Richtlinieneinstellungen des Administrationsagenten

Alle erweitern | Alles ausblenden

Gehen Sie folgendermaßen vor, um die Richtlinieneinstellungen des Administrationsagenten anzupassen:

1. Wechseln Sie im Hauptmenü zu Geräte → Richtlinien und Profile.
2. Klicken Sie auf den Namen der Richtlinie für Administrationsagenten.

   Das Eigenschaftenfenster der Richtlinie des Administrationsagenten wird geöffnet. Das Eigenschaftenfenster enthält die im Folgenden beschriebenen Registerkarten und Einstellungen.

Bedenken Sie, dass für Geräte auf Basis von Linux und Windows jeweils unterschiedliche Einstellungen zur Verfügung stehen.

Allgemein

Auf dieser Registerkarte können Sie den Namen und Status der Richtlinie ändern und die Vererbung der Richtlinieneinstellungen anpassen:

• Im Block Richtlinienstatus können Sie einen der folgenden Richtlinienmodi auswählen:
  • Aktive Richtlinie

    Bei Auswahl dieser Option wird die Richtlinie aktiv.

    Diese Variante ist standardmäßig ausgewählt.

  • Inaktive Richtlinie

    Bei Auswahl dieser Option wird die Richtlinie inaktiv, aber im Ordner Richtlinien gespeichert. Bei Bedarf kann die Richtlinie aktiviert werden.

• In der Einstellungsgruppe Einstellungen erben können Sie Einstellungen für die Vererbung der Richtlinie anpassen:
  • Einstellungen aus übergeordneter Richtlinie erben

    Ist diese Option aktiviert, so werden die Werte der Richtlinieneinstellungen aus der Richtlinie der obersten Hierarchie-Ebene vererbt und können nicht geändert werden.

    Diese Option ist standardmäßig aktiviert.

  • Vererben der Einstellungen für untergeordnete Richtlinien erzwingen

    Ist diese Option aktiviert, so werden die folgenden Aktionen ausgeführt, nachdem die Richtlinienänderungen übernommen wurden:

    • Einstellungen der Richtlinie werden in die Tochter-Richtlinien, d.h. in die Richtlinien der untergeordneten Administrationsgruppen, übertragen.
    • Im Block Einstellungen erben des Abschnitts Allgemein im Eigenschaftenfenster aller untergeordneten Richtlinien wird die Option Einstellungen aus Richtlinie der höheren Ebene erben automatisch aktiviert.

    Ist diese Option aktiviert, so können die Einstellungen der untergeordneten Richtlinien nicht geändert werden.

    Diese Option ist standardmäßig deaktiviert.

Konfiguration von Ereignissen

Auf dieser Registerkarte können Sie die Ereignisprotokollierung und die Benachrichtigung über Ereignisse konfigurieren. Die Ereignisse sind entsprechend ihrer Ereigniskategorien in folgenden Abschnitte eingeteilt:

• Funktionsfehler
• Warnung
• Information

Jeder Abschnitt enthält eine Liste mit Ereignistypen und der Standard-Speicherdauer des Ereignisses auf dem Administrationsserver (in Tagen). Nachdem Sie den Ereignistyps angeklickt haben, können Sie die Eigenschaften für die Protokollierung und die Benachrichtigung über die aus der Liste ausgewählten Ereignisse festgelegt werden. Standardmäßig werden die allgemeinen Benachrichtigungseinstellungen, die für den gesamten Administrationsserver festgelegt wurden, für alle Ereignistypen verwendet. Bestimmte Einstellungen können jedoch für die gewünschten Ereignistypen angepasst werden.

Sie können beispielsweise im Abschnitt Warnung den Ereignistyp Es ist ein Sicherheitsproblem aufgetreten konfigurieren. Solche Ereignisse können beispielsweise eintreten, wenn der freie Speicherplatz eines Verteilungspunkts weniger als 2 GB beträgt (es sind mindestens 4 GB erforderlich, um Programme remote zu installieren und Updates herunterzuladen). Um das Ereignis Es ist ein Sicherheitsproblem aufgetreten zu konfigurieren, klicken Sie es an und legen Sie fest, wo die aufgetretenen Ereignisse gespeichert werden sollen und wie über sie benachrichtigt werden soll.

Wenn der Administrationsagent einen Sicherheitsvorfall entdeckt hat, können Sie diesen Vorfall mithilfe der Einstellungen eines verwalteten Geräts verwalten.

Programmeinstellungen

Einstellungen

Im Abschnitt Einstellungen können Sie die Richtlinieneinstellungen des Administrationsagenten anpassen:

• Dateien nur über Verteilungspunkte übertragen

  Wenn diese Option aktiviert ist, beziehen die Administrationsagenten auf verwalteten Geräten die Updates ausschließlich von Verteilungspunkten.

  Wenn diese Option deaktiviert ist, beziehen die Administrationsagenten auf verwalteten Geräten die Updates von Verteilungspunkten oder vom Administrationsserver.

  Beachten Sie, dass die Sicherheitsanwendungen auf verwalteten Geräten die Updates aus der Quelle abrufen, die in der Update-Aufgabe für jede Sicherheitsanwendung festgelegt wurde. Wenn Sie die Option Dateien nur über Verteilungspunkte übertragen aktivieren, stellen Sie sicher, dass Kaspersky Security Center Linux in den Update-Aufgaben als Update-Quelle festgelegt ist.

  Diese Option ist standardmäßig deaktiviert.

• Maximale Größe der Ereigniswarteschlange (MB)

  In diesem Feld können Sie den maximalen Speicherplatz eingeben, welchen die Ereigniswarteschlange auf dem Laufwerk einnehmen kann.

  Standardmäßig ist der Wert auf 2 MB eingestellt.

• Dem Programm ist es erlaubt, auf dem Gerät erweiterte Daten über Richtlinien zu erfassen

  Der Administrationsagent, der auf einem verwalteten Gerät installiert ist, überträgt Informationen über die angewendete Sicherheitsanwendungs-Richtlinie an die Sicherheitsanwendung (z. B. Kaspersky Endpoint Security für Linux). Die übertragenen Informationen können Sie auf der Benutzeroberfläche der Sicherheitsanwendung einsehen.

  Der Administrationsagent überträgt die folgenden Informationen:

  • Zeit, zu der die Richtlinie dem verwalteten Gerät zugestellt wurde
  • Name der aktiven Richtlinie oder der Richtlinie für mobile Benutzer, als die Richtlinie an das verwaltete Gerät zugestellt wurde
  • Name und vollständiger Pfad der Administrationsgruppe, zu der das verwaltete Gerät gehörte, als die Richtlinie an das verwaltete Gerät zugestellt wurde
  • Liste der aktiven Richtlinienprofile

    Sie können diese Informationen verwenden, um sicherzustellen, dass für das Gerät die richtige Richtlinie verwendet wird, und um Probleme zu lösen. Diese Option ist standardmäßig deaktiviert.

• Dienst des Administrationsagenten vor unberechtigter Deinstallation und Beendigung schützen sowie Änderung der Einstellungen verhindern

  Wenn diese Option aktiviert ist, kann nach der Installation des Administrationsagenten auf einem verwalteten Gerät die Komponente nicht ohne die entsprechenden Berechtigungen entfernt oder neu konfiguriert werden. Der Dienst des Administrationsagenten kann nicht beendet werden. Diese Option hat keine Auswirkung auf Domänencontroller.

  Aktivieren Sie diese Option, um den Administrationsagenten auf Workstations zu schützen, die mit lokalen Administratorrechten betrieben werden.

  Diese Option ist standardmäßig deaktiviert.

• Deinstallationskennwort verwenden

  Wenn diese Option aktiviert ist, können Sie das Kennwort für das Tool "klmover" und für die Aufgabe zur Remote-Deinstallation des Administrationsagenten angeben. Klicken Sie dazu auf die Schaltfläche Ändern.

  Diese Option ist standardmäßig deaktiviert.

Datenverwaltung

Im Abschnitt Datenverwaltung können Sie die Objekttypen auswählen, deren Daten vom Administrationsagenten an den Administrationsserver übertragen werden sollen. Wenn das Ändern der in diesem Abschnitt angegebenen Einstellungen in der Richtlinie des Administrationsagenten unterbunden ist, können Sie diese Einstellungen nicht ändern.

• Details zu installierten Programmen

  Ist diese Option aktiviert, werden auf den Administrationsserver Informationen über die auf den Client-Geräten installierten Programme übertragen.

  Diese Option ist standardmäßig aktiviert.

• Informationen über die Hardware-Inventur

  Der auf einem Gerät installierte Administrationsagent sendet Informationen über die Geräte-Hardware an den Administrationsserver. Sie können die Hardware-Details in den Geräteeigenschaften anzeigen.

  Stellen Sie sicher, dass das Tool "lshw" auf den Linux-Geräten installiert ist, von denen Sie die Hardwaredetails abrufen möchten. Die von virtuellen Maschinen abgerufenen Hardwaredetails können je nach verwendetem Hypervisor unvollständig sein.

Konnektivität

Der Abschnitt Konnektivität enthält drei Unterabschnitte:

• Netzwerk
• Verbindungsprofile
• Zeitplan der Verbindung

Im Unterabschnitt Netzwerk können Sie die Einstellungen für die Verbindung zum Administrationsserver anpassen, die Nutzung eines UDP-Ports aktivieren und die Nummer des UDP-Ports festlegen.

• In der Einstellungsgruppe Mit dem Administrationsserver verbinden können Sie die Verbindungseinstellungen für den Administrationsserver anpassen und das Synchronisierungsintervall der Client-Geräte mit dem Administrationsserver festlegen:
  • Synchronisierungsintervall (Min.)

    Der Administrationsagent synchronisiert das verwaltete Gerät mit dem Administrationsserver. Es wird empfohlen, das Synchronisierungsintervall (auch als Herzschlag bezeichnet) auf 15 Minuten pro 10.000 verwaltete Geräte einzurichten.

    Bei einem Synchronisierungsintervall kleiner als 15 Minuten, wird die Synchronisierung alle 15 Minuten durchgeführt. Bei einem Synchronisierungsintervall größer gleich 15 Minuten, wird die Synchronisierung entsprechend des angegebenen Synchronisierungsintervalls durchgeführt.

  • Netzwerkverkehr komprimieren

    Aktivieren Sie diese Option, um die Geschwindigkeit der Datenübertragung durch den Administrationsagenten zu steigern, das Datenvolumen zu komprimieren und die Belastung für den Administrationsserver zu reduzieren.

    Die CPU-Auslastung des Client-Computers kann ansteigen.

    Dieses Kontrollkästchen ist standardmäßig aktiviert.

  • Ports des Administrationsagenten in der Windows-Firewall öffnen

    Wenn diese Option aktiviert ist, wird ein für den Betrieb des Administrationsagenten erforderlicher UDP-Port zur Liste der Ausschlüsse der Microsoft Windows-Firewall hinzugefügt.

    Diese Option ist standardmäßig aktiviert.

  • SSL-Verbindung verwenden

    Wenn diese Option aktiviert ist, erfolgt die Verbindung zum Administrationsserver über einen gesicherten Port mit SSL-Protokoll.

    Diese Option ist standardmäßig aktiviert.

  • Verbindungs-Gateway auf Verteilungspunkt (falls vorhanden) mit den Standard-Verbindungseinstellungen verwenden

    Wenn die Option aktiviert ist, wird das Verbindungs-Gateway auf dem Verteilungspunkt mit den Einstellungen verwendet, die in den Administrationsgruppeneigenschaften festgelegt sind.

    Diese Option ist standardmäßig aktiviert.

• UDP-Port verwenden

  Wenn es erforderlich ist, dass sich die verwalteten Geräte über einen UDP-Port mit dem KSN-Proxyserver verbinden, aktivieren Sie die Option UDP-Port verwenden und geben Sie eine UDP-Portnummer an. Diese Option ist standardmäßig aktiviert. Der standardmäßige UDP-Port für die Verbindung zum KSN-Proxyserver ist 15111.

• UDP-Port

  Im Eingabefeld können Sie die Nummer des UDP-Ports eingeben. Standardmäßig wird Portnummer 15000 verwendet.

  Für die Eingabe wird das Dezimalformat verwendet.

Im Unterabschnitt Verbindungsprofile können Sie die Einstellungen des Netzwerkstandortes festlegen und den Modus für mobile Benutzer aktivieren, wenn der Administrationsserver nicht verfügbar ist. Die Einstellungen im Abschnitt Verbindungsprofile sind nur auf Geräten verfügbar, die unter Windows laufen:

• Einstellungen des Netzwerkstandorts

  Die Einstellungen des Netzwerkspeicherorts bestimmen die Merkmale des Netzwerks, mit dem das Client-Gerät verbunden ist, und legen die Regeln für den Wechsel des Administrationsagenten von einem Administrationsserver-Verbindungsprofil zu einem anderen fest (im Falle sich ändernder Merkmale des Netzwerks).

• Verbindungsprofile des Administrationsservers

  Verbindungsprofile werden nur für Windows-Geräte unterstützt.

  Sie können ein Profil für die Verbindung des Administrationsagenten mit dem Administrationsserver anzeigen und hinzufügen. In diesem Abschnitt können ferner die Umschaltregeln des Administrationsagenten auf andere Administrationsserver im Fall des Auftretens folgender Ereignisse festgelegt werden:

  • Verbindung des Client-Geräts mit einem anderen lokalen Netzwerk.
  • Trennung der Verbindung des Geräts vom lokalen Unternehmensnetzwerk.
  • Änderung der Verbindungs-Gateway-Adresse oder der Adresse des DNS-Servers.
• Modus für mobile Benutzer aktivieren, wenn der Administrationsserver nicht verfügbar ist

  Wenn diese Option aktiviert ist, und eine Verbindung über dieses Profil besteht, verwenden Programme, die auf dem Client-Gerät installiert sind, Richtlinienprofile für Geräte im Modus für mobile Benutzer sowie Richtlinien für mobile Benutzer. Wurde für das Programm keine Richtlinie für mobile Benutzer definiert, verwendet das Programm die aktive Richtlinie.

  Wenn diese Option deaktiviert ist, wenden die Anwendungen die aktiven Richtlinien an.

  Diese Option ist standardmäßig deaktiviert.

Im Unterabschnitt Zeitplan der Verbindung können Sie Zeitintervalle festlegen, in denen der Administrationsagent Daten auf den Administrationsserver übertragen soll:

• Verbindung bei Bedarf herstellen

  Bei dieser Variante wird eine Verbindung dann hergestellt, wenn Daten vom Administrationsagenten an den Administrationsserver übertragen werden sollen.

  Diese Variante ist standardmäßig ausgewählt.

• Verbindung in den angegebenen Zeiträumen herstellen

  Bei dieser Variante wird eine Verbindung des Administrationsagenten mit dem Administrationsserver in den vorgegebenen Zeiträumen hergestellt. Sie können mehrere Zeiträume für die Verbindung hinzufügen.

Netzwerkabfrage durch Verteilungspunkte

Im Abschnitt Netzwerkabfrage durch Verteilungspunkte können Sie die automatische Abfrage des Netzwerks anpassen. Sie können die folgenden Optionen verwenden, um die Abfrage zu aktivieren und ihre Häufigkeit festzulegen:

• Zeroconf

  Wenn diese Option aktiviert ist, fragt der Verteilungspunkt das Netzwerk mit IPv6-Geräten unter Verwendung von Zero-configuration Networking (auch als Zeroconf bezeichnet) automatisch ab. In diesem Fall werden aktivierte IP-Bereichsabfragen ignoriert, da der Verteilungspunkt das gesamte Netzwerk abfragt.

  Um Zeroconf verwenden zu können, müssen die folgenden Bedingungen erfüllt sein:

  • Der Verteilungspunkt muss unter Linux laufen.
  • Sie müssen auf dem Verteilungspunkt das Tool "avahi-browse" installieren.

  Wenn diese Option deaktiviert ist, fragt der Verteilungspunkt Netzwerke mit IPv6-Geräten nicht ab.

  Diese Option ist standardmäßig deaktiviert.

• IP-Bereiche

  Wenn diese Option aktiviert ist, fragt der Verteilungspunkt die IP-Bereiche automatisch gemäß dem Zeitplan ab, den Sie über die Schaltfläche Abfragezeitplan festlegen eingerichtet haben.

  Wenn diese Option deaktiviert ist, fragt der Verteilungspunkt keine IP-Bereiche ab.

  Das Intervall der Abfrage des IP-Bereichs kann für Versionen des Administrationsagenten bis Version 10.2 im Feld Abfrageintervall (Min.) eingestellt werden. Der Abschnitt ist verfügbar, wenn die Option aktiviert ist.

  Diese Option ist standardmäßig deaktiviert.

• Active Directory

  Wenn diese Option aktiviert ist, fragt der Verteilungspunkt die Domänencontroller automatisch gemäß dem Zeitplan ab, den Sie über die Schaltfläche Abfragezeitplan festlegen eingerichtet haben.

  Wenn diese Option deaktiviert ist, fragt der Verteilungspunkt keine Domänencontroller ab.

  Das Intervall für die Abfrage des Domänencontrollers kann für Administrationsagenten bis Version 10.2 im Feld Abfrageintervall (Min.) eingestellt werden. Der Feld ist verfügbar, wenn diese Option aktiviert ist.

  Diese Option ist standardmäßig deaktiviert.

Netzwerk-Einstellungen für Verteilungspunkte

Im Abschnitt Netzwerk-Einstellungen für Verteilungspunkte können Sie die Einstellungen für den Internetzugang festlegen:

• Proxyserver verwenden
• Adresse
• Port
• Proxyserver für lokale Adressen umgehen

  Wenn die Option aktiviert ist, wird bei der Verbindung mit den Geräten im lokalen Netzwerk kein Proxyserver verwendet.

  Diese Option ist standardmäßig deaktiviert.

• Authentifizierung am Proxyserver

  Wenn das Kästchen aktiviert ist, können Sie in den Eingabefeldern Ihre Benutzerdaten zur Authentifizierung am Proxyserver angeben.

  Dieses Kontrollkästchen ist standardmäßig nicht aktiviert.

• Benutzername
• Kennwort

KSN Proxy (Verteilungspunkte)

Im Abschnitt KSN Proxy (Verteilungspunkte) können Sie das Programm anpassen, um den Verteilungspunkt zum Weiterleiten von Anfragen des Kaspersky Security Network (KSN) von den verwalteten Geräten zu verwenden:

• KSN Proxy auf dem Verteilungspunkt aktivieren

  Der KSN Proxy-Service wird auf dem Gerät ausgeführt, das als Verteilungspunkt verwendet wird. Verwenden Sie diese Funktion, um Datenverkehr im Netzwerk neu zu verteilen und zu optimieren.

  Der Verteilungspunkt sendet die KSN-Statistik, die in der Erklärung zu Kaspersky Security Network aufgeführt sind, an Kaspersky.

  Diese Option ist standardmäßig deaktiviert. Die Aktivierung dieser Option wird erst wirksam, wenn im Fenster mit den Eigenschaften des Administrationsservers die Optionen Administrationsserver als Proxyserver verwenden und Ich akzeptiere die Nutzungsbedingungen für Kaspersky Security Network aktiviert sind.

  Sie können dem Knoten eines aktiv-passiven Clusters die Rolle als Verteilungspunkt zuweisen und den KSN-Proxyserver auf diesem Knoten aktivieren.

• KSN-Anfragen an Administrationsserver weiterleiten

  Der Verteilungspunkt leitet KSN-Anfragen von den verwalteten Geräten an den Administrationsserver weiter.

  Diese Option ist standardmäßig aktiviert.

• Direkt über das Internet auf KSN Cloud/Private KSN zugreifen

  Der Verteilungspunkt leitet KSN-Anfragen von den verwalteten Geräten an die KSN Cloud oder an KPSN weiter. KSN-Anfragen, die der Verteilungspunkt selbst generiert, werden ebenso direkt an KSN Cloud oder KPSN gesendet.

• Port

  Die Nummer des TCP-Ports, den die verwalteten Geräte verwenden werden, um eine Verbindung mit dem KSN-Proxyserver herzustellen. Standardmäßig wird Portnummer 13111 verwendet.

• UDP-Port

  Wenn es erforderlich ist, dass sich die verwalteten Geräte über einen UDP-Port mit dem KSN-Proxyserver verbinden, aktivieren Sie die Option UDP-Port verwenden und geben Sie eine UDP-Portnummer an. Diese Option ist standardmäßig aktiviert. Der standardmäßige UDP-Port für die Verbindung zum KSN-Proxyserver ist 15111.

Updates (Verteilungspunkte)

Sie können die Funktion zum Download von diff-Dateien im Abschnitt Updates (Verteilungspunkte) aktivieren, damit die Verteilungspunkte die Updates in Form von diff-Dateien von den Kaspersky-Update-Servern erhalten.

Verwaltung des Neustarts

Im Abschnitt Verwaltung des Neustarts können Sie die Aktion festlegen, die ausgeführt werden soll, wenn zur korrekten Ausführung, Installation oder Deinstallation des Programms ein Neustart des Betriebssystems des verwalteten Geräts erforderlich ist. Die Einstellungen im Abschnitt Verwaltung des Neustarts sind nur auf Geräten verfügbar, die unter Windows laufen:

• Betriebssystem nicht neu starten

  Client-Geräte werden nach dem Vorgang nicht automatisch neu gestartet. Für das Abschließen des Vorgangs ist es erforderlich, ein Gerät (beispielsweise manuell oder mithilfe einer Aufgabe zur Verwaltung von Geräten) neu zu starten. Die Informationen über einen erforderlichen Neustart werden in den Ergebnissen der Aufgabenausführung und im Status des Geräts gespeichert. Diese Variante eignet sich für die Aufgaben auf Servern und anderen Geräten, für welche ein störungsfreies Arbeiten kritisch ist.

• Betriebssystem bei Bedarf automatisch neu starten

  Client-Geräte werden immer automatisch neu gestartet, wenn für das Abschließen des Vorgangs ein Neustart erforderlich ist. Diese Variante eignet sich für Aufgaben auf Geräten, für die regelmäßige Pausen in der Ausführung (Deaktivieren, Neustart) zulässig sind.

• Benutzer fragen

  Die Erinnerung an den Neustart wird auf dem Bildschirm des Client-Geräts angezeigt und fordert den Benutzer auf, das Gerät manuell neu zu starten. Für diese Variante können einige erweiterten Einstellungen definiert werden: Text der Nachricht für den Benutzer, die Anzeigehäufigkeit der Nachricht, sowie die Zeitspanne, nach der ein Neustart zwangsläufig (ohne Bestätigung des Benutzers) ausgeführt wird. Diese Option eignet sich am besten für Workstations, an denen Benutzer in der Lage sein müssen, den passendsten Zeitpunkt für einen Neustart auszuwählen.

  Diese Variante ist standardmäßig ausgewählt.

  • Aufforderung regelmäßig wiederholen nach (Min.)

    Wenn diese Option aktiviert ist, fordert die Anwendung den Benutzer mit der festgelegten Häufigkeit auf, das Betriebssystem neu zu starten.

    Diese Option ist standardmäßig aktiviert. Das Standardintervall beträgt 5 Minuten. Verfügbare Werte liegen zwischen 1 und 1.440 Minuten.

    Wenn diese Option deaktiviert ist, wird die Aufforderung nur ein einziges Mal angezeigt.

  • Neustart erzwingen nach (Min.)

    Nach der Aufforderung des Benutzers erzwingt das Programm den Neustart des Betriebssystems nach Ablauf der festgelegten Zeitspanne.

    Diese Option ist standardmäßig aktiviert. Die Standardverzögerung beträgt 30 Minuten. Verfügbare Werte liegen zwischen 1 und 1.440 Minuten.

  • Beenden von Anwendungen in blockierten Sitzungen erzwingen

    Laufende Anwendungen können das Neustarten des Client-Geräts verhindern. Wenn beispielsweise ein Dokument in einer Textverarbeitungsanwendung bearbeitet wird und nicht gespeichert wurde, erlaubt die Anwendung keinen Neustart des Geräts.

    Wenn diese Option aktiviert ist, wird das Schließen solcher Anwendungen auf einem gesperrten Gerät erzwungen, bevor das Gerät neu gestartet wird. Das kann dazu führen, dass Benutzer ihre nicht gespeicherten Änderungen verlieren.

    Wenn diese Option deaktiviert ist, wird ein gesperrtes Gerät nicht neu gestartet. Der Aufgabenstatus auf diesem Gerät weist darauf hin, dass ein Neustart des Geräts erforderlich ist. Benutzer müssen alle Anwendungen, die auf gesperrten Geräten laufen, manuell schließen und diese Geräte neu starten.

    Diese Option ist standardmäßig deaktiviert.