EDR (KATA) 的 KEA 到 KES 遷移指南
從版本 12.1 開始,Kaspersky Endpoint Security for Windows 包含一個內建代理,用於管理 Kaspersky Endpoint Detection and Response 元件,作為 Kaspersky Anti Targeted Attack Platform 解決方案的一部分。您再也無需分開 Kaspersky Endpoint Agent 應用程式來使用 EDR (KATA)。Kaspersky Endpoint Agent 的所有功能將由 Kaspersky Endpoint Security 執行。Kaspersky Anti Targeted Attack Platform 伺服器上的負載將保持不變。
當您在安裝了 Kaspersky Endpoint Agent 的電腦上部署 Kaspersky Endpoint Security 時,Kaspersky Anti Targeted Attack Platform (EDR) 解決方案將繼續與 Kaspersky Endpoint Security 一起工作。此外,Kaspersky Endpoint Agent 將被從電腦移除。當您將 Kaspersky Endpoint Security 更新到版本 12.1 或者更高版本時,系統中會發生相同的行為。
Kaspersky Endpoint Security 與 Kaspersky Endpoint Agent 不相容。您不能在同一台電腦上同時安裝這些應用程式。
Kaspersky Endpoint Security 必須滿足以下條件才能作為 Endpoint Detection and Response (KATA) 的一部分工作:
- Kaspersky Anti Targeted Attack Platform 版本 4.1 或更高版本。
- 卡巴斯基安全管理中心版本 13.2 或更高版本(包括網路代理)。在早期版本的卡巴斯基安全管理中心中,無法啟動 Endpoint Detection and Response (KATA) 功能。
將 [KES+KEA] 配置遷移到 [KES+built-in agent] for EDR (KATA) 的步驟
- 升級 Kaspersky Endpoint Security 管理外掛程式
EDR (KATA) 元件可以使用 Kaspersky Endpoint Security 管理外掛程式版本 12.1 或更高版本進行管理。根據您使用的卡巴斯基安全管理中心主控台類型,更新管理主控台 (MMC) 中的管理外掛程式或網頁主控台中的 Web 外掛程式。
- 遷移政策和工作
將 Kaspersky Endpoint Agent 設定傳輸到 Kaspersky Endpoint Security for Windows。下列選項可用:
- 用於從 Kaspersky Endpoint Agent 遷移到 Kaspersky Endpoint Security 的精靈。從 Kaspersky Endpoint Agent 遷移到 Kaspersky Endpoint Security 的精靈僅適用於網頁主控台
如何將政策和工作設定從 Kaspersky Endpoint Agent 遷移到網頁主控台中的 Kaspersky Endpoint Security
- 標準政策和工作批量轉換精靈。政策和工作批量轉換精靈僅在管理主控台 (MMC) 中可用。有關政策和工作批量轉換精靈的詳細資訊,請參閱卡巴斯基安全管理中心說明。
為確保 Kaspersky Endpoint Security 在伺服器上正常工作,建議將對伺服器功能重要的檔案新增到受信任區域。對於 SQL 伺服器,您必須新增 MDF 和 LDF 資料庫檔案。對於 Microsoft Exchange 伺服器,您必須新增 CHK、EDB、JRS、LOG 和 JSL 檔案。您可以使用遮罩,例如,
C:\Program Files (x86)\Microsoft SQL Server\*.mdf。EDR 遙測排除項目不會從 Kaspersky Endpoint Agent 政策遷移到 Kaspersky Endpoint Security 政策。Kaspersky Endpoint Security 有自己的排除工具:可信應用程式。Kaspersky Endpoint Security 的操作經過最佳化,與 Kaspersky Endpoint Agent 相比,缺少單個 EDR 遙測排除項目不會對您的電腦造成任何額外負載。Kaspersky Endpoint Security 不僅將遙測用於 EDR (KATA),還用於應用程式防護元件的運行。因此,無需傳輸單個 EDR 遙測排除項目。如果您經歷電腦效能下降,請檢查應用程式的運行情況(請參閱步驟 7 檢查效能)。
- 用於從 Kaspersky Endpoint Agent 遷移到 Kaspersky Endpoint Security 的精靈。從 Kaspersky Endpoint Agent 遷移到 Kaspersky Endpoint Security 的精靈僅適用於網頁主控台
- 授權 EDR (KATA) 功能
要將 Kaspersky Endpoint Security 作為 Kaspersky Anti Targeted Attack Platform 解決方案的一部分啟動,您需要單獨的 Kaspersky Endpoint and Detection and Response (KATA) 附加產品授權。您可以使用“新增金鑰”工作新增金鑰。結果,兩個金鑰將被新增到應用程式:Kaspersky Endpoint Security 和 Kaspersky Endpoint and Detection and Response (KATA)。
在具有先前啟動的 EDR Optimum 或 EDR Expert 功能的電腦上許可 Kaspersky Endpoint Detection and Response (KATA) 附加涉及以下特殊注意事項:
- 如果使用的是 金鑰檔案授權具有 EDR Optimum 或 EDR Expert 功能的 Kaspersky Endpoint Security,您無法為 Kaspersky Endpoint Detection and Response (KATA) 附加新增單獨金鑰。您可以切換到使用啟動碼進行許可,或者聯絡您的服務提供商以獲取新的金鑰檔案來啟動 Kaspersky Endpoint Security 和 EDR 功能。服務提供商將提供一個或多個用於許可的金鑰檔案。
- 如果您使用金鑰檔案授權沒有 EDR Optimum 或 EDR Expert 功能的 Kaspersky Endpoint Security,您可以為 Kaspersky Endpoint Detection and Response (KATA) 附加新增單獨金鑰,而無需重新發布金鑰檔案。
- 如果您使用啟動碼授權,則卡巴斯基啟動伺服器將自動重新發布金鑰,EDR (KATA) 功能將自動可用。在這種情況下,EDR Optimum 和 EDR Expert 將被停用。
- Kaspersky Endpoint Security 允許您新增最多兩個啟動金鑰:Kaspersky Endpoint Security 金鑰和附加類型金鑰。您還可以新增最多兩個備用金鑰。一個 Kaspersky Endpoint Security 備用金鑰和一個附加類型備用金鑰。
- 安裝/升級 Kaspersky Endpoint Security 應用程式
要在應用程式安裝或升級期間遷移 EDR (KATA) 功能,建議使用遠端安裝工作。建立遠端安裝工作時,您需要在安裝套件設定中選擇 EDR(KATA)元件。
您還可以使用以下方法升級應用程式:
- 使用 Kaspersky 更新服務。
- 本機使用安裝精靈。
當在安裝了 Kaspersky Endpoint Agent 的電腦上升級應用程式時,Kaspersky Endpoint Security 支援自動選擇元件。自動選擇元件取決於升級應用程式的使用者帳戶的權限。
如果在系統帳戶 (SYSTEM) 下使用 EXE 或 MSI 檔案升級 Kaspersky Endpoint Security,Kaspersky Endpoint Security 將獲得對 Kaspersky 解決方案的目前產品授權的存取權限。因此,如果電腦安裝了 Kaspersky Endpoint Agent 且啟動了 EDR (KATA) 解決方案,Kaspersky Endpoint Security 安裝程式將自動配置元件集合並選擇 EDR (KATA) 元件。這將使得 Kaspersky Endpoint Security 切換到使用內建代理並刪除 Kaspersky Endpoint Agent。在系統帳戶 (SYSTEM) 下執行 MSI 安裝程式通常在透過 Kaspersky 更新服務升級或透過卡巴斯基安全管理中心部署安裝套件時進行。
如果在沒有權限的帳戶下使用 MSI 檔案升級 Kaspersky Endpoint Security,Kaspersky Endpoint Security 將缺少對 Kaspersky 解決方案的目前產品授權的存取權限。在這種情況下,Kaspersky Endpoint Security 會根據 Kaspersky Endpoint Agent 的一組元件自動選擇元件。此後,Kaspersky Endpoint Security 將切換到使用內建代理並刪除 Kaspersky Endpoint Agent。
Kaspersky Endpoint Security 支援在不重啟電腦的情況下升級。您可以選擇政策屬性中的應用程式升級模式。
- 檢查應用程式運行情況
如果安裝或升級後應用程式後電腦在卡巴斯基安全管理中心主控台中具有“緊急”狀態:
- 請確保電腦安裝了網路代理 13.2或更高版本。
- 透過檢視”應用程式元件狀態報告”來檢查內建代理的運行狀態。如果元件的狀態為”未安裝”,請使用變更程式元件工作來安裝元件。如果一個元件的狀態為 產品授權不支援,確保您已啟動內建代理功能。
- 請確保在 Kaspersky Endpoint Security for Windows 的新政策中接受卡巴斯基安全網路聲明。
- 檢查與 Kaspersky Anti Targeted Attack Platform 伺服器的連線
檢查與 Kaspersky Anti Targeted Attack Platform 伺服器的連線。為此,請執行以下操作:
- 檢查您是否擁有有效的憑證。
- 檢查伺服器連線設定。
- 檢查事件記錄。
如果建立了與伺服器的連線,應用程式將傳送事件 成功連線到 Kaspersky Anti Targeted Attack Platform 伺服器。如果沒有成功連線事件並且沒有連線錯誤事件,檢查事件記錄設定並為 Endpoint Detection and Response (KATA) 啟用事件傳送。
伺服器連線狀態不會影響 Kaspersky Security Center 主控台中的電腦狀態。因此,如果沒有連線到伺服器,電腦仍然可以擁有 確定 狀態。檢查事件日誌以驗證與伺服器的連線。
- 檢查效能
如果您的電腦在安裝或更新應用程式後效能下降,您可以最佳化資料傳輸。為此,請執行以下操作:
- 停用 EDR (KATA) 元件 並檢查效能下降是由於 EDR (KATA)。
- 針對受信任的應用程式,關閉主控台輸入操作的遙測收集(預設啟用)。
- 將降低電腦效能的應用程式新增到受信任的應用程式清單。
- 聯絡卡巴斯基技術支援。支援專家將幫助您在 Kaspersky Anti Targeted Attack Platform 中配置遙測過濾。這將減少流量。如果您的電腦效能受到某個應用程式的影響,請在請求中附上該應用程式的分發套件。