迁移 KSWS 任务和策略
您可以通过以下方式迁移 KSWS 策略和任务设置:
- 使用策略和任务批量转换向导(以下简称“迁移向导”)。
KSWS 迁移向导仅在管理控制台(MMC)中可用。无法在 Web 控制台和云控制台中迁移策略和任务设置。
对于不同版本的 Kaspersky Security Center,批量转换向导的工作方式不同。我们建议将解决方案升级到版本 14.2 或更高版本。在此版本的 Kaspersky Security Center 中,策略和任务批量转换向导可让您将策略迁移到配置文件中,而不是迁移到策略中。在此版本的 Kaspersky Security Center 中,策略和任务批量转换向导还允许您迁移范围更广的策略设置。
- 使用 Kaspersky Endpoint Security for Windows 的新策略向导。
新策略向导允许您基于 KSWS 策略创建 KES 策略。
使用迁移向导和新策略向导时,KSWS 策略迁移过程不同。
策略和任务批量转换向导
迁移向导将 KSWS 策略设置而不是 KES 策略设置转移到策略配置文件中。策略配置文件是一组策略设置,如果计算机满足配置的激活规则,就会在计算机上激活这些设置。UpgradedFromKSWS 设备标签被选为策略配置文件的触发标准。Kaspersky Security Center 自动添加UpgradedFromKSWS 标记到您使用远程安装任务在 KSWS 之上安装 KES 的所有计算机。如果您选择了不同的安装方法,您可以手动将标签分配给设备。
向设备添加标签:
- 为服务器创建一个新标签——
UpgradedFromKSWS。有关为设备创建标签的详细信息,请参阅 Kaspersky Security Center 帮助。
- 在 Kaspersky Security Center 控制台中创建一个新的管理组,并添加您要为其分配标签的服务器。
您可以使用选择工具对服务器进行分组。有关使用选择的详细信息,请参阅 Kaspersky Security Center 帮助。
- 在 Kaspersky Security Center 控制台中选择管理组的所有服务器,打开所选服务器的属性并分配标签。
如果您正在迁移多个 KSWS 策略,则每个策略都将转换为一个总体策略中的配置文件。如果 KSWS 策略已包含配置文件,这些配置文件也将作为配置文件迁移。因此,您将获得一个单一的策略,其中包括与所有 KSWS 策略相对应的配置文件。
带有 KSWS 设置的新策略配置文件将被命名为 UpgradedFromKSWS <Kaspersky Security for Windows Server 策略名称>。在配置文件属性中,迁移向导会自动选择UpgradedFromKSWS 设备标签作为触发标准。因此,策略配置文件中的设置会自动应用于服务器。
基于 KSWS 策略创建策略的向导
当基于 KSWS 策略创建 KES 策略时,向导会相应地将设置传输到新策略。即一个 KES 策略对应一个 KSWS 策略。该向导不会将策略转换为配置文件。
迁移后策略和任务的额外配置
KSWS 和 KES 具有不同的组件和策略设置集,因此迁移后您必须验证策略设置是否满足您的公司安全要求。
检查以下基本策略设置:
- 密码保护。KSWS 密码保护设置未迁移。Kaspersky Endpoint Security 具有内置的密码保护功能。如有需要,开启密码保护并设置密码。
- 受信任区域。KSWS 和 KES 用于选择对象的方法不同。当迁移时,KES 支持定义为单个文件或文件/文件夹路径的排除项。如果 KSWS 将排除项配置为预定义区域或脚本 URL,则不会迁移此类排除项。迁移后,您必须手动添加此类排除项。
为确保 Kaspersky Endpoint Security 在服务器上正常工作,建议将对服务器功能重要的文件添加到受信任区域。对于 SQL 服务器,您必须添加 MDF 和 LDF 数据库文件。对于 Microsoft Exchange 服务器,您必须添加 CHK、EDB、JRS、LOG 和 JSL 文件。你可以使用掩码,例如,
C:\Program Files (x86)\Microsoft SQL Server\*.mdf。从 Kaspersky Endpoint Security 12.6 for Windows 开始,扫描排除项和受信任的应用程序被添加到信任区域。预定义的扫描排除项和受信任的应用程序有助于在 SQL 服务器、Microsoft Exchange 服务器和 System Center Configuration Manager 上快速配置 Kaspersky Endpoint Security。这意味着您不需要在服务器上为应用程序手动设置信任区域。
- 防火墙。KSWS 防火墙功能由系统级防火墙执行。在 KES 中,一个单独的组件负责防火墙功能。迁移后,您可以配置 Kaspersky Endpoint Security 防火墙。
- 卡巴斯基安全网络。Kaspersky Endpoint Security 不支持为单个组件配置 KSN。Kaspersky Endpoint Security 对所有应用程序组件使用 KSN。要使用 KSN,您必须接受卡巴斯基安全网络声明的新条款和条件。
- Web 控制。Web 流量类别控制的阻止规则被迁移到 Kaspersky Endpoint Security 中的单独阻止规则。Kaspersky Endpoint Security 忽略类别控制的允许规则。Kaspersky Endpoint Security 不支持 Kaspersky Security for Windows Server 的所有类别。Kaspersky Endpoint Security 不存在的类别不被迁移。因此,Therefore, 类别不受支持的 Web 资源分类规则不被迁移。如有需要,添加 Web 控制规则。
- 代理服务器。代理服务器连接密码未迁移。手动输入用于连接代理服务器的密码。
- 各个组件的时间表。Kaspersky Endpoint Security 不支持为单个组件配置计划。当 Kaspersky Endpoint Security 运行时,组件始终处于打开状态。
- 组件集。可用的 Kaspersky Endpoint Security 功能集取决于操作系统的类型:工作站或服务器。例如,在加密工具之外,服务器上只有 BitLocker 驱动器加密可用。
属性。 属性的状态未迁移。 属性将具有默认值。默认情况下,新策略中的几乎所有设置都禁止修改子策略和本地应用程序界面中的设置。该属性具有Managed Detection and Response区域和用户支持设置组(界面部分)中策略设置的 
值。如果必要,配置从父策略继承设置。- 处理活动威胁。高级清除针对工作站和服务器具有不同功能。您可以在“恶意软件扫描”任务设置和应用程序设置中配置高级清除。
- 升级应用程序。要在不重新启动的情况下安装主要更新和补丁,您必须更改应用程序升级模式。默认情况下,安装应用程序更新而不重新启动功能处于禁用状态。
- Kaspersky Endpoint Agent。Kaspersky Endpoint Security 为 Detection and Response 解决方案引入了内置代理。如有需要,将 Kaspersky Endpoint Agent 策略设置传输到 Kaspersky Endpoint Security 策略。
- “数据库和应用程序模块更新”任务。确保数据库和应用程序模块更新任务的设置已正确迁移。KES 使用单个 KES 任务而不是 KSWS 的三个任务。你可以优化数据库和应用程序模块更新任务并删除多余的任务。
- 其他任务。应用程序控制、设备控制和文件完整性监控组件在 KSWS 和 KES 中的工作方式不同。KES 不使用基线文件完整性监控、应用程序启动控制、设备控制规则生成器任务。因此,不会迁移这些任务。迁移后,您可以配置文件完整性监控、应用程序控制、设备控制组件。