Обнаружение устройств в сети

В этом разделе описаны поиск устройств и опрос сети.

Kaspersky Security Center позволяет искать устройства на основании заданных критериев. Вы можете сохранить результаты поиска в текстовый файл.

Функция поиска позволяет находить следующие устройства:

• управляемые устройства в группах администрирования Сервера администрирования Kaspersky Security Center и его подчиненных Серверов;
• нераспределенные устройства под управлением Сервера администрирования Kaspersky Security Center и его подчиненных Серверов.

Сценарий: обнаружение сетевых устройств

Вам нужно выполнить поиск устройств перед установкой приложений безопасности. Сервер администрирования получает информацию об обнаруженных устройствах и позволяет управлять устройствами с помощью политик. Регулярные опросы сети необходимы для обновления списка устройств, доступных в сети.

Прежде чем начать опрос сети, убедитесь, что SMB-протокол включен. Иначе Kaspersky Security Center не сможет обнаружить устройства в опрашиваемой сети. Чтобы включить протокол SMB, следуйте инструкциям для вашей операционной системы.

Обнаружение сетевых устройств содержит следующие этапы:

1. Обнаружение устройств

   Мастер первоначальной настройки выполняет начальное обнаружение устройств и помогает найти сетевые устройства, такие как компьютеры, планшеты и мобильные телефоны. Вы можете также запустить обнаружение устройств вручную.

2. Настройка расписания опросов

   Определите, какой тип опроса вы хотите регулярно использовать. Включите нужные типы опроса и настройте необходимое расписание опроса. Также см. рекомендации по частоте опроса сети.

3. Задание правил для добавления обнаруженных устройств в группы администрирования (если требуется)

   Новые устройства появляются в сети в результате их обнаружения при опросах сети. Они автоматически попадают в группу Нераспределенные устройства. Можно настроить правила перемещения устройств, в соответствии с которыми устройства будут распределены в группу Управляемые устройства. Можно также настроить правила хранения.

   Если вы пропустили шаг 3, список новых обнаруженных устройств располагается в группе Нераспределенные устройства. Вы можете переместить эти устройства в группу Управляемые устройства вручную. Если вы вручную переместили устройства в группу Управляемые устройства, вы можете проанализировать информацию о каждом из устройств и решить, требуется ли переместить его в группу администрирования и в какую.

Результаты

Завершение сценария дает следующее:

• Сервер администрирования Kaspersky Security Center обнаруживает устройства в сети и предоставляет информацию о них.
• Настроены будущие опросы сети и расписание их запуска.
• Новые обнаруженные устройства распределены в соответствии с заданными правилами. Если правила не заданы, устройства остаются в группе Нераспределенные устройства.

Обнаружение устройств

В этом разделе описаны типы обнаружения устройств, доступные в Kaspersky Security Center, а также приведена информация об использовании каждого из них.

Во время регулярных опросов сети Сервер администрирования получает информацию о структуре сети и устройствах в сети. Данные записываются в базу данных Сервера администрирования. Сервер администрирования может проводить следующие типы опросов сети:

• Опрос сети Windows. Сервер администрирования может проводить два типа опросов сети Windows: быстрый и полный. При быстром опросе Сервер администрирования получает только информацию о списке NetBIOS-имен устройств всех доменов и рабочих групп сети. При полном опросе с каждого клиентского устройства запрашивается более подробная информация, например, имя операционной системы, IP-адрес, DNS-имя и NetBIOS-имя. По умолчанию включены быстрый и полный опрос. При опросе сети Windows может не удаться обнаружить устройства, например, если роутером или сетевым экраном закрыты порты UDP 137, UDP 138, TCP 139.
• Опрос контроллеров домена. Сервер администрирования или точка распространения получает информацию о структуре домена и DNS-именах устройств, входящих в домен. По умолчанию этот тип опроса включен. Рекомендуется использовать опрос контроллеров домена, если все сетевые устройства являются членами домена. Если некоторые из сетевых устройств не включены в домен, эти устройства не могут быть обнаружены с помощью опроса контроллеров домена.
• Опрос IP-диапазонов. Сервер администрирования опрашивает указанные IP-диапазоны с помощью ICMP-пакетов или NBNS-протоколов и получает полную информацию об устройствах, входящих в IP-диапазоны. По умолчанию этот тип опроса выключен. Не рекомендуется использовать этот тип опроса, если вы используете опрос сети Windows и/или опрос Active Directory.
• Опрос Zeroconf. Точка распространения выполняет опрос IPv6-сети, используя сеть с нулевой конфигурацией (далее также Zeroconf). По умолчанию этот тип опроса выключен. Вы можете использовать опрос Zeroconf, если точка распространения работает под управлением Linux.

Если вы настроили и включили правила перемещения устройств, новые обнаруженные устройства будут автоматически перемещаться в группу Управляемые устройства. Если правила перемещения устройств не включены, новые обнаруженные устройства будут автоматически перемещаться в группу Нераспределенные устройства.

Можно изменить параметры обнаружения устройств для каждого типа. Например, может потребоваться изменить расписание опроса или указать, нужно опрашивать весь лес доменов или только определенный домен.

Прежде чем начать опрос сети, убедитесь, что SMB-протокол включен. Иначе Kaspersky Security Center не сможет обнаружить устройства в опрашиваемой сети. Чтобы включить протокол SMB, следуйте инструкциям для вашей операционной системы.

Опрос сети Windows

Развернуть все | Свернуть все

Об опросе сети Windows

При быстром опросе Сервер администрирования получает только информацию о списке NetBIOS-имен устройств всех доменов и рабочих групп сети. Во время полного опроса с каждого клиентского устройства запрашивается следующая информация:

• имя операционной системы;
• IP-адрес;
• DNS-имя;
• NetBIOS-имя.

Как во время быстрого опроса, так и во время полного опроса необходимо:

• наличие открытых портов UDP 137/138, TCP 139, UDP 445, TCP 445;
• SMB-протокол включен;
• служба Microsoft Computer Browser должна использоваться, и устройство, которое выполняет роль основного браузера, должно быть доступно на Сервере администрирования;
• служба Microsoft Computer Browser должна использоваться, и устройство, которое выполняет роль основного браузера, должно быть доступно на клиентском устройстве:
  • наличие хотя бы одного устройства, если количество сетевых устройств не превышает 32;
  • наличие как минимум одного устройства на каждые 32 сетевых устройства.

Полный опрос сети может быть запущен, только если быстрый опрос был запущен как минимум один раз.

Просмотр и изменение параметров опроса сети Windows

Чтобы изменить параметры опроса сети Windows:

1. В главном окне приложения перейдите в раздел Обнаружение устройств и развертывание → Обнаружение устройств → Windows-домены.
2. Нажмите на кнопку Свойства.

   Откроется окно свойств Windows-домена.

3. Включите или выключите опрос Windows сети, используя переключатель Включить опрос сети Windows.
4. Настройте расписание опроса. По умолчанию быстрый опрос запускается каждые 15 минут, а полный опрос запускается каждые 60 минут.

   Варианты расписания опроса:

   • Каждые N дней

     Опрос выполняется регулярно, с заданным интервалом в днях, начиная с указанной даты и времени.

     По умолчанию опрос запускается каждые шесть часов, начиная с текущей системной даты и времени.

   • Каждые N минут

     Опрос выполняется регулярно, с заданным интервалом в минутах, начиная с указанного времени.

   • По дням недели

     Опрос выполняется регулярно, в указанные дни недели, в указанное время.

   • Ежемесячно, в указанные дни выбранных недель

     Опрос выполняется регулярно, в указанные дни каждого месяца, в указанное время.

   • Запускать пропущенные задачи

     Если Сервер администрирования выключен или недоступен в течение времени, на которое запланирован опрос, Сервер администрирования может либо начать опрос сразу после его включения, либо дождаться следующего планового опроса.

     Если этот параметр включен, Сервер администрирования начинает опрос сразу после его включения.

     Если этот параметр выключен, Сервер администрирования ждет следующего планового опроса.

     По умолчанию параметр выключен.

5. Сохраните параметры опроса сети Windows.

Параметры сохранены и применены ко всем Windows-доменам и рабочим группам.

Запуск опроса вручную

Чтобы запустить проверку немедленно,

нажмите на Начать быстрый опрос или Начать полный опрос.

Когда опрос завершен, вы можете просмотреть список обнаруженных устройств на странице Windows-домены, установив флажок рядом с именем домена, а затем нажать на кнопку Устройства.

Опрос IP-диапазонов

Развернуть все | Свернуть все

Исходно Kaspersky Security Center получает IP-диапазоны для опроса из сетевых параметров устройства, на которое он установлен. Если адрес устройства 192.168.0.1, а маска подсети – 255.255.255.0, Kaspersky Security Center автоматически включит сеть 192.168.0.0/24 в список адресов для опроса. Kaspersky Security Center выполнит опрос всех адресов от 192.168.0.1 до 192.168.0.254.

Не рекомендуется использовать опрос IP-диапазонов, если вы используете опрос сети Windows и/или опрос Active Directory.

Kaspersky Security Center может опрашивать диапазоны IP-адресов путем обратного поиска DNS или по NBNS-протоколу:

• обратный поиск DNS;

  Kaspersky Security Center пытается выполнить обратное преобразование имен: для каждого IP-адреса из указанного диапазона выполнить преобразование в DNS-имя с помощью стандартных DNS-запросов. Если данная операция завершается успешно, сервер отправляет запрос ICMP ECHO REQUEST (аналог команды ping) на полученное имя. Если устройство отвечает, информация об этом устройстве добавляется в базу данных Kaspersky Security Center. Обратное преобразование имен необходимо для исключения сетевых устройств, которые могут иметь IP-адреса, но не являются компьютерами, таких как сетевые принтеры или роутеры.

  Этот способ опроса основывается на правильно настроенной локальной службе DNS. Для его использования должна быть настроена зона обратного просмотра DNS. В сетях, в которых используется Active Directory, такая зона поддерживается автоматически. Но в таких сетях опрос IP-подсети не предоставляет дополнительной информации, помимо информации из опроса Active Directory. Кроме того, администраторы малых сетей часто не выполняют настройку зон обратного просмотра DNS, поскольку это не является необходимым для работы многих сетевых служб. Из-за этих причин опрос IP-подсети по умолчанию отключен.

• NBNS-протокол.

  Если обратное разрешение имен в вашей сети по каким-либо причинам невозможно, Kaspersky Security Center использует NBNS-протокол для опроса IP-диапазонов. Если запрос к IP-адресу возвращает NetBIOS-имя, информация об этом устройстве добавляется в базу данных Kaspersky Security Center.

Прежде чем начать опрос сети, убедитесь, что SMB-протокол включен. Иначе Kaspersky Security Center не сможет обнаружить устройства в опрашиваемой сети. Чтобы включить протокол SMB, следуйте инструкциям для вашей операционной системы.

Просмотр и изменение параметров опроса IP-диапазонов

Чтобы просмотреть и изменить параметры опроса IP-диапазонов:

1. В главном окне приложения перейдите в раздел Обнаружение устройств и развертывание → Обнаружение устройств → IP-диапазоны.
2. Нажмите на кнопку Свойства.

   Откроется окно свойств опроса IP-диапазонов.

3. Включите или выключите опрос IP-диапазонов, используя переключатель Разрешить опрос.
4. Настройте расписание опроса. По умолчанию опрос IP-диапазонов запускается каждые 420 минут (семь часов).

   При указании интервала опроса убедитесь, что его значение не превышает значения параметра время действия IP-адреса. Если IP-адрес не подтвержден при опросе в течение времени действия IP-адреса, он автоматически удаляется из результатов опроса. По умолчанию срок существования запросов составляет 24 часа, поскольку динамические IP-адреса, назначенные по протоколу DHCP (Dynamic Host Configuration Protocol – протокол динамической конфигурации сетевого узла), меняются каждые 24 часа.

   Варианты расписания опроса:

   • Каждые N дней

     Опрос выполняется регулярно, с заданным интервалом в днях, начиная с указанной даты и времени.

     По умолчанию опрос запускается каждые шесть часов, начиная с текущей системной даты и времени.

   • Каждые N минут

     Опрос выполняется регулярно, с заданным интервалом в минутах, начиная с указанного времени.

   • По дням недели

     Опрос выполняется регулярно, в указанные дни недели, в указанное время.

   • Ежемесячно, в указанные дни выбранных недель

     Опрос выполняется регулярно, в указанные дни каждого месяца, в указанное время.

   • Запускать пропущенные задачи

     Если Сервер администрирования выключен или недоступен в течение времени, на которое запланирован опрос, Сервер администрирования может либо начать опрос сразу после его включения, либо дождаться следующего планового опроса.

     Если этот параметр включен, Сервер администрирования начинает опрос сразу после его включения.

     Если этот параметр выключен, Сервер администрирования ждет следующего планового опроса.

     По умолчанию параметр выключен.

5. Нажмите на кнопку Сохранить.

Параметры будут сохранены и применены ко всем IP-диапазонам.

Запуск опроса вручную

Чтобы запустить проверку немедленно,

нажмите на кнопку Начать опрос.

Добавление и изменение IP-диапазона

Развернуть все | Свернуть все

Исходно Kaspersky Security Center получает IP-диапазоны для опроса из сетевых параметров устройства, на которое он установлен. Если адрес устройства 192.168.0.1, а маска подсети – 255.255.255.0, Kaspersky Security Center автоматически включит сеть 192.168.0.0/24 в список адресов для опроса. Kaspersky Security Center выполнит опрос всех адресов от 192.168.0.1 до 192.168.0.254. Вы можете изменять автоматически определенные IP-диапазоны или добавлять собственные IP-диапазоны.

Вы можете создать диапазон только для IPv4-адресов. Если вы включите опрос Zeroconf, Kaspersky Security Center будет опрашивать всю сеть.

Чтобы добавить новый IP-диапазон:

1. В главном окне приложения перейдите в раздел Обнаружение устройств и развертывание → Обнаружение устройств → IP-диапазоны.
2. Чтобы добавить IP-диапазон, нажмите на кнопку Добавить.
3. В открывшемся окне настройте следующие параметры:
   • Имя IP-диапазона

     Имя IP-диапазона. Вы можете указать IP-диапазон по имени, например, 192.168.0.0/24.

   • IP-интервал или адрес и маска подсети

     Задайте IP-диапазон, указав либо начальный и конечный IP-адреса, либо адрес подсети и маску подсети. Можно также выбрать один из существующих диапазонов IP-адресов, нажав на кнопку Обзор.

   • Время действия IP-адреса (ч)

     При задании этого параметра убедитесь, что он превышает значение интервала опроса, заданного в расписании опроса. Если IP-адрес не подтвержден при опросе в течение времени действия IP-адреса, он автоматически удаляется из результатов опроса. По умолчанию срок существования запросов составляет 24 часа, поскольку динамические IP-адреса, назначенные по протоколу DHCP (Dynamic Host Configuration Protocol – протокол динамической конфигурации сетевого узла), меняются каждые 24 часа.

4. Выберите Разрешить опрос IP-диапазона, если вы хотите опрашивать подсеть или интервал, который вы указали. В противном случае подсеть или интервал, которые вы добавили, не будут опрошены.
5. Нажмите на кнопку Сохранить.

IP-диапазон добавлен в список IP-диапазонов.

Вы можете запустить опрос для каждого IP-диапазона в отдельности, используя кнопку Начать опрос. После завершения опроса вы можете просмотреть список обнаруженных устройств, нажав на кнопку Устройства. По умолчанию срок действия результатов опроса составляет 24 часа, он равен времени действия IP-адреса.

Чтобы добавить подсеть в существующий IP-диапазон:

1. В главном окне приложения перейдите в раздел Обнаружение устройств и развертывание → Обнаружение устройств → IP-диапазоны.
2. Нажмите на имя IP-диапазона, в который вы хотите добавить подсеть.
3. В появившемся окне нажмите на кнопку Добавить.
4. Укажите подсеть либо с помощью ее адреса и маски, либо задав первый и последний IP-адреса в IP-диапазоне. Или добавить существующую подсеть, нажав на кнопку Обзор.
5. Нажмите на кнопку Сохранить.

   Подсеть добавлена в IP-диапазон.

6. Нажмите на кнопку Сохранить.

Параметры IP-диапазона сохранены.

Вы можете добавить столько подсетей, сколько необходимо. Именованные IP-диапазоны не должны пересекаться, но на неименованные подсети внутри IP-диапазонов это ограничение не распространяется. Вы можете включить или отключить опрос независимо для каждого IP-диапазона.

Опрос Zeroconf

Этот тип опроса поддерживается только для точек распространения с операционными системами Linux.

Точка распространения может опрашивать сети, в которых есть устройства с IPv6-адресами. В этом случае IP-диапазоны не указываются, и точка распространения опрашивает всю сеть, используя сеть с нулевой конфигурацией (далее также Zeroconf). Чтобы начать использовать Zeroconf, вам нужно установить утилиту avahi-browse на точке распространения.

Чтобы включить опрос IPv6-сети:

1. В главном окне приложения перейдите в раздел Обнаружение устройств и развертывание → Обнаружение устройств → IP-диапазоны.
2. Нажмите на кнопку Свойства.
3. В открывшемся окне нажмите на кнопку Использовать Zeroconf для опроса IPv6-сетей.

После этого точка распространения начинает опрашивать вашу сеть. В этом случае указанные IP-диапазоны игнорируются.

Опрос контроллеров домена

Развернуть все | Свернуть все

Kaspersky Security Center поддерживает опрос контроллеров домена Microsoft Active Directory и контроллеров домена Samba.

Kaspersky Security Center позволяет опрашивать контроллер домена Samba только с помощью точки распространения с операционной системой Linux. Для контроллеров домена Samba, в качестве контроллеров домена Active Directory используется Samba 4.

При опросе контроллера домена Сервер администрирования или точка распространения получают информацию о структуре домена, учетных записях пользователей, группах безопасности и о DNS-именах устройств, входящих в домен.

Рекомендуется использовать опрос контроллеров домена, если все сетевые устройства являются членами домена. Если некоторые из сетевых устройств не включены в домен, эти устройства не могут быть обнаружены с помощью опроса контроллеров домена.

Предварительные требования

Перед опросом контроллера домена убедитесь, что вы разрешаете подключения к контроллеру домена через сетевой экран или прокси-сервер. Также убедитесь, что на контроллере домена включены следующие протоколы:

• Lightweight Directory Access Protocol (LDAP).
• Simple Authentication and Security Layer (SASL).

  Этот протокол используется, если соединение с контроллером домена установлено с использованием SASL-аутентификации. Сервер администрирования и точки распространения поддерживают только механизм DIGEST-MD5.

• Lightweight Directory Access Protocol через Secure Sockets Layer (LDAPS)

  Этот протокол используется, если вам нужно подключиться к контроллеру домена по зашифрованному подключению.

Убедитесь, что на устройстве контроллеров домена доступны следующие порты:

• 389 для LDAP-протокола и Simple Authentication (включая SASL).
• 636 для LDAPS-протокола.

Опрос контроллеров домена с помощью Сервера администрирования

Вы можете использовать Сервер администрирования для опроса только контроллера домена Microsoft Active Directory.

Чтобы опросить контроллеры домена с помощью Сервера администрирования:

1. В главном окне приложения перейдите в раздел Обнаружение устройств и развертывание → Обнаружение устройств → Контроллеры доменов.
2. Нажмите на кнопку Параметры опроса.

   Откроется окно Параметры опроса контроллеров домена.

3. Выберите параметр Включить опрос контроллеров домена.
4. В разделе Дополнительные параметры укажите область опроса:
   • Опросить текущий домен

     Выберите этот параметр, чтобы опросить домен, которому принадлежит Kaspersky Security Center.

   • Опросить весь лес доменов

     Выберите этот параметр, чтобы опросить лес доменов, к которому принадлежит Kaspersky Security Center.

   • Опросить указанные домены

     Выберите этот параметр, чтобы опросить домен с указанным адресом и учетными данными пользователя.

5. При необходимости настройте расписание опроса. По умолчанию период опроса составляет один час. Данные, полученные при каждом последующем опросе, полностью замещают предыдущие данные.

   Доступны следующие варианты расписания опроса сети:

   • Каждые N дней

     Опрос выполняется регулярно, с заданным интервалом в днях, начиная с указанной даты и времени.

     По умолчанию опрос запускается каждые шесть часов, начиная с текущей системной даты и времени.

   • Каждые N минут

     Опрос выполняется регулярно, с заданным интервалом в минутах, начиная с указанного времени.

   • По дням недели

     Опрос выполняется регулярно, в указанные дни недели, в указанное время.

   • Ежемесячно, в указанные дни выбранных недель

     Опрос выполняется регулярно, в указанные дни каждого месяца, в указанное время.

   • Запускать пропущенные задачи

     Если Сервер администрирования выключен или недоступен в течение времени, на которое запланирован опрос, Сервер администрирования может либо начать опрос сразу после его включения, либо дождаться следующего планового опроса.

     Если этот параметр включен, Сервер администрирования начинает опрос сразу после его включения.

     Если этот параметр выключен, Сервер администрирования ждет следующего планового опроса.

     По умолчанию параметр выключен.

   Если вы измените учетные записи пользователей в группе безопасности домена, эти изменения отобразятся в Kaspersky Security Center через час после опроса контроллеров домена.

6. Нажмите на кнопку Сохранить, чтобы применить изменения.
7. Если требуется запустить опрос сети немедленно, нажмите на кнопку Начать опрос.

Опрос контроллеров домена с помощью точки распространения

Вы также можете опросить контроллер домена Microsoft Active Directory и контроллер домена Samba с помощью точки распространения. Управляемое устройство с операционной системой Windows или Linux может выступать в роли точки распространения.

Для точки распространения с операционной системой Linux поддерживается опрос контроллеров домена Microsoft Active Directory и контроллеров домена Samba.
Для точки распространения с операционной системой Windows поддерживается только опрос контроллеров домена Microsoft Active Directory.
Опрос с помощью точки распространения с операционной системой Mac не поддерживается.

Чтобы настроить опрос контроллеров домена с помощью точки распространения:

1. Откройте свойства точки распространения.
2. Выберите раздел Опрос контроллеров домена.
3. Выберите параметр Включить опрос контроллеров домена.
4. Выберите контроллеры домена, которые вы хотите опросить.

   Если вы используете точку распространения с операционной системой Linux, в разделе Опросить указанные домены нажмите на кнопку Добавить, а затем укажите адрес и учетные данные пользователя контроллеров домена.

   Если вы используете точку распространения с операционной системой Windows, можно выбрать один из следующих вариантов:

   • Опросить текущий домен
   • Опросить весь лес доменов
   • Опросить указанные домены
5. Нажмите на кнопку Настроить расписание опроса, чтобы указать параметры расписания опроса при необходимости.

   Опрос запускается в соответствие с расписанием. Запуск опроса вручную недоступен.

После завершения опроса в разделе Контроллеры доменов отобразится структура домена.

Если вы настроили и включили правила перемещения устройств, новые обнаруженные устройства будут автоматически перемещаться в группу Управляемые устройства. Если правила перемещения устройств не включены, новые обнаруженные устройства будут автоматически перемещаться в группу Нераспределенные устройства.

Обнаруженные учетные записи пользователей могут быть использованы для доменной аутентификации в Kaspersky Security Center Web Console.

Аутентификация и подключение к контроллеру домена

Аутентификация и подключение к контроллеру домена при опросе домена

При опросе контроллера домена точкой распространения с операционной системой Linux, точка распространения идентифицирует протокол соединения для установления начального соединения с контроллером домена. Этот протокол используется для всех будущих подключений к контроллеру домена. При первоначальном подключении к контроллеру домена вы можете изменить параметры подключения с помощью флагов Агента администрирования KLNAG_LDAP_TLS_REQCERT и KLNAG_LDAP_SSL_CACERT. Вы можете настроить флаги Агента администрирования с помощью команды klscflag, как описано в этой статье.

Первоначальное подключение к контроллеру домена происходит следующим образом:

1. Точка распространения с операционной системой Linux пытается подключиться к контроллеру домена через LDAPS.

   По умолчанию проверка сертификата не требуется. Для флага KLNAG_LDAP_TLS_REQCERT установите значение 1, чтобы принудительно выполнить проверку сертификата.

   Возможные значения флага KLNAG_LDAP_TLS_REQCERT:

   • 0 – сертификат запрошен, но если он не предоставлен или проверка сертификата завершилась неудачно, соединение TLS по-прежнему считается успешно созданным (значение по умолчанию).
   • 1 – требуется строгая проверка сертификата LDAP-сервера.

   По умолчанию, если флаг KLNAG_LDAP_SSL_CACERT не задан, для доступа к цепочке сертификатов используется зависящий от операционной системы путь к центру сертификации (CA). Используйте флаг KLNAG_LDAP_SSL_CACERT, чтобы указать другой путь.

2. В случае сбоя LDAPS-соединения точка распространения с операционной системой Linux пытается подключиться к контроллеру домена по незашифрованному TCP-соединению с помощью SASL (DIGEST-MD5).

Настройка флагов

Вы можете использовать утилиту klscflag для настройки флагов.

На точке распространения с операционной системой Linux запустите командную строку и измените текущую директорию на директорию с утилитой klscflag. По умолчанию на точке распространения с операционной системой Linux утилита klscflag находится в папке /opt/kaspersky/ksc64/sbin.

Например, следующая команда принудительно проверяет сертификат:

klscflag -fset -pv klnagent -n KLNAG_LDAP_TLS_REQCERT -t d -v 1

Настройка контроллеров домена Samba

Kaspersky Security Center поддерживает контроллеры домена Linux, работающие только на Samba 4.

Контроллер домена Samba поддерживает те же расширения схемы, что и контроллер домена Microsoft Active Directory. Вы можете включить полную совместимость контроллера домена Samba с контроллером домена Microsoft Active Directory, используя расширение схемы Samba 4. Это необязательное действие.

Рекомендуется включить полную совместимость контроллера домена Samba с контроллером домена Microsoft Active Directory. Это обеспечит корректное взаимодействие Kaspersky Security Center и контроллером домена Samba.

Чтобы включить полную совместимость контроллера домена Samba с контроллером домена Microsoft Active Directory:

1. Выполните следующую команду, чтобы использовать расширение схемы RFC2307:

   samba-tool domain provision --use-rfc2307 --interactive

2. Включите обновление схемы на контроллере домена Samba. Для этого добавьте следующую строку в файл /etc/samba/smb.conf:

   dsdb:schema update allowed = true

   Если обновление схемы завершается с ошибкой, необходимо выполнить полное восстановление контроллера домена, который выполняет роль схемы master.

Если вы хотите правильно опросить контроллер домена Samba, вам нужно указать netbios name и параметры workgroup в файле /etc/samba/smb.conf.

Настройка правил хранения для нераспределенных устройств

Развернуть все | Свернуть все

После того как опрос сети Windows завершен, обнаруженные устройства помещаются в подгруппы группы администрирования Нераспределенные устройства. Эта группа администрирования находится по следующему пути: Обнаружение устройств и развертывание → Обнаружение устройств → Windows-домены. Папка Windows-домены является родительской группой. Папка содержит дочерние группы, имена которых соответствуют доменам и рабочим группам, обнаруженным во время опроса. Родительская группа может также содержать группы администрирования мобильных устройств. Вы можете настроить правила хранения нераспределенных устройств для родительской группы администрирования и для каждой дочерней группы. Правила хранения не зависят от параметров обнаружения устройств и работают, даже если обнаружение устройств выключено.

Правила хранения устройств не влияют на устройства, на которых один или несколько дисков зашифрованы с помощью полнодискового шифрования. Такие устройства не удаляются автоматически – вы можете удалить их только вручную. Если вам нужно удалить устройство с зашифрованным жестким диском, сначала расшифруйте диск, а затем удалите устройство.

Чтобы настроить правила хранения нераспределенных устройств:

1. В главном окне приложения перейдите в раздел Обнаружение устройств и развертывание → Обнаружение устройств → Windows-домены.
2. Выполните одно из следующих действий:
   • Чтобы настроить параметры родительской группы, нажмите на кнопку Свойства.

     Откроется окно свойств Windows-домена.

   • Чтобы настроить параметры дочерней группы, нажмите на ее имя.

     Откроется окно свойств дочерней группы.

3. Настройте следующие параметры:
   • Удалять устройство из группы, если оно неактивно больше (сут)

     Если этот параметр включен, вы можете указать временной интервал, после которого устройство автоматически удаляется из группы администрирования. По умолчанию этот параметр распространяется на дочерние группы. Временной интервал, установленный по умолчанию, составляет 7 дней.

     По умолчанию параметр включен.

   • Наследовать из родительской группы

     Если этот параметр включен, период хранения для устройств в текущей группе наследуется от родительской группы и не может быть изменен.

     Этот параметр доступен только для дочерних групп.

     По умолчанию параметр включен.

   • Обеспечить принудительное наследование для дочерних групп

     Значения параметров будут распределены по дочерним группам, но в свойствах дочерних групп эти параметры недоступны для изменений.

     По умолчанию параметр выключен.

4. Нажмите на кнопку Принять.

Ваши изменения сохранены и применены.