Защита паролем

Компьютер могут использовать несколько пользователей с разным уровнем компьютерной грамотности. Неограниченный доступ пользователей к Kaspersky Endpoint Security и его параметрам может привести к снижению уровня безопасности компьютера в целом. Защита паролем позволяет ограничить доступ пользователей к Kaspersky Endpoint Security в соответствии с предоставленными разрешениями (например, разрешение на завершение работы программы).

Если пользователь, который запустил сессию Windows, (сессионный пользователь) имеет разрешение на выполнение действия, Kaspersky Endpoint Security не запрашивает имя пользователя и пароль или временный пароль. Пользователь получает доступ к Kaspersky Endpoint Security в соответствии с предоставленными разрешениями.

Если у сессионного пользователя отсутствует разрешение на выполнение действия, пользователь может получить доступ к программе следующими способами:

• Ввод имени пользователя и пароля.

  Этот способ удобен для повседневной работы. Для выполнения действия, защищенного паролем, требуется ввести данные доменной учетной записи пользователя с необходимым разрешением. При этом компьютер должен быть в домене. Если компьютер не в домене, вы можете использовать учетную запись KLAdmin.

• Ввод временного пароля.

  Этот способ удобен, если пользователь находится вне корпоративной сети и необходимо предоставить ему временное разрешение на выполнение запрещенного действия (например, завершить работу программы). По истечении срока действия временного пароля или истечении сессии программа возвращает параметры Kaspersky Endpoint Security в прежнее состояние.

При попытке пользователя выполнить действие, защищенное паролем, Kaspersky Endpoint Security предложит пользователю ввести имя пользователя и пароль или временный пароль (см. рис. ниже).

В окне ввода пароля язык ввода можно поменять только с помощью одновременного нажатия клавиш ALT+SHIFT. При использовании других комбинаций клавиш, даже если они установлены в операционной системе, смена языка ввода не происходит.

Запрос пароля для доступа к Kaspersky Endpoint Security

Имя пользователя и пароль

Для доступа к Kaspersky Endpoint Security необходимо ввести данные доменной учетной записи. Защита паролем поддерживает работу со следующими учетными записями:

• KLAdmin. Учетная запись администратора без ограничений доступа к Kaspersky Endpoint Security. Учетная запись KLAdmin имеет право на выполнение любого действия, защищенного паролем. Отменить разрешение для учетной записи KLAdmin невозможно. Kaspersky Endpoint Security требует задать пароль для учетной записи KLAdmin во время включения Защиты паролем.
• Группа "Все". Стандартная группа Windows, которая включает в себя всех пользователей внутри корпоративной сети. Пользователи из группы "Все" могут получить доступ к программе в соответствии с предоставленными разрешениями.
• Отдельные пользователи или группы. Учетные записи пользователей, для которых вы можете настроить отдельные разрешения. Например, если для группы "Все" выполнение действия запрещено, то вы можете разрешить выполнение действия для отдельного пользователя или группы.
• Сессионный пользователь. Учетная запись пользователя, который запустил сессию Windows. Вы можете сменить сессионного пользователя во время ввода пароля (флажок Запомнить пароль на текущую сессию). В этом случае Kaspersky Endpoint Security назначает сессионным пользователем, учетные данные которого вы ввели, вместо пользователя, который запустил сессию Windows.

Временный пароль

Временный пароль позволяет предоставить временный доступ к Kaspersky Endpoint Security для отдельного компьютера вне корпоративной сети. Администратор создает временный пароль для отдельного компьютера в Kaspersky Security Center в свойствах компьютера пользователя. Администратор выбирает действия, на которые будет распространяться временный пароль, и срок действия временного пароля.

Алгоритм работы Защиты паролем

Kaspersky Endpoint Security принимает решение о выполнении действия, защищенного паролем, по следующему алгоритму (см. рис. ниже).

Алгоритм работы Защиты паролем

Включение Защиты паролем

Защита паролем позволяет ограничить доступ пользователей к Kaspersky Endpoint Security в соответствии с предоставленными разрешениями (например, разрешение на завершение работы программы).

Чтобы включить Защиту паролем, выполните следующие действия:

1. В главном окне программы нажмите на кнопку .
2. В окне параметров программы выберите раздел Расширенные настройки → Интерфейс.
3. Используйте переключатель Защита паролем, чтобы включить или выключить компонент.
4. Задайте пароль для учетной записи KLAdmin и подтвердите его.

   Учетная запись KLAdmin имеет право на выполнение любого действия, защищенного паролем.

   Если компьютер работает под управлением политики, администратор может сбросить пароль для учетной записи KLAdmin в свойствах политики. Если компьютер не подключен к Kaspersky Security Center и вы забыли пароль для учетной записи KLAdmin, восстановить пароль невозможно.

5. Настройте разрешения для всех пользователей внутри корпоративной сети:
   1. В таблице Разрешения откройте список разрешений для группы "Все" по кнопке Изменить.

      Группа "Все" – стандартная группа Windows, которая включает в себя всех пользователей внутри корпоративной сети.

   2. Установите флажки напротив тех действий, которые будут доступны пользователям без ввода пароля.

      Если флажок снят, пользователям запрещено выполнять это действие. Например, если флажок напротив разрешения Завершение работы программы снят, вы можете завершить работу программы только с помощью учетной записи KLAdmin, отдельной учетной записи с нужным разрешением или с помощью временного пароля.

      Разрешения Защиты паролем имеют ряд особенностей. Убедитесь, что для доступа к Kaspersky Endpoint Security выполнены все условия.

   3. Нажмите на кнопку ОК.
6. Сохраните внесенные изменения.

После включения Защиты паролем программа ограничит доступ пользователей к Kaspersky Endpoint Security в соответствии в разрешениями для группы "Все". Вы можете выполнить запрещенные для группы "Все" действия только с помощью учетной записи KLAdmin, отдельной учетной записи с нужными разрешениями или с помощью временного пароля.

Вы можете выключить Защиту паролем только с помощью учетной записи KLAdmin. Выключить защиту паролем с помощью другой учетной записи или с помощью временного пароля невозможно.

Во время проверки пароля вы можете установить флажок Запомнить пароль на текущую сессию. В этом случае Kaspersky Endpoint Security не будет требовать ввода пароля при попытке пользователя выполнить другое разрешенное действие, защищенное паролем, в течение сессии.

Предоставление разрешений для отдельных пользователей или групп

Вы можете предоставить доступ к Kaspersky Endpoint Security для отдельных пользователей или групп. Например, если группе "Все" запрещено завершать работу программы, вы можете предоставить отдельному пользователю разрешение Завершение работы программы. В результате вы можете завершить работу программы только с помощью учетной записи этого пользователя или учетной записи KLAdmin.

Вы можете использовать данные учетной записи для доступа к программе, только если компьютер в домене. Если компьютер не в домене, вы можете использовать учетную запись KLAdmin или временный пароль.

Чтобы предоставить разрешение для отдельных пользователей или групп, выполните следующие действия:

1. В главном окне программы нажмите на кнопку .
2. В окне параметров программы выберите раздел Расширенные настройки → Интерфейс.
3. В таблице Защита паролем нажмите на кнопку Добавить.
4. В открывшемся окне нажмите на кнопку Выбрать пользователя или группу.

   Откроется стандартное окно Windows для выбора пользователей или групп.

5. Выберите пользователя или группу в Active Directory и подтвердите свой выбор.
6. В списке Разрешения установите флажки напротив тех действий, которые будут доступны добавленному пользователю или группе без ввода пароля.

   Если флажок снят, пользователям запрещено выполнять это действие. Например, если флажок напротив разрешения Завершение работы программы снят, вы можете завершить работу программы только с помощью учетной записи KLAdmin, отдельной учетной записи с нужным разрешением или с помощью временного пароля.

   Разрешения Защиты паролем имеют ряд особенностей. Убедитесь, что для доступа к Kaspersky Endpoint Security выполнены все условия.

7. Сохраните внесенные изменения.

В результате, если для группы "Все" доступ к программе ограничен, пользователи получат доступ к Kaspersky Endpoint Security в соответствии с разрешениями для этих пользователей.

Использование временного пароля для предоставления разрешений

Временный пароль позволяет предоставить временный доступ к Kaspersky Endpoint Security для отдельного компьютера вне корпоративной сети. Это нужно, чтобы разрешить выполнение запрещенного действия без передачи пользователю учетных данных KLAdmin. Для использования временного пароля компьютер должен быть добавлен в Kaspersky Security Center.

Чтобы предоставить пользователю разрешение на выполнение запрещенного действия с помощью временного пароля, выполните следующие действия:

1. Откройте Консоль администрирования Kaspersky Security Center.
2. В папке Управляемые устройства дерева Консоли администрирования откройте папку с названием группы администрирования, в состав которой входят нужные клиентские компьютеры.
3. В рабочей области выберите закладку Устройства.
4. Откройте свойства компьютера двойным щелчком мыши.
5. В окне свойств компьютера выберите раздел Программы.
6. В списке установленных на компьютере программ "Лаборатории Касперского" выберите Kaspersky Endpoint Security для Windows и откройте свойства программы двойным щелчком мыши.
7. В окне параметров программы выберите раздел Общие настройки → Интерфейс.
8. В блоке Защита паролем нажмите на кнопку Настройка.

   Откроется окно Защита паролем.

9. В блоке Временный пароль нажмите на кнопку Настройка.

   Откроется окно Создание временного пароля.

10. В поле Дата истечения установите срок действия временного пароля.
11. В таблице Область действия временного пароля установите флажки напротив тех действий, которые будут доступны пользователю после ввода временного пароля.
12. Нажмите на кнопку Создать.

    Откроется окно с временным паролем (см. рис. ниже).

13. Скопируйте и передайте пользователю пароль.

    

    Временный пароль

Особенности разрешений Защиты паролем

Разрешения Защиты паролем имеют ряд особенностей и ограничений.

Настройка программы

Если компьютер пользователя работает под управлением политики, убедитесь, что нужные параметры в политике доступны для изменения (атрибуты открыты).

Завершение работы программы

Особенностей и ограничений нет.

Выключение компонентов защиты

• Предоставить разрешение на выключение компонентов защиты для группы "Все" невозможно. Чтобы разрешить выключение компонентов защиты не только пользователю KLAdmin, но и другим пользователям, добавьте пользователя или группу с разрешением Выключение компонентов защиты в параметрах Защиты паролем.
• Если компьютер пользователя работает под управлением политики, убедитесь, что нужные параметры в политике доступны для изменения (атрибуты открыты).
• Для выключения компонентов защиты в параметрах программы пользователь должен иметь разрешение Настройка программы.
• Для выключения компонентов защиты из контекстного меню (пункт Приостановить защиту) пользователь, кроме разрешения Выключение компонентов защиты, должен иметь разрешение Выключение компонентов контроля.

Выключение компонентов контроля

• Предоставить разрешение на выключение компонентов контроля для группы "Все" невозможно. Чтобы разрешить выключение компонентов защиты не только пользователю KLAdmin, но и другим пользователям, добавьте пользователя или группу с разрешением Выключение компонентов контроля в параметрах Защиты паролем.
• Если компьютер пользователя работает под управлением политики, убедитесь, что нужные параметры в политике доступны для изменения (атрибуты открыты).
• Для выключения компонентов контроля в параметрах программы пользователь должен иметь разрешение Настройка программы.
• Для выключения компонентов контроля из контекстного меню (пункт Приостановить защиту) пользователь, кроме разрешения Выключение компонентов контроля, должен обладать разрешением Выключение компонентов защиты.

Выключение политики Kaspersky Security Center

Предоставить разрешение на выключение политики Kaspersky Security Center для группы "Все" невозможно. Чтобы разрешить выключение политики не только пользователю KLAdmin, но и другим пользователям, добавьте пользователя или группу с разрешением Выключение политики Kaspersky Security Center в параметрах Защиты паролем.

Удаление ключа

Особенностей и ограничений нет.

Удаление / изменение / восстановление программы

Если вы предоставили разрешение на удаление, изменение и восстановление программы для группы "Все", Kaspersky Endpoint Security не будет требовать ввода пароля при попытке пользователя выполнить эти операции. Таким образом, любой пользователь, включая пользователей вне домена, может установить, изменить или восстановить программу.

Восстановление доступа к данным на зашифрованных устройствах

Вы можете восстановить доступ к данным на зашифрованных устройствах только с помощью учетной записи KLAdmin. Разрешить это действие другому пользователю невозможно.

Просмотр отчетов

Особенностей и ограничений нет.

Восстановление из резервного хранилища

Особенностей и ограничений нет.