网络代理策略设置
扩展所有 | 折叠所有
若配置网络代理策略:
- 在控制台树中,选择“策略”文件夹。
- 在文件夹的工作区,选择网络代理策略。
- 在策略的上下文菜单中,选择“属性”。
网络代理策略的属性窗口打开。
常规
在“常规”区域,您可以修改策略状态并指定策略设置的继承:
- 在“策略状态”块,您可以选择策略的模式:
- 活动策略
如果选择该选项,策略将变为活动状态。
默认情况下已选定该选项。
- 漫游策略
如果选择该选项,策略将在设备离开企业网络时变为活动状态。
- 非活动策略
如果选择该选项,策略将变为不活动状态,但它仍然存储在“策略”文件夹中。如果需要,您可以激活该策略。
- 在“设置继承”设置组中,您可以配置策略继承:
- 从父策略继承设置
如果启用此选项,则策略设置值将从上一级组策略继承,因而被锁定。
默认情况下已启用该选项。
- 在子策略中强制继承设置
如果启用此选项,则在应用策略更改之后,将执行以下操作:
- 策略设置的值将被传送到管理子组的策略,也就是子策略。
- 在每个子策略属性窗口常规区域的继承设置区块,将自动启用从父策略继承设置选项。
如果启用此选项,则子策略设置被锁定。
默认情况下已禁用该选项。
事件配置
“事件配置”区域允许您配置事件记录和事件通知。事件根据重要级别用下面的标签分布:
- 严重
“严重”选项卡不显示在网络代理策略属性中。
- 功能失败
- 警告
- 信息
在每个选项卡,列表显示在管理服务器上事件类型和默认事件存储的期限(天)。单击“属性”按钮,您可以指定列表中已选中的事件日志和通知设置。默认下,为整个管理服务器指定的通用通知设置被用于所有事件类型。然后,您可以更改所需事件类型的特别设置。
例如,在 警告 选项卡,您可以配置 发生了事故 事件类型。此类事件可能会发生,例如,当 分发点的可用磁盘空间 小于 2 GB(至少需要 4 GB 才能远程安装应用程序和下载更新)。若要配置 发生了事故 事件,选择它并单击 属性 按钮。之后,您可以指定存储发生的事件的位置以及如何通知它们。
如果网络代理检测到事件,您可以使用受管设备的设置管理此事件。
要选择多个事件类型,使用 SHIFT 或 CTRL 键;要选择所有类型,使用“全部选中”按钮。
设置
在设置区域,您可以配置网络代理策略:
- 仅通过分发点分发文件
如果启用此选项,则受管理设备上的网络代理只从分发点检索更新。
如果禁用此选项,则受管理设备上的网络代理从分发点或管理服务器检索更新。
请注意,受管理设备上的安全应用程序从每个安全应用程序的更新任务中设置的源检索更新。如果启用“仅通过分发点分发文件”选项,请确保在更新任务中将 Kaspersky Security Center 设置为更新源。
默认情况下已禁用该选项。
- 事件队列的最大大小(MB)
在该字段中,您可以指定事件队列可在驱动器上占据的最大空间。
默认值为 2 MB。
- 应用程序被允许在设备上检索策略扩展数据
安装在受管理设备上的网络代理会将有关已应用的安全应用程序策略的信息传输到安全应用程序(例如,Kaspersky Endpoint Security for Windows)。您可以在安全应用程序界面查看传输的信息。
网络代理传输以下信息:
- 保护网络代理服务免遭非授权的卸载或终止,并防止设置更改
当启用该选项时,网络代理被安装到受管理设备之后,没有所需权限组件无法被卸载或重新配置。网络代理服务无法被停止。此选项对域控制器没有影响。
启用此选项可保护以本地管理员权限操作的工作站上的网络代理。
默认情况下已禁用该选项。
- 使用卸载密码
如果启用此选项,则单击“修改”按钮可以指定 klmover 实用程序和网络代理远程卸载的密码。
默认情况下已禁用该选项。
存储库
在“存储库”区域,您可以选择将其信息从网络代理发送到管理服务器的对象类型。如果本区域中的某些设置被网络代理策略禁止,则您无法修改它们。“存储库”区域的设置仅在运行 Windows 的设备上可用:
- Windows Update 更新详情
如果启用此选项,则有关客户端设备上必须安装的 Microsoft Windows Update 更新的信息将发送至管理服务器。
有时,即使禁用此选项,更新也会显示在“可用更新”区域的设备属性中。例如,如果组织的设备存在可被这些更新修复的漏洞,则可能出现这种情况。
默认情况下已启用该选项。它仅适用于 Windows。
- 软件漏洞和对应更新的详情
如果启用此选项,则将有关在受管理设备上检测到的第三方软件(包括 Microsoft 软件)中的漏洞信息以及有关修复第三方漏洞(不包括 Microsoft 软件)的软件更新信息发送到管理服务器。
选择此选项(软件漏洞和对应更新的详情)会增加网络负载、管理服务器磁盘负载和网络代理资源消耗。
默认情况下已启用该选项。它仅适用于 Windows。
要管理 Microsoft 软件的软件更新,请使用“Windows Update 更新详情”选项。
- 硬件注册表的详细信息
安装在设备上的网络代理会将设备硬件的相关信息发送到管理服务器。您可以在设备属性中查看硬件详细信息。
确保在要从中获取硬件详细信息的 Linux 设备上安装了 lshw 实用程序。根据所使用的 hypervisor,从虚拟机获取的硬件详细信息可能不完整。
- 已安装应用程序详情
如果启用此选项,则有关客户端设备上安装的应用程序的信息将发送至管理服务器。
默认情况下已启用该选项。
- 包括补丁信息
有关在客户端设备上安装的应用程序补丁的信息将发送到管理服务器。启用此选项可能会增加管理服务器和 DBMS 的负载,并导致数据库数据量的增加。
默认情况下已启用该选项。它仅适用于 Windows。
软件更新和漏洞
在“软件更新和漏洞”区域,您可以配置搜索和发布 Windows 更新以及启用扫描可执行文件以发现漏洞。“软件更新和漏洞”区域的设置仅在运行 Windows 的设备上可用:
重启管理
如果受管理设备的操作系统必须重启才能正确使用、安装或卸载应用程序,您可以在“重启管理”区域指定要执行的操作。“重启管理”区域的设置仅在运行 Windows 的设备上可用:
- 不重启操作系统
- 如果必要,自动重启操作系统
- 提示用户操作
程序提示用户重启操作系统。
默认情况下已选定该选项。
- 重复提示间隔(分钟)
如果启用此选项,应用程序会以复选框旁边的字段中指定的频率提示用户允许重启操作系统。默认情况下,提示频率为 5 分钟。
如果禁用此选项,应用程序不会反复提示用户允许重启。
默认情况下已启用该选项。
- 在该时间后强制重启(分钟)
如果启用此选项,提示用户之后,应用程序强制操作系统在选框旁边字段指定的时间间隔结束后进行重启。
如果禁用此选项,应用程序不会强制重启。
默认情况下已启用该选项。
- 在该时间后强制关闭阻止会话中的应用程序(分钟)
用户设备锁定时,程序以强制模式关闭(指定不活动间隔之后自动锁定,或手动锁定)。
如果启用此选项,当输入字段中指定的时间间隔结束后,锁定设备上的应用程序将被强制关闭。
如果禁用此选项,应用程序在锁定的设备上不关闭。
默认情况下已禁用该选项。
Windows 桌面共享
您可以通过“Windows 桌面共享”区域启用并配置在使用共享桌面访问时用户的远程设备上执行的管理员操作的审计。“Windows 桌面共享”区域的设置仅在运行 Windows 的设备上可用:
- 启用审计
如果启用该选项,远程设备上管理员的操作审计启用。远程设备上的管理员操作是被一一记录下来的:
- 在远程设备的事件日志中
- 在位于远程设备上网络代理安装文件夹中的扩展名为 syslog 的文件中
- Kaspersky Security Center 的事件数据库
当满足以下条件时,管理员操作审核可用:
- 漏洞和补丁管理授权许可正在使用中
- 管理员有权启动共享访问远程设备的桌面
如果禁用此选项,远程设备上的管理员操作审核被禁用。
默认情况下已禁用该选项。
- 读取时要监控的文件掩码
该列表包含文件掩码.启用审计,程序会监控管理员读取符合掩码的文件并保存读取文件的信息.如果选择了“启用审计”选框,则该列表可用。您可以编辑文件掩码,或在列表中添加新掩码.列表中每个新文件掩码需要在全新的一行中指定.
默认,指定了以下文件掩码:*.txt, *.rtf, *.doc, *.xls, *.docx, *.xlsx, *.odt, *.pdf.
- 修改时要监控的文件掩码
该列表包含远程设备上的文件掩码。启用审核时,程序会监控管理员对符合掩码的文件作出的更改,并保存修改的相关信息.如果选择了“启用审计”选框,则该列表可用。您可以编辑文件掩码,或在列表中添加新掩码.列表中每个新文件掩码需要在全新的一行中指定.
默认,指定了以下文件掩码:*.txt, *.rtf, *.doc, *.xls, *.docx, *.xlsx, *.odt, *.pdf.
管理补丁和更新
在“管理补丁和更新”区域,您可以配置更新的下载和分发以及补丁在受管理设备上的安装:
- 对未定义状态的组件自动安装可应用更新和补丁
如果启用此选项,带有未定义批准状态的 Kaspersky 应用程序在从更新服务器下载后将被自动安装在受管理设备。
如果禁用此选项,被下载和标注为未定义状态的 Kaspersky 补丁将仅在您改变其状态为已批准是被安装。
默认情况下已启用该选项。
- 提前从管理服务器下载更新和反病毒数据库(推荐)
如果启用此选项,离线模式更新下载被使用。当管理服务器接收更新时,它通知网络代理(安装网络代理的设备)将用于受管理应用程序的更新。当网络代理接收更新的信息后,它提前从管理服务器下载相关文件。在第一次连接网络代理时,管理服务器发起更新下载。网络代理下载所有更新到客户端设备后,更新对该设备上的应用程序可用。
当客户端设备上的受管理应用程序尝试访问网络代理以更新时,该网络代理检查其是否具有所有的更新。如果在受管理应用程序请求更新之前 25 小时内,更新已从管理服务器收到,则网络代理不连接到管理服务器,而是从本地缓存提供更新给受管理应用程序。当网络代理提供更新到客户端设备上的应用程序时,到管理服务器的连接可能不被建立,但是更新不需要连接。
如果禁用此选项,离线模式更新下载不被使用。更新根据更新下载任务的计划被分发。
默认情况下已启用该选项。
连接
“连接”区域包含三个嵌套子区域:
- 网络
- 连接配置文件(仅适用于 Windows 和 macOS)
- 连接计划
在“网络”子区域,您可以配置到管理服务器的连接,启用 UDP 端口的使用并指定其端口号。下列选项可用:
- 在“到管理服务器的连接”设置组,您可以配置到管理服务器的连接并指定同步客户端设备和管理服务器的时间间隔:
- 使用 UDP 端口
如果需要网络代理通过 UDP 端口连接到管理服务器,启用“使用 UDP 端口”选项,并指定“UDP 端口号”。默认情况下已启用该选项。连接到管理服务器的默认 UDP 端口是 15000。
- UDP 端口号
在该字段中,您可以输入 UDP 端口号。默认端口号是 15000。
使用十进制系统记录。
如果客户端设备运行在 Windows XP Service Pack 2 系统下,则集成的防火墙会阻止 UDP 端口 15000。请手动打开此端口。
- 使用分发点强制连接到管理服务器
如果在分发点设置窗口中选择了“将此分发点用作推送服务器”选项,则选择此选项。否则,分发点不会用作推送服务器。
在“连接配置文件”子区域,您可以指定网络位置设置,为管理服务器配置连接配置文件,以及在管理服务器不可用时启用漫游模式。“连接配置文件”区域中的设置仅在运行 Windows 和 macOS 的设备上可用:
- 网络位置设置
网络位置设置用于定义客户端设备所连接的网络属性,并指定当网络特性改变时,网络代理从一个管理服务器连接配置文件切换到另一个配置文件的规则。
- 管理服务器连接配置文件
在该区域中,您可以查看和配置网络代理至管理服务器的连接。在该区域,您也可以创建当以下事件发生时,切换网络代理到不同管理服务器的规则:
- 当客户端设备连接到另一个本地网络时
- 当设备与组织的本地网络丢失连接时
- 当连接网关的地址更改或 DNS 服务器地址修改时
连接配置文件仅支持运行 Windows 和 macOS 的设备。
- 当管理服务器不可用时启用漫游模式
如果启用此选项,则在通过该配置文件连接的情况下,客户端设备上安装的应用程序将使用漫游模式设备的策略配置文件,以及漫游策略。如果没有为应用程序定义漫游策略,则使用激活策略。
如果禁用此选项,则应用程序将使用已激活的策略。
默认情况下已禁用该选项。
在“连接计划”子区域中,您可以指定网络代理发送数据到管理服务器的时间间隔:
- 必要时连接
如果选中此选项,当网络代理需要发送数据到管理服务器时连接才被建立。
默认情况下已选定该选项。
- 在指定时间间隔连接
如果选中此选项,网络代理在指定时间连接到管理服务器。您可以添加若干个连接时间段。
分发点
“分发点”区域包含四个嵌套子区域:
在“网络轮询”子区域,您可以配置网络自动轮询。您可以启用三种类型的轮询,即网络轮询、IP 范围轮询和 Active Directory 轮询:
- 启用网络轮询
如果启用此选项,则管理服务器将按照所配置的计划自动轮询网络,单击“设置快速轮询计划”和“设置完整轮询计划”链接可配置轮询计划。
如果禁用此选项,管理服务器将以网络轮询频率(分钟)字段中指定的时间间隔轮询网络。
可以在“Windows 域的轮询频率(分钟)(适用于快速 Windows 网络轮询)和网络轮询频率(分钟) (适用于完整 Windows 网络轮询)”字段中配置 10.2 版之前的网络代理的设备发现间隔。
默认情况下已禁用该选项。
- 启用 IP 范围轮询
如果启用此选项,则分发点将按照所配置的计划自动轮询 IP 范围,单击“设置轮询计划”按钮可配置轮询计划。
如果禁用此选项,则分发点将不轮询 IP 范围。
对于 10.2 版之前的网络代理,可在“轮询间隔(分钟)”字段中配置 IP 范围的轮询频率。如果启用此选项,则该字段可用。
默认情况下已禁用该选项。
- 使用 Zeroconf 轮询 (仅在 Linux 平台上;手动指定的 IP 范围将被忽略)
如果启用此选项,分发点将使用零配置网络(也称为 Zeroconf)轮询带有 IPv6 设备的网络。在这种情况下,已启用的 IP 范围轮询将被忽略,因为分发点将轮询整个网络。
要开始使用 Zeroconf,必须满足以下条件:
- 分发点必须运行 Linux。
- 您必须在分发点上安装 avahi-browse 实用程序。
如果禁用此选项,分发点不会轮询带有 IPv6 设备的网络。
默认情况下已禁用该选项。
- 启用活动目录轮询
如果启用此选项,则分发点将按照所配置的计划自动轮询 Active Directory,单击“设置轮询计划”链接可配置轮询计划。
如果禁用此选项,则管理服务器将不轮询 Active Directory。
对于 10.2 版之前的网络代理,可在“轮询间隔(分钟)”字段中配置活动目录的轮询频率。如果启用此选项,则字段可用。
默认情况下已禁用该选项。
在互联网连接设置子区域,您可以指定互联网连接设置:
在“KSN 代理”子区域,您可以配置应用程序使用分发点从受管理设备转发 KSN 请求:
- 在分发点端启用 KSN 代理
KSN 代理服务运行在用作分发点的设备上。使用该功能重新分发和优化网络流量。
分发点发送列在卡巴斯基安全网络声明中的 KSN 统计信息到 Kaspersky。默认下,KSN 声明位于 %ProgramFiles%\Kaspersky Lab\Kaspersky Security Center\ksneula。
默认情况下已禁用该选项。启用该选项仅在使用管理服务器作为代理服务器和我同意使用卡巴斯基安全网络选项在管理服务器属性窗口中被启用时起作用。
您可以分配活动被动集群节点到分发点并在该节点上启用 KSN 代理服务器。
- 转发 KSN 请求到管理服务器
分发点从受管理设备转发 KSN 请求到管理服务器。
默认情况下已启用该选项。
- 通过互联网直接访问 KSN 云/私有 KSN
分发点从受管理设备转发 KSN 请求到 KSN 云或私有 KSN。分发点本身上生成的 KSN 请求也直接发送到 KSN 云或私有 KSN。
安装了网络代理版本 11(或更早版本)的分发点不能直接访问私有 KSN。如果要重新配置分发点以将 KSN 请求发送到私有 KSN,请为每个分发点启用“转发 KSN 请求到管理服务器”选项。
安装了网络代理版本 12(或更高版本)的分发点可以直接访问私有 KSN。
- TCP 端口
受管理设备将用于连接到 KSN 代理服务器的 TCP 端口号。默认端口号是 13111。
- 使用 UDP 端口
如果需要网络代理通过 UDP 端口连接到管理服务器,启用“使用 UDP 端口”选项,并指定“UDP 端口号”。默认情况下已启用该选项。连接到管理服务器的默认 UDP 端口是 15000。
在“更新”子区域中,可以通过启用或禁用“下载差异文件”选项来指定网络代理是否应该下载差异文件。
修订历史
在“修订历史”选项卡,您可以查看网络代理策略修订历史。您可以比较修订、查看修订以及执行高级操作,例如保存修订到文件、回滚到修订和添加/编辑修订描述。
网络代理操作系统的功能比较
下表显示了您可以使用哪些网络代理策略来设置具有特定操作系统的网络代理。
网络代理策略设置:按操作系统比较
策略区域
|
Windows
|
Mac
|
Linux
|
常规
|
|
|
|
事件配置
|
|
|
|
设置
|
|
|
下列选项可用:
- 仅通过分发点分发文件
- 事件队列的最大大小(MB)
- 应用程序被允许在设备上检索策略扩展数据
|
存储库
|
|
|
下列选项可用:
|
软件更新和漏洞
|
|
|
|
重启管理
|
|
|
|
Windows 桌面共享
|
|
|
|
管理补丁和更新
|
|
|
|
连接→网络
|
|
|
除了在 Microsoft Windows 防火墙中打开网络代理端口选项之外。
|
连接→连接配置文件
|
|
|
|
连接→连接计划
|
|
|
|
分发点 → 网络轮询
|
|
|
下列选项可用:
|
分发点 → 互联网连接设置
|
|
|
|
分发点 → KSN 代理
|
|
|
|
分发点 → 更新
|
|
|
|
修订历史
|
|
|
|
页顶