網路代理政策設定
延伸所有 | 折疊所有
若設定網路代理政策:
- 在主功能表中,轉至 資產(裝置) → 政策和設定檔。
- 按一下網路代理政策的名稱。
網路代理政策的內容視窗開啟。內容視窗包含如下所述的頁簽和設定。
考慮到基於 Linux 和 Windows 的裝置,有各種設定可使用。
一般
在此頁籤上,您可以修改政策名稱、政策狀態並指定政策設定的繼承:
- 在名稱欄位中,您可以修改政策名稱。
- 在政策狀態區塊,您可以選取以下政策模式之一:
- 作用中
如果選取該選項,政策將變為啟用狀態。
預設情況下已選定此選項。
- 非作用中
如果選取該選項,政策將變為不啟用狀態,但它仍然儲存在政策資料夾中。如果需要,您可以啟動該政策。
- 在設定繼承設定群組中,您可以配置政策繼承:
- 從父政策繼承設定
如果啟用此選項,則政策設定值將繼承上一級群組政策,因而會受到鎖定。
預設情況下已啟用該選項。
- 在子政策中強制繼承設定
如果啟用此選項,則在套用政策變更之後,程式將執行以下操作:
- 政策設定的值將被傳送到管理子群組的政策,也就是子政策。
- 在每個子政策內容視窗的一般區域的設定繼承區塊,系統將自動選取從父政策繼承設定核取方塊。
如果啟用此方塊,則會鎖定子政策設定。
預設情況下已停用該選項。
事件配置
在此頁簽上,您可以配置事件記錄和事件通知。事件根據重要性等級分佈在以下部分:
在每個區域,清單顯示在管理伺服器上事件類型和預設事件儲存的期限(天)。點擊事件類型後,您可以指定清單中已選中的事件記錄和通知設定。預設下,為整個管理伺服器指定的通用通知設定被用於所有事件類型。然後,您可以變更所需事件類型的特別設定。
例如,在警告區域,您可以配置發生了安全問題事件類型。例如,當發佈點的可用磁碟空間小於 2 GB(遠端安裝應用程式和下載更新至少需要 4 GB)時,此類事件可能發生。若要配置發生了安全問題事件,按一下它並指定儲存發生的事件的位置以及如何通知它們。
如果網路代理偵測到安全問題,您可以使用受管理裝置設定管理該問題。
應用程式設定
設定
在設定區域,您可以配置網路代理政策:
- 僅透過發佈點分發檔案
如果啟用此選項,受管理裝置上的網路代理僅從發佈點擷取更新。
如果停用此選項,受管理裝置上的網路代理從發佈點或從管理伺服器擷取更新。
請注意,受管理裝置上的安全應用程式從每個安全應用程式的更新工作中的來源集中擷取更新。如果您啟用僅透過發佈點分發檔案選項,請確保在更新工作中將 卡巴斯基安全管理中心 Linux 設定為更新來源。
預設情況下已停用該選項。
- 事件佇列最大值(MB)
在該欄位中,您可以指定事件佇列可在磁碟機上佔據的最大空間。
預設值為 2 MB。
- 應用程式被允許在裝置上獲取政策延伸資料
安裝在受管理裝置的網路代理會傳輸已套用安全應用程式政策的相關資訊至安全應用程式(例如 Kaspersky Endpoint Security for Linux)。您可在安全應用程式介面檢視已傳輸的資訊。
網路代理會傳輸以下資訊:
- 防護網路代理服務免遭非授權的移除或終止,並防止設定變更
如果啟用該選項,則網路代理被安裝到受管理裝置之後,沒有所需權限元件無法被移除或重新設定。網路代理服務無法被停止。此選項對網域控制器沒有影響。
啟用此選項可防護以本機管理員權限操作的工作站上的網路代理。
預設情況下已停用該選項。
- 使用解除安装密碼
如果選取該方塊,則按一下修改按鈕可以指定 klmover 公用程式和網路代理遠端移除的密碼。
預設情況下已停用該選項。
儲存區
在儲存區區域,您可以選取將其資訊從網路代理傳送到管理伺服器的物件類型。如果網路代理政策禁止本區域中某些設定,則您無法修改這些設定。儲存區的設定僅在執行 Windows 的裝置上可用:
- 已安裝應用程式詳情
如果啟用此選項,會將安裝在用戶端裝置上的應用程式資訊傳送至管理伺服器。
預設情況下已啟用該選項。
- 包括修補程式資訊
安裝在用戶端裝置的應用程式修補程式的資訊會傳送至管理伺服器。啟用此選項可能增加管理伺服器和 DBMS 的負載,並造成資料庫的流量增加。
預設情況下已啟用該選項。它僅適用於 Windows。
- Windows Update 更新詳情
如果啟用此選項,會將用戶端裝置上應該安裝的 Microsoft Windows Update 更新資訊傳送至管理伺服器。
預設情況下已啟用該選項。它僅適用於 Windows。
- 軟體弱點和對應更新的詳情
若啟用此選項,協力廠商的弱點(包含 Microsoft 軟體)、受管理裝置上偵測到的資訊以及修復協力廠商弱點的軟體更新資訊(不含 Microsoft 軟體)都會傳送至管理伺服器。
選取此選項(軟體弱點和對應更新的詳情)會增加網路負載、管理伺服器磁碟負載和網路代理的資源消耗。
預設情況下已啟用該選項。它僅適用於 Windows。
若要管理 Microsoft 軟體更新,請使用Windows Update 更新詳情選項。
- 硬體登錄資料詳細資訊
安裝在裝置上的網路代理會向管理伺服器傳送關於裝置硬體的資訊。您可以在裝置內容中檢視硬體詳細資訊。
確保在要從中獲取硬體詳細資訊的 Linux 裝置上安裝了 lshw 公用程式。根據所使用的 hypervisor,從虛擬機獲取的硬體詳細資訊可能不完整。
軟體更新和弱點
在軟體更新和弱點區域,您可以啟用可執行檔的弱點掃描:
重新啟動管理
如果您的作業系統必須在您使用、安裝或移除安裝應用程式時重新啟動受管理裝置,請在重新啟動管理區域指定執行的操作。重新啟動管理區域的設定僅在執行 Windows 的裝置上可用:
- 不要重新啟動作業系統
用戶端裝置在操作後不被自動重新啟動。要完成操作,您必須重新啟動裝置(例如,手動或透過裝置管理工作)。所需重新啟動的資訊被儲存在工作結果和裝置狀態。該選項適用於在需要持續操作的伺服器和其他裝置上的工作。
- 如果必要,自動重新啟動作業系統
如果完成安裝需要重新啟動,用戶端裝置總是被自動重新啟動。該選項適用於允許中斷操作(關機或重新啟動)的裝置上的工作。
- 提示使用者操作
用戶端裝置螢幕上將顯示重新啟動提醒,提示使用者手動重新啟動裝置。可以為該選項定義一些進階設定:使用者訊息文字、訊息顯示頻率以及強制重新啟動(不需要使用者確認)的時間間隔。該選項適用於使用者必須可以選取最方便的時間進行重新啟動的工作站。
預設情況下已選定此選項。
- 重複提示間隔(分鐘)
如果啟用該選項,應用程式以指定頻率提示使用者重新啟動作業系統。
預設情況下已啟用該選項。預設間隔是 5 分鐘。可用值介於 1 和 1440 分鐘之間。
如果停用該選項,提示僅顯示一次。
- 在指定時間後強制重新啟動(分鐘)
提示使用者之後,應用程式在指定時間間隔後強制作業系統重新啟動。
預設情況下已啟用該選項。預設延時是 30 分鐘。可用值介於 1 和 1440 分鐘之間。
- 強制關閉被封鎖工作階段中的應用程式
執行應用程式可能會阻止用戶端裝置重新啟動。例如,如果文件在文書處理應用程式中編輯且未儲存,應用程式不會允許裝置重新啟動。
如果啟用該選項,鎖定裝置上的此類應用程式在裝置重新啟動前被強制關閉。結果,使用者可能遺失他們未儲存的變更。
如果停用該選項,鎖定裝置不被重新啟動。此裝置上的工作狀態表示裝置需要重新啟動。使用者必須手動關閉所有執行在鎖定裝置上的應用程式並重新啟動這些裝置。
預設情況下已停用該選項。
管理修補程式和更新
在管理修補程式和更新區域,您可以設定受管理裝置上的更新下載和發佈,以及修補程式安裝:
- 對未定義狀態的元件自動安裝可套用更新和修補程式
如果啟用此選項,帶有未定義批准狀態的 Kaspersky 應用程式在從更新伺服器下載後將被自動安裝在受管理裝置。
如果停用此選項,被下載和標注為未定義狀態的 Kaspersky 修補程式將僅在您改變其狀態為已批准是被安裝。
預設情況下已啟用該選項。
- 提前從管理伺服器下載更新和病毒資料庫(建議)
如果啟用此選項,離線模式更新下載被使用。當管理伺服器接收更新時,它通知網路代理(安裝網路代理的裝置)將用於受管理應用程式的更新。當網路代理接收更新的資訊後,它提前從管理伺服器下載相關檔案。在第一次連線網路代理時,管理伺服器發起更新下載。網路代理下載所有更新到用戶端裝置後,更新對該裝置上的應用程式可用。
當用戶端裝置上的受管理應用程式嘗試存取網路代理以更新時,該網路代理檢查其是否具有所有所需的更新。如果在受管理應用程式請求更新之前 25 小時內,更新已從管理伺服器收到,則網路代理不連線到管理伺服器,而是從本機快取提供更新給受管理應用程式。當網路代理提供更新到用戶端裝置上的應用程式時,可能不會建立到管理伺服器的連線,但是更新不需要連線。
如果停用此選項,離線模式更新下載不被使用。更新依據更新下載工作的排程被發佈。
預設情況下已啟用該選項。
連線
連線區域包含三個子區域:
在網路子區域,您可以設定到管理伺服器的連線、啟用 UDP 連接埠,和指定 UDP 連接埠號。
- 在連線至管理伺服器設定群組中,您可以設定到管理伺服器的連線,並指定同步用戶端裝置和管理伺服器的時間間隔:
- 同步間隔(分鐘)
網路代理同步管理伺服器的受管理裝置。我們建議您設定同步間隔(也叫心跳)為每 10,000 台受管理裝置 15 分鐘。
若同步間隔社為少於 15 分鐘,同步會每 15 分鐘執行一次。若同步間隔設為 15 分鐘或更多,同步會以特定同步間隔執行。
- 壓縮網路流量
如果啟用此選項,則透過減少所傳輸的流量進而減少管理伺服器的負載來提高網路代理的資料傳輸速度。
用戶端裝置上的 CPU 負載可能會增加。
預設情況下會啟用此核取方塊。
- 在 Microsoft Windows 防火牆上開啟網路代理連接埠
如果啟用此選項,網路代理工作所需的連接埠將新增到 Microsoft Windows 防火牆排除清單中。
預設情況下已啟用該選項。
- 使用 SSL 連線
如果啟用此選項,則使用 SSL 通訊協定透過安全連接埠連線管理伺服器。
預設情況下已啟用該選項。
- 以預設連線設定在發佈點(如果可用)上使用連線閘道
如果啟用此選項,發佈點上的連線閘道在管理群組屬性指定的設定下使用。
預設情況下已啟用該選項。
- 使用 UDP 連接埠
如果需要網路代理透過 UDP 連接埠連線到管理伺服器,啟用使用 UDP 連接埠選項,並指定 UDP 連接埠號。預設情況下已啟用該選項。連線到管理伺服器的預設 UDP 連接埠是 15000。
- UDP 連接埠號
在該欄位中,您可以輸入 UDP 連接埠號。預設埠號為 15000。
使用十進位系統記錄。
- 使用發佈點強制連線到管理伺服器
如果您選取了將此發佈點用作推送伺服器發佈點設定視窗中的選項。否則,發佈點將不會作為推送伺服器。
在連線設定檔子區域中,您可以指定網路位置設定,並在管理伺服器不可用時啟用不在辦公室模式。連線設定檔區域的設定僅在執行 Windows 的裝置上可用:
- 網路位置設定
網路位置設定定義用戶端裝置所連線的網路內容,並指定當網路內容改變時,網路代理從一個管理伺服器連線設定檔轉換到另一個的規則。
- 管理伺服器連線設定檔
連線設定檔僅支援執行 Windows 的裝置。
您可以檢視和設定網路代理至管理伺服器的連線。在該區域,您也可以建立當以下事件發生時,轉換網路代理到不同管理伺服器的規則:
- 當用戶端裝置連線到另一個本機網路時
- 當裝置與組織的本機網路遺失連線時
- 當連線閘道的位址變更或 DNS 伺服器位址修改時
- 當管理伺服器不可用時啟用漫遊模式
如果啟用此選項,則在透過該設定檔連線的情況下,用戶端裝置上安裝的應用程式將使用漫遊模式裝置的政策設定檔,以及漫遊政策。如果沒有為應用程式定義漫遊政策,則使用啟動政策。
如果停用此選項,則應用程式將使用已啟動的政策。
預設情況下已停用該選項。
在連線排程子區域中,可以指定網路代理傳送資料到管理伺服器的時間間隔:
- 必要時連線
如果選中此選項,當網路代理需要傳送資料到管理伺服器時連線才被建立。
預設情況下已選定此選項。
- 在指定時間間隔連線
如果選中此選項,網路代理在指定時間連線到管理伺服器。您可以新增若干個連線時間段。
透過發佈點的網路輪詢
在透過發佈點的網路輪詢區域,您可以設定網路自動輪詢。您可以使用以下選項啟用輪詢並設定其頻率:
- IP 範圍
如果啟用此選項,則發佈點將按照您按一下設定輪詢排程按鈕所配置的排程自動輪詢 IP 範圍。
如果停用此選項,則發佈點將不輪詢 IP 範圍。
在 10.2 版之前的網路代理中,可在輪詢間隔(分鐘)欄位中配置 IP 範圍的輪詢頻率。若啟用該選項,可使用區域。
預設情況下已停用該選項。
- Zeroconf
如果啟用此選項,發佈點將使用零配置網路(也稱為 Zeroconf)用 IPv6 裝置自動輪詢網路。在這種情況下,啟用的 IP 範圍輪詢將被忽略,因為發佈點會輪詢整個網路。
要開始使用 Zeroconf,必須滿足以下條件:
- 發佈點必須執行 Linux。
- 您必須在發佈點上安裝 avahi-browse 公用程式。
如果停用此選項,則發佈點不會使用 IPv6 裝置輪詢網路。
預設情況下已停用該選項。
- 網域控制器
如果啟用此選項,則發佈點將按照您按一下設定輪詢排程連結所配置的排程自動輪詢網域控制器。
如果停用此選項,則發佈點將不輪詢網域控制器。
在 10.2 版之前的網路代理中,可在輪詢間隔(分鐘)欄位中配置網域控制器的輪詢頻率。如果啟用此選項,則該欄位可用。
預設情況下已停用該選項。
發佈點網路設定
在發佈點網路設定區域中,您可以指定網際網路存取設定:
- 使用代理伺服器
- 位址
- 連接埠號
- 略過本機位址的代理伺服器
如果啟用此選項,則不使用代理伺服器連線本機網路的裝置。
預設情況下已停用該選項。
- 代理伺服器身分驗證
如果選取該方塊,您可以在輸入欄位中為代理伺服器身分驗證指定憑證。
預設情況下已清空此方塊。
KSN 代理(發佈點)
在 KSN 代理(發佈點)區域,您可以設定應用程式使用發佈點,以從受管理裝置轉發卡巴斯基安全網路 (KSN) 請求。
- 在發佈點端啟用 KSN 代理
KSN 代理服務執行在用作發佈點的裝置上。使用該功能重新分發和最佳化網路流量。
發佈點傳送列在卡巴斯基安全網路聲明中的統計資訊到 Kaspersky。
預設情況下已停用該選項。啟用該選項僅在使用管理伺服器作為代理伺服器和我同意使用卡巴斯基安全網路選項在管理伺服器內容視窗中被啟用時起作用。
您可以指派活動被動叢集節點到發佈點並在該節點上啟用 KSN 代理伺服器。
- 轉發 KSN 請求到管理伺服器
發佈點從受管理裝置轉發 KSN 請求到管理伺服器。
預設情況下已啟用該選項。
- 透過網際網路直接存取 KSN 雲端 / KPSN
發佈點從受管理裝置轉發 KSN 請求到 KSN 雲端或 KPSN。在發佈點上自行產生的 KSN 要求頁會直接傳送至 KSN 雲端或 KPSN。
- TCP 連接埠
受管理裝置將用於連線到 KSN 代理伺服器的 TCP 埠號。預設埠號為 13111。
- UDP 連接埠
如果需要網路代理透過 UDP 連接埠連線到管理伺服器,啟用使用 UDP 連接埠選項,並指定 UDP 連接埠號。預設情況下已啟用該選項。連線到管理伺服器的預設 UDP 連接埠是 15000。
- 透過連接埠使用 HTTPS
如果您需要受管裝置透過 HTTPS 連接埠連線至 KSN 代理伺服器,請啟用使用 HTTPS選項,然後在透過連接埠使用 HTTPS欄位中指定連接埠號碼。預設情況下已停用該選項。連線到 KSN 代理伺服器的預設 HTTPS 連接埠是 17111。
更新(發佈點)
在更新(發佈點)部分,您可以啟用下載差異檔案功能,以便發佈點以差異檔案的形式從卡巴斯基更新伺服器獲取更新。
本機帳戶管理(僅限 Linux)
本機帳戶管理(僅限 Linux)區域包括三個子區域:
- 使用者憑證管理
- 新增或編輯適用的本機管理員群組
- 上傳參考檔案以防護使用者裝置上的 sudoers 檔案免受變更
在使用者憑證管理子區域中,您可以指定要安裝的根憑證。例如,這些憑證可用於驗證網站或網頁伺服器的真確性。
- 安裝根憑證
如果啟用此選項,則新增至表格中的憑證將安裝在指定的裝置上。
如果停用此選項,則不會在指定裝置上安裝任何憑證。
預設情況下已停用該選項。
- 新增
點擊此按鈕將開啟一個視窗,您可以在其中新增憑證。
憑證必須小於 10 MB。
卡巴斯基安全管理中心支援具有 CER、CRT、CERT、PEM 和 KEY 副檔名的憑證。
在新增或編輯適用的本機管理員群組子區域中,您可以管理本機管理員群組。例如,在撤銷本機管理員權限時就會用到這些群組。您也可以使用特權裝置使用者報告(僅限 Linux)檢查特權使用者帳戶清單。
- 新增
點擊此按鈕將開啟一個視窗,您可以在其中新增本機管理員群組。
- 編輯
點擊此按鈕將開啟一個視窗,您可以在其中編輯本機管理員群組。
如果選取本機管理員群組旁邊的核取方塊,則可使用此按鈕。
- 刪除
點擊此按鈕即從表格中刪除已選取的本機管理員群組。
如果選取本機管理員群組旁邊的核取方塊,則可使用此按鈕。
在上傳參考檔案以防護使用者裝置上的 sudoers 檔案免受變更子區域中,您可以設定 sudoers 檔案的控制。特權群組和裝置使用者是由裝置上的 sudoers 檔案定義。sudoers 檔案位於 /etc/sudoers
。您可以上傳參考 sudoers 檔案,以保護 sudoers 檔案免於變更。這將防止對 sudoers 檔案進行不必要的變更。
無效的參考 sudoers 檔案可能會導致使用者的裝置故障。
變更歷程
在變更歷程頁籤上,您可以:
頁頂