网络代理策略设置

扩展所有 | 折叠所有

若配置网络代理策略：

1. 在主菜单中，转到资产(设备) → 策略和配置文件。
2. 单击网络代理策略的名称。

   网络代理策略的属性窗口打开。属性窗口包含如下所述的选项卡和设置。

考虑到基于 Linux 和 Windows 的设备，有多种设置可用。

常规

在该选项卡上，可以修改策略名称、策略状态并指定策略设置的继承：

• 在“策略状态”块，您可以选择以下策略模式之一：
  • 活动策略

    如果选择该选项，策略将变为活动状态。

    默认情况下已选定该选项。

  • 非活动策略

    如果选择该选项，策略将变为不活动状态，但它仍然存储在“策略”文件夹中。如果需要，您可以激活该策略。

• 在“设置继承”设置组中，您可以配置策略继承：
  • 从父策略继承设置

    如果启用此选项，则策略设置值将从上一级组策略继承，因而被锁定。

    默认情况下已启用该选项。

  • 在子策略中强制继承设置

    如果启用此选项，则在应用策略更改之后，将执行以下操作：

    • 策略设置的值将被传送到管理子组的策略，也就是子策略。
    • 在每个子策略属性窗口常规区域的继承设置区块，将自动启用从父策略继承设置选项。

    如果启用此选项，则子策略设置被锁定。

    默认情况下已禁用该选项。

事件配置

在该选项卡上，您可以配置事件记录和事件通知。事件根据重要性级别分布在以下部分：

• 功能失败
• 警告
• 信息

在每个区域，列表显示在管理服务器上事件类型和默认事件存储的期限（天）。单击事件类型后，您可以指定有关列表中选择的事件的事件记录和通知的设置。默认下，为整个管理服务器指定的通用通知设置被用于所有事件类型。然后，您可以更改所需事件类型的特别设置。

例如，在“警告”区域中，您可以配置 发生了安全问题 事件类型。此类事件可能会发生，例如，当 分发点的可用磁盘空间 小于 2 GB（至少需要 4 GB 才能远程安装应用程序和下载更新）。若要配置“发生了安全问题”事件，单击它并指定存储发生的事件的位置以及如何通知它们。

如果网络代理检测到安全问题，您可以使用受管理设备的设置管理此问题。

应用程序设置

设置

在设置区域，您可以配置网络代理策略：

• 仅通过分发点分发文件

  如果启用此选项，则受管理设备上的网络代理只从分发点检索更新。

  如果禁用此选项，则受管理设备上的网络代理从分发点或管理服务器检索更新。

  请注意，受管理设备上的安全应用程序从每个安全应用程序的更新任务中设置的源检索更新。如果启用“仅通过分发点分发文件”选项，请确保在更新任务中将 Kaspersky Security Center Linux 设置为更新源。

  默认情况下已禁用该选项。

• 事件队列的最大大小(MB)

  在该字段中，您可以指定事件队列可在驱动器上占据的最大空间。

  默认值为 2 MB。

• 应用程序被允许在设备上检索策略扩展数据

  安装在受管理设备上的网络代理会将有关已应用的安全应用程序策略的信息传输到安全应用程序（例如，Kaspersky Endpoint Security for Linux）。您可以在安全应用程序界面查看传输的信息。

  网络代理传输以下信息：

  • 策略传输至受管理设备的时间
  • 策略传输至受管理设备时的活动策略或漫游策略的名称
  • 策略传输至受管理设备时包含受管理设备的管理组的名称和完整路径
  • 活动策略配置文件列表

    您可以使用该信息来确保将正确的策略应用于设备并用于故障排除。默认情况下已禁用该选项。

• 保护网络代理服务免遭非授权的卸载或终止，并防止设置更改

  当启用该选项时，网络代理被安装到受管理设备之后，没有所需权限组件无法被卸载或重新配置。网络代理服务无法被停止。此选项对域控制器没有影响。

  启用此选项可保护以本地管理员权限操作的工作站上的网络代理。

  默认情况下已禁用该选项。

• 使用卸载密码

  如果启用此选项，则单击“修改”按钮可以指定用于 klmover 实用程序和 Windows 设备上网络代理远程卸载的密码。

  默认情况下已禁用该选项。

存储库

在“存储库”区域，您可以选择将其信息从网络代理发送到管理服务器的对象类型。如果本区域中的某些设置被网络代理策略禁止，则您无法修改它们。

• 已安装应用程序详情

  如果启用此选项，则有关客户端设备上安装的应用程序的信息将发送至管理服务器。

  默认情况下已启用该选项。

• 硬件注册表的详细信息

  安装在设备上的网络代理会将设备硬件的相关信息发送到管理服务器。您可以在设备属性中查看硬件详细信息。

  确保在要从中获取硬件详细信息的 Linux 设备上安装了 lshw 实用程序。根据所使用的 hypervisor，从虚拟机获取的硬件详细信息可能不完整。

连接

“连接”区域包含三个子区域：

• 网络
• 连接配置文件
• 连接计划

在“网络”子区域中，可以配置与管理服务器的连接，启用 UDP 端口和指定 UDP 端口号。

• 在“连接到管理服务器”设置组，您可以配置到管理服务器的连接并指定同步客户端设备和管理服务器的时间间隔：
  • 同步间隔(分钟)

    网络代理同步管理服务器的受管理设备。我们建议您设置同步间隔（也叫心跳）为每 10,000 台受管理设备 15 分钟。

    如果同步间隔设置为少于 15 分钟，则每 15 分钟执行一次同步。如果同步间隔设置为 15 分钟或更长时间，则以指定的同步间隔执行同步。

  • 压缩网络流量

    如果启用此选项，则通过减少所传输的流量进而减少管理服务器的负载来提高网络代理的数据传输速度。

    客户端设备上的 CPU 负载可能会增加。

    默认情况下启用该复选框。

  • 在 Microsoft Windows 防火墙中打开网络代理端口

    如果启用此选项，网络代理工作所需的端口将添加到 Microsoft Windows 防火墙排除列表中。

    默认情况下已启用该选项。

  • 使用 SSL 连接

    如果启用此选项，则使用 SSL 协议通过安全端口连接管理服务器。

    默认情况下已启用该选项。

  • 以默认连接设置在分发点(如果可用)上使用连接网关

    如果启用此选项，分发点上的连接网关在管理组属性指定的设置下使用。

    默认情况下已启用该选项。

• 使用 UDP 端口

  如果需要网络代理通过 UDP 端口连接到管理服务器，启用“使用 UDP 端口”选项，并指定“UDP 端口号”。默认情况下已启用该选项。连接到管理服务器的默认 UDP 端口是 15000。

• UDP 端口号

  在该字段中，您可以输入 UDP 端口号。默认端口号是 15000。

  使用十进制系统记录。

在“连接配置文件”子区域中，可以指定网络位置设置并在管理服务器不可用时启用漫游模式。“连接配置文件”区域的设置仅在运行 Windows 的设备上可用：

• 网络位置设置

  网络位置设置用于定义客户端设备所连接的网络属性，并指定当网络特性改变时，网络代理从一个管理服务器连接配置文件切换到另一个配置文件的规则。

• 管理服务器连接配置文件

  连接配置文件仅支持运行 Windows 的设备。

  您可以查看和向管理服务器添加网络代理连接配置文件。在该区域，您也可以创建当以下事件发生时，切换网络代理到不同管理服务器的规则：

  • 当客户端设备连接到另一个本地网络时
  • 当设备与组织的本地网络丢失连接时
  • 当连接网关的地址更改或 DNS 服务器地址修改时
• 当管理服务器不可用时启用漫游模式

  如果启用此选项，则在通过该配置文件连接的情况下，客户端设备上安装的应用程序将使用漫游模式设备的策略配置文件，以及漫游策略。如果没有为应用程序定义漫游策略，则使用激活策略。

  如果禁用此选项，则应用程序将使用已激活的策略。

  默认情况下已禁用该选项。

在“连接计划”子区域中，您可以指定网络代理发送数据到管理服务器的时间间隔：

• 必要时连接

  如果选中此选项，当网络代理需要发送数据到管理服务器时连接才被建立。

  默认情况下已选定该选项。

• 在指定时间间隔连接

  如果选中此选项，网络代理在指定时间连接到管理服务器。您可以添加若干个连接时间段。

通过分发点的网络轮询

在“通过分发点的网络轮询”区域中，可以配置网络自动轮询。您可以使用以下选项启用轮询并设置其频率：

• Zeroconf

  如果启用此选项，分发点将使用零配置网络（也称为 Zeroconf）轮询带有 IPv6 设备的网络。在这种情况下，已启用的 IP 范围轮询将被忽略，因为分发点将轮询整个网络。

  要开始使用 Zeroconf，必须满足以下条件：

  • 分发点必须运行 Linux。
  • 您必须在分发点上安装 avahi-browse 实用程序。

  如果禁用此选项，分发点不会轮询带有 IPv6 设备的网络。

  默认情况下已禁用该选项。

• IP 范围

  如果启用此选项，则分发点将按照所配置的计划自动轮询 IP 范围，单击“设置轮询计划”按钮可配置轮询计划。

  如果禁用此选项，则分发点将不轮询 IP 范围。

  对于 10.2 版之前的网络代理，可在“轮询间隔(分钟)”字段中配置 IP 范围的轮询频率。如果启用此选项，则该字段可用。

  默认情况下已禁用该选项。

• 域控制器

  如果启用此选项，则分发点将按照所配置的计划自动轮询域控制器，单击“设置轮询计划”按钮可配置轮询计划。

  如果禁用此选项，则分发点将不轮询域控制器。

  对于 10.2 版之前的网络代理，可在“轮询间隔(分钟)”字段中配置域控制器轮询频率。如果启用此选项，则字段可用。

  默认情况下已禁用该选项。

分发点网络设置

在“分发点网络设置”区域中，可以指定互联网连接设置：

• 使用代理服务器
• 地址
• 端口号
• 对本地地址不使用代理服务器

  如果启用此选项，将不使用代理服务器连接本地网络的设备。

  默认情况下已禁用该选项。

• 代理服务器身份验证

  如果选择该选框，您可以在输入字段中为代理服务器身份验证指定凭证。

  默认情况下已清除该选框。

• 用户名
• 密码

KSN 代理(分发点)

在“KSN 代理(分发点)”区域，您可以配置应用程序使用分发点从受管理设备转发 Kaspersky Security Network (KSN) 请求：

• 在分发点端启用 KSN 代理

  KSN 代理服务运行在用作分发点的设备上。使用该功能重新分发和优化网络流量。

  分发点发送列在卡巴斯基安全网络声明中的 KSN 统计信息到 Kaspersky。

  默认情况下已禁用该选项。启用该选项仅在使用管理服务器作为代理服务器 和 我同意使用卡巴斯基安全网络选项在管理服务器属性窗口中被启用时起作用。

  您可以分配活动被动集群节点到分发点并在该节点上启用 KSN 代理服务器。

• 转发 KSN 请求到管理服务器

  分发点从受管理设备转发 KSN 请求到管理服务器。

  默认情况下已启用该选项。

• 通过互联网直接访问 KSN 云/KPSN

  分发点从受管理设备转发 KSN 请求到 KSN 云或 KPSN。分发点本身上生成的 KSN 请求也直接发送到 KSN 云或 KPSN。

• 端口

  受管理设备将用于连接到 KSN 代理服务器的 TCP 端口号。默认端口号是 13111。

• UDP 端口

  如果需要网络代理通过 UDP 端口连接到管理服务器，启用“使用 UDP 端口”选项，并指定“UDP 端口号”。默认情况下已启用该选项。连接到管理服务器的默认 UDP 端口是 15000。

更新(分发点)

在更新(分发点)区域，您可以启用下载差异文件功能，以便分发点以差异文件的形式从卡巴斯基更新服务器获取更新。

重启管理

如果受管理设备的操作系统必须重启才能正确使用、安装或卸载应用程序，您可以在“重启管理”区域指定要执行的操作。“重启管理”区域的设置仅在运行 Windows 的设备上可用：

• 不重启操作系统

  客户端设备在操作后不被自动重启。要完成操作，您必须重启设备(例如，手动或通过设备管理任务)。所需重启的信息被保存在任务结果和设备状态。该选项适用于在需要持续操作的服务器和其他设备上的任务。

• 如果必要，自动重启操作系统

  如果完成安装需要重启，客户端设备总是被自动重启。该选项适用于允许中断操作(关机或重启)的设备上的任务。

• 提示用户操作

  客户端设备屏幕上将显示重启提醒，提示用户手动重启设备。可以为该选项定义一些高级设置：用户消息文本、消息显示频率以及强制重启（不需要用户确认）的时间间隔。该选项适用于用户必须可以选择最方便的时间进行重启的工作站。

  默认情况下已选定该选项。

  • 重复提示间隔(分钟)

    如果启用该选项，应用程序以指定频率提示用户重启操作系统。

    默认情况下已启用该选项。默认时间间隔为 5 分钟。可用值介于 1 和 1 440 分钟之间。

    如果禁用该选项，提示仅显示一次。

  • 在该时间后强制重启(分钟)

    提示用户之后，应用程序在指定时间间隔后强制操作系统重启。

    默认情况下已启用该选项。默认延时是 30 分钟。可用值介于 1 和 1 440 分钟之间。

  • 强行关闭锁定会话中的应用程序

    运行应用程序可能会阻止客户端设备重启。例如，如果文档在文档处理应用程序中被编辑且未被保存，则应用程序不允许设备重启。

    如果启用该选项，锁定设备上的此类应用程序在设备重启前被强制关闭。结果，用户可能丢失他们未保存的更改。

    如果禁用该选项，锁定设备不被重启。该设备上的任务状态显示设备需要重启。用户必须手动关闭所有运行在锁定设备上的应用程序并重启这些设备。

    默认情况下已禁用该选项。

另请参阅： 方案：定期更新 Kaspersky 数据库和应用程序 按操作系统比较网络代理设置

页顶