Подключение автономных устройств

В этом разделе описано, как подключить автономные устройства к Серверу администрирования (то есть управляемые устройства, находящиеся вне основной сети).

Сценарий: подключение автономных устройств через шлюз соединения

В этом сценарии описано, как подключить к Серверу администрирования управляемые устройства, находящиеся вне основной сети.

Предварительные требования

Сценарий имеет следующие предварительные требования:

• В сети вашей организации организована демилитаризованная зона (DMZ).
• Сервер администрирования Kaspersky Security Center развернут в корпоративной сети.

Этапы

Этот сценарий состоит из следующих этапов:

1. Выбор клиентского устройства в демилитаризованной зоне

   Это устройство будет использоваться в качестве шлюза соединения. Выбранное устройство должно соответствовать требованиям для шлюзов соединения.

2. Установка Агента администрирования в роли шлюза соединения

   Для установки Агента администрирования на выбранное устройство рекомендуем использовать локальную установку.

   По умолчанию установочный файл находится по адресу: \\<Имя Сервера>\KLSHARE\PkgInst\NetAgent_<номер версии>.

   В окне Шлюз соединения мастера установки Агента администрирования выберите параметр Использовать в качестве шлюза соединения в демилитаризованной зоне. Этот режим одновременно активирует роль шлюза соединения и предписывает Агенту администрирования ждать соединений от Сервера администрирования, а не устанавливать соединения с Сервером администрирования.

   Также вы можете установить Агент администрирования на устройство под управлением Linux и настроить Агент администрирования для работы в качестве шлюза соединения. Обратите внимание на список ограничений Агента администрирования, работающего на устройствах под управлением Linux.

3. Разрешение соединения на сетевом экране шлюза соединения

   Чтобы Сервер администрирования мог подключаться к шлюзу соединения в демилитаризованной зоне, разрешите подключения к TCP-порту 13000 во всех сетевых экранах между Сервером администрирования и шлюзом соединения.

   Если шлюз соединения не имеет реального IP-адреса в интернете, но вместо этого расположен за Network Address Translation (далее также NAT), настройте правило для пересылки подключений через NAT.

4. Создание группы администрирования для внешних устройств

   Создайте группу внутри группы Управляемые устройства. Эта новая группа будет содержать внешние управляемые устройства.

5. Подключение шлюза соединения к Серверу администрирования

   Настроенный вами шлюз соединения ожидает соединения от Сервера администрирования. Однако Сервер администрирования не перечисляет устройство со шлюзом соединения среди управляемых устройств. Это связано с тем, что шлюз соединения не пытался установить соединение с Сервером администрирования. Следовательно, вам потребуется особая процедура, чтобы Сервер администрирования инициировал соединение со шлюзом соединения.

   Выполните следующие действия:

   1. Добавьте шлюз соединения в качестве точки распространения.
   2. Переместите шлюз соединения из группы Нераспределенные устройства в группу, которую вы создали для внешних устройств.

   Шлюз соединения подключен и настроен.

6. Подключение внешних настольных компьютеров к Серверу администрирования

   Обычно внешние настольные компьютеры не перемещаются внутрь периметра сети. Поэтому вам необходимо настроить их для подключения к Серверу администрирования через шлюз соединения при установке Агента администрирования.

7. Настройка обновлений для внешних настольных компьютеров

   Если обновления приложений безопасности настроены на загрузку с Сервера администрирования, внешние компьютеры загружают обновления через шлюз соединения. Это имеет два недостатка:

   • Это лишний трафик, занимающий пропускную способность интернет-канала компании.
   • Это не обязательно самый быстрый способ получать обновления. Возможно для внешних компьютеров будет удобнее получать обновления с серверов обновлений "Лаборатории Касперского".

   Выполните следующие действия:

   1. Переместите все внешние компьютеры в отдельную группу администрирования, которую вы создали ранее.
   2. Исключить группу с внешними устройствами из задачи обновления.
   3. Создайте отдельную задачу обновления для группы с внешними устройствами.
8. Подключение ноутбуков к Серверу администрирования

   Иногда ноутбуки находятся внутри сети, а в другое время – вне сети. Для эффективного управления вам необходимо, чтобы они по-разному подключались к Серверу администрирования в зависимости от своего местоположения. Для эффективного использования трафика им также необходимо получать обновления из разных источников в зависимости от их местоположения.

   Вам необходимо настроить правила для автономных пользователей: профили подключения и описания сетевых расположений. Каждое правило определяет экземпляр Сервера администрирования, к которому должны подключаться ноутбуки в зависимости от их местоположения, и экземпляр Сервера администрирования, с которого они должны получать обновления.

Сценарий: подключение автономных устройств через подчиненный Сервер администрирования в демилитаризованной зоне

Если вы хотите подключить управляемые устройства, расположенные вне основной сети, к Серверу администрирования, вы можете сделать это с помощью подчиненного Сервера администрирования, расположенного в демилитаризованной зоне (DMZ).

Предварительные требования

Прежде чем приступать, убедитесь, что вы выполнили следующее:

• В сети вашей организации организована демилитаризованная зона (DMZ).
• Сервер администрирования Kaspersky Security Center развернут во внутренней сети организации.

Этапы

Этот сценарий состоит из следующих этапов:

1. Выбор клиентского устройства в демилитаризованной зоне

   В демилитаризованной зоне (DMZ) выберите клиентское устройство, которое будет использоваться в качестве подчиненного Сервера администрирования.

2. Установка Сервера администрирования Kaspersky Security Center.

   Установите Сервер администрирования Kaspersky Security Center на этом клиентском устройстве.

3. Создание иерархии Серверов администрирования

   Если вы размещаете подчиненный Сервер администрирования в демилитаризованной зоне, подчиненный Сервер администрирования должен принимать подключение от главного Сервера администрирования. Для этого добавьте новый Сервер администрирования в качестве подчиненного Сервера так, чтобы главный Сервер подключался к подчиненному Серверу по порту 13000. При объединении Серверов в иерархию необходимо, чтобы порт 13291 обоих Серверов был доступен. Через порт 13291 происходит подключение Консоли администрирования к Серверу администрирования.

4. Подключение автономных управляемых устройств к подчиненному Серверу администрирования

   Вы можете подключить автономные устройства к Серверу администрирования в демилитаризованной зоне аналогично тому, как устанавливается соединение между Сервером администрирования и управляемыми устройствами находящимися в основной сети. Автономные устройства инициируют подключение через порт 13000.

О подключении автономных устройств

Некоторые управляемые устройства, которые всегда находятся вне основной сети (например, компьютеры в региональных филиалах компании; киоски, банкоматы и терминалы, установленные в различных точках продаж; компьютеры в домашних офисах сотрудников), не могут быть подключены к Серверу администрирования напрямую. Некоторые устройства время от времени выходят за пределы периметра сети (например, ноутбуки пользователей, которые посещают региональные филиалы или офис клиента).

Вам по-прежнему необходимо отслеживать и управлять защитой устройств вне офиса – получать актуальную информацию об их статусе защиты и поддерживать приложения безопасности на них в актуальном состоянии. Это необходимо, например, потому, что если такое устройство будет скомпрометировано, находясь вдали от основной сети, то оно может стать платформой для распространения угроз, как только подключится к основной сети. Для подключения автономных устройств к Серверу администрирования вы можете использовать два способа:

• Шлюз соединения в демилитаризованной зоне (DMZ).

  См. схему трафика данных: Сервер администрирования внутри локальной сети (LAN), управляемые устройства в интернете; использование шлюза соединения.

• Сервер администрирования в демилитаризованной зоне (DMZ)

  См. схему трафика данных: Сервер администрирования внутри демилитаризованной зоны (DMZ), управляемые устройства в интернете.

Шлюз соединения в демилитаризованной зоне

Рекомендуемый способ подключения автономных устройств к Серверу администрирования это создание демилитаризованной зоны в сети организации и установка шлюза соединения в демилитаризованной зоне. Внешние устройства будут подключаться к шлюзу соединения, а Сервер администрирования внутри сети инициирует подключение к устройствам через шлюз соединения.

По сравнению с другим способ этот является более безопасным:

• Вам не нужно открывать доступ к Серверу администрирования извне.
• Скомпрометированный шлюз соединения не представляет большого риска для безопасности сетевых устройств. Шлюз соединения ничем не управляет и не устанавливает никаких соединений.

Кроме того, шлюз соединения не требует много аппаратных ресурсов.

Однако этот способ имеет более сложный процесс настройки:

• Чтобы устройство выполняло роль шлюза соединения в демилитаризованной зоне, вам необходимо установить Агент администрирования и подключить его к Серверу администрирования особым образом.
• Вы не сможете использовать один и тот же адрес подключения к Серверу администрирования для ситуаций. С внешней стороны периметра вам нужно будет использовать не только другой адрес (адрес шлюза соединения), но и другой режим подключения: через шлюз соединения.
• Вам также необходимо определить разные параметры подключения для ноутбуков в разных месторасположениях.

Чтобы добавить шлюз соединения в ранее настроенную сеть:

1. Установите Агент администрирования в режиме шлюза соединения.
2. Переустановите Агент администрирования на устройствах, которые вы хотите подключить к вновь добавленному шлюзу соединения.

Сервер администрирования в демилитаризованной зоне (DMZ)

Другой способ это установка единого Сервера администрирования в демилитаризованной зоне.

Эта конфигурация менее безопасна, чем конфигурация первого способа. В этом случае для управления внешними ноутбуками Сервер администрирования должен принимать соединения с любого адреса из интернета. Сервер администрирования управляет всеми устройствами во внутренней сети, но из демилитаризованной зоны. Поэтому скомпрометированный Сервер может нанести огромный ущерб, несмотря на низкую вероятность такого события.

Риск значительно снижается, если Сервер администрирования в демилитаризованной зоне не управляет устройствами внутренней сети. Такая конфигурация может использоваться, например, поставщиком услуг для управления устройствами клиентов.

Вы можете использовать этот способ в следующих случаях:

• Если вы знакомы с установкой и настройкой Сервера администрирования и не хотите выполнять другую процедуру по установке и настройке шлюза соединения.
• Если вам нужно управлять большим количеством устройств. Максимальное количество устройств, которыми может управлять Сервер администрирования – 100 000 устройств, шлюз соединения может поддерживать до 10 000 устройств.

Это решение также имеет некоторые сложности:

• Серверу администрирования требуется больше аппаратных ресурсов и еще одна база данных.
• Информация об устройствах будет храниться в двух несвязанных между собой базах данных (для Сервера администрирования внутри сети и другой в демилитаризованной зоне), что усложняет контроль.
• Для управления всеми устройствами Сервер администрирования необходимо объединить в иерархию, что усложняет и контроль и управление. Экземпляр подчиненного Сервера администрирования накладывает ограничения на возможные структуры групп администрирования. Вам нужно решить, как и какие задачи и политики распространять на подчиненный Сервер администрирования.
• Настройка внешних устройств для использования Сервера администрирования в демилитаризованной зоне извне и для использования главного Сервера администрирования изнутри не проще, чем настройка подключения через шлюз.
• Высокие риски безопасности. Скомпрометированный Сервер администрирования упрощает взлом управляемых ноутбуков. Если это произойдет, хакерам просто нужно дождаться, пока один из ноутбуков вернется в корпоративную сеть, чтобы продолжить атаку на локальную сеть.

Подключение внешних настольных компьютеров к Серверу администрирования

Настольные компьютеры, которые всегда находятся вне основной сети (например, компьютеры в региональных филиалах компании; киоски, банкоматы и терминалы, установленные в различных точках продаж; компьютеры в домашних офисах сотрудников), не могут быть подключены к Серверу администрирования напрямую. Они должны быть подключены к Серверу администрирования через шлюз соединения, установленный в демилитаризованной зоне (DMZ). Такая конфигурация выполняется при установке Агента администрирования на эти устройства.

Чтобы подключить внешние настольные компьютеры к Серверу администрирования:

1. Создание инсталляционного пакета Агента администрирования.
2. Откройте свойства созданного инсталляционного пакета, перейдите в раздел Дополнительно и выберите параметр Подключаться к Серверу администрирования через шлюз соединения.

   Параметр Подключаться к Серверу администрирования через шлюз соединения несовместим с параметром Использовать в качестве шлюза соединения в демилитаризованной зоне. Вы не можете включить оба этих параметра одновременно.

3. Укажите адрес шлюза соединения в поле Адрес шлюза соединений.

   Если шлюз соединения расположен за Network Address Translation (NAT) и не имеет собственного общедоступного адреса, настройте правило шлюза NAT для перенаправления соединений с общедоступного адреса на внутренний адрес шлюза соединения.

4. Создайте автономный инсталляционный пакет на основе созданного инсталляционного пакета.
5. Доставьте автономный инсталляционный пакет на целевые компьютеры в электронном виде или на съемном диске.
6. Установите Агент администрирования из автономного инсталляционного пакета.

К Серверу администрирования подключены внешние настольные компьютеры.

О профилях соединения для автономных пользователей

При работе автономных пользователей, использующих ноутбуки (далее также "устройства"), может понадобиться изменить способ подключения к Серверу администрирования или переключиться между Серверами администрирования в зависимости от текущего положения устройства в сети.

Профили подключения поддерживаются только для устройств под управлением Windows и macOS.

Использование различных адресов одного и того же Сервера администрирования

Устройства с установленным Агентом администрирования могут в разные периоды времени подключаться к Серверу администрирования как из внутренней сети организации, так и из интернета. В этой ситуации может потребоваться, чтобы Агент администрирования использовал различные адреса для подключения к Серверу администрирования: внешний адрес Сервера при подключении из интернета и внутренний адрес Сервера при подключении из внутренней сети.

Для этого в свойствах политики Агента администрирования нужно добавить профиль для подключения к Серверу администрирования из интернета. Добавьте профиль в свойствах политики (раздел Подключения, вложенный раздел Профили соединений). В окне создания профиля необходимо выключить параметр Использовать только для получения обновлений и выбрать параметр Синхронизировать параметры подключения с параметрами Сервера, указанными в этом профиле. Если для доступа к Серверу администрирования используется шлюз соединений (например, в конфигурации Kaspersky Security Center, описанной в разделе Доступ из интернета: Агент администрирования в качестве шлюза соединения в демилитаризованной зоне), в профиле подключения следует указать адрес шлюза соединения в соответствующем поле.

Переключение между Серверами администрирования в зависимости от текущей сети

Если в организации несколько офисов с различными Серверами администрирования и между ними перемещается часть устройств с установленным Агентом администрирования, то необходимо, чтобы Агент администрирования подключался к Серверу администрирования локальной сети того офиса, в котором находится устройство.

В этом случае в свойствах политики Агента администрирования следует создать профиль подключения к Серверу администрирования для каждого из офисов, за исключением домашнего офиса, в котором расположен исходный домашний Сервер администрирования. В профилях подключения следует указать адреса соответствующих Серверов администрирования и выбрать либо выключить параметр Использовать только для получения обновлений:

• выбрать параметр, если требуется, чтобы Агент администрирования синхронизировался с домашним Сервером администрирования, а локальный Сервер использовался только для загрузки обновлений;
• выключить параметр, если необходимо, чтобы Агент администрирования полностью управлялся локальным Сервером администрирования.

Далее необходимо настроить условия переключения на созданные профили: не менее одного условия для каждого из офисов, исключая "домашний офис". Смысл каждого такого условия заключается в обнаружении в сетевом окружении деталей, присущих одному из офисов. Если условие становится истинным, происходит активация соответствующего профиля. Если ни одно из условий не является истинным, Агент администрирования переключается на домашний Сервер администрирования.

Создание профиля соединения для автономных пользователей

Развернуть все | Свернуть все

Подключение профиля Агента администрирования к Серверу администрирования доступно только для устройств под управлением операционной системы Windows и macOS.

Чтобы создать профиль подключения Агента администрирования к Серверу администрирования для автономных пользователей:

1. В дереве консоли выберите группу администрирования для клиентских устройств, которой требуется создать профиль подключения Агента администрирования к Серверу.
2. Выполните одно из следующих действий:
   • Если вы хотите создать профиль подключения для всех устройств группы, в рабочей области группы на вкладке Политики выберите политику Агента администрирования. Откройте окно свойств выбранной политики.
   • Если вы хотите создать профиль подключения для выбранного устройства в составе группы, в рабочей области группы на вкладке Устройства выберите устройство и выполните следующие действия:
     1. Откройте окно свойств выбранного устройства.
     2. В разделе Приложения окна свойств устройства выберите Агент администрирования.
     3. Откройте окно свойств Агента администрирования.
3. В окне свойств в разделе Подключения выберите вложенный раздел Профили соединений.
4. В блоке Профили подключения к Серверу администрирования нажмите на кнопку Добавить.

   По умолчанию список профилей подключения содержит профили <Офлайн-режим> и <Домашний Сервер администрирования>. Профили недоступны для изменения и удаления.

   В профиле <Офлайн-режим> не указывается Сервер для подключения. При переходе к этому профилю Агент администрирования не пытается подключиться к какому-либо Серверу, а установленные на клиентских устройствах приложения используют политики для автономных пользователей. Профиль <Офлайн-режим> применяется в условиях отключения устройств от сети.

   В профиле <Домашний Сервер администрирования> указан Сервер для подключения, который был задан при установке Агента администрирования. Профиль <Домашний Сервер администрирования> применяется в условиях, когда устройство, которое работало в другой сети, вновь подключается к домашнему Серверу администрирования.

5. В открывшемся окне Новый профиль настройте параметры профиля подключения:
   • Название профиля.

     В поле ввода можно просмотреть или изменить имя профиля подключения.

   • Сервер администрирования

     Адрес Сервера администрирования, к которому должно подключаться клиентское устройство при активации профиля.

   • Порт

     Номер порта, по которому будет выполняться подключение.

   • SSL-порт

     Номер порта, по которому будет осуществляться подключение с использованием SSL-протокола.

   • Использовать SSL

     Если этот параметр включен, подключение будет выполняться через защищенный порт (с использованием SSL-протокола).

     По умолчанию параметр включен. Чтобы ваше соединение оставалось безопасным, рекомендуется не выключать этот параметр.

   • По ссылке Настроить подключение через прокси-сервер настройте параметры профиля подключения через прокси-сервер. Выберите параметр Использовать прокси-сервер, если требуется использовать прокси-сервер для подключения к интернету. Если параметр выбран, доступны поля ввода параметров. Настройте следующие параметры подключения к прокси-серверу:
     • Адрес прокси-сервера

       Адрес прокси-сервера для подключения Kaspersky Security Center к интернету.

     • Номер порта

       Номер порта, через который будет установлено прокси-подключение Kaspersky Security Center.

     • Аутентификация на прокси-сервере

       Если флажок установлен, в полях ввода можно указать учетные данные для аутентификации на прокси-сервере.

       Поле ввода доступно, если установлен флажок Использовать прокси-сервер.

     • Имя пользователя (поле доступно, если выбран параметр Аутентификация на прокси-сервере)

       Учетная запись пользователя, от имени которого будет выполняться подключение к прокси-серверу (поле доступно, если установлен флажок Аутентификация на прокси-сервере).

     • Пароль (поле доступно, если выбран параметр Аутентификация на прокси-сервере)

       Пароль пользователя, с помощью учетной записи которого выполняется подключение к прокси-серверу (поле доступно, если установлен флажок Аутентификация на прокси-сервере).

       Чтобы посмотреть введенный пароль, нажмите на кнопку Показать и удерживайте ее необходимое вам время.

   • Параметры шлюза соединения

     Адрес шлюза, через который устанавливается соединение клиентских устройств с Сервером администрирования.

   • Включить автономный режим

     Если параметр включен, при подключении через этот профиль приложения, установленные на клиентском устройстве, будут использовать профили политик для устройств, находящихся в автономном режиме, и политики для автономных пользователей. В случае, если для приложения политика для автономных пользователей не определена, приложение будет использовать активную политику.

     Если параметр выключен, приложения будут использовать активные политики.

     По умолчанию параметр выключен.

   • Использовать только для получения обновлений

     Если этот параметр включен, профиль будет использоваться только при загрузке обновлений приложениями, установленными на клиентском устройстве. Для остальных операций подключение к Серверу администрирования будет выполняться с исходными параметрами подключения, заданными при установке Агента администрирования.

     По умолчанию параметр включен.

   • Синхронизировать параметры подключения с параметрами Сервера, указанными в этом профиле

     Если этот параметр включен, Агент администрирования подключается к Серверу администрирования, используя параметры, указанные в свойствах профиля.

     Если этот параметр выключен, Агент администрирования подключается к Серверу, используя исходные параметры, указанные при установке.

     Параметр доступен, если параметр Использовать только для получения обновлений выключен.

     По умолчанию параметр выключен.

6. Выберите параметр Включить автономный режим, когда Сервер администрирования недоступен, чтобы при подключении приложения, установленные на клиентском устройстве, использовали профили политик для устройств, находящихся в автономном режиме, и политики для автономных пользователей, если Сервер администрирования недоступен. В случае, если для приложения политика для автономных пользователей не определена, приложение будет использовать активную политику.

В результате будет создан профиль подключения Агента администрирования к Серверу администрирования для автономных пользователей. При подключении Агента администрирования к Серверу через этот профиль приложения, установленные на клиентском устройстве, будут использовать политики для устройств, находящиеся в автономном режиме, или политики для автономных пользователей.

О переключении Агента администрирования на другой Сервер администрирования

Исходные параметры подключения Агента администрирования к Серверу задаются при установке Агента администрирования. Для переключения Агента администрирования на другие Серверы администрирования можно использовать правила переключения. Эта функция поддерживается только для Агентов администрирования, установленных на устройствах под управлением Windows или macOS.

Правила переключения могут срабатывать при изменении следующих параметров сети:

• Адрес шлюза соединений по умолчанию.
• IP-адрес DHCP-сервера (Dynamic Host Configuration Protocol) в сети.
• DNS-суффикс подсети.
• IP-адрес DNS-сервера в сети.
• Доступность домена Windows. Этот параметр доступен только для устройств с операционными системами Windows.
• Адрес и маска подсети.
• IP-адрес WINS-сервера в сети. Этот параметр доступен только для устройств с операционными системами Windows.
• DNS-имя или NetBIOS-имя клиентского устройства.
• Доступность адреса SSL-соединения.

Если сформированы правила переключения Агента администрирования на другие Серверы администрирования, Агент реагирует на изменение параметров сети следующим образом:

• Если характеристики сети соответствуют одному из сформированных правил, Агент администрирования подключается к указанному в этом правиле Серверу администрирования. Если это задано правилом, установленные на клиентских устройствах приложения переходят на политики для автономных пользователей.
• Если ни одно из правил не выполняется, Агент администрирования возвращается к исходным параметрам подключения к Серверу администрирования, заданным при установке. Установленные на клиентских устройствах приложения возвращаются к активным политикам.
• Если Сервер администрирования недоступен, Агент администрирования использует политики для автономных пользователей.

Агент администрирования переключается на политику для автономных пользователей, только если параметр Включить автономный режим, когда Сервер администрирования недоступен включен в параметрах политики Агента администрирования.

Параметры подключения Агента администрирования к Серверу администрирования сохраняются в профиле подключения. В профиле подключения вы можете создавать правила перехода клиентских устройств на политики для автономных пользователей, а также настраивать профиль таким образом, чтобы он использовался только для загрузки обновлений.

Создание правила переключения Агента администрирования по сетевому местоположению

Развернуть все | Свернуть все

Переключение Агента администрирования доступно только для устройств под управлением операционной системы Windows и macOS.

Чтобы создать правило для переключения Агента администрирования с одного Сервера администрирования на другой при изменении характеристик сети:

1. В дереве консоли выберите группу администрирования, для устройств которой требуется создать правило переключения Агента администрирования по описанию сетевого местоположения.
2. Выполните одно из следующих действий:
   • Если вы хотите создать правило для всех устройств группы, в рабочей области группы на вкладке Политики выберите политику Агента администрирования. Откройте окно свойств выбранной политики.
   • Если вы хотите создать правило для выбранного устройства группы, в рабочей области группы на вкладке Устройства выберите устройство и выполните следующие действия:
     1. Откройте окно свойств выбранного устройства.
     2. В разделе Приложения окна свойств устройства выберите Агент администрирования.
     3. Откройте окно свойств Агента администрирования.
3. В открывшемся окне Свойства в разделе Подключения выберите вложенный раздел Профили соединений.
4. В разделе Параметры сетевого местоположения нажмите на кнопку Добавить.
5. В открывшемся окне Новое описание настройте параметры описания сетевого местоположения и правила переключения. Настройте следующие параметры описания сетевого местоположения:
   • Имя описания сетевого местоположения

     Имя описания сетевого местоположения не может превышать 255 символов и содержать специальные символы ("*<>?\/:|).

   • Использовать профиль подключения

     В раскрывающемся списке можно выбрать профиль подключения Агента администрирования к Серверу администрирования. Профиль будет использоваться при выполнении условий описания сетевого местоположения. Профиль подключения содержит параметры подключения Агента администрирования к Серверу администрирования и определяет переход клиентских устройств на политики для автономных пользователей. Профиль используется только для загрузки обновлений.

6. В блоке Условия переключения нажмите на кнопку Добавить, чтобы сформировать список условий описания сетевого местоположения.

   Условия правила объединяются с использованием логического оператора AND. Чтобы правило переключения по описанию сетевого местоположения сработало, все условия переключения правила должны быть выполнены.

7. В раскрывающемся списке выберите значение, соответствующее изменению характеристики сети, к которой подключено клиентское устройство:
   • Адрес шлюза соединения по умолчанию – изменение основного шлюза сети.
   • Адрес DHCP-сервера – изменение IP-адреса DHCP-сервера (Dynamic Host Configuration Protocol) в сети.
   • DNS-домен – изменение DNS-суффикса подсети.
   • Адрес DNS-сервера – изменение IP-адреса DNS-сервера в сети.
   • Доступность Windows-домена (только Windows) – изменение статуса Windows-домена, к которому подключено клиентское устройство. Используйте этот параметр только для устройств под управлением Windows.
   • Подсеть – изменение адреса и маски подсети.
   • Адрес WINS-сервера (только Windows) – изменение IP-адреса WINS-сервера в сети. Используйте этот параметр только для устройств под управлением Windows.
   • Разрешимость имен – у клиентского устройства изменилось NetBIOS-имя или DNS-имя.
   • Доступность адреса SSL-соединения – клиентское устройство может или не может (в зависимости от выбранного вами параметра) установить SSL-соединение с Сервером (имя:порт). Для каждого Сервера вы можете дополнительно указать SSL-сертификат. В этом случае Агент администрирования проверяет сертификат Сервера администрирования в дополнение к проверке возможности SSL-соединения. Если сертификаты не совпадают, соединение не устанавливается.
8. В открывшемся окне укажите значение условия переключения Агента администрирования на другой Сервер администрирования. Название окна зависит от выбора значения на предыдущем шаге. Настройте следующие параметры условия переключения:
   • Значение

     В поле можно добавить одно или несколько значений для создаваемого условия.

   • Соответствует хотя бы одному значению списка

     Если выбран этот вариант, условие будет выполняться при любом из значений, указанных в списке Значение.

     По умолчанию выбран этот вариант.

   • Не соответствует ни одному из значений списка

     Если выбран этот вариант, условие будет выполняться, если его значение отсутствует в списке Значение.

9. В окне Новое описание выберите параметр Описание активно, чтобы включить использование нового описания сетевого местоположения.

В результате будет создано правило переключения по описанию сетевого местоположения, при выполнении условий которого Агент администрирования будет использовать для подключения к Серверу администрирования указанный в описании профиль подключения.

Описания сетевого местоположения проверяются на соответствие характеристикам сети в том порядке, в котором они представлены в списке. Если характеристики сети соответствуют нескольким описаниям, будет использоваться первое из них. Вы можете изменить порядок следования правил в списке с помощью кнопок Вверх () и Вниз ().

Уведомления о событиях

В этом разделе описано, как выбрать способ уведомления администратора о событиях на клиентских устройствах, а также как настроить параметры уведомления о событиях.

Кроме того, описано, как проверить распространение уведомлений о событиях с помощью тестового "вируса" Eicar.

Настройка параметров уведомлений о событиях

Развернуть все | Свернуть все

Kaspersky Security Center позволяет выбирать способ уведомления для администратора о событиях на клиентских устройствах и настраивать параметры уведомлений:

• Электронная почта. При возникновении события приложение посылает уведомление на указанные адреса электронной почты. Вы можете настроить текст уведомления.
• SMS. При возникновении события приложение посылает уведомления на указанные номера телефонов. Вы можете настроить отправку SMS оповещений с помощью почтового шлюза.
• Исполняемый файл. При возникновении события на устройстве, исполняемый файл запускается на рабочем месте администратора. С помощью исполняемого файла администратор может получать параметры произошедшего события.

Чтобы настроить параметры уведомлений о событиях на клиентских устройствах:

1. В дереве консоли выберите узел с именем нужного вам Сервера администрирования.
2. В рабочей области узла выберите вкладку События.
3. Перейдите по ссылке Настроить параметры уведомлений и экспорта событий и в раскрывающемся списке выберите значение Настроить параметры уведомлений.

   Откроется окно Свойства: События.

4. В разделе Уведомление выберите способ уведомления (электронная почта, SMS, исполняемый файл для запуска) и настройте параметры уведомлений:
   • Электронная почта

     На вкладке Электронная почта можно настроить уведомления о событиях по электронной почте.

     В поле Получатели (адреса электронной почты) укажите адреса электронной почты, на которые будут отправляться уведомления. В этом поле можно указать несколько адресов через точку с запятой.

     В поле SMTP-серверы укажите адреса почтовых серверов через точку с запятой. Вы можете использовать следующие значения параметра:

     • IPv4-адрес или IPv6-адрес;
     • Имя устройства в сети Windows (NetBIOS-имя);
     • DNS-имя SMTP-сервера.

     В поле Порт SMTP-сервера укажите номер порта подключения к SMTP-серверу. По умолчанию установлен порт 25.

     Если вы включите параметр Использовать DNS и MX поиск, вы сможете использовать несколько MX-записей IP-адреса для одного и того же DNS-имени SMTP-сервера. Одно DNS-имя может иметь несколько MX-записей с различными приоритетами полученных электронных писем. Сервер администрирования пытается отправлять уведомления по электронной почте на SMTP-сервер в порядке возрастания приоритета MX-записей. По умолчанию параметр выключен.

     Если вы включили параметр Использовать DNS и MX поиск и не разрешили использование параметров TLS, рекомендуется использовать параметры DNSSEC на вашем серверном устройстве в качестве дополнительной меры защиты при отправке уведомлений по электронной почте.

     Перейдите по ссылке Параметры, чтобы задать дополнительные параметры:

     • Тема (название темы электронного письма).
     • Адрес отправителя электронной почты.
     • Параметры ESMTP-аутентификации.

     Вам нужно указать учетную запись для аутентификации на SMTP-сервере, если для SMTP-сервера включен параметр ESMTP-аутентификации.

     • Параметры TLS для SMTP-сервера:
       • Не использовать TLS

       Вы можете выбрать этот параметр, если хотите выключить шифрование сообщений электронной почты.

       • Использовать TLS, если поддерживается SMTP-сервером

       Вы можете выбрать этот параметр, если хотите использовать TLS для подключения к SMTP-серверу. Если SMTP-сервер не поддерживает TLS, Сервер администрирования подключает SMTP-сервер без использования TLS.

       • Всегда использовать TLS, проверить срок действия сертификата Сервера

       Вы можете выбрать этот параметр, если хотите использовать параметры TLS-аутентификации. Если SMTP-сервер не поддерживает TLS, Сервер администрирования не сможет подключиться к SMTP-серверу.

     Рекомендуется использовать этот параметр для защиты соединения с SMTP-сервером. Если вы выберете этот параметр, вы можете установить параметры аутентификации для TLS-соединения.

     Если вы решите использовать значение Всегда использовать TLS, для проверки срока действия сертификата Сервера, вы можете указать сертификат для аутентификации SMTP-сервера и выбрать, хотите ли вы разрешить подключение через любую версию TLS или только через TLS 1.2 или более поздние версии. Также вы можете указать сертификат для аутентификации клиента на SMTP-сервере.

     Вы можете указать параметры TLS для SMTP-сервера:

     • Выберите файл сертификата SMTP-сервера:

     Вы можете получить файл со списком сертификатов от доверенного центра сертификации и загрузить его на Сервер администрирования. Kaspersky Security Center проверяет, подписан ли сертификат SMTP-сервера также доверенным центром сертификации. Kaspersky Security Center не может подключиться к SMTP-серверу, если сертификат SMTP-сервера не получен от доверенного центра сертификации.

     • Выберите файл сертификата клиента:

     Вы можете использовать сертификат, полученный из любого источника, например, от любого доверенного центра сертификации. Вам нужно указать сертификат и его закрытый ключ, используя один из следующих типов сертификатов:

     • Сертификат X-509:

     Вам нужно указать файл с сертификатом и файл с закрытым ключом. Оба файла не зависят друг от друга. Порядок загрузки файлов не имеет значения. Когда оба файла загружены, необходимо указать пароль для расшифровки закрытого ключа. Пароль может иметь пустое значение, если закрытый ключ не зашифрован.

     • Контейнер с сертификатом в формате PKCS#12:

     Вам нужно загрузить один файл, содержащий сертификат и закрытый ключ сертификата. Когда файл загружен, тогда необходимо указать пароль для расшифровки закрытого ключа. Пароль может иметь пустое значение, если закрытый ключ не зашифрован.

     В поле Текст уведомления содержится стандартный текст уведомления о событии, отправляемый приложением при возникновении события. Текст содержит подстановочные параметры, такие как имя события, имя устройства и имя домена. Текст сообщения можно изменить, добавив новые подстановочные параметры с подробными данными события. Список подстановочных параметров доступен по нажатию на кнопку справа от поля.

     Если текст уведомления содержит знак процента (%), его нужно указать его два раза подряд, чтобы сообщение было отправлено. Например, "Загрузка процессора составляет 100%%".

     Перейдите по ссылке Настроить ограничение количества уведомлений можно указать максимальное количество уведомлений, которое приложение может отправлять за указанный интервал времени.

     Нажмите на кнопку Отправить тестовое сообщение можно проверить правильность настройки сообщений. Приложение отправляет тестовые сообщения на указанные адреса электронной почты.

   • SMS

     На вкладке SMS можно настроить отправку SMS-уведомлений о различных событиях на мобильный телефон. SMS-сообщения отправляются через почтовый шлюз.

     В поле Получатели (адреса электронной почты) укажите адреса электронной почты, на которые будут отправляться уведомления. В этом поле можно указать несколько адресов через точку с запятой. Уведомления доставляются на телефоны, номера которых связаны с указанными адресами электронной почты.

     В поле SMTP-серверы укажите адреса почтовых серверов через точку с запятой. Вы можете использовать следующие значения параметра:

     • IPv4-адрес или IPv6-адрес;
     • Имя устройства в сети Windows (NetBIOS-имя);
     • DNS-имя SMTP-сервера.

     В поле Порт SMTP-сервера укажите номер порта подключения к SMTP-серверу. По умолчанию установлен порт 25.

     Перейдите по ссылке Параметры, чтобы задать дополнительные параметры:

     • Тема (название темы электронного письма).
     • Адрес отправителя электронной почты.
     • Параметры ESMTP-аутентификации.

     Если необходимо, вы можете указать учетную запись для аутентификации на SMTP-сервере, если для SMTP-сервера включен параметр ESMTP-аутентификации.

     • Параметры TLS для SMTP-сервера

     Вы можете отключить использование TLS, использовать TLS, если SMTP-сервер поддерживает этот протокол, или вы можете принудительно использовать только TLS. Если вы решите использовать только TLS, вы можете указать сертификат для аутентификации SMTP-сервера и выбрать, хотите ли вы разрешить подключение через любую версию TLS или только через TLS 1.2 или более поздние версии. Также, если вы решили использовать только TLS, вы можете указать сертификат для аутентификации клиента на SMTP-сервере.

     • Выберите файл сертификата SMTP-сервера

     Вы можете получить файл со списком сертификатов от доверенного центра сертификации и загрузить его в Kaspersky Security Center. Kaspersky Security Center проверяет, подписан ли сертификат SMTP-сервера также доверенным центром сертификации. Kaspersky Security Center не может подключиться к SMTP-серверу, если сертификат SMTP-сервера не получен от доверенного центра сертификации.

     Вам нужно загрузить один файл, содержащий сертификат и закрытый ключ сертификата. Когда файл загружен, тогда необходимо указать пароль для расшифровки закрытого ключа. Пароль может иметь пустое значение, если закрытый ключ не зашифрован. В поле Текст уведомления содержится стандартный текст уведомления о событии, отправляемый приложением при возникновении события. Текст содержит подстановочные параметры, такие как имя события, имя устройства и имя домена. Текст сообщения можно изменить, добавив новые подстановочные параметры с подробными данными события. Список подстановочных параметров доступен по нажатию на кнопку справа от поля.

     Если текст уведомления содержит знак процента (%), его нужно указать его два раза подряд, чтобы сообщение было отправлено. Например, "Загрузка процессора составляет 100%%".

     Перейдите по ссылке Настроить ограничение количества уведомлений можно указать максимальное количество уведомлений, которое приложение может отправлять за указанный интервал времени.

     По кнопке Отправить тестовое сообщение проверьте, правильно ли настроены уведомления. Приложение отправляет тестовые сообщения указанным получателям.

   • Исполняемый файл для запуска

     Если выбран этот способ уведомления, в поле ввода можно указать, какое приложение будет запущено при возникновении события.

     При переходе по ссылке Настроить ограничение количества уведомлений можно указать максимальное количество уведомлений, которое приложение может отправлять за указанный интервал времени.

     По нажатию на кнопку Отправить пробное сообщение можно проверить правильно ли настроены сообщения: приложение отправляет тестовые сообщения на указанные адреса электронной почты.

5. В поле Текст уведомления введите текст, который приложение будет отправлять при возникновении события.

   Из раскрывающегося списка, расположенного справа от текстового поля, можно добавлять в сообщение подстановочные параметры с деталями события (например, описание события, время возникновения и прочее).

   Если текст уведомления содержит символ %, нужно указать его два раза подряд, чтобы сообщение было отправлено. Например, "Загрузка процессора составляет 100%%".

6. По кнопке Отправить тестовое сообщение проверьте, правильно ли настроены уведомления.

   Приложение отправляет тестовое уведомление указанному получателю.

7. Нажмите на кнопку ОК, чтобы сохранить изменения.

В результате настроенные параметры уведомления распространяются на все события, происходящие на клиентских устройствах.

Можно изменить значения параметров уведомлений для определенных событий в разделе Настройка событий параметров Сервера администрирования, параметров политики или параметров приложения.

Проверка распространения уведомлений

Для проверки распространения уведомлений о событиях используется уведомление об обнаружении тестового "вируса" Eicar на клиентских устройствах.

Чтобы проверить распространение уведомлений о событиях:

1. Остановите задачу постоянной защиты файловой системы на клиентском устройстве и скопируйте тестовый "вирус" Eicar на клиентское устройство. Снова включите задачу постоянной защиты файловой системы.
2. Запустите задачу проверки клиентских устройств для группы администрирования или набора устройств, в который входит клиентское устройство с "вирусом" Eicar.

   Если задача проверки настроена верно, в процессе ее выполнения тестовый "вирус" будет обнаружен. Если параметры уведомлений настроены верно, вы получите уведомление о найденном вирусе.

   В рабочей области узла Сервер администрирования на вкладке События в выборке Последние события отобразится запись об обнаружении "вируса".

Тестовый "вирус" Eicar не содержит программного кода, который может навредить вашему устройству. При этом большинство приложений безопасности компаний-производителей идентифицируют его как вирус. Загрузить тестовый "вирус" можно с официального веб-сайта организации EICAR.

Уведомление о событиях с помощью исполняемого файла

Kaspersky Security Center позволяет с помощью запуска исполняемого файла уведомлять администратора о событиях на клиентских устройствах. Исполняемый файл должен содержать другой исполняемый файл с подстановочными параметрами события, которые нужно передать администратору (см. таблицу ниже).

Подстановочные параметры для описания события