Informacje o profilu zasad

19 marca 2024

ID 89258

Profil zasad to zestaw ustawień zasady, która jest aktywowana na urządzeniu klienckim (komputerze lub urządzeniu mobilnym), gdy urządzenie spełnia określone reguły aktywacji. Aktywacja profilu zmodyfikuje ustawienia zasad, które były aktywne na urządzeniu przed aktywacją profilu. Te ustawienia przyjmują wartości określone w profilu.

Profile zasad są niezbędne dla urządzeń w jednej grupie administracyjnej w celu uruchomienia z ustawieniami innych zasad. Taka sytuacja może mieć miejsce, na przykład, gdy ustawienia zasad muszą zostać zmodyfikowane dla niektórych urządzeń w grupie administracyjnej. W tym przypadku możesz skonfigurować profile zasad dla takiej zasady, co umożliwi zmodyfikowanie ustawień zasady dla wybranych urządzeń w grupie administracyjnej. Na przykład, zasada zabrania uruchamiania programu do nawigacji GPS na wszystkich urządzeniach w grupie Zarządzanie użytkownikami. Program do nawigacji GPS jest wymagany tylko na jednym urządzeniu w grupie Zarządzanie użytkownikami — na urządzeniu, które należy do użytkownika zatrudnionego w charakterze kuriera. Możesz oznaczyć to urządzenie jako „Kurier” i ponownie skonfigurować profil zasad, aby uruchamianie programu do nawigacji GPS możliwe było tylko na urządzeniu oznaczonym jako „Kurier”, zachowując przy tym wszystkie pozostałe ustawienia zasady. W tym przypadku, jeśli urządzenie oznaczone jako „Kurier” pojawi się w grupie Zarządzanie użytkownikami, będzie można uruchamiać na nim program do nawigacji GPS. Uruchamianie programu do nawigacji GPS wciąż będzie zabronione na innych urządzeniach w grupie Zarządzanie użytkownikami do momentu oznakowania ich jako „Kurier”.

Profile są obsługiwane tylko przez następujące zasady:

  • Zasady Kaspersky Endpoint Security for Windows
  • Zasady Kaspersky Endpoint Security for Mac
  • Zasady wtyczki Kaspersky Mobile Device Management od wersji 10 Service Pack 1 do wersji 10 Service Pack 3 Maintenance Release 1
  • Zasady wtyczki Kaspersky Device Management for iOS
  • Zasady Kaspersky Security for Virtualization 5.1 Light Agent for Windows
  • Zasady Kaspersky Security for Virtualization 5.1 Light Agent for Linux

Profile zasad upraszczają zarządzanie urządzeniami klienckimi, do których stosowane są zasady:

  • Ustawienia profilu zasad mogą różnić się od ustawień zasady.
  • Nie jest konieczne posiadanie i ręczne stosowanie kilku instancji jednej zasady, która różni się tylko kilkoma ustawieniami.
  • Nie jest konieczne przydzielanie oddzielnej zasady do użytkowników mobilnych.
  • Możesz wyeksportować lub zaimportować profile zasad, a także utworzyć nowe profile zasad w oparciu o istniejące profile.
  • Jedna zasada może posiadać kilka aktywnych profili zasad. Tylko profile spełniające wymagania reguł aktywacji na urządzeniu zostaną zastosowane do tego urządzenia.
  • Profile podlegają hierarchii zasad. Odziedziczona zasada zawiera wszystkie profile zasady wyższego poziomu.

Priorytety profili

Profile, które zostały utworzone dla zasad, są sortowane w kolejności malejącej priorytetu. Na przykład, jeśli profil X jest wyżej na liście profili niż profil Y, profil X posiada wyższy priorytet niż Y. Do jednego urządzenia można podłączyć kilka profili jednocześnie. Jeśli wartości ustawień różnią się w innych profilach, na urządzeniu zostanie zastosowana wartość z profilu najwyższego poziomu.

Reguły aktywacji profili

Profil zasad jest aktywowany na urządzeniu klienckim po wyzwoleniu reguły aktywacji. Reguły aktywacji to zestaw warunków, które, gdy zostaną spełnione, uruchamiają profil zasad na urządzeniu. Reguła aktywacji może zawierać następujące warunki:

  • Agent sieciowy na urządzeniu klienckim łączy się z Serwerem administracyjnym przy użyciu określonego zestawu ustawień połączenia, takich jak adres Serwera administracyjnego, numer portu itd.
  • Urządzenie klienckie jest offline.
  • Do urządzenia klienckiego przypisano określone znaczniki.
  • Urządzenia klienckie są jawnie (urządzenie jest natychmiast umieszczane w określonej jednostce) lub niejawnie (urządzenie jest umieszczane w jednostce, która znajduje się w określonej jednostce na dowolnym poziomie zagnieżdżenia) umieszczane w określonej jednostce Active Directory, urządzenie lub jego właściciel znajduje się w grupie zabezpieczeń Active Directory.
  • To urządzenie klienckie należy do określonego użytkownika lub właściciel urządzenia należy do wewnętrznej grupy bezpieczeństwa Kaspersky Security Center.
  • Właścicielowi urządzenia klienckiego została przypisana określona rola.

Zasady w hierarchii grup administracyjnych

Jeśli tworzysz zasadę w grupie administracyjnej niskiego poziomu, ta nowa zasada odziedziczy wszystkie profile aktywnej zasady z grupy wyższego poziomu. Profile z identycznymi nazwami zostają scalone. Profile zasad dla grupy wyższego poziomu posiadają wyższy priorytet. Na przykład, w grupie administracyjnej A, zasada P(A) posiada profile X1, X2 i X3 (w kolejności malejącej priorytetu). W grupie administracyjnej B, która jest podgrupą grupy A, zasada P(B) została utworzona z profilami X2, X4, X5. Następnie zasada P(B) zostanie zmodyfikowana przez zasadę P(A), co spowoduje, że lista profili zasady P(B) będzie wyglądać następująco: X1, X2, X3, X4, X5 (w kolejności malejącej priorytetu). Priorytet profilu X2 będzie zależał od początkowego stanu X2 zasady P(B) i X2 zasady P(A). Po utworzeniu zasady Р(В), zasada P(A) nie będzie już wyświetlana w podgrupie В.

Aktywna zasada jest ponownie wyliczana za każdym razem, gdy uruchamiany jest Agent sieciowy, włączany i wyłączany jest tryb offline lub modyfikowana jest lista znaczników przydzielonych do urządzenia klienckiego. Na przykład, rozmiar pamięci RAM został zwiększony na urządzeniu, co spowodowało aktywowanie profilu zasad stosowanego na urządzeniach posiadających dużą ilość pamięci RAM.

Właściwości i ograniczenia profili zasad

Profile posiadają następujące właściwości:

  • Profile nieaktywnej zasady nie mają wpływu na urządzenia klienckie.
  • Jeśli dla zasady ustawiono stan Zasada użytkownika mobilnego, profile zasad będą także stosowane tylko wtedy, gdy urządzenie jest odłączone od sieci firmowej.
  • Profile nie obsługują statycznej analizy dostępu do plików wykonywalnych.
  • Profil zasad nie może zawierać żadnych ustawień powiadomień o zdarzeniach.
  • Jeśli port UDP o numerze 15000 jest używany do łączenia urządzenia z Serwerem administracyjnym, w ciągu minuty od przydzielenia znacznika do urządzenia zostaje aktywowany odpowiedni profil zasad.
  • Podczas tworzenia reguł aktywacji profilu zasad możesz korzystać z reguł dla połączenia Agenta sieciowego z Serwerem administracyjnym.

Czy ten artykuł był pomocny?
Co możemy zrobić lepiej?
Dziękujemy za opinię! Dzięki niej możemy stawać się lepsi.
Dziękujemy za opinię! Dzięki niej możemy stawać się lepsi.