Управление Серверами администрирования

Этот раздел содержит информацию о работе с Серверами администрирования и о настройке параметров Сервера администрирования.

Создание иерархии Серверов администрирования: добавление подчиненного Сервера администрирования

Вы можете добавить Сервер администрирования в качестве подчиненного Сервера, установив таким образом отношение иерархии "главный Сервер – подчиненный Сервер". Добавление возможно независимо от того, доступен ли Сервер, который вы хотите сделать подчиненным, для подключения через Консоль администрирования.

При объединении Серверов в иерархию необходимо, чтобы порт 13291 обоих Серверов был доступен. Порт 13291 необходим для приема подключений от Консоли администрирования к Серверу администрирования.

Подключение Сервера администрирования в качестве подчиненного к главному Серверу

Вы можете добавить Сервер администрирования в качестве подчиненного Сервера с подключением к главному Серверу по порту 13000. Вам потребуется устройство с установленной Консолью администрирования, с которого доступны порты TCP 13291 обоих Серверов администрирования:

Чтобы добавить Сервер администрирования, доступный для подключения через Консоль, в качестве подчиненного Сервера:

1. Убедитесь, что порт 13000 поддерживаемого главного Сервера доступен для приема подключений от подчиненных Серверов администрирования.
2. С помощью Консоли администрирования подключитесь к будущему главному Серверу администрирования.
3. Выберите группу администрирования, в которую вы планируете добавить подчиненный Сервер администрирования.
4. В рабочей области узла Серверы администрирования выбранной группы перейдите по ссылке Добавить подчиненный Сервер администрирования.

   Запустится мастер добавления подчиненного Сервера администрирования.

5. На первом шаге мастера (ввод адреса Сервера администрирования, добавляемого в группу) введите сетевое имя будущего подчиненного Сервера администрирования.
6. Следуйте далее указаниям мастера.

Отношение "Главный Сервер – подчиненный Сервер" будет установлено. Подчиненный Сервер будет принимать подключение от главного Сервера.

Если у вас нет устройства с установленной Консолью администрирования, с которого доступны порты TCP 13291 обоих Серверов администрирования (например, если будущий подчиненный Сервер находится в удаленном офисе, а системный администратор удаленного офиса из соображений безопасности не делает доступным порт 13291 через интернет), вы все равно можете добавить подчиненный Сервер.

Чтобы добавить Сервер администрирования, недоступный для подключения через Консоль, в качестве подчиненного Сервера:

1. Убедитесь, что порт 13000 будущего главного Сервера доступен для подключения от подчиненных Серверов администрирования.
2. Запишите файл сертификата будущего главного Сервера администрирования на внешнее устройство (например, съемный диск) либо перешлите системному администратору того удаленного офиса, в котором находится Сервер администрирования.

   Файл сертификата Сервера администрирования находится на Сервере администрирования по адресу %ALLUSERSPROFILE%\Application Data\KasperskyLab\adminkit\1093\cert\klserver.cer.

3. Запишите файл сертификата будущего подчиненного Сервера администрирования на внешнее устройство (например, съемный диск). Если будущий подчиненный Сервер находится в удаленном офисе, попросите системного администратора удаленного офиса переслать вам сертификат.

   Файл сертификата Сервера администрирования находится на Сервере администрирования по адресу %ALLUSERSPROFILE%\Application Data\KasperskyLab\adminkit\1093\cert\klserver.cer.

4. С помощью Консоли администрирования подключитесь к будущему главному Серверу администрирования.
5. Выберите группу администрирования, в которую вы планируете добавить подчиненный Сервер администрирования.
6. Нажмите на кнопку Добавить подчиненный Сервер администрирования в рабочей области узла Серверы администрирования.

   Запустится мастер добавления подчиненного Сервера администрирования.

7. На первом шаге мастера (ввод адреса) оставьте поле Адрес подчиненного Сервера администрирования (необязательно) пустым.
8. В окне Файл сертификата подчиненного Сервера администрирования нажмите на кнопку Обзор и выберите сохраненный ранее файл сертификата подчиненного Сервера.
9. После завершения работы мастера подключитесь с помощью другой Консоли администрирования к будущему подчиненному Серверу администрирования. Если этот Сервер находится в удаленном офисе, попросите системного администратора удаленного офиса подключиться к будущему подчиненному Серверу администрирования и выполнить на нем дальнейшие шаги.
10. В контекстном меню узла Сервер администрирования выберите Свойства.
11. В свойствах Сервера администрирования перейдите в раздел Дополнительно и затем в раздел Иерархия Серверов администрирования.
12. Установите флажок Данный Сервер администрирования является подчиненным в иерархии.

    Поля ввода станут доступными для ввода и редактирования.

13. В поле Адрес главного Сервера администрирования введите сетевое имя будущего главного Сервера администрирования.
14. Выберите ранее сохраненный файл сертификата будущего главного Сервера, нажав на кнопку Обзор.
15. Нажмите на кнопку ОК.

Отношение "Главный Сервер – подчиненный Сервер" будет установлено. Вы сможете подключаться к подчиненному Серверу через Консоль администрирования. Подчиненный Сервер будет принимать подключение от главного Сервера.

Подключение главного Сервера администрирования к подчиненному Серверу

Вы можете добавить новый Сервер администрирования в качестве подчиненного Сервера так, чтобы главный Сервер подключался к подчиненному Серверу по порту 13000. Это целесообразно, например, если вы размещаете подчиненный Сервер в демилитаризованной зоне.

Вам потребуется устройство с установленной Консолью администрирования, с которого доступны порты TCP 13291 обоих Серверов администрирования:

Чтобы добавить новый Сервер администрирования в качестве подчиненного и подключить главный Сервер к нему по порту 13000:

1. Убедитесь, что порт 13000 будущего подчиненного Сервера доступен для приема подключений от главного Сервера администрирования.
2. С помощью Консоли администрирования подключитесь к будущему главному Серверу администрирования.
3. Выберите группу администрирования, в которую вы планируете добавить подчиненный Сервер администрирования.
4. В рабочей области узла Серверы администрирования нужной группы администрирования перейдите по ссылке Добавить подчиненный Сервер администрирования.

   Запустится мастер добавления подчиненного Сервера администрирования.

5. На первом шаге мастера (ввод адреса Сервера администрирования, добавляемого в группу) введите сетевое имя будущего подчиненного Сервера администрирования, и установите флажок Подключать главный Сервер к подчиненному Серверу в демилитаризованной зоне.
6. Если вы подключаетесь к будущему подчиненному Серверу через прокси-сервер, на первом шаге мастера установите флажок Использовать прокси-сервер и введите параметры подключения.
7. Следуйте далее указаниям мастера.

Будет установлена иерархия Серверов администрирования. Подчиненный Сервер будет принимать подключение от главного Сервера.

Подключение к Серверу администрирования и переключение между Серверами администрирования

При запуске программа Kaspersky Security Center предпринимает попытку соединения с Сервером администрирования. Если в сети существует несколько Серверов администрирования, запрашивается тот Сервер, с которым было установлено соединение во время предыдущего сеанса работы программы Kaspersky Security Center.

Если программа запускается в первый раз после установки, выполняется попытка соединения с Сервером администрирования, указанным при установке Kaspersky Security Center.

После соединения с Сервером администрирования структура папок этого Сервера отображается в дереве консоли.

Если в дерево консоли добавлено несколько Серверов администрирования, вы можете переключаться между ними.

Для работы с каждым Сервером администрирования необходима Консоль администрирования. Перед первым подключением к новому Серверу администрирования убедитесь, что на нем открыт порт 13291, по которому принимаются подключения от Консоли, и все остальные порты для связи Сервера администрирования с другими компонентами Kaspersky Security Center.

Чтобы переключиться на другой Сервер администрирования:

1. В дереве консоли выберите узел с именем нужного вам Сервера администрирования.
2. В контекстном меню узла Сервера администрирования выберите пункт Подключиться к Серверу администрирования.
3. В открывшемся окне Параметры подключения в поле Адрес Сервера администрирования укажите имя Сервера администрирования, к которому вы хотите подключиться. В качестве имени Сервера администрирования вы можете указать IP-адрес или имя устройства в сети Windows. При нажатии на кнопку Дополнительно в нижней части окна вы можете настроить параметры подключения к Серверу администрирования (см. рис. ниже).

   Для подключения к Серверу администрирования через порт, отличный от установленного по умолчанию, в поле Адрес Сервера администрирования требуется ввести значение в формате <Имя Сервера администрирования>:<Порт>.

   Пользователям, не обладающим правами на Чтение, будет отказано в доступе к Серверу администрирования.

   

   Процесс подключения к Серверу администрирования

4. Нажмите на кнопку ОК для завершения переключения между Серверами.

После соединения с Сервером администрирования структура папок соответствующего ему узла в дереве консоли обновляется.

Права доступа к Серверу администрирования и его объектам

При установке Kaspersky Security Center автоматически формируются группы пользователей KLAdmins и KLOperators. Этим группам предоставляются права на подключение к Серверу администрирования и на работу с его объектами.

В зависимости от того, под какой учетной записью проводится установка Kaspersky Security Center, группы KLAdmins и KLOperators создаются следующим образом:

• Если установка проводится под учетной записью пользователя, входящего в домен, группы создаются в домене, в который входит Сервер администрирования, и на Сервере администрирования.
• Если установка проводится под учетной записью системы, группы создаются только на Сервере администрирования.

Просмотр групп KLAdmins и KLOperators и внесение необходимых изменений в права пользователей групп KLAdmins и KLOperators можно осуществлять при помощи стандартных средств администрирования операционной системы.

Группе KLAdmins предоставлены все права, группе KLOperators – права на чтение и выполнение. Набор прав, предоставленных группе KLAdmins, недоступен для изменения.

Пользователи, входящие в группу KLAdmins, называются администраторами Kaspersky Security Center, пользователи из группы KLOperators – операторами Kaspersky Security Center.

Помимо пользователей, входящих в группу KLAdmins, права администратора Kaspersky Security Center предоставляются локальным администраторам устройств, на которых установлен Сервер администрирования.

Локальных администраторов можно исключать из списка пользователей, имеющих права администратора Kaspersky Security Center.

Все операции, запущенные администраторами Kaspersky Security Center, выполняются с правами учетной записи Сервера администрирования.

Для каждого Сервера администрирования в сети можно сформировать свою группу KLAdmins, обладающую правами только в рамках работы с этим Сервером.

Если устройства, относящиеся к одному домену, входят в группы администрирования разных Серверов, то администратор домена является администратором Kaspersky Security Center в рамках всех этих групп администрирования. Группа KLAdmins для этих групп администрирования едина и создается при установке первого Сервера администрирования. Операции, запущенные администратором Kaspersky Security Center, выполняются с правами учетной записи того Сервера администрирования, для которого они запущены.

После установки программы администратор Kaspersky Security Center может выполнять следующие действия:

• изменять права, предоставляемые группам KLOperators;
• определять права доступа к функциям программы Kaspersky Security Center другим группам пользователей и отдельным пользователям, зарегистрированным на рабочем месте администратора;
• определять права доступа пользователей к работе в каждой группе администрирования.

Администратор Kaspersky Security Center может назначать права доступа к каждой группе администрирования или к другим объектам Сервера администрирования в разделе Безопасность окна свойств выбранного объекта.

Вы можете отследить действия пользователя при помощи записей о событиях в работе Сервера администрирования. Записи о событиях отображаются в узле Сервер администрирования на закладке События. Эти события имеют уровень важности Информационные события; типы событий начинаются со слова Аудит.

Условия подключения к Серверу администрирования через интернет

Если Сервер администрирования является удаленным, то есть находится вне сети организации, клиентские устройства подключаются к нему через интернет.

Для подключения устройств к Серверу администрирования через интернет должны быть выполнены следующие условия:

• Удаленный Сервер администрирования должен иметь внешний IP-адрес, и на нем должен быть открыт входящий порт 13000 (для подключения от Агентов администрирования). Рекомендуется также открыть порт UDP 13000 (для приема уведомлений о выключении устройств).
• На устройствах должны быть установлены Агенты администрирования.
• При установке Агента администрирования на устройства должен быть указан внешний IP-адрес удаленного Сервера администрирования. Если для установки используется инсталляционный пакет, внешний IP-адрес требуется указать вручную в свойствах инсталляционного пакета в разделе Параметры.
• Для управления программами и задачами устройства с помощью удаленного Сервера администрирования требуется установить флажок Не разрывать соединение с Сервером администрирования в окне свойств этого устройства в разделе Общие. После установки флажка необходимо дождаться синхронизации Сервера администрирования с удаленным устройством. Непрерывное соединение с Сервером администрирования могут поддерживать не более 300 клиентских устройств одновременно.

Для ускорения выполнения задач, поступающих от удаленного Сервера администрирования, можно открыть на устройстве порт 15000. В этом случае для запуска задачи Сервер администрирования посылает специальный пакет Агенту администрирования по порту 15000, не дожидаясь синхронизации с устройством.

В начало

Защищенное подключение к Серверу администрирования

Обмен информацией между клиентскими устройствами и Сервером администрирования, а также подключение Консоли администрирования к Серверу администрирования могут производиться с использованием протокола TLS (Transport Layer Security). Протокол TLS позволяет идентифицировать стороны, взаимодействующие при подключении, осуществлять шифрование передаваемых данных и обеспечивать их защиту от изменения при передаче. В основе протокола TLS лежит аутентификация взаимодействующих сторон и шифрование данных по методу открытых ключей.

Аутентификация Сервера при подключении устройства

При первом подключении клиентского устройства к Серверу администрирования Агент администрирования на устройстве получает копию сертификата Сервера администрирования и сохраняет его локально.

При локальной установке Агента администрирования на устройство сертификат Сервера администрирования можно выбрать вручную.

На основании полученной копии сертификата осуществляется проверка прав и полномочий Сервера администрирования при следующих соединениях.

В дальнейшем, при каждом подключении устройства к Серверу администрирования Агент администрирования запрашивает сертификат Сервера администрирования и сравнивает его с локальной копией. Если они не совпадают, доступ Сервера администрирования к устройству не разрешается.

Аутентификация Сервера при подключении Консоли администрирования

При первом подключении к Серверу администрирования Консоль администрирования запрашивает сертификат Сервера администрирования и сохраняет его копию локально на рабочем месте администратора. На основании полученной копии сертификата при последующих подключениях Консоли администрирования к этому Серверу администрирования осуществляется идентификация Сервера администрирования.

Если сертификат Сервера администрирования не совпадает с копией сертификата, хранящейся на рабочем месте администратора, Консоль администрирования выводит запрос на подтверждение подключения к Серверу администрирования с заданным именем и на получение нового сертификата. После подключения Консоль администрирования сохраняет копию нового сертификата Сервера администрирования, которая будет использоваться для идентификации Сервера в дальнейшем.

Отключение от Сервера администрирования

Чтобы отключиться от Сервера администрирования:

1. В дереве консоли выберите узел, соответствующий Серверу администрирования, от которого нужно отключиться.
2. В контекстном меню узла выберите пункт Отключиться от Сервера администрирования.

Добавление Сервера администрирования в дерево консоли

Чтобы добавить в дерево консоли Сервер администрирования:

1. В главном окне программы Kaspersky Security Center выберите в дереве консоли узел Kaspersky Security Center 13.2.
2. В контекстном меню узла выберите пункт Новый → Сервер администрирования.

В результате в дереве консоли будет создан узел с именем Сервер администрирования – <Имя устройства> (Не подключен), с которого вы можете подключиться к любому из установленных в сети Серверов администрирования.

Удаление Сервера администрирования из дерева консоли

Чтобы удалить Сервер администрирования из дерева консоли:

1. В дереве консоли выберите узел, соответствующий удаляемому Серверу администрирования.
2. В контекстном меню узла выберите пункт Удалить.

Добавление виртуального Сервера администрирования в дерево консоли

Чтобы добавить в дерево консоли виртуальный Сервер администрирования:

1. В дереве консоли выберите узел с именем нужного вам Сервера администрирования, для которого нужно создать виртуальный Сервер администрирования.
2. В узле Сервера администрирования выберите папку Серверы администрирования.

3. В рабочей области папки Серверы администрирования перейдите по ссылке Добавить виртуальный Сервер администрирования.

   Запустится мастер добавления виртуального Сервера администрирования.

4. В окне Имя виртуального Сервера администрирования укажите имя создаваемого виртуального Сервера.

   Имя виртуального Сервера администрирования не может превышать 255 символов и содержать специальные символы ("*<>?\:|).

5. В окне Ввод адреса подключения устройств к виртуальному Серверу укажите адрес подключения устройств.

   Адрес подключения виртуального Сервера администрирования – это сетевой адрес, по которому к нему будут подключаться устройства. Адрес подключения состоит из двух частей: сетевого адреса физического Сервера администрирования и имени виртуального Сервера, разделенных символом косой черты (слешем). Имя виртуального Сервера будет подставлено автоматически. Указанный адрес будет использоваться на этом виртуальном Сервере как адрес по умолчанию в инсталляционных пакетах Агента администрирования.

6. В окне Создание учетной записи администратора виртуального Сервера назначьте администратором виртуального Сервера пользователя из списка или добавьте новую учетную запись для администратора по кнопке Создать.

   Вы можете указать несколько учетных записей.

В результате в дереве консоли будет создан узел с именем Сервер администрирования – <Имя виртуального Сервера>.

Смена учетной записи службы Сервера администрирования. Утилита klsrvswch

Если вам требуется изменить учетную запись службы Сервера администрирования, заданную при установке программы Kaspersky Security Center, вы можете воспользоваться утилитой смены учетной записи Сервера администрирования klsrvswch.

При установке Kaspersky Security Center утилита автоматически копируется в папку установки программы.

Количество запусков утилиты не ограничено.

Утилита klsrvswch позволяет менять тип учетной записи. Например, если вы используете локальную учетную запись, вы можете сменить ее на доменную учетную запись либо на управляемую учетную запись службы (и наоборот). Утилита klsrvswch не позволяет изменить тип учетной записи на групповую управляемую учетную запись службы (gMSA).

Windows Vista и более поздние версии Windows не позволяют использовать учетную запись LocalSystem для Сервера администрирования. В этих версиях операционных систем Windows учетная запись LocalSystem неактивна.

Чтобы изменить учетную запись службы Сервера администрирования на доменную учетную запись:

1. Запустите утилиту klsrvswch из папки установки Kaspersky Security Center.

   В результате запускается мастер изменения учетной записи службы Сервера администрирования. Следуйте далее указаниям мастера.

2. В окне Учетная запись службы Сервера администрирования выберите Учетная запись LocalSystem.

В результате работы мастера учетная запись Сервера администрирования изменяется. Служба Сервера администрирования запустится под учетной записью LocalSystem и будет использовать ее учетные данные.

Для правильной работы Kaspersky Security Center требуется, чтобы учетная запись для запуска службы Сервера администрирования обладала правами администратора ресурса для размещения информационной базы Сервера администрирования.

Чтобы изменить учетную запись службы Сервера администрирования на учетную запись пользователя или на управляемую учетную запись службы:

1. Запустите утилиту klsrvswch из папки установки Kaspersky Security Center.

   В результате запускается мастер изменения учетной записи службы Сервера администрирования. Следуйте далее указаниям мастера.

2. В окне Учетная запись службы Сервера администрирования выберите Учетная запись пользователя.
3. Нажмите на кнопку Найти.

   Откроется окно Выбор пользователя.

4. В окне Выбор пользователя нажмите на кнопку Типы объекта.
5. В списке типов объекта выберите Пользователи (если вы хотите использовать учетную запись пользователя) или Учетная запись для служб (если вы хотите использовать управляемую учетную запись службы) и нажмите на кнопку ОК.
6. В поле для имени объекта введите имя учетной записи или часть имени и нажмите на кнопку Проверить имена.
7. В списке соответствующих имен выберите необходимое имя и нажмите на кнопку ОК.
8. Если вы выбрали Учетные записи служб, в окне Пароль учетной записи, оставьте поля Пароль и Подтверждение пароля пустыми. Если вы выбрали Пользователи, введите пароль для пользователя и подтвердите его.

Учетная запись службы Сервера администрирования будет запускаться под выбранной вами учетной записью.

При использовании Microsoft SQL-сервера в режиме аутентификации учетной записи пользователя средствами Windows требуется обеспечить доступ к базе данных. Учетная запись пользователя должна быть владельцем базы данных Kaspersky Security Center. По умолчанию требуется использовать схему dbo.

В начало

Изменение учетных данных СУБД

Иногда может потребоваться изменить учетные данные СУБД, например, чтобы выполнить ротацию учетных данных в целях безопасности.

Чтобы изменить учетные данные СУБД в среде Windows с помощью утилиты klsrvswch.exe:

1. Запустите утилиту klsrvswch, которая расположена в папке установки Kaspersky Security Center.
2. Нажимайте на кнопку Далее мастера, пока не дойдете до шага Изменить учетные данные для доступа к СУБД.
3. На шаге мастера Изменить учетные данные для доступа к СУБД выполните следующие действия:
   • Выберите параметр Применить новые учетные данные.
   • Укажите новое имя учетной записи в поле Учетная запись.
   • Укажите новый пароль для учетной записи в поле Пароль.
   • Подтвердите новый пароль в поле Подтвердить пароль.

   Вы должны указать учетные данные учетной записи, которая существует в СУБД.

4. Нажмите на кнопку Далее.

После завершения работы мастера учетные данные СУБД изменяются.

Решение проблем с узлами Сервера администрирования

Дерево в левой панели Консоли администрирования содержит узлы, соответствующие Серверам администрирования. Вы можете добавить в дерево консоли столько Серверов администрирования, сколько вам нужно.

Консоль управления Microsoft Management Console (MMC) сохраняет список узлов Сервера администрирования в дереве консоли в теневую копию файла .msc. Теневая копия этого файла хранится в папке %USERPROFILE%\AppData\Roaming\Microsoft\MMC\ на устройстве, на котором установлена Консоль администрирования. Для каждого узла Сервера администрирования в файле содержится следующая информация:

• адрес Сервера администрирования;
• номер порта;
• используется ли TLS.

  Этот параметр зависит от номера порта, используемого для подключения Консоли администрирования к Серверу администрирования.

• имя пользователя;
• сертификат Сервера администрирования.

Устранение неисправностей

При подключении Консоли администрирования к Серверу администрирования сохраненный локально сертификат сравнивается с сертификатом Сервера администрирования. Если сертификаты не совпадают, в Консоли администрирования возникает ошибка. Несовпадение сертификатов может произойти, например, при замене сертификата Сервера администрирования. В этом случае необходимо повторно создать узел Сервер администрирования в консоли.

Чтобы повторно создать узел Сервера администрирования:

1. Закройте окно Консоли администрирования Kaspersky Security Center.
2. Удалите файл Kaspersky Security Center 13.2 из папки %USERPROFILE%\AppData\Roaming\Microsoft\MMC\.
3. Запустить Консоль администрирования Kaspersky Security Center.

   Отобразится предложение подключиться к Серверу администрирования и принять его существующий сертификат.

4. Выполните одно из следующих действий:
   • Примите существующий сертификат, нажав на кнопку Да.
   • Чтобы указать ваш сертификат, нажмите на кнопку Нет и перейдите к файлу сертификата, используемого для аутентификации Сервера администрирования.

Проблема с сертификатом решена. Вы можете использовать Консоль администрирования для подключения к Серверу администрирования.

Просмотр и изменение параметров Сервера администрирования

Вы можете настраивать параметры Сервера администрирования в окне свойств Сервера администрирования.

Чтобы открыть окно Свойства: Сервер администрирования,

в контекстном меню узла Сервера администрирования в дереве консоли выберите пункт Свойства.

Настройка общих параметров Сервера администрирования

Вы можете настраивать общие параметры Сервера администрирования в разделах Общие, Параметры подключения к Серверу администрирования, Хранилище событий и Безопасность окна свойств Сервера администрирования.

Раздел Безопасность не отображается в окне свойств Сервера администрирования, если его отображение выключено в интерфейсе Консоли администрирования.

Чтобы включить отображение раздела Безопасность в Консоли администрирования:

1. В дереве консоли выберите требуемый Сервер администрирования.
2. В меню Вид главного окна программы выберите пункт Настройка интерфейса.
3. В открывшемся окне Настройка интерфейса установите флажок Отображать разделы с параметрами безопасности и нажмите на кнопку ОК.
4. В окне с сообщением программы нажмите на кнопку ОК.

Раздел Безопасность отобразится в окне свойств Сервера администрирования.

Параметры интерфейса Консоли администрирования

Вы можете настроить параметры интерфейса Консоли администрирования для отображения или скрытия элементов управления пользовательского интерфейса, связанных со следующими функциями:

• Системное администрирование;
• Шифрование и защита данных.
• Параметры контроля рабочего места.
• Управление мобильными устройствами.
• Подчиненные Серверы администрирования.
• Разделы с параметрами безопасности.

Чтобы настроить параметры интерфейса Консоли администрирования:

1. В дереве консоли выберите требуемый Сервер администрирования.
2. В меню Вид главного окна программы выберите пункт Настройка интерфейса.
3. В открывшемся окне Настройка интерфейса установите флажок рядом с функциональностью, которая должна отображаться, и нажмите на кнопку ОК.
4. В окне с сообщением программы нажмите на кнопку ОК.

Выбранная функциональность отображается в интерфейсе Консоли администрирования.

Обработка и хранение событий на Сервере администрирования

Информация о событиях в работе программы и управляемых устройств сохраняется в базе данных Сервера администрирования. Каждое событие относится к определенному типу и уровню важности (Критическое событие, Отказ функционирования, Предупреждение, Информационное сообщение). В зависимости от условий, при которых произошло событие, программа может присваивать событиям одного типа разные уровни важности.

Вы можете просматривать типы и уровни важности событий в разделе Настройка событий окна свойств Сервера администрирования. В разделе Настройка событий вы также можете настроить параметры обработки каждого события Сервером администрирования:

• регистрацию событий на Сервере администрирования и в журналах событий операционной системы на устройстве и на Сервере администрирования;
• способ уведомления администратора о событии (например, SMS, сообщение электронной почты).

В разделе Хранилище событий окна свойств Сервера администрирования можно настроить параметры хранения событий в базе данных Сервера администрирования: ограничить количество записей о событиях и время хранения записей. Когда вы указываете максимальное количество событий, программы вычисляет приблизительный размер дискового пространства для хранения указанного числа событий. Вы можете использовать этот расчет, чтобы оценить, достаточно ли у вас свободного дискового пространства, чтобы избежать переполнения базы данных. По умолчанию емкость базы данных Сервера администрирования – 400 000 событий. Максимальная рекомендованная емкость базы данных – 45 000 000 событий.

Если количество событий в базе данных достигает указанного администратором максимального значения, программа удаляет самые старые события и записывает новые. Когда Сервер администрирования удаляет старые события, он не может сохранять новые события в базе данных. В течение этого периода информация о событиях, которые были отклонены, записывается в журнал событий Kaspersky Event Log. Новые события помещаются в очередь, а затем сохраняются в базе данных после завершения операции удаления.

Можно изменить параметры любой задачи, чтобы сохранять события, связанные с ходом выполнения задачи, или сохранять только результаты выполнения задачи. Таким образом вы уменьшаете количество событий в базе данных, увеличиваете скорость работы сценариев, связанных с анализом таблицы событий в базе данных, и снижаете риск вытеснения критических событий большим количеством событий.

Просмотр журнала подключений к Серверу администрирования

Можно сохранить в файл журнала историю подключений и попыток подключения к Серверу администрирования в процессе его работы. Информация в файле позволит отследить не только подключения внутри инфраструктуры сети, но и попытки несанкционированного доступа к Серверу администрирования.

Чтобы настроить регистрацию событий подключения к Серверу администрирования:

1. В дереве консоли выберите Сервер администрирования, для которого нужно включить регистрацию событий подключения.
2. В контекстном меню Сервера администрирования выберите пункт Свойства.
3. В открывшемся окне свойств в разделе Параметры подключения к Серверу администрирования выберите вложенный раздел Порты подключения.
4. Включите параметр Записывать события соединения с Сервером администрирования в журнал.
5. Нажмите на кнопку ОК, чтобы закрыть окно свойств Сервера администрирования.

Все последующие события входящих подключений к Серверу администрирования, результаты аутентификации и ошибки SSL будут записываться в файл %ProgramData%\KasperskyLab\adminkit\logs\sc.syslog.

В начало

Контроль возникновения вирусных эпидемий

Kaspersky Security Center позволяет вам своевременно реагировать на возникновение угроз вирусных эпидемий. Оценка угрозы вирусной эпидемии производится путем контроля вирусной активности на устройствах.

Вы можете настраивать правила оценки угрозы вирусной эпидемии и действия в случае ее возникновения в разделе Вирусная атака окна свойств Сервера администрирования.

Порядок оповещения о событии Вирусная атака можно задать в разделе Настройка событий окна свойств Сервера администрирования, в окне свойств события Вирусная атака.

Событие Вирусная атака формируется при возникновении событий Обнаружен вредоносный объект в работе программ безопасности. Поэтому для распознавания вирусной эпидемии информацию о событиях Обнаружен вредоносный объект требуется сохранять на Сервере администрирования.

Параметры сохранения информации о событии Обнаружен вредоносный объект задаются в политиках программ безопасности.

При подсчете событий Обнаружен вредоносный объект учитывается только информация с устройств главного Сервера администрирования. Информация с подчиненных Серверов администрирования не учитывается. Для каждого подчиненного Сервера параметры события Вирусная атака требуется настраивать индивидуально.

Ограничение трафика

Развернуть все | Свернуть все

Для снижения трафика в сети предусмотрена возможность ограничения скорости передачи данных на Сервер администрирования с отдельных IP-диапазонов и IP-интервалов.

Вы можете создавать и настраивать правила ограничения трафика в разделе Трафик окна свойств Сервера администрирования.

Чтобы создать правила ограничения трафика:

1. В дереве консоли выберите узел с именем нужного вам Сервера администрирования, для которого нужно создать правила ограничения трафика.
2. В контекстном меню Сервера администрирования выберите пункт Свойства.
3. В окне свойств Сервера администрирования выберите раздел Трафик.
4. Нажмите на кнопку Добавить.
5. В разделе Новое правило укажите следующие параметры:

   В блоке Интервал IP-адресов, для которых нужно ограничивать трафик можно выбрать способ задания подсети или диапазона, для которого ограничивается скорость передачи, и указать значения параметров для выбранного способа. Выберите один из следующих способов:

   • Задать интервал адресом и маской подсети

     Трафик ограничивается по параметрам подсети. Укажите в полях ввода адрес подсети и маску подсети для определения интервала, в пределах которого будет ограничен трафик.

     Нажмите на кнопку Обзор, чтобы добавить подсеть из глобального списка подсетей.

   • Задать интервал начальным и конечным IP-адресом

     Трафик ограничивается по интервалу IP-адресов. Укажите интервал IP-адресов в полях ввода Начальный IP-адрес и Конечный IP-адрес.

     По умолчанию этот вариант выбран.

   В блоке Ограничение трафика можно настроить следующие параметры ограничения скорости передачи данных:

   • Период

     Временной интервал, во время которого будет действовать ограничение трафика. Границы временного интервала можно указать в полях ввода.

   • Ограничение (КБ/сек)

     Предельное значение суммарной скорости передачи входящих и исходящих данных Сервера администрирования. Ограничение действует только в течение временного интервала, заданного в поле Период.

   • Ограничивать трафик на оставшееся время (КБ/сек)

     Трафик ограничивается не только в течение интервала, указанного в поле Период, но и в остальное время.

     По умолчанию флажок снят. Значение поля может не совпадать со значением поля Ограничение (КБ/сек).

В первую очередь правила ограничения трафика влияют на передачу файлов. Эти правила не применяются к трафику, который возникает при синхронизации между Сервером администрирования и Агентом администрирования, или между главным Сервером администрирования и подчиненным Сервером администрирования.

Настройка параметров Веб-сервера

Веб-сервер используется для публикации автономных инсталляционных пакетов, iOS MDM-профилей, а также файлов из папки общего доступа.

Вы можете настроить параметры подключения Веб-сервера к Серверу администрирования и задать сертификат Веб-сервера в разделе Веб-сервер окна свойств Сервера администрирования.

Работа с внутренними пользователями

Учетные записи внутренних пользователей используются для работы с виртуальными Серверами администрирования. В программе Kaspersky Security Center внутренние пользователи обладают правами реальных пользователей.

Учетные записи внутренних пользователей создаются и используются только внутри Kaspersky Security Center. Сведения о внутренних пользователях не передаются операционной системе. Аутентификацию внутренних пользователей осуществляет Kaspersky Security Center.

Вы можете настраивать параметры учетных записей внутренних пользователей в папке Учетные записи пользователей дерева консоли.

Резервное копирование и восстановление параметров Сервера администрирования

Для резервного копирования параметров Сервера администрирования и используемой им базы данных предусмотрены задача резервного копирования и утилита klbackup. Резервная копия включает в себя все основные параметры и объекты Сервера администрирования: сертификаты Сервера администрирования, мастер-ключи шифрования дисков управляемых устройств, ключи для лицензий, структуру групп администрирования со всем содержимым, задачи, политики и так далее. Имея резервную копию, можно восстановить работу Сервера администрирования в кратчайшие сроки – от десятков минут до двух часов.

В случае отсутствия резервной копии сбой может привести к безвозвратной потере сертификатов и всех параметров Сервера администрирования. Это повлечет необходимость заново настраивать Kaspersky Security Center, а также заново выполнять первоначальное развертывание Агента администрирования в сети организации. Кроме того, будут потеряны и мастер-ключи шифрования дисков управляемых устройств, что создаст риск безвозвратной потери зашифрованных данных на устройствах с Kaspersky Endpoint Security. Поэтому не следует отказываться от регулярного создания резервных копий Сервера администрирования с помощью штатной задачи резервного копирования.

Мастер первоначальной настройки программы создает задачу резервного копирования параметров Сервера администрирования с ежедневным запуском в четыре часа ночи. Резервные копии по умолчанию сохраняются в папке %ALLUSERSPROFILE%\Application Data\KasperskySC.

Если в качестве СУБД используется экземпляр Microsoft SQL Server, установленный на другом устройстве, следует изменить задачу резервного копирования: указать в качестве папки для хранения сделанных резервных копий UNC-путь, доступный на запись как службе Сервера администрирования, так и службе SQL Server. Это неочевидное требование является следствием особенности резервного копирования в СУБД Microsoft SQL Server.

Если в качестве СУБД используется локальный экземпляр Microsoft SQL Server, также рекомендуется сохранять резервные копии на отдельном носителе, чтобы обезопасить их от повреждения одновременно с Сервером администрирования.

Поскольку резервная копия содержит важные данные, в задаче резервного копирования и в утилите klbackup предусмотрена защита резервных копий паролем. По умолчанию задача резервного копирования создается с пустым паролем. Следует обязательно задать пароль в свойствах задачи резервного копирования. Несоблюдение этого требования приведет к тому, что ключи сертификатов Сервера администрирования, ключи для лицензий и мастер-ключи шифрования дисков управляемых устройств окажутся незашифрованными.

Помимо регулярного резервного копирования, следует также создавать резервную копию перед всеми значимыми изменениями, в том числе перед обновлением Сервера администрирования до новой версии и перед установкой патчей Сервера администрирования.

Если вы используете Microsoft SQL Server в качестве СУБД, вы можете минимизировать размер резервных копий. Для этого установите флажок Сжимать резервные копии (Compress backup) в параметрах SQL Server.

Восстановление из резервной копии выполняется с помощью утилиты klbackup на только что установленном и работоспособном экземпляре Сервера администрирования той версии, для которой была сделана резервная копия (или более новой).

Инсталляция Сервера администрирования, на которую выполняется восстановление, должна использовать СУБД того же типа (например, тот же SQL Server или MariaDB) той же самой или более новой версии. Версия Сервера администрирования может быть той же самой (с аналогичным или более новым патчем) или более новой.

В этом разделе описаны типовые сценарии восстановления параметров и объектов Сервера администрирования.

Использование снимка файловой системы для уменьшения времени резервного копирования

В Kaspersky Security Center 13.2 уменьшено по сравнению с более ранними версиями время простоя Сервера администрирования во время резервного копирования данных. Кроме того, в параметры задачи добавлена функция Использовать моментальный снимок файловой системы для резервного копирования данных. Эта функция позволяет дополнительно уменьшить время простоя за счет того, что утилита klbackup создает при выполнении резервного копирования теневую копию диска (это занимает несколько секунд) и одновременно производит копирование базы данных (это занимает не более нескольких минут). Создав теневую копию диска и сделав копию базы данных, klbackup снова делает Сервер администрирования доступным для соединения.

Вы можете пользоваться функцией создания снимка файловой системы только при соблюдении двух условий:

• Папка общего доступа Сервера администрирования и папка %ALLUSERSPROFILE%\KasperskyLab находятся на одном логическом диске и локальны по отношению к Серверу администрирования.
• Внутри папки %ALLUSERSPROFILE%\KasperskyLab нет созданных вручную символических ссылок.

Не используйте функцию, если хотя бы одно из этих условий не выполняется. В ответ на попытку создать снимок файловой системы программа выдаст сообщение об ошибке.

Для использования функции необходимо иметь учетную запись с правами на создание снимков логического диска, на котором расположена папка %ALLUSERSPROFILE%. Учетная запись службы сервера администрирования не имеет таких прав.

Чтобы воспользоваться функцией создания снимка файловой системы для уменьшения времени резервного копирования:

1. В разделе Задачи выберите задачу резервного копирования.
2. В контекстном меню выберите пункт Свойства.
3. В отобразившемся окне свойств задачи выберите раздел Параметры.
4. Установите флажок Использовать моментальный снимок файловой системы для резервного копирования данных.
5. В полях Имя пользователя и Пароль введите имя и пароль от учетной записи, имеющей право на создание снимков логического диска, на котором расположена папка %ALLUSERSPROFILE%.
6. Нажмите на кнопку Применить.

При следующих запусках задачи резервного копирования утилита klbackup будет создавать снимки файловой системы, и время простоя Сервера администрирования во время выполнения задачи уменьшится.

Вышло из строя устройство с Сервером администрирования

Если в результате сбоя вышло из строя устройство с Сервером администрирования, рекомендуется выполнить следующие действия:

• Новому Серверу назначить тот же самый адрес: NetBIOS-имя, FQDN-имя, статический IP – в зависимости от того, что было задано при развертывании Агентов администрирования.
• Установить Сервер администрирования с использованием СУБД того же типа, той же или более новой версии. Можно установить ту же версию Сервера с тем же или более новым патчем, или более новую версию. После установки не следует выполнять первоначальную настройку с помощью мастера.
• Из меню Пуск запустить утилиту резервного копирования klbackup и выполнить восстановление.

Повреждены параметры Сервера администрирования или база данных

Если Сервер администрирования стал неработоспособен в результате повреждения параметров или базы данных (например, из-за сбоя питания), рекомендуется использовать следующий сценарий восстановления:

1. Выполнить проверку файловой системы на пострадавшем устройстве.
2. Деинсталлировать неработоспособную версию Сервера администрирования.
3. Заново установить Сервер администрирования с использованием СУБД того же типа, той же или более новой версии. Можно установить ту же версию Сервера с тем же или более новым патчем, или более новую версию. После установки не следует выполнять первоначальную настройку с помощью мастера.
4. Из меню Пуск запустить утилиту резервного копирования klbackup и выполнить восстановление.

Недопустимо восстанавливать Сервер администрирования любым другим способом, кроме штатной утилиты klbackup.

Во всех случаях восстановления Сервера с помощью стороннего программного обеспечения неизбежно произойдет рассинхронизация данных на узлах распределенной программы Kaspersky Security Center и, как следствие, неправильная работа программы.

Резервное копирование и восстановление данных Сервера администрирования

Резервное копирование данных позволяет переносить Сервер администрирования с одного устройства на другое без потерь информации. С помощью резервного копирования вы можете восстанавливать данные при переносе информационной базы Сервера администрирования на другое устройство или при переходе на более позднюю версию Kaspersky Security Center.

Обратите внимание, что резервные копии установленных плагинов управления не сохраняются. После восстановления данных Сервера администрирования из резервной копии необходимо загрузить и переустановить плагины управляемых программ.

Вы можете создать резервную копию данных Сервера администрирования одним из следующих способов:

• Создать и запустить задачу резервного копирования данных через Консоль администрирования.
• Запустить утилиту klbackup на устройстве, где установлен Сервер администрирования. Утилита входит в состав комплекта поставки Kaspersky Security Center. После установки Сервера администрирования утилита находится в корне папки назначения, указанной при установке программы.

В резервной копии данных Сервера администрирования сохраняются следующие данные:

• база данных Сервера администрирования (политики, задачи, параметры программ, сохраненные на Сервере администрирования события);
• конфигурационная информация о структуре групп администрирования и клиентских устройствах;
• хранилище дистрибутивов программ для удаленной установки;
• сертификат Сервера администрирования.

Восстановление данных Сервера администрирования возможно только с помощью утилиты klbackup.

Создание задачи резервного копирования данных

Задача резервного копирования является задачей Сервера администрирования и создается мастером первоначальной настройки. Если задача резервного копирования, созданная мастером первоначальной настройки, была удалена, вы можете создать ее вручную.

Чтобы создать задачу резервного копирования данных Сервера администрирования:

1. В дереве консоли выберите папку Задачи.
2. Запустите процесс создания одним из следующих способов:
   • В контекстном меню папки дерева консоли Задачи выберите пункт Создать → Задачу.
   • Нажмите на кнопку Создать задачу, расположенную в рабочей области.

Запустится мастер создания задачи. Следуйте далее указаниям мастера. В окне мастера Выбор типа задачи выберите тип задачи Резервное копирование данных Сервера администрирования.

Задачу Резервное копирование данных Сервера администрирования можно создать только в одном экземпляре. Если задача резервного копирования данных Сервера администрирования уже создана для Сервера администрирования, то она не отображается в окне выбора типа задачи мастера создания задачи.

Утилита резервного копирования и восстановления данных (klbackup)

Вы можете выполнять копирование данных Сервера администрирования для резервного хранения и последующего восстановления с помощью утилиты klbackup, входящей в состав дистрибутива Kaspersky Security Center.

Утилита klbackup может работать в двух режимах:

• интерактивный;
• неинтерактивный.

В начало

Резервное копирование и восстановление данных в интерактивном режиме

Развернуть все | Свернуть все

Чтобы создать резервную копию данных Сервера администрирования в интерактивном режиме:

1. Запустите утилиту klbackup, расположенную в папке установки Kaspersky Security Center.

   В результате запустится мастер выполнения резервного копирования и восстановления данных.

2. В первом окне мастера выберите Выполнить резервное копирование данных Сервера администрирования.

   При выборе параметра Выполнять резервное копирование и восстановление только для сертификата Сервера администрирования будет сохранена только резервная копия сертификата Сервера администрирования.

   Нажмите Далее.

3. В следующем окне мастера укажите пароль и папку назначения для резервного копирования, а затем нажмите на кнопку Далее, чтобы начать резервное копирование.
4. Если вы работаете с базой данных в облачном окружении, таком как Amazon Web Services (AWS) или Microsoft Azure, заполните следующие поля в окне Войти в онлайн-хранилище:
   • Для AWS:
     • Имя корзины S3

       Имя корзины S3, которое вы создали для резервной копии данных.

     • ID ключа доступа

       Вы получили ID ключа (последовательность из букв и цифр), когда создали учетную запись IAM-пользователя для работы с корзиной S3 в хранилище инстансов.

       Поле доступно, если вы выбрали базу RDS для контейнера S3.

     • Секретный ключ

       Секретный ключ, который вы получили с ID ключа доступа при создании учетной записи IAM-пользователя.

       Символы секретного ключа отображаются в виде звездочек. После того, как вы начали вводить секретный ключ, отображается кнопка Показать. Нажмите на эту кнопку и удерживайте ее необходимое вам время, чтобы просмотреть введенные символы.

       Поле доступно, если вы выбрали для авторизации ключ доступа AWS IAM, а не IAM-роль.

   • Для Microsoft Azure:
     • Имя учетной записи хранения Azure

       Вы создали имя учетной записи хранения Azure для работы с Kaspersky Security Center.

     • Идентификатор подписки Azure

       Вы создали подписку на портале Azure.

     • Пароль Azure

       Вы получили пароль к идентификатору приложения при создании ID приложения в Azure.

       Символы пароля отображаются в виде звездочек. После того, как вы начали вводить пароль, отображается кнопка Показать. Нажмите и удерживайте эту кнопку, чтобы просмотреть введенные символы.

     • Идентификатор приложения в Azure

       Вы создали этот идентификатор приложения на портале Azure.

       Вы можете указать только один идентификатор приложения в Azure для опроса и других целей. Если необходимо опрашивать другой сегмент Azure, вы должны сначала удалить первый сегмент в существующем соединении Azure.

     • Имя SQL-сервера Azure

       Имя и группа источника доступны в свойствах SQL-сервера Azure.

     • Группа источника SQL-сервера Azure

       Имя и группа источника доступны в свойствах SQL-сервера Azure.

     • Ключ доступа хранилища Azure

       Доступен в свойствах учетной записи хранения в разделе "Access Keys". Вы можете использовать любой ключ (key1 или key2).

Чтобы восстановить данные Сервера администрирования в интерактивном режиме:

1. Запустите утилиту klbackup, расположенную в папке установки Kaspersky Security Center. Запустите утилиту под той же учетной записью, под которой был установлен Сервер администрирования.

   В результате запустится мастер выполнения резервного копирования и восстановления данных.

2. В первом окне мастера выберите Выполнить восстановление данных Сервера администрирования.

   Если вы выбрали параметр Выполнять резервное копирование и восстановление только для сертификата Сервера администрирования будет выполнено только восстановление сертификата Сервера администрирования.

   Нажмите Далее.

3. В окне мастера Параметры восстановления:
   • Укажите папку, содержащую резервную копию данных Сервера администрирования.

     Если вы работаете в облачном окружении, таком как AWS или Azure, укажите адрес хранилища. Также убедитесь, что файл называется backup.zip.

   • Укажите пароль, введенный при резервном копировании данных.

     При восстановлении данных необходимо указать тот же пароль, который был введен во время резервного копирования. Если после резервного копирования путь к общей папке изменился, проверьте работу задач, использующих восстановленные данные (задачи восстановления и задачи удаленной установки). При необходимости отредактируйте параметры этих задач. Пока данные восстанавливаются из файла резервной копии, никто не должен иметь доступ к общей папке Сервера администрирования. Учетная запись, под которой запускается утилита klbackup, должна иметь полный доступ к общей папке.

4. Нажмите на кнопку Далее для восстановления данных.

Резервное копирование и восстановление данных в неинтерактивном режиме

Чтобы создать резервную копию данных или восстановить данные Сервера администрирования в неинтерактивном режиме,

в командной строке устройства, на котором установлен Сервер администрирования, запустите утилиту klbackup с необходимым набором ключей.

Синтаксис командной строки утилиты:

klbackup -path BACKUP_PATH [-logfile LOGFILE] [-use_ts]|[-restore] [-password PASSWORD] [-online]

Если не задать пароль в командной строке утилиты klbackup, утилита запросит его ввод интерактивно.

Описания ключей:

• -path BACKUP_PATH – сохранить информацию в папке BACKUP_PATH / использовать для восстановления данные из папки BACKUP_PATH (обязательный параметр).
• -logfile LOGFILE – сохранить отчет о копировании или восстановлении данных Сервера администрирования.

  Учетная запись сервера базы данных и утилита klbackup должны обладать правами на изменение данных в папке BACKUP_PATH.

• -use_ts – при сохранении данных копировать информацию в папку BACKUP_PATH, во вложенную папку с именем, отображающим текущую системную дату и время операции в формате klbackup ГГГГ-ММ-ДД # ЧЧ-ММ-СС. Если ключ не задан, информация сохраняется в корне папки BACKUP_PATH.

  При попытке сохранить информацию в папку, в которой уже есть резервная копия, появится сообщение об ошибке. Обновление информации не произойдет.

  Наличие ключа -use_ts позволяет вести архив данных Сервера администрирования. Например, если ключом -path была задана папка C:\KLBackups, то в папке klbackup 2022-06-19 # 11-30-18, сохранится информация о состоянии Сервера администрирования на дату 19 июня 2022 года, 11 часов 30 минут 18 секунд.

• -restore – выполнить восстановление данных Сервера администрирования. Восстановление данных осуществляется на основании информации, представленной в папке BACKUP_PATH. Если ключ отсутствует, производится резервное копирование данных в папку BACKUP_PATH.
• -password PASSWORD – сохранить или восстановить сертификат Сервера администрирования; для шифрования и расшифровки сертификата использовать пароль, заданный параметром PASSWORD.

  Забытый пароль не может быть восстановлен. Требования к паролю отсутствуют. Длина пароля не ограничена, также возможна нулевая длина пароля (то есть без пароля).

  При восстановлении данных необходимо указать тот же пароль, который был введен во время резервного копирования. Если после резервного копирования путь к общей папке изменился, проверьте работу задач, использующих восстановленные данные (задачи восстановления и задачи удаленной установки). При необходимости отредактируйте параметры этих задач. Пока данные восстанавливаются из файла резервной копии, никто не должен иметь доступ к общей папке Сервера администрирования. Учетная запись, под которой запускается утилита klbackup, должна иметь полный доступ к общей папке. Рекомендуется запускать утилиту на только что установленном Сервере администрирования.

• -online – создать резервную копию данных Сервера администрирования, создав моментальный снимок, чтобы минимизировать время автономного состояния Сервера администрирования. Если вы используете утилиту резервного копирования и восстановления данных, этот параметр игнорируется.

Перенос Сервера администрирования и сервера баз данных на другое устройство

Развернуть все | Свернуть все

Если вам нужно использовать Сервер администрирования на новом устройстве, вы можете перенести его одним из следующих способов:

• Переместить Сервер администрирования и сервер баз данных на новое устройство.
• Оставить сервер баз данных на старом устройстве и перенести на новое устройство только Сервер администрирования.

Чтобы перенести Сервер администрирования и сервер баз данных на новое устройство:

1. На предыдущем устройстве создайте резервную копию данных Сервера администрирования.

   Для этого запустите задачу резервного копирования данных с помощью Консоли администрирования или запустите утилиту klbackup.

   Если вы используете SQL Server в качестве СУБД для Сервера администрирования на предыдущем устройстве, Kaspersky Security Center создаст резервную копию данных, совместимую с SQL Server. Это означает, что вы не сможете восстановить данные из резервной копии в MySQL или MariaDB на новом устройстве.

2. Выберите новое устройство, на которое будет установлен Сервер администрирования. Убедитесь, что аппаратное и программное обеспечение на выбранном устройстве соответствует требованиям для Сервера администрирования, Консоли администрирования и Агента администрирования. Проверьте, что порты, используемые на Сервере администрирования доступны.
3. На новом устройстве установите систему управления базами данных (СУБД), которую будет использовать Сервер администрирования.

   При выборе СУБД учитывайте количество устройств, которые обслуживает Сервер администрирования.

4. Запустите выборочную установку Сервера администрирования на новом устройстве.
5. Установите компоненты Сервера администрирования в ту же папку, где Сервер администрирования установлен на предыдущем устройстве. Нажмите на кнопку Обзор, чтобы указать путь к файлу.

   

   Окно выборочной установки

6. Настройте параметры подключения к серверу базы данных.

   

   Пример окна параметров подключения для Microsoft SQL Server

   В зависимости от того, где вам нужно разместить сервер базы данных, выполните одно из следующих действий:

   • Переместите сервер базы данных на новое устройство.
     1. Нажмите на кнопку Обзор рядом с полем Имя SQL-сервера и выберите имя нового устройства в появившемся списке.
     2. Введите имя новой базы данных в поле Имя базы данных.

        Обратите внимание, что имя новой базы данных должно совпадать с именем базы данных на предыдущем устройстве. Имена баз должны совпадать, чтобы можно было использовать резервную копию Сервера администрирования. Имя базы данных по умолчанию KAV.

   • Оставьте сервер базы данных на предыдущем устройстве.
     1. Нажмите на кнопку Обзор рядом с полем Имя SQL-сервера и выберите имя предыдущего устройства в появившемся списке.

        Обратите внимание, что предыдущее устройство должно быть доступно для связи с новым Сервером администрирования.

     2. Введите имя предыдущей базы данных в поле Имя базы данных.
7. После завершения установки восстановите данные Сервера администрирования на новом устройстве с помощью утилиты klbackup.

   Если вы используете SQL Server в качестве СУБД на предыдущем и новом устройствах, обратите внимание, что версия SQL Server, установленная на новом устройстве, должна быть такой же или выше, чем версия SQL Server, установленная на предыдущем устройстве. Иначе вы не сможете восстановить данные Сервера администрирования на новом устройстве.

8. Откройте Консоль администрирования и подключитесь к Серверу администрирования.
9. Убедитесь, что все клиентские устройства подключены к Серверу администрирования.
10. Удалите Сервер администрирования и сервер баз данных с предыдущего устройства.

Также можно использовать Kaspersky Security Center 13.2 Web Console, чтобы перенести Сервер администрирования и сервер баз данных на другое устройство.

Избегание конфликтов между Серверами администрирования

Если в сети имеется несколько Серверов администрирования, они могут видеть одни и те же клиентские устройства. Это может привести к тому, что, например, несколько Серверов администрирования будут выполнять удаленную установку одной и той же программы на одно устройство, а также к другим конфликтам. Чтобы избежать такой ситуации, в Kaspersky Security Center 13.2 можно запретить установку программы на устройство, управляемое другим Сервером администрирования.

Свойство Под управлением другого Сервера администрирования можно также использовать как критерий для следующих операций:

• Поиск устройств
• Выборки устройств
• Правила перемещения устройств
• Правила автоматического назначения тегов

В Kaspersky Security Center 13.2 используется эвристический подход для определения, какой Сервер администрирования управляет клиентским устройством: тот, на котором вы работаете, или другой.

Двухэтапная проверка

В этом разделе описывается использование двухэтапной проверки для снижения риска несанкционированного доступа к Консоли администрирования или Kaspersky Security Center 13.2 Web Console.

Сценарий: Настройка двухэтапной проверки для всех пользователей

В этом сценарии описывается, как включить двухэтапную проверку для всех пользователей и как исключить учетные записи пользователей из двухэтапной проверки. Если вы не включили двухэтапную проверку для своей учетной записи, прежде чем включить ее для других пользователей, программа сначала откроет окно включения двухэтапной проверки для вашей учетной записи. В этом сценарии также описано, как включить двухэтапную проверку для вашей учетной записи.

Если вы включили двухэтапную проверку для своей учетной записи, вы можете перейти к включению двухэтапной проверки для всех пользователей.

Предварительные требования

Прежде чем начать:

• Убедитесь, что ваша учетная запись имеет право Изменение списков управления доступом объектов в функциональной области Общий функционал: Права пользователей для изменения параметров безопасности учетных записей других пользователей.
• Убедитесь, что другие пользователи Сервера администрирования установили на свои устройства приложение проверки подлинности.

Этапы

Включение двухэтапной проверки для всех пользователей состоит из следующих этапов:

1. Установка приложения проверки подлинности на устройство

   Вы можете установить Google Authenticator, Microsoft Authenticator или любое другое приложение проверки подлинности, которое поддерживает алгоритм формирования одноразового пароля на основе времени.

2. Синхронизация времени приложения проверки подлинности и время устройства, на котором установлен Сервер администрирования

   Убедитесь, что время, установленное в приложении проверки подлинности, синхронизировано со временем Сервера администрирования.

3. Включение двухэтапной проверки и получение секретного ключа для своей учетной записи

   Инструкции:

   • Для Консоли администрирования на основе MMC: Включение двухэтапной проверки для вашей учетной записи.
   • Для Kaspersky Security Center 13.2 Web Console: Включение двухэтапной проверки для вашей учетной записи.

   После включения двухэтапной проверки для своей учетной записи вы можете включить двухэтапную проверку для всех пользователей.

4. Включение двухэтапной проверки для всех пользователей

   Пользователи с включенной двухэтапной проверкой должны использовать ее для входа на Сервер администрирования.

   Инструкции:

   • Для Консоли администрирования на основе MMC: Включение двухэтапной проверки для всех пользователей.
   • Для Kaspersky Security Center 13.2 Web Console: Включение двухэтапной проверки для всех пользователей.
5. Изменение имени издателя кода безопасности

   Если у вас несколько Серверов администрирования с похожими именами, возможно, вам придется изменить имена издателей кода безопасности для лучшего распознавания разных Серверов администрирования.

   Инструкции:

   • Для Консоли администрирования на основе MMC: Изменение имени издателя кода безопасности.
   • Для Kaspersky Security Center 13.2 Web Console: Изменение имени издателя кода безопасности.
6. Исключение учетных записей пользователей, для которых не требуется включать двухэтапную проверку

   При необходимости исключите учетные записи пользователей из двухэтапной проверки. Пользователям с исключенными учетными записями не нужно использовать двухэтапную проверку для входа на Сервер администрирования.

   Инструкции:

   • Для Консоли администрирования на основе MMC: Исключение учетных записей из двухэтапной проверки.
   • Для Kaspersky Security Center 13.2 Web Console: Исключение учетных записей из двухэтапной проверки.

Результаты

После выполнения этого сценария:

• Двухэтапная проверка для вашей учетной записи включена.
• Двухэтапная проверка включена для всех учетных записей пользователей Сервера администрирования, кроме исключенных учетных записей пользователей.

О двухэтапной проверке

Kaspersky Security Center предоставляет двухэтапную проверку для пользователей Консоли администрирования или Kaspersky Security Center 13.2 Web Console. Если для вашей учетной записи включена двухэтапная проверка, каждый раз при входе в Консоль администрирования или Kaspersky Security Center 13.2 Web Console вы вводите свое имя пользователя, пароль и дополнительный одноразовый код безопасности. Если вы используете доменную аутентификацию для своей учетной записи, вам необходимо ввести только дополнительный одноразовый код безопасности. Чтобы получить одноразовый код безопасности, вы должны установить приложение проверки подлинности на своем компьютере или мобильном устройстве.

Код безопасности имеет идентификатор, называемый также имя издателя. Имя издателя кода безопасности используется в качестве идентификатора Сервера администрирования в приложении проверки подлинности. Вы можете изменить имя издателя кода безопасности. Имя издателя кода безопасности имеет значение по умолчанию, такое же, как имя Сервера администрирования. Имя издателя используется в качестве идентификатора Сервера администрирования в приложении проверки подлинности. Если вы изменили имя издателя кода безопасности, необходимо выпустить новый секретный ключ и передать его приложению проверки подлинности. Код безопасности является одноразовым и действует до 90 секунд (точное время может варьироваться).

Любой пользователь, для которого включена двухэтапная проверка, может повторно ввести свой секретный ключ. Когда пользователь выполняет аутентификацию с повторно выданным секретным ключом и использует этот ключ для входа в программу, Сервер администрирования сохраняет новый секретный ключ для учетной записи пользователя. Если пользователь неправильно ввел новый секретный ключ, Сервер администрирования не сохраняет новый секретный ключ и оставляет текущий секретный ключ действующим для дальнейшей аутентификации.

Любое программное обеспечение для аутентификации, которое поддерживает алгоритм одноразового пароля на основе времени (TOTP), может использоваться в качестве приложения проверки подлинности. Например, Google Authenticator. Чтобы сгенерировать код безопасности, вы должны синхронизировать время, установленное в приложении проверки подлинности, со временем, установленным для Сервера администрирования.

Приложение проверки подлинности генерирует секретный код следующим образом:

1. Сервер администрирования генерирует специальный секретный ключ и QR-код.
2. Вы передаете сгенерированный секретный ключ или QR-код приложению проверки подлинности.
3. Приложение проверки подлинности генерирует одноразовый код безопасности, который вы передаете в окно аутентификации Сервера администрирования.

Рекомендуется установить приложение проверки подлинности на несколько мобильных устройств. Сохраните секретный ключ (или QR-код) и храните его в надежном месте. Это поможет вам восстановить доступ к Консоли администрирования или Kaspersky Security Center 13.2 Web Console в случае потери доступа к мобильному устройству.

Чтобы обезопасить использование Kaspersky Security Center, вы можете включить двухэтапную проверку для своей учетной записи и включить двухэтапную проверку для всех пользователей.

Вы можете исключить учетные записи из двухэтапной проверки. Это может быть необходимо для служебных учетных записей, которые не могут получить защитный код для аутентификации.

Двухэтапная проверка работает в соответствии со следующими правилами:

• Только пользователь с правом Изменение списков управления доступом объектов функциональной области Общий функционал: Права пользователей, может включать двухэтапную проверку для всех пользователей.
• Только пользователь, включивший двухэтапную проверку для своей учетной записи, может включить двухэтапную проверку для всех пользователей.
• Только пользователь, включивший двухэтапную проверку для своей учетной записи, может исключить другие учетные записи пользователей из списка двухэтапной проверки, включенной для всех пользователей.
• Пользователь может включить двухэтапную проверку только для своей учетной записи.
• Пользователь, у которого есть право Изменение списков управления доступом объектов функциональной области Общий функционал: Права пользователей и, который авторизован в Консоли администрирования или в Kaspersky Security Center Web Console с помощью двухэтапной проверки, может выключать двухэтапную проверку: для любого другого пользователя, только если двухэтапная проверка для всех пользователей выключена; для пользователя, исключенного из списка двухэтапной проверки включенной для всех пользователей.
• Любой пользователь, выполнивший вход в Консоль администрирования или Kaspersky Security Center 13.2 Web Console с помощью двухэтапной проверки, может повторно получить секретный ключ.
• Вы можете включить двухэтапную проверку для всех пользователей Сервера администрирования, с которым вы сейчас работаете. Если вы включите этот параметр на Сервере администрирования, вы также включаете этот параметр для учетных записей пользователей его виртуальных Серверов администрирования и не включаете двухэтапную проверку для учетных записей пользователей подчиненных Серверов администрирования.

Если для учетной записи на Сервере администрирования Kaspersky Security Center версии 13 или выше включена двухэтапная проверка, то пользователь не сможет войти в программу Kaspersky Security Center Web Console версий 12, 12.1 или 12.2.

Включение двухэтапной проверки для вашей учетной записи

Перед тем как включить двухэтапную проверку для своей учетной записи, убедитесь, что на вашем мобильном устройстве установлено приложение проверки подлинности. Убедитесь, что время, установленное в приложении проверки подлинности, синхронизировано со временем Сервера администрирования.

Чтобы включить двухэтапную проверку для учетной записи:

1. В дереве консоли Kaspersky Security Center откройте контекстное меню узла Сервер администрирования по правой клавише мыши и выберите пункт Свойства.
2. В окне свойств Сервера администрирования перейдите в раздел Дополнительно, а затем Двухэтапная проверка.
3. В разделе Двухэтапная проверка нажмите на кнопку Настроить.

   В открывшемся окне свойств двухэтапной проверки отображается секретный ключ.

4. Введите секретный ключ в приложение проверки подлинности, чтобы получить одноразовый код безопасности. Вы можете указать секретный ключ в приложении проверки подлинности вручную или отсканировать QR-код своим мобильным устройством.
5. Укажите код безопасности, сгенерированный приложением проверки подлинности, а затем нажмите на кнопку ОК, чтобы закрыть окно свойств двухэтапной проверки.
6. Нажмите на кнопку Применить.
7. Нажмите на кнопку ОК.

Двухэтапная проверка для вашей учетной записи включена.

Включение двухэтапной проверки для всех пользователей

Вы можете включить двухэтапную проверку для всех пользователей Сервера администрирования, если у вашей учетной записи есть право Изменение списков управления доступом объектов в функциональной области Общий функционал: Права пользователей и если вы выполнили аутентификацию с помощью двухэтапной проверки. Если вы не включили двухэтапную проверку для своей учетной записи, прежде чем включить ее для всех пользователей, программа откроет окно включения двухэтапной проверки для вашей учетной записи.

Чтобы включить двухэтапную проверку для всех пользователей:

1. В дереве консоли Kaspersky Security Center откройте контекстное меню узла Сервер администрирования по правой клавише мыши и выберите пункт Свойства.
2. В окне свойств Сервера администрирования выберите раздел Дополнительно, а затем Двухэтапная проверка.
3. Нажмите на кнопку Установить как обязательную, чтобы включить двухэтапную проверку для всех пользователей.
4. В разделе Двухэтапная проверка нажмите на кнопку Применить и нажмите на кнопку ОК.

Двухэтапная проверка для всех пользователей включена. Пользователям Сервера администрирования, включая пользователей, которые были добавлены после включения этого параметра, необходимо настроить двухэтапную проверку для своих учетных записей, за исключением пользователей, учетные записи которых исключены из двухэтапной проверки.

Выключение двухэтапной проверки для учетной записи пользователя

Чтобы выключить двухэтапную проверку для вашей учетной записи:

1. В дереве консоли Kaspersky Security Center откройте контекстное меню узла Сервер администрирования по правой клавише мыши и выберите пункт Свойства.
2. В окне свойств Сервера администрирования выберите раздел Дополнительно, а затем Двухэтапная проверка.
3. В разделе Двухэтапная проверка нажмите на кнопку Выключить.
4. Нажмите на кнопку Применить.
5. Нажмите на кнопку ОК.

Двухэтапная проверка для вашей учетной записи выключена.

Вы можете выключить двухэтапную проверку для других учетных записей пользователей. Эта защита используется, например, если пользователь потеряет или сломает мобильное устройство.

Вы можете выключить двухэтапную проверку для других учетных записей пользователей, только если у вас есть право Изменение списков управления доступом объектов в области Общий функционал: Права пользователей. Следуя приведенным ниже инструкциям, вы также можете выключить двухэтапную проверку для своей учетной записи.

Чтобы выключить двухэтапную проверку для учетной записи любого пользователя:

1. В дереве консоли откройте папку Учетные записи пользователей.

   Папка Учетные записи пользователей по умолчанию вложена в папку Дополнительно.

2. В рабочей области папки нажмите на учетную запись пользователя, для которой вы хотите выключить двухэтапную проверку.
3. В открывшемся окне Свойства: <Имя пользователя> выберите раздел Двухэтапная проверка.
4. В разделе Двухэтапная проверка выберите следующие параметры:
   • Если вы хотите выключить двухэтапную проверку для всех пользователей, нажмите на кнопку Выключить.
   • Если вы хотите исключить эту учетную запись пользователя из двухэтапной проверки, выберите параметр Пользователь может пройти аутентификацию, используя только имя пользователя и пароль.
5. Нажмите на кнопку Применить.
6. Нажмите на кнопку ОК.

Двухэтапная проверка учетной записи пользователя выключена.

Выключение двухэтапной проверки для всех пользователей

Вы можете выключить двухэтапную проверку для всех пользователей Сервера администрирования, если у вас есть право Изменение списков управления доступом объектов в функциональной области Общий функционал: Права пользователей и если вы выполнили аутентификацию с помощью двухэтапной проверки.

Чтобы выключить двухэтапную проверку для всех пользователей:

1. В дереве консоли Kaspersky Security Center откройте контекстное меню узла Сервер администрирования по правой клавише мыши и выберите пункт Свойства.
2. В окне свойств Сервера администрирования выберите раздел Дополнительно, а затем Двухэтапная проверка.
3. Нажмите на кнопку Установить как необязательную, чтобы выключить двухэтапную проверку для всех пользователей.
4. Нажмите на кнопку Применить в разделе Двухэтапная проверка.
5. Нажмите на кнопку ОК в разделе Двухэтапная проверка.

Двухэтапная проверка для всех пользователей выключена.

Исключение учетных записей из двухэтапной проверки

Вы можете исключить учетную запись из двухэтапной проверки, если у вашей учетной записи есть право Изменение списков управления доступом объектов в функциональной области Общий функционал: Права пользователей.

Если учетная запись пользователя исключена из двухэтапной проверки, этот пользователь может войти в Консоль администрирования или Kaspersky Security Center 13.2 Web Console без использования двухэтапной проверки.

Исключение учетных записей из двухэтапной проверки может быть необходимо для служебных учетных записей, которые не могут передать код безопасности во время аутентификации.

Чтобы исключить учетную запись пользователя из двухэтапной проверки:

1. Если вы хотите исключить учетную запись Active Directory, выполните опрос Active Directory, чтобы обновить список пользователей Сервера администрирования.
2. В дереве консоли откройте папку Учетные записи пользователей.

   Папка Учетные записи пользователей по умолчанию вложена в папку Дополнительно.

3. В рабочей области папки нажмите на учетную запись пользователя, которую вы хотите исключить из двухэтапной проверки.
4. В открывшемся окне Свойства: <Имя пользователя> выберите раздел Двухэтапная проверка.
5. В открывшемся разделе выберите параметр Пользователь может пройти аутентификацию, используя только имя пользователя и пароль.
6. В разделе Двухэтапная проверка нажмите на кнопку Применить и нажмите на кнопку ОК.

Эта учетная запись пользователя исключена из двухэтапной проверки. Вы можете проверить исключенные учетные записи в списке учетных записей пользователей.

Изменение имени издателя кода безопасности

У вас может быть несколько идентификаторов (также их называют издателями) для разных Серверов администрирования. Вы можете изменить имя издателя кода безопасности, например, Сервер администрирования уже использует аналогичное имя издателя кода безопасности для другого Сервера администрирования. По умолчанию имя издателя кода безопасности совпадает с именем Сервера администрирования.

После изменения имени издателя кода безопасности необходимо повторно выпустить новый секретный ключ и передать его приложению проверки подлинности.

Чтобы указать новое имя издателя кода безопасности:

1. В дереве консоли Kaspersky Security Center откройте контекстное меню узла Сервер администрирования по правой клавише мыши и выберите пункт Свойства.
2. В окне свойств Сервера администрирования выберите раздел Дополнительно, а затем Двухэтапная проверка.
3. Укажите новое имя издателя кода безопасности в поле Кем выдан код безопасности.
4. Нажмите на кнопку Применить в разделе Двухэтапная проверка.
5. Нажмите на кнопку ОК в разделе Двухэтапная проверка.

Для Сервера администрирования указано новое имя издателя кода безопасности.