Первоначальная настройка Kaspersky Security Center

В этом разделе описаны шаги, которые необходимо выполнить после установки Kaspersky Security Center для первоначальной настройки.

Руководство по усилению защиты

Руководство по усилению защиты адресовано специалистам, которые осуществляют установку и администрирование Kaspersky Security Center, и специалистам, которые осуществляют техническую поддержку организаций, использующих Kaspersky Security Center.

В Руководстве по усилению защиты описаны рекомендации и особенности настройки Kaspersky Security Center и его компонентов для снижения рисков его компрометации.

Перед настройкой создайте резервную копию Сервера администрирования Kaspersky Security Center с помощью задачи Резервное копирование данных Сервера администрирования или с помощью утилиты klbackup. Сохраните резервную копию данных в надежном месте.

Руководство по усилению защиты содержит следующую информацию:

• выбор схемы развертывания Сервера Администрирования;
• настройка безопасного подключения к Серверу Администрирования;
• настройка учетных записей для работы с Сервером администрирования;
• управление защитой Сервера администрирования и клиентских устройств;
• настройка защиты управляемых приложений;
• обслуживание Сервера администрирования;
• передача информации в сторонние системы.

Перед началом работы с Сервером администрирования, Kaspersky Security Center предложит вам ознакомиться с краткой версией Руководства по усилению защиты.

Обратите внимание, что вы не можете использовать Сервер администрирования, пока не подтвердите, что ознакомились с Руководством по усилению защиты.

Чтобы прочитать Руководство по усилению защиты:

1. Откройте Консоль администрирования или Kaspersky Security Center Web Console и войдите в консоль. Консоль проверяет, подтвердили ли вы, что прочитали текущую версию Руководства по усилению защиты.

   Если вы еще не читали Руководство по усилению защиты, откроется окно с его краткой версией.

2. Выполните одно из следующих действий:
   • Если вы хотите просмотреть краткую версию Руководства по усилению защиты в виде текстового документа, перейдите по ссылке Открыть в новом окне.
   • Если вы хотите просмотреть полную версию Руководства по усилению защиты, перейдите по ссылке Открыть руководство по усилению защиты в онлайн-справке.
3. После прочтения Руководства по усилению защиты установите флажок Я подтверждаю, что полностью прочитал(а) и понимаю Руководство по усилению защиты и нажмите на кнопку Принять.

Теперь вы можете работать с Сервером администрирования.

При появлении новой версии Руководства по усилению защиты Kaspersky Security Center предложит вам ее прочитать.

Мастер первоначальной настройки Сервера администрирования

В этом разделе представлена информация о работе мастера первоначальной настройки Сервера администрирования.

О мастере первоначальной настройки

В этом разделе представлена информация о работе мастера первоначальной настройки Сервера администрирования.

Мастер первоначальной настройки Сервера администрирования позволяет создать минимальный набор необходимых задач и политик, настроить минимум параметров, загрузить и установить плагины для управляемых программ "Лаборатории Касперского" и создать инсталляционные пакеты для управляемых программ "Лаборатории Касперского". В процессе работы мастера вы можете внести в программу следующие изменения:

• Загрузить и установить плагины для управляемых программ. После завершения работы мастера первоначальной настройки список установленных плагинов управления отображается в разделе Дополнительно → Информация об установленных плагинах управления программами в окне свойств Сервера администрирования.
• Создать инсталляционные пакеты для управляемых программ "Лаборатории Касперского". После завершения работы мастера первоначальной настройки инсталляционные пакеты Агента администрирования для Windows и управляемых программ "Лаборатории Касперского" отображаются в списке Сервер администрирования → Дополнительно → Удаленная установка → Инсталляционные пакеты.
• Добавить файлы ключей или ввести коды активации, которые можно автоматически распространять на устройства в группах администрирования. После завершения работы мастера первоначальной настройки информация о лицензионных ключах отображается в списке Сервер администрирования → Лицензии "Лаборатории Касперского" и в разделе Лицензионные ключи окна свойств Сервера администрирования.
• Настроить взаимодействие с Kaspersky Security Network
  (KSN)

  Инфраструктура облачных служб, предоставляющая доступ к постоянно обновляемой базе данных "Лаборатории Касперского", содержащей информацию о репутации файлов, веб-ресурсов и программного обеспечения. Kaspersky Security Network обеспечивает более высокую скорость реакции программ "Лаборатории Касперского" на угрозы, повышает эффективность работы некоторых компонентов защиты, а также снижает вероятность ложных срабатываний.

  .
• Настроить рассылку по электронной почте оповещений о событиях в работе Сервера администрирования и управляемых программ (чтобы уведомление прошло успешно, на Сервере администрирования и на всех устройствах-получателях должна быть запущена служба сообщений Messenger). После завершения работы мастера первоначальной настройки параметры почтовых уведомлений отображаются в разделе Уведомление в окне свойств Сервера администрирования.
• Настроить параметры обновлений и закрытия уязвимостей программ, установленных на устройствах.
• Сформировать политику защиты рабочих станций и серверов, а также задачи поиска вредоносного ПО, получения обновлений и резервного копирования данных для верхнего уровня иерархии управляемых устройств. После завершения работы мастера первоначальной настройки созданные задачи отображаются в списке Сервер администрирования → Задачи, а политики, соответствующие плагинам управляемых программ, отображаются в списке Сервер администрирования → Политики.

Мастер первоначальной настройки создает политики для управляемых программ, таких как Kaspersky Endpoint Security для Windows, если такие политики не были созданы ранее для группы Управляемые устройства. Мастер первоначальной настройки создает задачи, если задач с такими же именами нет в группе Управляемые устройства.

В Консоли администрирования Kaspersky Security Center автоматически предлагает запустить мастер первоначальной настройки после первого запуска программы. Вы также можете запустить мастер первоначальной настройки вручную в любое время.

Запуск мастера первоначальной настройки Сервера администрирования

Программа автоматически предлагает запустить мастер первоначальной настройки после установки Сервера администрирования при первом подключении к Серверу. Вы также можете запустить мастер первоначальной настройки вручную в любое время.

Чтобы запустить мастер первоначальной настройки вручную:

1. В дереве консоли выберите узел Сервер администрирования.
2. В контекстном меню узла выберите пункт Все задачи → Мастер первоначальной настройки Сервера администрирования.

Мастер предложит произвести первоначальную настройку Сервера администрирования. Следуйте далее указаниям мастера.

При повторном запуске мастера первоначальной настройки задачи и политики, созданные при предыдущем запуске мастера, не создаются повторно.

Шаг 1. Настройка параметров прокси-сервера

Развернуть все | Свернуть все

Укажите параметры доступа Сервера администрирования к интернету. Доступ к интернету необходимо настроить, чтобы использовать Kaspersky Security Network и загружать обновления антивирусных баз для Kaspersky Security Center и управляемых программ "Лаборатории Касперского".

Выберите параметр Использовать прокси-сервер, если требуется использовать прокси-сервер для подключения к интернету. Если параметр выбран, доступны поля ввода параметров. Настройте следующие параметры подключения к прокси-серверу:

• Адрес

  Адрес прокси-сервера для подключения Kaspersky Security Center к интернету.

• Номер порта

  Номер порта, через который будет установлено прокси-подключение Kaspersky Security Center.

• Не использовать прокси-сервер для локальных адресов

  При подключении к устройствам в локальной сети не будет использоваться прокси-сервер.

• Аутентификация на прокси-сервере

  Если флажок установлен, в полях ввода можно указать учетные данные для аутентификации на прокси-сервере.

  Поле ввода доступно, если установлен флажок Использовать прокси-сервер.

• Имя пользователя

  Учетная запись пользователя, от имени которого будет выполняться подключение к прокси-серверу (поле доступно, если установлен флажок Аутентификация на прокси-сервере).

• Пароль

  Пароль пользователя, с помощью учетной записи которого выполняется подключение к прокси-серверу (поле доступно, если установлен флажок Аутентификация на прокси-сервере).

  Чтобы посмотреть введенный пароль, нажмите на кнопку Показать и удерживайте ее необходимое вам время.

Вы можете настроить доступ в интернет позднее без запуска мастера первоначальной настройки.

Шаг 2. Выбор способа активации программы

Развернуть все | Свернуть все

Выберите один из следующих вариантов активации Kaspersky Security Center:

• Введите код активации

  Код активации – это уникальная последовательность из двадцати латинских букв и цифр. Вы вводите код активации, чтобы добавить ключ, активирующий Kaspersky Security Center. Код активации отправляется вам на адрес электронной почты, указанный при приобретении Kaspersky Security Center.

  Чтобы активировать программу с помощью кода активации, требуется доступ в интернет для подключения к серверам активации "Лаборатории Касперского".

  Если вы выбрали этот вариант активации программы, можно включить параметр Автоматически распространять лицензионный ключ на управляемые устройства.

  Если выбран этот вариант, лицензионный ключ будет распространяться на управляемые устройства автоматически.

  Если этот вариант не выбран, лицензионный ключ можно будет распространить на управляемые устройства позже, в папке Лицензии "Лаборатории Касперского" дерева консоли администрирования.

  Если какой-либо причине не удалось выполнить активацию с помощью кода активации, вы можете активировать программу, указав файл ключа.

• Укажите файл ключа

  Файл ключа – это файл с расширением key, который вам предоставляет "Лаборатория Касперского". Файл ключа предназначен для добавления ключа, активирующего программу.

  Способы получения файла ключа описаны в разделе О файле ключа.

  Чтобы активировать программу с помощью файла ключа, не требуется подключение к серверам активации "Лаборатории Касперского".

  Если вы выбрали этот вариант активации программы, можно включить параметр Автоматически распространять лицензионный ключ на управляемые устройства.

  Если выбран этот вариант, лицензионный ключ будет распространяться на управляемые устройства автоматически.

  Если этот вариант не выбран, лицензионный ключ можно будет распространить на управляемые устройства позже, в папке Лицензии "Лаборатории Касперского" дерева консоли администрирования.

• Отложите активацию программы

  Программа будет работать в режиме Базовой функциональности, без поддержки Управления мобильными устройствами и Системного администрирования.

Если вы выбрали отложенную активацию программы, вы можете добавить лицензионный ключ позже в любое время.

Шаг 3. Выбор областей защиты и операционных систем

Развернуть все | Свернуть все

Выберите области защиты и операционные системы, которые используются в вашей сети. При выборе этих параметров вы указываете фильтры для плагинов управления программами и дистрибутивов на серверах "Лаборатории Касперского", которые вы можете загрузить для установки на клиентские устройства в вашей сети. Выберите следующие параметры:

• Области

  Вы можете выбрать одну из следующих областей защиты:

  • Рабочие станции. Выберите этот параметр, если вы хотите защитить рабочие станции в вашей сети. По умолчанию выбран параметр Рабочая станция.
  • Файловые серверы и системы хранения данных. Выберите этот параметр, если вы хотите защитить файловые серверы в вашей сети.
  • Виртуальные среды. Выберите этот параметр, если вы хотите защитить виртуальные машины в вашей сети.
  • Банкоматы и POS-системы. Выберите этот параметр, если вы хотите защитить встроенные системы с операционной системой Windows, например банкоматы (ATM).
  • Промышленные сети. Выберите этот параметр, если вы хотите контролировать данные безопасности в промышленной сети и с конечных устройств сети, защищенных программами "Лаборатории Касперского".
  • Промышленные конечные точки. Выберите этот параметр, если вы хотите защитить отдельные узлы промышленной сети.

• Операционные системы

  Вы можете выбрать одну из следующих платформ:

  • Microsoft Windows
  • Linux
  • macOS
  • Android
  • Другое

  Информацию о поддерживаемых операционных системах см. в разделе Аппаратные и программные требования.

Можно выбрать инсталляционные пакеты программ "Лаборатории Касперского" из списка доступных инсталляционных пакетов позднее без запуска мастера первоначальной настройки. Для упрощения поиска необходимых инсталляционных пакетов вы можете фильтровать список доступных инсталляционных пакетов по следующим критериям:

• область защиты;
• тип загружаемого программного обеспечения (дистрибутив, утилита, плагин или веб-плагин);
• версия программы "Лаборатории Касперского";
• язык локализации программы "Лаборатории Касперского".

Шаг 4. Выбор плагинов для управляемых программ

Развернуть все | Свернуть все

Выберите плагины для управляемых программ для установки. Отображается список плагинов, расположенных на серверах "Лаборатории Касперского". Список отфильтрован в соответствии с параметрами, выбранными на предыдущем шаге мастера. По умолчанию в полный список включены плагины всех языков. Чтобы отображался только плагин на выбранном языке, выберите язык в раскрывающемся списке Отображать язык Консоли администрирования или. Список плагинов включает в себя следующие графы:

• Название программы

  Выбраны подключаемые модули в зависимости от областей защиты и платформ, выбранных на предыдущем шаге.

• Версия программы

  В список включены плагины всех версий, размещенных на серверах "Лаборатории Касперского". По умолчанию выбраны плагины последних версий.

• Язык локализации

  По умолчанию язык локализации плагина зависит от языка Kaspersky Security Center, который вы выбрали при установке. Другие языки можно выбрать в раскрывающемся списке Отображать язык Консоли администрирования или.

После выбора плагинов, их установка начинается автоматически в отдельном окне. Для установки некоторых плагинов вы должны принять условия Лицензионного соглашения. Ознакомьтесь с текстом Лицензионного соглашения, выберите параметр Я принимаю условия Лицензионного соглашения и нажмите на кнопку Установить. Если вы не согласны с условиями Лицензионного соглашения, плагин не установится.

После завершения установки, закройте окно установки.

Вы также можете выбрать плагин управления позднее без запуска мастера первоначальной настройки.

Шаг 5. Загрузка дистрибутивов и создание инсталляционных пакетов

Kaspersky Endpoint Security для Windows включает инструменты шифрования информации, хранящейся на клиентских устройствах. Чтобы загрузить дистрибутив Kaspersky Endpoint Security для Windows, действительный для нужд вашей организации, обратитесь к законодательству страны, в которой расположены клиентские устройства вашей организации.

В окне Тип шифрования выберите один из следующих типов шифрования:

• Strong encryption (AES256). Для этого типа шифрования используется 256-разрядный ключ.
• Lite encryption (AES56). Для этого типа шифрования используется 56-разрядный ключ.

Окно Тип шифрования отображается, только если в качестве области защиты выбран вариант Рабочие станции, а в качестве платформы – Microsoft Windows.

После того, как вы выбрали тип шифрования, отобразится список дистрибутивов для обоих типов шифрования. В списке выбран дистрибутив с выбранным типом шифрования. Язык дистрибутива соответствует языку Kaspersky Security Center. Если дистрибутив Kaspersky Endpoint Security для Windows для языка Kaspersky Security Center не существует, выбирается дистрибутив на английском языке.

В раскрывающемся списке Отображать язык Консоли администрирования или можно выбрать языки для дистрибутива.

Для дистрибутивов управляемых программ может потребоваться установка определенной минимальной версии Kaspersky Security Center.

В списке вы можете выбрать дистрибутив любого типа шифрования, отличного от того, который вы выбрали в окне Тип шифрования. После того, как вы выбрали дистрибутив Kaspersky Endpoint Security для Windows, начинается загрузка дистрибутивов, соответствующих компонентам и платформам. Вы можете контролировать ход загрузки в графе Состояние загрузки. После завершения работы мастера первоначальной настройки инсталляционные пакеты Агента администрирования для Windows и управляемых программ "Лаборатории Касперского" отображаются в списке Сервер администрирования → Дополнительно → Удаленная установка → Инсталляционные пакеты.

Чтобы завершить загрузку некоторых дистрибутивов вы должны принять Лицензионное соглашение. При нажатии кнопки Принять отображается текст Лицензионного соглашения. Чтобы перейти к следующему шагу мастера, вы должны принять положения и условия Лицензионного соглашения, а также условия Политики конфиденциальности "Лаборатории Касперского". Выберите параметры, связанные с Лицензионным соглашением и Политикой конфиденциальности "Лаборатории Касперского", и нажмите на кнопку Принять все. Если вы не принимаете положения и условия, загрузка пакета отменяется.

После того, как вы приняли положения и условия Лицензионного соглашения, а также условия Политики конфиденциальности "Лаборатории Касперского", загрузка дистрибутивов продолжается. После завершения загрузки отображается статус Создан инсталляционный пакет. В дальнейшем инсталляционные пакеты можно использовать для развертывания программ "Лаборатории Касперского" на клиентских устройствах.

Вы можете создать инсталляционные пакеты позднее без запуска мастера первоначальной настройки. В дереве Консоли администрирования перейдите в раздел Сервер администрирования → Дополнительно → Удаленная установка → Инсталляционные пакеты.

Шаг 6. Настройка использования Kaspersky Security Network

Развернуть все | Свернуть все

Можно подключать репутационные базы Kaspersky Security Network, чтобы обеспечить более высокую скорость реакции программ "Лаборатории Касперского" на угрозы, повысить эффективность работы некоторых компонентов защиты, а также снизить вероятность ложных срабатываний.

Прочтите Положение о KSN, которое отображается в окне. Настройте параметры передачи информации о работе Kaspersky Security Center в базу знаний Kaspersky Security Network. Выберите один из следующих вариантов:

• Я принимаю условия использования Kaspersky Security Network

  Kaspersky Security Center и управляемые программы, установленные на клиентских устройствах, в автоматическом режиме будут предоставлять информацию об их работе Kaspersky Security Network. Сотрудничество с Kaspersky Security Network обеспечивает более быстрое обновление баз данных о вирусах и угрозах, что увеличивает скорость реагирования на возникающие угрозы безопасности.

• Я не принимаю условия использования Kaspersky Security Network

  Kaspersky Security Center и управляемые программы не будут предоставлять информацию о своей работе Kaspersky Security Network.

  Если вы выбрали этот параметр, использование Kaspersky Security Network будет выключено.

Если вы загрузили плагин Kaspersky Endpoint Security для Windows, отобразятся оба положения о KSN: Положение о KSN для Kaspersky Security Center и Положение о KSN для Kaspersky Endpoint Security для Windows. Положения о KSN для других управляемых программ "Лаборатории Касперского", для которых были загружены плагины, отображаются в отдельных окнах и каждое из них необходимо принять (или отклонить) отдельно.

Настроить доступ Сервера администрирования к Kaspersky Security Network (KSN) можно также далее в окне свойств Сервера администрирования в Консоли администрирования.

Шаг 7. Настройка параметров отправки уведомлений по электронной почте

Развернуть все | Свернуть все

Настройте параметры отправки уведомлений о событиях, регистрируемых при работе программ "Лаборатории Касперского" на управляемых устройствах. Эти параметры будут использоваться в качестве значений по умолчанию для Сервера администрирования.

Для настройки рассылки оповещений о возникающих событиях программ "Лаборатории Касперского" доступны следующие параметры:

• Получатели (адреса электронной почты)

  Адреса электронной почты пользователей, которым программа будет отправлять уведомления. Вы можете указать один или более адресов. Если вы указываете несколько адресов, разделяйте их точкой с запятой.

• SMTP-серверы

  Адрес или адреса почтовых серверов вашей организации.

  Если вы указываете несколько адресов, разделяйте их точкой с запятой. Вы можете использовать следующие значения параметра:

  • IPv4-адрес или IPv6-адрес;
  • Имя устройства в сети Windows (NetBIOS-имя);
  • DNS-имя SMTP-сервера.
• Порт SMTP-сервера

  Номер коммуникационного порта SMTP-сервера. Если вы используете несколько SMTP-серверов, соединение с ними устанавливается через указанный коммуникационный порт. По умолчанию установлен порт 25.

• Использовать ESMTP-аутентификацию

  Включение поддержки ESMTP-аутентификации. После установки флажка можно указать параметры ESMTP-аутентификации в полях Имя пользователя и Пароль. По умолчанию флажок снят.

• Параметры

  Задайте следующие параметры:

  • Тема (название темы электронного письма).
  • Адрес отправителя электронной почты.
  • Параметры TLS для SMTP-сервера.

  Вы можете указать параметры TLS для SMTP-сервера:

  Вы можете отключить использование TLS, использовать TLS, если SMTP-сервер поддерживает этот протокол, или вы можете принудительно использовать только TLS. Если вы решите использовать только TLS, можно указать сертификат для аутентификации SMTP-сервера и выбрать, хотите ли вы разрешить подключение через любую версию TLS или только через TLS 1.2 или более поздние версии. Также, если вы решили использовать только TLS, вы можете указать сертификат для аутентификации клиента на SMTP-сервере.

  • Выберите файл сертификата SMTP-сервера:

  Вы можете получить файл со списком сертификатов от доверенного центра сертификации и загрузить его на Сервер администрирования. Kaspersky Security Center проверяет, подписан ли сертификат SMTP-сервера также доверенным центром сертификации. Kaspersky Security Center не может подключиться к SMTP-серверу, если сертификат SMTP-сервера не получен от доверенного центра сертификации.

  • Выберите файл сертификата клиента:

  Вы можете использовать сертификат, полученный из любого источника, например, от любого доверенного центра сертификации. Вам нужно указать сертификат и его закрытый ключ, используя один из следующих типов сертификатов:

  • Сертификат X-509:

  Укажите файл с сертификатом и файл с закрытым ключом. Вы можете загружать эти файлы в любом порядке. Когда оба файла загружены, укажите пароль для расшифровки закрытого ключа. Пароль может иметь пустое значение, если закрытый ключ не зашифрован.

  • Контейнер с сертификатом в формате PKCS#12:

  Вам нужно загрузить один файл, содержащий сертификат и закрытый ключ сертификата. Когда файл загружен, тогда необходимо указать пароль для расшифровки закрытого ключа. Пароль может иметь пустое значение, если закрытый ключ не зашифрован.

Вы можете проверить параметры уведомления о сообщениях электронной почты с помощью кнопки Отправить тестовое сообщение.

Вы также можете настроить уведомления о событии позднее без запуска мастера первоначальной настройки.

Шаг 8. Настройка параметров управления обновлениями

Развернуть все | Свернуть все

Настройте параметры работы с обновлениями программ, установленных на клиентских устройствах.

Вы можете настроить эти параметры, только если вы предоставили лицензионный ключ, который предусматривает возможности Системного администрирования.

В блоке параметров Режим поиска и установки обновлений вы можете выбрать один из режимов поиска и установки обновлений Kaspersky Security Center:

• Искать требуемые обновления

  Задача Поиск уязвимостей и требуемых обновлений создается автоматически, если она не была создана ранее.

  По умолчанию этот вариант выбран.

• Искать и устанавливать требующиеся обновления

  Задачи Поиск уязвимостей и требуемых обновлений и Установка требуемых обновлений и закрытие уязвимостей создаются автоматически, если они не были созданы ранее.

В блоке параметров Службы Windows Server Update Services вы можете выбрать источник синхронизации обновлений:

• Использовать источники обновлений, заданные в политике домена

  Обновления Центра обновления Windows загружаются на клиентские устройства в соответствии с параметрами политики домена. Политика Агента администрирования создается автоматически, если она не была создана ранее.

• Использовать Сервер администрирования в роли WSUS-сервера

  Обновления Центра обновления Windows загружаются на клиентские устройства с Сервера администрирования. Задача Синхронизация обновлений Windows Update и политика Агента администрирования создаются автоматически, если они не были созданы ранее.

Вы можете создать задачи Поиск уязвимостей и требуемых обновлений и Установка требуемых обновлений и закрытие уязвимостей позднее без запуска мастера первоначальной настройки. Чтобы использовать Сервер администрирования в качестве WSUS-сервера, вам нужно создать задачу Синхронизация обновлений Windows Update и выбрать параметр Использовать Сервер администрирования в роли WSUS-сервера в политике Агента администрирования.

Шаг 9. Создание первоначальной конфигурации защиты

В окне Создание первоначальной конфигурации защиты отображается список политик и задач, созданных автоматически. Создаются следующие политики и задачи:

• политика Агента администрирования Kaspersky Security Center;
• политики для управляемых программ "Лаборатории Касперского", чьи плагины управления были установлены ранее;
• задача Обслуживание Сервера администрирования;
• задача Резервное копирование данных Сервера администрирования;
• задача Загрузка обновлений в хранилище Сервера администрирования;
• задача Поиск уязвимостей и требуемых обновлений;
• задача Установка обновлений.

Для перехода на следующий шаг мастера дождитесь окончания создания политик и задач.

Если вы загрузили и установили плагин для Kaspersky Endpoint Security для Windows версии 10 Service Pack 1 и выше, до версии 11.0.1, во время создания политик и задач откроется окно первоначальной настройки доверенной зоны Kaspersky Endpoint Security для Windows. Программа предложит внести в доверенную зону проверенных "Лабораторией Касперского" поставщиков, чтобы исключить их программы из проверки для предотвращения случайной блокировки. Вы можете создать рекомендованные исключения сейчас или создать список исключений позже, выбрав в дереве консоли Политики → меню свойств Kaspersky Endpoint Security → Продвинутая защита → Доверенная зона → Настройка → Добавить. Список исключений проверки доступен для редактирования в любой момент дальнейшей работы с программой.

Работа с доверенной зоной выполняется средствами программы Kaspersky Endpoint Security для Windows. Подробные инструкции по выполнению операций и описание особенностей шифрования приведены в онлайн-справке Kaspersky Endpoint Security для Windows.

Для завершения первоначальной настройки доверенной зоны и возвращения к мастеру нажмите ОК.

Нажмите Далее. Кнопка станет доступна, когда все необходимые политики и задачи будут созданы.

Также можно создать необходимые задачи и политики позднее без запуска мастера первоначальной настройки.

Шаг 10. Подключение мобильных устройств

Развернуть все | Свернуть все

Если ранее в параметрах мастера вы включили область защиты Мобильные устройства, укажите параметры подключения корпоративных мобильных устройств управляемой организацией. Если вы не включили область защиты Мобильные устройства, этот шаг будет пропущен.

На этом шаге мастера выполните следующие действия:

• Настройте порты подключения мобильных устройств.
• Настройте параметры аутентификации Сервера администрирования.
• Создайте сертификаты или управлять ими.
• Настройте выпуск, автоматическое обновление и шифрование сертификатов общего типа.
• Создайте правила перемещения мобильных устройств.

Чтобы настроить порты подключения мобильных устройств:

1. Нажмите на кнопку Настроить справа от поля Подключение мобильных устройств.
2. В раскрывающемся списке выберите Настроить порты.

   Откроется окно свойств Сервера администрирования на разделе Дополнительные порты.

3. В разделе Дополнительные порты вы можете настроить параметры подключения мобильных устройств:
   • SSL-порт для прокси-сервера активации

     Номер SSL-порта для подключения Kaspersky Endpoint Security для Windows к серверам активации "Лаборатории Касперского".

     По умолчанию установлен порт 17000.

   • Открыть порт для мобильных устройств

     Открывается порт, по которому мобильные устройства будут подключаться к Серверу лицензирования. Вы можете задать номер порта и другие настройки в полях ниже.

     По умолчанию параметр включен.

   • Порт для синхронизации мобильных устройств

     Номер порта, по которому мобильные устройства подключаются к Серверу администрирования и обмениваются с ним информацией. По умолчанию установлен порт 13292.

     Вы можете назначить другой порт, если порт 13292 используется в каких-то других целях.

   • Порт для активации мобильных устройств

     Порт подключения Kaspersky Endpoint Security для Android к серверам активации "Лаборатории Касперского".

     По умолчанию установлен порт 17100.

   • Открыть порт для устройств с защитой на уровне UEFI и устройств с KasperskyOS

     Устройства с защитой на уровне UEFI могут подключаться к Серверу администрирования.

   • Порт для устройств с защитой на уровне UEFI и устройств с KasperskyOS

     Если выбран вариант Открыть порт для устройств с защитой на уровне UEFI и устройств с KasperskyOS, можно изменить номер порта. По умолчанию установлен порт 13294.

   • Открыть порт для Prometheus

     Порт для запросов на включение внесенных изменений Prometheus. По умолчанию установлен порт 13296.

4. Нажмите на кнопку ОК, чтобы сохранить изменения и вернуться к мастеру первоначальной настройки.

Вам потребуется настроить аутентификацию Сервера администрирования мобильными устройствами и аутентификацию мобильных устройств Сервером администрирования. Вы можете настроить архитектуру программы позже, независимо от мастера первоначальной настройки.

Чтобы настроить параметры аутентификации Сервера администрирования мобильными устройствами:

1. Нажмите на кнопку Настроить справа от поля Подключение мобильных устройств.
2. В раскрывающемся списке выберите Настроить аутентификацию.

   Откроется окно свойств Сервера администрирования на разделе Сертификаты.

3. В группе параметров Аутентификация Сервера администрирования мобильными устройствами выберите вариант аутентификации для мобильных устройств, а в группе параметров Аутентификация Сервера администрирования устройствами с защитой на уровне UEFI выберите вариант аутентификации для устройств с защитой на уровне UEFI.

   Аутентификация Сервера администрирования при обмене информацией с клиентскими устройствами выполняется на основании сертификата.

   По умолчанию выбрано использование сертификата, созданного при установке Сервера администрирования. При необходимости можно добавить новый сертификат.

Чтобы добавить новый сертификат (не обязательно):

1. Выберите Другой сертификат.

   Появится кнопка Обзор.

2. Нажмите на кнопку Обзор.
3. В появившемся окне настройте параметры сертификата:
   • Тип сертификата

     В раскрывающемся списке можно выбрать тип сертификата:

     • X.509-сертификат. Если выбран этот параметр, вам нужно указать закрытый ключ сертификата и открытый сертификат:
       • Закрытый ключ (.prk, .pem). В этом поле нажмите на кнопку Обзор, чтобы указать закрытый ключ сертификата в формате PKCS #8 (.prk).
       • Открытый ключ (.cer). В этом поле нажмите на кнопку Обзор, чтобы указать открытый ключ в формате PEM (.cer).
     • Контейнер PKCS#12. Если вы выберете этот вариант, вы можете указать файл сертификата в формате P12 или PFX, нажав на кнопку Обзор и заполнив поле Файл сертификата.
   • Срок активации:
     • Немедленно

       Текущий сертификат будет заменен новым сертификатом сразу после нажатия на кнопку ОК.

       Ранее подключенные мобильные устройства не смогут подключиться к Серверу администрирования.

     • Через указанный срок (сут)

       Если выбран этот вариант, то будет сгенерирован резервный сертификат. Текущий сертификат будет заменен новым сертификатом через указанное количество дней. Дата, с которой резервный сертификат вступит в силу, отображается в разделе Сертификаты.

       Рекомендуется запланировать перевыпуск сертификатов заранее. Резервный сертификат должен быть загружен на мобильные устройства до истечения указанного периода. После того как текущий сертификат будет заменен новым сертификатом, ранее подключенные мобильные устройства, не имеющие резервного сертификата, не смогут подключиться к Серверу администрирования.

4. Вы можете нажать на кнопку Свойства, чтобы просмотреть параметры выбранного сертификата Сервера администрирования.

Чтобы перевыпустить сертификат, выпущенный средствами Сервера администрирования:

1. Выберите Сертификат выпущен средствами Сервера администрирования.
2. Нажмите на кнопку Перевыпустить.
3. В открывшемся окне настройте следующие параметры:
   • Адрес подключения:
     • Оставить адрес подключения прежним

       Адрес Сервера администрирования, к которому подключаются мобильные устройства, останется прежним.

       По умолчанию этот вариант выбран.

     • Изменить адрес подключения на

       Если необходимо, чтобы мобильные устройства подключались по другому адресу, укажите в поле требуемый адрес.

       При изменении адреса подключения мобильных устройств необходимо выпустить новый сертификат. Старый сертификат будет недействительным на подключенных мобильных устройствах. Ранее подключенные устройства не смогут подключиться к Серверу администрирования и перестанут быть управляемыми.

   • Срок активации:
     • Немедленно

       Текущий сертификат будет заменен новым сертификатом сразу после нажатия на кнопку ОК.

       Ранее подключенные мобильные устройства не смогут подключиться к Серверу администрирования.

     • Через указанный срок (сут)

       Если выбран этот вариант, то будет сгенерирован резервный сертификат. Текущий сертификат будет заменен новым сертификатом через указанное количество дней. Дата, с которой резервный сертификат вступит в силу, отображается в разделе Сертификаты.

       Рекомендуется запланировать перевыпуск сертификатов заранее. Резервный сертификат должен быть загружен на мобильные устройства до истечения указанного периода. После того как текущий сертификат будет заменен новым сертификатом, ранее подключенные мобильные устройства, не имеющие резервного сертификата, не смогут подключиться к Серверу администрирования.

4. Нажмите на кнопку ОК, чтобы сохранить изменения и вернуться к окну Сертификаты.
5. Нажмите на кнопку ОК, чтобы сохранить изменения и вернуться к мастеру первоначальной настройки.

Чтобы настроить выпуск, автоматическое обновление и шифрование сертификатов общего типа для идентификации мобильных устройств Сервером администрирования:

1. Нажмите на кнопку Настроить справа от поля Аутентификация мобильных устройств.

   Откроется окно Правила выпуска сертификатов на разделе Выпуск мобильных сертификатов.

2. При необходимости настройте следующие параметры в блоке параметров Параметры выпуска:
   • Срок действия сертификата, дней

     Срок действия сертификата в днях. По умолчанию срок действия сертификата равен 365 дням. По истечении этого срока мобильное устройство не сможет подключаться к Серверу администрирования.

   • Источник сертификата

     Выбор источника сертификатов общего типа для мобильных устройств: сертификаты выпускает Сервер администрирования или сертификаты задаются вручную.

     Вы можете изменить шаблон сертификата, если в разделе Интеграция с PKI настроена интеграция с инфраструктурой открытых ключей. В этом случае будут доступны следующие поля выбора шаблона:

   • Шаблон по умолчанию

     Использование сертификата, выпущенного внешним источником сертификатов – центром сертификации – по шаблону, заданному по умолчанию.

     По умолчанию выбран этот вариант.

   • Другой шаблон

     Выбор шаблона, на основании которого будут выпускаться сертификаты. Шаблоны сертификатов можно задать в домене. По кнопке Обновить список можно обновить список шаблонов сертификатов.

3. При необходимости задайте следующие параметры автоматического выпуска сертификатов в блоке параметров Параметры автоматического обновления:
   • Обновлять, когда до истечения срока действия осталось (сут)

     Количество дней до истечения срока действия текущего сертификата, за которое Сервер администрирования должен выпустить новый сертификат. Например, если в поле указано значение 4, Сервер администрирования выпустит новый сертификат за четыре дня до окончания срока действия текущего сертификата. По умолчанию указано значение 7.

   • Автоматически перевыпускать сертификат, если это возможно

     Выберите этот параметр, чтобы автоматически перевыпускать сертификат за такое количество дней до его окончания срока действия, какое указано в поле Обновлять, когда до истечения срока действия осталось (сут). Если сертификат был задан вручную, его нельзя обновить автоматически и включенный параметр не будет работать.

     По умолчанию параметр выключен.

   Сертификаты обновляются автоматически центром сертификации.

4. При необходимости настройте параметры расшифровки сертификатов при установке в блоке параметров Защита паролем.

   Выберите параметр Запрашивать пароль при установке сертификата, чтобы при установке сертификата на мобильное устройство у пользователя запрашивался пароль. Пароль используется только один раз, при установке сертификата на мобильное устройство.

   Пароль будет автоматически сгенерирован средствами Сервера администрирования и отправлен по указанному вами адресу электронной почты. Вы можете указать адрес электронной почты пользователя либо свой собственный, если хотите затем передать пользователю пароль другим способом.

   Вы можете указать количество символов пароля для расшифровки сертификата с помощью ползунка.

   Функция запроса пароля необходима, например, для защиты общего сертификата в автономном инсталляционном пакете Kaspersky Endpoint Security для Android. Защита паролем не позволит злоумышленнику получить доступ к общему сертификату при краже автономного инсталляционного пакета с Веб-сервера Kaspersky Security Center.

   Если параметр выключен, расшифровка сертификата при установке будет проводиться автоматически и у пользователя не будет запрашиваться пароль. По умолчанию параметр выключен.

5. Нажмите на кнопку ОК, чтобы сохранить изменения и вернуться к окну мастера первоначальной настройки.

   Нажмите на кнопку Отмена, чтобы вернуться к мастеру первоначальной настройки без сохранения внесенных изменений.

Чтобы включить функцию перемещения мобильных устройств в нужную вам группу администрирования,

В поле Автоматически перемещать мобильные устройства выберите параметр Создать правило перемещения мобильных устройств.

Если параметр Создать правило перемещения мобильных устройств выбран, программа автоматически создает правило перемещения, которое перемещает устройства под управлением операционных систем Android и iOS в группу Управляемые устройства:

• с операционными системами Android, на которых установлен Kaspersky Endpoint Security для Android и мобильный сертификат;
• с операционными система iOS, на которых установлен iOS MDM-профиль с общим сертификатом.

Если такое правило уже существует, то программа не создает правило.

По умолчанию параметр выключен.

"Лаборатория Касперского" больше не поддерживает Kaspersky Safe Browser.

Шаг 11. Загрузка обновлений

Обновления антивирусных баз для Kaspersky Security Center и управляемых программ "Лаборатории Касперского" загружаются автоматически. Обновления загружаются с серверов "Лаборатории Касперского".

Чтобы загружать обновления без запуска мастера первоначальной настройки, создайте и настройте задачу Загружать обновления в хранилище Сервера администрирования.

Шаг 12. Обнаружение устройств

В информационном окне Опрос сети отображается информация о статусе опроса сети Сервером администрирования.

Вы можете просмотреть обнаруженные в сети Сервером администрирования устройства и получить справку по работе с окном Обнаружение устройств по ссылкам в нижней части окна.

Вы можете выполнить опрос сети позднее без запуска мастера первоначальной настройки. Используйте Консоль администрирования для настройки опроса Windows-доменов, Active Directory, IP-диапазонов и IPv6-сетей.

Шаг 13. Завершение работы мастера первоначальной настройки

В окне завершения работы мастера первоначальной настройки выберите параметр Запускает мастер удаленной установки, если вы хотите запустить автоматическую установку антивирусных программ и/или Агента администрирования на устройства в вашей сети.

Для завершения работы мастера нажмите на кнопку Готово.

Настройка подключения Консоли администрирования к Серверу администрирования

Консоль администрирования подключена к Серверу администрирования по SSL-порту TCP 13291. Этот же порт может использоваться объектами автоматизации klakaut.

Порт TCP 14000 может использоваться для подключения Консоли администрирования, точек распространения, подчиненных Серверов администрирования и объектов автоматизации утилиты klakaut, а также для получения данных с клиентских устройств.

Как правило, SSL-порт TCP 13000 могут использовать только Агент администрирования, подчиненный Сервер и главный Сервер администрирования, размещенный в демилитаризованной зоне. В некоторых случаях может быть необходимо подключение Консоли администрирования по SSL-порту 13000:

• если предпочтительно использовать один и тот же SSL-порт как для Консоли администрирования, так и для других активностей (для получения данных с клиентских устройств, подключения точек распространения, подключения подчиненных Серверов администрирования);
• если объект автоматизации утилиты klakaut подключается к Серверу администрирования не напрямую, а через точку распространения, размещенную в демилитаризованной зоне.

Чтобы разрешить подключение Консоли администрирования по порту 13000:

1. Откройте системный реестр устройства, на котором установлен Сервер администрирования, например, локально с помощью команды regedit в меню Пуск → Выполнить.
2. Перейдите в раздел:
   • для 32-разрядной системы:

     HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\Components\34\.core\.independent\KLLIM

   • для 64-разрядной системы:

     HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\KasperskyLab\Components\34\.core\.independent\KLLIM

3. Для ключа LP_ConsoleMustUsePort13291 (DWORD) установите значение 00000000.

   По умолчанию для этого ключа указано значение 1.

4. Перезапустите службу Сервера администрирования.

В результате Консоль администрирования сможет подключаться к Серверу администрирования, используя порт 13000.

Настройка параметров доступа Сервера администрирования к интернету

Развернуть все | Свернуть все

Доступ к интернету необходимо настроить, чтобы использовать Kaspersky Security Network и загружать обновления антивирусных баз для Kaspersky Security Center и управляемых программ "Лаборатории Касперского".

Чтобы указать параметры доступа Сервера администрирования к интернету:

1. В дереве консоли выберите узел Сервер администрирования.
2. В контекстном меню Сервера администрирования выберите пункт Свойства.
3. В окне свойств Сервера администрирования перейдите в раздел Дополнительно → Параметры доступа к сети интернет.
4. Выберите параметр Использовать прокси-сервер, если требуется использовать прокси-сервер для подключения к интернету. Если параметр выбран, доступны поля ввода параметров. Настройте следующие параметры подключения к прокси-серверу:
   • Адрес

     Адрес прокси-сервера для подключения Kaspersky Security Center к интернету.

   • Номер порта

     Номер порта, через который будет установлено прокси-подключение Kaspersky Security Center.

   • Не использовать прокси-сервер для локальных адресов

     При подключении к устройствам в локальной сети не будет использоваться прокси-сервер.

   • Аутентификация на прокси-сервере

     Если флажок установлен, в полях ввода можно указать учетные данные для аутентификации на прокси-сервере.

     Поле ввода доступно, если установлен флажок Использовать прокси-сервер.

   • Имя пользователя

     Учетная запись пользователя, от имени которого будет выполняться подключение к прокси-серверу (поле доступно, если установлен флажок Аутентификация на прокси-сервере).

   • Пароль

     Пароль пользователя, с помощью учетной записи которого выполняется подключение к прокси-серверу (поле доступно, если установлен флажок Аутентификация на прокси-сервере).

     Чтобы посмотреть введенный пароль, нажмите на кнопку Показать и удерживайте ее необходимое вам время.

Также можно настроить доступ в интернет с помощью мастера первоначальной настройки.

Подключение автономных устройств

В этом разделе описано, как подключить автономные устройства к Серверу администрирования (то есть управляемые устройства, находящиеся вне основной сети).

Сценарий: Подключение автономных устройств через шлюз соединения

В этом сценарии описано, как подключить к Серверу администрирования управляемые устройства, находящиеся вне основной сети.

Предварительные требования

Сценарий имеет следующие предварительные требования:

• В сети вашей организации организована демилитаризованная зона (DMZ).
• Сервер администрирования Kaspersky Security Center развернут в корпоративной сети.

Этапы

Этот сценарий состоит из следующих этапов:

1. Выбор клиентского устройства в демилитаризованной зоне

   Это устройство будет использоваться в качестве шлюза соединения. Выбранное устройство должно соответствовать требованиям для шлюзов соединения.

2. Установка Агента администрирования в роли шлюза соединения

   Для установки Агента администрирования на выбранное устройство рекомендуем использовать локальную установку.

   По умолчанию установочный файл находится по адресу: \\<Имя Сервера>\KLSHARE\PkgInst\NetAgent_<номер версии>.

   В окне Шлюз соединения мастера установки Агента администрирования выберите параметр Использовать в качестве шлюза соединения в демилитаризованной зоне. Этот режим одновременно активирует роль шлюза соединения и предписывает Агенту администрирования ждать соединений от Сервера администрирования, а не устанавливать соединения с Сервером администрирования.

   Также вы можете установить Агент администрирования на устройство под управлением Linux и настроить Агент администрирования для работы в качестве шлюза соединения. Обратите внимание на список ограничений Агента администрирования, работающего на устройствах под управлением Linux.

3. Разрешение соединения на сетевом экране шлюза соединения

   Чтобы Сервер администрирования мог подключаться к шлюзу соединения в демилитаризованной зоне, разрешите подключения к TCP-порту 13000 во всех сетевых экранах между Сервером администрирования и шлюзом соединения.

   Если шлюз соединения не имеет реального IP-адреса в интернете, но вместо этого расположен за Network Address Translation (далее также NAT), настройте правило для пересылки подключений через NAT.

4. Создание группы администрирования для внешних устройств

   Создайте группу внутри группы Управляемые устройства. Эта новая группа будет содержать внешние управляемые устройства.

5. Подключение шлюза соединения к Серверу администрирования

   Настроенный вами шлюз соединения ожидает соединения от Сервера администрирования. Однако Сервер администрирования не перечисляет устройство со шлюзом соединения среди управляемых устройств. Это связано с тем, что шлюз соединения не пытался установить соединение с Сервером администрирования. Следовательно, вам потребуется особая процедура, чтобы Сервер администрирования инициировал соединение со шлюзом соединения.

   Выполните следующие действия:

   1. Добавьте шлюз соединения в качестве точки распространения.
   2. Переместите шлюз соединения из группы Нераспределенные устройства в группу, которую вы создали для внешних устройств.

   Шлюз соединения подключен и настроен.

6. Подключение внешних настольных компьютеров к Серверу администрирования

   Обычно внешние настольные компьютеры не перемещаются внутрь периметра сети. Поэтому вам необходимо настроить их для подключения к Серверу администрирования через шлюз соединения при установке Агента администрирования.

7. Настройка обновлений для внешних настольных компьютеров

   Если обновления программ безопасности настроены на загрузку с Сервера администрирования, внешние компьютеры загружают обновления через шлюз соединения. Это имеет два недостатка:

   • Это лишний трафик, занимающий пропускную способность интернет-канала компании.
   • Это не обязательно самый быстрый способ получать обновления. Возможно для внешних компьютеров будет удобнее получать обновления с серверов обновлений "Лаборатории Касперского".

   Выполните следующие действия:

   1. Переместите все внешние компьютеры в отдельную группу администрирования, которую вы создали ранее.
   2. Исключить группу с внешними устройствами из задачи обновления.
   3. Создайте отдельную задачу обновления для группы с внешними устройствами.
8. Подключение ноутбуков к Серверу администрирования

   Иногда ноутбуки находятся внутри сети, а в другое время – вне сети. Для эффективного управления вам необходимо, чтобы они по-разному подключались к Серверу администрирования в зависимости от своего местоположения. Для эффективного использования трафика им также необходимо получать обновления из разных источников в зависимости от их местоположения.

   Вам необходимо настроить правила для автономных пользователей: профили подключения и описания сетевых расположений. Каждое правило определяет экземпляр Сервера администрирования, к которому должны подключаться ноутбуки в зависимости от их местоположения, и экземпляр Сервера администрирования, с которого они должны получать обновления.

Сценарий: подключение автономных устройств через подчиненный Сервер администрирования в демилитаризованной зоне

Если вы хотите подключить управляемые устройства, расположенные вне основной сети, к Серверу администрирования, вы можете сделать это с помощью подчиненного Сервера администрирования, расположенного в демилитаризованной зоне (DMZ).

Предварительные требования

Прежде чем приступать, убедитесь, что вы выполнили следующее:

• В сети вашей организации организована демилитаризованная зона (DMZ).
• Сервер администрирования Kaspersky Security Center развернут во внутренней сети организации.

Этапы

Этот сценарий состоит из следующих этапов:

1. Выбор клиентского устройства в демилитаризованной зоне

   В демилитаризованной зоне (DMZ) выберите клиентское устройство, которое будет использоваться в качестве подчиненного Сервера администрирования.

2. Установка Сервера администрирования Kaspersky Security Center.

   Установите Сервер администрирования Kaspersky Security Center на этом клиентском устройстве.

3. Создание иерархии Серверов администрирования

   Если вы размещаете подчиненный Сервер администрирования в демилитаризованной зоне, подчиненный Сервер администрирования должен принимать подключение от главного Сервера администрирования. Для этого добавьте новый Сервер администрирования в качестве подчиненного Сервера так, чтобы главный Сервер подключался к подчиненному Серверу по порту 13000. При объединении Серверов в иерархию необходимо, чтобы порт 13291 обоих Серверов был доступен. Через порт 13291 происходит подключение Консоли администрирования к Серверу администрирования.

4. Подключение автономных управляемых устройств к подчиненному Серверу администрирования

   Вы можете подключить автономные устройства к Серверу администрирования в демилитаризованной зоне аналогично тому, как устанавливается соединение между Сервером администрирования и управляемыми устройствами находящимися в основной сети. Автономные устройства инициируют подключение через порт 13000.

О подключении автономных устройств

Некоторые управляемые устройства, которые всегда находятся вне основной сети (например, компьютеры в региональных филиалах компании; киоски, банкоматы и терминалы, установленные в различных точках продаж; компьютеры в домашних офисах сотрудников), не могут быть подключены к Серверу администрирования напрямую. Некоторые устройства время от времени выходят за пределы периметра сети (например, ноутбуки пользователей, которые посещают региональные филиалы или офис клиента).

Вам по-прежнему необходимо отслеживать и управлять защитой устройств вне офиса – получать актуальную информацию об их статусе защиты и поддерживать программы безопасности на них в актуальном состоянии. Это необходимо, например, потому, что если такое устройство будет скомпрометировано, находясь вдали от основной сети, то оно может стать платформой для распространения угроз, как только подключится к основной сети. Для подключения автономных устройств к Серверу администрирования вы можете использовать два способа:

• Шлюз соединения в демилитаризованной зоне (DMZ).

  См. схему трафика данных: Сервер администрирования внутри локальной сети (LAN), управляемые устройства в интернете; использование шлюза соединения.

• Сервер администрирования в демилитаризованной зоне (DMZ)

  См. схему трафика данных: Сервер администрирования внутри демилитаризованной зоны (DMZ), управляемые устройства в интернете.

Шлюз соединения в демилитаризованной зоне

Рекомендуемый способ подключения автономных устройств к Серверу администрирования это создание демилитаризованной зоны в сети организации и установка шлюза соединения в демилитаризованной зоне. Внешние устройства будут подключаться к шлюзу соединения, а Сервер администрирования внутри сети инициирует подключение к устройствам через шлюз соединения.

По сравнению с другим способ этот является более безопасным:

• Вам не нужно открывать доступ к Серверу администрирования извне.
• Скомпрометированный шлюз соединения не представляет большого риска для безопасности сетевых устройств. Шлюз соединения ничем не управляет и не устанавливает никаких соединений.

Кроме того, шлюз соединения не требует много аппаратных ресурсов.

Однако этот способ имеет более сложный процесс настройки:

• Чтобы устройство выполняло роль шлюза соединения в демилитаризованной зоне, вам необходимо установить Агент администрирования и подключить его к Серверу администрирования особым образом.
• Вы не сможете использовать один и тот же адрес подключения к Серверу администрирования для ситуаций. С внешней стороны периметра вам нужно будет использовать не только другой адрес (адрес шлюза соединения), но и другой режим подключения: через шлюз соединения.
• Вам также необходимо определить разные параметры подключения для ноутбуков в разных месторасположениях.

Чтобы добавить шлюз соединения в ранее настроенную сеть:

1. Установите Агент администрирования в режиме шлюза соединения.
2. Переустановите Агент администрирования на устройствах, которые вы хотите подключить к вновь добавленному шлюзу соединения.

Сервер администрирования в демилитаризованной зоне (DMZ)

Другой способ это установка единого Сервера администрирования в демилитаризованной зоне.

Эта конфигурация менее безопасна, чем конфигурация первого способа. В этом случае для управления внешними ноутбуками Сервер администрирования должен принимать соединения с любого адреса из интернета. Сервер администрирования управляет всеми устройствами во внутренней сети, но из демилитаризованной зоны. Поэтому скомпрометированный Сервер может нанести огромный ущерб, несмотря на низкую вероятность такого события.

Риск значительно снижается, если Сервер администрирования в демилитаризованной зоне не управляет устройствами внутренней сети. Такая конфигурация может использоваться, например, поставщиком услуг для управления устройствами клиентов.

Вы можете использовать этот способ в следующих случаях:

• Если вы знакомы с установкой и настройкой Сервера администрирования и не хотите выполнять другую процедуру по установке и настройке шлюза соединения.
• Если вам нужно управлять большим количеством устройств. Максимальное количество устройств, которыми может управлять Сервер администрирования – 100 000 устройств, шлюз соединения может поддерживать до 10 000 устройств.

Это решение также имеет некоторые сложности:

• Серверу администрирования требуется больше аппаратных ресурсов и еще одна база данных.
• Информация об устройствах будет храниться в двух несвязанных между собой базах данных (для Сервера администрирования внутри сети и другой в демилитаризованной зоне), что усложняет контроль.
• Для управления всеми устройствами Сервер администрирования необходимо объединить в иерархию, что усложняет и контроль и управление. Экземпляр подчиненного Сервера администрирования накладывает ограничения на возможные структуры групп администрирования. Вам нужно решить, как и какие задачи и политики распространять на подчиненный Сервер администрирования.
• Настройка внешних устройств для использования Сервера администрирования в демилитаризованной зоне извне и для использования главного Сервера администрирования изнутри не проще, чем настройка подключения через шлюз.
• Высокие риски безопасности. Скомпрометированный Сервер администрирования упрощает взлом управляемых ноутбуков. Если это произойдет, хакерам просто нужно дождаться, пока один из ноутбуков вернется в корпоративную сеть, чтобы продолжить атаку на локальную сеть.

Подключение внешних настольных компьютеров к Серверу администрирования

Настольные компьютеры, которые всегда находятся вне основной сети (например, компьютеры в региональных филиалах компании; киоски, банкоматы и терминалы, установленные в различных точках продаж; компьютеры в домашних офисах сотрудников), не могут быть подключены к Серверу администрирования напрямую. Они должны быть подключены к Серверу администрирования через шлюз соединения, установленный в демилитаризованной зоне (DMZ). Такая конфигурация выполняется при установке Агента администрирования на эти устройства.

Чтобы подключить внешние настольные компьютеры к Серверу администрирования:

1. Создание инсталляционного пакета Агента администрирования.
2. Откройте свойства созданного инсталляционного пакета, перейдите в раздел Дополнительно и выберите параметр Подключаться к Серверу администрирования через шлюз соединения.

   Параметр Подключаться к Серверу администрирования через шлюз соединения несовместим с параметром Использовать в качестве шлюза соединения в демилитаризованной зоне. Вы не можете включить оба этих параметра одновременно.

3. Укажите адрес шлюза соединения в поле Адрес шлюза соединений.

   Если шлюз соединения расположен за Network Address Translation (NAT) и не имеет собственного общедоступного адреса, настройте правило шлюза NAT для перенаправления соединений с общедоступного адреса на внутренний адрес шлюза соединения.

4. Создайте автономный инсталляционный пакет на основе созданного инсталляционного пакета.
5. Доставьте автономный инсталляционный пакет на целевые компьютеры в электронном виде или на съемном диске.
6. Установите Агент администрирования из автономного инсталляционного пакета.

К Серверу администрирования подключены внешние настольные компьютеры.

О профилях соединения для автономных пользователей

При работе автономных пользователей, использующих ноутбуки (далее также "устройства"), может понадобиться изменить способ подключения к Серверу администрирования или переключиться между Серверами администрирования в зависимости от текущего положения устройства в сети.

Профили подключения поддерживаются только для устройств под управлением Windows и macOS.

Использование различных адресов одного и того же Сервера администрирования

Устройства с установленным Агентом администрирования могут в разные периоды времени подключаться к Серверу администрирования как из внутренней сети организации, так и из интернета. В этой ситуации может потребоваться, чтобы Агент администрирования использовал различные адреса для подключения к Серверу администрирования: внешний адрес Сервера при подключении из интернета и внутренний адрес Сервера при подключении из внутренней сети.

Для этого в свойствах политики Агента администрирования нужно добавить профиль для подключения к Серверу администрирования из интернета. Добавьте профиль в свойствах политики (раздел Подключения, вложенный раздел Профили соединений). В окне создания профиля необходимо выключить параметр Использовать только для получения обновлений и выбрать параметр Синхронизировать параметры подключения с параметрами Сервера, указанными в этом профиле. Если для доступа к Серверу администрирования используется шлюз соединений (например, в конфигурации Kaspersky Security Center, описанной в разделе Доступ из интернета: Агент администрирования в качестве шлюза соединения в демилитаризованной зоне), в профиле подключения следует указать адрес шлюза соединения в соответствующем поле.

Переключение между Серверами администрирования в зависимости от текущей сети

Если в организации несколько офисов с различными Серверами администрирования и между ними перемещается часть устройств с установленным Агентом администрирования, то необходимо, чтобы Агент администрирования подключался к Серверу администрирования локальной сети того офиса, в котором находится устройство.

В этом случае в свойствах политики Агента администрирования следует создать профиль подключения к Серверу администрирования для каждого из офисов, за исключением домашнего офиса, в котором расположен исходный домашний Сервер администрирования. В профилях подключения следует указать адреса соответствующих Серверов администрирования и выбрать либо выключить параметр Использовать только для получения обновлений:

• выбрать параметр, если требуется, чтобы Агент администрирования синхронизировался с домашним Сервером администрирования, а локальный Сервер использовался только для загрузки обновлений;
• выключить параметр, если необходимо, чтобы Агент администрирования полностью управлялся локальным Сервером администрирования.

Далее необходимо настроить условия переключения на созданные профили: не менее одного условия для каждого из офисов, исключая "домашний офис". Смысл каждого такого условия заключается в обнаружении в сетевом окружении деталей, присущих одному из офисов. Если условие становится истинным, происходит активация соответствующего профиля. Если ни одно из условий не является истинным, Агент администрирования переключается на домашний Сервер администрирования.

Создание профиля соединения для автономных пользователей

Развернуть все | Свернуть все

Подключение профиля Агента администрирования к Серверу администрирования доступно только для устройств под управлением операционной системы Windows и macOS.

Чтобы создать профиль подключения Агента администрирования к Серверу администрирования для автономных пользователей:

1. В дереве консоли выберите группу администрирования для клиентских устройств, которой требуется создать профиль подключения Агента администрирования к Серверу.
2. Выполните одно из следующих действий:
   • Если вы хотите создать профиль подключения для всех устройств группы, в рабочей области группы на закладке Политики выберите политику Агента администрирования. Откройте окно свойств выбранной политики.
   • Если вы хотите создать профиль подключения для выбранного устройства в составе группы, в рабочей области группы на закладке Устройства выберите устройство и выполните следующие действия:
     1. Откройте окно свойств выбранного устройства.
     2. В разделе Программы окна свойств устройства выберите Агент администрирования.
     3. Откройте окно свойств Агента администрирования.
3. В окне свойств в разделе Подключения выберите вложенный раздел Профили соединений.
4. В блоке Профили подключения к Серверу администрирования нажмите на кнопку Добавить.

   По умолчанию список профилей подключения содержит профили <Офлайн-режим> и <Домашний Сервер администрирования>. Профили недоступны для изменения и удаления.

   В профиле <Офлайн-режим> не указывается Сервер для подключения. При переходе к этому профилю Агент администрирования не пытается подключиться к какому-либо Серверу, а установленные на клиентских устройствах программы используют политики для автономных пользователей. Профиль <Офлайн-режим> применяется в условиях отключения устройств от сети.

   В профиле <Домашний Сервер администрирования> указан Сервер для подключения, который был задан при установке Агента администрирования. Профиль <Домашний Сервер администрирования> применяется в условиях, когда устройство, которое работало в другой сети, вновь подключается к домашнему Серверу администрирования.

5. В открывшемся окне Новый профиль настройте параметры профиля подключения:
   • Название профиля.

     В поле ввода можно просмотреть или изменить имя профиля подключения.

   • Сервер администрирования

     Адрес Сервера администрирования, к которому должно подключаться клиентское устройство при активации профиля.

   • Порт

     Номер порта, по которому будет выполняться подключение.

   • SSL-порт

     Номер порта, по которому будет осуществляться подключение с использованием SSL-протокола.

   • Использовать SSL

     Если этот параметр включен, подключение будет выполняться через защищенный порт (с использованием SSL-протокола).

     По умолчанию параметр включен. Чтобы ваше соединение оставалось безопасным, рекомендуется не выключать этот параметр.

   • По ссылке Настроить подключение через прокси-сервер настройте параметры профиля подключения через прокси-сервер. Выберите параметр Использовать прокси-сервер, если требуется использовать прокси-сервер для подключения к интернету. Если параметр выбран, доступны поля ввода параметров. Настройте следующие параметры подключения к прокси-серверу:
     • Адрес прокси-сервера

       Адрес прокси-сервера для подключения Kaspersky Security Center к интернету.

     • Номер порта

       Номер порта, через который будет установлено прокси-подключение Kaspersky Security Center.

     • Аутентификация на прокси-сервере

       Если флажок установлен, в полях ввода можно указать учетные данные для аутентификации на прокси-сервере.

       Поле ввода доступно, если установлен флажок Использовать прокси-сервер.

     • Имя пользователя (поле доступно, если выбран параметр Аутентификация на прокси-сервере)

       Учетная запись пользователя, от имени которого будет выполняться подключение к прокси-серверу (поле доступно, если установлен флажок Аутентификация на прокси-сервере).

     • Пароль (поле доступно, если выбран параметр Аутентификация на прокси-сервере)

       Пароль пользователя, с помощью учетной записи которого выполняется подключение к прокси-серверу (поле доступно, если установлен флажок Аутентификация на прокси-сервере).

       Чтобы посмотреть введенный пароль, нажмите на кнопку Показать и удерживайте ее необходимое вам время.

   • Параметры шлюза соединения

     Адрес шлюза, через который устанавливается соединение клиентских устройств с Сервером администрирования.

   • Включить автономный режим

     Если параметр включен, при подключении через этот профиль программы, установленные на клиентском устройстве, будут использовать профили политик для устройств, находящихся в автономном режиме, и политики для автономных пользователей. В случае, если для программы политика для автономных пользователей не определена, программа будет использовать активную политику.

     Если параметр выключен, программы будут использовать активные политики.

     По умолчанию параметр выключен.

   • Использовать только для получения обновлений

     Если этот параметр включен, профиль будет использоваться только при загрузке обновлений программами, установленными на клиентском устройстве. Для остальных операций подключение к Серверу администрирования будет выполняться с исходными параметрами подключения, заданными при установке Агента администрирования.

     По умолчанию параметр включен.

   • Синхронизировать параметры подключения с параметрами Сервера, указанными в этом профиле

     Если этот параметр включен, Агент администрирования подключается к Серверу администрирования, используя параметры, указанные в свойствах профиля.

     Если этот параметр выключен, Агент администрирования подключается к Серверу, используя исходные параметры, указанные при установке.

     Параметр доступен, если параметр Использовать только для получения обновлений выключен.

     По умолчанию параметр выключен.

6. Выберите параметр Включить автономный режим, когда Сервер администрирования недоступен, чтобы при подключении программы, установленные на клиентском устройстве, использовали профили политик для устройств, находящихся в автономном режиме, и политики для автономных пользователей, если Сервер администрирования недоступен. В случае, если для программы политика для автономных пользователей не определена, программа будет использовать активную политику.

В результате будет создан профиль подключения Агента администрирования к Серверу администрирования для автономных пользователей. При подключении Агента администрирования к Серверу через этот профиль программы, установленные на клиентском устройстве, будут использовать политики для устройств, находящиеся в автономном режиме, или политики для автономных пользователей.

О переключении Агента администрирования на другой Сервер администрирования

Исходные параметры подключения Агента администрирования к Серверу задаются при установке Агента администрирования. Для переключения Агента администрирования на другие Серверы администрирования можно использовать правила переключения. Эта функция поддерживается только для Агентов администрирования, установленных на устройствах под управлением Windows или macOS.

Правила переключения могут срабатывать при изменении следующих параметров сети:

• Адрес шлюза соединений по умолчанию.
• IP-адрес DHCP-сервера (Dynamic Host Configuration Protocol) в сети.
• DNS-суффикс подсети.
• IP-адрес DNS-сервера в сети.
• Доступность домена Windows. Этот параметр доступен только для устройств с операционными системами Windows.
• Адрес и маска подсети.
• IP-адрес WINS-сервера в сети. Этот параметр доступен только для устройств с операционными системами Windows.
• DNS-имя или NetBIOS-имя клиентского устройства.
• Доступность адреса SSL-соединения.

Если сформированы правила переключения Агента администрирования на другие Серверы администрирования, Агент реагирует на изменение параметров сети следующим образом:

• Если характеристики сети соответствуют одному из сформированных правил, Агент администрирования подключается к указанному в этом правиле Серверу администрирования. Если это задано правилом, установленные на клиентских устройствах программы переходят на политики для автономных пользователей.
• Если ни одно из правил не выполняется, Агент администрирования возвращается к исходным параметрам подключения к Серверу администрирования, заданным при установке. Установленные на клиентских устройствах программы возвращаются к активным политикам.
• Если Сервер администрирования недоступен, Агент администрирования использует политики для автономных пользователей.

Агент администрирования переключается на политику для автономных пользователей, только если параметр Включить автономный режим, когда Сервер администрирования недоступен включен в параметрах политики Агента администрирования.

Параметры подключения Агента администрирования к Серверу администрирования сохраняются в профиле подключения. В профиле подключения вы можете создавать правила перехода клиентских устройств на политики для автономных пользователей, а также настраивать профиль таким образом, чтобы он использовался только для загрузки обновлений.

Создание правила переключения Агента администрирования по сетевому местоположению

Развернуть все | Свернуть все

Переключение Агента администрирования доступно только для устройств под управлением операционной системы Windows и macOS.

Чтобы создать правило для переключения Агента администрирования с одного Сервера администрирования на другой при изменении характеристик сети:

1. В дереве консоли выберите группу администрирования, для устройств которой требуется создать правило переключения Агента администрирования по описанию сетевого местоположения.
2. Выполните одно из следующих действий:
   • Если вы хотите создать правило для всех устройств группы, в рабочей области группы на закладке Политики выберите политику Агента администрирования. Откройте окно свойств выбранной политики.
   • Если вы хотите создать правило для выбранного устройства группы, в рабочей области группы на закладке Устройства выберите устройство и выполните следующие действия:
     1. Откройте окно свойств выбранного устройства.
     2. В разделе Программы окна свойств устройства выберите Агент администрирования.
     3. Откройте окно свойств Агента администрирования.
3. В открывшемся окне Свойства в разделе Подключения выберите вложенный раздел Профили соединений.
4. В разделе Параметры сетевого местоположения нажмите на кнопку Добавить.
5. В открывшемся окне Новое описание настройте параметры описания сетевого местоположения и правила переключения. Настройте следующие параметры описания сетевого местоположения:
   • Имя описания сетевого местоположения

     Имя описания сетевого местоположения не может превышать 255 символов и содержать специальные символы ("*<>?\/:|).

   • Использовать профиль подключения

     В раскрывающемся списке можно выбрать профиль подключения Агента администрирования к Серверу администрирования. Профиль будет использоваться при выполнении условий описания сетевого местоположения. Профиль подключения содержит параметры подключения Агента администрирования к Серверу администрирования и определяет переход клиентских устройств на политики для автономных пользователей. Профиль используется только для загрузки обновлений.

6. В блоке Условия переключения нажмите на кнопку Добавить, чтобы сформировать список условий описания сетевого местоположения.

   Условия правила объединяются с использованием логического оператора AND. Чтобы правило переключения по описанию сетевого местоположения сработало, все условия переключения правила должны быть выполнены.

7. В раскрывающемся списке выберите значение, соответствующее изменению характеристики сети, к которой подключено клиентское устройство:
   • Адрес шлюза соединения по умолчанию – изменение основного шлюза сети.
   • Адрес DHCP-сервера – изменение IP-адреса DHCP-сервера (Dynamic Host Configuration Protocol) в сети.
   • DNS-домен – изменение DNS-суффикса подсети.
   • Адрес DNS-сервера – изменение IP-адреса DNS-сервера в сети.
   • Доступность Windows-домена (только Windows) – изменение статуса Windows-домена, к которому подключено клиентское устройство. Используйте этот параметр только для устройств под управлением Windows.
   • Подсеть – изменение адреса и маски подсети.
   • Адрес WINS-сервера (только Windows) – изменение IP-адреса WINS-сервера в сети. Используйте этот параметр только для устройств под управлением Windows.
   • Разрешимость имен – у клиентского устройства изменилось NetBIOS-имя или DNS-имя.
   • Доступность адреса SSL-соединения – клиентское устройство может или не может (в зависимости от выбранного вами параметра) установить SSL-соединение с Сервером (имя:порт). Для каждого Сервера вы можете дополнительно указать SSL-сертификат. В этом случае Агент администрирования проверяет сертификат Сервера администрирования в дополнение к проверке возможности SSL-соединения. Если сертификаты не совпадают, соединение не устанавливается.
8. В открывшемся окне укажите значение условия переключения Агента администрирования на другой Сервер администрирования. Название окна зависит от выбора значения на предыдущем шаге. Настройте следующие параметры условия переключения:
   • Значение

     В поле можно добавить одно или несколько значений для создаваемого условия.

   • Соответствует хотя бы одному значению списка

     Если выбран этот вариант, условие будет выполняться при любом из значений, указанных в списке Значение.

     По умолчанию выбран этот вариант.

   • Не соответствует ни одному из значений списка

     Если выбран этот вариант, условие будет выполняться, если его значение отсутствует в списке Значение.

9. В окне Новое описание выберите параметр Описание активно, чтобы включить использование нового описания сетевого местоположения.

В результате будет создано правило переключения по описанию сетевого местоположения, при выполнении условий которого Агент администрирования будет использовать для подключения к Серверу администрирования указанный в описании профиль подключения.

Описания сетевого местоположения проверяются на соответствие характеристикам сети в том порядке, в котором они представлены в списке. Если характеристики сети соответствуют нескольким описаниям, будет использоваться первое из них. Вы можете изменить порядок следования правил в списке с помощью кнопок Вверх () и Вниз ().

Шифрование подключения TLS

Чтобы закрыть уязвимости в сети вашей организации, вы можете включить шифрование трафика с использованием TLS-протокола. Вы можете включить протоколы шифрования TLS и поддерживаемые наборы шифрования на Сервере администрирования и Сервере iOS MDM. Kaspersky Security Center поддерживает TLS-протокол версий 1.0, 1.1 и 1.2. Вы можете выбрать требуемый протокол шифрования и наборы шифрования.

Kaspersky Security Center использует самоподписанные сертификаты. Дополнительная настройка для iOS-устройств не требуется. Также вы можете использовать ваши собственные сертификаты. Рекомендуется использовать сертификаты, подписанные доверенным центром сертификации.

Сервер администрирования

Чтобы настроить разрешенные протоколы шифрования и наборы шифрования на Сервере администрирования:

1. Запустите командную строку Windows с правами администратора, а затем измените текущую директорию на директорию с утилитой klscflag. Утилита klscflag расположена в папке установки Сервера администрирования. Путь установки по умолчанию: <Диск>:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Center.
2. Используйте флаг SrvUseStrictSslSettings, чтобы настроить разрешенные протоколы шифрования и наборы шифрования на Сервере администрирования. Введите следующую команду в командной строке Windows:

   klscflag -fset -pv ".core/.independent" -s Transport -n SrvUseStrictSslSettings -v <value> -t d

   Укажите параметр <value> флага SrvUseStrictSslSettings:

   • 4 – включен только протокол TLS 1.2. Также включены наборы шифрования с TLS_RSA_WITH_AES_256_GCM_SHA384 (этот набор шифрования необходим для обратной совместимости с Kaspersky Security Center 11). Это значение по умолчанию.

     Наборы шифрования поддерживаемые TLS-протоколом 1.2:

     • ECDHE-RSA-AES256-GCM-SHA384
     • ECDHE-RSA-AES256-SHA384
     • ECDHE-RSA-CHACHA20-POLY1305
     • AES256-GCM-SHA384 (с набором шифрования TLS_RSA_WITH_AES_256_GCM_SHA384)
     • ECDHE-RSA-AES128-GCM-SHA256
     • ECDHE-RSA-AES128-SHA256
   • 5 – включен только протокол TLS 1.2. Для TLS-протокола версии 1.2 поддерживаются определенные наборы шифрования, перечисленные ниже.

     Наборы шифрования поддерживаемые TLS-протоколом 1.2:

     • ECDHE-RSA-AES256-GCM-SHA384
     • ECDHE-RSA-AES256-SHA384
     • ECDHE-RSA-CHACHA20-POLY1305
     • ECDHE-RSA-AES128-GCM-SHA256
     • ECDHE-RSA-AES128-SHA256

   Не рекомендуется использовать значения 0, 1, 2 или 3 для значений параметра флага SrvUseStrictSslSettings. Эти значения параметров соответствуют небезопасным версиям TLS-протокола (протоколы TLS 1.0 и TLS 1.1) и небезопасным наборам шифрования и используются только для обратной совместимости с более ранними версиями Kaspersky Security Center.

3. Перезапустите следующие службы Kaspersky Security Center 14.2:
   • службу Сервера администрирования;
   • службу Веб-сервера;
   • службу активации прокси-сервера.

Сервер iOS MDM

Соединение между iOS-устройствами и Сервером iOS MDM зашифровано.

Чтобы настроить разрешенные протоколы шифрования и наборы шифрования на Сервере iOS MDM:

1. Откройте системный реестр клиентского устройства, на котором установлен Сервер iOS MDM, например, локально с помощью команды regedit в меню Пуск → Выполнить.
2. Перейдите в раздел:
   • для 32-разрядной системы:

     HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\Components\34\Connectors\KLIOSMDM\1.0.0.0\Conset

   • для 64-разрядной системы:

     HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\KasperskyLab\Components\34\Connectors\KLIOSMDM\1.0.0.0\Conset

3. Создайте ключ с именем StrictSslSettings.
4. Укажите тип ключа DWORD.
5. Установите значение ключа:
   • 2 – включены протоколы TLS 1.0, TLS 1.1 и TLS 1.2.
   • 3 – включен только протокол TLS 1.2 (значение по умолчанию).
6. Перезапустите службу Сервера iOS MDM Kaspersky Security Center.

Уведомления о событиях

В этом разделе описано, как выбрать способ уведомления администратора о событиях на клиентских устройствах, а также как настроить параметры уведомления о событиях.

Кроме того, описано, как проверить распространение уведомлений о событиях с помощью тестового "вируса" Eicar.

Настройка параметров уведомлений о событиях

Развернуть все | Свернуть все

Kaspersky Security Center позволяет выбирать способ уведомления для администратора о событиях на клиентских устройствах и настраивать параметры уведомлений:

• Электронная почта. При возникновении события программа посылает уведомление на указанные адреса электронной почты. Вы можете настроить текст уведомления.
• SMS. При возникновении события программа посылает уведомления на указанные номера телефонов. Вы можете настроить отправку SMS оповещений с помощью почтового шлюза.
• Исполняемый файл. При возникновении события на устройстве, исполняемый файл запускается на рабочем месте администратора. С помощью исполняемого файла администратор может получать параметры произошедшего события.

Чтобы настроить параметры уведомлений о событиях на клиентских устройствах:

1. В дереве консоли выберите узел с именем нужного вам Сервера администрирования.
2. В рабочей области узла выберите закладку События.
3. Перейдите по ссылке Настроить параметры уведомлений и экспорта событий и в раскрывающемся списке выберите значение Настроить параметры уведомлений.

   Откроется окно Свойства: События.

4. В разделе Уведомление выберите способ уведомления (электронная почта, SMS, исполняемый файл для запуска) и настройте параметры уведомлений:
   • Электронная почта

     На закладке Электронная почта можно настроить уведомления о событиях по электронной почте.

     В поле Получатели (адреса электронной почты) укажите адреса электронной почты, на которые будут отправляться уведомления. В этом поле можно указать несколько адресов через точку с запятой.

     В поле SMTP-серверы укажите адреса почтовых серверов через точку с запятой. Вы можете использовать следующие значения параметра:

     • IPv4-адрес или IPv6-адрес;
     • Имя устройства в сети Windows (NetBIOS-имя);
     • DNS-имя SMTP-сервера.

     В поле Порт SMTP-сервера укажите номер порта подключения к SMTP-серверу. По умолчанию установлен порт 25.

     Если вы включите параметр Использовать DNS и MX поиск, вы сможете использовать несколько MX-записей IP-адреса для одного и того же DNS-имени SMTP-сервера. Одно DNS-имя может иметь несколько MX-записей с различными приоритетами полученных электронных писем. Сервер администрирования пытается отправлять уведомления по электронной почте на SMTP-сервер в порядке возрастания приоритета MX-записей. По умолчанию параметр выключен.

     Если вы включили параметр Использовать DNS и MX поиск и не разрешили использование параметров TLS, рекомендуется использовать параметры DNSSEC на вашем серверном устройстве в качестве дополнительной меры защиты при отправке уведомлений по электронной почте.

     Перейдите по ссылке Параметры, чтобы задать дополнительные параметры:

     • Тема (название темы электронного письма).
     • Адрес отправителя электронной почты.
     • Параметры ESMTP-аутентификации.

     Вы должны указать учетную запись для аутентификации на SMTP-сервере, если для SMTP-сервера включен параметр ESMTP-аутентификации.

     • Параметры TLS для SMTP-сервера:
       • Не использовать TLS

       Вы можете выбрать этот параметр, если хотите выключить шифрование сообщений электронной почты.

       • Использовать TLS, если поддерживается SMTP-сервером

       Вы можете выбрать этот параметр, если хотите использовать TLS для подключения к SMTP-серверу. Если SMTP-сервер не поддерживает TLS, Сервер администрирования подключает SMTP-сервер без использования TLS.

       • Всегда использовать TLS, проверить срок действия сертификата Сервера

       Вы можете выбрать этот параметр, если хотите использовать параметры TLS-аутентификации. Если SMTP-сервер не поддерживает TLS, Сервер администрирования не сможет подключиться к SMTP-серверу.

     Рекомендуется использовать этот параметр для защиты соединения с SMTP-сервером. Если вы выберете этот параметр, вы можете установить параметры аутентификации для TLS-соединения.

     Если вы решите использовать значение Всегда использовать TLS, для проверки срока действия сертификата Сервера, вы можете указать сертификат для аутентификации SMTP-сервера и выбрать, хотите ли вы разрешить подключение через любую версию TLS или только через TLS 1.2 или более поздние версии. Также вы можете указать сертификат для аутентификации клиента на SMTP-сервере.

     Вы можете указать параметры TLS для SMTP-сервера:

     • Выберите файл сертификата SMTP-сервера:

     Вы можете получить файл со списком сертификатов от доверенного центра сертификации и загрузить его на Сервер администрирования. Kaspersky Security Center проверяет, подписан ли сертификат SMTP-сервера также доверенным центром сертификации. Kaspersky Security Center не может подключиться к SMTP-серверу, если сертификат SMTP-сервера не получен от доверенного центра сертификации.

     • Выберите файл сертификата клиента:

     Вы можете использовать сертификат, полученный из любого источника, например, от любого доверенного центра сертификации. Вам нужно указать сертификат и его закрытый ключ, используя один из следующих типов сертификатов:

     • Сертификат X-509:

     Вам нужно указать файл с сертификатом и файл с закрытым ключом. Оба файла не зависят друг от друга. Порядок загрузки файлов не имеет значения. Когда оба файла загружены, необходимо указать пароль для расшифровки закрытого ключа. Пароль может иметь пустое значение, если закрытый ключ не зашифрован.

     • Контейнер с сертификатом в формате PKCS#12:

     Вам нужно загрузить один файл, содержащий сертификат и закрытый ключ сертификата. Когда файл загружен, тогда необходимо указать пароль для расшифровки закрытого ключа. Пароль может иметь пустое значение, если закрытый ключ не зашифрован.

     В поле Текст уведомления содержится стандартный текст уведомления о событии, отправляемый программой при возникновении события. Текст содержит подстановочные параметры, такие как имя события, имя устройства и имя домена. Текст сообщения можно изменить, добавив новые подстановочные параметры с подробными данными события. Список подстановочных параметров доступен по нажатию на кнопку справа от поля.

     Если текст уведомления содержит знак процента (%), его нужно указать его два раза подряд, чтобы сообщение было отправлено. Например, "Загрузка процессора составляет 100%%".

     Перейдите по ссылке Настроить ограничение количества уведомлений можно указать максимальное количество уведомлений, которое программа может отправлять за указанный интервал времени.

     Нажмите на кнопку Отправить тестовое сообщение можно проверить правильность настройки сообщений. Программа отправляет тестовые сообщения на указанные адреса электронной почты.

   • SMS

     На закладке SMS можно настроить отправку SMS-уведомлений о различных событиях на мобильный телефон. SMS-сообщения отправляются через почтовый шлюз.

     В поле Получатели (адреса электронной почты) укажите адреса электронной почты, на которые будут отправляться уведомления. В этом поле можно указать несколько адресов через точку с запятой. Уведомления доставляются на телефоны, номера которых связаны с указанными адресами электронной почты.

     В поле SMTP-серверы укажите адреса почтовых серверов через точку с запятой. Вы можете использовать следующие значения параметра:

     • IPv4-адрес или IPv6-адрес;
     • Имя устройства в сети Windows (NetBIOS-имя);
     • DNS-имя SMTP-сервера.

     В поле Порт SMTP-сервера укажите номер порта подключения к SMTP-серверу. По умолчанию установлен порт 25.

     Перейдите по ссылке Параметры, чтобы задать дополнительные параметры:

     • Тема (название темы электронного письма).
     • Адрес отправителя электронной почты.
     • Параметры ESMTP-аутентификации.

     Если необходимо, вы можете указать учетную запись для аутентификации на SMTP-сервере, если для SMTP-сервера включен параметр ESMTP-аутентификации.

     • Параметры TLS для SMTP-сервера

     Вы можете отключить использование TLS, использовать TLS, если SMTP-сервер поддерживает этот протокол, или вы можете принудительно использовать только TLS. Если вы решите использовать только TLS, вы можете указать сертификат для аутентификации SMTP-сервера и выбрать, хотите ли вы разрешить подключение через любую версию TLS или только через TLS 1.2 или более поздние версии. Также, если вы решили использовать только TLS, вы можете указать сертификат для аутентификации клиента на SMTP-сервере.

     • Выберите файл сертификата SMTP-сервера

     Вы можете получить файл со списком сертификатов от доверенного центра сертификации и загрузить его в Kaspersky Security Center. Kaspersky Security Center проверяет, подписан ли сертификат SMTP-сервера также доверенным центром сертификации. Kaspersky Security Center не может подключиться к SMTP-серверу, если сертификат SMTP-сервера не получен от доверенного центра сертификации.

     Вам нужно загрузить один файл, содержащий сертификат и закрытый ключ сертификата. Когда файл загружен, тогда необходимо указать пароль для расшифровки закрытого ключа. Пароль может иметь пустое значение, если закрытый ключ не зашифрован. В поле Текст уведомления содержится стандартный текст уведомления о событии, отправляемый программой при возникновении события. Текст содержит подстановочные параметры, такие как имя события, имя устройства и имя домена. Текст сообщения можно изменить, добавив новые подстановочные параметры с подробными данными события. Список подстановочных параметров доступен по нажатию на кнопку справа от поля.

     Если текст уведомления содержит знак процента (%), его нужно указать его два раза подряд, чтобы сообщение было отправлено. Например, "Загрузка процессора составляет 100%%".

     Перейдите по ссылке Настроить ограничение количества уведомлений можно указать максимальное количество уведомлений, которое программа может отправлять за указанный интервал времени.

     По кнопке Отправить тестовое сообщение проверьте, правильно ли настроены уведомления. Программа отправляет тестовые сообщения указанным получателям.

   • Исполняемый файл для запуска

     Если выбран этот способ уведомления, в поле ввода можно указать, какая программа будет запущена при возникновении события.

     При переходе по ссылке Настроить ограничение количества уведомлений можно указать максимальное количество уведомлений, которое программа может отправлять за указанный интервал времени.

     По нажатию на кнопку Отправить пробное сообщение можно проверить правильно ли настроены сообщения: программа отправляет тестовые сообщения на указанные адреса электронной почты.

5. В поле Текст уведомления введите текст, который программа будет отправлять при возникновении события.

   Из раскрывающегося списка, расположенного справа от текстового поля, можно добавлять в сообщение подстановочные параметры с деталями события (например, описание события, время возникновения и прочее).

   Если текст уведомления содержит символ %, нужно указать его два раза подряд, чтобы сообщение было отправлено. Например, "Загрузка процессора составляет 100%%".

6. По кнопке Отправить тестовое сообщение проверьте, правильно ли настроены уведомления.

   Программа отправляет тестовое уведомление указанному получателю.

7. Нажмите на кнопку ОК, чтобы сохранить изменения.

В результате настроенные параметры уведомления распространяются на все события, происходящие на клиентских устройствах.

Можно изменить значения параметров уведомлений для определенных событий в разделе Настройка событий параметров Сервера администрирования, параметров политики или параметров программы.

Проверка распространения уведомлений

Для проверки распространения уведомлений о событиях используется уведомление об обнаружении тестового "вируса" Eicar на клиентских устройствах.

Чтобы проверить распространение уведомлений о событиях:

1. Остановите задачу постоянной защиты файловой системы на клиентском устройстве и скопируйте тестовый "вирус" Eicar на клиентское устройство. Снова включите задачу постоянной защиты файловой системы.
2. Запустите задачу проверки клиентских устройств для группы администрирования или набора устройств, в который входит клиентское устройство с "вирусом" Eicar.

   Если задача проверки настроена верно, в процессе ее выполнения тестовый "вирус" будет обнаружен. Если параметры уведомлений настроены верно, вы получите уведомление о найденном вирусе.

   В рабочей области узла Сервер администрирования на закладке События в выборке Последние события отобразится запись об обнаружении "вируса".

Тестовый "вирус" Eicar не содержит программного кода, который может навредить вашему устройству. При этом большинство программ безопасности компаний-производителей идентифицируют его как вирус. Загрузить тестовый "вирус" можно с официального веб-сайта организации EICAR.

Уведомление о событиях с помощью исполняемого файла

Kaspersky Security Center позволяет с помощью запуска исполняемого файла уведомлять администратора о событиях на клиентских устройствах. Исполняемый файл должен содержать другой исполняемый файл с подстановочными параметрами события, которые нужно передать администратору (см. таблицу ниже).

Подстановочные параметры для описания события

Настройка интерфейса

Развернуть все | Свернуть все

Вы можете настроить интерфейс Kaspersky Security Center:

• Отобразить и скрыть объекты в дереве консоли, рабочей области и окнах свойств объектов (папок, разделов) в зависимости от используемых функций.
• Отобразить и скрыть элементы главного окна (например, дерево консоли или стандартные меню, такие как Действия и Вид).

Чтобы настроить интерфейс Kaspersky Security Center в соответствии с используемым в настоящее время набором функций, выберите следующие действия:

1. В дереве консоли выберите узел Сервер администрирования.
2. В меню главного окна программы выберите пункт Вид → Настройка интерфейса.
3. В открывшемся окне Настройка интерфейса, настройте отображение элементов интерфейса, используя следующие флажки:
   • Отображать Системное администрирование

     Если этот параметр включен, в папке Удаленная установка отображается подпапка Развертывание образов устройств, а в папке Хранилища отображается подпапка Оборудование.

     Этот параметр по умолчанию выключен, если мастер первоначальной настройки не завершен. Этот параметр включен по умолчанию, если мастер первоначальной настройки завершен.

     Если этот параметр выключен, пункты меню Создать RDP-сессию и Совместный доступ к рабочему столу Windows будут недоступны, даже если у вас есть действующая лицензия на возможности Системного администрирование.

   • Отображать шифрование и защиту данных

     Если этот параметр включен, в дереве консоли отображается папка Шифрование и защита данных.

     По умолчанию параметр включен.

   • Отображать параметры контроля рабочего места

     Если этот параметр включен, в разделе Контроль безопасности окна свойств Kaspersky Endpoint Security для Windows отображаются следующие подразделы:

     • Контроль программ
     • Контроль устройств
     • Веб-Контроль
     • Адаптивный контроль аномалий

     Если этот параметр выключен, эти подразделы не отображаются в разделе Контроль безопасности.

     По умолчанию параметр включен.

   • Отображать Управление мобильными устройствами

     Если этот параметр включен, возможности Управления мобильными устройствами доступны. После перезапуска программы в дереве консоли отображается папка Мобильные устройства.

     По умолчанию параметр включен.

   • Отображать подчиненные Серверы администрирования

     Если флажок установлен, в дереве консоли отображаются узлы подчиненных и виртуальных Серверов администрирования в группах администрирования. При этом доступны функции, связанные с подчиненными и виртуальными Серверами администрирования, например, создание задач для удаленной установки программ на подчиненные Серверы администрирования.

     По умолчанию флажок снят.

   • Отображать разделы с параметрами безопасности

     Если этот параметр включен, раздел Безопасность отображается в окне свойств Сервера администрирования, групп администрирования и других объектов. Этот параметр позволяет предоставить пользователям и группам пользователей настраиваемые права для работы с объектами.

     По умолчанию параметр выключен.

4. Нажмите на кнопку ОК.

Чтобы применить некоторые изменения, вы должны закрыть главное окно программы, а затем открыть его снова.

Чтобы настроить отображение элементов в главном окне программы:

1. В меню главного окна программы выберите Вид → Настроить.
2. В открывшемся окне Настройка вида настройте отображение элементов главного окна с помощью флажков.
3. Нажмите на кнопку ОК.