Linux выполните одну из следующих команд:
   • sudo apt install /<path>/ksc64_[номер_версии]_amd64.deb
   • sudo yum install /<path>/ksc64-[номер_версии].x86_64.rpm -y
4. Запустите настройку Kaspersky Security Center Linux:

   sudo /opt/kaspersky/ksc64/lib/bin/setup/postinstall.pl

5. Прочтите Лицензионное соглашение и Политику конфиденциальности. Текст отображается в окне командной строки. Нажмите пробел, чтобы просмотреть следующий фрагмент текста. При отображении запроса введите следующие значения:
   1. Введите y, если вы понимаете и принимаете условия Лицензионного соглашения. Введите n, если вы не принимаете условия Лицензионного соглашения. Чтобы использовать Kaspersky Security Center Linux, вам нужно принять условия Лицензионного соглашения.
   2. Введите y, если вы понимаете и принимаете условия Политики конфиденциальности и соглашаетесь, что ваши данные будут обрабатываться и пересылаться (в том числе в третьи страны), согласно Политике конфиденциальности. Введите n, если вы не принимаете условия Политики конфиденциальности. Чтобы использовать Kaspersky Security Center Linux, вам нужно принять условия Политики конфиденциальности.
6. Выберите Вторичный узел кластера как режим установки Сервера администрирования.
7. При появлении запроса введите локальный путь к точке подключения общей папки состояния.

Приложение Kaspersky Security Center Linux установлено на вторичном узле.

Проверка служб

Используйте следующие команды, чтобы проверить, запущена ли служба:

• systemctl status klnagent_srv.service
• systemctl status kladminserver_srv.service
• systemctl status klactprx_srv.service
• systemctl status klwebsrv_srv.service

Теперь вы можете протестировать отказоустойчивый кластер Kaspersky Security Center Linux, чтобы убедиться, что вы корректно его настроили и кластер работает правильно.

Установка Kaspersky Security Center Web Console, подключенной к Серверу администрирования, установленного на узлах отказоустойчивого кластера Kaspersky Security Center Linux

В этом разделе описывается установка Сервера Kaspersky Security Center Web Console (далее также Kaspersky Security Center Web Console), который подключается к Серверу администрирования, установленному на узлах отказоустойчивого кластера Kaspersky Security Center Linux или Microsoft. Перед установкой Kaspersky Security Center Web Console установите СУБД и Сервер администрирования Kaspersky Security Center Linux на узлы отказоустойчивого кластера Kaspersky Security Center Linux.

Чтобы установить Kaspersky Security Center Web Console, которая подключается к Серверу администрирования, установленному на узлах отказоустойчивого кластера Kaspersky Security Center Linux:

1. Выполните шаг 1 и шаг 2 из раздела Установка Kaspersky Security Center Web Console.
2. На шаге 3 в файле ответов, укажите доверенный параметр установки, разрешающий отказоустойчивому кластеру Kaspersky Security Center Linux подключаться к Kaspersky Security Center Web Console. Строковое значение этого параметра имеет следующий формат:

   "trusted": "server address|port|certificate path|server name"

   Укажите компоненты доверенного параметра установки:

   • Адрес Сервера администрирования. Если вы создали дополнительный сетевой адаптер при подготовке узлов кластера, используйте IP-адрес адаптера в качестве адреса отказоустойчивого кластера Kaspersky Security Center Linux. В противном случае укажите IP-адрес стороннего балансировщика нагрузки, который вы используете.
   • Порт Сервера администрирования. Порт OpenAPI, который Kaspersky Security Center Web Console, использует для подключения к Серверу администрирования (по умолчанию 13299).
   • Сертификат Сервера администрирования. Сертификат Сервера администрирования находится в общем хранилище данных отказоустойчивого кластера Kaspersky Security Center Linux. Путь по умолчанию к файлу сертификата: <shared data folder>\1093\cert\klserver.cer. Скопируйте файл сертификата из общего хранилища данных на устройство, на котором вы устанавливаете Kaspersky Security Center Web Console. Укажите локальный путь к сертификату Сервера администрирования.
   • Имя Сервера администрирования. Имя отказоустойчивого кластера Kaspersky Security Center Linux, которое будет отображаться в окне входа в Kaspersky Security Center Web Console.
3. Продолжите стандартную установку Kaspersky Security Center Web Console.

После завершения установки на рабочем столе появляется ярлык и вы можете войти в Kaspersky Security Center Web Console.

Вы можете перейти в раздел Обнаружение устройств и развертывание → Нераспределенные устройства, чтобы просмотреть информацию об узлах кластера и о файловом сервере.

Запуск и остановка узла кластера вручную

Вам может потребоваться остановить весь отказоустойчивый кластер Kaspersky Security Center Linux или временно отключить один из узлов кластера для обслуживания. В этом случае следуйте инструкциям этого раздела. Не пытайтесь запускать или останавливать службы или процессы, связанные с отказоустойчивым кластером, с помощью других средств. Это может привести к потере данных.

Запуск и остановка всего отказоустойчивого кластера для обслуживания

Чтобы запустить или остановить весь отказоустойчивый кластер:

1. На активном узле перейдите в /opt/kaspersky/ksc64/sbin.
2. Откройте командную строку и выполните одну из следующих команд:
   • Чтобы остановить кластер, выполните: klfoc -stopcluster --stp klfoc
   • Чтобы запустить кластер, выполните: klfoc -startcluster --stp klfoc

Отказоустойчивый кластер запускается или останавливается в зависимости от команды.

Обслуживание одного из узлов

Для обслуживания одного из узлов:

1. На активном узле остановите отказоустойчивый кластер с помощью команды klfoc -stopcluster --stp klfoc.
2. На узле, который вы хотите обслуживать, перейдите в /opt/kaspersky/ksc64/sbin.
3. Откройте командную строку и отключите узел от кластера, выполнив команду detach_node.sh.
4. На активном узле запустите отказоустойчивый кластер с помощью команды klfoc -startcluster --stp klfoc.
5. Выполните работы по техническому обслуживанию.
6. На активном узле остановите отказоустойчивый кластер с помощью команды klfoc -stopcluster --stp klfoc.
7. На узле, который обслуживался, перейдите в /opt/kaspersky/ksc64/sbin.
8. Откройте командную строку и подключите узел к кластеру, выполнив команду attach_node.sh.
9. На активном узле запустите отказоустойчивый кластер с помощью команды klfoc -startcluster --stp klfoc.

Узел обслуживается и подключается к отказоустойчивому кластеру.

Учетные записи для работы с СУБД

Для установки Сервера администрирования и работы с ним требуется внутренняя учетная запись СУБД. Эта учетная запись позволяет вам получить доступ к СУБД. Для такой учетной записи требуются определенные права. Набор необходимых прав зависит от следующих критериев:

• Тип СУБД:
  • MySQL или MariaDB.
  • PostgreSQL или Postgres Pro.
• Способ создания базы данных Сервера администрирования:
  • Автоматически. При установке Сервера администрирования вы можете автоматически создать базу данных Сервера администрирования (далее также база данных Сервера) с помощью приложения установки Сервера администрирования (инсталлятора).
  • Вручную. Можно использовать приложение стороннего производителя или скрипт для создания пустой базы данных. После этого вы можете указать эту базу данных в качестве базы данных Сервера при установке Сервера администрирования.

При предоставлении прав и разрешений учетным записям соблюдайте принцип наименьших привилегий. Это означает, что предоставленных прав достаточно только для выполнения требуемых действий.

В приведенных ниже таблицах содержится информация о правах на СУБД, которые требуется предоставить учетным записям перед установкой и запуском Сервера администрирования.

MySQL и MariaDB

Если вы выбираете MySQL или MariaDB в качестве СУБД, создайте внутреннюю учетную запись СУБД для доступа к СУБД, а затем предоставьте этой учетной записи необходимые права. Обратите внимание, что способ создания базы данных не влияет на набор прав. Необходимые права перечислены ниже:

• Схема привилегий:
  • База данных Сервера администрирования: ALL (кроме GRANT OPTION).
  • Схемы системы (mysql и sys): SELECT, SHOW VIEW.
  • Хранимая процедура sys.table_exists: EXECUTE (если вы используете MariaDB 10.5 или более раннюю версию в качестве СУБД, вам не нужно предоставлять право EXECUTE).
• Глобальные привилегии для всех схем: PROCESS, SUPER.

Подробнее о настройке прав учетной записи см. в разделе Настройка учетной записи СУБД для работы с MySQL и MariaDB.

Настройка прав на восстановление данных Сервера администрирования

Прав, которые вы предоставили для внутренней учетной записи СУБД, достаточно для восстановления данных Сервера администрирования из резервной копии.

PostgreSQL или Postgres Pro.

Если вы выбираете PostgreSQL или Postgres Pro в качестве СУБД, вы можете использовать пользователя Postgres (роль Postgres по умолчанию) или создать роль Postgres (далее также роль) для доступа к СУБД. В зависимости от способа создания базы данных Сервера предоставьте необходимые права роли, как описано в таблице ниже. Подробнее о настройке прав роли см. в разделе Настройка учетной записи СУБД для работы с PostgreSQL или Postgres Pro.

Права роли Postgres

Настройка прав на восстановление данных Сервера администрирования

Чтобы восстановить данные Сервера администрирования из резервной копии, роль Postgres, используемая для доступа к СУБД, должна иметь права владельца на базу данных Сервера администрирования.

Настройка учетной записи СУБД для работы с MySQL и MariaDB

Предварительные требования

Прежде чем назначать права учетной записи СУБД, выполните следующие действия:

1. Убедитесь, что вы входите в систему под учетной записью локального администратора.
2. Установите среду для работы с MySQL или MariaDB.

Настройка учетной записи СУБД для установки Сервера администрирования

Чтобы настроить учетную запись СУБД для установки Сервера администрирования:

1. Запустите среду для работы с MySQL или MariaDB под учетной записью root, которую вы создали при установке СУБД.
2. Создайте внутреннюю учетную запись СУБД с паролем. Приложение установки Сервера администрирования (далее также приложение установки) и служба Сервера администрирования используют эту внутреннюю учетную запись СУБД для доступа к СУБД.

   Чтобы создать учетную запись СУБД с паролем, выполните следующую команду:

   /* Создайте пользователя с именем KSCAdmin и укажите пароль для KSCAdmin */

   CREATE USER 'KSCAdmin' IDENTIFIED BY '<password>';

   Если вы используете MySQL 8.0 или более раннюю версию в качестве СУБД, обратите внимание, что для этих версий аутентификация "Кеширование пароля SHA2" не поддерживается. Измените аутентификацию по умолчанию с "Кеширование пароля SHA2" на "Собственный пароль MySQL":

   • Чтобы создать учетную запись СУБД, использующую "Собственный пароль MySQL", выполните следующую команду:

     CREATE USER 'KSCAdmin'@'%' IDENTIFIED WITH mysql_native_password BY '<пароль>';

   • Чтобы изменить аутентификацию для существующей учетной записи СУБД, выполните следующую команду:

     ALTER USER 'KSCAdmin'@'%' IDENTIFIED WITH mysql_native_password BY '<пароль>';

3. Предоставьте следующие права созданной учетной записи СУБД:
   • Схема привилегий:
     • База данных Сервера администрирования: ALL (кроме GRANT OPTION).
     • Схемы системы (mysql и sys): SELECT, SHOW VIEW.
     • Хранимая процедура sys.table_exists: EXECUTE.
   • Глобальные привилегии для всех схем: PROCESS, SUPER.

   Чтобы предоставить необходимые права созданной учетной записи СУБД, запустите следующий скрипт:

   /* Предоставить привилегии KSCAdmin */

   GRANT USAGE ON *.* TO 'KSCAdmin';

   GRANT ALL ON kav.* TO 'KSCAdmin';

   GRANT SELECT, SHOW VIEW ON mysql.* TO 'KSCAdmin';

   GRANT SELECT, SHOW VIEW ON sys.* TO 'KSCAdmin';

   GRANT EXECUTE ON PROCEDURE sys.table_exists TO 'KSCAdmin';

   GRANT PROCESS ON *.* TO 'KSCAdmin';

   GRANT SUPER ON *.* TO 'KSCAdmin';

   Если вы используете MariaDB 10.5 или более раннюю версию в качестве СУБД, вам не нужно предоставлять право EXECUTE. В этом случае исключите из скрипта следующую команду: GRANT EXECUTE ON PROCEDURE sys.table_exists TO 'KSCAdmin'.

4. Чтобы просмотреть список привилегий, предоставленных учетной записи СУБД, выполните следующую команду:

   SHOW grants for 'KSCAdmin';

5. Чтобы вручную создать базу данных Сервера администрирования, запустите следующий скрипт (в этом скрипте имя базы данных Сервера администрирования – kav):

   CREATE DATABASE kav

   DEFAULT CHARACTER SET ascii

   DEFAULT COLLATE ascii_general_ci;

   Используйте то же имя базы данных, которое вы указали в сценарии, создающем учетную запись СУБД.

6. Установите Сервер администрирования.

После завершения установки создается база данных Сервера администрирования и Сервер администрирования готов к работе.

Настройка учетной записи СУБД для работы с PostgreSQL и Postgres Pro

Предварительные требования

Прежде чем назначать права учетной записи СУБД, выполните следующие действия:

1. Убедитесь, что вы входите в систему под учетной записью локального администратора.
2. Установите среду для работы с PostgreSQL и Postgres Pro.

Настройка учетной записи СУБД для установки Сервера администрирования (автоматическое создание базы данных Сервера администрирования)

Чтобы настроить учетную запись СУБД для установки Сервера администрирования:

1. Запустите среду для работы с PostgreSQL и Postgres Pro.
2. Выберите роль Postgres для доступа к СУБД. Вы можете использовать одну из следующих ролей:
   • Пользователь Postgres (роль Postgres по умолчанию).

     Если вы используете пользователя Postgres, предоставлять ему дополнительные права не требуется.

     По умолчанию у пользователя Postgres нет пароля. Но для установки Kaspersky Security Center Linux требуется пароль. Чтобы установить пароль для пользователя Postgres, запустите следующий скрипт:

     ALTER USER "user_name" WITH PASSWORD '<пароль>';

   • Новая роль Postgres.

     Если вы хотите использовать новую роль Postgres, создайте эту роль и предоставьте ей право CREATEDB. Для этого запустите следующий скрипт (в этом скрипте роль имеет значение KSCAdmin):

     CREATE USER "KSCAdmin" WITH PASSWORD '<пароль>' CREATEDB;

     Созданная роль будет использоваться в качестве владельца базы данных Сервера администрирования (далее также база данных Сервера).

3. Установите Сервер администрирования.

После завершения установки автоматически создается база данных Сервера, и Сервер администрирования готов к работе.

Настройка учетной записи СУБД для установки Сервера администрирования (создание базы данных Сервера администрирования вручную)

Чтобы настроить учетную запись СУБД для установки Сервера администрирования:

1. Запустите среду для работы с Postgres.
2. Создайте роль Postgres и базу данных Сервера администрирования. Затем предоставьте роли все права в базе данных Сервера администрирования. Для этого выполните вход под пользователем Postgres в базу данных Postgres и запустите следующий скрипт (в этом скрипте роль имеет значение KSCAdmin, а имя базы данных Сервера администрирования – KAV):

   CREATE USER "KSCAdmin" WITH PASSWORD '<password>';

   CREATE DATABASE "KAV" ENCODING 'UTF8' OWNER "KSCAdmin";

   GRANT ALL PRIVILEGES ON DATABASE "KAV" TO "KSCAdmin";

   Если возникает ошибка "New encoding (UTF8) is incompatible with the encoding of the template database", создайте базу данных с помощью команды:
   CREATE DATABASE "KAV" ENCODING 'UTF8' OWNER "KSCAdmin" TEMPLATE template0;
   вместо:
   CREATE DATABASE "KAV" ENCODING 'UTF8' OWNER "KSCAdmin";

3. Предоставьте следующие права созданной роли Postgres:
   • Права доступа ко всем таблицам в общедоступной схеме: ALL.
   • Права доступа ко всем последовательностям в общедоступной схеме: ALL.

   Для этого выполните вход под пользователем Postgres в базу данных Сервера и запустите следующий скрипт (в этом скрипте роль имеет значение KSCAdmin):

   GRANT ALL PRIVILEGES ON ALL TABLES IN SCHEMA "public" TO "KSCAdmin";

   GRANT ALL PRIVILEGES ON ALL SEQUENCES IN SCHEMA "public" TO "KSCAdmin";

4. Установите Сервер администрирования.

После завершения установки Сервер администрирования будет использовать созданную базу данных для хранения данных Сервера администрирования. Сервер администрирования готов к работе.

Сертификаты для работы с Kaspersky Security Center Linux

В этом разделе содержится информация о сертификатах Kaspersky Security Center Linux и описание, как выпустить и заменить сертификаты для Kaspersky Security Center Web Console, а также как обновить сертификат Сервера администрирования, если Сервер взаимодействует с Kaspersky Security Center Web Console.

О сертификатах Kaspersky Security Center

Kaspersky Security Center использует следующие типы сертификатов для обеспечения безопасного взаимодействия между компонентами приложения:

• сертификат Сервера администрирования;
• мобильный сертификат;
• сертификат Веб-сервера;
• сертификат Kaspersky Security Center Web Console.

По умолчанию Kaspersky Security Center использует самоподписанные сертификаты (то есть выданные самим Kaspersky Security Center). Если требуется, вы можете заменить самоподписанные сертификаты пользовательскими сертификатами, в соответствии со стандартами безопасности вашей организации. После того как Сервер администрирования проверит соответствие пользовательского сертификата всем применимым требованиям, этот сертификат приобретает такую же область действия, что и самоподписанный сертификат. Единственное отличие состоит в том, что пользовательский сертификат не перевыпускается автоматически по истечении срока действия. Вы заменяете сертификаты на пользовательские с помощью утилиты klsetsrvcert или в Kaspersky Security Center Web Console в свойствах Сервера администрирования, в зависимости от типа сертификата. При использовании утилиты klsetsrvcert необходимо указать тип сертификата, используя одно из следующих значений:

• С – общий сертификат для портов 13000 и 13291;
• CR – общий резервный сертификат для портов 13000 и 13291;
• M – мобильный сертификат для порта 13292;
• MR – мобильный резервный сертификат для порта 13292;
• MCA – мобильный сертификат, полученный от аккредитованного центра сертификации для автоматической генерации пользовательских сертификатов.

Максимальный срок действия любого сертификата Сервера администрирования не должен превышать 397 дней.

Сертификаты Сервера администрирования

Сертификат Сервера администрирования необходим для следующих целей:

• Аутентификация Сервера администрирования при подключении к Kaspersky Security Center Web Console.
• Безопасное взаимодействие Сервера администрирования и Агента администрирования на управляемых устройствах.
• Аутентификация при подключении главных Серверов администрирования к подчиненным Серверам администрирования.

Сертификат Сервера администрирования автоматически создается при установке компонента Сервер администрирования и хранится в папке /var/opt/kaspersky/klnagent_srv/1093/cert/. Сертификат Сервера администрирования вы указываете при создании файла ответов для установки Kaspersky Security Center Web Console. Этот сертификат называется общим ("С").

Сертификат Сервера администрирования действителен 397 дней. Kaspersky Security Center автоматически генерирует общий резервный сертификат ("CR") за 90 дней до истечения срока действия общего сертификата. Общий резервный сертификат впоследствии используется для замены сертификата Сервера администрирования. Когда истекает срок действия общего сертификата, общий резервный сертификат используется для поддержания связи с экземплярами Агента администрирования, установленными на управляемых устройствах. С этой целью общий резервный сертификат автоматически становится новым общим сертификатом за 24 часа до истечения срока действия старого общего сертификата.

Максимальный срок действия любого сертификата Сервера администрирования не должен превышать 397 дней.

При необходимости можно назначить Серверу администрирования пользовательский сертификат. Например, это может понадобиться для лучшей интеграции с существующей PKI вашей организации или для требуемой настройки полей сертификата. При замене сертификата все Агенты администрирования, ранее подключенные к Серверу администрирования по SSL, перестанут подключаться к Серверу с ошибкой "Ошибка аутентификации Сервера администрирования". Чтобы устранить эту ошибку, вам потребуется восстановить соединение после замены сертификата.

В случае если сертификат Сервера администрирования утерян, для его восстановления необходимо провести переустановку компонента Сервер администрирования и восстановление данных.

Вы также можете создать резервную копию сертификата Сервера администрирования отдельно от других параметров Сервера администрирования, чтобы перенести Сервер администрирования с одного устройства на другое без потери данных.

Если вы открываете Kaspersky Security Center Web Console в разных браузерах и загружаете файл сертификата Сервера администрирования в окне свойств Сервера администрирования, загруженные файлы имеют разные имена.

Мобильные сертификаты

Мобильный сертификат ("M") необходим для аутентификации Сервера администрирования на мобильных устройствах. Вы указываете мобильный сертификат в свойствах Сервера администрирования.

Также существует мобильный резервный сертификат ("MR"): он используется для замены мобильного сертификата. Kaspersky Security Center автоматически генерирует этот сертификат за 60 дней до истечения срока действия общего сертификата. Когда истекает срок действия мобильного сертификата, мобильный резервный сертификат используется для поддержания связи с Агентами администрирования, установленными на управляемых мобильных устройствах. С этой целью мобильный резервный сертификат автоматически становится новым мобильным сертификатом за 24 часа до истечения срока действия старого мобильного сертификата.

Если сценарий подключения требует использования сертификата клиента на мобильных устройствах (подключение с двусторонней SSL-аутентификация), вы генерируете эти сертификаты с помощью доверенного центра сертификации для автоматически сгенерированных пользовательских сертификатов ("MCA"). Кроме того, в свойствах Сервера администрирования можно указать пользовательские сертификаты, выпущенные другим доверенным центром сертификации, при условии, что интеграция с инфраструктурой открытых ключей (PKI) вашей организации позволяет выпускать сертификаты клиентов с помощью центра сертификации домена.

Также для аутентификации Сервера администрирования на мобильных устройствах, работающих под управлением операционной системы iOS, требуется сертификат Сервера iOS MDM. Подробнее см. раздел Настройка сертификата Сервера iOS MDM.

Сертификат Веб-сервера

Веб-сервер является компонентом Сервера администрирования Kaspersky Security Center и использует специальный тип сертификата. Этот сертификат необходим для публикации инсталляционных пакетов Агента администрирования, которые вы впоследствии загружаете на управляемые устройства, а также для загрузки инсталляционных пакетов Kaspersky Security для мобильных устройств. Для этого Веб-сервер может использовать различные сертификаты.

Если поддержка мобильных устройств отключена, Веб-сервер использует один из следующих сертификатов в порядке приоритета:

1. Пользовательский сертификат Веб-сервера, который вы указали вручную с помощью Консоли администрирования.
2. Общий сертификат Сервера администрирования ("C").

Если поддержка мобильных устройств включена, Веб-сервер использует один из следующих сертификатов в порядке приоритета:

1. Пользовательский сертификат Веб-сервера, который вы указали вручную с помощью Консоли администрирования.
2. Пользовательский мобильный сертификат.
3. Самоподписанный мобильный сертификат ("M").
4. Общий сертификат Сервера администрирования ("C").

Сертификат Kaspersky Security Center Web Console

Сервер Kaspersky Security Center Web Console (далее также Web Console) имеет собственный сертификат. Когда вы открываете сайт, браузер проверяет, является ли ваше соединение надежным. Сертификат Web Console позволяет аутентифицировать Web Console и используется для шифрования трафика между браузером и Web Console.

Когда вы открываете Web Console, браузер может информировать вас о том, что подключение к Web Console не является приватным и что сертификат Web Console недействителен. Это предупреждение появляется потому, что сертификат Kaspersky Security Center Web Console является самоподписанным и автоматически генерируется Kaspersky Security Center. Чтобы удалить это предупреждение, можно выполнить одно из следующих действий:

• Замените сертификат Kaspersky Security Center Web Console на пользовательский сертификат (рекомендуемый параметр). Создать сертификат, доверенный в вашей инфраструктуре и соответствующий требованиям к пользовательским сертификатам.
• Добавить сертификат Web Console в список доверенных сертификатов браузера. Рекомендуется использовать этот параметр только в том случае, если вы не можете создать пользовательский сертификат.

Требования к пользовательским сертификатам, используемым в Kaspersky Security Center Linux

В таблице ниже представлены требования к пользовательским сертификатам, предъявляемые к различным компонентам Kaspersky Security Center Linux.

Требования для сертификатов Kaspersky Security Center Linux

Перевыпуск сертификата для Kaspersky Security Center Web Console

Большинство браузеров ограничивает срок действия сертификата. Чтобы попасть в это ограничение, срок действия сертификата в Kaspersky Security Center Web Console равен 397 дням. Вы можете заменить существующий сертификат, полученный от доверенного центра сертификации (CA), при выпуске вручную нового самоподписанного сертификата. Вы также можете повторно выпустить устаревший сертификат Kaspersky Security Center Web Console.

Автоматический перевыпуск сертификата для Kaspersky Security Center Web Console не поддерживается. Вам необходимо вручную перевыпустить сертификат.

Если вы выбрали создать сертификат, при открытии Kaspersky Security Center Web Console, браузер может информировать вас о том, что подключение к Kaspersky Security Center Web Console не является приватным и что сертификат Kaspersky Security Center Web Console недействителен. Это предупреждение появляется потому, что сертификат Kaspersky Security Center Web Console является самоподписанным и автоматически генерируется Kaspersky Security Center Linux. Чтобы удалить или предотвратить это предупреждение, можно выполнить одно из следующих действий:

• Укажите пользовательский сертификат при его повторном выпуске (рекомендуемый вариант). Создать сертификат, доверенный в вашей инфраструктуре и соответствующий требованиям к пользовательским сертификатам.
• Добавьте сертификат Kaspersky Security Center Web Console в список доверенных сертификатов браузера после перевыпуска сертификата. Рекомендуется использовать этот параметр только в том случае, если вы не можете создать пользовательский сертификат.

Чтобы перевыпустить просроченный сертификат Kaspersky Security Center Web Console:

Переустановите Kaspersky Security Center Web Console, выполнив одно из следующих действий:

• Если вы хотите использовать тот же установочный файл Kaspersky Security Center Web Console, удалите Kaspersky Security Center Web Console и установите ту же версию Kaspersky Security Center Web Console.
• Если вы хотите использовать установочный файл обновленной версии, выполните команду обновления.

Сертификат Kaspersky Security Center Web Console перевыпущен со сроком действия 397 дней.

Замена сертификата для Kaspersky Security Center Web Console

По умолчанию при установке Сервера Kaspersky Security Center Web Console (далее также Kaspersky Security Center Web Console Server) сертификат браузера для приложения генерируется автоматически. Вы можете заменить автоматически сгенерированный сертификат на пользовательский.

Чтобы заменить сертификат для Kaspersky Security Center Web Console на пользовательский сертификат:

1. Создайте новый файл ответов, необходимый для установки Kaspersky Security Center Web Console.
2. В файле ответов укажите путь к файлу пользовательского сертификата и файлу ключа с помощью параметра certPath и параметра keyPath.
3. Переустановите Kaspersky Security Center Web Console, указав новый файл ответов. Выполните одно из следующих действий:
   • Если вы хотите использовать тот же установочный файл Kaspersky Security Center Web Console, удалите Kaspersky Security Center Web Console и установите ту же версию Kaspersky Security Center Web Console.
   • Если вы хотите использовать установочный файл обновленной версии, выполните команду обновления.

Kaspersky Security Center Web Console работает с указанным сертификатом.

Преобразование сертификата из формата PFX в формат PEM

Чтобы использовать сертификат формата PFX в Kaspersky Security Center Web Console, вам необходимо предварительно преобразовать его в формат PEM с помощью любой кроссплатформенной утилиты на основе OpenSSL.

Чтобы преобразовать сертификат из формата PFX в формат PEM в операционной системе Linux:

1. В кроссплатформенной утилите на основе OpenSSL выполните следующие команды:

   openssl pkcs12 -in <filename.pfx> -clcerts -nokeys | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > server.crt

   openssl pkcs12 -in <filename.pfx> -nocerts -nodes | sed -ne '/-BEGIN PRIVATE KEY-/,/-END PRIVATE KEY-/p' > key.pem

2. Убедитесь, что файл сертификата и закрытый ключ сгенерированы в той же папке, где хранится файл PFX.
3. Kaspersky Security Center Web Console не поддерживает сертификаты, защищенные парольной фразой. Поэтому выполните следующую команду в кроссплатформенной утилите на основе OpenSSL, чтобы удалить парольную фразу из файла .pem:

   openssl rsa -in key.pem -out key-without-passphrase.pem

   Не используйте одно и то же имя для входных и выходных файлов .pem.

   В результате новый файл .pem не зашифрован. Вводить парольную фразу для его использования не нужно.

Файлы .crt и .pem готовы к использованию, поэтому вы можете указать их в мастере установки Kaspersky Security Center Web Console.

Сценарий: задание пользовательского сертификата Сервера администрирования

Вы можете назначить пользовательский сертификат Сервера администрирования, например, для лучшей интеграции с существующей инфраструктурой открытых ключей (PKI) вашей организации или для пользовательской конфигурации параметров сертификата. Целесообразно заменять сертификат сразу после инсталляции Сервера администрирования, до завершения работы мастера первоначальной настройки.

Максимальный срок действия любого сертификата Сервера администрирования не должен превышать 397 дней.

Предварительные требования

Должны быть соблюдены следующие условия:

• Сертификат должен быть создан в формате PKCS#12 (например, с помощью PKI организации).
• Для нового сертификата должны быть соблюдены требования, перечисленные в таблице ниже.
• В таблице ниже обратите внимание на требование "CA: true". Оно означает, что новый сертификат должен быть выдан доверенным центром сертификации (CA). Новый сертификат с требованием "CA: true" должен включать в себя всю цепочку доверия и закрытый ключ, который должен храниться в файле с расширением pfx или p12.

  Требования к сертификатам Сервера администрирования

  Тип сертификата	Требования
  Общий сертификат, общий резервный сертификат ("С", "CR")	Минимальная длина ключа: 2048. Основные ограничения: Ограничение длины пути: Отсутствует. Значение ограничения длины пути может быть целым числом отличным от "None", но не меньше 1. Использование ключа: Цифровая подпись. Подпись сертификата. Шифрование ключей. Подписывание списка отзыва (CRL). Расширенное использование ключа (Extended Key Usage, EKU) (необязательно): аутентификация Сервера и аутентификация клиента. EKU необязательно, но если оно содержится в вашем сертификате, данные аутентификации Сервера и клиента должны быть указаны в EKU.
  Мобильный сертификат, мобильный резервный сертификат ("M", "MR")	Минимальная длина ключа: 2048. Основные ограничения: CA: Да. Ограничение длины пути: Отсутствует. Значение ограничения длины пути может быть целым числом, отличным от "None", если общий сертификат имеет значение ограничения длины пути не менее 1. Использование ключа: Цифровая подпись. Подпись сертификата. Шифрование ключей. Подписывание списка отзыва (CRL). Расширенное использование ключа (EKU): аутентификация Сервера. EKU необязательно, но если оно содержится в вашем сертификате, данные аутентификации Сервера должны быть указаны в EKU.
  Сертификат, выпущенный доверенным центром сертификации (CA), для автоматически генерируемых пользовательских сертификатов (MCA)	Минимальная длина ключа: 2048. Основные ограничения: CA: Да. Ограничение длины пути: Отсутствует. Значение ограничения длины пути может быть целым числом, отличным от "None", если Общий сертификат имеет значение ограничения длины пути не менее 1. Использование ключа: Цифровая подпись. Подпись сертификата. Шифрование ключей. Подписывание списка отзыва (CRL). Расширенное использование ключа (англ. Extended Key Usage, EKU): аутентификация клиента. EKU необязателен, но если он содержится в вашем сертификате, данные аутентификации клиента должны быть указаны в EKU.

Сертификаты, выпущенные доверенным центром сертификации (англ. certificate authority, CA), не имеют разрешения на подписывание сертификатов. Чтобы использовать такие сертификаты, убедитесь, что на точках распространения или шлюзах соединения в вашей сети установлен Агент администрирования версии 13 или выше. В противном случае вы не сможете использовать сертификаты без разрешения на подпись.

Этапы

Указание сертификата Сервера администрирования состоит из следующих этапов:

1. Замена сертификата Сервера администрирования

   Используйте для этой цели утилиту командной строки klsetsrvcert.

2. Указание нового сертификата и восстановление связи Агентов администрирования с Сервером администрирования

   При замене сертификата все Агенты администрирования, ранее подключенные к Серверу администрирования по SSL, перестанут подключаться к Серверу с ошибкой "Ошибка аутентификации Сервера администрирования". Чтобы указать новый сертификат и восстановить соединение, используйте командную строку утилиты klmover.

3. Указание нового сертификата в параметрах Kaspersky Security Center Web Console

   После замены сертификата укажите его в файле ответа и обновите Kaspersky Security Center Web Console, используя этот файл ответа. Иначе Kaspersky Security Center Web Console не сможет подключиться к Серверу администрирования.

Результаты

После завершения сценария сертификат Сервера администрирования будет заменен, Сервер Агент администрирования на управляемых устройствах аутентифицирует Сервер с использованием нового сертификата.

Замена сертификата Сервера администрирования с помощью утилиты klsetsrvcert

Чтобы заменить сертификат Сервера администрирования:

В командной строке выполните следующую команду:

Вам не нужно загружать утилиту klsetsrvcert. Утилита входит в состав комплекта поставки Kaspersky Security Center Linux. Она несовместима с предыдущими версиями Kaspersky Security Center Linux.

Описание параметров утилиты klsetsrvcert представлено в таблице ниже.

Значения параметров утилиты klsetsrvcert

Например, для указания пользовательского сертификата Сервера администрирования, используйте следующую команду:

После замены сертификата все Агенты администрирования, подключенные к Серверу администрирования по протоколу SSL, теряют связь. Чтобы восстановить связь, используйте командную строку утилиты klmover.

Чтобы не потерять соединения Агентов администрирования, используйте следующие команды:

1. Чтобы установить новый сертификат,
   klsetsrvcert -t CR -i <inputfile> -p <password> -o NoCA
2. Чтобы указать дату применения нового сертификата,
   klsetsrvcert -f "DD-MM-YYYY hh:mm"

где дата "DD-MM-YYYY hh:mm" на 3–4 недели больше текущей. Сдвиг времени замены сертификата на новый позволит распространить новый сертификат на все Агенты администрирования.

Подключение Агентов администрирования к Серверу администрирования с помощью утилиты klmover

Используйте утилиту klmover для восстановления подключения неконтролируемых устройств к Серверу администрирования, например, если после сбоя Сервера администрирования невозможно восстановить подключение из резервной копии.

Чтобы восстановить подключение, запустите утилиту klmover из командной строки:

• Для Linux:
  • для 32-разрядной системы: /opt/kaspersky/klnagent/bin/klmover [-address <адрес сервера>] [-pn <номер порта>] [-ps <номер SSL-порта>] [-nossl] [-cert <путь к файлу сертификата>]
  • для 64-разрядной системы: /opt/kaspersky/klnagent64/bin/klmover [-address <адрес сервера>] [-pn <номер порта>] [-ps <номер SSL-порта>] [-nossl] [-cert <путь к файлу сертификата>]
• Для Windows:
  • для 32-разрядной системы: <путь>\klmover.exe [-address <адрес сервера>] [-pn <номер порта>] [-ps <номер SSL-порта>] [-nossl] [-cert <путь к файлу сертификата>]
  • для 64-разрядной системы: <путь>\klmover.exe [-address <адрес сервера>] [-pn <номер порта>] [-ps <номер SSL-порта>] [-nossl] [-cert <путь к файлу сертификата>]

где <путь> – это путь установки по умолчанию Агента администрирования или путь установки, указанный вами в параметрах инсталляционного пакета Агента администрирования.

Утилита klmover находится в директории (папке) установки Агента администрирования.

Чтобы злоумышленники не могли вывести устройства из-под контроля вашего Сервера администрирования, настоятельно рекомендуется включить защиту паролем для запуска утилиты klmover. Чтобы включить защиту паролем, в параметрах политики Агента администрирования выберите параметр Использовать пароль деинсталляции.

Если вы потеряете или забудете пароль для утилиты klmover, вы не сможете ее запустить. В этом случае вам необходимо переустановить операционную систему и приложение на устройстве.

Утилита klmover требует прав локального администратора.

При включении параметра Использовать пароль деинсталляции на устройствах с операционной системой Windows также включается защита паролем средствами Cleaner (cleaner.exe).

Вы на можете использовать утилиту klmover для клиентских устройств, подключенных к Серверу администрирования через шлюзы соединения. Для таких устройств необходимо перенастроить Агент администрирования или переустановить Агент администрирования, указав шлюз соединения.

Описание параметров утилиты klmover представлено в таблице ниже.

Значения параметров утилиты klmover

Перевыпуск сертификата Веб-сервера

Сертификат Веб-сервера используемый в Kaspersky Security Center Linux необходим для публикации инсталляционных пакетов Агента администрирования, которые вы впоследствии загружаете на управляемые устройства, а также для публикации iOS MDM-профилей, приложений для iOS и инсталляционных пакетов Kaspersky Security для мобильных устройств. В зависимости от текущей конфигурации приложения в качестве сертификата Веб-сервера могут использоваться различные сертификаты (подробнее см. О сертификатах Kaspersky Security Center Linux).

Вам может потребоваться перевыпустить сертификат Веб-сервера, чтобы обеспечить соответствие требованиям безопасности вашей организации или для поддержания постоянного соединения ваших управляемых устройств перед началом обновления приложения. Kaspersky Security Center Linux предоставляет два способа перевыпуска сертификата Веб-сервера. Выбор между двумя способами зависит от того, подключены ли у вас мобильные устройства и управляются ли они через мобильный протокол (то есть с помощью мобильного сертификата).

Если вы никогда не указывали пользовательский сертификат в качестве сертификата Веб-сервера в окне Веб-сервер свойств Сервера администрирования, мобильный сертификат действует как сертификат Веб-сервера. В этом случае перевыпуск сертификата Веб-сервера выполняется путем перевыпуска самого мобильного протокола.

Чтобы перевыпустить сертификат Веб-сервера, когда у вас есть мобильные устройства, управляемые через мобильный протокол:

1. Создайте пользовательский сертификат и подготовьте его для использования в Kaspersky Security Center Linux. Проверьте, соответствует ли ваш пользовательский сертификат требованиям Kaspersky Security Center Linux и требованиям к доверенным сертификатам Apple. При необходимости измените сертификат.

   Для создания сертификата можно использовать утилиту kliossrvcertgen.exe.

2. В главном меню нажмите на значок параметров () рядом с именем требуемого Сервера администрирования.

   Откроется окно свойств Сервера администрирования.

3. На вкладке Общие выберите раздел Веб-сервер.
4. В подразделе По протоколу HTTP выберите вариант Задать другой сертификат и нажмите на кнопку Изменить сертификат.
5. В открывшемся окне в поле Тип сертификата выберите тип вашего сертификата:
   • Если вы выбрали Контейнер PKCS#12, нажмите на кнопку Обзор рядом с полем Сертификат и укажите файл сертификата на жестком диске. Если файл сертификата защищен паролем, введите пароль в поле Пароль (если есть).
   • Если вы выбрали X.509-сертификат, нажмите на кнопку Обзор рядом с полем Приватный ключ и укажите закрытый ключ на жестком диске. Если закрытый ключ защищен паролем, введите пароль в поле Пароль (если есть).
6. Нажмите на кнопку Сохранить и далее на кнопку ОК.

   Окно закрыто.

7. При необходимости в поле HTTPS-порт Веб-сервера измените номер HTTPS-порта для Веб-сервера и нажмите на кнопку Сохранить.

Сертификат Веб-сервера перевыпущен.

Чтобы перевыпустить сертификат Веб-сервера, когда у вас нет мобильных устройств, управляемых через мобильный протокол:

1. В главном меню нажмите на значок параметров () рядом с именем требуемого Сервера администрирования.

   Откроется окно свойств Сервера администрирования.

2. На вкладке Общие выберите раздел Сертификаты.
3. Если вы планируете и дальше использовать сертификат, выданный Kaspersky Security Center:
   1. Выберите вариант Сертификат выпущен средствами Сервера администрирования и нажмите на кнопку Обзор.
   2. В открывшемся окне блоках параметров Адрес подключения и Срок активации выберите соответствующие параметры и нажмите на кнопку ОК.

Если вы планируете использовать собственный сертификат, выполните следующее:

1. Проверьте, соответствует ли ваш пользовательский сертификат требованиям Kaspersky Security Center Linux и требованиям к доверенным сертификатам Apple. При необходимости измените сертификат.
2. Выберите вариант Другой сертификат, нажмите на кнопку Управление сертификатом и в открывшемся окне нажмите на кнопку Обзор.
3. В открывшемся окне в поле Тип сертификата выберите тип вашего сертификата:
   • Если вы выбрали Контейнер PKCS#12, нажмите на кнопку Обзор рядом с полем Сертификат и укажите файл сертификата на жестком диске. Если файл сертификата защищен паролем, введите пароль в поле Пароль (если есть).
   • Если вы выбрали X.509-сертификат, нажмите на кнопку Обзор рядом с полем Приватный ключ и укажите закрытый ключ на жестком диске. Если закрытый ключ защищен паролем, введите пароль в поле Пароль (если есть).
4. Нажмите на кнопку Сохранить и далее на кнопку ОК.

Мобильный сертификат перевыпущен для использования в качестве сертификата Веб-сервера.

Задание папки общего доступа

После установки Сервера администрирования можно указать расположение общей папки в свойствах Сервера администрирования. По умолчанию общая папка создается на устройстве с Сервером администрирования. Однако в некоторых случаях (таких как высокая нагрузка или необходимость доступа из изолированной сети) целесообразно располагать папку общего доступа на специализированном файловом ресурсе.

Папка общего доступа используется в нескольких сценариях развертывания Агента администрирования.

Учет регистра для общей папки должен быть выключен.

Вход в приложение Kaspersky Security Center Web Console и выход из него

Вы можете войти в Kaspersky Security Center Web Console после установки Сервера администрирования и Kaspersky Security Center Web Console. Вам нужно знать веб-адрес Сервера администрирования и номер порта, указанный во время установки (по умолчанию используется порт 8080). В вашем браузере JavaScript должен быть включен.

Чтобы войти в Kaspersky Security Center Web Console:

1. В браузере укажите <веб-адрес Сервера администрирования>:<номер порта>.

   Отобразится страница входа в приложение.

2. Если вы добавили несколько доверенных Серверов администрирования, в списке выберите Сервер администрирования, к которому вы хотите подключиться.

   Если вы добавили только один Сервер администрирования, список Серверов администрирования заблокирован.

3. Выполните одно из следующих действий:
   • Чтобы войти на Сервер администрирования с доменной учетной записью пользователя, введите имя пользователя и пароль доменного пользователя.

     Вы можете ввести имя доменного пользователя в одном из следующих форматов:

     • Username@dns.domain
     • NTDOMAIN\Username

     Прежде чем войти в систему с доменной учетной записью пользователя, опросите контроллеры домена, чтобы получить список пользователей домена.

   • Чтобы войти на Сервер администрирования, указав имя пользователя и пароль администратора, введите имя пользователя и пароль внутреннего пользователя.
   • Если на Сервере создан один или несколько виртуальных Серверов администрирования и вы хотите войти на виртуальный Сервер:
     1. Нажмите на кнопку Показать параметры виртуального Сервера.
     2. Введите имя виртуального Сервера администрирования, которое вы указали при создании виртуального Сервера.
     3. Введите имя пользователя и пароль администратора, имеющего права на виртуальном Сервере администрирования.
4. Нажмите на кнопку Войти.

После входа в систему информационная панель отображается с языком и темой, которые вы использовали в последний раз. Вы можете перемещаться по Kaspersky Security Center Web Console и использовать ее для работы с Kaspersky Security Center Linux.

Выход

Чтобы выйти из Kaspersky Security Center Web Console,

В главном меню перейдите в параметры своей учетной записи и выберите Выход.

Приложение Kaspersky Security Center Web Console закрыто, отображается страница входа в приложение.

Интерфейс Kaspersky Security Center Web Console

Управление Kaspersky Security Center Linux осуществляется через интерфейс Kaspersky Security Center Web Console.

Окно приложения Kaspersky Security Center Web Console содержит следующие элементы:

• главное меню в левой части окна;
• рабочая область в правой части окна.

Главное меню

Главное меню содержит следующие разделы:

• Сервер администрирования. Отображает имя Сервера администрирования, к которому вы сейчас подключены. Нажмите на значок параметров (), чтобы открыть свойства Сервера администрирования.
• Мониторинг и отчеты. Предоставляет сведения об инфраструктуре вашей сети, статусе защиты, а также статистику.
• Активы (Устройства). Содержит инструменты для активов, а также задачи и политики приложений "Лаборатории Касперского".
• Пользователи и роли. Позволяет управлять пользователями и ролями, настраивать права пользователей, назначать пользователям роли и связывать профили политик с ролями.
• Операции. Содержит различные параметры, включая лицензирование приложений, просмотр и управление зашифрованными дисками и событиями шифрования, а также управление приложениями сторонних производителей. Раздел также предоставляет вам доступ к хранилищам приложений.
• Обнаружение устройств и развертывание. Позволяет опрашивать сеть для обнаружения клиентских устройств и распределять устройства по группам администрирования вручную или автоматически. Этот раздел содержит мастер первоначальной настройки и мастер развертывания защиты.
• Marketplace. Содержит информацию о бизнес-решениях "Лаборатории Касперского", позволяет выбрать нужные вам и перейти к приобретению этих решений на сайте "Лаборатории Касперского".
• Параметры. Позволяет создавать резервную копию данных текущего состояния веб-плагина, чтобы впоследствии можно было восстановить сохраненное состояние. Содержит личные параметры, связанные с внешним видом интерфейса, такие как язык интерфейса или тема.
• Меню вашей учетной записи. Содержит ссылку на справку Kaspersky Security Center Linux. Также вы можете выйти из Kaspersky Security Center Linux и просмотреть версию Kaspersky Security Center Web Console и список установленных веб-плагинов управления.

Рабочая область

В рабочей области отображается выбранная вами информация для просмотра в разделах окна интерфейса Kaspersky Security Center Web Console. Она также содержит элементы управления, которые можно использовать для настройки отображения информации.

Изменение языка интерфейса Kaspersky Security Center Web Console

Вы можете выбрать язык интерфейса Kaspersky Security Center Web Console.

Чтобы изменить язык интерфейса:

1. В главном окне приложения перейдите в раздел Параметры → Язык.
2. Выберите необходимый язык интерфейса.

   

   Изменение языка интерфейса Kaspersky Security Center Web Console

Закрепление и отмена закрепления разделов главного меню

Вы можете закрепить разделы Kaspersky Security Center Web Console, чтобы добавить их в избранное и быстро получить к ним доступ из раздела Закрепленное в главном меню.

Если закрепленных элементов нет, раздел Закрепленное не отображается в главном меню.

Вы можете закрепить разделы, в которых отображаются только страницы. Например, если вы перейдете в раздел Активы (Устройства) → Управляемые устройства, откроется страница с таблицей устройств, что означает, что вы можете закрепить раздел Управляемые устройства. Если после выбора раздела в главном меню отображается окно или элемент не отображается, то закрепить такой раздел нельзя.

Чтобы закрепить раздел:

1. В главном меню наведите курсор мыши на раздел, который вы хотите закрепить.

   Отображается значок булавки ().

2. Нажмите на значок булавки ().

Раздел закреплен и отображается в разделе Закрепленное.

Максимальное количество элементов, которые вы можете закрепить, равно пяти.

Вы также можете удалить элементы из избранных, отменив их закрепление.

Чтобы отменить закрепление раздела:

1. В главном окне приложения перейдите в раздел Закрепленное.
2. Наведите курсор мыши на раздел, для которого вы хотите отменить закрепление и нажмите на значок отмены закрепления ().

Раздел удален из избранных.

Мастер первоначальной настройки

Приложение Kaspersky Security Center Linux позволяет настроить минимальный набор параметров, необходимых для построения централизованной системы управления, обеспечивающей защиту сети от угроз безопасности. Эта настройка выполняется в мастере первоначальной настройки. В процессе работы мастера вы можете внести в приложение следующие изменения:

• Добавить файлы ключей или ввести коды активации, которые можно автоматически распространять на устройства в группах администрирования.

  Инфраструктура облачных служб, предоставляющая доступ к постоянно обновляемой базе данных "Лаборатории Касперского", содержащей информацию о репутации файлов, веб-ресурсов и программного обеспечения. Kaspersky Security Network обеспечивает более высокую скорость реакции приложений "Лаборатории Касперского" на угрозы, повышает эффективность работы некоторых компонентов защиты, а также снижает вероятность ложных срабатываний.

• Настроить рассылку уведомлений о событиях, происходящих в процессе работы Сервера администрирования и управляемых приложений по электронной почте.
• Сформировать политику защиты рабочих станций и серверов, а также задачи поиска вредоносного ПО, получения обновлений и резервного копирования данных для верхнего уровня иерархии управляемых устройств.

  Мастер первоначальной настройки создает политики только для приложений, для которых еще нет созданных политик в папке Управляемые устройства. Мастер первоначальной настройки не создает задачи, если задачи с такими именами уже созданы для верхнего уровня иерархии управляемых устройств.

Приложение автоматически предлагает запустить мастер первоначальной настройки после установки Сервера администрирования при первом подключении к Серверу. Вы также можете запустить мастер первоначальной настройки вручную в любое время.

Чтобы запустить мастер первоначальной настройки вручную:

1. В главном меню нажмите на значок параметров () рядом с именем Сервера администрирования.

   Откроется окно свойств Сервера администрирования.

2. На вкладке Общие выберите раздел Общие.

   

   Окно свойств Сервера администрирования

3. Нажмите на кнопку Запустить мастер первоначальной настройки.

Мастер предложит произвести первоначальную настройку Сервера администрирования. Следуйте далее указаниям мастера. Для продолжения работы мастера нажмите на кнопку Далее.

Шаг 1. Указание параметров подключения к интернету

Развернуть все | Свернуть все

Укажите параметры доступа Сервера администрирования к интернету. Доступ к интернету необходимо настроить, чтобы использовать Kaspersky Security Network и загружать обновления антивирусных баз для Kaspersky Security Center Linux и управляемых приложений "Лаборатории Касперского".

Включите параметр Использовать прокси-сервер, если требуется использовать прокси-сервер для подключения к интернету. Если параметр включен, доступны поля ввода параметров. Настройте следующие параметры подключения к прокси-серверу:

Параметры подключения к интернету

• Адрес

  Адрес прокси-сервера для подключения Kaspersky Security Center Linux к интернету.

• Номер порта

  Номер порта, через который будет установлено прокси-подключение Kaspersky Security Center Linux.

• Не использовать прокси-сервер для локальных адресов

  При подключении к устройствам в локальной сети не будет использоваться прокси-сервер.

• Аутентификация на прокси-сервере

  Если флажок установлен, в полях ввода можно указать учетные данные для аутентификации на прокси-сервере.

  Поле ввода доступно, если установлен флажок Использовать прокси-сервер.

• Имя пользователя

  Учетная запись пользователя, от имени которого будет выполняться подключение к прокси-серверу (поле доступно, если установлен флажок Аутентификация на прокси-сервере).

• Пароль

  Пароль пользователя, с помощью учетной записи которого выполняется подключение к прокси-серверу (поле доступно, если установлен флажок Аутентификация на прокси-сервере).

  Чтобы посмотреть введенный пароль, нажмите на кнопку Показать и удерживайте ее необходимое вам время.

Вы можете настроить доступ в интернет позднее без запуска мастера первоначальной настройки.

Шаг 2. Загрузка требуемых обновлений

Необходимые обновления загружаются с серверов "Лаборатории Касперского" автоматически.

Загрузка требуемых обновлений

Шаг 3. Выбор активов для защиты

Развернуть все | Свернуть все

Выберите области защиты и операционные системы, которые используются в вашей сети. При выборе этих параметров вы указываете фильтры для плагинов управления приложениями и дистрибутивов на серверах "Лаборатории Касперского", которые вы можете загрузить для установки на клиентские устройства в вашей сети.

Выбор активов для защиты

Выберите следующие параметры:

• Области

  Вы можете выбрать одну из следующих областей защиты:

  • Рабочие станции
  • Файловые серверы и системы хранения данных
  • Виртуальные среды
  • Банкоматы и POS-системы
  • Промышленные сети
  • Промышленные конечные точки

• Операционные системы

  Вы можете выбрать одну из следующих платформ:

  • Microsoft Windows
  • macOS
  • Android
  • Linux
  • Другое

  Дополнительные сведения о поддерживаемых версиях операционных систем см. в разделе Аппаратные и программные требования Kaspersky Security Center Web Console.

Можно выбрать инсталляционные пакеты приложений "Лаборатории Касперского" из списка доступных инсталляционных пакетов позднее без запуска мастера первоначальной настройки. Для упрощения поиска необходимых инсталляционных пакетов вы можете фильтровать список доступных инсталляционных пакетов различным критериям.

Шаг 4. Выбор шифрования

Окно Шифрование отображается, только если в качестве области защиты выбран вариант Рабочие станции.

Kaspersky Endpoint Security для Windows включает инструменты шифрования информации, хранящейся на клиентских устройствах в операционной системой Windows. Эти инструменты шифрования имеют расширенный стандарт шифрования (AES), реализованный с длиной ключа 256 бит или 56 бит.

Загрузка и использование дистрибутива с длиной ключа 256 бит должна выполняться в соответствии с действующими законами и правилами. Чтобы загрузить дистрибутив Kaspersky Endpoint Security для Windows, действительный для нужд вашей организации, обратитесь к законодательству страны, в которой расположены клиентские устройства вашей организации.

Выбор шифрования

В окне Шифрование выберите один из следующих типов шифрования:

• Быстрое шифрование. Для этого типа шифрования используется 56-разрядный ключ.
• Стойкое шифрование. Для этого типа шифрования используется 256-разрядный ключ.

Вы можете выбрать дистрибутив для Kaspersky Endpoint Security для Windows с требуемым типом шифрования позднее без запуска мастера первоначальной настройки.

Шаг 5. Настройка установки плагинов для управляемых приложений

Развернуть все | Свернуть все

Выберите плагины для управляемых приложений для установки. Отображается список плагинов, расположенных на серверах "Лаборатории Касперского". Список отфильтрован в соответствии с параметрами, выбранными на предыдущем шаге мастера. По умолчанию в полный список включены плагины всех языков. Чтобы отображался только плагин на выбранном языке, используйте фильтр.

Установка плагинов для управляемых приложений

Список плагинов включает в себя следующие столбцы:

• Область защиты

  В этом столбце отображаются выбранные области для защиты.

• Тип

  В этом столбце отображаются типы плагинов.

• Имя

  Выбраны подключаемые модули в зависимости от областей защиты и платформ, выбранных на предыдущем шаге.

• Версия

  В список включены плагины всех версий, размещенных на серверах "Лаборатории Касперского". По умолчанию выбраны плагины последних версий.

• Последняя версия

  В этом столбце указано, является ли версия плагина последней. Если отображается значение true, соответствующий плагин имеет последнюю версию. Если отображается значение false, для соответствующего плагина существует более поздняя версия.

• Операционная система

  В этом столбце отображаются плагины операционных систем.

• Язык

  По умолчанию язык локализации плагина зависит от языка Kaspersky Security Center Linux, который вы выбрали при установке. Другие языки можно выбрать в раскрывающемся списке Отображать язык Консоли администрирования или.

После выбора подключаемых модулей нажмите на кнопку Далее, чтобы начать установку.

Вы можете установить плагины управления для приложений "Лаборатории Касперского" вручную позднее без запуска мастера первоначальной настройки.

Мастер первоначальной настройки автоматически установит выбранные плагины. Для установки некоторых плагинов вам нужно принять условия Лицензионного соглашения. Ознакомьтесь с текстом Лицензионного соглашения, который отображается на экране, установите флажок Я принимаю условия использования Kaspersky Security Network и нажмите на кнопку Установить. Если вы не согласны с условиями Лицензионного соглашения, плагин не установится.

Когда все выбранные плагины будут установлены, мастер первоначальной настройки автоматически перейдет к следующему шагу.

Шаг 6. Загрузка дистрибутивов и создание инсталляционных пакетов

Выберите дистрибутив для загрузки.

Для дистрибутивов управляемых приложений может потребоваться установка определенной минимальной версии Kaspersky Security Center Linux.

После того, как вы выбрали тип шифрования для Kaspersky Endpoint Security для Windows, отобразится список дистрибутивов для обоих типов шифрования. В списке выбран дистрибутив с выбранным типом шифрования. Вы можете выбрать дистрибутив для любого типа шифрования. Язык дистрибутива соответствует языку Kaspersky Security Center Linux. Если дистрибутив приложения для языка Kaspersky Security Center Linux отсутствует, выбирается дистрибутив на английском языке.

Загрузка дистрибутивов и создание инсталляционных пакетов

Чтобы завершить загрузку некоторых дистрибутивов вам нужно принять Лицензионное соглашение. При нажатии кнопки Принять отображается текст Лицензионного соглашения. Чтобы перейти к следующему шагу мастера, вам нужно принять положения и условия Лицензионного соглашения, а также условия Политики конфиденциальности "Лаборатории Касперского". Если вы не принимаете положения и условия, загрузка пакета отменяется.

После того, как вы приняли положения и условия Лицензионного соглашения, а также условия Политики конфиденциальности "Лаборатории Касперского", загрузка дистрибутивов продолжается. В дальнейшем инсталляционные пакеты можно использовать для развертывания приложений "Лаборатории Касперского" на клиентских устройствах.

Шаг 7. Настройка Kaspersky Security Network

Развернуть все | Свернуть все

Настройте параметры передачи информации о работе Kaspersky Security Center Linux в базу знаний Kaspersky Security Network.

Настройка Kaspersky Security Network

Выберите один из следующих вариантов:

• Я принимаю условия использования Kaspersky Security Network

  Kaspersky Security Center Linux и управляемые приложения, установленные на клиентских устройствах, в автоматическом режиме будут предоставлять информацию об их работе Kaspersky Security Network. Сотрудничество с Kaspersky Security Network обеспечивает более быстрое обновление баз данных о вирусах и угрозах, что увеличивает скорость реагирования на возникающие угрозы безопасности.

• Я не принимаю условия использования Kaspersky Security Network

  Kaspersky Security Center Linux и управляемые приложения не будут предоставлять информацию о своей работе Kaspersky Security Network.

  Если вы выбрали этот параметр, использование Kaspersky Security Network будет выключено.

Вы можете настроить доступ к Kaspersky Security Network (KSN) позднее без запуска мастера первоначальной настройки.

Шаг 8. Выбор способа активации приложения

Развернуть все | Свернуть все

Выберите один из следующих вариантов активации Kaspersky Security Center Linux:

• Введите ваш код активации

  Код активации – это уникальная последовательность из двадцати латинских букв и цифр. Вы вводите код активации, чтобы добавить ключ, активирующий Kaspersky Security Center Linux. Код активации отправляется вам на адрес электронной почты, указанный при приобретении Kaspersky Security Center.

  Чтобы активировать приложение с помощью кода активации, требуется доступ в интернет для подключения к серверам активации "Лаборатории Касперского".

  Если вы выбрали этот вариант активации приложения, можно включить вариант Автоматически распространять лицензионный ключ на управляемые устройства.

  Если выбран этот вариант, лицензионный ключ будет распространяться на управляемые устройства автоматически.

  Если этот вариант не выбран, лицензионный ключ можно будет распространить на управляемые устройства позже, в разделе Операции → Лицензирование → Лицензии "Лаборатории Касперского" главного меню.

• Укажите файл ключа

  Файл ключа – это файл с расширением key, который вам предоставляет "Лаборатория Касперского". Файл ключа предназначен для добавления ключа, активирующего приложение.

  Файл ключа отправляется вам на адрес электронной почты, указанный при приобретении Kaspersky Security Center.

  Чтобы активировать приложение с помощью файла ключа, не требуется подключение к серверам активации "Лаборатории Касперского".

  Если вы выбрали этот вариант активации приложения, можно включить вариант Автоматически распространять лицензионный ключ на управляемые устройства.

  Если выбран этот вариант, лицензионный ключ будет распространяться на управляемые устройства автоматически.

  Если этот вариант не выбран, лицензионный ключ можно будет распространить на управляемые устройства позже, в разделе Операции → Лицензирование → Лицензии "Лаборатории Касперского" главного меню.

• Отложите активацию приложения

  

  Выбор способа активации приложения

Если вы отложили активацию приложения, вы можете добавить ключ позже в любое время, выбрав Операции → Лицензирование.

При работе с Kaspersky Security Center, развернутым из платного образа AMI или с использованием ежемесячных счетов за использование SKU, вы не можете указать файл ключа или ввести код активации.

Шаг 9. Указание параметров управления обновлениями приложений сторонних производителей

Развернуть все | Свернуть все

Шаг Параметры управления обновлениями мастера первоначальной настройки не отображается, если у вас нет лицензии на Системное администрирование, а задача Поиск уязвимостей и требуемых обновлений уже существует.

Управление параметрами обновлений приложений сторонних приложений

Для обновлений приложений сторонних производителей выберите один из следующих вариантов:

• Искать требуемые обновления

  Задача Поиск уязвимостей и требуемых обновлений создается автоматически, если она еще не создана.

  По умолчанию этот вариант выбран.

• Искать и устанавливать требующиеся обновления

  Задачи Поиск уязвимостей и требуемых обновлений и Установка требуемых обновлений и закрытие уязвимостей создаются автоматически, если они не были созданы ранее.

  Этот параметр доступен при наличии лицензии на Системное администрирование.

Для обновлений Центра обновления Windows выберите Использовать источники обновлений, определенные в политике домена.

Вы можете создать задачи Поиск уязвимостей и требуемых обновлений и Установка требуемых обновлений и закрытие уязвимостей позднее без запуска мастера первоначальной настройки.

Шаг 10. Создание базовой конфигурации защиты сети

Вы можете проверить список созданных политик и задач.

Для перехода на следующий шаг мастера дождитесь окончания создания политик и задач.

Создание базовой конфигурации защиты сети

Шаг 11. Настройка параметров отправки уведомлений по электронной почте

Развернуть все | Свернуть все

Настройте параметры рассылки оповещений о событиях, регистрируемых при работе приложений "Лаборатории Касперского" на клиентских устройствах. Эти параметры будут использоваться в качестве значений по умолчанию в политиках приложений.

Настройка параметров отправки уведомлений по электронной почте

Для настройки рассылки оповещений о возникающих событиях приложений "Лаборатории Касперского" доступны следующие параметры:

• Получатели (адреса электронной почты)

  Адреса электронной почты пользователей, которым приложение будет отправлять уведомления. Вы можете указать один или более адресов. Если вы указываете несколько адресов, разделяйте их точкой с запятой.

• Адрес SMTP-сервера

  Адрес или адреса почтовых серверов вашей организации.

  Если вы указываете несколько адресов, разделяйте их точкой с запятой. Вы можете использовать следующие значения параметра:

  • IPv4-адрес или IPv6-адрес;
  • DNS-имя SMTP-сервера.
• Порт SMTP-сервера

  Номер коммуникационного порта SMTP-сервера. Если вы используете несколько SMTP-серверов, соединение с ними устанавливается через указанный коммуникационный порт. По умолчанию установлен порт 25.

• Использовать ESMTP-аутентификацию

  Включение поддержки ESMTP-аутентификации. После установки флажка можно указать параметры ESMTP-аутентификации в полях Имя пользователя и Пароль. По умолчанию флажок снят.

Вы можете проверить параметры уведомления о сообщениях электронной почты с помощью кнопки Отправить тестовое сообщение.

Шаг 12. Завершение работы мастера первоначальной настройки

Для завершения работы мастера нажмите на кнопку Готово.

Последний шаг мастера первоначальной настройки

После завершения работы мастера первоначальной настройки вы можете запустить мастер развертывания защиты для автоматической установки приложений безопасности или Агента администрирования на устройства в вашей сети.

Мастер развертывания защиты

Для установки приложений "Лаборатории Касперского" можно воспользоваться мастером развертывания защиты. Мастер развертывания защиты позволяет проводить удаленную установку приложений как с использованием специально созданных инсталляционных пакетов, так и напрямую из дистрибутивов.

Мастер развертывания защиты выполнит следующие действия:

• Загружает инсталляционный пакет для установки приложения (если он не был создан раньше). Инсталляционный пакет расположен: Обнаружение устройств и развертывание → Развертывание и назначение → Инсталляционные пакеты. Вы можете использовать этот инсталляционный пакет для установки приложения в дальнейшем.
• Создает и запускает задачу удаленной установки для набора устройств или для группы администрирования. Созданная задача удаленной установки хранится в разделе Задачи. Вы можете запустить эту задачу в дальнейшем вручную. Тип задачи – Удаленная установка приложения.

Если вы хотите установить Агент администрирования на устройства с операционной системой SUSE Linux Enterprise Server 15, сначала установите пакет insserv-compat, чтобы настроить Агент администрирования.

Запуск мастера развертывания защиты

Мастер развертывания защиты можно запустить вручную.

Чтобы запустить мастер развертывания защиты вручную,

В главном окне приложения перейдите в раздел Обнаружение устройств и развертывание → Развертывание и назначение → Мастер развертывания защиты.

Запустится мастер развертывания защиты. Для продолжения работы мастера нажмите на кнопку Далее.

Выбор инсталляционного пакета

Выберите инсталляционный пакет приложения, которое требуется установить.

Если инсталляционный пакет требуемого приложения не содержится в списке, нажмите на кнопку Добавить и выберите приложение из списка.

Выбор способа распространения файла ключа или кода активации

Развернуть все | Свернуть все

Выберите способ распространения файла ключа или кода активации:

• Не добавлять лицензионный ключ в инсталляционный пакет

  Если выбран этот вариант, ключ будет автоматически распространяться на те устройства, для которых он подходит:

  • если в свойствах ключа настроено автоматическое распространение;
  • если создана задача Добавление ключа.
• Добавить лицензионный ключ в инсталляционный пакет

  Ключ распространяется на устройства вместе с инсталляционным пакетом.

  Не рекомендуется распространять ключ таким способом, так как по умолчанию к хранилищу инсталляционных пакетов настроен общий доступ на чтение.

Если инсталляционный пакет уже содержит файл ключа или код активации, это окно отображается, но оно содержит только информацию о лицензионном ключе.

Выбор версии Агента администрирования

Если вы выбрали инсталляционный пакет приложения, отличный от Агента администрирования, необходимо также установить Агент администрирования для подключения приложения к Серверу администрирования Kaspersky Security Center.

Выберите последнюю версию Агента администрирования.

Выбор устройств

Развернуть все | Свернуть все

Укажите список устройств, на которые требуется установить приложение:

• Установить на управляемые устройства

  Если выбран этот вариант, задача удаленной установки приложения будет создана для группы устройств.

• Выбор устройств для установки

  Задача назначается устройствам, входящим в выборку устройств. Можно указать одну из существующих выборок.

  Например, вы можете использовать этот параметр, чтобы запустить задачу на устройствах с определенной версией операционной системы.

Задание параметров задачи удаленной установки

Развернуть все | Свернуть все

В окне Параметры задачи удаленной установки настройте параметры удаленной установки приложения.

В блоке параметров Принудительно загрузить инсталляционный пакет выберите способ доставки на клиентские устройства файлов, необходимых для установки приложения:

• C помощью Агента администрирования

  Если этот параметр включен, доставку инсталляционных пакетов на клиентские устройства выполняет установленный на клиентских устройствах Агент администрирования.

  Если этот параметр выключен, инсталляционные пакеты доставляются с помощью инструментов операционной системы клиентского устройства.

  Рекомендуется включить этот параметр, если задача назначена для устройств с установленными Агентами администрирования.

  По умолчанию параметр включен.

• Средствами операционной системы с помощью точек распространения

  Если этот параметр включен, инсталляционные пакеты передаются на клиентские устройства средствами операционной системы через точки распространения. Этот вариант можно выбрать, если в сети есть хотя бы одна точка распространения.

  Если параметр С помощью Агента администрирования включен, файлы будут доставлены средствами операционной системы только в случае невозможности использования средств Агента администрирования.

  По умолчанию параметр включен для задач удаленной установки, созданных на виртуальном Сервере администрирования.

  Единственный способ установить приложение для Windows (включая Агент администрирования для Windows) на устройство, на котором не установлен Агент администрирования, – это использовать точку распространения с операционной системой Windows. Поэтому при установке приложения для Windows:

  • Выберите этот параметр.
  • Убедитесь, что для целевых клиентских устройств назначена точка распространения.
  • Убедитесь, что на точке распространения установлена операционная система Windows.
• Средствами операционной системы c помощью Сервера администрирования

  Если этот параметр включен, доставка файлов на клиентские устройства будет осуществляться средствами операционной системы клиентских устройств с помощью Сервера администрирования. Этот параметр можно включить, если на клиентском устройстве не установлен Агент администрирования, но клиентское устройство находится в той же сети, что и Сервер администрирования.

  По умолчанию параметр включен.

Настройте дополнительный параметр:

• Не устанавливать приложение, если оно уже установлено

  Если этот параметр включен, выбранное приложение не устанавливается заново, если оно уже установлено на клиентском устройстве.

  Если этот параметр выключен, приложение будет установлено в любом случае.

  По умолчанию параметр включен.

• Назначить установку инсталляционного пакета в групповых политиках Active Directory
  

  Если этот параметр включен, инсталляционный пакет будет устанавливаться с помощью групповых политик Active Directory.

  Параметр доступен, если выбран инсталляционный пакет Агента администрирования.

  По умолчанию параметр выключен.

Шаг 6. Управление перезагрузкой

Развернуть все | Свернуть все

Укажите действие, которое требуется выполнить, если необходимо перезагрузить операционную систему во время установки приложения:

• Не перезагружать устройство

  Клиентские устройства не будут автоматически перезагружаться после выполнения операции. Для завершения операции потребуется перезагрузить устройство (например, вручную или с помощью задачи управления устройствами). Информация о необходимости перезагрузки сохранена в результатах выполнения задачи и в статусе устройства. Этот вариант подходит для задач на серверах и других устройствах, для которых критически важна бесперебойная работа.

• Перезагрузить устройство

  В этом случае перезагрузка всегда выполняется автоматически, если перезагрузка требуется для завершения операции. Этот вариант подходит для задач на устройствах, для которых допустимы периодические перерывы в работе (выключение, перезагрузка).

• Запрашивать у пользователя

  На экране клиентского устройства будет выводиться сообщение о том, что устройство должно быть перезагружено вручную. Для этого варианта можно настроить дополнительные параметры: текст сообщения для пользователя, периодичность сообщения, а также время, после которого перезагрузка будет выполнена принудительно (без подтверждения пользователя). Этот вариант является оптимальным для рабочих станций, чтобы пользователи могли выбрать наиболее удобное время для перезагрузки.

  По умолчанию выбран этот вариант.

  • Повторять запрос каждые (мин)

    Если выбран этот вариант, приложение с определенной частотой предлагает пользователю выполнить перезагрузку операционной системы.

    По умолчанию параметр включен. По умолчанию интервал составляет 5 минут. Допустимые значения: от 1 до 1440 минут.

    Если параметр выключен, предложение перезагрузки отображается только один раз.

  • Принудительно перезагрузить через (мин)

    После предложения пользователю перезагрузить операционную систему, приложение выполняет принудительную перезагрузку по истечении указанного времени.

    По умолчанию параметр включен. По умолчанию интервал времени составляет 30 минут. Допустимые значения: от 1 до 1440 минут.

• Принудительно закрывать приложения в заблокированных сеансах

  Запущенные приложения могут не позволить перезагрузить клиентское устройство. Например, если выполняется работа с документом в текстовом редакторе и изменения не сохранены, приложение не позволяет перезагрузить устройство.

  Если этот параметр включен, такие приложения на заблокированных устройствах принудительно закрываются перед перезагрузкой устройства. В результате пользователи могут потерять несохраненную работу.

  Если этот параметр выключен, заблокированное устройство не перезагружается. Состояние задачи на этом устройстве указывает на необходимость перезапуска устройства. Пользователям необходимо вручную закрыть все приложения, которые запущены на заблокированных устройствах, и перезагрузить эти устройства.

  По умолчанию параметр выключен.

Удаление несовместимых приложений перед установкой

Этот шаг присутствует, только если приложение, которое вы разворачиваете, несовместимо с другими приложениями.

Выберите этот параметр, если вы хотите, чтобы приложение Kaspersky Security Center Linux автоматически удаляло несовместимые приложения с приложением, которое вы устанавливаете.

Отображается список несовместимых приложений.

Если этот параметр не выбран, приложение будет установлено только на устройствах, на которых нет несовместимых приложений.

Перемещение устройств в папку Управляемые устройства

Развернуть все | Свернуть все

Укажите, следует ли перемещать устройства в группу администрирования после установки Агента администрирования.

• Не перемещать устройства

  Устройства остаются в тех группах, к которым они принадлежат. Устройства, не принадлежащие ни к одной из групп, остаются нераспределенными.

• Перемещать нераспределенные устройства в группу

  Устройства перемещаются в выбранную вами группу администрирования.

По умолчанию выбран вариант Не перемещать устройства. По соображениям безопасности вы можете предпочесть перемещение устройств вручную.

Выбор учетных записей для доступа к устройствам

Развернуть все | Свернуть все

Если необходимо, добавьте учетные записи, которые будут использоваться для запуска задачи удаленной установки:

• Учетная запись не требуется (Агент администрирования уже установлен)

  Если выбран этот вариант, не требуется указывать учетную запись, от имени которой будет запускаться инсталлятор приложения. Задача запускается под учетной записью, под которой работает служба Сервера администрирования.

  Если Агент администрирования не установлен на клиентских устройствах, вариант недоступен.

• Учетная запись требуется (Агент администрирования не используется)

  Выберите этот вариант, если Агент администрирования не установлен на устройствах, для которых вы назначаете задачу удаленной установки. В этом случае вы можете указать учетную запись пользователя для установки приложения.

  Чтобы указать учетную запись пользователя, под которой будет запускаться приложение установки, нажмите на кнопку Добавить, выберите Локальная учетная запись и укажите учетные данные учетной записи пользователя.

  Вы можете указать несколько учетных записей, если ни одна из них не обладает необходимыми правами на всех устройствах, для которых назначена задача. В этом случае для запуска задачи используются последовательно, сверху вниз, все добавленные учетные записи.

Запуск установки

Это последний шаг мастера. На этом шаге Задача удаленной установки приложения была успешно создана и настроена.

По умолчанию вариант Запустить задачу после завершения работы мастера не выбран. Если вы выберете этот параметр, Задача удаленной установки приложения начнется сразу после завершения работы мастера. Если вы не выберете этот параметр, Задача удаленной установки приложения не начнется. Вы можете запустить эту задачу в дальнейшем вручную.

Нажмите на кнопку ОК, чтобы завершить последний шаг мастера развертывания защиты.