[Topic 5022]

Справка Kaspersky Security Center Linux

Новые функции

• Что нового
  
  

Аппаратные и программные требования

• Требования к Серверу администрирования
• Требования к Web Console
• Требования к Агенту администрирования
  
  

Начало работы

• Установка
• Мастер первоначальной настройки
• Мастер развертывания защиты
  
  

Лицензирование и активация

• Активация Kaspersky Security Center Linux
• Лицензирование управляемых программ
  
  

Развертывание и настройка

• Обнаружение устройств в сети
• Расчеты для точек распространения и/или шлюзов соединений
• Замещение приложений безопасности сторонних производителей
• Программы "Лаборатории Касперского". Централизованное развертывание
• Настройка защиты сети
• Программы "Лаборатории Касперского". Обновление баз и программных модулей
  
  

Мониторинг

• Мониторинг и отчеты
  
  

Дополнительные возможности

• Экспорт событий в SIEM-системы
• Руководство по масштабированию (только онлайн-справка)

[Topic 12521]

Что нового

Kaspersky Security Center 15 Linux

В программе Kaspersky Security Center 15 Linux реализовано несколько новых функций и улучшений:

• Опрос контроллеров домена, который позволяет опрашивать контроллер домена Microsoft Active Directory и контроллер домена Samba. Вы можете использовать Сервер администрирования или точку распространения для опроса Microsoft Active Directory. Вы можете опрашивать контроллеры домена Samba только с помощью точки распространения с операционной системой Linux. При опросе контроллера домена Сервер администрирования или точка распространения получают информацию о структуре домена, учетных записях пользователей, группах безопасности и о DNS-именах устройств, входящих в домен.
• Kaspersky Security Center Linux теперь поддерживает работу со следующими СУБД:
  • PostgreSQL 15.x.
  • Postgres Pro 15.х.
• Если вы используете PostgreSQL или Postgres Pro в качестве СУБД, Kaspersky Security Center Linux поддерживает до 50 000 управляемых устройств.
• Перенос данных из Kaspersky Security Center Windows в Kaspersky Security Center Linux. Вы можете запустить мастер переноса данных объектов Kaspersky Security Center, включая задачи, политики и структуру групп администрирования. После этого вы можете переместить импортированные управляемые устройства под управление Kaspersky Security Center Linux.
• Kaspersky Security Center Linux теперь поддерживает работу со следующими программами "Лаборатории Касперского":
  • Kaspersky Security для виртуальных сред Легкий агент
  • Kaspersky Embedded Systems Security для Windows
  • Kaspersky Embedded Systems Security для Linux
  • Kaspersky Industrial CyberSecurity for Nodes
  • Kaspersky Industrial CyberSecurity for Networks
  • Kaspersky Endpoint Security для Mac
  • Kaspersky Endpoint Agent
  • Kaspersky Security для виртуальных сред Легкий агент
• Удаленная диагностика управляемых устройств с операционными системами Windows и Linux.
• Улучшенный компонент Контроль программ. Вы можете создать категорию программ на основе списка исполняемых файлов из выбранной папки или на основе категории для программ "Лаборатории Касперского". Затем можно указать, хотите ли вы разрешить или запретить программы из созданной категории в своей организации.
• Экспорт и импорт выборок событий. Вы можете экспортировать определенную пользователем выборку событий и ее параметры в файл KLO, а затем импортировать сохраненную выборку событий в Kaspersky Security Center Windows или Kaspersky Security Center Linux.
• В отчете об угрозах теперь можно открыть цепочку развития угроз, перейдя по ссылке Просмотреть обнаружение.
• Kaspersky Security Center Linux теперь поддерживает кластерную технологию. Если группа администрирования содержит кластеры или массивы серверов, на странице Управляемые устройства отображаются две вкладки: одна для отдельных устройств, другая для кластеров и массивов серверов. После обнаружения управляемых устройств в качестве узлов кластера, кластер добавляется как отдельный объект на вкладку Кластеры и массивы серверов. Узлы кластера перечислены на вкладке Устройства вместе с другими управляемыми устройствами.
• Поддержка некоторых платформ программой Kaspersky Security Center Linux прекращена, так как эти платформы больше не поддерживаются их поставщиками.

Kaspersky Security Center 14.2 Linux

В программе Kaspersky Security Center 14.2 Linux реализовано несколько новых функций и улучшений:

• В иерархия Серверов администрирования Сервер администрирования с операционной системой Linux теперь может выступать в качестве главного Сервера и может управлять Серверами с операционными системами Linux или Windows в качестве подчиненных.
• Kaspersky Security Center Linux теперь поддерживает Kaspersky Security Network (KSN), службу прокси-сервера KSN и Kaspersky Private Security Network (KPSN).
• Kaspersky Security Center Linux теперь поддерживает Kaspersky Endpoint Security для Windows как управляемую программу.

  Удаленная установка Агента администрирования с операционной системой Windows на клиентские устройства возможна только средствами операционной системы точки распространения с операционной системой Windows.

• Шифрование данных устройств с операционной системой Windows снижает риски непреднамеренной утечки информации в случае кражи/утери портативного устройства или жесткого диска. Эта функциональность реализована через Kaspersky Endpoint Security для Windows.
• Kaspersky Security Center Linux позволяет загружать и обновлять дистрибутивы программ "Лаборатории Касперского" и веб-плагины управления в пользовательском интерфейсе Kaspersky Security Center Linux.
• По умолчанию информация о программах, установленных на управляемых устройствах под управлением Linux и Windows, передается на Сервер администрирования.
• Доступ к серверам "Лаборатории Касперского" теперь проверяется автоматически. Если доступ к серверам через системный DNS невозможен, программа использует публичный DNS.
• Конфиденциальные данные, передаваемые между главным Сервером администрирования, подчиненными Серверами администрирования и Агентами администрирования, теперь защищены алгоритмом шифрования AES.
• Права пользователя виртуального Сервера администрирования настраиваются независимо от прав пользователей главного Сервера администрирования. Также вы можете предоставить пользователям главного Сервера права на управление виртуальным Сервером.
• Kaspersky Security Center Linux теперь поддерживает работу со следующими СУБД:
  • PostgreSQL 13.x.
  • PostgreSQL 14.x.
  • Postgres Pro 13.x (все редакции).
  • Postgres Pro 14.x (все редакции).
• Вы можете использовать Kaspersky Security Center Web Console для экспорта политик и задач в файл, а затем импортировать политики и задачи в Kaspersky Security Center Windows или Kaspersky Security Center Linux.
• Параметр Не использовать прокси-сервер удален из следующих задач:
  • Загрузка обновлений в хранилище Сервера администрирования
  • Загрузка обновлений в хранилища точек распространения

Kaspersky Security Center 14 Linux

В программе Kaspersky Security Center Linux реализовано несколько новых функций и улучшений:

• Кроме задачи Загрузка обновлений в хранилище Сервера администрирования, антивирусные базы для программ безопасности "Лаборатории Касперского" теперь можно загружать с помощью задачи Загрузка обновлений в хранилища точек распространения.
• Антивирусные базы и программные модули на управляемых устройствах могут распространяться и обновляться через Сервер администрирования или точки распространения. Вы можете выбрать схему обновления, оптимальную для вашей организации, чтобы снизить нагрузку на Сервер администрирования и оптимизировать трафик данных в корпоративной сети.
• Kaspersky Security Center Linux загружает с серверов обновлений "Лаборатории Касперского" только те обновления, которые запрашиваются программами безопасности "Лаборатории Касперского". Это уменьшает размер загружаемых данных.
• Теперь вы можете использовать функцию файлов различий, чтобы загружать антивирусные базы и программные модули. Файл различий описывает различия между двумя версиями файлов базы или программного модуля. Использование файлов различий сохраняет трафик внутри сети вашей организации, так как файлы различий занимают меньше места, чем целые файлы баз и программных модулей.
• Добавлена задача Проверка обновлений. С помощью этой задачи вы можете автоматически проверять загружаемые обновления на работоспособность и наличие ошибок перед тем, как установить эти обновления на управляемые устройства.
• Kaspersky Security Center Linux теперь поддерживает Kaspersky Industrial CyberSecurity for Linux Nodes 1.3 как управляемую программу.

[Topic 3396]

О Kaspersky Security Center Linux

В этом разделе представлена информация о назначении, ключевых возможностях и компонентах программы Kaspersky Security Center Linux, а также способы приобретения Kaspersky Security Center Linux.

Kaspersky Security Center Linux (далее так же Kaspersky Security Center) предназначен для развертывания и управления защитой клиентских устройств с помощью Сервера администрирования на базе Linux.

Kaspersky Security Center Linux позволяет вам устанавливать программы безопасности "Лаборатории Касперского" на устройства в корпоративной сети, удаленно запускать задачи проверки и обновления, а также управлять политиками безопасности управляемых программ. Как администратор, вы можете использовать панель мониторинга, где показано актуальное состояние корпоративных устройств, отображаются подробные отчеты и детальные параметры политик.

По сравнению с Сервером администрирования Kaspersky Security Center на базе Windows, Kaspersky Security Center Linux имеет другой набор функций.

Программа Kaspersky Security Center Linux адресована администраторам сетей организаций и сотрудникам, отвечающим за защиту устройств в организациях.

При помощи Kaspersky Security Center вы можете:

• Формировать иерархию Серверов администрирования для управления сетью собственной организации, а также сетями удаленных офисов или организаций-клиентов.

  Под организациями-клиентами здесь подразумеваются организации, антивирусную защиту которых обеспечивает поставщик услуг.

• Формировать иерархию групп администрирования для управления набором клиентских устройств как единым целым.
• Управлять системой антивирусной безопасности, построенной на основе программ "Лаборатории Касперского".
• Выполнять удаленную установку программ "Лаборатории Касперского" и других программ сторонних производителей.
• Централизованно распространять лицензионные ключи программ "Лаборатории Касперского" на клиентские устройства, наблюдать за использованием ключей и продлевать сроки действия лицензий.
• Получать статистику и отчеты о работе программ и устройств.
• Получать уведомления о критических событиях в работе программ "Лаборатории Касперского".
• Управлять шифрованием данных, хранящихся на жестких дисках устройств с операционной системой Windows и съемных дисках.
• Управлять доступом пользователей к зашифрованным данным устройств с операционной системой Windows.
• Проводить инвентаризацию оборудования, подключенного к сети организации.
• Централизованно работать с файлами, помещенными программами безопасности на карантин или в резервное хранилище, а также с файлами, обработка которых отложена программами безопасности.

Вы можете приобрести Kaspersky Security Center через "Лабораторию Касперского" (например, на сайте https://www.kaspersky.ru) или через компании-партнеров.

Если вы покупаете Kaspersky Security Center Linux через "Лабораторию Касперского", вы можете скачать программу с нашего сайта. Информация, необходимая для активации программы, высылается вам по электронной почте после оплаты.

Функциональность обновлений (включая обновления антивирусных сигнатур и обновления кодовой базы), а также функциональность KSN могут быть недоступны в приложении на территории США.

[Topic 96255]

Аппаратные и программные требования

• Требования к Серверу администрирования
• Требования к Web Console
• Требования к Агенту администрирования

[Topic 255791]

Требования к Серверу администрирования

Минимальные аппаратные требования:

• Процессор с частотой 1,4 ГГц или выше.
• Оперативная память: 4 ГБ.
• Объем свободного места на диске: требуется 10 ГБ для папки, где хранятся данные Сервера администрирования (/var/opt/kaspersky/klnagent_srv).

Поддерживаются следующие операционные системы:

• Debian GNU/Linux 10.х (Buster) 64-разрядная.
• Debian GNU/Linux 11.х (Bullseye) 64-разрядная.
• Debian GNU/Linux 12 (Bookworm) 64-разрядная.
• Ubuntu Server 18.04 LTS (Bionic Beaver) 64-разрядная.
• Ubuntu Server 20.04 LTS (Focal Fossa) 64-разрядная.
• Ubuntu Server 22.04 LTS (Jammy Jellyfish) 64-разрядная.
• CentOS 7.x 64-разрядная.
• CentOS Stream 9 64-разрядная.
• Red Hat Enterprise Linux Server 7.x 64-разрядная.
• Red Hat Enterprise Linux Server 8.x 64-разрядная.
• Red Hat Enterprise Linux Server 9.x 64-разрядная.
• SUSE Linux Enterprise Server 12 (все пакеты обновлений) 64-разрядная.
• SUSE Linux Enterprise Server 15 (все пакеты обновлений) 64-разрядная.
• Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6) 64-разрядная.
• Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.7) 64-разрядная.
• Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.8) 64-разрядная.
• Astra Linux Common Edition (очередное обновление 2.12) 64-разрядная.
• Альт СП Сервер 10 64-разрядная.
• Альт Сервер 10 64-разрядная.
• Альт Сервер 9.2 64-разрядная.
• Альт 8 СП Сервер (ЛКНВ.11100-01) 64-разрядная.
• Альт 8 СП Сервер (ЛКНВ.11100-02) 64-разрядная.
• Альт 8 СП Сервер (ЛКНВ.11100-03) 64-разрядная.
• Oracle Linux 7 64-разрядная.
• Oracle Linux 8 64-разрядная.
• Oracle Linux 9 64-разрядная.
• РЕД ОС 7.3 Сервер 64-разрядная.
• РЕД ОС 7.3 Сертифицированная редакция 64-разрядная.
• РОСА "КОБАЛЬТ" 7.9 64-разрядная.

Рекомендуется использовать файловую систему EXT4 с параметрами по умолчанию.

Поддерживаются следующие платформы виртуализации:

• VMware vSphere 6.7.
• VMware vSphere 7.0.
• VMware vSphere 8.0.
• VMware Workstation 16 Pro.
• VMware Workstation 17 Pro.
• Microsoft Hyper-V Server 2012 64-разрядная.
• Microsoft Hyper-V Server 2012 R2 64-разрядная.
• Microsoft Hyper-V Server 2016 64-разрядная.
• Microsoft Hyper-V Server 2019 64-разрядная.
• Microsoft Hyper-V Server 2022 64-разрядная.
• Citrix XenServer 7.1 LTSR.
• Citrix XenServer 8.x.
• Parallels Desktop 17.
• Oracle VM VirtualBox 6.x.
• Oracle VM VirtualBox 7.x.
• Kernel-based Virtual Machine (все операционные системы Linux, поддерживаемые Сервером администрирования).

Поддерживаются следующие серверы баз данных (могут быть установлены на другой машине):

• MySQL 5.7 Community 32-разрядная/64-разрядная.
• MySQL 8.0 32-разрядная/64-разрядная.
• MariaDB 10.1 (сборка 10.1.30 и выше) 32-разрядная/64-разрядная.
• MariaDB 10.3 (сборка 10.3.22 и выше) 32-разрядная/64-разрядная.
• MariaDB 10.4 (сборка 10.4.20 и выше) 32-разрядная/64-разрядная.
• MariaDB 10.5 (сборка 10.5.27 и выше) 32-разрядная/64-разрядная.
• MariaDB 10.6 (сборка 10.6.20 и выше) 32-разрядная/64-разрядная.
• MariaDB 10.11 (сборка 10.11.10 и выше) 32-разрядная/64-разрядная.
• MariaDB Galera Cluster 10.3 32-разрядная/64-разрядная с подсистемой хранилища InnoDB.
• PostgreSQL 13.х 64-разрядная.
• PostgreSQL 14.х 64-разрядная.
• PostgreSQL 15.х 64-разрядная.
• Postgres Pro 13.х (все редакции) 64-разрядная.
• Postgres Pro 14.х (все редакции) 64-разрядная.
• Postgres Pro 15.х (все редакции) 64-разрядная.
• Platform V Pangolin 5.4.0 64-разрядная.
• Jatoba 4 64-разрядная.

[Topic 255792]

Требования к Web Console

Сервер Kaspersky Security Center Web Console

Минимальные аппаратные требования:

• Процессор: 4 ядра, частота от 2,5 ГГц.
• Оперативная память: 8 ГБ.
• Объем свободного места на диске: требуется 40 ГБ для папки, где хранятся данные Сервера администрирования (/var/opt/kaspersky).

Одна из следующих операционных систем (только 64-разрядные версии):

• Debian GNU/Linux 11.х (Bullseye);
• Debian GNU/Linux 12 (Bookworm).
• Ubuntu Server 20.04 LTS (Focal Fossa).
• Ubuntu Server 22.04 LTS (Jammy Jellyfish).
• CentOS Stream 9.
• Red Hat Enterprise Linux Server 7.x.
• Red Hat Enterprise Linux Server 8.x.
• Red Hat Enterprise Linux Server 9.x.
• SUSE Linux Enterprise Server 12 (все пакеты обновлений).
• SUSE Linux Enterprise Server 15 (все пакеты обновлений).
• Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6).
• Astra Linux Special Edition РУСБ.10015-16 (исполнение 1) (очередное обновление 1.6).
• Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.7).
• Astra Linux Special Edition РУСБ.10015-17 (очередное обновление 1.7.3).
• Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.8).
• Astra Linux Special Edition РУСБ.10015-37 (очередное обновление 7.7).
• Astra Linux Common Edition (очередное обновление 2.12).
• Альт СП Сервер 10.
• Альт Сервер 10.
• Альт 8 СП Сервер (ЛКНВ.11100-01).
• Альт 8 СП Сервер (ЛКНВ.11100-02).
• Альт 8 СП Сервер (ЛКНВ.11100-03).
• Альт СП Рабочая станция 10 64-разрядная.
• Альт Рабочая станция 10 64-разрядная.
• Oracle Linux 7.
• Oracle Linux 8.
• Oracle Linux 9.
• Platform V SberLinux OS Server (SLO) 8.8 64-разрядная.
• РЕД ОС 7.3 Сервер.
• РЕД ОС 7.3 Сертифицированная редакция.
• РЕД ОС 8 Сертифицированная редакция.
• РОСА "КОБАЛЬТ" 7.9.
• Kernel-based Virtual Machine (все операционные системы Linux, поддерживаемые Сервером Kaspersky Security Center Web Console).

Поддерживаются следующие платформы виртуализации:

• VMware vSphere 6.7.0.
• VMware vSphere 7.0.3.
• Citrix XenServer 7.x.
• Citrix XenServer 8.2.
• Parallels Desktop 18.
• Oracle VM VirtualBox 7.0.12.
• Kernel-based Virtual Machine (все операционные системы Linux, поддерживаемые Агентом администрирования).

Клиентские устройства

Клиентскому устройству для работы с Kaspersky Security Center Web Console требуется только браузер.

Минимальное разрешение экрана составляет 1366x768 пикселей.

Требования к аппаратному и программному обеспечению устройства соответствуют требованиям браузера, который используется для работы с Kaspersky Security Center Web Console.

Браузеры:

• Google Chrome 125.0.6422.76 и выше (официальная сборка).
• Microsoft Edge 111.0.1661.41 и выше.
• Safari 17.1 для macOS.
• Яндекс Браузер 24.4.3.1012 и выше.
• Mozilla Firefox Extended Support Release 115.9.1 и выше.

[Topic 255797]

Требования к Агенту администрирования

Минимальные аппаратные требования:

• Процессор с частотой 1 ГГц или выше. При работе с 64-разрядной операционной системой минимальная частота процессора – 1.4 ГГц.
• Оперативная память: 512 МБ.
• Объем свободного места на диске: 1 ГБ.

Требования к программному обеспечению для устройств с операционной системой Linux: должен быть установлен интерпретатор языка Perl версии 5.10 или выше.

Поддерживаются следующие операционные системы:

• Microsoft Windows Embedded POSReady 2009 с последним Service Pack 32-разрядная.
• Microsoft Windows Embedded 7 Standard Service Pack 1 32-разрядная/64-разрядная.
• Microsoft Windows Embedded 8.1 Industry Pro 32-разрядная/64-разрядная.
• Microsoft Windows 10 Enterprise 2015 LTSB 32-разрядная/64-разрядная.
• Microsoft Windows 10 Enterprise 2016 LTSB 32-разрядная/64-разрядная.
• Microsoft Windows 10 IoT Enterprise 2015 LTSB 32-разрядная/64-разрядная.
• Microsoft Windows 10 IoT Enterprise 2016 LTSB 32-разрядная/64-разрядная.
• Microsoft Windows 10 Enterprise 2019 LTSC 32-разрядная/64-разрядная.
• Microsoft Windows 10 IoT Enterprise версия 1703 32-разрядная/64-разрядная.
• Microsoft Windows 10 IoT Enterprise версия 1709 32-разрядная/64-разрядная.
• Microsoft Windows 10 IoT Enterprise версия 1803 32-разрядная/64-разрядная.
• Microsoft Windows 10 IoT Enterprise версия 1809 32-разрядная/64-разрядная.
• Microsoft Windows 10 20H2 IoT Enterprise 32-разрядная/64-разрядная.
• Microsoft Windows 10 21H2 IoT Enterprise 32-разрядная/64-разрядная.
• Microsoft Windows 10 IoT Enterprise 32-разрядная/64-разрядная.
• Microsoft Windows 10 IoT Enterprise версия 1909 32-разрядная/64-разрядная.
• Microsoft Windows 10 IoT Enterprise LTSC 2021 32-разрядная/64-разрядная.
• Microsoft Windows 10 IoT Enterprise version 1607 32-разрядная/64-разрядная.
• Microsoft Windows 10 Home RS3 (Fall Creators Update, v1709) 32-разрядная/64-разрядная.
• Microsoft Windows 10 Pro RS3 (Fall Creators Update, v1709) 32-разрядная/64-разрядная.
• Microsoft Windows 10 Pro для рабочих станций RS3 (Fall Creators Update, v1709) 32-разрядная/64-разрядная.
• Microsoft Windows 10 Enterprise RS3 (Fall Creators Update, v1709) 32-разрядная/64-разрядная.
• Microsoft Windows 10 Education RS3 (Fall Creators Update, v1709) 32-разрядная/64-разрядная.
• Microsoft Windows 10 Home RS4 (April 2018 Update, 17134) 32-разрядная/64-разрядная.
• Microsoft Windows 10 Pro RS4 (April 2018 Update, 17134) 32-разрядная/64-разрядная.
• Microsoft Windows 10 Pro для рабочих станций RS4 (April 2018 Update, 17134) 32-разрядная/64-разрядная.
• Microsoft Windows 10 Enterprise RS4 (April 2018 Update, 17134) 32-разрядная/64-разрядная.
• Microsoft Windows 10 Education RS4 (April 2018 Update, 17134) 32-разрядная/64-разрядная.
• Microsoft Windows 10 Home RS5 (октябрь 2018) 32-разрядная/64-разрядная.
• Microsoft Windows 10 Pro RS5 (октябрь 2018) 32-разрядная/64-разрядная.
• Microsoft Windows 10 Pro для рабочих станций RS5 (октябрь 2018) 32-разрядная/64-разрядная.
• Microsoft Windows 10 Enterprise RS5 (октябрь 2018) 32-разрядная/64-разрядная.
• Microsoft Windows 10 Education RS5 (октябрь 2018) 32-разрядная/64-разрядная.
• Microsoft Windows 10 Home 19H1 32-разрядная/64-разрядная.
• Microsoft Windows 10 Pro 19H1 32-разрядная/64-разрядная.
• Microsoft Windows 10 Pro для рабочих станций 19H1 32-разрядная/64-разрядная.
• Microsoft Windows 10 Enterprise 19H1 32-разрядная/64-разрядная.
• Microsoft Windows 10 Education 19H1 32-разрядная/64-разрядная.
• Microsoft Windows 10 Home 19H2 32-разрядная/64-разрядная.
• Microsoft Windows 10 Pro 19H2 32-разрядная/64-разрядная.
• Microsoft Windows 10 Pro для рабочих станций 19H2 32-разрядная/64-разрядная.
• Microsoft Windows 10 Enterprise 19H2 32-разрядная/64-разрядная.
• Microsoft Windows 10 Education 19H2 32-разрядная/64-разрядная.
• Microsoft Windows 10 Home 20H1 (May 2020 Update) 32-разрядная/64-разрядная.
• Microsoft Windows 10 Pro 20H1 (May 2020 Update) 32-разрядная/64-разрядная.
• Microsoft Windows 10 Enterprise 20H1 (May 2020 Update) 32-разрядная/64-разрядная.
• Microsoft Windows 10 Education 20H1 (May 2020 Update) 32-разрядная/64-разрядная.
• Microsoft Windows 10 Home 20H2 (October 2020 Update) 32-разрядная/64-разрядная.
• Microsoft Windows 10 Pro 20H2 (October 2020 Update) 32-разрядная/64-разрядная.
• Microsoft Windows 10 Enterprise 20H2 (October 2020 Update) 32-разрядная/64-разрядная.
• Microsoft Windows 10 Education 20H2 (October 2020 Update) 32-разрядная/64-разрядная.
• Microsoft Windows 10 Home 21H1 (May 2021 Update) 32-разрядная/64-разрядная.
• Microsoft Windows 10 Pro 21H1 (May 2021 Update) 32-разрядная/64-разрядная.
• Microsoft Windows 10 Enterprise 21H1 (May 2021 Update) 32-разрядная/64-разрядная.
• Microsoft Windows 10 Education 21H1 (May 2021 Update) 32-разрядная/64-разрядная.
• Microsoft Windows 10 Home 21H2 (October 2021 Update) 32-разрядная/64-разрядная.
• Microsoft Windows 10 Pro 21H2 (October 2021 Update) 32-разрядная/64-разрядная.
• Microsoft Windows 10 Enterprise 21H2 (October 2021 Update) 32-разрядная/64-разрядная.
• Microsoft Windows 10 Education 21H2 (October 2021 Update) 32-разрядная/64-разрядная.
• Microsoft Windows 10 Home 22H2 (October 2023 Update) 32-разрядная/64-разрядная.
• Microsoft Windows 10 Pro 22H2 (October 2023 Update) 32-разрядная/64-разрядная.
• Microsoft Windows 10 Enterprise 22H2 (October 2023 Update) 32-разрядная/64-разрядная.
• Microsoft Windows 10 Education 22H2 (October 2023 Update) 32-разрядная/64-разрядная.
• Microsoft Windows 11 Home 64-разрядная.
• Microsoft Windows 11 Pro 64-разрядная.
• Microsoft Windows 11 Enterprise 64-разрядная.
• Microsoft Windows 11 Education 64-разрядная.
• Microsoft Windows 11 22H2.
• Microsoft Windows 8.1 Pro 32-разрядная/64-разрядная.
• Microsoft Windows 8.1 Enterprise 32-разрядная/64-разрядная.
• Microsoft Windows 8 Pro 32-разрядная/64-разрядная.
• Microsoft Windows 8 Enterprise 32-разрядная/64-разрядная.
• Microsoft Windows 7 Professional Service Pack 1 или более поздняя версия 32-разрядная/64-разрядная.
• Microsoft Windows 7 Enterprise/Ultimate Service Pack 1 или более поздняя версия 32-разрядная/64-разрядная.
• Microsoft Windows 7 Home Basic/Premium Service Pack 1 и выше 32-разрядная/64-разрядная.
• Microsoft Windows XP Professional Service Pack 2 32-разрядная/64-разрядная (поддерживается Агентом администрирования версии 10.5.1781).
• Microsoft Windows XP Professional Service Pack 3 и выше 32-разрядная (поддерживается Агентом администрирования версии 14.0.0.20023).
• Microsoft Windows XP Professional for Embedded Systems Service Pack 3 32-разрядная (поддерживается Агентом администрирования версии 14.0.0.20023).
• Windows MultiPoint Server 2011 Standard/Premium 64-разрядная.
• Windows Server 2003 SP1 32-разрядная/64-разрядная (поддерживаются только для Агента администрирования версии 10.5.1781, которую вы можете запросить в Службе технической поддержки).
• Windows Server 2008 Foundation Service Pack 2 32-разрядная/64-разрядная.
• Windows Server 2008 Service Pack 2 (все редакции) 32-разрядная/64-разрядная.
• Windows Server 2008 R2 Datacenter Service Pack 1 или более поздняя версия 64-разрядная.
• Windows Server 2008 R2 Enterprise Service Pack 1 или более поздняя версия 64-разрядная.
• Windows Server 2008 R2 Foundation Service Pack 1 или более поздняя версия 64-разрядная.
• Windows Server 2008 R2 Core Mode Service Pack 1 или более поздняя версия 64-разрядная.
• Windows Server 2008 R2 Standard Service Pack 1 или более поздняя версия 64-разрядная.
• Windows Server 2008 R2 Service Pack 1 (все редакции) 64-разрядная.
• Windows Server 2012 Server Core 64-разрядная.
• Windows Server 2012 Datacenter 64-разрядная.
• Windows Server 2012 Essentials 64-разрядная.
• Windows Server 2012 Foundation 64-разрядная.
• Windows Server 2012 Standard 64-разрядная.
• Windows Server 2012 R2 Server Core 64-разрядная.
• Windows Server 2012 R2 Datacenter 64-разрядная.
• Windows Server 2012 R2 Essentials 64-разрядная.
• Windows Server 2012 R2 Foundation 64-разрядная.
• Windows Server 2012 R2 Standard 64-разрядная.
• Windows Server 2016 Datacenter (LTSB) 64-разрядная.
• Windows Server 2016 Standard (LTSB) 64-разрядная.
• Windows Server 2016 (вариант установки Server Core) (LTSB) 64-разрядная.
• Windows Server 2019 Standard 64-разрядная.
• Windows Server 2019 Datacenter 64-разрядная.
• Windows Server 2019 Core 64-разрядная.
• Windows Server 2022 Standard 64-разрядная.
• Windows Server 2022 Datacenter 64-разрядная.
• Windows Server 2022 Core 64-разрядная.
• Debian GNU/Linux 10.х (Buster) 32-разрядная/64-разрядная.
• Debian GNU/Linux 11.х (Bullseye) 32-разрядная/64-разрядная.
• Debian GNU/Linux 12 (Bookworm) 32-разрядная/64-разрядная.
• Ubuntu Server 18.04 LTS (Bionic Beaver) 32-разрядная/64-разрядная.
• Ubuntu Server 20.04 LTS (Focal Fossa) 32-разрядная/64-разрядная.
• Ubuntu Server 22.04 LTS (Jammy Jellyfish) 64-разрядная.
• CentOS 7.x 64-разрядная.
• CentOS Stream 9 64-разрядная.
• Red Hat Enterprise Linux Server 6.x 32-разрядная/64-разрядная.
• Red Hat Enterprise Linux Server 7.x 64-разрядная.
• Red Hat Enterprise Linux Server 8.x 64-разрядная.
• Red Hat Enterprise Linux Server 9.x 64-разрядная.
• SUSE Linux Enterprise Server 12 (все пакеты обновлений) 64-разрядная.
• SUSE Linux Enterprise Server 15 (все пакеты обновлений) 64-разрядная.
• SUSE Linux Enterprise Desktop 15 Service Pack 3 ARM 64-разрядная.
• openSUSE 15 64-разрядная.
• EulerOS 2.0 SP8 ARM 64-разрядная.
• Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6) 64-разрядная.
• Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.7) 64-разрядная.
• Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.8) 64-разрядная.
• Astra Linux Common Edition (очередное обновление 2.12) 64-разрядная.
• Astra Linux Special Edition РУСБ.10152-02 (очередное обновление 4.7) ARM 64-разрядная.
• Альт СП Сервер 10 64-разрядная.
• Альт СП Рабочая станция 10 64-разрядная.
• Альт Сервер 10 64-разрядная.
• Альт Сервер 9.2 64-разрядная.
• Альт Рабочая станция 9.2 32-разрядная/64-разрядная.
• Альт Рабочая станция 10 32-разрядная/64-разрядная.
• Альт 8 СП Сервер (ЛКНВ.11100-01) 64-разрядная.
• Альт 8 СП Сервер (ЛКНВ.11100-02) 64-разрядная.
• Альт 8 СП Сервер (ЛКНВ.11100-03) 64-разрядная.
• Альт 8 СП Рабочая станция (ЛКНВ.11100-01) 32-разрядная/64-разрядная.
• Альт 8 СП Рабочая станция (ЛКНВ.11100-02) 32-разрядная/64-разрядная.
• Альт 8 СП Рабочая станция (ЛКНВ.11100-03) 32-разрядная/64-разрядная.
• Mageia 4 32-разрядная.
• Oracle Linux 7 64-разрядная.
• Oracle Linux 8 64-разрядная.
• Oracle Linux 9 64-разрядная.
• Linux Mint 20.x 64-разрядная.
• AlterOS 7.5 или более поздняя версия 64-разрядная.
• ГосЛинукс IC6 64-разрядная.
• РЕД ОС 7.3 Сервер 64-разрядная.
• РЕД ОС 7.3 Сертифицированная редакция 64-разрядная.
• РОСА "КОБАЛЬТ" 7.9 64-разрядная.
• РОСА "ХРОМ" 12 64-разрядная.
• macOS 11.x.
• macOS 12.x.
• macOS 13.x.
• macOS 14.x.

  Для Агента администрирования поддерживается архитектура Apple Silicon (M1), также, как и Intel.

Поддерживаются следующие платформы виртуализации:

• VMware vSphere 6.7.
• VMware vSphere 7.0.
• VMware vSphere 8.0.
• VMware Workstation 16 Pro.
• VMware Workstation 17 Pro.
• Microsoft Hyper-V Server 2012 64-разрядная.
• Microsoft Hyper-V Server 2012 R2 64-разрядная.
• Microsoft Hyper-V Server 2016 64-разрядная.
• Microsoft Hyper-V Server 2019 64-разрядная.
• Microsoft Hyper-V Server 2022 64-разрядная.
• Citrix XenServer 7.1 LTSR.
• Citrix XenServer 8.x.
• Parallels Desktop 17.
• Oracle VM VirtualBox 6.x.
• Oracle VM VirtualBox 7.x.
• Kernel-based Virtual Machine (все операционные системы Linux, поддерживаемые Агентом администрирования).

На устройствах под управлением Windows 10 версии RS4 или RS5 Kaspersky Security Center может не обнаруживать некоторые уязвимости в папках, в которых включен учет регистра.

Перед установкой Агента администрирования на устройства под управлением Windows 7, Windows Server 2008, Windows Server 2008 R2 или Windows MultiPoint Server 2011 убедитесь, что вы установили обновление безопасности KB3063858 для ОС Windows (Обновление безопасности для Windows 7 (KB3063858), Обновление безопасности для Windows 7 для систем на базе x64 (KB3063858), Обновление безопасности для Windows Server 2008 (KB3063858), Обновление безопасности для Windows Server 2008 x64 Edition (KB3063858), Обновление безопасности для Windows Server 2008 R2 x64 Edition (KB3063858).

В Microsoft Windows XP Агент администрирования может не выполнять некоторые операции правильно.

Вы можете установить или обновить Агент администрирования для Windows XP только в Microsoft Windows XP. Поддерживаемые редакции Microsoft Windows XP и соответствующие им версии Агента администрирования указаны в списке поддерживаемых операционных систем. Вы можете скачать необходимую версию Агента администрирования для Microsoft Windows XP с этой страницы.

Рекомендуется устанавливать ту же версию Агента администрирования для Linux, что и Kaspersky Security Center Linux.

Kaspersky Security Center Linux полностью поддерживает Агент администрирования той же или выше.

Агент администрирования для macOS поставляется вместе с программой безопасности "Лаборатории Касперского" для этой операционной системы.

[Topic 192930]

Совместимые программы и решения "Лаборатории Касперского"

Kaspersky Security Center Linux поддерживает централизованное развертывание и управление всеми поддерживаемыми на данный момент программами и решениями "Лаборатории Касперского". Подробнее о версиях программ и решений см. на странице "Жизненный цикл программ".

Поддерживаемые программы "Лаборатории Касперского":

• Kaspersky Endpoint Security для Windows (поддерживает файловые серверы)
• Kaspersky Endpoint Security для Linux (поддерживает файловые серверы)
• Kaspersky Endpoint Security для Linux Elbrus Edition
• Kaspersky Endpoint Security для Linux ARM Edition
• Kaspersky Endpoint Security для Mac
• Kaspersky Industrial CyberSecurity for Linux Nodes
• Kaspersky Industrial CyberSecurity for Nodes
• Kaspersky Industrial CyberSecurity for Networks
• Kaspersky Endpoint Agent
• Kaspersky Embedded Systems Security для Windows
• Kaspersky Embedded Systems Security для Linux
• Kaspersky Security для виртуальных сред Легкий агент

Подробнее о версиях программ и решений см. на странице "Жизненный цикл программ".

Список ограничений

Kaspersky Security Center Linux поддерживает управление Kaspersky Endpoint Security для Windows со следующими ограничениями:

• Компонент Адаптивный контроль аномалий не поддерживается. Kaspersky Security Center Linux не поддерживает правила Адаптивного контроля аномалий.
• Компоненты Kaspersky Sandbox не поддерживаются.
• Функциональность Обновления недоступна.

Единый вход (SSO) не поддерживается для Kaspersky Industrial CyberSecurity for Networks.

[Topic 57043]

Комплект поставки

Вы можете приобрести программу через интернет-магазины "Лаборатории Касперского" (например, на сайте https://www.kaspersky.ru) или компаний-партнеров.

Приобретая Kaspersky Security Center Linux через интернет-магазин, вы копируете программу с сайта интернет-магазина. Информация, необходимая для активации программы, высылается вам по электронной почте после оплаты.

[Topic 211939]

О совместимости Сервера администрирования и Kaspersky Security Center Web Console

Рекомендуется использовать последние версии Сервера администрирования Kaspersky Security Center и Kaspersky Security Center Web Console. В противном случае функциональность Kaspersky Security Center может быть ограничена.

Вы можете установить и обновить Сервер администрирования Kaspersky Security Center Linux и Kaspersky Security Center Web Console независимо друг от друга. В этом случае убедитесь, что версия установленной программы Kaspersky Security Center Web Console совместима с версией Сервера администрирования, к которому вы подключаетесь:

• Web Console, включенная в программу Kaspersky Security Center Linux 15, поддерживает Сервер администрирования Kaspersky Security Center Linux следующих версий: 15 и 14.2.
• Сервер администрирования, включенный в программу Kaspersky Security Center Linux 15, поддерживает Kaspersky Security Center Web Console следующих версий: 15 и 14.2.

[Topic 211055]

Сравнение версий Kaspersky Security Center: на базе Windows и на базе Linux

"Лаборатории Касперского" предлагает программу Kaspersky Security Center в качестве локального решения для двух платформ – Windows и Linux. В решении для Windows вы устанавливаете Сервер администрирования на устройство с операционной системой Windows. Решение на базе Linux имеет версию Сервера администрирования, предназначенную для установки на устройство с операционной системой Linux. Эта онлайн-справка содержит информацию о Kaspersky Security Center Linux. Для получения подробной информации о решении на базе Windows см. справку Kaspersky Security Center Windows.

Таблица ниже позволяет сравнить основные возможности Kaspersky Security Center как решения на базе Windows и как решения на базе Linux.

Сравнение возможностей программы Kaspersky Security Center на базе Windows и на базе Linux

[Topic 196993]

О Kaspersky Security Center Cloud Console

Если вы используете Kaspersky Security Center как приложение, работающее локально, то это означает, что вы устанавливаете Kaspersky Security Center, включая Сервер администрирования, на локальное устройство и управляете системой безопасности сети с помощью Консоли администрирования на основе консоли управления Microsoft Management Console (MMC) (доступно только для Kaspersky Security Center Windows) или с помощью Kaspersky Security Center Web Console.

Вместо этого вы можете использовать Kaspersky Security Center как облачную службу. В этом случае Kaspersky Security Center устанавливается за вас специалистами "Лаборатории Касперского" в облачном окружении и "Лаборатория Касперского" предоставляет вам доступ к Серверу администрирования в качестве службы. Вы управляете системой безопасности сети с помощью Консоли администрирования на основе облачной службы, которая называется Kaspersky Security Center Cloud Console. Эта консоль имеет интерфейс, аналогичный интерфейсу программы Kaspersky Security Center Web Console.

Интерфейс и документация Kaspersky Security Center Cloud Console доступны на следующих языках:

• английском;
• французском;
• немецком;
• итальянском;
• японском;
• португальском (Бразилия);
• русском;
• упрощенном китайском;
• испанском;
• испанском (Латинская Америка);
• традиционном китайском.

Больше информации о Kaspersky Security Center Cloud Console и функциональности доступно в документации Kaspersky Security Center Cloud Console и в документации Kaspersky Endpoint Security для бизнеса.

[Topic 245007]

Архитектура и основные понятия

В этом разделе описана архитектура программы и развернутые определения основных понятий, относящихся к программе Kaspersky Security Center Linux.

[Topic 4531]

Архитектура программы

Этот раздел содержит описание компонентов Kaspersky Security Center и их взаимодействия.

Архитектура программы Kaspersky Security Center Linux

Программа Kaspersky Security Center Linux включает в себя следующие основные компоненты:

• Kaspersky Security Center Web Console. Представляет собой веб-интерфейс для создания и управления системой защиты сети организации-клиента, находящейся под управлением Kaspersky Security Center.
• Сервер администрирования Kaspersky Security Center (далее также Сервер). Осуществляет функции централизованного хранения информации об установленных в сети организации программах и управления ими.
• Серверы обновлений "Лаборатории Касперского". HTTP-серверы и HTTPS-серверы "Лаборатории Касперского", с которых программы "Лаборатории Касперского" получают обновления баз и модулей программы.
• Серверы KSN. Серверы содержат оперативную базу знаний "Лаборатории Касперского" о репутации файлов, веб-ресурсов и программного обеспечения. Kaspersky Security Network обеспечивает более высокую скорость реакции программ "Лаборатории Касперского" на угрозы, повышает эффективность работы некоторых компонентов защиты, а также снижает вероятность ложных срабатываний.
• Клиентские устройства. Клиентские устройства организации защищены Kaspersky Security Center Linux. На каждом защищаемом устройстве должна быть установлена одна из программ безопасности "Лаборатории Касперского".

[Topic 166137]

Схема развертывания Сервера администрирования Kaspersky Security Center Linux и Kaspersky Security Center Web Console

На следующем рисунке приведена схема развертывания Сервера администрирования Kaspersky Security Center Linux и Kaspersky Security Center Web Console.

Схема развертывания Сервера администрирования Kaspersky Security Center Linux и Kaspersky Security Center Web Console

Развертывание плагинов управления программами "Лаборатории Касперского", установленных на защищаемых устройствах (отдельный плагин для каждой программы), происходит одновременно с развертыванием Сервера Kaspersky Security Center Web Console.

Как администратор, вы имеете доступ к Kaspersky Security Center Web Console через браузер на вашей рабочей станции.

Когда вы выполняете определенные действия в Kaspersky Security Center Web Console, Сервер Kaspersky Security Center Web Console взаимодействует с Сервером администрирования Kaspersky Security Center Linux по OpenAPI. Сервер Kaspersky Security Center Web Console запрашивает необходимые данные у Сервера администрирования Kaspersky Security Center Linux и отображает результаты ваших действий в Kaspersky Security Center Web Console.

[Topic 158830]

Порты, используемые Kaspersky Security Center Linux

В таблицах ниже перечислены порты, которые должны быть открыты на Сервере администрирования и на клиентских устройствах. При необходимости вы можете изменить каждый из этих портов по умолчанию.

Порты, используемые Сервером администрирования Kaspersky Security Center Linux

Если вы установили Сервер администрирования и базу данных на разные устройства, вам нужно сделать доступными необходимые порты на устройстве, где расположена база данных (например, порт 3306 для MariaDB). Подробную информацию см. в документации СУБД.

В таблице ниже указан порт, который должен быть открыт на Сервере Kaspersky Security Center Web Console. Это может быть то же устройство, на котором установлен Сервер администрирования, или другое устройство.

Порт, используемый Сервером Kaspersky Security Center Web Console

В таблице ниже указан порт, который должен быть открыт на управляемых устройствах, на которых установлен Агент администрирования.

Порты, используемые Агентом администрирования

Обратите внимание, что процесс klnagent также может запрашивать свободные порты из динамического диапазона портов операционной системы конечного устройства. Операционная система назначает эти порты процессу klnagent автоматически, поэтому процесс klnagent может использовать некоторые порты, используемые другим программным обеспечением. Если процесс klnagent влияет на работу этого программного обеспечения, измените параметры порта в программном обеспечении или измените динамический диапазон портов по умолчанию в вашей операционной системе, чтобы исключить порт, используемый этим программным обеспечением.

Обратите внимание, что рекомендации по совместимости Kaspersky Security Center Linux со сторонним программным обеспечением носят справочный характер и могут быть неприменимы к новым версиям стороннего программного обеспечения. Описанные рекомендации по настройке портов основаны на опыте Службы технической поддержки и наших лучших практиках.

В таблице ниже указаны порты, которые должны быть открыты на управляемом устройстве с установленным Агентом администрирования, выполняющим роль точки распространения. Перечисленные порты должны быть открыты на устройствах, которые выполняют роль точек распространения, в дополнение к портам, используемым Агентами администрирования (см. таблицу выше).

Порты, используемые Агентом администрирования, который работает в качестве точки распространения

[Topic 199308]

Порты, используемые программой Kaspersky Security Center Web Console

В таблице ниже перечислены порты, которые должны быть открыты на устройстве, на котором установлен Сервер Kaspersky Security Center Web Console (далее также просто Kaspersky Security Center Web Console).

Порты, используемые программой Kaspersky Security Center Web Console

[Topic 3302]

Основные понятия

Этот раздел содержит развернутые определения основных понятий, относящихся к программе Kaspersky Security Center Linux.

[Topic 3303]

Сервер администрирования

Компоненты Kaspersky Security Center позволяют осуществлять удаленное управление программами "Лаборатории Касперского", установленными на клиентских устройствах.

Устройства, на которых установлен компонент Сервер администрирования, называются Серверами администрирования (далее также Серверами). Серверы администрирования должны быть защищены, в том числе физически, от любого типа несанкционированного доступа.

Сервер администрирования устанавливается на устройство в качестве службы со следующим набором атрибутов:

• с именем kladminserver_srv;
• с автоматическим типом запуска при старте операционной системы;
• с учетной записью ksc либо учетной записью пользователя в соответствии с выбором, сделанным при установке Сервера администрирования.

Полный список параметров установки см. в разделе: Установка Kaspersky Security Center Linux.

Сервер администрирования выполняет следующие функции:

• хранение структуры групп администрирования;
• хранение информации о конфигурации клиентских устройств;
• организация хранилищ дистрибутивов программ;
• удаленная установка программ на клиентские устройства и удаление программ;
• обновление баз и модулей программ "Лаборатории Касперского";
• управление политиками и задачами на клиентских устройствах;
• хранение информации о событиях, произошедших на клиентских устройствах;
• формирование отчетов о работе программ "Лаборатории Касперского";
• распространение лицензионных ключей на клиентские устройства, хранение информации о ключах;
• отправка уведомлений о ходе выполнения задач (например, об обнаружении вирусов на клиентском устройстве).

Правило именования Серверов администрирования в интерфейсе программы

В интерфейсе Kaspersky Security Center Web Console Серверы администрирования могут иметь следующие имена:

• Имя устройства Сервера администрирования, например: "имя_устройства" или "Сервер администрирования: имя_устройства".
• IP-адрес устройства Сервера администрирования, например: "IP_адрес" или "Сервер администрирования: IP_адрес".
• Подчиненные Серверы администрирования и виртуальные Серверы администрирования имеют собственные имена, которые вы указываете при подключении виртуального или подчиненного Сервера администрирования к главному Серверу администрирования.
• Если вы используете программу Kaspersky Security Center Web Console, установленную на устройство под управлением Linux, то программа отображает имена Серверов администрирования, которые вы указали как доверенные в файле ответов.

Вы можете подключиться к Серверу администрирования с помощью Kaspersky Security Center Web Console.

[Topic 3304]

Иерархия Серверов администрирования

Серверы администрирования могут образовывать иерархию. Каждый Сервер администрирования может иметь несколько подчиненных Серверов администрирования (далее также подчиненных Серверов) на разных уровнях иерархии. Уровень вложенности подчиненных Серверов не ограничен. При этом в состав групп администрирования главного Сервера будут входить клиентские устройства всех подчиненных Серверов. Таким образом, независимые участки компьютерной сети могут управляться различными Серверами администрирования, которые, в свою очередь, управляются главным Сервером.

Сервер администрирования с операционной системой Linux может работать в иерархии Серверов как в качестве главного Сервера, так и в качестве подчиненного Сервера. Главный Сервер с операционной системой Linux может управлять подчиненными Серверами с операционными системами и Linux и Windows. Главный Сервер с операционной системой Windows может управлять подчиненным Сервером с операционной системой Linux.

Частным случаем подчиненных Серверов администрирования являются виртуальные Серверы администрирования.

Иерархию Серверов администрирования можно использовать для следующих целей:

• Ограничение нагрузки на Сервер администрирования (по сравнению с одним установленным в сети Сервером).
• Сокращение трафика внутри сети и упрощение работы с удаленными офисами. Нет необходимости устанавливать соединение между главным Сервером и всеми устройствами сети, которые могут находиться, например, в других регионах. Достаточно установить на каждом участке сети подчиненный Сервер администрирования, распределить устройства в группах администрирования подчиненных Серверов и обеспечить подчиненным Серверам соединение с главным Сервером по быстрым каналам связи.
• Разделение ответственности между администраторами антивирусной безопасности. При этом сохраняются все возможности централизованного управления и мониторинга состояния антивирусной безопасности сети организации.
• Использование Kaspersky Security Center поставщиками услуг. Поставщику услуг достаточно установить Kaspersky Security Center и Kaspersky Security Center Web Console. Для управления большим числом клиентских устройств различных организаций поставщик услуг может включать в иерархию Серверов администрирования подчиненные Серверы администрирования (включая виртуальные Серверы).

Каждое устройство, включенное в иерархию групп администрирования, может быть подключено только к одному Серверу администрирования. Вам нужно самостоятельно проверять подключение устройств к Серверам администрирования. Для этого можно использовать функцию поиска устройств по сетевым атрибутам в группах администрирования различных Серверов.

[Topic 30636]

Виртуальный Сервер администрирования

Виртуальный Сервер администрирования (далее также виртуальный Сервер) – компонент программы Kaspersky Security Center, предназначенный для управления антивирусной защитой сети организации-клиента.

Виртуальный Сервер администрирования является частным случаем подчиненного Сервера администрирования и, по сравнению с физическим Сервером администрирования, имеет следующие основные ограничения:

• Виртуальный Сервер администрирования может функционировать только в составе главного Сервера администрирования.
• Виртуальный Сервер администрирования при работе использует основную базу данных главного Сервера администрирования. Задачи резервного копирования и восстановления данных, а также задачи проверки и загрузки обновлений, не поддерживаются на виртуальном Сервере администрирования.
• Для виртуального Сервера не поддерживается создание подчиненных Серверов администрирования (в том числе и виртуальных).

Кроме того, виртуальный Сервер администрирования имеет следующие ограничения:

• В окне свойств виртуального Сервера ограничен набор разделов.
• Для удаленной установки программ "Лаборатории Касперского" на клиентские устройства, работающие под управлением виртуального Сервера, необходимо, чтобы на одном из клиентских устройств был установлен Агент администрирования для связи с виртуальным Сервером. При первом подключении к виртуальному Серверу администрирования это устройство автоматически назначается точкой распространения и выполняет роль шлюза соединений клиентских устройств с виртуальным Сервером администрирования.
• Виртуальный Сервер администрирования может опрашивать сеть только через точки распространения.
• Чтобы перезапустить виртуальный Сервер, работоспособность которого была нарушена, Kaspersky Security Center Linux перезапускает главный Сервер администрирования и все виртуальные Серверы.
• Пользователям, которые были созданы на виртуальном Сервере, невозможно назначить роли на Сервере администрирования.

Администратор виртуального Сервера обладает всеми правами в рамках этого виртуального Сервера.

[Topic 74647]

Веб-сервер

Веб-сервер Kaspersky Security Center (далее также Веб-сервер) – это компонент Kaspersky Security Center, который устанавливается в составе Сервера администрирования. Веб-сервер предназначен для передачи по сети автономных инсталляционных пакетов, а также файлов из папки общего доступа.

При создании автономный инсталляционный пакет автоматически публикуется на Веб-сервере. Ссылка для загрузки автономного пакета отображается в списке созданных автономных инсталляционных пакетов. При необходимости вы можете отменить публикацию автономного пакета или повторно опубликовать его на Веб-сервере.

Папка общего доступа используется для размещения информации, доступной всем пользователям, устройства которых находятся под управлением Сервера администрирования. Если у пользователя нет прямого доступа к папке общего доступа, ему можно передать информацию из этой папки с помощью Веб-сервера.

Для передачи пользователям информации из папки общего доступа с помощью Веб-сервера администратору требуется создать в папке общего доступа вложенную папку public и поместить в нее информацию.

Синтаксис ссылки для передачи информации пользователю выглядит следующим образом:

https://<имя Веб-сервера>:<порт HTTPS>/public/<объект>

где

• <имя Веб-сервера> – имя Веб-сервера Kaspersky Security Center.
• <порт HTTPS> – HTTPS-порт Веб-сервера, заданный администратором. HTTPS-порт можно задать в разделе Веб-сервер окна свойств Сервера администрирования. По умолчанию установлен порт 8061.
• <объект> – вложенная папка или файл, доступ к которым требуется открыть для пользователя.

Администратор может передать сформированную ссылку пользователю любым удобным способом, например, по электронной почте.

По полученной ссылке пользователь может загрузить на локальное устройство предназначенную для него информацию.

[Topic 3305]

Агент администрирования

Взаимодействие между Сервером администрирования и устройствами обеспечивается Агентом администрирования – компонентом Kaspersky Security Center Linux. Агент администрирования требуется установить на все устройства, на которых управление работой программ "Лаборатории Касперского" выполняется с помощью Kaspersky Security Center Linux.

Агент администрирования устанавливается на устройстве в качестве службы со следующим набором атрибутов:

• под именем "Агент администрирования Kaspersky Security Center";
• с автоматическим типом запуска при старте операционной системы;
• с помощью учетной записи LocalSystem.

Устройство, на которое установлен Агент администрирования, называется управляемым устройством или устройством. Вы можете установить Агент администрирования следующими способами:

• Инсталляционный пакет в хранилище Сервера администрирования (необходимо, чтобы был установлен Сервер администрирования).
• Инсталляционный пакет находится на веб-серверах "Лаборатории Касперского".

Во время установки Сервера администрирования, серверная версия Агента администрирования устанавливается автоматически совместно с Сервером администрирования. Для управления устройством с Сервером администрирования рекомендуется установить Агент администрирования для Linux на это устройство. В этом случае Агент администрирования для Linux устанавливается и работает независимо от серверной версии Агента администрирования, которая была установлена вместе с Сервером администрирования.

Названия процессов, которые запускает Агент администрирования:

• klnagent64.service (для 64-разрядной операционной системы);
• klnagent.service (для 32-разрядной операционной системы).

Агент администрирования синхронизирует управляемые устройства с Сервером администрирования. Рекомендуется задать период синхронизации (периодический сигнал) равным 15 минут на 10 000 управляемых устройств.

[Topic 46974]

Группы администрирования

Группа администрирования (далее также группа) – это набор клиентских устройств, объединенных по какому-либо признаку с целью управления устройствами группы как единым целым в Kaspersky Security Center Linux.

Для всех управляемых устройств в группе администрирования устанавливаются:

• Единые параметры работы программ – с помощью групповых политик.
• Единый режим работы всех программ – с помощью создания групповых задач с определенным набором параметров. Примеры групповых задач включают создание и установку общего инсталляционного пакета, обновление баз и модулей программы, проверку устройства по требованию и включение постоянной защиты.

Управляемое устройство может входить в состав только одной группы администрирования.

Для Серверов администрирования и групп администрирования можно создавать иерархии с любым уровнем вложенности. На одном уровне иерархии могут располагаться подчиненные и виртуальные Серверы администрирования, группы и управляемые устройства. Можно переводить устройства из одной группы в другую, не перемещая их физически. Например, если сотрудник предприятия перешел с позиции бухгалтера на позицию разработчика, вы можете перевести компьютер этого сотрудника из группы администрирования "Бухгалтеры" в группу администрирования "Разработчики". Таким образом, устройство будут автоматически переданы параметры программ, необходимые для разработчика.

[Topic 162465]

Управляемое устройство

Управляемое устройство – это устройство с операционной системой Linux, Windows или macOS, на котором установлен Агент администрирования. Вы можете управлять такими устройствами с помощью задач и политик для программ, установленных на устройствах. Вы также можете формировать отчеты для управляемых устройств.

Вы можете настроить управляемое устройство, чтобы оно выполняло функции точки распространения и шлюза соединений.

Устройство может находиться под управлением только одного Сервера администрирования. Один Сервер администрирования может обслуживать до 20 000 устройств.

[Topic 165744]

Нераспределенное устройство

Нераспределенное устройство – это устройство в сети, которое не включено ни в одну из групп администрирования. Вы можете выполнять действия с нераспределенными устройствами, например, перемещать их в группы администрирования, устанавливать на них программы.

Когда в сети обнаруживается новое устройство, оно помещается в группу администрирования Нераспределенные устройства. Можно настроить правила автоматического распределения устройств по группам администрирования в момент обнаружения.

[Topic 3307]

Рабочее место администратора

Устройства, на которых установлен Сервер Kaspersky Security Center Web Console, называются рабочими местами администраторов. С этих устройств администраторы могут осуществлять удаленное централизованное управление программами "Лаборатории Касперского", установленными на клиентских устройствах.

Количество рабочих мест администратора не ограничивается. С каждого рабочего места администратора можно управлять группами администрирования сразу нескольких Серверов администрирования в сети. Рабочее место администратора можно подключить к Серверу администрирования (как к физическому, так и к виртуальному) любого уровня иерархии.

Рабочее место администратора можно включить в состав группы администрирования в качестве клиентского устройства.

В пределах групп администрирования любого Сервера одно и то же устройство может быть одновременно и клиентом Сервера администрирования, и Сервером администрирования, и рабочим местом администратора.

[Topic 165761]

Веб-плагин управления

Веб-плагин управления – это специальный компонент, используемый для удаленного управления программами "Лаборатории Касперского" с помощью Kaspersky Security Center Web Console. Веб-плагин управления также называется плагином управления. Плагин управления представляет собой интерфейс между Kaspersky Security Center Web Console и определенной программой "Лаборатории Касперского". С помощью плагина управления можно настраивать задачи и политики для программы.

Вы можете загрузить веб-плагины управления с веб-сайта Службы технической поддержки "Лаборатории Касперского".

Плагин управления предоставляет следующие возможности:

• Интерфейс для создания и изменения задач и параметров программы.
• Интерфейс для создания и изменения политик и профилей политик для удаленной централизованной настройки программ "Лаборатории Касперского" и устройств.
• Передачу событий, сформированных программами.
• Функции Kaspersky Security Center Web Console для отображения оперативных данных и событий программы, а также статистики, полученной от клиентских устройств.

[Topic 3313]

Политики

Политика – это набор параметров программы "Лаборатории Касперского", которые применяются к группе администрирования и ее подгруппе. Вы можете установить несколько программ "Лаборатории Касперского" на устройства группы администрирования. Kaspersky Security Center предоставляет по одной политике для каждой программы "Лаборатории Касперского" в группе администрирования. Политика имеет один из следующих статусов:

Статус политики

Политики действуют по следующим правилам:

• Для одной программы можно настроить несколько политик с различными значениями.
• Для одной программы может быть активна только одна политика.
• Политика может иметь дочерние политики.

Вы можете использовать политики для подготовки к экстренным ситуациям, например, к вирусной атаке. Например, если происходит атака через флеш-накопители USB, можно активировать политику, блокирующую доступ к флеш-накопителям. В этом случае текущая активная политика автоматически становится неактивной.

Чтобы не поддерживать большое число политик, например, когда в разных случаях предполагается изменение только нескольких параметров, вы можете использовать профили политик.

Профиль политики – это именованное подмножество параметров политики, которые заменяют значения параметров политики. Профиль политики влияет на формирование эффективных параметров управляемого устройства. Эффективные параметры – это набор параметров политики, параметров профиля политики и параметров локальной программы, которые в настоящее время применяются к устройству.

Профили политик работают по следующим правилам:

• Профиль политики вступает в силу при возникновении определенного условия активации.
• Профили политики содержат значения параметров, которые отличаются от параметров политики.
• Активация профиля политики изменяет эффективные параметры управляемого устройства.
• В политике может быть не более 100 профилей.

[Topic 165778]

Профили политик

Может возникнуть необходимость создать несколько копий одной политики для разных групп администрирования; может также возникнуть необходимость централизованно изменить параметры этих политик. Эти копии могут различаться одним или двумя параметрами. Например, все бухгалтеры в организации работают под управлением одной и той же политики, но старшим бухгалтерам разрешено использовать флеш-накопители USB, а младшим бухгалтерам не разрешено. В этом случае применение политик к устройствам только через иерархию групп администрирования может оказаться неудобным.

Чтобы избежать создания нескольких копий одной политики, Kaspersky Security Center Linux позволяет создавать профили политик. Профили политики нужны для того, чтобы устройства внутри одной группы администрирования могли иметь разные параметры политики.

Профиль политики представляет собой именованное подмножество параметров политики. Это подмножество параметров распространяется на устройства вместе с политикой и дополняет политику при выполнении определенного условия – условия активации профиля. Профили содержат только те параметры, которые отличаются от "базовой" политики, действующей на управляемом устройстве. При активации профиля изменяются параметры "базовой" политики, которые исходно действовали на устройстве. Эти параметры принимают значения, указанные в профиле.

[Topic 92435]

Задачи

Kaspersky Security Center Linux управляет работой программ безопасности "Лаборатории Касперского", установленных на устройствах, путем создания и запуска задач. С помощью задач выполняются установка, запуск и остановка программ, проверка файлов, обновление баз и модулей программ, другие действия с программами.

Вы можете создать задачу для программы, только если для этой программы установлен плагин управления.

Задачи могут выполняться на Сервере администрирования и на устройствах.

Задачи, которые выполняются на Сервере администрирования:

• автоматическая рассылка отчетов;
• загрузка обновлений в хранилище Сервера администрирования;
• резервное копирование данных Сервера администрирования;
• обслуживание базы данных.

На устройствах выполняются следующие типы задач:

• Локальные задачи – это задачи, которые выполняются на конкретном устройстве.

  Локальные задачи могут быть изменены не только администратором средствами Kaspersky Security Center Web Console, но и пользователем удаленного устройства (например, в интерфейсе программы безопасности). Если локальная задача была изменена одновременно и администратором, и пользователем на управляемом устройстве, то вступят в силу изменения, внесенные администратором, как более приоритетные.

• Групповые задачи – это задачи, которые выполняются на всех устройствах указанной группы.

  Если иное не указано в свойствах задачи, групповая задача также распространяется на подгруппы указанной группы. Групповые задачи также действуют (опционально) и на устройства, подключенные к подчиненным и виртуальным Серверам администрирования, размещенным в этой группе и подгруппах.

• Глобальные задачи – это задачи, которые выполняются на выбранных устройствах, независимо от их вхождения в группы администрирования.

Для каждой программы вы можете создавать любое количество групповых задач, глобальных задач и локальных задач.

Вы можете вносить изменения в параметры задач, наблюдать за выполнением задач, копировать, экспортировать и импортировать, а также удалять задачи.

Запуск задач на устройстве выполняется только в том случае, если запущена программа, для которой созданы эти задачи.

Результаты выполнения задач сохраняются в системном журнале событий и журнале событий Kaspersky Security Center Linux как централизованно на Сервере администрирования, так и локально на каждом устройстве.

Не используйте в параметрах задач конфиденциальные данные. Например, старайтесь не указывать пароль доменного администратора.

[Topic 165863]

Область действия задачи

Область задачи – это подмножество устройств, на которых выполняется задача. Существуют следующие типы областей задачи:

• Область локальной задачи – само устройство.
• Область задачи Сервера администрирования – Сервер администрирования.
• Область групповой задачи – перечень устройств, входящих в группу.

При создании глобальной задачи можно использовать следующие методы определения ее области:

• Вручную указать требуемые устройства.

  В качестве адреса устройства вы можете использовать IP-адрес (или IP-интервал) или DNS-имя.

• Импортировать список устройств из файла формата TXT, содержащего перечень адресов добавляемых устройств (каждый адрес должен располагаться в отдельной строке).

  Если список устройств импортируется из файла или формируется вручную, а устройства идентифицируются по имени, то в список могут быть добавлены только те устройства, информация о которых уже занесена в базу данных Сервера администрирования. Данные должны быть занесены в базу при подключении этих устройств или в результате обнаружения устройств.

• Указать выборку устройств.

  С течением времени область действия задачи изменяется по мере того, как изменяется множество устройств, входящих в выборку. Выборка устройств может быть построена на основе атрибутов устройств, в том числе на основе установленного на устройстве программного обеспечения, а также на основе присвоенных устройству тегов. Выборка устройств является наиболее гибким способом задания области действия задачи.

  Запуск по расписанию задач для выборок устройств всегда осуществляет Сервер администрирования. Такие задачи не запустятся на устройствах, не имеющих связи с Сервером администрирования. Задачи, область действия которых задается другим способом, запускаются непосредственно на устройствах и не зависят от наличия связи устройства с Сервером администрирования.

  Задачи для выборок устройств будут запускаться не по локальному времени устройства, а по локальному времени Сервера администрирования. Задачи, область действия которых задается другим способом, запускаются по локальному времени устройства.

[Topic 3316]

Взаимосвязь политики и локальных параметров приложения

Вы можете при помощи политик устанавливать одинаковые значения параметров работы приложения для всех устройств, входящих в состав группы.

Переопределить значения параметров, заданные политикой, для отдельных устройств в группе можно при помощи локальных параметров приложения. При этом можно установить значения только тех параметров, изменение которых не запрещено политикой (параметр не закрыт замком).

Значение параметра, которое использует приложение на клиентском устройстве, определяется наличием замка () у параметра в политике:

• Если на изменение параметра наложен запрет, на всех клиентских устройствах используется одно и то же заданное политикой значение.
• Если запрет не наложен, то на каждом клиентском устройстве приложение использует локальное значение параметра, а не то, которое указано в политике. При этом значение параметра может изменяться через локальные параметры приложения.

Таким образом, при выполнении задачи на клиентском устройстве приложение использует параметры, заданные двумя разными способами:

• параметрами задачи и локальными параметрами приложения, если в политике не был установлен запрет на изменение параметра;
• политикой группы, если в политике был установлен запрет на изменение параметра.

Локальные параметры приложения изменяются после первого применения политики в соответствии с параметрами политики.

[Topic 98876]

Точка распространения

Точка распространения (ранее называлась "агент обновлений") – это устройство с установленным Агентом администрирования, который используется для распространения обновлений, удаленной установки программ, получения информации об устройствах в сети. Точка распространения может выполнять следующие функции:

• Распространять обновления и инсталляционные пакеты, полученные от Сервера администрирования, на клиентские устройства группы (в том числе и с помощью широковещательной рассылки по протоколу UDP). Обновления могут быть получены как с Сервера администрирования, так и с серверов обновлений "Лаборатории Касперского". В последнем случае для точки распространения должна быть создана задача обновления.

  Точки распространения ускоряют распространение обновлений и позволяют высвободить ресурсы Сервера администрирования.

• Распространять политики и групповые задачи с помощью широковещательной рассылки по протоколу UDP.
• Выполнять роль шлюза соединений с Сервером администрирования для устройств группы администрирования.

  Если нет возможности создать прямое соединение между управляемыми устройствами группы и Сервером администрирования, точку распространения можно назначить шлюзом соединений этой группы с Сервером администрирования. В этом случае управляемые устройства подключаются к шлюзу соединений, который, в свою очередь, подключается к Серверу администрирования.

  Наличие точки распространения, работающей в режиме шлюза соединений не исключает прямого соединения управляемых устройств с Сервером администрирования. Если шлюз соединений недоступен, а прямое соединение с Сервером администрирования технически возможно, управляемые устройства напрямую подключаются к Серверу.

• Опрашивать сеть с целью обнаружения новых устройств и обновления информации об уже известных устройствах. Точка распространения может использовать те же методы обнаружения устройств, что и Сервер администрирования.
• Осуществлять удаленную установку программ "Лаборатории Касперского" и других поставщиков программного обеспечения, в том числе установку на клиентские устройства без Агента администрирования.

  Эта функция позволяет удаленно передавать инсталляционные пакеты Агента администрирования на клиентские устройства, расположенные в сетях, к которым у Сервера администрирования нет прямого доступа.

• Выступать в роли прокси-сервера, участвующего в Kaspersky Security Network (KSN).

  Можно включить прокси-сервер KSN на стороне точки распространения, чтобы устройство исполняло роль прокси-сервера KSN. В этом случае на устройстве запустится служба прокси-сервера KSN.

Передача файлов от Сервера администрирования точке распространения осуществляется по протоколу HTTP или, если настроено использование SSL-соединения, по протоколу HTTPS. Использование протокола HTTP или HTTPS обеспечивает более высокую производительность по сравнению с использованием протокола SOAP за счет сокращения трафика.

Устройства с установленным Агентом администрирования могут быть назначены точками распространения вручную администратором или автоматически Сервером администрирования. Полный список точек распространения для указанных групп администрирования отображается в отчете со списком точек распространения.

Областью действия точки распространения является группа администрирования, для которой она назначена администратором, а также ее подгруппы всех уровней вложенности. Если в иерархии групп администрирования назначено несколько точек распространения, Агент администрирования управляемого устройства подключается к наиболее близкой по иерархии точке распространения.

Если точки распространения назначаются автоматически Сервером администрирования, то Сервер назначает точки распространения по широковещательным доменам, а не по группам администрирования. Это происходит после того, как становятся известны широковещательные домены. Агент администрирования обменивается с другими Агентами администрирования своей подсети сообщениями и отправляет Серверу администрирования информацию о себе и краткую информацию о других Агентах администрирования. На основании этой информации Сервер администрирования может сгруппировать Агенты администрирования по широковещательным доменам. Широковещательные домены становятся известны Серверу администрирования после того, как опрошено более 70% Агентов администрирования в группах администрирования. Сервер администрирования опрашивает широковещательные домены каждые два часа. После того как точки распространения назначены по широковещательным доменам, их невозможно назначить снова по группам администрирования.

Если администратор вручную назначает точки распространения, их можно назначать группам администрирования или сетевым местоположениям.

Агенты администрирования с активным профилем соединения не участвуют в определении широковещательного домена.

Kaspersky Security Center Linux присваивает каждому Агенту администрирования уникальный адрес многоадресной IP-рассылки, который не пересекается с другими адресами. Это позволяет избежать превышения нагрузки на сеть, которое возникло бы из-за пересечения адресов. Адреса многоадресной IP-рассылки, уже присвоенные в прошлых версиях программы, изменены не будут.

Если на одном участке сети или в группе администрирования назначаются две точки распространения или более, одна из них становится активной точкой распространения, остальные назначаются резервными. Активная точка распространения загружает обновления и инсталляционные пакеты непосредственно с Сервера администрирования, резервные точки распространения обращаются за обновлениями только к активной точке распространения. В этом случае файлы загружаются только один раз с Сервера администрирования и далее распределяются между точками распространения. Если активная точка распространения по каким-либо причинам становится недоступной, одна из резервных точек распространения назначается активной. Сервер администрирования назначает точку распространения резервной автоматически.

Статус точки распространения (Активный/Резервный) отображается флажком в отчете утилиты klnagchk.

Для работы точки распространения требуется не менее 4 ГБ свободного места на диске. Если объем свободного места на диске точки распространения меньше 2 ГБ, Kaspersky Security Center Linux создает проблему безопасности с уровнем важности Предупреждение. Проблема безопасности будет опубликована в свойствах устройства в разделе Проблемы безопасности.

При работе задач удаленной установки на устройстве с точкой распространения потребуется дополнительное свободное дисковое пространство. Свободное дисковое пространство должно быть больше размера всех устанавливаемых инсталляционных пакетов.

При работе задачи установки обновлений (патчей) и закрытия уязвимостей на устройстве с точкой распространения потребуется дополнительное свободное дисковое пространство. Свободное дисковое пространство должно быть как минимум в два раза больше размера всех устанавливаемых патчей.

Устройства, выполняющие роль точек распространения, должны быть защищены, в том числе физически, от любого типа несанкционированного доступа.

[Topic 204420]

Шлюз соединения

Шлюз соединения – это Агент администрирования, работающий в особом режиме. Шлюз соединения принимает соединения от других Агентов администрирования и туннелирует их к Серверу администрирования через собственное соединение с Сервером. В отличие от обычного Агента администрирования, шлюз соединения ожидает соединений от Сервера администрирования, а не устанавливает соединения с Сервером администрирования.

Шлюз соединения может принимать соединения от 10 000 устройств.

Существует два варианта использования шлюзов соединения:

• Рекомендуется установить шлюз соединения в демилитаризованной зоне (DMZ). Для других Агентов администрирования, установленных на автономных устройствах, необходимо специально настроить подключение к Серверу администрирования через шлюз соединения.

  Шлюз соединения не изменяет и не обрабатывает данные, передаваемые от Агентов администрирования на Сервер администрирования. Шлюз соединения не записывает эти данные в буфер и, следовательно, не может принимать данные от Агента администрирования и затем передавать их на Сервер администрирования. Если Агент администрирования пытается подключиться к Серверу администрирования через шлюз соединения, но шлюз соединения не может подключиться к Серверу администрирования, Агент администрирования воспринимает это как недоступный Сервер администрирования. Все данные остаются на Агенте администрирования (не на шлюзе соединения).

  Шлюз соединения не может подключиться к Серверу администрирования через другой шлюз соединения. Это означает, что Агент администрирования не может одновременно быть шлюзом соединения и использовать шлюз соединения для подключения к Серверу администрирования.

  Все шлюзы соединения включены в список точек распространения в свойствах Сервера администрирования.

• Вы также можете использовать шлюзы соединения в сети. Например, автоматически назначаемые точки распространения также становятся шлюзами соединений в своей области действия. Однако во внутренней сети шлюзы соединения не дают значительных преимуществ. Они уменьшают количество сетевых подключений, принимаемых Сервером администрирования, но не уменьшают объем входящих данных. Даже без шлюзов соединения все устройства могли подключаться к Серверу администрирования.

[Topic 183039]

Схемы трафика данных и использования портов

В этом разделе приведены схемы трафика данных между компонентами Kaspersky Security Center Linux, управляемыми программами безопасности и внешними серверами для различных конфигураций. Схемы содержат номера портов, которые должны быть доступны на локальных устройствах.

[Topic 183040]

Сервер администрирования и управляемые устройства в локальной сети (LAN)

На рисунке ниже показан трафик данных, если Kaspersky Security Center развернут только в локальной сети (LAN).

Сервер администрирования и управляемые устройства в локальной сети (LAN)

На рисунке показано как разные управляемые устройства подключаются к Серверу администрирования различными способами: напрямую или с помощью точки распространения. Точки распространения уменьшают нагрузку на Сервер администрирования при распространении обновлений и для оптимизации трафика в сети. Однако точки распространения нужны только в том случае, если количество управляемых устройств достаточно велико. Если количество управляемых устройств мало, все управляемые устройства могут получать обновления непосредственно с Сервера администрирования.

Стрелки указывают направление трафика: каждая стрелка проведена от устройства, которое инициирует соединение, к устройству, которое "отвечает" на вызов. Указаны номер порта и название протокола, используемые для передачи данных. Каждая стрелка пронумерована и содержит следующую информацию о соответствующем трафике данных:

1. Сервер администрирования передает данные в базу данных. Если вы установили Сервер администрирования и базу данных на разные устройства, вам нужно сделать доступными необходимые порты на устройстве, где расположена база данных (например, порт 3306 для MySQL Server и MariaDB Server, или порт 5432 для PostgreSQL Server или Postgres Pro Server). Подробную информацию см. в документации СУБД.
2. Запросы на связь с Сервером администрирования передаются на все немобильные управляемые устройства через UDP-порт 15000.

   Агенты администрирования отправляют запросы друг другу в пределах одного широковещательного домена. Затем данные отправляются на Сервер администрирования и используются для определения пределов широковещательного домена и для автоматического назначения точек распространения (если этот параметр включен).

   Если Сервер администрирования не имеет прямого доступа к управляемым устройствам, запросы на связь от Сервера администрирования к этим устройствам напрямую не отправляются.

   2a. Агенты администрирования на немобильных управляемых устройствах обмениваются данными о других Агентах администрирования в том же широковещательном домене (затем данные отправляются на Сервер администрирования).

3. Информация о выключении управляемых устройств передается от Агента администрирования на Сервер администрирования через UDP-порт 13000.
4. Сервер администрирования принимает подключения от Агентов администрирования и от подчиненных Серверов администрирования через TLS-порт 13000.

   Если вы используете Kaspersky Security Center одной из предыдущих версий, то в вашей сети Сервер администрирования может принимать подключение от Агентов администрирования по не TLS-порту 14000. Kaspersky Security Center также поддерживает подключение Агентов администрирования по порту 14000, но рекомендуется использовать TLS-порт 13000.

5. Управляемые устройства (кроме мобильных устройств) запрашивают активацию через TCP-порт 17000. В этом нет необходимости, если устройство имеет собственный доступ в интернет; в этом случае устройство отправляет данные на серверы "Лаборатории Касперского" напрямую через интернет.
6. Сервер Kaspersky Security Center Web Console передает данные на Сервер администрирования, который может быть установлен на том же устройстве или на другом, через TLS-порт 13299.
7. Программы на одном устройстве обмениваются локальным трафиком (либо на Сервере администрирования, либо на управляемом устройстве). Открывать внешние порты не требуется.
8. Данные от Сервера администрирования к серверам "Лаборатории Касперского" (например, данные KSN, информация о лицензиях) и данные от серверов "Лаборатории Касперского" к Серверу администрирования (например, обновления программ и обновления антивирусных баз) передаются по протоколу HTTPS.

   Если вы не хотите иметь доступ в интернет на вашем Сервере администрирования, вам нужно управлять этими данными вручную.

[Topic 183051]

Главный Сервер администрирования в локальной сети (LAN) и два подчиненных Сервера администрирования

На рисунке показана иерархия Серверов администрирования: главный Сервер администрирования расположен внутри локальной сети (LAN). Подчиненный Сервер администрирования находится в демилитаризованной зоне (DMZ); другой подчиненный Сервер администрирования расположен в интернете.

Иерархия Серверов администрирования: главный Сервер администрирования и два подчиненных Сервера администрирования

Стрелки указывают направление трафика: каждая стрелка проведена от устройства, которое инициирует соединение, к устройству, которое "отвечает" на вызов. Указаны номер порта и название протокола, используемые для передачи данных. Каждая стрелка пронумерована и содержит следующую информацию о соответствующем трафике данных:

1. Сервер администрирования передает данные в базу данных. Если вы установили Сервер администрирования и базу данных на разные устройства, вам нужно сделать доступными необходимые порты на устройстве, где расположена база данных (например, порт 3306 для MySQL Server и MariaDB Server, или порт 5432 для PostgreSQL Server или Postgres Pro Server). Подробную информацию см. в документации СУБД.
2. Запросы на связь с Сервером администрирования передаются на все немобильные управляемые устройства через UDP-порт 15000.

   Агенты администрирования отправляют запросы друг другу в пределах одного широковещательного домена. Затем данные отправляются на Сервер администрирования и используются для определения пределов широковещательного домена и для автоматического назначения точек распространения (если этот параметр включен).

   Если Сервер администрирования не имеет прямого доступа к управляемым устройствам, запросы на связь от Сервера администрирования к этим устройствам напрямую не отправляются.

3. Информация о выключении управляемых устройств передается от Агента администрирования на Сервер администрирования через UDP-порт 13000.
4. Сервер администрирования принимает подключения от Агентов администрирования и от подчиненных Серверов администрирования через TLS-порт 13000.

   Если вы используете Kaspersky Security Center одной из предыдущих версий, то в вашей сети Сервер администрирования может принимать подключение от Агентов администрирования по не TLS-порту 14000. Kaspersky Security Center Linux также поддерживает подключение Агентов администрирования по порту 14000, но рекомендуется использовать TLS-порт 13000.

5. Управляемые устройства (кроме мобильных устройств) запрашивают активацию через TCP-порт 17000. В этом нет необходимости, если устройство имеет собственный доступ в интернет; в этом случае устройство отправляет данные на серверы "Лаборатории Касперского" напрямую через интернет.
6. Сервер Kaspersky Security Center Web Console передает данные на Сервер администрирования, который может быть установлен на том же устройстве или на другом, через TLS-порт 13299.

   6a. Данные от браузера, установленного на отдельном устройстве администратора, передаются на Сервер Kaspersky Security Center Web Console через TLS-порт 8080. Сервер Kaspersky Security Center Web Console можно установить на то же устройство, на котором установлен Сервер администрирования, или на другое устройство.

7. Программы на одном устройстве обмениваются локальным трафиком (либо на Сервере администрирования, либо на управляемом устройстве). Открывать внешние порты не требуется.
8. Данные от Сервера администрирования к серверам "Лаборатории Касперского" (например, данные KSN, информация о лицензиях) и данные от серверов "Лаборатории Касперского" к Серверу администрирования (например, обновления программ и обновления антивирусных баз) передаются по протоколу HTTPS.

   Если вы не хотите иметь доступ в интернет на вашем Сервере администрирования, вам нужно управлять этими данными вручную.

[Topic 183056]

Сервер администрирования внутри локальной сети (LAN), управляемые устройства в интернете; использование обратного прокси-сервера

На рисунке ниже показан трафик данных, когда Сервер администрирования находится внутри локальной сети (LAN), а управляемые устройства находятся в интернете. На рисунке ниже используется выбранный вами обратный прокси-сервер. Дополнительную информацию см. в документации к программе.

Сервер администрирования в локальной сети; управляемые устройства подключаются к Серверу администрирования с помощью обратного прокси-сервера

Эта схема развертывания рекомендуется, если вы не хотите, чтобы мобильные устройства подключались напрямую к Серверу администрирования, и не хотите назначать шлюз соединения в демилитаризованной зоне (DMZ).

Стрелки указывают направление трафика: каждая стрелка проведена от устройства, которое инициирует соединение, к устройству, которое "отвечает" на вызов. Указаны номер порта и название протокола, используемые для передачи данных. Каждая стрелка пронумерована и содержит следующую информацию о соответствующем трафике данных:

1. Сервер администрирования передает данные в базу данных. Если вы установили Сервер администрирования и базу данных на разные устройства, вам нужно сделать доступными необходимые порты на устройстве, где расположена база данных (например, порт 3306 для MySQL Server и MariaDB Server, или порт 5432 для PostgreSQL Server или Postgres Pro Server). Подробную информацию см. в документации СУБД.
2. Запросы на связь с Сервером администрирования передаются на все немобильные управляемые устройства через UDP-порт 15000.

   Агенты администрирования отправляют запросы друг другу в пределах одного широковещательного домена. Затем данные отправляются на Сервер администрирования и используются для определения пределов широковещательного домена и для автоматического назначения точек распространения (если этот параметр включен).

   Если Сервер администрирования не имеет прямого доступа к управляемым устройствам, запросы на связь от Сервера администрирования к этим устройствам напрямую не отправляются.

3. Информация о выключении управляемых устройств передается от Агента администрирования на Сервер администрирования через UDP-порт 13000.
4. Сервер администрирования принимает подключения от Агентов администрирования и от подчиненных Серверов администрирования через TLS-порт 13000.

   Если вы используете Kaspersky Security Center одной из предыдущих версий, то в вашей сети Сервер администрирования может принимать подключение от Агентов администрирования по не TLS-порту 14000. Kaspersky Security Center Linux также поддерживает подключение Агентов администрирования по порту 14000, но рекомендуется использовать TLS-порт 13000.

5. Управляемые устройства (кроме мобильных устройств) запрашивают активацию через TCP-порт 17000. В этом нет необходимости, если устройство имеет собственный доступ в интернет; в этом случае устройство отправляет данные на серверы "Лаборатории Касперского" напрямую через интернет.
6. Сервер Kaspersky Security Center Web Console передает данные на Сервер администрирования, который может быть установлен на том же устройстве или на другом, через TLS-порт 13299.

   6a. Данные от браузера, установленного на отдельном устройстве администратора, передаются на Сервер Kaspersky Security Center Web Console через TLS-порт 8080. Сервер Kaspersky Security Center Web Console можно установить на то же устройство, на котором установлен Сервер администрирования, или на другое устройство.

7. Программы на одном устройстве обмениваются локальным трафиком (либо на Сервере администрирования, либо на управляемом устройстве). Открывать внешние порты не требуется.
8. Данные от Сервера администрирования к серверам "Лаборатории Касперского" (например, данные KSN, информация о лицензиях) и данные от серверов "Лаборатории Касперского" к Серверу администрирования (например, обновления программ и обновления антивирусных баз) передаются по протоколу HTTPS.

   Если вы не хотите иметь доступ в интернет на вашем Сервере администрирования, вам нужно управлять этими данными вручную.

9. Запросы на пакеты от управляемых устройств, включая мобильные устройства, передаются на Веб-сервер, который находится на том же устройстве, на котором установлен Сервер администрирования.

[Topic 183058]

Сервер администрирования внутри локальной сети (LAN), управляемые устройства в интернете; использование шлюза соединения

На рисунке ниже показан трафик данных, когда Сервер администрирования находится внутри локальной сети (LAN), а управляемые устройства находятся в интернете. Шлюз соединения используется.

Эта схема развертывания рекомендуется, если вы не хотите, чтобы управляемые устройства подключались непосредственно к Серверу администрирования, и не хотите использовать обратный прокси-сервер или корпоративный сетевой экран.

Управляемые мобильные устройства, подключенные к Серверу администрирования через шлюз соединения

На этом рисунке управляемые устройства подключены к Серверу администрирования через шлюз соединений, который расположен в демилитаризованной зоне (DMZ). Обратный прокси-сервер или корпоративный сетевой экран не используются.

Стрелки указывают направление трафика: каждая стрелка проведена от устройства, которое инициирует соединение, к устройству, которое "отвечает" на вызов. Указаны номер порта и название протокола, используемые для передачи данных. Каждая стрелка пронумерована и содержит следующую информацию о соответствующем трафике данных:

1. Сервер администрирования передает данные в базу данных. Если вы установили Сервер администрирования и базу данных на разные устройства, вам нужно сделать доступными необходимые порты на устройстве, где расположена база данных (например, порт 3306 для MySQL Server и MariaDB Server, или порт 5432 для PostgreSQL Server или Postgres Pro Server). Подробную информацию см. в документации СУБД.
2. Запросы на связь с Сервером администрирования передаются на все немобильные управляемые устройства через UDP-порт 15000.

   Агенты администрирования отправляют запросы друг другу в пределах одного широковещательного домена. Затем данные отправляются на Сервер администрирования и используются для определения пределов широковещательного домена и для автоматического назначения точек распространения (если этот параметр включен).

   Если Сервер администрирования не имеет прямого доступа к управляемым устройствам, запросы на связь от Сервера администрирования к этим устройствам напрямую не отправляются.

3. Информация о выключении управляемых устройств передается от Агента администрирования на Сервер администрирования через UDP-порт 13000.
4. Сервер администрирования принимает подключения от Агентов администрирования и от подчиненных Серверов администрирования через TLS-порт 13000.

   Если вы используете Kaspersky Security Center одной из предыдущих версий, то в вашей сети Сервер администрирования может принимать подключение от Агентов администрирования по не TLS-порту 14000. Kaspersky Security Center Linux также поддерживает подключение Агентов администрирования по порту 14000, однако рекомендуется использовать TLS-порт 13000.

   4a. Шлюз соединений в демилитаризованной зоне также принимает подключение от Сервера администрирования по TLS-порту 13000. Так как шлюз соединения в демилитаризованной зоне не может получить доступ к портам Сервера администрирования, Сервер администрирования создает и поддерживает постоянное сигнальное соединение со шлюзом соединения. Сигнальное соединение не используется для передачи данных; оно используется только для отправки приглашения к сетевому взаимодействию. Когда шлюзу соединения необходимо подключиться к Серверу, он уведомляет Сервер через это сигнальное соединение, а затем Сервер создает необходимое соединение для передачи данных.

   Внешние устройства также подключаются к шлюзу соединения через TLS-порт 13000.

5. Управляемые устройства (кроме мобильных устройств) запрашивают активацию через TCP-порт 17000. В этом нет необходимости, если устройство имеет собственный доступ в интернет; в этом случае устройство отправляет данные на серверы "Лаборатории Касперского" напрямую через интернет.
6. Сервер Kaspersky Security Center Web Console передает данные на Сервер администрирования, который может быть установлен на том же устройстве или на другом, через TLS-порт 13299.

   6a. Данные от браузера, установленного на отдельном устройстве администратора, передаются на Сервер Kaspersky Security Center Web Console через TLS-порт 8080. Сервер Kaspersky Security Center Web Console можно установить на то же устройство, на котором установлен Сервер администрирования, или на другое устройство.

7. Программы на одном устройстве обмениваются локальным трафиком (либо на Сервере администрирования, либо на управляемом устройстве). Открывать внешние порты не требуется.
8. Данные от Сервера администрирования к серверам "Лаборатории Касперского" (например, данные KSN, информация о лицензиях) и данные от серверов "Лаборатории Касперского" к Серверу администрирования (например, обновления программ и обновления антивирусных баз) передаются по протоколу HTTPS.

   Если вы не хотите иметь доступ в интернет на вашем Сервере администрирования, вам нужно управлять этими данными вручную.

9. Запросы на пакеты от управляемых устройств, включая мобильные устройства, передаются на Веб-сервер, который находится на том же устройстве, на котором установлен Сервер администрирования.

[Topic 183041]

Сервер администрирования внутри демилитаризованной зоны (DMZ), управляемые устройства в интернете

На рисунке ниже показан трафик данных, когда Сервер администрирования расположен в демилитаризованной зоне, а управляемые устройства расположены в интернете.

Сервер администрирования в демилитаризованной зоне, управляемые мобильные устройства в интернете

На этом рисунке шлюз соединения не используется: мобильные устройства подключаются к Серверу администрирования напрямую.

Стрелки указывают направление трафика: каждая стрелка проведена от устройства, которое инициирует соединение, к устройству, которое "отвечает" на вызов. Указаны номер порта и название протокола, используемые для передачи данных. Каждая стрелка пронумерована и содержит следующую информацию о соответствующем трафике данных:

1. Сервер администрирования передает данные в базу данных. Если вы установили Сервер администрирования и базу данных на разные устройства, вам нужно сделать доступными необходимые порты на устройстве, где расположена база данных (например, порт 3306 для MySQL Server и MariaDB Server, или порт 5432 для PostgreSQL Server или Postgres Pro Server). Подробную информацию см. в документации СУБД.
2. Запросы на связь с Сервером администрирования передаются на все немобильные управляемые устройства через UDP-порт 15000.

   Агенты администрирования отправляют запросы друг другу в пределах одного широковещательного домена. Затем данные отправляются на Сервер администрирования и используются для определения пределов широковещательного домена и для автоматического назначения точек распространения (если этот параметр включен).

   Если Сервер администрирования не имеет прямого доступа к управляемым устройствам, запросы на связь от Сервера администрирования к этим устройствам напрямую не отправляются.

3. Информация о выключении управляемых устройств передается от Агента администрирования на Сервер администрирования через UDP-порт 13000.
4. Сервер администрирования принимает подключения от Агентов администрирования и от подчиненных Серверов администрирования через TLS-порт 13000.

   Если вы используете Kaspersky Security Center одной из предыдущих версий, то в вашей сети Сервер администрирования может принимать подключение от Агентов администрирования по не TLS-порту 14000. Kaspersky Security Center Linux также поддерживает подключение Агентов администрирования по порту 14000, но рекомендуется использовать TLS-порт 13000.

5. Управляемые устройства (кроме мобильных устройств) запрашивают активацию через TCP-порт 17000. В этом нет необходимости, если устройство имеет собственный доступ в интернет; в этом случае устройство отправляет данные на серверы "Лаборатории Касперского" напрямую через интернет.
6. Сервер Kaspersky Security Center Web Console передает данные на Сервер администрирования, который может быть установлен на том же устройстве или на другом, через TLS-порт 13299.

   6a. Данные от браузера, установленного на отдельном устройстве администратора, передаются на Сервер Kaspersky Security Center Web Console через TLS-порт 8080. Сервер Kaspersky Security Center Web Console можно установить на то же устройство, на котором установлен Сервер администрирования, или на другое устройство.

7. Программы на одном устройстве обмениваются локальным трафиком (либо на Сервере администрирования, либо на управляемом устройстве). Открывать внешние порты не требуется.
8. Данные от Сервера администрирования к серверам "Лаборатории Касперского" (например, данные KSN, информация о лицензиях) и данные от серверов "Лаборатории Касперского" к Серверу администрирования (например, обновления программ и обновления антивирусных баз) передаются по протоколу HTTPS.

   Если вы не хотите иметь доступ в интернет на вашем Сервере администрирования, вам нужно управлять этими данными вручную.

9. Запросы на пакеты от управляемых устройств передаются на Веб-сервер, который находится на том же устройстве, на котором установлен Сервер администрирования.

[Topic 158520]

Взаимодействие компонентов Kaspersky Security Center Linux и программ безопасности: дополнительные сведения

В этом разделе приведены схемы взаимодействия между компонентами в составе Kaspersky Security Center Linux и управляемыми программами безопасности. На схемах приведены номера портов, которые должны быть доступны, и имена процессов, открывающих порты.

[Topic 158522]

Условные обозначения в схемах взаимодействия

В таблице ниже приведены условные обозначения, использованные в схемах.

Условные обозначения

[Topic 158523]

Сервер администрирования и СУБД

Данные от Сервера администрирования попадают в базу данных.

Сервер администрирования и СУБД

Если вы установили Сервер администрирования и базу данных на разные устройства, вам нужно сделать доступными необходимые порты на устройстве, где расположена база данных (например, порт 3306 для MariaDB). Подробную информацию см. в документации СУБД.

[Topic 158525]

Сервер администрирования и клиентское устройство: Управление программой безопасности

Сервер администрирования принимает подключения от Агентов администрирования по TLS-порту 13000 (см. рис. ниже).

Сервер администрирования и клиентское устройство: управление программой безопасности, подключение через порт 13000 (рекомендуется)

Если вы использовали Kaspersky Security Center Linux одной из предыдущих версий, то в вашей сети Сервер администрирования может принимать подключения от Агентов администрирования по незащищенному порту 14000 (см. рис. ниже). Kaspersky Security Center Linux также поддерживает подключение Агентов администрирования по порту 14000, однако рекомендуется использовать защищенный порт 13000.

Сервер администрирования и клиентское устройство: управление программой безопасности, подключение через порт 14000 (низкая защита)

Пояснения к схемам см. в таблице ниже.

Сервер администрирования и клиентское устройство: Управление программой безопасности (трафик)

[Topic 158532]

Обновление программного обеспечения на клиентском устройстве с помощью точки распространения

Клиентское устройство подключается к точке распространения через порт 13000 и, если вы используете точку распространения в качестве push-сервера, также через порт 13295; точка распространения выполняет многоадресную рассылку Агентам администрирования через порт 15000 (см. рисунок ниже). Обновления и инсталляционные пакеты поступают с точки распространения через порт 15001.

Обновление программного обеспечения на клиентском устройстве с помощью точки распространения

Пояснения к схеме см. в таблице ниже.

Обновление программного обеспечения с помощью точки распространения (трафик)

[Topic 158529]

Иерархия Серверов администрирования: главный Сервер администрирования и подчиненный Сервер администрирования

На схеме (см. рис. ниже) показано, как используется порт 13000 для взаимодействия Серверов администрирования, объединенных в иерархию.

В дальнейшем, после объединения Серверов в иерархию, вы сможете администрировать оба Сервера через Kaspersky Security Center Web Console, подключенную к главному Серверу администрирования. Таким образом, необходимо только, чтобы порт 13299 главного Сервера был доступен.

Иерархия Серверов администрирования: главный Сервер администрирования и подчиненный Сервер администрирования

Пояснения к схеме см. в таблице ниже.

Иерархия Серверов администрирования (трафик)

[Topic 158530]

Иерархия Серверов администрирования с подчиненным Сервером в демилитаризованной зоне

Иерархия Серверов администрирования с подчиненным Сервером в демилитаризованной зоне

На схеме показана иерархия Серверов администрирования, в которой подчиненный Сервер, находящийся в демилитаризованной зоне, принимает подключение от главного Сервера (пояснения к схеме см. в таблице ниже). При объединении Серверов в иерархию необходимо, чтобы порт 13299 обоих Серверов был доступен. Программа Kaspersky Security Center Web Console подключается к Серверу администрирования по порту 13299.

В дальнейшем, после объединения Серверов в иерархию, вы сможете администрировать оба Сервера через Kaspersky Security Center Web Console, подключенную к главному Серверу администрирования. Таким образом, необходимо только, чтобы порт 13299 главного Сервера был доступен.

Иерархия Серверов администрирования с подчиненным Сервером в демилитаризованной зоне (трафик)

[Topic 158533]

Сервер администрирования, шлюз соединений в сегменте сети и клиентское устройство

Сервер администрирования, шлюз соединений в сегменте сети и клиентское устройство

Пояснения к схеме см. в таблице ниже.

Сервер администрирования, шлюз соединений в сегменте сети и клиентское устройство (трафик)

[Topic 158534]

Сервер администрирования и два устройства в демилитаризованной зоне: шлюз соединений и клиентское устройство

Сервер администрирования, шлюз соединений и клиентское устройство в демилитаризованной зоне

Пояснения к схеме см. в таблице ниже.

Сервер администрирования, шлюз соединений в сегменте сети и клиентское устройство (трафик)

[Topic 178949]

Сервер администрирования и Kaspersky Security Center Web Console

Сервер администрирования и Kaspersky Security Center Web Console

Пояснения к схеме см. в таблице ниже.

Сервер администрирования и Kaspersky Security Center Web Console (трафик)

Kaspersky Security Center Web Console можно установить на то же устройство, на котором установлен Сервер администрирования, или на другое устройство.

[Topic 153504]

Начало работы

Следуя этому сценарию, вы установите Сервер администрирования Kaspersky Security Center Linux и Kaspersky Security Center Web Console, выполните первоначальную настройку Сервера администрирования с помощью мастера первоначальной настройки, а также установите программы "Лаборатории Касперского" на управляемые устройства с помощью мастера развертывания защиты.

Предварительные требования

У вас должен быть лицензионный ключ (код активации) для Kaspersky Endpoint Security для бизнеса или лицензионные ключи (коды активации) для программ безопасности "Лаборатории Касперского".

Если вы хотите попробовать Kaspersky Security Center Linux, вы можете получить пробную тридцатидневную версию на веб-сайте "Лаборатории Касперского".

Этапы

Основной сценарий установки состоит из следующих этапов:

1. Выбор структуры защиты организации

   Ознакомьтесь с компонентами Kaspersky Security Center Linux. Исходя из конфигурации сети и пропускной способности каналов связи определите, какое количество Серверов администрирования необходимо использовать и как их разместить по офисам, если вы работаете с распределенной сетью.

   Определите, будет ли в вашей организации использоваться иерархия Серверов администрирования. Для этого нужно понять, возможно и целесообразно ли обслуживание всех клиентских устройств одним Сервером администрирования или требуется выстроить иерархию Серверов администрирования. Вам также может потребоваться выстроить иерархию Серверов администрирования, совпадающую с организационной структурой предприятия, сеть которого вы хотите защитить.

2. Подготовка к использованию пользовательских сертификатов

   Если инфраструктура открытых ключей (PKI) вашей организации требует, чтобы вы использовали пользовательские сертификаты, выпущенные определенным доверенным центром сертификации (CA), подготовьте эти сертификаты и убедитесь, что они соответствуют всем требованиям.

3. Установка системы управления базами данных (СУБД)

   Установите СУБД, используемую Kaspersky Security Center Linux, или используйте существующую СУБД.

   Вы можете выбрать одну из поддерживаемых СУБД. Сведения о том, как установить выбранную СУБД, см. в документации к ней.

   Если дистрибутив вашей операционной системы на базе Linux не содержит поддерживаемую СУБД, вы можете установить СУБД из стороннего хранилища пакетов. Если установка дистрибутивов из сторонних хранилищ запрещена, вы можете установить СУБД на отдельном устройстве.

   Если вы решили установить СУБД PostgreSQL или Postgres Pro, убедитесь, что вы указали пароль для суперпользователя. Если пароль не указан, Сервер администрирования может не подключиться к базе данных.

   Если вы установите MariaDB, PostgreSQL или Postgres Pro используйте рекомендуемые параметры, чтобы обеспечить правильную работу СУБД.

   Если вы хотите изменить тип СУБД после установки, вам необходимо переустановить Kaspersky Security Center Linux. Данные могут быть частично и вручную перенесены в другую базу данных.

4. Настройка портов

   Убедитесь, что для взаимодействия компонентов согласно выбранной вами структуре защиты открыты необходимые порты.

   Если требуется предоставить доступ к Серверу администрирования из интернета, настройте порты и параметры подключения в зависимости от конфигурации сети.

5. Установка Kaspersky Security Center Linux

   Выберите устройство c операционной системой Linux, которое вы собираетесь использовать в качестве Сервера администрирования; убедитесь, что аппаратное и программное обеспечение устройства соответствует требованиям, и установите на устройство Kaspersky Security Center Linux. Вместе с компонентом Сервер администрирования автоматически будет установлена серверная версия Агента администрирования.

6. Установка Kaspersky Security Center Web Console и веб-плагинов управления

   Выберите устройство с операционной системой Linux, которое вы собираетесь использовать в качестве рабочей станции администратора; убедитесь, что аппаратное и программное обеспечение устройства соответствует требованиям, и установите на это устройство Kaspersky Security Center Web Console. Вы можете установить Kaspersky Security Center Web Console на том же устройстве, что и Сервер администрирования.

   Загрузите веб-плагин управления Kaspersky Endpoint Security для Linux и установите его на то же устройство, на котором установлена программа Kaspersky Security Center Web Console.

7. Установка Kaspersky Endpoint Security для Linux и Агента администрирования на устройство с Сервером администрирования

   По умолчанию программа не использует устройство с Сервером администрирования как управляемое устройство. Для защиты Сервера администрирования от вирусов и других угроз, а также для управления этим устройством рекомендуется установить Kaspersky Endpoint Security для Linux и Агент администрирования для Linux на устройство с Сервером администрирования. В этом случае Агент администрирования для Linux устанавливается и работает независимо от серверной версии Агента администрирования, которая была установлена вместе с Сервером администрирования.

8. Выполнение первоначальной настройки

   После завершения установки Сервера администрирования при первом подключении к Серверу администрирования автоматически запускается Мастер первоначальной настройки. Выполните первоначальную настройку Сервера администрирования в соответствии с вашими требованиями. На этапе первоначальной настройки мастер создает необходимые для развертывания защиты политики и задачи с параметрами по умолчанию. Эти параметры могут оказаться неоптимальными для нужд вашей организации. При необходимости вы можете изменить параметры политик и задач.

9. Обнаружение сетевых устройств

   Опросите сеть для обнаружения устройств вручную. В результате Сервер администрирования Kaspersky Security Center Linux получает адреса и имена всех устройств, зарегистрированных в сети. В дальнейшем вы можете с помощью Kaspersky Security Center Linux устанавливать программы "Лаборатории Касперского" и других производителей на обнаруженные устройства. Kaspersky Security Center Linux запускает обнаружение устройств регулярно, поэтому, если в сети появятся новые устройства, они будут обнаружены автоматически.

10. Объединение устройств в группы администрирования

    В некоторых случаях для развертывания защиты на устройствах сети оптимальным образом может потребоваться разделить устройства на группы администрирования с учетом организационной структуры организации. Вы можете создать правила перемещения для распределения устройств по группам или распределить устройства вручную. Для групп администрирования можно назначать групповые задачи, определять область действия политик и назначать точки распространения.

    Убедитесь, что все управляемые устройства правильно распределены по соответствующим группам администрирования и что у вас в сети не осталось нераспределенных устройств.

11. Назначение точек распространения

    Точки распространения для групп администрирования назначаются автоматически, но при необходимости вы можете назначить их вручную. Точки распространения рекомендуется использовать в больших сетях для снижения нагрузки на Сервер администрирования, а также в сетях с распределенной структурой для предоставления Серверу администрирования доступа к устройствам или группам устройств, соединенным каналами с низкой пропускной способностью.

12. Установка Агента администрирования и программ безопасности на устройства в сети

    Развертывание защиты в сети организации подразумевает установку Агента администрирования и программ безопасности на устройства, найденные Сервером администрирования в процессе обнаружения устройств.

    Чтобы выполнить удаленную установку программы, запустите мастер развертывания защиты.

    Программы безопасности защищают устройства от вирусов и других программ, представляющих угрозу. Агент администрирования обеспечивает связь устройства с Сервером администрирования. Параметры Агента администрирования автоматически настраиваются по умолчанию.

    Перед тем как установить Агент администрирования и программы безопасности на устройства в сети, убедитесь, что эти устройства доступны (включены).

13. Распространение лицензионных ключей на клиентские устройства

    Распространите лицензионные ключи на клиентские устройства, чтобы активировать управляемые программы безопасности на этих устройствах.

14. Настройка политик программ "Лаборатории Касперского"

    Чтобы на различных устройствах были применены разные параметры программ, можно использовать управление безопасностью устройств или управление безопасностью, ориентированное на пользователей. Управление безопасностью устройств реализуется с помощью политик и задач. Задачи могут выполняться только на устройствах, которые соответствуют определенным условиям. Для создания условий отбора устройств используются выборки устройств и теги.

15. Мониторинг состояния защиты сети

    Вы можете организовывать мониторинг сети с помощью веб-виджетов на информационной панели, формировать отчеты о программах "Лаборатории Касперского", настраивать и просматривать выборки событий, полученные от программ на управляемых устройствах, и просматривать список уведомлений.

[Topic 176383]

Установка

В этом разделе описана установка Kaspersky Security Center Linux и Kaspersky Security Center Web Console.

[Topic 210277]

Настройка сервера MariaDB x64 для работы с Kaspersky Security Center Linux

Рекомендуемые параметры для файла my.cnf

Подробнее о настройке СУБД см. также в процедуре настройки учетной записи. Для получения информации об установке СУБД обратитесь к процедуре установки СУБД.

Чтобы настроить файл my.cnf:

1. Откройте файл my.cnf с помощью текстового редактора.
2. Введите следующие строки в раздел [mysqld] файла my.cnf:

   sort_buffer_size=10M

   join_buffer_size=100M

   join_buffer_space_limit=300M

   join_cache_level=8

   tmp_table_size=512M

   max_heap_table_size=512M

   key_buffer_size=200M

   innodb_buffer_pool_size=<value>

   innodb_thread_concurrency=20

   innodb_flush_log_at_trx_commit=0

   innodb_lock_wait_timeout=300

   max_allowed_packet=32M

   max_connections=151

   max_prepared_stmt_count=12800

   table_open_cache=60000

   table_open_cache_instances=4

   table_definition_cache=60000

   Значение innodb_buffer_pool_size должно быть не менее 80 процентов от ожидаемого размера базы данных KAV. Обратите внимание, что указанная память выделяется при запуске сервера. Если размер базы данных меньше указанного размера буфера, выделяется только необходимая память. Если вы используете MariaDB 10.4.3 или более раннюю версию, фактический размер выделенной памяти примерно на 10 процентов превышает указанный размер буфера.

   Рекомендуется использовать значение параметра innodb_flush_log_at_trx_commit=0, поскольку значения "1" или "2" отрицательно влияют на скорость работы MariaDB. Убедитесь, что для параметра innodb_file_per_table установлено значение 1.

   Для MariaDB 10.6 дополнительно введите в раздел [mysqld] следующие строки:

   optimizer_prune_level=0

   optimizer_search_depth=8

По умолчанию надстройки оптимизатора join_cache_incremental, join_cache_hashed, join_cache_bka включены. Если эти надстройки не включены, их необходимо включить.

Чтобы проверить, включены ли надстройки оптимизатора:

1. В клиентской консоли MariaDB выполните команду:

   SELECT @@optimizer_switch;

2. Убедитесь, что вывод содержит следующие строки:

   join_cache_incremental=on

   join_cache_hashed=on

   join_cache_bka=on

   Если эти строки присутствуют и содержат значения on, то надстройки оптимизатора включены.

   Если эти строки отсутствуют или имеют значения off, вам необходимо выполнить следующее:

   1. Откройте файл my.cnf с помощью текстового редактора.
   2. Добавьте в файл my.cnf следующие строки:

      optimizer_switch='join_cache_incremental=on'

      optimizer_switch='join_cache_hashed=on'

      optimizer_switch='join_cache_bka=on'

Надстройки join_cache_incremental, join_cache_hash и join_cache_bka включены.

[Topic 241223]

Настройка сервера PostgreSQL или Postgres Pro для работы с Kaspersky Security Center Linux

Kaspersky Security Center Linux поддерживает СУБД PostgreSQL и Postgres Pro. Если вы используете одну из этих СУБД, рассмотрите возможность настройки параметров сервера СУБД для оптимизации работы СУБД с Kaspersky Security Center Linux.

Путь по умолчанию к конфигурационному файлу: /etc/postgresql/<ВЕРСИЯ>/main/postgresql.conf

Рекомендуемые параметры для PostgreSQL и Postgres Pro:

• shared_buffers = 25% от объема оперативной памяти устройства, на котором установлена СУБД

  Если оперативной памяти меньше 1 ГБ, то оставьте значение по умолчанию.

• max_stack_depth = максимальный размер стека (выполните команду 'ulimit -s', чтобы получить это значение в КБ) минус 1 МБ
• temp_buffers = 24MB
• work_mem = 16MB
• max_connections = 151
• max_parallel_workers_per_gather = 0
• maintenance_work_mem = 128MB

Убедитесь, что для параметра standard_conforming_strings значение по умолчанию установлено on. Примените конфигурацию или перезапустите службу после обновления файла postgresql.conf. Дополнительную информацию см. в документации PostgreSQL.

Если вы используете Postgres Pro 15.7 или Postgres Pro 15.7.1, выключите параметр enable_compound_index_stats:

enable_compound_index_stats = off

Подробную информацию о параметрах сервера PostgreSQL и Postgres Pro, а также о том, как указать эти параметры, см. в соответствующей документации по СУБД.

Подробнее о том, как создавать и настраивать учетные записи для PostgreSQL и Postgres Pro, см. в следующем разделе: Настройка учетных записей для работы с PostgreSQL и Postgres Pro.

[Topic 166764]

Установка Kaspersky Security Center Linux

В этом разделе описана установка Kaspersky Security Center Linux.

Перед установкой:

• Установите СУБД.
• Убедитесь, что на устройстве, на которое вы хотите установить Kaspersky Security Center Linux, работает один из поддерживаемых дистрибутивов Linux.

Используйте установочный файл ksc64_[номер_версии]_amd64.deb или ksc64-[номер_версии].x86_64.rpm, который соответствует дистрибутиву Linux, установленному на вашем устройстве. Вы получите установочный файл, загрузив его с сайта "Лаборатории Касперского".

Чтобы установить Kaspersky Security Center Linux, выполните команды, указанные в инструкции ниже, под учетной записью с привилегиями root.

Чтобы установить Kaspersky Security Center Linux:

1. Если ваше устройство работает под управлением Astra Linux 1.8 или выше, выполните действия, описанные в этом шаге. Если ваше устройство работает под управлением другой операционной системы, переходите к следующему шагу.
   1. Создайте директорию /etc/systemd/system/kladminserver_srv.service.d и файл с именем override.conf со следующим содержимым:

      [Service]

      User=

      User=ksc

      CapabilitiesParsec=PARSEC_CAP_PRIV_SOCK

      ExecStart=

      ExecStart=/opt/kaspersky/ksc64/sbin/klserver -d from_wd

   2. Создайте директорию /etc/systemd/system/klwebsrv_srv.service.d и файл с именем override.conf со следующим содержимым:

      [Service]

      User=

      User=ksc

      CapabilitiesParsec=PARSEC_CAP_PRIV_SOCK

      ExecStart=

      ExecStart=/opt/kaspersky/ksc64/sbin/klcsweb -d from_wd

2. Создайте группу kladmins и непривилегированную учетную запись ksc. Учетная запись должна быть членом группы kladmins. Для этого последовательно выполните следующие команды:

   # adduser ksc

   # groupadd kladmins

   # gpasswd -a ksc kladmins

   # usermod -g kladmins ksc

3. Увеличьте установленное по умолчанию максимальное количество файлов, которые можно открывать (файловые дескрипторы) для учетных записей, используемых для работы служб Сервера администрирования. Для этого откройте файл /etc/security/limits.conf и укажите мягкие и жесткие ограничения файловых дескрипторов следующим образом:

   ksc soft nofile 32768

   ksc hard nofile 131072

4. Запустите установку Kaspersky Security Center Linux. В зависимости от вашего дистрибутива Linux выполните одну из следующих команд:
   • # apt install /<path>/ksc64_[номер_версии]_amd64.deb
   • # yum install /<path>/ksc64-[номер_версии].x86_64.rpm -y
5. Запустите настройку Kaspersky Security Center Linux:

   # /opt/kaspersky/ksc64/lib/bin/setup/postinstall.pl

6. Прочтите Лицензионное соглашение и Политику конфиденциальности. Текст отображается в окне командной строки. Нажмите пробел, чтобы просмотреть следующий фрагмент текста. При отображении запроса введите следующие значения:
   1. Введите y, если вы понимаете и принимаете условия Лицензионного соглашения. Введите n, если вы не принимаете условия Лицензионного соглашения. Чтобы использовать Kaspersky Security Center Linux, вам нужно принять условия Лицензионного соглашения.
   2. Введите y, если вы понимаете и принимаете условия Политики конфиденциальности и соглашаетесь, что ваши данные будут обрабатываться и пересылаться (в том числе в третьи страны), согласно Политике конфиденциальности. Введите n, если вы не принимаете условия Политики конфиденциальности. Чтобы использовать Kaspersky Security Center Linux, вам нужно принять условия Политики конфиденциальности.
7. При отображении запроса введите следующие параметры:
   1. Введите DNS-имя Сервера администрирования или статический IP-адрес. Этот адрес будет использоваться другими устройствами для подключения к Серверу администрирования.
   2. Введите номер SSL-порта Сервера администрирования. По умолчанию номер порта – 13000.
   3. Оцените примерное количество устройств, которыми вы планируете управлять:
      • Если у вас от 1 до 100 сетевых устройств, введите 1.
      • Если у вас от 101 до 1000 сетевых устройств, введите 2.
      • Если у вас более 1000 сетевых устройств, введите 3.
   4. Введите имя группы безопасности для служб. По умолчанию используется группа kladmins.
   5. Введите имя учетной записи для запуска службы Сервера администрирования. Учетная запись должна быть членом указанной группы безопасности. По умолчанию используется учетная запись ksc.
   6. Введите имя учетной записи, чтобы запустить другие службы. Учетная запись должна быть членом указанной группы безопасности. По умолчанию используется учетная запись ksc.
   7. Выберите СУБД, которую вы установили для работы с Kaspersky Security Center Linux:
      • Если вы установили MySQL или MariaDB, введите 1.
      • Если вы установили PostgreSQL или Postgres Pro SQL, введите 2.
   8. Введите DNS-имя или IP-адрес устройства, на котором установлена база данных. Для локальной установки СУБД адрес по умолчанию – 127.0.0.1.
   9. Введите номер порта базы данных. Этот порт используется для связи с Сервером администрирования. По умолчанию используются следующие порты:
      • порт 3306 для MySQL или MariaDB;
      • порт 5432 для PostgreSQL или Postgres Pro.
   10. Введите имя базы данных.
   11. Введите имя учетной записи root базы данных, которая используется для доступа к базе данных.
   12. Введите пароль учетной записи root базы данных, которая используется для доступа к базе данных.

       Подождите, пока службы добавятся и запустятся автоматически:

       • klnagent_srv
       • kladminserver_srv
       • klactprx_srv
       • klwebsrv_srv
   13. Создайте учетную запись, которая будет выполнять роль администратора Сервера администрирования. Введите имя пользователя и пароль. Вы можете использовать следующую команду для создания пользователя: /opt/kaspersky/ksc64/sbin/kladduser -n ksc -p <пароль>

       Пароль должен соответствовать следующим правилам:

       • Пароль пользователя не может содержать менее 8 или более 256 символов.
       • Пароль должен содержать символы как минимум трех групп списка ниже:
         • верхний регистр (A-Z);
         • нижний регистр (a-z);
         • числа (0-9);
         • специальные символы (@ # $ % ^ & * - _ ! + = [ ] { } | : ' , . ? / \ ` ~ " ( ) ;)

Пользователь добавлен, и Kaspersky Security Center Linux установлен.

Проверка служб

Используйте следующие команды, чтобы проверить, запущена ли служба:

• # systemctl status klnagent_srv.service
• # systemctl status kladminserver_srv.service
• # systemctl status klactprx_srv.service
• # systemctl status klwebsrv_srv.service

[Topic 246025]

Установка Kaspersky Security Center Linux в тихом режиме

Вы можете установить Kaspersky Security Center Linux на Linux-устройства, используя файл ответов для запуска установки в тихом режиме, то есть без участия пользователя. Файл ответов содержит настраиваемый набор параметров установки: переменные и соответствующие им значения.

Перед установкой:

• Установите систему управления базами данных (СУБД).
• Убедитесь, что на устройстве, на которое вы хотите установить Kaspersky Security Center Linux, работает один из поддерживаемых дистрибутивов Linux.

Чтобы установить Kaspersky Security Center Linux в тихом режиме:

1. Прочитайте Лицензионное соглашение. Следуйте шагам ниже, только если вы понимаете и принимаете условия Лицензионного соглашения.
2. Если ваше устройство работает под управлением Astra Linux 1.8 или выше, выполните действия, описанные в этом шаге. Если ваше устройство работает под управлением другой операционной системы, переходите к следующему шагу.
   1. Создайте директорию /etc/systemd/system/kladminserver_srv.service.d и файл с именем override.conf со следующим содержимым:

      [Service]

      User=

      User=ksc

      CapabilitiesParsec=PARSEC_CAP_PRIV_SOCK

      ExecStart=

      ExecStart=/opt/kaspersky/ksc64/sbin/klserver -d from_wd

   2. Создайте директорию /etc/systemd/system/klwebsrv_srv.service.d и файл с именем override.conf со следующим содержимым:

      [Service]

      User=

      User=ksc

      CapabilitiesParsec=PARSEC_CAP_PRIV_SOCK

      ExecStart=

      ExecStart=/opt/kaspersky/ksc64/sbin/klcsweb -d from_wd

3. Создайте группу "kladmins" и непривилегированную учетную запись "ksc", которая должна быть членом группы "kladmins". Для этого последовательно выполните следующие команды под учетной записью с root-правами:

   # adduser ksc

   # groupadd kladmins

   # gpasswd -a ksc kladmins

   # usermod -g kladmins ksc

4. Создайте файл ответов (в формате TXT) и добавьте список переменных в формате VARIABLE_NAME=variable_value в файл ответов. Каждая переменная добавляется на отдельную строку. Файл ответов должен включать переменные, перечисленные в таблице ниже.
5. Задайте значение переменной среды KLAUTOANSWERS в корневой среде, содержащей полное имя файла ответов, включая путь, например, с помощью следующей команды:

   export KLAUTOANSWERS=/tmp/ksc_install/answers.txt

6. Запустите установку Kaspersky Security Center Linux в тихом режиме и в зависимости от вашего дистрибутива Linux выполните одну из следующих команд:
   • # apt install /<path>/ksc64_[номер_версии]_amd64.deb
   • # yum install /<path>/ksc64-[номер_версии].x86_64.rpm -y
7. Создайте учетную запись для работы с Kaspersky Security Center Web Console. Для этого выполните следующую команду под учетной записью с правами root:

   /opt/kaspersky/ksc64/sbin/kladduser -n ksc -p <пароль>, где пароль должен содержать хотя бы 8 символов.

   Переменные файла ответов, используемые в качестве параметров установки Kaspersky Security Center Linux в тихом режиме

   Имя переменной	Обязательная	Описание	Возможные значения
   EULA_ACCEPTED	Да	Подтверждает, что вы понимаете и принимаете условия Лицензионного соглашения.	1
   PP_ACCEPTED	Да	Подтверждает, что вы понимаете и принимаете условия Политики конфиденциальности.	1
   KLSRV_UNATT_SERVERADDRESS	Да	DNS-имя Сервера администрирования или статический IP-адрес.	DNS-имя устройства или IP-адрес.
   KLSRV_UNATT_PORT_SRV	Нет	Номер порта Сервера администрирования. Необязательный параметр. По умолчанию указано значение 14000.	Номер порта
   KLSRV_UNATT_PORT_SRV_SSL	Нет	Номер SSL-порта Сервера администрирования. Необязательный параметр. По умолчанию указано значение 13000.	Номер порта
   KLSRV_UNATT_PORT_KLOAPI	Нет	Номер KLOAPI-порта Сервера администрирования. Необязательный параметр. По умолчанию указано значение 13299.	Номер порта
   KLSRV_UNATT_PORT_GUI	Нет	Номер GUI-порта Сервера администрирования. Необязательный параметр. По умолчанию указано значение 13291.	Номер порта
   KLSRV_UNATT_NETRANGETYPE	Нет	Примерное количество устройств, которыми вы планируете управлять. Необязательный параметр. По умолчанию указано значение 1.	1 от 1 до 100 сетевых устройств. 2 от 101 до 1000 сетевых устройств. 3 более 1000 сетевых устройств.
   KLSRV_UNATT_DBMS_INSTANCE	Да	IP-адрес сервера базы данных.	IP-адрес;
   KLSRV_UNATT_DBMS_PORT	Да	Порт сервера базы данных.	3306
   KLSRV_UNATT_DB_NAME	Да	Имя базы данных.	kav
   KLSRV_UNATT_DBMS_LOGIN	Да	Имя пользователя, имеющего доступ к базе данных.
   KLSRV_UNATT_DBMS_PASSWORD	Да	Пароль пользователя, который имеет доступ к базе данных.
   KLSRV_UNATT_KLADMINSGROUP	Да	Имя группы безопасности для служб.	kladmins
   KLSRV_UNATT_KLSRVUSER	Да	Имя учетной записи для запуска службы Сервера администрирования. Учетная запись должна быть членом группы безопасности, указанной в переменной KLSRV_UNATT_KLADMINSGROUP.	ksc
   KLSRV_UNATT_KLSVCUSER	Да	Имя учетной записи для запуска других служб. Учетная запись должна быть членом группы безопасности, указанной в переменной KLSRV_UNATT_KLADMINSGROUP.	ksc
   Если Сервер администрирования будет развернут как отказоустойчивый кластер Kaspersky Security Center Linux, файл ответов должен включать следующие дополнительные переменные:
   KLFOC_UNATT_NODE	Да	Номер узла (1 или 2).	1 или 2
   KLFOC_UNATT_STATE_SHARE_MOUNT_PATH	Да	Точка подключения общей папки состояния.
   KLFOC_UNATT_DATA_SHARE_MOUNT_PATH	Да	Точка подключения общей папки данных.
   KLFOC_UNATT_CONN_MODE	Да	Режим подключения отказоустойчивого кластера.	VirtualAdapter Или ExternalLoadBalancer
   Если переменная KLFOC_UNATT_CONN_MODE имеет значение VirtualAdapter, файл ответов должен включать следующие дополнительные переменные:
   KLFOC_UNATT_CONN_MODE_VA_NAME	Да	Имя виртуального сетевого адаптера.
   KLFOC_UNATT_CONN_MODE_VA_IPV4	Требуется одна из этих переменных	IP-адрес виртуального сетевого адаптера.	IP-адрес;
   KLFOC_UNATT_CONN_MODE_VA_IPV6		IPv6-адрес виртуального сетевого адаптера.	IPv6-адрес.

[Topic 250717]

Установка Kaspersky Security Center Linux на Astra Linux в режиме замкнутой программной среды

В этом разделе описывается, как установить Kaspersky Security Center Linux на устройство с операционной системой Astra Linux Special Edition.

Перед установкой:

• Установите СУБД.

• Загрузите ключ программы kaspersky_astra_pub_key.gpg.

Используйте установочный файл ksc64_[номер_версии]_amd64.deb. Вы получите установочный файл, загрузив его с сайта "Лаборатории Касперского".

Под учетной записью с привилегиями root выполняйте команды, представленные в этой инструкции, с высокой степенью целостности и нулевой конфиденциальности.

Чтобы установить Kaspersky Security Center Linux на устройство с операционной системой Astra Linux Special Edition (очередное обновление 1.7.2) и Astra Linux Special Edition (очередное обновление 1.6):

1. Откройте файл /etc/digsig/digsig_initramfs.conf и укажите следующие параметры:

   DIGSIG_ELF_MODE=1

2. В командной строке введите следующую команду, чтобы установить пакет совместимости:

   apt install astra-digsig-oldkeys

3. Создайте директорию для ключа приложения:

   mkdir -p /etc/digsig/keys/legacy/kaspersky/

4. Поместите ключ программы в директорию, созданную на предыдущем шаге:

   cp kaspersky_astra_pub_key.gpg /etc/digsig/keys/legacy/kaspersky/

5. Обновите исходный образ файловой системы RAM для всех ядер системы:

   update-initramfs -u -k all

   Перезагрузите систему.

6. Если ваше устройство работает под управлением Astra Linux 1.8 или выше, выполните действия, описанные в этом шаге. Если ваше устройство работает под управлением другой операционной системы, переходите к следующему шагу.
   1. Создайте директорию /etc/systemd/system/kladminserver_srv.service.d и файл с именем override.conf со следующим содержимым:

      [Service]

      User=

      User=ksc

      CapabilitiesParsec=PARSEC_CAP_PRIV_SOCK

      ExecStart=

      ExecStart=/opt/kaspersky/ksc64/sbin/klserver -d from_wd

   2. Создайте директорию /etc/systemd/system/klwebsrv_srv.service.d и файл с именем override.conf со следующим содержимым:

      [Service]

      User=

      User=ksc

      CapabilitiesParsec=PARSEC_CAP_PRIV_SOCK

      ExecStart=

      ExecStart=/opt/kaspersky/ksc64/sbin/klcsweb -d from_wd

7. Создайте группу kladmins и непривилегированную учетную запись ksc. Учетная запись должна быть членом группы kladmins. Для этого последовательно выполните следующие команды:

   # adduser ksc

   # groupadd kladmins

   # gpasswd -a ksc kladmins

   # usermod -g kladmins ksc

8. Запустите установку Kaspersky Security Center Linux:

   # apt install /<path>/ksc64_[номер_версии]_amd64.deb

9. Запустите настройку Kaspersky Security Center Linux:

   # /opt/kaspersky/ksc64/lib/bin/setup/postinstall.pl

10. Прочтите Лицензионное соглашение и Политику конфиденциальности. Текст отображается в окне командной строки. Нажмите пробел, чтобы просмотреть следующий фрагмент текста. При отображении запроса введите следующие значения:
    1. Введите y, если вы понимаете и принимаете условия Лицензионного соглашения. Введите n, если вы не принимаете условия Лицензионного соглашения. Чтобы использовать Kaspersky Security Center Linux, вам нужно принять условия Лицензионного соглашения.
    2. Введите y, если вы понимаете и принимаете условия Политики конфиденциальности и соглашаетесь, что ваши данные будут обрабатываться и пересылаться (в том числе в третьи страны), согласно Политике конфиденциальности. Введите n, если вы не принимаете условия Политики конфиденциальности. Чтобы использовать Kaspersky Security Center Linux, вам нужно принять условия Политики конфиденциальности.
11. При отображении запроса введите следующие параметры:
    1. Введите DNS-имя Сервера администрирования или статический IP-адрес.
    2. Введите номер порта Сервера администрирования. По умолчанию номер порта – 14000.
    3. Введите номер SSL-порта Сервера администрирования. По умолчанию номер порта – 13000.
    4. Оцените примерное количество устройств, которыми вы планируете управлять:
       • Если у вас от 1 до 100 сетевых устройств, введите 1.
       • Если у вас от 101 до 1000 сетевых устройств, введите 2.
       • Если у вас более 1000 сетевых устройств, введите 3.
    5. Введите имя группы безопасности для служб. По умолчанию используется группа kladmins.
    6. Введите имя учетной записи для запуска службы Сервера администрирования. Учетная запись должна быть членом указанной группы безопасности. По умолчанию используется учетная запись ksc.
    7. Введите имя учетной записи, чтобы запустить другие службы. Учетная запись должна быть членом указанной группы безопасности. По умолчанию используется учетная запись ksc.
    8. Введите IP-адрес устройства, на котором установлена база данных.
    9. Введите номер порта базы данных. Этот порт используется для связи с Сервером администрирования. По умолчанию номер порта – 3306.
    10. Введите имя базы данных.
    11. Введите имя учетной записи root базы данных, которая используется для доступа к базе данных.
    12. Введите пароль учетной записи root базы данных, которая используется для доступа к базе данных.

        Подождите, пока службы добавятся и запустятся автоматически:

        • klnagent_srv
        • kladminserver_srv
        • klactprx_srv
        • klwebsrv_srv
    13. Создайте учетную запись, которая будет выполнять роль администратора Сервера администрирования. Введите имя пользователя и пароль.

        Пароль должен соответствовать следующим правилам:

        • Пароль пользователя должен содержать не менее 8 символов, но не более 16.
        • Пароль должен содержать символы как минимум трех групп списка ниже:
          • верхний регистр (A-Z);
          • нижний регистр (a-z);
          • числа (0-9);
          • специальные символы (@ # $ % ^ & * - _ ! + = [ ] { } | : ' , . ? / \ ` ~ " ( ) ;)

Программа Kaspersky Security Center Linux установлена и пользователь добавлен.

Проверка служб

Используйте следующие команды, чтобы проверить, запущена ли служба:

• # systemctl status klnagent_srv.service
• # systemctl status kladminserver_srv.service
• # systemctl status klactprx_srv.service
• # systemctl status klwebsrv_srv.service

[Topic 181968]

Установка Kaspersky Security Center Web Console

В этом разделе описано, как установить Сервер Kaspersky Security Center Web Console (далее также Kaspersky Security Center Web Console) на устройства с операционными системами Linux. Сначала необходимо установить СУБД и Сервер администрирования Kaspersky Security Center Linux.

Если вы устанавливаете Kaspersky Security Center Web Console на Astra Linux в режиме замкнутой программной среды, следуйте инструкциям для Astra Linux.

Используйте один из следующих установочных файлов, соответствующих дистрибутиву Linux, установленному на вашем устройстве:

• Для Debian: ksc-web-console-[номер_сборки].x86_64.deb.
• Для операционных систем на базе RPM: ksc-web-console-[номер_сборки].x86_64.rpm.
• Для Альт 8 СП: ksc-web-console-[номер_сборки]-alt8p.x86_64.rpm.

Вы получите установочный файл, загрузив его с сайта "Лаборатории Касперского".

Чтобы установить Kaspersky Security Center Web Console:

1. Убедитесь, что на устройстве, на которое вы хотите установить Kaspersky Security Center Web Console, работает один из поддерживаемых дистрибутивов Linux.
2. Прочитайте Лицензионное соглашение. Если в состав дистрибутива Kaspersky Security Center Linux не входит TXT файл с текстом Лицензионного соглашения, вы можете загрузить этот файл с сайта "Лаборатории Касперского". Если вы не согласны с условиями Лицензионного соглашения, не устанавливайте программу.
3. Создайте файл ответов, который содержит параметры для подключения Kaspersky Security Center Web Console к Серверу администрирования. Назовите этот файл ksc-web-console-setup.json и расположите его в следующей директории: /etc/ksc-web-console-setup.json.

   Пример файла ответов, содержащего минимальный набор параметров, адрес и порт по умолчанию:

   {

   "address": "127.0.0.1",

   "port": 8080,

   "trusted": "127.0.0.1|13299|/var/opt/kaspersky/klnagent_srv/1093/cert/klserver.cer|KSC Server",

   "acceptEula": true

   }

   Рекомендуется указывать номера портов больше 1024. Если вы хотите, чтобы программа Kaspersky Security Center Web Console работала на портах меньше 1024, после установки вам нужно выполнить следующую команду: sudo setcap 'cap_net_bind_service=+ep' /var/opt/kaspersky/ksc-web-console/node

   При установке Kaspersky Security Center Web Console на устройство с операционной системой ALT Linux необходимо указать номер порта, отличный от 8080, так как порт 8080 используется операционной системой.

   Программа Kaspersky Security Center Web Console не может быть обновлена с помощью того же установочного файла .rpm. Если вы хотите изменить параметры файла ответов и использовать этот файл для переустановки программы, вам нужно сначала удалить программу, а затем установить ее снова с новым файлом ответов.

4. Под учетной записью с привилегиями root используйте командную строку для запуска установочного файла с расширением .deb или .rpm, в зависимости от вашего дистрибутива Linux.
   • Чтобы установить или обновить предыдущую версию Kaspersky Security Center Web Console из файла .deb, выполните следующую команду:

     $ sudo dpkg -i ksc-web-console-[номер_версии].x86_64.deb

   • Чтобы установить Kaspersky Security Center Web Console из файла .rpm, выполните одну из следующих команд:

     $ sudo rpm -ivh --nodeps ksc-web-console-[номер_сборки].x86_64.rpm

     Или

     $ sudo alien -i ksc-web-console-[номер_сборки].x86_64.rpm

   • Чтобы обновить предыдущую версию Kaspersky Security Center Web Console, выполните одну из следующих команд:
     • Для устройств с операционными системами RPM:

       $ sudo rpm -Uvh --nodeps --force ksc-web-console-[номер_сборки].x86_64.rpm

     • Для устройств с операционными системами Debian:

       $ sudo dpkg -i ksc-web-console-[номер_сборки].x86_64.deb

   Начнется распаковка установочного файла. Пожалуйста, дождитесь завершения установки. Kaspersky Security Center Web Console устанавливается в следующую директорию: /var/opt/kaspersky/ksc-web-console.

5. Перезапустите все службы Kaspersky Security Center Web Console, выполнив следующую команду:

   $ sudo systemctl restart KSC*

После завершения установки вы можете использовать браузер, чтобы открыть Kaspersky Security Center Web Console и осуществить вход.

[Topic 181969]

Параметры установки Kaspersky Security Center Web Console

Для установки Сервера Kaspersky Security Center Web Console на устройства с операционными системами Linux необходимо создать файл ответов (файл .json), который содержит параметры подключения Kaspersky Security Center Web Console к Серверу администрирования.

Пример файла ответов, содержащего минимальный набор параметров, адрес и порт по умолчанию:

{

"address": "127.0.0.1",

"port": 8080,

"defaultLangId": 1049,

"enableLog": false,

"trusted": "127.0.0.1|13299|/var/opt/kaspersky/klnagent_srv/1093/cert/klserver.cer|KSC Server",

"acceptEula": true,

"certPath": "/var/opt/kaspersky/klnagent_srv/1093/cert/klserver.cer",

"webConsoleAccount": "Группа1:Пользователь1",

"managementServiceAccount": "Группа1:Пользователь2",

"serviceWebConsoleAccount": "Группа1:Пользователь3",

"pluginAccount": "Группа1:Пользователь4",

"messageQueueAccount": "Группа1:Пользователь5"

}

Рекомендуется указывать номера портов больше 1024. Если вы хотите, чтобы программа Kaspersky Security Center Web Console работала на портах меньше 1024, после установки вам нужно выполнить следующую команду: sudo setcap 'cap_net_bind_service=+ep' /var/opt/kaspersky/ksc-web-console/node

При установке Kaspersky Security Center Web Console на устройство с операционной системой ALT Linux необходимо указать номер порта, отличный от 8080, так как порт 8080 используется операционной системой.

В таблице ниже описаны параметры, которые можно указать в файле ответов.

Параметры установки Kaspersky Security Center Web Console на устройствах с операционными системами Linux

Если вы указываете параметры webConsoleAccount, managementServiceAccount, serviceWebConsoleAccount, pluginAccount или messageQueueAccount, убедитесь, что настраиваемые учетные записи пользователей принадлежат к одной и той же группе безопасности. Если эти параметры не указаны, установщик Kaspersky Security Center Web Console создает группу безопасности по умолчанию, а затем создает в этой группе учетные записи пользователей с именами по умолчанию.

[Topic 257886]

Установка Kaspersky Security Center Web Console на Astra Linux в режиме замкнутой программной среды

Развернуть все | Свернуть все

В этом разделе описано, как установить Сервер Kaspersky Security Center Web Console (далее также Kaspersky Security Center Web Console) на устройства с операционной системой Astra Linux Special Edition. Сначала необходимо установить СУБД и Сервер администрирования Kaspersky Security Center Linux.

Чтобы установить Kaspersky Security Center Web Console:

1. Убедитесь, что на устройстве, на которое вы хотите установить Kaspersky Security Center Web Console, работает один из поддерживаемых дистрибутивов Linux.
2. Прочитайте Лицензионное соглашение. Если в состав дистрибутива Kaspersky Security Center Linux не входит TXT файл с текстом Лицензионного соглашения, вы можете загрузить этот файл с сайта "Лаборатории Касперского". Если вы не согласны с условиями Лицензионного соглашения, не устанавливайте программу.
3. Создайте файл ответов, который содержит параметры для подключения Kaspersky Security Center Web Console к Серверу администрирования. Назовите этот файл ksc-web-console-setup.json и расположите его в следующей директории: /etc/ksc-web-console-setup.json.

   Пример файла ответов, содержащего минимальный набор параметров, адрес и порт по умолчанию:

   {

   "address": "127.0.0.1",

   "port": 8080,

   "trusted": "127.0.0.1|13299|/var/opt/kaspersky/klnagent_srv/1093/cert/klserver.cer|KSC Server",

   "acceptEula": true

   }

4. Откройте файл /etc/digsig/digsig_initramfs.conf и укажите следующие параметры:

   DIGSIG_ELF_MODE=1

5. В командной строке введите следующую команду, чтобы установить пакет совместимости:

   apt install astra-digsig-oldkeys

6. Создайте директорию для ключа приложения:

   mkdir -p /etc/digsig/keys/legacy/kaspersky/

7. Поместите ключ программы /opt/kaspersky/ksc64/share/kaspersky_astra_pub_key.gpg в директорию, созданную на предыдущем шаге:

   cp kaspersky_astra_pub_key.gpg /etc/digsig/keys/legacy/kaspersky/

   Если в комплект поставки Kaspersky Security Center Linux не входит ключ kaspersky_astra_pub_key.gpg, вы можете загрузить этот ключ по ссылке https://media.kaspersky.com/utilities/CorporateUtilities/kaspersky_astra_pub_key.gpg.

8. Обновите оперативную память дисков:

   update-initramfs -u -k all

   Перезагрузите систему.

9. Под учетной записью с правами root используйте командную строку для запуска установочного файла. Вы получите установочный файл, загрузив его с сайта "Лаборатории Касперского".
   • Чтобы установить или обновить предыдущую версию Kaspersky Security Center Web Console, выполните следующую команду:

     $ sudo dpkg -i ksc-web-console-[номер_версии].x86_64.deb

   • Чтобы обновить предыдущую версию Kaspersky Security Center Web Console, выполните следующую команду:

     $ sudo dpkg -i ksc-web-console-[номер_сборки].x86_64.deb

   Начнется распаковка установочного файла. Пожалуйста, дождитесь завершения установки. Kaspersky Security Center Web Console устанавливается в следующую директорию: /var/opt/kaspersky/ksc-web-console.

10. Перезапустите все службы Kaspersky Security Center Web Console, выполнив следующую команду:

    $ sudo systemctl restart KSC*

После завершения установки вы можете использовать браузер, чтобы открыть Kaspersky Security Center Web Console и осуществить вход.

Если ваше устройство работает под управлением Astra Linux 1.8, вам нужно переопределить права пользователя после установки Kaspersky Security Center Web Console.

Рекомендуется выполнять шаги инструкции для каждой службы отдельно.

Чтобы переопределить права пользователя:

1. Откройте следующие файлы:
   • /etc/systemd/system/ KSCSvcWebConsole.service
   • /etc/systemd/system/ KSCWebConsole.service
   • /etc/systemd/system/ KSCWebConsoleManagement.service
   • /etc/systemd/system/ KSCWebConsoleMessageQueue.service
   • /etc/systemd/system/ KSCWebConsolePlugin.service
2. Скопируйте строку User=значение из файлов.

   Значения различны для каждой службы и генерируются при установке Kaspersky Security Center Web Console.

3. Создайте следующие директории:
   • /etc/systemd/system/ KSCSvcWebConsole.service.d
   • /etc/systemd/system/ KSCWebConsole.service.d
   • /etc/systemd/system/ KSCWebConsoleManagement.service.d
   • /etc/systemd/system/ KSCWebConsoleMessageQueue.service.d
   • /etc/systemd/system/ KSCWebConsolePlugin.service.d
4. В каждой директории создайте файл с именем verride.conf и вставьте в него строку, скопированную на шаге 2. Файл override.conf должен иметь следующее содержимое:
   • для /etc/systemd/system/ KSCSvcWebConsole.service.d

     [Service]

     User=

     User=значение

     CapabilitiesParsec=PARSEC_CAP_PRIV_SOCK

     ExecStart=

     ExecStart=/usr/bin/env /var/opt/kaspersky/ksc-web-console/node /var/opt/kaspersky/ksc-web-console/pm.service-console.js

   • для /etc/systemd/system/ KSCWebConsole.service.d

     [Service]

     User=

     User=значение

     CapabilitiesParsec=PARSEC_CAP_PRIV_SOCK

     ExecStart=

     ExecStart=/usr/bin/env /var/opt/kaspersky/ksc-web-console/node /var/opt/kaspersky/ksc-web-console/pm.js

   • для /etc/systemd/system/ KSCWebConsoleManagement.service.d

     [Service]

     User=

     User=значение

     CapabilitiesParsec=PARSEC_CAP_PRIV_SOCK

     ExecStart=

     ExecStart=/usr/bin/env /var/opt/kaspersky/ksc-web-console/node /var/opt/kaspersky/ksc-web-console/pm.updates-manager.js

   • для /etc/systemd/system/ KSCWebConsoleMessageQueue.service.d

     [Service]

     User=

     User=значение

     CapabilitiesParsec=PARSEC_CAP_PRIV_SOCK

     ExecStart=

     ExecStart=/usr/bin/env /var/opt/kaspersky/ksc-web-console/vendor/nsqd -tls-cert=../nsq-server.crt -tls-key=../nsq-server.key -tls-required=1 -tls-min-version=tls1.2 -tls-root-ca-file=../KLRootCA.crt -max-msg-size=10485760 -mem-queue-size=100 -sync-every=0 -sync-timeout=24h -http-address=127.0.0.1:4151 -https-address=127.0.0.1:4152 -tcp-address=127.0.0.1:4150 -tls-client-auth-policy=require-verify

   • для /etc/systemd/system/ KSCWebConsolePlugin.service.d

     [Service]

     User=

     User=значение

     CapabilitiesParsec=PARSEC_CAP_PRIV_SOCK

     ExecStart=

     ExecStart=/usr/bin/env /var/opt/kaspersky/ksc-web-console/node /var/opt/kaspersky/ksc-web-console/pm.plugin.js

   где User=значение это строка скопированная на шаге 2. Например, User=user_svc_nodejs_rjvyyf-xkg.

5. Перезапустите службу.

[Topic 234942]

Установка Kaspersky Security Center Web Console, подключенной к Серверу администрирования, установленного на узлах отказоустойчивого кластера Kaspersky Security Center Linux

В этом разделе описывается установка Сервера Kaspersky Security Center Web Console (далее также Kaspersky Security Center Web Console), который подключается к Серверу администрирования, установленному на узлах отказоустойчивого кластера Kaspersky Security Center Linux или Microsoft. Перед установкой Kaspersky Security Center Web Console установите СУБД и Сервер администрирования Kaspersky Security Center Linux на узлы отказоустойчивого кластера Kaspersky Security Center Linux.

Чтобы установить Kaspersky Security Center Web Console, которая подключается к Серверу администрирования, установленному на узлах отказоустойчивого кластера Kaspersky Security Center Linux:

1. Выполните шаг 1 и шаг 2 из раздела Установка Kaspersky Security Center Web Console.
2. На шаге 3 в файле ответов, укажите доверенный параметр установки, разрешающий отказоустойчивому кластеру Kaspersky Security Center Linux подключаться к Kaspersky Security Center Web Console. Строковое значение этого параметра имеет следующий формат:

   "trusted": "server address|port|certificate path|server name"

   Укажите компоненты доверенного параметра установки:

   • Адрес Сервера администрирования. Если вы создали дополнительный сетевой адаптер при подготовке узлов кластера, используйте IP-адрес адаптера в качестве адреса отказоустойчивого кластера Kaspersky Security Center Linux. В противном случае укажите IP-адрес стороннего балансировщика нагрузки, который вы используете.
   • Порт Сервера администрирования. Порт OpenAPI, который Kaspersky Security Center Web Console, использует для подключения к Серверу администрирования (по умолчанию 13299).
   • Сертификат Сервера администрирования. Сертификат Сервера администрирования находится в общем хранилище данных отказоустойчивого кластера Kaspersky Security Center Linux. Путь по умолчанию к файлу сертификата: <shared data folder>\1093\cert\klserver.cer. Скопируйте файл сертификата из общего хранилища данных на устройство, на котором вы устанавливаете Kaspersky Security Center Web Console. Укажите локальный путь к сертификату Сервера администрирования.
   • Имя Сервера администрирования. Имя отказоустойчивого кластера Kaspersky Security Center Linux, которое будет отображаться в окне входа в Kaspersky Security Center Web Console.
3. Продолжите стандартную установку Kaspersky Security Center Web Console.

После завершения установки на рабочем столе появляется ярлык и вы можете войти в Kaspersky Security Center Web Console.

Вы можете перейти в раздел Обнаружение устройств и развертывание → Нераспределенные устройства, чтобы просмотреть информацию об узлах кластера и о файловом сервере.

[Topic 222395]

Развертывание отказоустойчивого кластера Kaspersky Security Center Linux

Этот раздел содержит общую информацию об отказоустойчивом кластере Kaspersky Security Center Linux, а также инструкции по подготовке и развертыванию отказоустойчивого кластера Kaspersky Security Center Linux в вашей сети.

[Topic 222333]

Сценарий: развертывание отказоустойчивого кластера Kaspersky Security Center Linux

Отказоустойчивый кластер Kaspersky Security Center Linux обеспечивает высокую доступность Kaspersky Security Center Linux и минимизирует простои Сервера администрирования в случае сбоя. Отказоустойчивый кластер основан на двух идентичных экземплярах Kaspersky Security Center Linux, установленных на двух компьютерах. Один из экземпляров работает как активный узел, а другой – как пассивный. Активный узел управляет защитой клиентских устройств, в то время как пассивный готов взять на себя все функции активного узла в случае отказа активного узла. Когда происходит сбой, пассивный узел становится активным, а активный узел становится пассивным.

Предварительные требования

У вас есть оборудование, соответствующее требованиям для отказоустойчивого кластера.

Развертывание программ "Лаборатории Касперского" состоит из следующих этапов:

1. Подготовка файлового сервера

   Подготовьте файловый сервер к работе в составе отказоустойчивого кластера Kaspersky Security Center Linux. Убедитесь, что файловый сервер соответствует аппаратным и программным требованиям, создайте две общие папки для данных Kaspersky Security Center Linux и настройте права доступа к общим папкам.

   Инструкции: Подготовка файлового сервера для отказоустойчивого кластера Kaspersky Security Center Linux.

2. Подготовка активного и пассивного узлов

   Подготовьте два компьютера с идентичным аппаратным и программным обеспечением для работы в качестве активного и пассивного узлов.

   Инструкции: Подготовка узлов для отказоустойчивого кластера Kaspersky Security Center Linux.

3. Создание учетных записей для служб Kaspersky Security Center Linux

   Выполните следующие шаги на активном узле, пассивном узле и файловом сервере:

   1. Создайте группу с именем "kladmins" и назначьте один и тот же GID всем трем группам.
   2. Создайте учетную запись с именем "ksc" и назначьте один и тот же UID всем трем учетным записям пользователей. Для созданных учетных записей укажите в качестве основной группы kladmins.
   3. Создайте учетную запись с именем "rightless" и назначьте один и тот же UID всем трем учетным записям пользователей. Для созданных учетных записей укажите в качестве основной группы kladmins.
4. Установка системы управления базами данных (СУБД)

   У вас есть два варианта:

   • Если вы хотите использовать MariaDB Galera Cluster, выделенный компьютер для СУБД не требуется. Установите кластер MariaDB Galera на каждый из узлов.
   • Если вы хотите использовать любую другую поддерживаемую СУБД, установите выбранную СУБД на выделенный компьютер.
5. Установка Kaspersky Security Center Linux

   Установите Kaspersky Security Center Linux в режиме отказоустойчивого кластера на оба узла. Сначала необходимо установить Kaspersky Security Center Linux на активный узел, а затем установить его на пассивный.

   Также вы можете установить Kaspersky Security Center Web Console на отдельном устройстве, не являющемся узлом кластера.

6. Тестирование отказоустойчивого кластера

   Убедитесь, что вы правильно настроили отказоустойчивый кластер и правильно ли он работает. Например, вы можете остановить одну из служб Kaspersky Security Center Linux на активном узле: kladminserver, klnagent, ksnproxy, klactprx или klwebsrv. После остановки службы управление защитой должно быть автоматически переключено на пассивный узел.

Результаты

Отказоустойчивый кластер Kaspersky Security Center Linux развернут. Пожалуйста, ознакомьтесь с событиями, которые приводят к переключению между активными и пассивными узлами.

[Topic 222358]

Об отказоустойчивом кластере Kaspersky Security Center Linux

Отказоустойчивый кластер Kaspersky Security Center Linux обеспечивает высокую доступность Kaspersky Security Center Linux и минимизирует простои Сервера администрирования в случае сбоя. Отказоустойчивый кластер основан на двух идентичных экземплярах Kaspersky Security Center Linux, установленных на двух компьютерах. Один из экземпляров работает как активный узел, а другой – как пассивный. Активный узел управляет защитой клиентских устройств, в то время как пассивный готов взять на себя все функции активного узла в случае отказа активного узла. Когда происходит сбой, пассивный узел становится активным, а активный узел становится пассивным.

На отказоустойчивом кластере Kaspersky Security Center Linux все службы Kaspersky Security Center Linux управляются автоматически. Не пытайтесь перезапускать службы вручную.

Аппаратные и программные требования

Для развертывания отказоустойчивого кластера Kaspersky Security Center Linux у вас должно быть следующее оборудование:

• Два компьютера с одинаковым оборудованием и программным обеспечением. Эти компьютеры будут действовать как активный и пассивный узлы.
• Файловый сервер под управлением Linux с файловой системой EXT4. Вам нужно предоставить выделенный компьютер, который будет выступать в качестве файлового сервера.

  Убедитесь, что вы обеспечили высокую пропускную способность сети между файловым сервером, активным и пассивным узлами.

• Компьютер с поддерживаемой системой управления базами данных (СУБД). Если вы используете MariaDB Galera Cluster в качестве СУБД, выделенный компьютер для этой цели не требуется.

Схемы развертывания

Вы можете выбрать одну из следующих схем развертывания отказоустойчивого кластера Kaspersky Security Center Linux:

• Схема, в которой используется дополнительный сетевой адаптер.
• Схема, в которой используется сторонняя балансировка нагрузки.

  

  Схема, в которой используется дополнительный сетевой адаптер

Условные обозначения схемы:

Сервер администрирования передает данные в базу данных. Откройте необходимые порты на устройстве, на котором расположена база данных, например порт 3306 для MySQL Server или порт 5432 для PostgreSQL или Postgres Pro. Подробную информацию см. в документации СУБД.

На управляемых устройствах откройте следующие порты: TCP 13000, UDP 13000 и TCP 17000.

Компьютер с системой управления базами данных (СУБД). Если вы используете MariaDB Galera Cluster в качестве СУБД, выделенный компьютер для этой цели не требуется. Установите кластер MariaDB Galera на каждый из узлов.

Схема, в которой используется сторонняя балансировка нагрузки

Условные обозначения схемы:

На сервере устройства балансировки нагрузки откройте все порты Сервера администрирования: TCP 13000, UDP 13000, TCP 13291, TCP 13299 и TCP 17000.

На управляемых устройствах откройте следующие порты: TCP 13000, UDP 13000 и TCP 17000.

Сервер администрирования передает данные в базу данных. Откройте необходимые порты на устройстве, на котором расположена база данных, например порт 3306 для MySQL Server или порт 5432 для PostgreSQL или Postgres Pro. Подробную информацию см. в документации СУБД.

Компьютер с системой управления базами данных (СУБД). Если вы используете MariaDB Galera Cluster в качестве СУБД, выделенный компьютер для этой цели не требуется. Установите кластер MariaDB Galera на каждый из узлов.

Условия переключения

Отказоустойчивый кластер переключает управление защитой клиентских устройств с активного узла на пассивный, если на активном узле происходит любое из следующих событий:

• Активный узел сломан из-за программного или аппаратного сбоя.
• Активный узел был временно остановлен для проведения технических работ.
• По крайней мере, одна из служб (или процессов) Kaspersky Security Center Linux завершилась с ошибкой или была намеренно остановлена пользователем. К службам Kaspersky Security Center Linux относятся: kladminserver, klnagent, klactprx и klwebsrv.
• Сетевое соединение между активным узлом и хранилищем на файловом сервере было прервано или разорвано.

[Topic 222364]

Подготовка файлового сервера для отказоустойчивого кластера Kaspersky Security Center Linux

Файловый сервер работает как обязательный компонент отказоустойчивого кластера Kaspersky Security Center Linux.

Чтобы подготовить файловый сервер:

1. Убедитесь, что файловый сервер соответствует аппаратным и программным требованиям.
2. Установите и настройте NFS-сервер:
   • Доступ к файловому серверу должен быть включен для обоих узлов в параметрах NFS-сервера.
   • NFS-протокол должен иметь версию 4.0 или 4.1.
   • Минимальные требования для ядра Linux:
     • 3.19.0-25, если вы используете NFS 4.0;
     • 4.4.0-176, если вы используете NFS 4.1.
3. На файловом сервере создайте две папки и дайте доступ к ним с помощью NFS. Один из них используется для хранения информации о состоянии отказоустойчивого кластера. Другая используется для хранения данных и параметров Kaspersky Security Center Linux. Вам нужно будет указать пути к общим папкам при установке Kaspersky Security Center Linux.

   В зависимости от вашего дистрибутива Linux установите либо пакет nfs-utils, либо пакет nfs-kernel-server, выполнив соответствующую команду:

   sudo yum install nfs-utils

   sudo apt install nfs-kernel-server

   Выполните следующие команды:

   sudo mkdir -p /mnt/KlFocStateShare

   sudo mkdir -p /mnt/KlFocDataShare_klfoc

   sudo chown ksc:kladmins /mnt/KlFocStateShare

   sudo chown ksc:kladmins /mnt/KlFocDataShare_klfoc

   sudo chmod -R 777 /mnt/KlFocStateShare /mnt/KlFocDataShare_klfoc

   sudo sh -c "echo /mnt/KlFocStateShare *\(rw,sync,no_subtree_check,no_root_squash\) >> /etc/exports"

   sudo sh -c "echo /mnt/KlFocDataShare_klfoc *\(rw,sync,no_subtree_check,no_root_squash\) >> /etc/exports"

   sudo exportfs -a

   sudo systemctl start rpcbind

   sudo service nfs start

   Включите автозапуск, выполнив следующую команду:

   sudo systemctl enable rpcbind

4. Перезапустите файловый сервер.

Файловый сервер подготовлен. Чтобы развернуть отказоустойчивый кластер Kaspersky Security Center Linux, следуйте инструкциям этого сценария.

[Topic 222375]

Подготовка узлов для отказоустойчивого кластера Kaspersky Security Center Linux

Подготовьте два компьютера к работе в качестве активного и пассивного узла для отказоустойчивого кластера Kaspersky Security Center Linux.

Чтобы подготовить узлы для отказоустойчивого кластера Kaspersky Security Center Linux:

1. Убедитесь, что у вас есть два компьютера, соответствующих аппаратным и программным требованиям. Эти компьютеры будут действовать как активные и пассивные узлы отказоустойчивого кластера.
2. В зависимости от вашего дистрибутива Linux установите либо пакет nfs-utils, либо пакет nfs-kernel-server на каждом узле, выполнив соответствующую команду:

   sudo yum install nfs-utils

   sudo apt install nfs-kernel-server

3. Создайте точки подключения, выполнив следующие команды:

   sudo mkdir -p /mnt/KlFocStateShare

   sudo mkdir -p /mnt/KlFocDataShare_klfoc

4. Сопоставьте точки подключения и общие папки:

   sudo sh -c "echo {сервер}:{путь к папке KlFocStateShare} /mnt/KlFocStateShare nfs vers=4,auto,user,rw 0 0 >> /etc/fstab"

   sudo sh -c "echo {сервер}:{путь к папке KlFocDataShare_klfoc folder} /mnt/KlFocDataShare_klfoc nfs vers=4,noauto,user,rw,exec 0 0 >> /etc/fstab"

   Здесь {сервер}:{путь к папке KlFocStateShare} и {сервер }:{путь к папке KlFocDataShare_klfoc} – сетевые пути к общим папкам на файловом сервере.

5. Подключите общие папки, выполнив следующие команды:

   mount /mnt/KlFocStateShare

   mount /mnt/KlFocDataShare_klfoc

6. Убедитесь, что разрешения на доступ к общим папкам принадлежат ksc:kladmins.

   Выполните следующую команду:

   sudo ls -la /mnt/

7. На каждом из узлов настройте дополнительный сетевой адаптер.

   Дополнительный сетевой адаптер может быть физическим или виртуальным. Если вы хотите использовать физический сетевой адаптер, подключите и настройте его стандартными средствами операционной системы. Если вы хотите использовать виртуальный сетевой адаптер, создайте его с помощью программ сторонних производителей.

   Выполните одно из следующих действий:

   • Используйте виртуальный сетевой адаптер.
     1. Введите следующую команду, чтобы убедиться, что NetworkManager используется для управления физическим адаптером:

        nmcli device status

        Если в выходных данных физический адаптер отображается как неуправляемый, настройте NetworkManager для управления физическим адаптером. Точные шаги настройки зависят от вашего дистрибутива.

     2. Используйте следующую команду для идентификации интерфейсов:

        ip a

     3. Создайте профиль конфигурации:

        nmcli connection add type macvlan dev <физический интерфейс> mode bridge ifname <виртуальный интерфейс> ipv4.addresses <маска адреса> ipv4.method manual autoconnect no

   • Используйте физический сетевой адаптер или гипервизор. В этом случае отключите программное обеспечение NetworkManager.
     1. Удалите соединения NetworkManager для целевого интерфейса:

        nmcli con del <название соединения>

        Используйте следующую команду, чтобы проверить, есть ли подключения к целевому интерфейсу:

        nmcli con show

     2. Измените файл NetworkManager.conf. Найдите раздел файла ключа и назначьте целевой интерфейс параметру unmanaged-devices.

        [keyfile]

        unmanaged-devices=interface-name:<имя интерфейса>

     3. Перезапустите NetworkManager:

        systemctl reload NetworkManager

        Чтобы проверить, что целевой интерфейс больше не является управляемым, используйте следующую команду:

        nmcli dev status

   • Используйте сторонний балансировщик нагрузки. Например, вы можете использовать сервер nginx. В этом случае сделайте следующее:
     1. Предоставьте выделенный компьютер с операционной системой Linux с установленным nginx.
     2. Настройте балансировку нагрузки. Установите активный узел в качестве основного сервера и пассивный узел в качестве резервного сервера.
     3. На сервере nginx откройте все порты Сервера администрирования: TCP 13000, UDP 13000, TCP 13291, TCP 13299 и TCP 17000.

Узлы подготовлены. Чтобы развернуть отказоустойчивый кластер Kaspersky Security Center Linux, следуйте инструкциям сценария.

[Topic 222473]

Установка Kaspersky Security Center Linux на узлы отказоустойчивого кластера Kaspersky Security Center Linux

Эта процедура описывает, как установить Kaspersky Security Center Linux на узлы отказоустойчивого кластера Kaspersky Security Center Linux. Kaspersky Security Center Linux устанавливается на оба узла отказоустойчивого кластера Kaspersky Security Center Linux по отдельности. Сначала вы устанавливаете программу на активный узел, затем на пассивный. Во время установки вы выбираете, какой узел будет активным, а какой пассивным.

Используйте установочный файл ksc64_[номер_версии]_amd64.deb или ksc64-[номер_версии].x86_64.rpm, который соответствует дистрибутиву Linux, установленному на вашем устройстве. Вы получите установочный файл, загрузив его с сайта "Лаборатории Касперского".

Установка на основной (активный) узел

Чтобы установить Kaspersky Security Center Linux на основном узле:

1. Убедитесь, что на устройстве, на которое вы хотите установить Kaspersky Security Center Linux, работает один из поддерживаемых дистрибутивов Linux.
2. В командной строке выполните команды, представленные в этой инструкции.
3. Запустите установку Kaspersky Security Center Linux. В зависимости от вашего дистрибутива Linux выполните одну из следующих команд:
   • sudo apt install /<path>/ksc64_[номер_версии]_amd64.deb
   • sudo yum install /<path>/ksc64-[номер_версии].x86_64.rpm -y
4. Запустите настройку Kaspersky Security Center Linux:

   sudo /opt/kaspersky/ksc64/lib/bin/setup/postinstall.pl

5. Прочтите Лицензионное соглашение и Политику конфиденциальности. Текст отображается в окне командной строки. Нажмите пробел, чтобы просмотреть следующий фрагмент текста. При отображении запроса введите следующие значения:
   1. Введите y, если вы понимаете и принимаете условия Лицензионного соглашения. Введите n, если вы не принимаете условия Лицензионного соглашения. Чтобы использовать Kaspersky Security Center Linux, вам нужно принять условия Лицензионного соглашения.
   2. Введите y, если вы понимаете и принимаете условия Политики конфиденциальности и соглашаетесь, что ваши данные будут обрабатываться и пересылаться (в том числе в третьи страны), согласно Политике конфиденциальности. Введите n, если вы не принимаете условия Политики конфиденциальности. Чтобы использовать Kaspersky Security Center Linux, вам нужно принять условия Политики конфиденциальности.
6. Выберите значение Основной узел кластера, в качестве режима установки Сервера администрирования.
7. При отображении запроса введите следующие параметры:
   1. Введите локальный путь к точке подключения общей папки состояния.
   2. Введите локальный путь к точке подключения общей папки данных.
   3. Выберите режим подключения отказоустойчивого кластера: через дополнительный сетевой адаптер или внешний балансировщик нагрузки.
   4. Если вы используете дополнительный сетевой адаптер, введите его имя.
   5. При появлении запроса на ввод DNS-имени или статического IP-адреса Сервера администрирования введите IP-адрес дополнительного сетевого адаптера или IP-адрес внешнего балансировщика нагрузки.
   6. Введите номер SSL-порта Сервера администрирования. По умолчанию номер порта – 13000.
   7. Оцените примерное количество устройств, которыми вы планируете управлять:
      • Если у вас от 1 до 100 сетевых устройств, введите 1.
      • Если у вас от 101 до 1000 сетевых устройств, введите 2.
      • Если у вас более 1000 сетевых устройств, введите 3.
   8. Введите имя группы безопасности для служб. По умолчанию используется группа kladmins.
   9. Введите имя учетной записи для запуска службы Сервера администрирования. Учетная запись должна быть членом указанной группы безопасности. По умолчанию используется учетная запись ksc.
   10. Введите имя учетной записи, чтобы запустить другие службы. Учетная запись должна быть членом указанной группы безопасности. По умолчанию используется учетная запись ksc.
   11. Выберите СУБД, которую вы установили для работы с Kaspersky Security Center Linux:
       • Если вы установили MySQL или MariaDB, введите 1.
       • Если вы установили PostgreSQL или Postgres Pro SQL, введите 2.
   12. Введите DNS-имя или IP-адрес устройства, на котором установлена база данных.
   13. Введите номер порта базы данных. Этот порт используется для связи с Сервером администрирования. По умолчанию используются следующие порты:
       • порт 3306 для MySQL или MariaDB;
       • порт 5432 для PostgreSQL или Postgres Pro.
   14. Введите имя базы данных.
   15. Введите имя учетной записи root базы данных, которая используется для доступа к базе данных.
   16. Введите пароль учетной записи root базы данных, которая используется для доступа к базе данных.
8. Подождите, пока службы добавятся и запустятся автоматически:
   • klfocsvc_klfoc
   • kladminserver_klfoc
   • klwebsrv_klfoc
   • klactprx_klfoc
   • klnagent_klfoc
9. Создайте учетную запись, которая будет выполнять роль администратора Сервера администрирования. Введите имя пользователя и пароль. Пароль пользователя не может содержать менее 8 или более 16 символов.

Пользователь добавлен, и Kaspersky Security Center Linux установлен на первичном узле.

Установка на вторичном (пассивном) узле

Чтобы установить Kaspersky Security Center Linux на вторичный узел:

1. Убедитесь, что на устройстве, на которое вы хотите установить Kaspersky Security Center Linux, работает один из поддерживаемых дистрибутивов Linux.
2. В командной строке выполните команды, представленные в этой инструкции.
3. Запустите установку Kaspersky Security Center Linux. В зависимости от вашего дистрибутива Linux выполните одну из следующих команд:
   • sudo apt install /<path>/ksc64_[номер_версии]_amd64.deb
   • sudo yum install /<path>/ksc64-[номер_версии].x86_64.rpm -y
4. Запустите настройку Kaspersky Security Center Linux:

   sudo /opt/kaspersky/ksc64/lib/bin/setup/postinstall.pl

5. Прочтите Лицензионное соглашение и Политику конфиденциальности. Текст отображается в окне командной строки. Нажмите пробел, чтобы просмотреть следующий фрагмент текста. При отображении запроса введите следующие значения:
   1. Введите y, если вы понимаете и принимаете условия Лицензионного соглашения. Введите n, если вы не принимаете условия Лицензионного соглашения. Чтобы использовать Kaspersky Security Center Linux, вам нужно принять условия Лицензионного соглашения.
   2. Введите y, если вы понимаете и принимаете условия Политики конфиденциальности и соглашаетесь, что ваши данные будут обрабатываться и пересылаться (в том числе в третьи страны), согласно Политике конфиденциальности. Введите n, если вы не принимаете условия Политики конфиденциальности. Чтобы использовать Kaspersky Security Center Linux, вам нужно принять условия Политики конфиденциальности.
6. Выберите Вторичный узел кластера как режим установки Сервера администрирования.
7. При появлении запроса введите локальный путь к точке подключения общей папки состояния.

Программа Kaspersky Security Center Linux установлена на вторичном узле.

Проверка служб

Используйте следующие команды, чтобы проверить, запущена ли служба:

• systemctl status klnagent_srv.service
• systemctl status kladminserver_srv.service
• systemctl status klactprx_srv.service
• systemctl status klwebsrv_srv.service

Теперь вы можете протестировать отказоустойчивый кластер Kaspersky Security Center Linux, чтобы убедиться, что вы корректно его настроили и кластер работает правильно.

[Topic 222447]

Запуск и остановка узла кластера вручную

Вам может потребоваться остановить весь отказоустойчивый кластер Kaspersky Security Center Linux или временно отключить один из узлов кластера для обслуживания. В этом случае следуйте инструкциям этого раздела. Не пытайтесь запускать или останавливать службы или процессы, связанные с отказоустойчивым кластером, с помощью других средств. Это может привести к потере данных.

Запуск и остановка всего отказоустойчивого кластера для обслуживания

Чтобы запустить или остановить весь отказоустойчивый кластер:

1. На активном узле перейдите в /opt/kaspersky/ksc64/sbin.
2. Откройте командную строку и выполните одну из следующих команд:
   • Чтобы остановить кластер, выполните: klfoc -stopcluster --stp klfoc
   • Чтобы запустить кластер, выполните: klfoc -startcluster --stp klfoc

Отказоустойчивый кластер запускается или останавливается в зависимости от команды.

Обслуживание одного из узлов

Для обслуживания одного из узлов:

1. На активном узле остановите отказоустойчивый кластер с помощью команды klfoc -stopcluster --stp klfoc.
2. На узле, который вы хотите обслуживать, перейдите в /opt/kaspersky/ksc64/sbin.
3. Откройте командную строку и отключите узел от кластера, выполнив команду detach_node.sh.
4. На активном узле запустите отказоустойчивый кластер с помощью команды klfoc -startcluster --stp klfoc.
5. Выполните работы по техническому обслуживанию.
6. На активном узле остановите отказоустойчивый кластер с помощью команды klfoc -stopcluster --stp klfoc.
7. На узле, который обслуживался, перейдите в /opt/kaspersky/ksc64/sbin.
8. Откройте командную строку и подключите узел к кластеру, выполнив команду attach_node.sh.
9. На активном узле запустите отказоустойчивый кластер с помощью команды klfoc -startcluster --stp klfoc.

Узел обслуживается и подключается к отказоустойчивому кластеру.

[Topic 156275]

Учетные записи для работы с СУБД

Для установки Сервера администрирования и работы с ним требуется внутренняя учетная запись СУБД. Эта учетная запись позволяет вам получить доступ к СУБД. Для такой учетной записи требуются определенные права. Набор необходимых прав зависит от следующих критериев:

• Тип СУБД:
  • MySQL или MariaDB.
  • PostgreSQL или Postgres Pro.
• Способ создания базы данных Сервера администрирования:
  • Автоматически. При установке Сервера администрирования вы можете автоматически создать базу данных Сервера администрирования (далее также база данных Сервера) с помощью программы установки Сервера администрирования (инсталлятора).
  • Вручную. Можно использовать программу стороннего производителя или скрипт для создания пустой базы данных. После этого вы можете указать эту базу данных в качестве базы данных Сервера при установке Сервера администрирования.

При предоставлении прав и разрешений учетным записям соблюдайте принцип наименьших привилегий. Это означает, что предоставленных прав достаточно только для выполнения требуемых действий.

В приведенных ниже таблицах содержится информация о правах на СУБД, которые требуется предоставить учетным записям перед установкой и запуском Сервера администрирования.

MySQL и MariaDB

Если вы выбираете MySQL или MariaDB в качестве СУБД, создайте внутреннюю учетную запись СУБД для доступа к СУБД, а затем предоставьте этой учетной записи необходимые права. Обратите внимание, что способ создания базы данных не влияет на набор прав. Необходимые права перечислены ниже:

• Схема привилегий:
  • База данных Сервера администрирования: ALL (кроме GRANT OPTION).
  • Схемы системы (mysql и sys): SELECT, SHOW VIEW.
  • Хранимая процедура sys.table_exists: EXECUTE (если вы используете MariaDB 10.5 или более раннюю версию в качестве СУБД, вам не нужно предоставлять право EXECUTE).
• Глобальные привилегии для всех схем: PROCESS, SUPER.

Подробнее о настройке прав учетной записи см. в разделе Настройка учетной записи СУБД для работы с MySQL и MariaDB.

Настройка прав на восстановление данных Сервера администрирования

Прав, которые вы предоставили для внутренней учетной записи СУБД, достаточно для восстановления данных Сервера администрирования из резервной копии.

PostgreSQL или Postgres Pro

Если вы выбираете PostgreSQL или Postgres Pro в качестве СУБД, вы можете использовать пользователя Postgres (роль Postgres по умолчанию) или создать роль Postgres (далее также роль) для доступа к СУБД. В зависимости от способа создания базы данных Сервера предоставьте необходимые права роли, как описано в таблице ниже. Подробнее о настройке прав роли см. в разделе Настройка учетной записи СУБД для работы с PostgreSQL или Postgres Pro.

Права роли Postgres