Управление пользователями и ролями пользователей

В этом разделе описана работа с пользователями и ролями пользователей, а также приведены инструкции по их созданию и изменению, назначению пользователям ролей и групп и связи профилей политики с ролями.

Об учетных записях пользователей

Kaspersky Security Center Linux позволяет управлять учетными записями пользователей и группами безопасности. Приложение поддерживает два типа учетных записей:

• Учетные записи сотрудников организации. Сервер администрирования получает данные об учетных записях этих локальных пользователей при опросе сети организации.
• Учетные записи внутренних пользователей Kaspersky Security Center Linux. Вы можете создавать учетные записи внутренних пользователей на портале. Эти учетные записи используются только в Kaspersky Security Center Linux.

Группа kladmins не может быть использована для доступа к Kaspersky Security Center Web Console в Kaspersky Security Center Linux. Группа kladmins может содержать только учетные записи, которые используются для запуска служб Kaspersky Security Center Linux.

Чтобы просмотреть таблицы учетных записей пользователей и групп безопасности:

1. В главном окне приложения перейдите в раздел Пользователи и роли → Пользователи и группы.
2. Перейдите на вкладку Пользователи или Группы.

Откроется таблица пользователей или групп безопасности. Если вы хотите просмотреть таблицу только с учетными записями внутренних пользователей или групп, установите в фильтре Подтип критерий Внутренний или Локальный.

О ролях пользователей

Роль пользователя (далее также роль) это объект, содержащий набор прав и разрешений. Роль может быть связана с параметрами приложениями "Лаборатории Касперского", которые установлены на устройстве пользователя. Вы можете назначить роль набору пользователей или набору групп безопасности на любом уровне иерархии групп администрирования, Серверов администрирования либо на уровне конкретных объектов.

Если вы управляете устройствами с помощью иерархии Серверов администрирования, в которую входят виртуальные Серверы администрирования, обратите внимание, что вы можете создавать, изменять и удалять пользовательские роли только на физическом Сервере администрирования. Затем вы можете распространить пользовательские роли на подчиненные Серверы администрирования, в том числе виртуальные Серверы.

Вы можете связывать роли с профилями политик. Если пользователю назначена роль, этот пользователь получает параметры безопасности, требуемые для выполнения служебных обязанностей.

Роль пользователя может быть связана с устройствами пользователей заданной группы администрирования

Область роли пользователя

Область роли пользователя – это комбинация пользователей и групп администрирования. Параметры, связанные с ролью пользователя, применяются только к устройствам, принадлежащим тем пользователям, которым назначена эта роль, и только если эти устройства принадлежат к группам, которым назначена эта роль, включая дочерние группы.

Преимущество использования ролей

Преимущество использования ролей заключается в том, что вам не нужно указывать параметры безопасности для каждого управляемого устройства или для каждого из пользователей отдельно. Количество пользователей и устройств в компании может быть большим, но количество различных функций работы, требующих разных настроек безопасности, значительно меньше.

Отличия от использования профилей политики

Профили политики – это свойства политики, созданной для каждого приложения "Лаборатории Касперского" отдельно. Роль связана со многими профилями политики, которые созданы для разных приложений. Таким образом, роль – это метод объединения параметров для определенного типа пользователя.

Настройка прав доступа к функциям приложения. Управление доступом на основе ролей

Kaspersky Security Center Linux предоставляет доступ на основе ролей к функциям Kaspersky Security Center Linux и к функциям управляемых приложений "Лаборатории Касперского".

Вы можете настроить права доступа к функциям приложения для пользователей Kaspersky Security Center Linux одним из следующих способов:

• настраивать права каждого пользователя или группы пользователей индивидуально;
• создавать типовые роли пользователей с заранее настроенным набором прав и присваивать роли пользователям в зависимости от их служебных обязанностей.

Применение ролей пользователей облегчает и сокращает рутинные действия по настройке прав доступа пользователей к приложению. Права доступа в роли настраивают в соответствии с типовыми задачами и служебными обязанностями пользователей.

Ролям пользователя можно давать названия, соответствующие их назначению. В приложение можно создавать неограниченное количество ролей.

Вы можете использовать предопределенные роли пользователей с уже настроенным набором прав или создавать роли и самостоятельно настраивать необходимые права.

Права доступа к функциям приложения

В таблице ниже приведены функции Kaspersky Security Center Linux с правами доступа для управления задачами, отчетами, параметрами и для выполнения действий пользователя.

Для выполнения действий пользователя, перечисленных в таблице, у пользователя должно быть право, указанное рядом с действием.

Права на Чтение, Запись и Выполнение применимы к любой задаче, отчету или параметрам. В дополнение к этим правам у пользователя должно быть право Выполнение операций с выборками устройств для управления задачами, отчетами или изменения параметров выборок устройств.

Функциональная область Общие функции: Доступ к объектам независимо от их списков ACL предназначена для аудита. Когда пользователям предоставляется право Чтение в этой функциональной области, они получают полный доступ на Чтение ко всем объектам и могут выполнять любые созданные задачи на выбранных устройствах, подключенных к Серверу администрирования через Агент администрирования с правами локального администратора (root для Linux). Рекомендуется предоставлять эти права ограниченному кругу пользователей, которым они нужны для выполнения своих служебных обязанностей.

Все задачи, отчеты, параметры и инсталляционные пакеты, отсутствующие в таблице, относятся к области Общие функции: Базовая функциональность.

Права доступа к функциям приложения

Предопределенные роли пользователей

Роли пользователей, назначенные пользователям Kaspersky Security Center Linux, предоставляют им набор прав доступа к функциям приложения.

Пользователям, которые были созданы на виртуальном Сервере, невозможно назначить роли на Сервере администрирования.

Вы можете использовать предопределенные роли пользователей с уже настроенным набором прав или создавать роли и самостоятельно настраивать необходимые права. Некоторые из предопределенных пользовательских ролей, доступных в Kaspersky Security Center Linux, можно связать с определенными должностями, например, Аудитор, Специалист по безопасности, Контролер. Права доступа этих ролей предварительно настраиваются в соответствии со стандартными задачами и обязанностями соответствующих должностей. В таблице ниже показано как роли могут быть связаны с определенными должностями.

Примеры ролей для определенных должностей

В таблице ниже приведены права для каждой предопределенной роли пользователя.

Возможности функциональной области Управление мобильными устройствами: Общие и Управление системой недоступны в Kaspersky Security Center Linux.

Права предопределенных ролей пользователей

Назначение прав доступа к набору объектов

В дополнение к назначению прав доступа на уровне сервера, вы можете настроить доступ к конкретным объектам, например, к требуемой задаче. Приложение позволяет указать права доступа к следующим типам объектов:

• Группы администрирования
• Задачи
• Отчеты
• Выборки устройств
• Выборки событий

Чтобы назначить права доступа к конкретному объекту:

1. В зависимости от типа объекта в главном меню перейдите в соответствующий раздел:
   • Активы (Устройства) → Иерархия групп.
   • Активы (Устройства) → Задачи.
   • Мониторинг и отчеты → Отчеты.
   • Активы (Устройства) → Выборки устройств.
   • Мониторинг и отчеты → Выборки событий.
2. Откройте свойства объекта, к которому вы хотите настроить права доступа.

   Чтобы открыть окно свойств группы администрирования или задачи, нажмите на название объекта. Свойства других объектов можно открыть с помощью кнопки в панели инструментов.

3. В окне свойств откройте раздел Права доступа.

   Откроется список пользователей. Перечисленные пользователи и группы безопасности имеют права доступа к объекту. Если вы используете иерархию групп администрирования или Серверов, список и права доступа по умолчанию наследуются от родительской группы администрирования или главного Сервера.

4. Чтобы иметь возможность изменять список, включите параметр Использовать права пользователей.
5. Настройте права доступа:
   • Используйте кнопки Добавить и Удалить для изменения списка.
   • Укажите права доступа для пользователя или группы безопасности. Выполните одно из следующих действий:
     • Если вы хотите указать права доступа вручную, выберите пользователя или группу безопасности, нажмите на кнопку Права доступа и укажите права доступа.
     • Если вы хотите назначить пользовательскую роль пользователю или группе безопасности, выберите пользователя или группу безопасности, нажмите на кнопку Роли и выберите роль для назначения.
6. Нажмите на кнопку Сохранить.

Права доступа к объекту настроены.

Назначение прав пользователям или группам безопасности

Вы можете назначить права доступа пользователям или группам безопасности, чтобы использовать различные возможности Сервера администрирования, например Kaspersky Endpoint Security для Linux.

Чтобы назначить права доступа пользователю или группе безопасности:

1. В главном меню нажмите на значок параметров () рядом с именем требуемого Сервера администрирования.

   Откроется окно свойств Сервера администрирования.

2. На вкладке Права доступа установите флажок рядом с именем пользователя или группы безопасности, которым нужно назначить права, а затем нажмите на кнопку Права доступа.

   Вы не можете выбрать несколько пользователей или групп безопасности одновременно. Если вы выберете более одного объекта, кнопка Права доступа будет неактивна.

3. Настройте набор прав для пользователя или группы:
   1. Разверните узел с функциями Сервера администрирования или другого приложения "Лаборатории Касперского".
   2. Установите флажок Разрешить или Запретить рядом с нужной функцией или правом доступа.

      Пример 1: Установите флажок Разрешить рядом с узлом Интеграции приложения, чтобы предоставить пользователю или группе все доступные права доступа к функции интеграции приложения (Чтение, Запись и Выполнение).

      Пример 2: Разверните узел Управление ключами шифрования и установите флажок Разрешить рядом с разрешением Запись, чтобы предоставить пользователю или группе право доступа на Запись к функции управления ключами шифрования.

4. После настройки набора прав доступа нажмите на кнопку ОК.

Набор прав для пользователя или группа пользователей настроен.

Права Сервера администрирования (или группы администрирования) разделены на следующие области:

• Общий функционал:
  • Управление группами администрирования
  • Доступ к объектам независимо от их списков ACL
  • Базовая функциональность
  • Удаленные объекты
  • Управление ключами шифрования
  • Обработка событий
  • Операции с Сервером администрирования (только в окне свойств Сервера администрирования)
  • Теги устройств
  • Развертывание приложений "Лаборатории Касперского"
  • Управление лицензионными ключами
  • Интеграция приложения
  • Управление отчетами
  • Иерархия Серверов администрирования
  • Права пользователей
  • Виртуальные Серверы администрирования
• Управление мобильными устройствами:
  • Общие
  • Self Service Portal
• Управление системой:
  • Подключения
  • Удаленное выполнение скриптов
  • Инвентаризация оборудования
  • Network Access Control
  • Развертывание операционной системы
  • Системное администрирование
  • Удаленная установка
  • Инвентаризация приложений

Если для права не выбрано ни Разрешить, ни Запретить, оно считается неопределенным: право отклоняется до тех пор, пока оно не будет явно отклонено или разрешено для пользователя.

Права пользователей являются суммой следующего:

• собственных прав пользователя;
• прав всех ролей, назначенных пользователю;
• прав всех групп безопасности, в которые входит пользователь;
• прав всех ролей, назначенных группам, в которые входит пользователь.

Если хотя бы в одном наборе прав есть запрещенное право (для права установлен флажок Запретить), тогда для пользователя это право запрещено, даже если в других наборах прав оно разрешено или не определено.

Также вы можете добавить пользователей и группы безопасности в область пользовательской роли, чтобы использовать различные возможности Сервера администрирования. Параметры, связанные с ролью пользователя, применяются только к устройствам, принадлежащим тем пользователям, которым назначена эта роль, и только если эти устройства принадлежат к группам, которым назначена эта роль, включая дочерние группы.

Добавление учетной записи внутреннего пользователя

Чтобы добавить новую учетную запись пользователя Kaspersky Security Center Linux:

1. В главном окне приложения перейдите в раздел Пользователи и роли → Пользователи и группы и выберите вкладку Пользователи.
2. Нажмите на кнопку Добавить.
3. В открывшемся окне Добавить пользователя укажите параметры нового пользователя:
   • Имя.
   • Пароль для подключения пользователя к Kaspersky Security Center Linux.

     Пароль должен соответствовать следующим правилам:

     • Длина пароля должна быть от 8 до 256 символов.
     • Пароль должен содержать символы как минимум трех групп списка ниже:
       • верхний регистр (A–Z);
       • нижний регистр (a–z);
       • числа (0–9);
       • специальные символы (@ # $ % ^ & * - _ ! + = [ ] { } | : ' , . ? / \ ` ~ " ( ) ;).
     • Пароль не должен содержать пробелов, символов Юникода или комбинации "." и "@", когда "." расположена перед "@".

     Чтобы просмотреть введенный вами пароль, нажмите и удерживайте кнопку Показать.

     Количество попыток ввода пароля пользователем ограничено. По умолчанию максимальное количество попыток ввода пароля равно 10. Вы можете изменить максимальное количество попыток ввода пароля, как описано в разделе "Изменение количества попыток ввода пароля".

     Если пользователь неправильно ввел пароль заданное количество раз, учетная запись пользователя блокируется на один час. Вы можете разблокировать учетную запись, только сменив пароль.

4. Нажмите на кнопку Сохранить, чтобы сохранить изменения.

Учетная запись пользователей добавлена в список пользователей.

Создание группы безопасности

Чтобы создать группу безопасности:

1. В главном окне приложения перейдите в раздел Пользователи и роли → Пользователи и группы и выберите вкладку Группы.
2. Нажмите на кнопку Добавить.
3. В открывшемся окне Создать группу безопасности укажите следующие параметры новой группы безопасности:
   • Имя группы
   • Описание
4. Нажмите на кнопку Сохранить, чтобы сохранить изменения.

Группа безопасности добавлена в список групп.

Изменение учетной записи внутреннего пользователя

Чтобы изменить учетную запись внутреннего пользователя Kaspersky Security Center Linux:

1. В главном окне приложения перейдите в раздел Пользователи и роли → Пользователи и группы и выберите вкладку Пользователи.
2. Выберите учетную запись пользователя, которую требуется изменить.
3. В открывшемся окне на вкладке Общие измените параметры учетной записи пользователя:
   • Описание
   • Полное имя
   • Адрес электронной почты
   • Основной телефон
   • Задать новый пароль для подключения пользователя к Kaspersky Security Center Linux.

     Пароль должен соответствовать следующим правилам:

     • Длина пароля должна быть от 8 до 256 символов.
     • Пароль должен содержать символы как минимум трех групп списка ниже:
       • верхний регистр (A–Z);
       • нижний регистр (a–z);
       • числа (0–9);
       • специальные символы (@ # $ % ^ & * - _ ! + = [ ] { } | : ' , . ? / \ ` ~ " ( ) ;).
     • Пароль не должен содержать пробелов, символов Юникода или комбинации "." и "@", когда "." расположена перед "@".

     Чтобы посмотреть введенный пароль, нажмите на кнопку Показать и удерживайте ее необходимое вам время.

     Количество попыток ввода пароля пользователем ограничено. По умолчанию максимальное количество попыток ввода пароля равно 10. Вы можете изменить разрешенное количество попыток; однако из соображений безопасности не рекомендуется уменьшать это число. Если пользователь неправильно ввел пароль заданное количество раз, учетная запись пользователя блокируется на один час. Вы можете разблокировать учетную запись, только сменив пароль.

   • При необходимости переведите переключатель в положение Выключено, чтобы запретить пользователю подключаться к приложению. Например, можно отключить учетную запись после того, как сотрудник увольняется из компании.
4. На вкладке Дополнительные настройки безопасности вы можете указать параметры безопасности для этой учетной записи.
5. На вкладке Группы можно добавить пользователя или группу безопасности.
6. На вкладке Устройства можно назначить устройства пользователю.
7. На вкладке Роли можно назначить роль пользователю.
8. Нажмите на кнопку Сохранить, чтобы сохранить изменения.

Измененная учетная запись пользователя отобразится в списке пользователей.

Изменение группы безопасности

Чтобы изменить группу безопасности:

1. В главном окне приложения перейдите в раздел Пользователи и роли → Пользователи и группы и выберите вкладку Группы.
2. Выберите группу безопасности, которую требуется изменить.
3. В открывшемся окне измените параметры группы безопасности:
   • На вкладке Общие можно изменить параметры Имя и Описание. Эти параметры доступны только для внутренних групп безопасности.
   • На вкладке Пользователи можно добавить пользователей в группу безопасности. Эти параметры доступны только для внутренних пользователей и внутренних групп безопасности.
   • На вкладке Роли можно назначить роль группе безопасности.
4. Нажмите на кнопку Сохранить, чтобы сохранить изменения.

Изменения применены к группе безопасности.

Назначение роли пользователю или группе безопасности

Чтобы назначить роли пользователю или группе безопасности:

1. В главном окне приложения перейдите в раздел Пользователи и роли → Пользователи и группы и выберите вкладку Пользователи или Группы.
2. Выберите имя пользователя или группы безопасности, которой нужно назначить роль.

   Можно выбрать несколько имен.

3. В меню нажмите на кнопку Назначить роль.

   Будет запущен мастер назначения роли.

4. Следуйте инструкциям мастера: выберите роль, которую вы хотите назначить выбранным пользователям или группам безопасности, и выберите область действия роли.

   Область роли пользователя – это комбинация пользователей и групп администрирования. Параметры, связанные с ролью пользователя, применяются только к устройствам, принадлежащим тем пользователям, которым назначена эта роль, и только если эти устройства принадлежат к группам, которым назначена эта роль, включая дочерние группы.

В результате роль с набором прав для работы с Сервером администрирования будет назначена пользователю (или пользователям, или группе безопасности). В списке пользователей или групп безопасности отображается флажок в столбце Имеет назначенные роли.

Добавление учетных записей пользователей во внутреннюю группу безопасности

Учетные записи внутренних пользователей можно добавлять только во внутреннюю группу безопасности.

Чтобы добавить учетные записи пользователей в группу безопасности:

1. В главном окне приложения перейдите в раздел Пользователи и роли → Пользователи и группы и выберите вкладку Пользователи.
2. Установите флажки напротив учетных записей пользователей, которые требуется добавить в группу безопасности.
3. Нажмите на кнопку Назначить группу.
4. В открывшемся окне Назначить группу выберите группу безопасности, в которую требуется добавить учетные записи пользователей.
5. Нажмите на кнопку Сохранить.

Учетные записи пользователей добавлены в группу безопасности. Также можно добавить внутренних пользователей в группу безопасности, используя параметры группы.

Назначение пользователя владельцем устройства

Информацию о назначении пользователя владельцем мобильного устройства см. в справке Kaspersky Security для мобильных устройств.

Чтобы назначить пользователя владельцем устройства:

1. Если вы хотите назначить владельца устройства, подключенного к виртуальному Серверу администрирования, сначала переключитесь на виртуальный Сервер администрирования:
   1. В главном меню нажмите на значок шеврона () справа от текущего имени Сервера администрирования.
   2. Выберите требуемый Сервер администрирования.
2. В главном окне приложения перейдите в раздел Пользователи и роли → Пользователи и группы и выберите вкладку Пользователи.

   Откроется список пользователей. Если вы в данный момент подключены к виртуальному Серверу администрирования, в список входят пользователи текущего виртуального Сервера администрирования и главного Сервера администрирования.

3. Нажмите на учетную запись пользователя, которую требуется назначить в качестве владельца устройству.
4. В открывшемся окне свойств пользователя выберите вкладку Устройства.
5. Нажмите на кнопку Добавить.
6. Из списка устройств выберите устройство, которое вы хотите назначить пользователю.
7. Нажмите на кнопку ОК.

Выбранное устройство добавляется в список устройств, назначенных пользователю.

Также можно выполнить эту операцию в группе Активы (Устройства) → Управляемые устройства, выбрав имя устройства, которое вы хотите назначить, и перейдя по ссылке Сменить владельца устройства.

Назначение пользователя владельцем устройства при установке Агента администрирования

Чтобы назначить пользователя владельцем устройства при установке Агента администрирования с помощью инсталляционного пакета, добавьте в параметры инсталляционного пакета Агента администрирования переменные, указанные в таблице ниже.

Агент администрирования расшифрует указанные учетную запись и пароль при установке Kaspersky Security Center Linux, и пользователь будет зарегистрирован как владелец устройства.

Вы также можете назначить пользователя владельцем устройства при установке Агента администрирования в тихом режиме с файлом ответов.

Чтобы назначить пользователя владельцем устройства при установке Агента администрирования в тихом режиме с файлом ответов:

1. Добавьте параметр KLNAGENT_DEVICEOWNER_REGISTRATION_START в файл ответов и установите для него значение 1.

   Утилита для регистрации пользователя в качестве владельца устройства запустится после установки Агента администрирования.

2. Введите учетную запись и пароль в командной строке на клиентском устройстве.

   Пользователь назначен владельцем устройства.

Если пользователь входит во внутреннюю группу безопасности, учетная запись должна содержать имя пользователя.

Если пользователь входит в группу безопасности Active Directory, учетная запись должна содержать имя пользователя и имя домена.

Если для пользователя включена двухэтапная проверка, вам необходимо ввести временный одноразовый пароль (TOTP) из приложения.

Назначение пользователя владельцем устройства Linux после установки Агента администрирования

Чтобы разрешить пользователю зарегистрироваться в качестве владельца устройства Linux:

1. В Kaspersky Security Center Web Console перейдите в раздел Обнаружение устройств и развертывание → Развертывание и назначение → Инсталляционные пакеты.

   Откроется список инсталляционных пакетов.

2. Нажмите на инсталляционный пакет Агента администрирования.

   Отобразится окно свойств инсталляционного пакета.

3. В открывшемся окне свойств инсталляционного пакета перейдите на вкладку Параметры → Дополнительно.
4. В разделе Регистрация пользователя в качестве владельца устройства (только для Linux) включите параметр Разрешить запуск утилиты регистрации пользователя после установки Агента администрирования и нажмите на кнопку Сохранить.

Утилиту для регистрации пользователя в качестве владельца устройства можно запустить из командной строки на клиентском устройстве.

Чтобы зарегистрировать пользователя в качестве владельца устройства Linux на клиентском устройстве:

1. Выполните следующую команду в командной строке на клиентском устройстве:
   $ /opt/kaspersky/klnagent64/bin/nagregister -set_owner
2. Если потребуется, введите учетную запись и пароль.

   Если учетная запись и пароль включены в файл ответов или инсталляционный пакет Агента администрирования, выполните следующую команду в командной строке на клиентском устройстве:
   $ /opt/kaspersky/klnagent64/bin/nagregister -set_owner -unattended

Если пользователь входит во внутреннюю группу безопасности, учетная запись должна содержать имя пользователя.

Если пользователь входит в группу безопасности Active Directory, учетная запись должна содержать имя пользователя и имя домена.

Если для пользователя включена двухэтапная проверка, вам необходимо ввести временный одноразовый пароль (TOTP) из приложения.

Пользователь зарегистрирован как владелец устройства.

Отмена назначения пользователя владельцем устройства

Чтобы отменить назначение пользователя в качестве владельца устройства на клиентском устройстве:

1. Выполните следующую команду в командной строке на клиентском устройстве:

   $ /opt/kaspersky/klnagent64/bin/nagregister -remove_owner

2. Введите имя пользователя и пароль.

Если пользователь входит во внутреннюю группу безопасности, учетная запись должна содержать имя пользователя.

Если пользователь входит в группу безопасности Active Directory, учетная запись должна содержать имя пользователя и имя домена.

Если для пользователя включена двухэтапная проверка, вам необходимо ввести временный одноразовый пароль (TOTP) из приложения.

Назначение пользователя владельцем устройства отменено.

Включение защиты учетной записи от несанкционированного изменения

Вы можете дополнительно включить защиту учетной записи пользователя от несанкционированного изменения. Если этот параметр включен, изменение параметров учетной записи пользователя требует авторизации пользователя с правами на изменение.

Чтобы включить или выключить защиту учетной записи от несанкционированного изменения:

1. В главном окне приложения перейдите в раздел Пользователи и роли → Пользователи и группы и выберите вкладку Пользователи.
2. Нажмите на учетную запись внутреннего пользователя, для которой вы хотите настроить защиту учетной записи от несанкционированного изменения.
3. В открывшемся окне свойств пользователя выберите вкладку Дополнительные настройки безопасности.
4. На вкладке Дополнительные настройки безопасности выберите параметр Запрашивать аутентификацию для проверки разрешения на изменение учетных записей пользователей, если вы хотите запрашивать учетные данные каждый раз при изменении параметров учетной записи. Или выберите Разрешить пользователям изменять эту учетную запись без дополнительной аутентификации.
5. Нажмите на кнопку Сохранить.

Двухэтапная проверка

В этом разделе описывается использование двухэтапной проверки для снижения риска несанкционированного доступа к Kaspersky Security Center Web Console.

Сценарий: настройка двухэтапной проверки для всех пользователей

В этом сценарии описывается, как включить двухэтапную проверку для всех пользователей и как исключить учетные записи пользователей из двухэтапной проверки. Если вы не включили двухэтапную проверку для своей учетной записи, прежде чем включить ее для других пользователей, приложение сначала откроет окно включения двухэтапной проверки для вашей учетной записи. В этом сценарии также описано, как включить двухэтапную проверку для вашей учетной записи.

Если вы включили двухэтапную проверку для своей учетной записи, вы можете перейти к включению двухэтапной проверки для всех пользователей.

Предварительные требования

Прежде чем начать:

• Убедитесь, что ваша учетная запись имеет право Изменение списков управления доступом объектов в функциональной области Общие функции: Права пользователей для изменения параметров безопасности учетных записей других пользователей.
• Убедитесь, что другие пользователи Сервера администрирования установили на свои устройства приложение для аутентификации.

Этапы

Включение двухэтапной проверки для всех пользователей состоит из следующих этапов:

1. Установка приложения для аутентификации на устройство

   Вы можете установить любое приложение проверки подлинности, которое поддерживает алгоритм формирования одноразового пароля на основе времени (TOTP), такие как:

   • Google Authenticator.
   • Microsoft Authenticator.
   • Bitrix24 OTP.
   • Яндекс ключ.
   • Avanpost Authenticator.
   • Aladdin 2FA.

   Чтобы проверить, поддерживает ли Kaspersky Security Center Linux приложение для аутентификации, которое вы хотите использовать, включите двухфакторную проверку для всех пользователей или для определенного пользователя.

   Один из шагов предполагает, что вы указываете код безопасности, сгенерированный приложением для аутентификации. В случае успеха Kaspersky Security Center Linux поддерживает выбранное приложение проверки подлинности.

   Категорически не рекомендуется устанавливать приложение для аутентификации на том же устройстве, с которого выполняется подключение к Серверу администрирования.

2. Синхронизация времени приложения для аутентификации и время устройства, на котором установлен Сервер администрирования

   Убедитесь, что время на устройстве с приложением для аутентификации и время на устройстве с Сервером администрирования синхронизированы с UTC с помощью внешних источников времени. Иначе возможны сбои при аутентификации и активации двухэтапной проверки.

3. Включение двухэтапной проверки и получение секретного ключа для своей учетной записи

   После включения двухэтапной проверки для своей учетной записи вы можете включить двухэтапную проверку для всех пользователей.

4. Включение двухэтапной проверки для всех пользователей

   Пользователи с включенной двухэтапной проверкой должны использовать ее для входа на Сервер администрирования.

5. Запретить новым пользователям настраивать для себя двухэтапную проверку

   Чтобы еще больше повысить безопасность доступа к Kaspersky Security Center Web Console, вы можете запретить новым пользователям настраивать для себя двухэтапную проверку.

6. Изменение имени издателя кода безопасности

   Если у вас несколько Серверов администрирования с похожими именами, возможно, вам придется изменить имена издателей кода безопасности для лучшего распознавания разных Серверов администрирования.

7. Исключение учетных записей пользователей, для которых не требуется включать двухэтапную проверку

   При необходимости исключите учетные записи пользователей из двухэтапной проверки. Пользователям с исключенными учетными записями не нужно использовать двухэтапную проверку для входа на Сервер администрирования.

8. Настройка двухэтапной проверки для вашей учетной записи

   Если пользователи не исключены из двухэтапной проверки и двухэтапная проверка еще не настроена для их учетных записей, им необходимо настроить ее в окне, открывающемся при входе в Kaspersky Security Center Web Console. Иначе они не смогут получить доступ к Серверу администрирования в соответствии со своими правами.

Результаты

После выполнения этого сценария:

• Двухэтапная проверка для вашей учетной записи включена.
• Двухэтапная проверка включена для всех учетных записей пользователей Сервера администрирования, кроме исключенных учетных записей пользователей.

О двухэтапной проверке учетной записи

Kaspersky Security Center Linux предоставляет двухэтапную проверку для пользователей Kaspersky Security Center Web Console. Если для вашей учетной записи включена двухэтапная проверка, каждый раз при входе в Kaspersky Security Center Web Console вы вводите свое имя пользователя, пароль и дополнительный одноразовый код безопасности. Чтобы получить одноразовый код безопасности, вам нужно установить приложение для аутентификации на компьютере или мобильном устройстве.

Код безопасности имеет идентификатор, называемый также имя издателя. Имя издателя кода безопасности используется в качестве идентификатора Сервера администрирования в приложении для аутентификации. Вы можете изменить имя издателя кода безопасности. Имя издателя кода безопасности имеет значение по умолчанию, такое же, как имя Сервера администрирования. Имя издателя используется в качестве идентификатора Сервера администрирования в приложении для аутентификации. Если вы изменили имя издателя кода безопасности, необходимо выпустить новый секретный ключ и передать его приложению для аутентификации. Код безопасности является одноразовым и действует до 90 секунд (точное время может варьироваться).

Любой пользователь, для которого включена двухэтапная проверка, может повторно ввести свой секретный ключ. Когда пользователь выполняет аутентификацию с повторно выданным секретным ключом и использует этот ключ для входа в приложение, Сервер администрирования сохраняет новый секретный ключ для учетной записи пользователя. Если пользователь неправильно ввел новый секретный ключ, Сервер администрирования не сохраняет новый секретный ключ и оставляет текущий секретный ключ действующим для дальнейшей аутентификации.

Любое программное обеспечение для аутентификации, которое поддерживает алгоритм одноразового пароля на основе времени (TOTP), может использоваться в качестве приложения для аутентификации. Например, Google Authenticator. Чтобы сгенерировать код безопасности, вам нужно синхронизировать время, установленное в приложении для аутентификации, со временем, установленным для Сервера администрирования.

Чтобы проверить, поддерживает ли Kaspersky Security Center Linux приложение для аутентификации, которое вы хотите использовать, включите двухфакторную проверку для всех пользователей или для определенного пользователя.

Один из шагов предполагает, что вы указываете код безопасности, сгенерированный приложением для аутентификации. В случае успеха Kaspersky Security Center Linux поддерживает выбранное приложение проверки подлинности.

Приложение для аутентификации генерирует секретный код следующим образом:

1. Сервер администрирования генерирует специальный секретный ключ и QR-код.
2. Вы передаете сгенерированный секретный ключ или QR-код приложению для аутентификации.
3. Приложение для аутентификации генерирует одноразовый код безопасности, который вы передаете в окно аутентификации Сервера администрирования.

Настоятельно рекомендуется сохранить секретный ключ или QR-код и хранить его в надежном месте. Это поможет вам восстановить доступ к Kaspersky Security Center Web Console в случае потери доступа к мобильному устройству.

Чтобы обезопасить использование Kaspersky Security Center Linux, вы можете включить двухэтапную проверку для своей учетной записи и включить двухэтапную проверку для всех пользователей.

Вы можете исключить учетные записи из двухэтапной проверки. Это может быть необходимо для служебных учетных записей, которые не могут получить защитный код для аутентификации.

Двухэтапная проверка работает в соответствии со следующими правилами:

• Только пользователь с правом Изменение списков управления доступом объектов функциональной области Общие функции: Права пользователей, может включать двухэтапную проверку для всех пользователей.
• Только пользователь, включивший двухэтапную проверку для своей учетной записи, может включить двухэтапную проверку для всех пользователей.
• Только пользователь, включивший двухэтапную проверку для своей учетной записи, может исключить другие учетные записи пользователей из списка двухэтапной проверки, включенной для всех пользователей.
• Пользователь может включить двухэтапную проверку только для своей учетной записи.
• Пользователь, у которого есть право Изменение списков управления доступом объектов функциональной области Общие функции: Права пользователей и, который авторизован в Kaspersky Security Center Web Console с помощью двухэтапной проверки, может выключать двухэтапную проверку: для любого другого пользователя, только если двухэтапная проверка для всех пользователей выключена; для пользователя, исключенного из списка двухэтапной проверки включенной для всех пользователей.
• Любой пользователь, выполнивший вход в Kaspersky Security Center Web Console с помощью двухэтапной проверки, может повторно получить секретный ключ.
• Вы можете включить двухэтапную проверку для всех пользователей Сервера администрирования, с которым вы сейчас работаете. Если вы включите этот параметр на Сервере администрирования, вы также включаете этот параметр для учетных записей пользователей его виртуальных Серверов администрирования и не включаете двухэтапную проверку для учетных записей пользователей подчиненных Серверов администрирования.

Включение двухэтапной проверки для вашей учетной записи

Вы можете включить двухэтапную проверку только для своей учетной записи.

Перед тем как включить двухэтапную проверку для своей учетной записи, убедитесь, что на мобильном устройстве установлено приложение для аутентификации. Убедитесь, что время, установленное в приложении для аутентификации, синхронизировано со временем устройства, на котором установлен Сервер администрирования.

Чтобы включить двухэтапную проверку для учетной записи пользователя:

1. В главном окне приложения перейдите в раздел Пользователи и роли → Пользователи и группы и выберите вкладку Пользователи.
2. Нажмите на имя вашей учетной записи.
3. В открывшемся окне свойств пользователя выберите вкладку Дополнительные настройки безопасности:
   1. Выберите параметр Запрашивать только имя пользователя, пароль и код безопасности (двухэтапная проверка). Нажмите на кнопку Сохранить.
   2. В открывшемся окне двухэтапной проверки нажмите Узнайте, как настроить двухэтапную проверку.

      Нажмите на кнопку Просмотреть QR-код.

      

   Генерация QR-кода для приложения для аутентификации

   1. Отсканируйте QR-код приложением проверки для аутентификации на мобильном устройстве, чтобы получить одноразовый код безопасности.

      

   QR-код для приложения для аутентификации

   1. В окне двухэтапной проверки укажите код безопасности, сгенерированный приложением для аутентификации и нажмите на кнопку Проверить и применить.

      

   Ввод кода безопасности из приложения для аутентификации

4. Нажмите на кнопку Сохранить.

Двухэтапная проверка для вашей учетной записи включена.

Отсканируйте QR-код приложением проверки для аутентификации на мобильном устройстве, чтобы получить одноразовый код безопасности.

Включение обязательной двухэтапной проверки для всех пользователей

Вы можете включить двухэтапную проверку для всех пользователей Сервера администрирования, если у вашей учетной записи есть право Изменение списков управления доступом объектов в функциональной области Общие функции: Права пользователей и если вы выполнили аутентификацию с помощью двухэтапной проверки. 

Чтобы включить двухэтапную проверку для всех пользователей:

1. В главном меню нажмите на значок параметров () рядом с именем требуемого Сервера администрирования.

   Откроется окно свойств Сервера администрирования.

2. На вкладке Дополнительные настройки безопасности окна свойств включите двухэтапную проверку для всех пользователей.

   

   Включение двухэтапной проверки для всех пользователей

3. Если вы не включили двухэтапную проверку для своей учетной записи, приложение откроет окно включения двухэтапной проверки для вашей учетной записи.
   1. В открывшемся окне двухэтапной проверки нажмите Узнайте, как настроить двухэтапную проверку.
   2. Нажмите на кнопку Просмотреть QR-код.

      

   Генерация QR-кода для приложения для аутентификации

   1. Отсканируйте QR-код приложением проверки для аутентификации на мобильном устройстве, чтобы получить одноразовый код безопасности.

      

   QR-код для приложения для аутентификации

   Введите секретный ключ в приложение проверки для аутентификации вручную.

   1. В окне двухэтапной проверки укажите код безопасности, сгенерированный приложением для аутентификации и нажмите на кнопку Проверить и применить.

      

   Ввод кода безопасности из приложения для аутентификации

Двухэтапная проверка для всех пользователей включена. Пользователям Сервера администрирования, включая пользователей, которые были добавлены после включения двухэтапной проверки для всех пользователей, необходимо настроить двухэтапную проверку для своих учетных записей, за исключением пользователей, учетные записи которых исключены из двухэтапной проверки.

Выключение двухэтапной проверки для учетной записи пользователя

Вы можете выключить двухэтапную проверку для своей учетной записи, а также для учетной записи любого другого пользователя.

Вы можете выключить двухэтапную проверку для другой учетной записи пользователя, если у вашей учетной записи есть право Изменение списков управления доступом объектов в функциональной области Общие функции: Права пользователей и если вы выполнили аутентификацию с помощью двухэтапной проверки.

Чтобы выключить двухэтапную проверку для учетной записи пользователя:

1. В главном окне приложения перейдите в раздел Пользователи и роли → Пользователи и группы и выберите вкладку Пользователи.
2. Нажмите на учетную запись внутреннего пользователя, для которой вы хотите выключить двухэтапную проверку. Это может быть ваша собственная учетная запись или учетная запись любого другого пользователя.
3. В открывшемся окне свойств пользователя выберите вкладку Дополнительные настройки безопасности.
4. Выберите параметр Запрашивать только имя пользователя и пароль, если вы хотите выключить двухэтапную проверку для учетной записи пользователя.
5. Нажмите на кнопку Сохранить.

Двухэтапная проверка для вашей учетной записи выключена.

Если вы хотите восстановить доступ пользователя, который не может войти в Kaspersky Security Center Web Console с помощью двухэтапной проверки, выключите двухэтапную проверку для этой учетной записи пользователя и выберите параметр Запрашивать только имя пользователя и пароль как описано выше. После этого войдите в Kaspersky Security Center Web Console под учетной записью пользователя, для которого вы выключили двухэтапную проверку и снова включите проверку.

Выключение обязательной двухэтапной проверки для всех пользователей

Вы можете выключить обязательную двухэтапную проверку для всех пользователей, если двухэтапная проверка включена для вашей учетной записи и у вашей учетной записи есть право Изменение списков ACL объекта в разделе Общие функции: Права пользователей. Если двухэтапная проверка не включена для вашей учетной записи, вам нужно включить двухэтапную проверку для своей учетной записи, прежде чем выключить ее для всех пользователей.

Чтобы выключить двухэтапную проверку для всех пользователей:

1. В главном меню нажмите на значок параметров () рядом с именем требуемого Сервера администрирования.

   Откроется окно свойств Сервера администрирования.

2. На вкладке Дополнительные настройки безопасности окна свойств выключите переключатель двухэтапной проверки для всех пользователей.
3. Введите учетные данные своей учетной записи в окне аутентификации.

Двухэтапная проверка для всех пользователей выключена. Выключение двухэтапной проверки для всех пользователей не применяется к конкретным учетным записям, для которых двухэтапная проверка ранее была включена отдельно.

Исключение учетных записей из двухэтапной проверки.

Вы можете исключить учетные записи пользователей из двухэтапной проверки, если у вас есть право Изменение списков ACL объекта в функциональной области Общие функции: Права пользователя.

Если учетная запись пользователя исключена из списка двухэтапной проверки для всех пользователей, этому пользователю не нужно использовать двухэтапную проверку.

Исключение учетных записей из двухэтапной проверки может быть необходимо для служебных учетных записей, которые не могут передать код безопасности во время аутентификации.

Если вы хотите исключить некоторые учетные записи пользователей из двухэтапной проверки:

1. В главном меню нажмите на значок параметров () рядом с именем требуемого Сервера администрирования.

   Откроется окно свойств Сервера администрирования.

2. На вкладке Дополнительные настройки безопасности окна свойств в таблице исключений для двухэтапной проверки нажмите на кнопку Добавить.
3. В открывшемся окне:
   1. Выберите учетную запись пользователя, которую вы хотите исключить.
   2. Нажмите на кнопку ОК.

Выбранные учетные записи пользователей исключены из двухэтапной проверки.

Настройка двухэтапной проверки для вашей учетной записи

При первом входе в Kaspersky Security Center Linux после включения двухэтапной проверки откроется окно настройки двухэтапной проверки для вашей учетной записи.

Перед тем как настроить двухэтапную проверку для своей учетной записи, убедитесь, что на мобильном устройстве установлено приложение для аутентификации. Убедитесь, что время на устройстве с приложением для аутентификации и время на устройстве с Сервером администрирования синхронизированы с UTC с помощью внешних источников времени.

Чтобы настроить двухэтапную проверку для учетной записи:

1. Сгенерируйте одноразовый код безопасности с помощью приложения для аутентификации на мобильном устройстве. Для этого выполните одно из следующих действий:
   • Введите секретный ключ в приложение для аутентификации вручную.
   • Нажмите на кнопку Просмотреть QR-код и отсканируйте QR-код с помощью приложения для аутентификации.

   Код безопасности отобразится на мобильном устройстве.

2. В окне настройки двухэтапной проверки укажите код безопасности, сгенерированный приложением для аутентификации и нажмите на кнопку Проверить и применить.

Двухэтапная проверка для вашей учетной записи настроена. У вас есть доступ к Серверу администрирования в соответствии со своими правами.

Запретить новым пользователям настраивать для себя двухэтапную проверку

Чтобы еще больше повысить безопасность доступа к Kaspersky Security Center Web Console, вы можете запретить новым пользователям настраивать для себя двухэтапную проверку.

Если этот параметр включен, пользователь с выключенной двухэтапной проверкой, например новый администратор домена, не сможет настроить двухэтапную проверку для себя. Следовательно, такой пользователь не может быть аутентифицирован на Сервере администрирования и не может войти в Kaspersky Security Center Web Console без одобрения другого администратора Kaspersky Security Center Linux, у которого уже включена двухэтапная проверка.

Этот параметр доступен, если для всех пользователей включена двухэтапная проверка.

Чтобы запретить новым пользователям настраивать для себя двухэтапную проверку:

1. В главном меню нажмите на значок параметров () рядом с именем требуемого Сервера администрирования.

   Откроется окно свойств Сервера администрирования.

2. На вкладке Дополнительные настройки безопасности в окне свойств включите переключатель Запретить новым пользователям настраивать для себя двухэтапную проверку.

Этот параметр не влияет на учетные записи пользователей, добавленных в исключения двухэтапной проверки.

Чтобы предоставить доступ к Kaspersky Security Center Web Console пользователю с выключенной двухэтапной проверкой, временно выключите параметр Запретить новым пользователям настраивать для себя двухэтапную проверку, попросите пользователя включить двухэтапную проверку, а затем включите параметр снова.

Генерация нового секретного ключа

Вы можете сгенерировать новый секретный ключ для двухэтапной проверки своей учетной записи, только если вы авторизованы с помощью двухэтапной проверки.

Чтобы сгенерировать новый секретный ключ для учетной записи пользователя:

1. В главном окне приложения перейдите в раздел Пользователи и роли → Пользователи и группы и выберите вкладку Пользователи.
2. Нажмите на учетную запись пользователя, для которой вы хотите сгенерировать новый секретный ключ для двухэтапной проверки.
3. В открывшемся окне свойств пользователя выберите вкладку Дополнительные настройки безопасности.
4. На вкладке Дополнительные настройки безопасности перейдите по ссылке Сгенерировать секретный ключ.
5. В открывшемся окне двухэтапной проверки укажите новый ключ безопасности, сгенерированный приложением для аутентификации.
6. Нажмите на кнопку Проверить и применить.

Новый секретный ключ для пользователя создан.

Если вы потеряете мобильное устройство, можно установить приложение для аутентификации на другое мобильное устройство и сгенерировать новый секретный ключ для восстановления доступа к Kaspersky Security Center Web Console.

Изменение имени издателя кода безопасности

У вас может быть несколько идентификаторов (также их называют издателями) для разных Серверов администрирования. Вы можете изменить имя издателя кода безопасности, например, если Сервер администрирования уже использует аналогичное имя издателя кода безопасности для другого Сервера администрирования. По умолчанию имя издателя кода безопасности совпадает с именем Сервера администрирования.

После изменения имени издателя кода безопасности необходимо повторно выпустить новый секретный ключ и передать его приложению для аутентификации.

Чтобы указать новое имя издателя кода безопасности:

1. В главном меню нажмите на значок параметров () рядом с именем требуемого Сервера администрирования.

   Откроется окно свойств Сервера администрирования.

2. В открывшемся окне свойств пользователя выберите вкладку Дополнительные настройки безопасности.
3. На вкладке Дополнительные настройки безопасности перейдите по ссылке Изменить.

   Откроется раздел Изменить код безопасности издателя.

4. Укажите новое имя издателя кода безопасности.
5. Нажмите на кнопку ОК.

Для Сервера администрирования указано новое имя издателя кода безопасности.

Изменение количества попыток ввода пароля

Пользователь Kaspersky Security Center Linux может вводить неверный пароль ограниченное количество раз. После этого учетная запись пользователя блокируется на час.

По умолчанию максимальное количество попыток ввода пароля равно 10. Вы можете изменить количество попыток ввода пароля, следуя инструкции ниже.

Чтобы изменить количество попыток ввода пароля, выполните следующие действия:

1. На устройстве, на котором установлен Сервер администрирования, запустите командную строку Linux.
2. Для утилиты klscflag выполните следующую команду:

   sudo /opt/kaspersky/ksc64/sbin/klscflag -fset -pv klserver -n SrvSplPpcLogonAttempts -t d -v N

   где N – количество попыток ввода пароля.

3. Чтобы изменения вступили в силу, перезапустите службу Сервера администрирования.

Максимальное количество попыток ввода пароля изменено.

Удаление пользователей или групп безопасности

Можно удалять только внутренних пользователей или группы безопасности.

Удаление пользователей или групп безопасности:

1. В главном окне приложения перейдите в раздел Пользователи и роли → Пользователи и группы и выберите вкладку Пользователи или Группы.
2. Установите флажок рядом с именем пользователя или группы безопасности, которую требуется удалить.
3. Нажмите на кнопку Удалить.
4. В появившемся окне нажмите на кнопку ОК.

Пользователь или группа безопасности удалены.

Создание роли пользователя

Чтобы создать роль пользователя:

1. В главном окне приложения перейдите в раздел Пользователи и роли → Роли.
2. Нажмите на кнопку Добавить.
3. В открывшемся окне Имя новой роли укажите имя новой роли.
4. Нажмите на кнопку ОК, чтобы применить изменения.
5. В открывшемся окне измените параметры роли:
   • На вкладке Общие измените имя роли.

     Вы не можете изменять имена предопределенных ролей.

   • На вкладке Параметры измените область действия роли, а также политики и профили политик, связанные с ролью.
   • На вкладке Права доступа измените права доступа к приложениям "Лаборатории Касперского".
6. Нажмите на кнопку Сохранить, чтобы сохранить изменения.

Созданная роль появится в списке ролей пользователей.

Изменение роли пользователя

Чтобы изменить роль пользователя:

1. В главном окне приложения перейдите в раздел Пользователи и роли → Роли.
2. Выберите роль, которую требуется изменить.
3. В открывшемся окне измените параметры роли:
   • На вкладке Общие измените имя роли.

     Вы не можете изменять имена предопределенных ролей.

   • На вкладке Параметры измените область действия роли, а также политики и профили политик, связанные с ролью.
   • На вкладке Права доступа измените права доступа к приложениям "Лаборатории Касперского".
4. Нажмите на кнопку Сохранить, чтобы сохранить изменения.

Обновленная роль появится в списке ролей пользователей.

Изменение области для роли пользователя

Область роли пользователя – это комбинация пользователей и групп администрирования. Параметры, связанные с ролью пользователя, применяются только к устройствам, принадлежащим тем пользователям, которым назначена эта роль, и только если эти устройства принадлежат к группам, которым назначена эта роль, включая дочерние группы.

Чтобы добавить пользователей, группы безопасности и группы администрирования в область роли пользователя, воспользуйтесь одним из следующих способов:

Способ 1:

1. В главном окне приложения перейдите в раздел Пользователи и роли → Пользователи и группы и выберите вкладку Пользователи или Группы.
2. Установите флажки напротив имен пользователей или групп безопасности, которые требуется добавить в область роли.
3. Нажмите на кнопку Назначить роль.

   Будет запущен мастер назначения роли. Для продолжения работы мастера нажмите на кнопку Далее.

4. На шаге Выбор роли выберите роль, которую требуется назначить.
5. На шаге Определение области выберите группу администрирования, которую требуется добавить в область роли.
6. Нажмите на кнопку Назначить роль, чтобы закрыть окно мастера.

Выбранные пользователи, группы безопасности и группы администрирования добавлены в область роли.

Способ 2:

1. В главном окне приложения перейдите в раздел Пользователи и роли → Роли.
2. Выберите роль, для которой требуется задать область.
3. В открывшемся окне свойств роли выберите вкладку Параметры.
4. В разделе Область действия роли нажмите на кнопку Добавить.

   Будет запущен мастер назначения роли. Для продолжения работы мастера нажмите на кнопку Далее.

5. На шаге Определение области выберите группу администрирования, которую требуется добавить в область роли.
6. На шаге Выбор пользователей выберите пользователей и группы безопасности, которые требуется добавить в область роли.
7. Нажмите на кнопку Назначить роль, чтобы закрыть окно мастера.
8. Нажмите на кнопку Закрыть (), чтобы закрыть окно свойств.

Выбранные пользователи, группы безопасности и группы администрирования добавлены в область роли.

Способ 3:

1. В главном меню нажмите на значок параметров () рядом с именем требуемого Сервера администрирования.

   Откроется окно свойств Сервера администрирования.

2. На вкладке Права доступа установите флажок рядом с именем пользователя или группы безопасности, которым вы хотите добавить область пользовательской роли, и нажмите на кнопку Роли.

   Вы не можете выбрать несколько пользователей или групп безопасности одновременно. Если вы выберете более одного объекта, кнопка Роли будет неактивна.

3. В окне Роли выберите пользовательскую роль, которую вы хотите назначить, примените и сохраните изменения.

   Выбранные пользователи или группы безопасности добавлены в область роли.

Удаление роли пользователя

Чтобы удалить роль пользователя:

1. В главном окне приложения перейдите в раздел Пользователи и роли → Роли.
2. Установите флажок напротив роли, которую требуется удалить.
3. Нажмите на кнопку Удалить.
4. В появившемся окне нажмите на кнопку ОК.

Роль пользователя будет удалена.

Связь профилей политики с ролями

Вы можете связывать роли с профилями политик. В этом случае правило активации для профиля политики определяется в зависимости от роли: профиль политики становится активным для пользователя с определенной ролью.

Например, политика запрещает запуск приложений городской навигации для всех устройств группы администрирования. Приложения городской навигации необходимы для работы только одного устройства пользователя, выполняющего роль курьера, в группе администрирования "Пользователи". В этом случае можно назначить роль "Курьер" владельцу этого устройства и создать профиль политики, разрешающий использовать приложения городской навигации на устройствах, владельцам которых назначена роль "Курьер". Все остальные параметры политики остаются без изменений. Только пользователям с ролью "Курьер" разрешено использовать приложения городской навигации. Затем, если другому сотруднику будет назначена роль "Курьер", этот сотрудник также сможет использовать приложения городской навигации на устройстве, принадлежащем вашей организации. Однако использование приложений городской навигации будет запрещено на других устройствах этой группы администрирования.

Чтобы связать роль с профилем политики:

1. В главном окне приложения перейдите в раздел Пользователи и роли → Роли.
2. Выберите роль, которую требуется связать с профилем политики.

   Откроется окно свойств роли на вкладке Общие.

3. Перейдите на вкладку Параметры и прокрутите вниз до раздела Политики и профили политик.
4. Нажмите на кнопку Изменить.
5. Чтобы связать роль с:
   • Существующим профилем политики – нажмите на значок () рядом с именем требуемой политики, а затем установите флажок рядом с профилем политики, с которым вы хотите связать роль.
   • Новым профилем политики:
     1. Установите флажок около политики, для которой вы хотите создать профиль политики.
     2. Нажмите на кнопку Новый профиль политики.
     3. Укажите имя нового профиля политики и настройте параметры профиля политики.
     4. Нажмите на кнопку Сохранить.
     5. Установите флажок рядом с новым профилем политики.
6. Нажмите на кнопку Назначить роли.

Выбранный профиль политики связывается с ролью и появляется в свойствах роли. Профиль автоматически применяется ко всем устройствам, владельцам которых назначена эта роль.

Смена пароля учетной записи

Развернуть все | Свернуть все

Вы можете изменить пароль локальной учетной записи, например, когда пользователь забыл пароль локальной учетной записи или чтобы изменить пароль по расписанию.

Изменение пароля будет применяться, даже если пользователь не вошел в учетную запись. Вы также можете изменить пароль для локальной учетной записи root.

Эту задачу можно выполнять только на устройствах под управлением Linux.

Чтобы изменить пароль локальной учетной записи на определенных устройствах:

1. В главном окне приложения перейдите в раздел Активы (Устройства) → Задачи.
2. Нажмите на кнопку Добавить.

   Запустится мастер создания задачи.

3. В поле Тип задачи выберите Изменить пароль учетной записи (только для Linux).
4. Выберите один из следующих вариантов:
   • Назначить задачу группе администрирования

     Задача назначается устройствам, входящим в ранее созданную группу администрирования. Можно указать одну из существующих групп или создать новую группу.

     Например, вы можете использовать этот параметр, чтобы запустить задачу отправки сообщения пользователям, если сообщение предназначено для устройств из определенной группы администрирования.

     Если задача назначена группе администрирования, вкладка Безопасность не отображается в окне свойств задачи, так как групповые задачи подчиняются параметрам групп безопасности, к которым они относятся.

   • Задать адреса устройств вручную или импортировать из списка

     Вы можете задавать DNS-имена, IP-адреса, а также диапазоны IP-адресов устройств, которым нужно назначить задачу.

     Вы можете использовать этот параметр для выполнения задачи для заданной подсети. Например, вы можете установить определенное приложение на устройства бухгалтеров или проверять устройства в подсети, которая, вероятно, заражена.

   • Назначить задачу выборке устройств

     Задача назначается устройствам, входящим в выборку устройств. Можно указать одну из существующих выборок.

     Например, вы можете использовать этот параметр, чтобы запустить задачу на устройствах с определенной версией операционной системы.

   Задача Изменить пароль учетной записи (только для Linux) создается для указанных устройств. Если вы выбрали параметр Назначить задачу группе администрирования, задача является групповой.

5. На шаге Область действия задачи укажите группу администрирования, устройства с определенными адресами или выборку устройств.

   Доступные параметры зависят от параметра, выбранного на предыдущем шаге.

6. На шаге Введите имя учетной записи и новый пароль укажите следующие параметры:
   • В поле Имя учетной записи укажите имя учетной записи, для которой вы хотите изменить пароль.
   • В поле Новый пароль укажите пароль, который будет установлен для учетной записи, указанной в предыдущем поле.

     Чтобы просмотреть введенный вами пароль, нажмите и удерживайте кнопку Показать.

   • При необходимости установите флажок Установить в качестве одноразового пароля (пользователь должен изменить пароль после первого входа в систему).
     • Установить в качестве одноразового пароля (пользователь должен изменить пароль после первого входа в систему)

       Если этот флажок установлен, пользователю будет предложено изменить новый пароль после первого входа в систему.

       Если этот флажок снят, пользователю не будет предлагаться изменить новый пароль после первого входа в систему.

       По умолчанию флажок снят.

7. На шаге Завершение создания задачи нажмите на кнопку Готово, чтобы создать задачу и закрыть мастер.

   Если включен параметр Открыть окно свойств задачи после ее создания, откроется окно параметров задачи. В этом окне можно проверить параметры задачи, изменить их или при необходимости настроить расписание запуска задачи.

8. В списке задач выберите созданную задачу и нажмите на кнопку Запустить.

   Или дождитесь запуска задачи в соответствии с расписанием, указанным в параметрах задачи.

Когда задача изменения пароля учетной записи завершится, пароль будет изменен для указанной локальной учетной записи на выбранных устройствах.

Чтобы обеспечить корректную работу задач изменения пароля учетной записи, на пользовательском устройстве должен быть выключен

Отзыв прав локального администратора

Развернуть все | Свернуть все

Вы можете отозвать права локального администратора для учетных записей. Это дает вам дополнительный уровень контроля учетных записей пользователей. Например, вы можете отозвать права локального администратора после завершения разового назначения.

При запуске этой задачи указанная локальная учетная запись проверяется на принадлежность к локальным группам администраторов, которые определены в параметрах политики Агента администрирования. Вы можете настроить список локальных групп администраторов в параметрах политики Агента администрирования. Вы также можете проверить список учетных записей привилегированных пользователей, используя Отчет о привилегированных пользователях устройств (только для Linux).

Эту задачу можно выполнять только на устройствах под управлением Linux.

Чтобы отозвать права локального администратора на определенных устройствах:

1. В главном окне приложения перейдите в раздел Активы (Устройства) → Задачи.
2. Нажмите на кнопку Добавить.

   Запустится мастер создания задачи.

3. В поле Тип задачи выберите Отозвать права локального администратора (только для Linux).
4. Выберите один из следующих вариантов:
   • Назначить задачу группе администрирования

     Задача назначается устройствам, входящим в ранее созданную группу администрирования. Можно указать одну из существующих групп или создать новую группу.

     Например, вы можете использовать этот параметр, чтобы запустить задачу отправки сообщения пользователям, если сообщение предназначено для устройств из определенной группы администрирования.

     Если задача назначена группе администрирования, вкладка Безопасность не отображается в окне свойств задачи, так как групповые задачи подчиняются параметрам групп безопасности, к которым они относятся.

   • Задать адреса устройств вручную или импортировать из списка

     Вы можете задавать DNS-имена, IP-адреса, а также диапазоны IP-адресов устройств, которым нужно назначить задачу.

     Вы можете использовать этот параметр для выполнения задачи для заданной подсети. Например, вы можете установить определенное приложение на устройства бухгалтеров или проверять устройства в подсети, которая, вероятно, заражена.

   • Назначить задачу выборке устройств

     Задача назначается устройствам, входящим в выборку устройств. Можно указать одну из существующих выборок.

     Например, вы можете использовать этот параметр, чтобы запустить задачу на устройствах с определенной версией операционной системы.

   Для указанных устройств создается задача Отозвать права локального администратора (только для Linux). Если вы выбрали параметр Назначить задачу группе администрирования, задача является групповой.

5. На шаге Область действия задачи укажите группу администрирования, устройства с определенными адресами или выборку устройств.

   Доступные параметры зависят от параметра, выбранного на предыдущем шаге.

6. На этом шаге мастера укажите следующие параметры:
   • В группе параметров Режим работы выберите режим работы:
     • Отозвать права локального администратора для перечисленных учетных записей

       Если выбран этот параметр, права локального администратора будут отозваны для указанных локальных учетных записей.

       По умолчанию выбран этот вариант.

     • Исключить перечисленные учетные записи из списка отзыва прав локального администратора

       Если выбран этот параметр, права локального администратора будут отозваны для всех локальных учетных записей, кроме указанных.

       По умолчанию вариант не выбран.

   • Укажите локальные учетные записи:
     • Нажмите на кнопку Добавить.
     • В открывшемся окне выполните одно из следующих действий:
       • В поле Имя учетной записи укажите имя локальной учетной записи.
       • В группе параметров Действие учетной записи (доступно, если выбран параметр Отозвать права локального администратора для перечисленных учетных записей) выберите действие.
       • Сохранить учетную запись

         Если выбран этот параметр, локальная учетная запись не удаляется после отзыва прав локального администратора.

         По умолчанию выбран этот вариант.

       • Удалить учетную запись

         Если выбран этот параметр, локальная учетная запись будет удалена независимо от того, есть ли у нее права локального администратора.

         По умолчанию вариант не выбран.

7. На шаге Завершение создания задачи нажмите на кнопку Готово, чтобы создать задачу и закрыть мастер.

   Если включен параметр Открыть окно свойств задачи после ее создания, откроется окно параметров задачи. В этом окне можно проверить параметры задачи, изменить их или при необходимости настроить расписание запуска задачи.

8. В списке задач выберите созданную задачу и нажмите на кнопку Запустить.

   Или дождитесь запуска задачи в соответствии с расписанием, указанным в параметрах задачи.

После завершения задачи права локального администратора отозваны для указанных локальных учетных записей на выбранных устройствах.