Вы находитесь на странице: 1из 360

Kaspersky Technical Training

KL 002.11

Kaspersky
Endpoint Security
and Management.
Базовый курс

Учебный курс
О
ЕН
Щ
Е
ПР
ЗА
Е
Е НИ
АН
ТР
Р ОС
СП
РА
И
ЕИ
АН
ОВ

Лаборатория Касперского
ИР

www.kaspersky.com
П
КО
О
I-1

ЕН
Часть I. Внедрение

Е Щ
ПР
ЗА
Часть I. Внедрение

Е
НИ
Введение ........................................................................................................................ 4
Основы Kaspersky Endpoint Security для бизнеса .................................................................................................... 4

Е
Какие продукты рассматривает курс............................................................................................................... 4

АН
Из чего состоит Kaspersky Security Center ....................................................................................................... 5
Из чего состоит Kaspersky Endpoint Security.................................................................................................... 5
Как Kaspersky Security Center управляет компьютерами ................................................................................ 7
Как администратор управляет защитой в консоли ........................................................................................ 9
ТР
Как политики применяются к компьютерам ................................................................................................. 10
Как работают политики в группах ................................................................................................................. 10
Как задачи применяются к компьютерам ...................................................................................................... 11
ОС

Как работают задачи в группах ...................................................................................................................... 12


Как лицензируется Kaspersky Endpoint Security для бизнеса ......................................................................... 13
О чем этот курс ......................................................................................................................................................... 15
Р

Что есть и чего нет в этом курсе ................................................................................................................... 15


Где узнать больше о том, что не вошло в курс .............................................................................................. 16
СП

Из чего состоит курс ........................................................................................................................................ 17

Глава 1. Как установить Kaspersky Endpoint Security для бизнеса ....................... 18


РА

1.1 Что и в каком порядке устанавливать ............................................................................................................... 18


1.2 Как организовать процесс .................................................................................................................................. 19

Глава 2. Как установить Kaspersky Security Center ................................................. 20


И

2.1 Требования к Серверу администрирования ..................................................................................................... 20


Е

Поддержка серверных версий Windows ........................................................................................................... 20


Поддержка рабочих станций Windows ............................................................................................................ 21
И

Поддержка виртуальных платформ ............................................................................................................... 22


Поддержка серверов управления базами данных ........................................................................................... 23
АН

Дополнительные требования к ПО .................................................................................................................. 24


Минимальные требования к оборудованию ..................................................................................................... 24
2.2 Установка Сервера администрирования ........................................................................................................... 24
ОВ

Где взять дистрибутив Kaspersky Security Center ......................................................................................... 24


Оболочка инсталлятора Kaspersky Security Center ........................................................................................ 25
Что нужно знать перед установкой ............................................................................................................... 26
ИР

Мастер установки ............................................................................................................................................. 27


Дополнительные консоли и плагины ................................................................................................................. 39
Результаты установки ..................................................................................................................................... 40
П

2.3 Мастер первоначальной настройки ................................................................................................................... 42


Что нужно знать перед настройкой .............................................................................................................. 42
КО

Управление мобильными устройствами ......................................................................................................... 43


Установка лицензии ........................................................................................................................................... 44
О
I-2 ЛАБОРАТОРИЯ КАСПЕРСКОГО™

ЕН
KL 002.11. Kaspersky Endpoint Security and Management. Базовый курс

Настройка прокси-сервера для доступа в Интернет .................................................................................... 46

Щ
Проверка новых версий ...................................................................................................................................... 47
Kaspersky Security Network ................................................................................................................................. 49
Настройка почтовых уведомлений .................................................................................................................. 50

Е
Настройка поиска уязвимостей и установки обновлений ............................................................................. 51
Создание задач и политик ................................................................................................................................. 51

ПР
Загрузка обновлений в хранилище ..................................................................................................................... 53
Что делать дальше ............................................................................................................................................ 54
2.4 Что есть в консоли администрирования ........................................................................................................... 55

ЗА
Глава 3. Как установить Kaspersky Endpoint Security на компьютеры .................. 57
3.1 Требования к компьютерам................................................................................................................................ 57

Е
Требования Kaspersky Endpoint Security к операционным системам ............................................................ 57

НИ
Поддержка Kaspersky Endpoint Security виртуальных платформ ................................................................ 58
Минимальные требования к оборудованию ..................................................................................................... 59
Требования для установки Агента администрирования ................................................................................ 59

Е
3.2 Методы установки .............................................................................................................................................. 60
Что делать перед установкой.......................................................................................................................... 60

АН
Какие есть методы установки......................................................................................................................... 61
3.3 Как удаленно установить Агент администрирования и Kaspersky Endpoint Security ................................... 62
ТР
Мастер удаленной установки ........................................................................................................................... 62
Инсталляционные пакеты ................................................................................................................................ 63
Выбор инсталляционного пакета ..................................................................................................................... 64
Выбор компьютеров .......................................................................................................................................... 65
ОС

Способ установки .............................................................................................................................................. 68


Выбор ключа ....................................................................................................................................................... 69
Удаление несовместимых программ ................................................................................................................ 70
Р

Куда поместить компьютеры после установки ............................................................................................ 71


Учетная запись администратора .................................................................................................................... 72
СП

Где следить за ходом установки ...................................................................................................................... 73


Результат установки ........................................................................................................................................ 74
3.4 Как установить Агент администрирования через Active Directory ................................................................ 75
РА

Как устанавливать программы через Active Directory................................................................................... 75


Как задачей опубликовать пакет Агента в Active Directory ......................................................................... 76
Что задача меняет в Active Directory .............................................................................................................. 76
И

3.5 Как сделать проще локальную установку ......................................................................................................... 78


Зачем устанавливать локально ........................................................................................................................ 78
Автономные пакеты установки ....................................................................................................................... 78
Е

Как создать автономный пакет ...................................................................................................................... 79


И

Что делать с автономными пакетами ........................................................................................................... 81


3.6 Как выбрать, какие компоненты KES устанавливать ...................................................................................... 83
АН

Инсталляционные пакеты ................................................................................................................................ 83


Настройки пакета Kaspersky Endpoint Security .............................................................................................. 84
Параметры пакета Агента администрирования........................................................................................... 90
ОВ

3.7 Как создать пакет установки .............................................................................................................................. 92


Зачем создавать пакеты установки ................................................................................................................ 92
ИР

Мастер создания пакета .................................................................................................................................. 92


Типы пакетов...................................................................................................................................................... 93
Настройки пакета ............................................................................................................................................. 94
Как загрузить новые версии .............................................................................................................................. 96
П

Как узнать, что есть новые версии ................................................................................................................. 99


КО
О
I-3

ЕН
Часть I. Внедрение

3.8 Как удалять несовместимые программы .......................................................................................................... 99

Щ
Какие программы несовместимые и зачем их удалять.................................................................................. 99
Что бывает, если есть несовместимые программы ................................................................................... 100

Е
Как узнать, что есть несовместимые программы ...................................................................................... 102
Как удалить неизвестные несовместимые программы ............................................................................... 103

ПР
Как отобрать компьютеры с несовместимой программой ....................................................................... 105
Как удалить несовместимые программы задачей ....................................................................................... 108

Глава 4. Как организовать компьютеры в группы ................................................. 113

ЗА
4.1 Как понять, что внедрение закончилось ......................................................................................................... 113
Где искать информацию о внедрении ............................................................................................................ 113
Общие статусы ............................................................................................................................................... 114

Е
Выборки устройств ......................................................................................................................................... 114

НИ
Отчеты ............................................................................................................................................................ 115
4.2 Как сервер администрирования ищет компьютеры ....................................................................................... 117
Виды опросов .................................................................................................................................................... 117

Е
Где настроить опросы .................................................................................................................................... 117
Опрос сети Windows ........................................................................................................................................ 118

АН
Опрос Active Directory...................................................................................................................................... 121
Опрос IP-подсетей ........................................................................................................................................... 123
Где следить за ходом опросов сети ............................................................................................................... 125
ТР
Как узнать, что Сервер нашел новые компьютеры ..................................................................................... 126
4.3 Как создать или импортировать группы ......................................................................................................... 127
Зачем создавать группы .................................................................................................................................. 127
ОС

Как добавить группу........................................................................................................................................ 128


Как добавить компьютеры в группу .............................................................................................................. 129
Как импортировать структуру групп .......................................................................................................... 130
Р

4.4 Как автоматически добавлять компьютеры в группы ................................................................................... 133


СП

Правила перемещения компьютеров.............................................................................................................. 133


Настройки правил перемещения .................................................................................................................... 135
Условия в правилах перемещения.................................................................................................................... 136
Как синхронизировать группы с Active Directory .......................................................................................... 138
РА

Теги .................................................................................................................................................................... 139


Порядок применения правил ............................................................................................................................ 140
И
И Е
АН
ОВ
ИР
П
КО
О
I-4 ЛАБОРАТОРИЯ КАСПЕРСКОГО™

ЕН
KL 002.11. Kaspersky Endpoint Security and Management. Базовый курс

Введение

Е Щ
ПР
ЗА
Е
Е НИ
АН
ТР

Из введения вы узнаете, что это за курс, какие темы он охватывает, а какие нет. Также вы узнаете, какие
ОС

решения и продукты изучаются в курсе, из чего эти продукты состоят, как взаимодействуют и как
лицензируются.
Р
СП

Основы Kaspersky Endpoint Security для бизнеса


РА

Какие продукты рассматривает курс


И
И Е
АН
ОВ
П ИР
КО
О
I-5

ЕН
Часть I. Внедрение

Курс рассказывает о решении Kaspersky Endpoint Security для бизнеса, в которое входит много разных

Щ
продуктов Лаборатории Касперского. Курс не пытается охватить все продукты, а рассказывает только о тех,
которые нужны, чтобы защитить не слишком большую сеть на базе Windows.

Е
Под не слишком большой сетью курс понимает сеть примерно до 1000 узлов, сосредоточенных в одном
месте. Под узлами курс понимает серверы и рабочие станции под управлением Windows.

ПР
Чтобы защитить такую сеть, нужно два продукта из состава Kaspersky Endpoint Security для бизнеса:

ЗА
— Kaspersky Endpoint Security для Windows — защищает компьютеры от угроз
— Kaspersky Security Center — централизованно управляет защитой

Kaspersky Endpoint Security — это одна программа, которая защищает не только от вредоносных программ и

Е
хакеров, но также контролирует действия пользователей и шифрует файлы и диски.

НИ
Из чего состоит Kaspersky Security Center

Е
Kaspersky Security Center — это несколько программ:

АН
— Сервер администрирования Kaspersky Security Center (далее Сервер администрирования, Сервер
KSC или просто Сервер, если это не вызывает разночтений) хранит все настройки, собирает события,
составляет отчеты и т.п. Именно Сервер управляет защитой по командам администратора.
ТР

— Сервер баз данных обслуживает базу данных, в которой Сервер KSC хранит события и некоторые
настройки. Остальные настройки Сервер KSC хранит в файлах на диске.
ОС

— Агенты администрирования Kaspersky Security Center (далее Агенты администрирования, Агенты


KSC или просто Агенты) связывают Kaspersky Endpoint Security с Сервером администрирования:
получают с Сервера настройки для Kaspersky Endpoint Security, посылают на сервер события
Р
СП

— Консоль администрирования Kaspersky Security Center — это интерфейс системы управления для
администратора, в консоли администратор настраивает параметры, смотрит на отчеты и события и
вообще управляет защитой
РА

Из чего состоит Kaspersky Endpoint Security


И
И Е
АН
ОВ
ИР
П
КО

Kaspersky Endpoint Security — это одна программа, которая включает много разных компонентов.
О
I-6 ЛАБОРАТОРИЯ КАСПЕРСКОГО™

ЕН
KL 002.11. Kaspersky Endpoint Security and Management. Базовый курс

Компоненты защиты

Е Щ
Kaspersky Запрашивает с серверов Лаборатории Касперского репутацию программ и веб-страниц,
Security Network предоставляет самую свежую информацию об угрозах, защищает от атак нулевого дня и

ПР
ложных срабатываний

Анализ Следит за тем, что делают программы, но анализирует не отдельные действия, а что
поведения делают программы в целом. Останавливает программы, которые ведут себя как

ЗА
вредоносные. В частности, останавливает программы, которые пытаются шифровать
файлы

Защита от Следит за тем, какие файлы запускают уязвимые программы и блокирует попытки

Е
эксплойтов запуска исполняемых файлов, если попытка запуска не была инициирована
пользователем

НИ
Предотвращение Также следит за тем, что делают программы на компьютере. Не дает программам с
вторжений плохой или неизвестной репутацией менять системные настройки и файлы пользователя.
Не даем им вмешиваться в работу операционной системы и других программ

Е
Откат Ведет журнал изменений в операционной системе и выполняет откат изменений
вредоносных
действий АН
совершенных подозрительными программами, которые обнаружены компонентами:
Анализ поведения, Защита от эксплойтов, Защита от файловых угроз

Защита от Проверяет файлы, когда их создает, изменяет, копирует или запускает пользователь или
ТР
файловых угроз программа
Блокирует операции с вредоносными файлами, а файлы помещает в карантин
ОС

Защита от веб- Проверяет веб-страницы и файлы, которые пользователь или программы загружают из
угроз Интернет. Блокирует опасные и фишинговые веб-сайты, не дает загрузить вредоносные
файлы
Р

Защита от Перехватывает почтовые сообщения, проверяет текст и вложенные файлы, удаляет


почтовых угроз вредоносные файлы из письма
СП

Сетевой экран Контролирует соединения, которые устанавливают программы на компьютере, и пакеты,


которые они посылают или отправляют. Блокирует пакеты согласно правилам. Не дает
устанавливать соединения программам с плохой репутацией или неизвестной
РА

Защита от Проверяет сетевые пакеты, которые получает компьютер. Блокирует соединения, в


сетевых угроз которых находит признаки сетевых атак
И

Защита от атак Не дает подключать к компьютеру новые устройства ввода (клавиатуры и т.п.) без
BadUSB разрешения пользователя. Защищает от USB-устройств, которые выдают себя за
клавиатуру, и дают компьютеру вредоносные команды
И Е

Компоненты контроля
АН

Контроль Блокирует запуск программ согласно правилам. Позволяет зафиксировать состояние


программ компьютера и блокировать запуск любых новых программ.
ОВ

Контроль Блокирует доступ к устройствам согласно правилам. Администратор может запретить


устройств доступ ко всем или некоторым сменным носителям, Wi-Fi адаптерам или модемам
ИР

Веб-контроль Блокирует доступ к веб-страницам согласно правилам. Администратор может запретить


доступ к сайтам социальных сетей, поиска работы, новостям и торрент-трекерам и т.п.
П
КО
О
I-7

ЕН
Часть I. Внедрение

Компоненты шифрования

Щ
Шифрование дисков Шифрует все содержимое дисков. Защищает файлы на ноутбуках, которые

Е
потеряли или украли

ПР
Шифрование файлов Шифрует отдельные файлы и папки согласно правилам. Защищает файлы на
ноутбуках, которые потеряли или украли

ЗА
Управление Microsoft Управляет шифрованием дисков с помощью Microsoft BitLocker. Защищает
BitLocker файлы на ноутбуках, которые потеряли или украли

Е
Прочие компоненты и задачи

НИ
Поиск вирусов Проверяет файлы по расписанию. Делает это более тщательно, чем файловый
антивирус

Е
Обновление Загружает описания угроз и репутации файлов на компьютеры, обеспечивает защиту,

АН
когда нет доступа к Kaspersky Security Network

Endpoint Sensor Сообщает центральному узлу Kaspersky Anti-targeted Attack Platform, что делают
программы на компьютерах, помогает обнаруживать Advanced Persistent Threats
ТР
Проверка Проверяет, что никто не менял файлы Kaspersky Endpoint Security
целостности
ОС

Проверка Проверят доступность служб KSN с конечных узлов


доступности KSN
Р

Подробно о компонентах и их настройках рассказывают части 2 и 3.


СП

Как Kaspersky Security Center управляет


компьютерами
РА
И
И Е
АН
ОВ
ИР
П
КО

Посмотрим, как все компоненты Kaspersky Endpoint Security для бизнеса взаимодействую друг с другом.
О
I-8 ЛАБОРАТОРИЯ КАСПЕРСКОГО™

ЕН
KL 002.11. Kaspersky Endpoint Security and Management. Базовый курс

В защищенной сети на каждом компьютере установлены две программы:

Щ
— Kaspersky Endpoint Security защищает
— Агент администрирования Kaspersky Security Center управляет

Е
ПР
Агент администрирования связывается с Сервером администрирования по расписанию, а также по мере
необходимости. По умолчанию так называемая синхронизация происходит раз в 15 минут.

Что Сервер получает с компьютеров

ЗА
Чтобы администратор видел, что происходит в сети, Агент администрирования посылает на сервер
следующие данные:

Е
НИ
События По мере регистрации Когда Kaspersky Endpoint Security находит
вредоносную программу, не может загрузить
обновления, не может запустить компоненты и т.д.

Е
Статусы По мере регистрации Kaspersky Endpoint Security не запущен
Базы устарели

АН
KSN не доступен
Есть необработанные опасные объекты
ТР
Списки Раз в интервал синхронизации Список известных исполняемых файлов
Список уязвимых программ
Список вредоносных объектов в карантине
Список необработанных угроз
ОС

Список оборудования
Список установленных программ

Настройки Kaspersky Во время синхронизации


Р

Endpoint Security
СП

В ходе обычной работы Агенты посылают на Сервер только изменения в списках. Раз в несколько часов (3
часа для одних списков, 12 для других) Сервер полностью синхронизирует списки с компьютером.
РА

Сервер администрирования принимает соединения от Агентов администрирования на TCP-порт 13000.


Агенты сжимают данные и шифруют их по протоколу SSL/TLS с помощью сертификата Сервера
администрирования.
И

Что компьютеры загружают с Сервера


Е

Чтобы Kaspersky Endpoint Security защищал компьютер так, как хочет администратор, Агенты
И

администрирования загружают с Сервера настройки в виде политик и задач для Kaspersky Endpoint Security.
АН

Во время синхронизации Агент администрирования сравнивает задачи и политики на компьютере и на


Сервере администрирования и если на Сервере администратор что-то изменил, Агент загружает новые
задачи и политики.
ОВ

Как правило, компьютеры получают задачи и политики раньше, чем при плановой синхронизации. Агенты
администрирования принимают пакеты на UDP-порт 15000. Если Сервер хочет, чтобы Агент срочно
связался с Сервером, он посылает на этот порт специальный сигнал. Когда администратор меняет задачу
ИР

или политику, Сервер администрирования просит выйти на связь Агенты на всех компьютерах, к которым
относится эта задача или политика. Во время синхронизации политики загружають только те компьютеры,
которые не получили сигнал от Сервера.
П

Запрос на синхронизацию может послать и администратор вручную, через контекстное меню компьютера в
Консоли администрирования.
КО
О
I-9

ЕН
Часть I. Внедрение

Еще Агенты связываются с Сервером, чтобы загрузить обновления для Kaspersky Endpoint Security. Для

Щ
этого они тоже подключаются к порту 13000 через SSL-соединение.

Е
Как администратор управляет защитой в консоли

ПР
ЗА
Е
Е НИ
АН
ТР
ОС

События и статусы, которые посылают Агенты администрирования, помогают администратору понять, что
происходит в сети. Сервер администрирования обобщает статусы отдельных компьютеров и показывает их
на главном экране Консоли администрирования — экране Мониторинг.
Р

Чтобы лучше понять, что происходит, администратор может получать отчеты, которые Сервер
СП

администрирования строит на основе событий. В консоли есть много инструментов для поиска и
фильтрации событий и компьютеров по разнообразным параметрам.

Чтобы задать настройки для защиты компьютеров администратор создает в консоли задачи и политики:
РА

— Задачи — для операций, у которых есть логическое окончание, например, обновление завершается,
когда Kaspersky Endpoint Security получил все новые описания угроз, поиск вирусов завершается,
когда в области поиска больше нет файлов. Поэтому обновление и поиск вирусов — это задачи, и у
И

них есть расписание

— Политики — для всех остальных параметров, как проверять файлы, которые пользователь загружает
Е

из сети Интернет или получает по почте, как проверять файлы, которые открывают программы,
И

какие сетевые соединения разрешать, а какие запрещать. Эти настройки должны применяться
постоянно, чтобы постоянно защищать компьютер, и поэтому они в политике.
АН

Если разным компьютерам нужны разные настройки, администратор разделяет компьютеры на группы и
создает отдельные политики или задачи в каждой группе. Например, чтобы выполнять поиск вирусов на
серверах по выходным, а на рабочих станциях в фоновом режиме во время рабочего дня, администратор
ОВ

выделит серверы и рабочие станции в две группы и сделает для них задачи поиска вирусов с разным
расписанием.
ИР
П
КО
О
I-10 ЛАБОРАТОРИЯ КАСПЕРСКОГО™

ЕН
KL 002.11. Kaspersky Endpoint Security and Management. Базовый курс

Как политики применяются к компьютерам

Е Щ
ПР
ЗА
Е
Е НИ
АН
ТР
Политика содержит те же параметры, что и локальные настройки Kaspersky Endpoint Security. Когда
администратор настраивает политику, он меняет локальные настройки защиты.
ОС

В политике у каждого параметр или группы параметров есть кнопка с замком.

Если кнопка нажата и замок закрыт, параметры применяются к компьютерам, на которые действует
политика. Пользователь не может изменить значения этих параметров в локальном интерфейсе Kaspersky
Р

Endpoint Security.
СП

Если кнопка не нажата и замок открыт, компьютер считает, что этот параметр в политике не задан. Эти
параметры пользователь может менять в локальном интерфейсе.
РА

Настройки с закрытым замком называются обязательными.

Как работают политики в группах


И
И Е
АН
ОВ
ПИР
КО
О
I-11

ЕН
Часть I. Внедрение

Политики применяются к группам компьютеров.

Щ
Даже если пользователь не создавал никаких групп, на Сервере администрирования есть корневая группа,
которая называется Управляемые устройства. Если пользователь хочет создать свои группы, он их создает

Е
как подгруппы в группе Управляемые устройства.

ПР
Политики подчиняются правилам:

— В одной группе могут быть политики разных программ, например, политика Агента

ЗА
администрирования и политика Kaspersky Endpoint Security

— В одной группе может быть несколько политик одной программы, но только одна из них может
быть активной.

Е
Активная политика это та, которую Сервер администрирования посылает на компьютеры

НИ
Неактивная политика ни на что не влияет, но администратор может сделать ее активной и быстро
изменить настройки для всех компьютеров

Е
Если администратор делает политику активной, политика, которая была активной до этого,
автоматически становится неактивной

АН
— Если в группе есть политика Kaspersky Endpoint Security, и в этой же группе есть подгруппа, в
которой нет политики Kaspersky Endpoint Security, политика группы применяется к компьютерам
подгруппы
ТР

— Если в группе есть политика Kaspersky Endpoint Security, и в этой же группе есть подгруппа, в
которой тоже есть политика Kaspersky Endpoint Security, к компьютерам подгруппы применяется
ОС

политика подгруппы. Но обязательные параметры из политики группы применяются к политике


подгруппы, и администратор не может их изменить. В политике подгруппы администратор может
менять только те параметры, которые не закрыты замком в политике родительской группы
Р

— Администратор может не применять политику группы к подгруппам. Для этого нужно в политике
СП

подгруппы снять флаг наследовать параметры из политики родительской группы. После этого
администратор может менять все параметры в политике подгруппы
РА

Как задачи применяются к компьютерам


И
И Е
АН
ОВ
ИР
П
КО

Настройками обновления и поиска вирусов администратор управляет не через политику, а через задачи.
О
I-12 ЛАБОРАТОРИЯ КАСПЕРСКОГО™

ЕН
KL 002.11. Kaspersky Endpoint Security and Management. Базовый курс

Если политика для Kaspersky Endpoint Security одна1, то разных задач для Kaspersky Endpoint Security много:

Щ
— Поиск вирусов
— Обновление

Е
— Откат обновления
— Инвентаризация

ПР
— Добавление ключа
— Проверка целостности
— Изменение состава компонентов программы

ЗА
— Проверка доступности KSN
— Управление учетными записями агента аутентификации

У задач каждого типа свои характерные настройки. У задачи поиска вирусов это область поиска и

Е
параметры проверки файлов, у задачи обновления это источник обновления и какие обновления загружать.

НИ
Во всех задачах есть настройки расписания.

В отличие от политик, замков в задачах нет. Все настройки задачи применяются к компьютерам и
пользователь их менять не может.

Е
АН
Задачи может создавать не только администратор на Сервера администрирования, но и пользователь в
локальном интерфейсе. Но если на компьютер применяется политика с Сервера администрирования, на нем
выполняются только задачи с Сервера администрирования. Локальные задачи не выполняются и не
показываются в интерфейсе. И новые локальные задачи пользователь создавать не может.
ТР

Как работают задачи в группах


Р ОС
СП
РА
И
И Е
АН

Для регулярных действий, таких как поиск вирусов или обновление, администратор создает задачи в
ОВ

группах.

Как и групповые политики, групповые задачи следуют определенным правилам:


ИР

— Если в группе есть подгруппа, то задача группы применяется и к компьютерам подгруппы


П
КО

1
Одна для одной или нескольких версий. Например, у Kaspersky Endpoint Security 10 SP2 своя политика, а у Kaspersky Endpoint
Security 11 своя. Но две политики для одной версии Kaspersky Endpoint Security содержат одинаковые параметры и отличаются
только настройками этих параметров.
О
I-13

ЕН
Часть I. Внедрение

— В группе может быть несколько задач одного типа, например, несколько задач поиска вирусов. Они

Щ
могут отличаться областью поиска и расписанием, например, одна задача может проверять весь
компьютер раз в неделю, а другая только критические области и раз в день.

Е
— Если нужно выполнять поиск вирусов в одной и той же области с разным расписанием на разных
компьютерах, разделите компьютеры на группы и создайте отдельные задачи в каждой группе.

ПР
Например, чтобы выполнять полную проверку компьютера на серверах по выходным, а на рабочих
станциях в рабочее время в фоновом режиме.

ЗА
— Если в группе есть задача, и у группы есть подгруппа с задачей такого же типа, к компьютерам
подгруппы применяются обе задачи. Как правило, это значит, что администратор не слишком
хорошо продумал, какие задачи ему нужны.

Е
Особенно осторожным нужно быть, если это задачи обновления. Чтобы обновить Kaspersky
Endpoint Security на компьютере, нужна одна задача обновления. Если задача обновления есть и в

НИ
группе и в подгруппе, на компьютерах подгруппы получается по две задачи обновления. Если одна
задача обновления выполняется, вторая завершается с ошибкой. В результате администратор будет
получать ошибки обновления при том, что обновление работает, а ошибка в конфигурации групп и
задач

Е
АН
— Подгруппы можно исключить из области действия задачи. Тогда к компьютерам подгруппы будет
применяться только задача подгруппы, а задача родительской группы применяться не будет

В отличие от политик, задачи можно создавать не только для групп. Администратор может создать задачу
ТР
для любого списка компьютеров, от одного компьютера до произвольного набора компьютеров из разных
групп.
ОС

Как лицензируется Kaspersky Endpoint Security для


бизнеса
Р
СП
РА
И
И Е
АН
ОВ
ИР

Какие есть лицензии Kaspersky Endpoint Security для бизнеса

Мы разобрались с тем, как компоненты Kaspersky Endpoint Security для бизнеса взаимодействуют между
П

собой, и как ими управляет администратор.


КО

Теперь разберемся, какие бывают лицензии Kaspersky Endpoint Security для бизнеса, и чем они отличаются.
О
I-14 ЛАБОРАТОРИЯ КАСПЕРСКОГО™

ЕН
KL 002.11. Kaspersky Endpoint Security and Management. Базовый курс

Лицензия Kaspersky Endpoint Security для бизнеса бывает двух уровней:

Щ
— Стандартный
— Расширенный

Е
ПР
Лицензии разного уровня дают право пользоваться разными продуктами Лаборатории Касперского и
разными функциями в этих продуктах.

Что активируют лицензии в Kaspersky Endpoint Security для бизнеса

ЗА
Чтобы использовать Kaspersky Security Center, его не обязательно активировать. Все, что нужно, чтобы
управлять защитой рабочих станций, можно использовать без лицензии.

Е
НИ
KESB Стандартный разрешает защищать рабочие станции, сервера и мобильные устройства.

Из функций Kaspersky Endpoint Security лицензия KESB стандартный активирует компоненты защиты и
контроля.

Е
В Kaspersky Security Center лицензия KESB Стандартный активирует функции для управления мобильными

АН
устройствами. Чтобы управлять только защитой и контролем рабочих станций и серверов, Kaspersky
Security Center активировать не обязательно.
ТР
KESB расширенный разрешает защищать те же типы узлов: рабочие станции, сервера и мобильные
устройства, но активирует больше функций.

В Kaspersky Endpoint Security для Windows лицензия KESB расширенный позволяет использовать
ОС

шифрование.

В Kaspersky Security Center лицензия KESB расширенный позволяет использовать функции управления
Р

системами, в частности автоматически загружать и устанавливать исправления и обновления программ,


создавать и разворачивать образы дисков с операционной системой и др.
СП

Адресные лицензии
РА

Если покупателю не нужны все функции KESB расширенный, он может купить лицензию на отдельную
функцию:
И

— Шифрование
— Управление мобильными устройствами
— Управление системами
Е

Кроме функций, лицензии ограничены количеством устройств (узлов), которые можно защитить. Например,
И

покупатель приобретает лицензию на 100 узлов, а если со временем хочет защитить больше устройств,
АН

покупает новую лицензию на, скажем, 150 или 200.

Все перечисленные лицензии, как правило, действуют в течение года. После этого клиент продлевает
лицензию еще на год и так далее.
ОВ

Лицензии по подписке
ИР

Кроме этого Лаборатория Касперского поддерживает лицензии по подписке. Эти лицензии нужно покупать
через специальных партнеров и покупатель оплачивает их ежемесячно. Покупатель может приостановить
подписку и продолжить ее позже.
П

С лицензией по подписке, покупатель может менять уровень функций и количество узлов хоть каждый
КО

месяц: расширять или сокращать лицензию в зависимости от того, что ему нужно.
О
I-15

ЕН
Часть I. Внедрение

О чем этот курс

Е Щ
Что есть и чего нет в этом курсе

ПР
ЗА
Е
Е НИ
АН
ТР
ОС

В Kaspersky Endpoint Security для бизнеса входит много продуктов и возможностей. Этот курс не пытается
рассказать обо всем. Он рассказывает только, как защитить не слишком большую сеть из компьютеров с
операционной системой Windows.
Р

Поэтому курс рассказывает не обо всех продуктах, которые входят в Kaspersky Endpoint Security для бизнеса,
СП

а только о:
— Kaspersky Endpoint Security для Windows
— Kaspersky Security Center
РА

Курс не касается продуктов:


— Kaspersky Endpoint Security для Linux
— Kaspersky Endpoint Security для Mac
И

— Kaspersky Security для Windows Servers


— Kaspersky Endpoint Systems Security
— Kaspersky Endpoint Security для Android
Е

— Safe Browser для iOS


И

— Kaspersky Security для виртуальных сред


— Kaspersky Anti-Targeted Attack Platform/Kaspersky Endpoint Detection and Response
АН

Поэтому же курс рассказывает не обо всем, что могут Kaspersky Endpoint Security для Windows и Kaspersky
Security Center, а только о том, как:
ОВ

— Установить защиту на компьютеры


— Управлять защитой компьютеров
— Управлять компонентами контроля
— Использовать один Сервер администрирования Kaspersky Security Center
ИР

Курс не касается того, как:


— Управлять шифрованием
П

— Исправлять уязвимости и обновлять сторонние программы


— Создавать и разворачивать образы компьютеров
КО

— Защищать большие, сложные и распределенные сети с помощью Агентов обновлений, Шлюзов


соединений или нескольких Серверов администрирования Kaspersky Security Center
О
I-16 ЛАБОРАТОРИЯ КАСПЕРСКОГО™

ЕН
KL 002.11. Kaspersky Endpoint Security and Management. Базовый курс

Где узнать больше о том, что не вошло в курс

Е Щ
ПР
ЗА
Е
Е НИ
АН
ТР
Все, что не вошло в этот курс, входит в другие курсы, посвященные отдельным продуктам и технологиям:

Как защищать рабочие станции Linux KL 013 1 день


ОС

Как защищать сервера Linux KL 007 1 день

Как защищать рабочие станции Mac KL 011 1 день


Р

Как защищать сервера Windows c помощью Kaspersky Security для Windows Servers KL 005 1 день
СП

Как защищать устройства на встраиваемых версиях Windows KL 037 1 день

Как управлять мобильными устройствами KL 010 1 день


РА

Как управлять шифрованием KL 008 1 день

Как исправлять уязвимости и устанавливать обновления сторонних программ KL 009 1 день


И

Как управлять защитой в больших, сложных и распределенных сетях KL 302 2 дня

Как защищать виртуальные машины с помощью Kaspersky Security for Virtualization. KL 014 1 день
Е

Agentless
И

Как защищать виртуальные машины с помощью Kaspersky Security for Virtualization. KL 031 1 день
АН

Light Agent

Как решать проблемы KL 016 1 день

Как реализовать политику Default Deny KL 032 1 день


ОВ

KATA/KEDR KL 025 2 дня


ПИР
КО
О
I-17

ЕН
Часть I. Внедрение

Из чего состоит курс

Е Щ
ПР
ЗА
Е
Е НИ
АН
ТР
Курс состоит из презентаций и лабораторных работ, которые сменяют друг друга. Каждую новую тему
сначала инструктор поясняет на слайдах, а потом слушатели пробуют сами в лабораторной работе.
ОС

Учебник содержит все слайды и подробно раскрывает все темы и настройки продуктов.

Что делать в лабораторных работах, подробно описывает руководство по лабораторным работам.


Р

Слушатели делают лабораторные работы на виртуальных машинах. Виртуальная среда зависит от класса:
это может быть VMware Workstation, VMware vSphere, Microsoft Hyper-V или что-то еще. Руководство по
СП

лабораторным работам написано для виртуальной среды VMware Workstation.

В лабораторных слушатели используют пять виртуальных машин с фиксированными ролями:


РА

DC Предоставляет службы доменов AD, DNS, доступа к файлам

Security-Center Является Сервером администрирования Kaspersky Security Center, откуда


И

администратор управляет защитой


Е

Alex-Desktop Олицетворяет стационарные компьютеры в сети компании


И

Tom-Laptop Олицетворяет мобильные компьютеры, которые могут быть вне сети компании
АН

Spare-Security-Center Запасной Сервер администрирования, чтобы тестировать восстановление данных


ОВ
ИР
П
КО
О
I-18 ЛАБОРАТОРИЯ КАСПЕРСКОГО™

ЕН
KL 002.11. Kaspersky Endpoint Security and Management. Базовый курс

Глава 1. Как установить Kaspersky Endpoint

Щ
Security для бизнеса

Е
ПР
1.1 Что и в каком порядке устанавливать

ЗА
Е
Е НИ
АН
ТР
Р ОС
СП

В результате внедрения должна получиться сеть, все компьютеры которой защищены, а администратор
имеет возможность управлять защитой централизованно. Для этого нужно установить на компьютеры
РА

компоненты Kaspersky Security Center 10 (KSC 10) и Kaspersky Endpoint Security 11 для Windows (KES 11).

Сначала установите Сервер администрирования Kaspersky Security Center. Сервер администрирования


централизованно управляет защитой, и помогает устанавливать остальные компоненты.
И

Консоль администрирования автоматически устанавливается вместе с Сервером администрирования. Чтобы


управлять сервером удаленно, используйте удаленный доступ к рабочему столу, или установите Консоль
Е

администрирования Kaspersky Security Center на компьютер администратора.


И

Для защиты сети на каждый компьютер установите Kaspersky Endpoint Security. Сам по себе Kaspersky
АН

Endpoint Security не взаимодействует с Kaspersky Security Center, поэтому для централизованного


управления на каждый компьютер установите Агент администрирования.

Если нужно дать разным компьютерам разные настройки, разделите компьютеры на группы. Старайтесь не
ОВ

создавать лишние группы. Чтобы легко находить компьютеры, импортируйте структуру из Active Directory.

Подводя итоги, внедряйте защиту в такой последовательности:


ИР

1. Установите Сервер администрирования Kaspersky Security Center


2. Установите агенты Kaspersky Security Center и Kaspersky Endpoint Security
3. Разделите компьютеры на группы
П
КО
О
I-19

ЕН
Часть I. Внедрение

1.2 Как организовать процесс

Е Щ
ПР
ЗА
Е
Е НИ
АН
ТР

Чтобы просто установить все компоненты Kaspersky Endpoint Security для бизнеса, много времени не нужно.
Время уходит на то, чтобы найти и решить проблемы.
ОС

Чтобы не тратить лишнего времени, подготовьтесь. Попробуйте то, что вы хотите сделать, в тестовой среде.
Если возникнут проблемы, подумайте, как их обойти. Или найдите решение, которое сможете быстро
Р

использовать, если проблема возникнет на компьютерах сети.


СП

Вряд ли вы обнаружите все потенциальные проблемы в тестовой среде. Поэтому в рабочей сети начните с
небольшого количества компьютеров: 10–20. Постарайтесь выбрать разные компьютеры, чтобы обнаружить
как можно больше потенциальных проблем. Если найдете новые проблемы, вернитесь в тестовую среду,
воспроизведите их и придумайте, как решить или обойти.
РА

Внедряйте поэтапно, например, по 100 компьютеров за раз. Так вы будете находить новые проблемы
постепенно, и количество проблемных компьютеров всегда будет небольшим.
И

Подводя итоги, внедряйте на компьютеры так:


Е

1. Установите программы в тестовой среде


2. Установите программы на 10-20 характерных компьютеров
И

3. Установите программы на все компьютеры, поэтапно, по 100 компьютеров за этап


АН

На каждом шаге дайте себе время на то, чтобы найти и решить проблемы. Не переходите к следующему
шагу, пока не придумаете, как решить или обойти все проблемы. Ищите решения проблем в тестовой среде,
а не на рабочих компьютерах.
ОВ

Сейчас, тестовая среда — это, обычно, виртуальные машины в отделе ИТ. Если виртуальные машины —
непозволительная роскошь, используйте для тестов компьютеры администраторов.
ИР
П
КО
О
I-20 ЛАБОРАТОРИЯ КАСПЕРСКОГО™

ЕН
KL 002.11. Kaspersky Endpoint Security and Management. Базовый курс

Глава 2. Как установить Kaspersky Security

Щ
Center

Е
ПР
2.1 Требования к Серверу администрирования

ЗА
Е
Чтобы установить Сервера администрирования Kaspersky Security Center, подготовьте компьютер, который

НИ
удовлетворяет системным требованиям.

Если узлов в сети меньше 1000, Сервер администрирования и сервер баз данных легко уживутся на одном
компьютере. Если узлов больше, используйте более производительный компьютер или используйте

Е
отдельный компьютер для сервера баз данных.

АН
Компьютер для Сервера администрирования может быть физический или виртуальный. Если используете
виртуальный Сервер, проверьте, что виртуальная среда удовлетворяет системным требованиям.
ТР

Поддержка серверных версий Windows


Р ОС
СП
РА
И
И Е
АН

Полный список поддерживаемых серверных операционных систем выглядит так:


ОВ

— Microsoft Small Business Server 2008 Standard 64-bit


— Microsoft Small Business Server 2008 Premium 64-bit
— Microsoft Small Business Server 2011 Essentials 64-bit
— Microsoft Small Business Server 2011 Premium Add-on 64-bit
ИР

— Microsoft Small Business Server 2011 Standard 64-bit


— Microsoft Windows Server 2008 Datacenter SP1 32-bit / 64-bit
— Microsoft Windows Server 2008 Enterprise SP1 32-bit / 64-bit
П

— Microsoft Windows Server 2008 Foundation SP2 32-bit / 64-bit


— Microsoft Windows Server 2008 SP1 32-bit / 64-bit
КО

— Microsoft Windows Server 2008 Standard SP1 32-bit / 64-bit


— Microsoft Windows Server 2008 R2 Server Core 64-bit
— Microsoft Windows Server 2008 R2 Datacenter 64-bit
О
I-21

ЕН
Часть I. Внедрение

— Microsoft Windows Server 2008 R2 Datacenter SP1 64-bit

Щ
— Microsoft Windows Server 2008 R2 Enterprise 64-bit
— Microsoft Windows Server 2008 R2 Enterprise SP1 64-bit
— Microsoft Windows Server 2008 R2 Foundation 64-bit

Е
— Microsoft Windows Server 2008 R2 Foundation SP1 64-bit

ПР
Microsoft Windows Server 2008 R2 SP1 Core Mode 64-bit
— Microsoft Windows Server 2008 R2 Standard 64-bit
— Microsoft Windows Server 2008 R2 Standard SP1 64-bit
— Microsoft Windows Server 2012 Server Core 64-bit

ЗА
— Microsoft Windows Server 2012 Datacenter 64-bit
— Microsoft Windows Server 2012 Essentials 64-bit
— Microsoft Windows Server 2012 Foundation 64-bit
— Microsoft Windows Server 2012 Standard 64-bit

Е
— Microsoft Windows Server 2012 R2 Server Core 64-bit
— Microsoft Windows Server 2012 R2 Datacenter 64-bit

НИ
— Microsoft Windows Server 2012 R2 Essentials 64-bit
— Microsoft Windows Server 2012 R2 Foundation 64-bit
— Microsoft Windows Server 2012 R2 Standard 64-bit
— Windows Storage Server 2008 R2 64-bit

Е
— Windows Storage Server 2012 64-bit

АН
— Windows Storage Server 2012 R2 64-bit
— Microsoft Windows Server 2016 Server Core 64-bit
— Microsoft Windows Server 2016 Standard 64-bit
— Microsoft Windows Server 2016 Datacenter 64-bit
ТР

Поддержка рабочих станций Windows


Р ОС
СП
РА
И
И Е
АН

Лучше устанавливать Сервер администрирования на серверную версию Windows. Но в сетях небольшого


ОВ

размера (до пары сотен компьютеров) можно использовать и производительную рабочую станцию. Также
можете использовать рабочую станцию в тестовой среде.

Сервер администрирования можно установить на такие не серверные версии Windows:


ИР

— Microsoft Windows 10 Pro RS4 32-bit / 64-bit


— Microsoft Windows 10 Enterprise RS4 32-bit / 64-bit
П

— Microsoft Windows 10 Education RS4 32-bit / 64-bit


— Microsoft Windows 10 Pro RS3 32-bit / 64-bit
КО

— Microsoft Windows 10 Enterprise RS3 32-bit / 64-bit


— Microsoft Windows 10 Education RS3 32-bit / 64-bit
О
I-22 ЛАБОРАТОРИЯ КАСПЕРСКОГО™

ЕН
KL 002.11. Kaspersky Endpoint Security and Management. Базовый курс

— Microsoft Windows 10 Pro RS2 32-bit / 64-bit

Щ
— Microsoft Windows 10 Enterprise RS2 32-bit / 64-bit
— Microsoft Windows 10 Education RS1 32-bit / 64-bit
— Microsoft Windows 10 Enterprise RS1 32-bit / 64-bit

Е
— Microsoft Windows 10 Education RS1 32-bit / 64-bit

ПР
Microsoft Windows 10 Pro 32-bit / 64-bit
— Microsoft Windows 10 Enterprise 32-bit / 64-bit
— Microsoft Windows 10 Education 32-bit / 64-bit
— Microsoft Windows 8.1 Pro 32-bit / 64-bit

ЗА
— Microsoft Windows 8.1 Enterprise 32-bit / 64-bit
— Microsoft Windows 8 Pro 32-bit / 64-bit
— Microsoft Windows 8 Enterprise 32-bit / 64-bit
— Microsoft Windows 7 Professional SP1 32-bit / 64-bit

Е
— Microsoft Windows 7 Enterprise SP1 32-bit / 64-bit
— Microsoft Windows 7 Ultimate SP1 32-bit / 64-bit

НИ
Поддержка виртуальных платформ

Е
АН
Чтобы установить Сервер администрирования на виртуальную машину, используйте одну из следующих
платформ виртуализации:

— VMware vSphere 5.5


ТР
— VMware vSphere 6
— VMware Workstation 12.x Pro
— Microsoft Hyper-V Server 2008
ОС

— Microsoft Hyper-V Server 2008 R2


— Microsoft Hyper-V Server 2008 R2 SP1
— Microsoft Hyper-V Server 2012
— Microsoft Hyper-V Server 2012 R2
Р

— Microsoft Hyper-V Server 2016


— Citrix XenServer 6.2
СП

— Citrix XenServer 6.5


— Citrix XenServer 7
— Citrix XenServer 7.1 LTSR
РА

— Parallels Desktop 11 и выше


— Oracle VM VirtualBox 5.х (поддерживаются гостевые операционные системы Windows)

Виртуальная машина должна соответствовать требования к операционной системе, программному и


аппаратному обеспечению.
И
И Е
АН
ОВ
ПИР
КО
О
I-23

ЕН
Часть I. Внедрение

Поддержка серверов управления базами данных

Е Щ
ПР
ЗА
Е
Е НИ
АН
ТР
Сервер администрирования в работе использует базу данных, для хранения которой необходим SQL-сервер.
Поддерживается хранение базы данных на следующих версиях SQL-серверов:
ОС

— Microsoft SQL Server

— Microsoft SQL Server 2008 Express 32-bit


— Microsoft SQL 2008 R2 Express 64-bit
Р

— Microsoft SQL 2012 Express 64-bit


— Microsoft SQL 2014 Express 64-bit
СП

— Microsoft SQL Server 2008 (all editions) 32-bit / 64-bit


— Microsoft SQL Server 2008 R2 (all editions) 64-bit
— Microsoft SQL Server 2008 R2 Service Pack 2 64-bit
РА

— Microsoft SQL Server 2012 (all editions) 64-bit


— Microsoft SQL Server 2014 (all editions) 64-bit
— Microsoft SQL Server 2016 (all editions) 64-bit

— Microsoft Azure SQL Database


И

— MySQL
Е

— MySQL 5.5 32-bit / 64-bit


И

— MySQL Enterprise 5.5 32-bit / 64-bit


— MySQL 5.6 32-bit / 64-bit
АН

— MySQL Enterprise 5.6 32-bit / 64-bit


— MySQL 5.7 32-bit / 64-bit
— MySQL Enterprise 5.7 32-bit / 64-bit
ОВ

Microsoft SQL Server Express больше не входит в поставку Kaspersky Security Center.

Начиная с версии Kaspersky Security Center 10 SPЗ, Microsoft SQL Server Express необходимо загружать и
ИР

устанавливать самостоятельно. Помните, что Express-редакции имеют ограничения и не должны


использоваться для управления большим числом компьютеров (больше 5000). Подробнее об этом
рассказывается в курсе KL 302.
П

SQL-сервер может быть установлен на том же компьютере, что и Сервер администрирования или на любом
другом компьютере в сети. Важно, чтобы Сервер администрирования имел доступ с правами чтения и
КО

записи в базу, расположенную на SQL-сервере. При установке Сервера администрирования и SQL-сервера


на одном компьютере проблем с доступом нет в принципе.
О
I-24 ЛАБОРАТОРИЯ КАСПЕРСКОГО™

ЕН
KL 002.11. Kaspersky Endpoint Security and Management. Базовый курс

Дополнительные требования к ПО

Е Щ
Помимо требований к ОС, на компьютере также должны быть установлены:

ПР
— Microsoft .NET Framework 4 (установите, как компонент Windows)
— Windows Data Access Components 6.0
— Windows Installer 4.5 (включено в поставку)

ЗА
Выделите для Сервера администрирования новый компьютер. Если это невозможно, проверьте, что на
компьютере нет Агента администрирования Kaspersky Security Center. Программа установки автоматически
обнаруживает установленный Агент и просит администратора удалить его.

Е
Минимальные требования к оборудованию

НИ
Минимальные требования к аппаратной конфигурации:

Е
— Процессор с частотой не менее 1 ГГц (1.4 ГГц для 64-битных систем)

— 4 ГБ оперативной памяти АН
ТР
— 10 ГБ свободного дискового пространства (для использования функционала Управление системами
потребуется 100 ГБ свободного места)

Для обслуживания большого числа клиентов потребуется более производительный сервер. Рекомендации
ОС

можно найти в руководстве администратора. Обсуждение практического опыта использования Сервера


администрирования в крупных сетях находится в курсе KL 302. Kaspersky Endpoint Security and Management.
Масштабирование.
Р
СП

2.2 Установка Сервера администрирования


РА

Где взять дистрибутив Kaspersky Security Center


И
И Е
АН
ОВ
ПИР
КО
О
I-25

ЕН
Часть I. Внедрение

Чтобы установить Kaspersky Security Center, запустите программу установки.

Щ
Прежде чем приступать к установке Kaspersky Security Center, необходимо установить и настроить сервер
баз данных.

Е
ПР
Программу установки Kaspersky Security Center 10 можно загрузить с веб-сайта Лаборатории Касперского
(https://www.kaspersky.com/small-to-medium-business-security/downloads/security-center) или со страницы о
продукте на сайте технической поддержки (http://support.kaspersky.ru/ksc10#downloads).

ЗА
Есть две программы установки:

— ksc_10sp3_10.5.1781_full_ru.exe — полный дистрибутив Kaspersky Security Center, включающий все


собственные компоненты, инсталляционные пакеты Агента администрирования и Kaspersky

Е
Endpoint Security 10 для Windows. NET Framework и другие вспомогательные программы, а также
плагины управления всеми поддерживаемыми продуктами. Размер дистрибутива составляет около 1

НИ
ГБ.

— ksc_10sp3_10.5.1781_lite_ru.exe — облегченная версия дистрибутива, в которой отсутствует

Е
инсталляционный пакет Kaspersky Endpoint Security для Windows, NET framework и некоторые
вспомогательные программы, а из плагинов имеются только плагины управления компонентами

АН
Kaspersky Security Center 10. Размер дистрибутива составляет около 140 МБ. Такой дистрибутив
можно использовать для обновления версии компонентов Kaspersky Security Center.
ТР
Оболочка инсталлятора Kaspersky Security Center
ОС

При запуске полной версии дистрибутива запускается оболочка программы установки. Из окна оболочки
можно запустить установку отдельных компонентов, например, Сервера администрирования или Консоли
администрирования. Также можно извлечь инсталляционные файлы для выбранных компонентов в папку,
указанную администратором.
Р
СП

Из программы-оболочки можно извлечь или установить такие продукты:

— Сервер администрирования Kaspersky Security Center


— Консоль администрирования Kaspersky Security Center
РА

— Агент администрирования Kaspersky Security Center


— Kaspersky Security Center SHV (System Health Validator для Microsoft Network Access Protection)
— iOS MDM Server (компонент Kaspersky Security Center для управления мобильными устройствами)
— Exchange ActiveSync Mobile Device Server ((компонент Kaspersky Security Center для управления
И

мобильными устройствами)
— Плагины управления программами
— Kaspersky Endpoint Security для Windows(только извлечь)
Е

Этот курс рассматривает только Сервер, Консоль и Агент администрирования, а также Kaspersky Endpoint
И

Security.
АН
ОВ
ИР
П
КО
О
I-26 ЛАБОРАТОРИЯ КАСПЕРСКОГО™

ЕН
KL 002.11. Kaspersky Endpoint Security and Management. Базовый курс

Что нужно знать перед установкой

Е Щ
ПР
ЗА
Е
Е НИ
АН
ТР
В ходе установки администратор выбирает:

— Компоненты Kaspersky Security Center


ОС

— Папку установки
— Тип SQL-сервера и параметры подключения к нему
— Путь к общей папке Сервера администрирования
— Порты и адрес подключения к Серверу администрирования
Р

— Плагины для управления продуктами


СП

Почти все решения можно будет изменить после установки. Нельзя изменить только тип SQL-сервера. Если
выбрать Microsoft SQL, то потому перейти на MySQL без потери данных нельзя.
РА

Выбрать другой SQL-сервер того же типа без потери данных можно, но непросто. Нужно создать резервную
копию данных Сервера администрирования. Переустановить Сервер администрирования и выбрать другой
SQL-сервер. И после этого восстановить данные из резервной копии.
И
И Е
АН
ОВ
ПИР
КО
О
I-27

ЕН
Часть I. Внедрение

Мастер установки

Е Щ
Типы установки

ПР
ЗА
Е
Е НИ
АН
ТР
ОС

Установку Сервера администрирования можно выполнить в выборочном или стандартном режиме 2.

В стандартной установке от администратора требуется:


Р

— Принять лицензионное соглашение Kaspersky Security Center


— Указать размер сети
СП

— Выбрать тип сервера баз данных


— Настроить параметры подключения к серверу баз данных
В дистрибутив Kaspersky Security Center больше не входит дистрибутив Microsoft SQL-сервера. Поэтому,
РА

прежде чем приступить к установке Сервера Администрирования, в сети желательно развернуть и настроить
сервер баз данных Microsoft SQL или MySQL

Если пойти по пути Выборочной установки и оставить все настройки по умолчанию, результат будет такой
И

же, как и у Стандартной установки.


И Е
АН
ОВ
ИР
П
КО

2
На Windows Server в режиме Core, доступна только выборочная установка
О
I-28 ЛАБОРАТОРИЯ КАСПЕРСКОГО™

ЕН
KL 002.11. Kaspersky Endpoint Security and Management. Базовый курс

Компоненты и пути установки

Е Щ
ПР
ЗА
Е
Е НИ
АН
Вместе с Сервером администрирования можно установить следующие компоненты:
ТР

— Агент SNMP
— Пакеты для поддержки мобильных устройств
ОС

Агент SNMP нужен для того, чтобы Сервер администрирования мог отправлять уведомления по протоколу
SNMP. Для работы этому компоненту нужно, чтобы на компьютере была установлена служба SNMP —
компонент операционной системы Windows. Если службы SNMP на компьютере нет, Агент SNMP не будет
Р

виден в списке компонентов во время установки Сервера администрирования.


СП

Пакеты для поддержки мобильных устройств добавляет компоненты, необходимые для управления
продуктом Kaspersky Endpoint Security for Mobile через Kaspersky Security Center. Подробности содержатся в
курсе KL 010.
РА

Здесь же под списком компонентов можно изменить размещение программных файлов Сервера
администрирования. Если вы хотите перенести файлы, потому что на диске C: мало месте, подумайте о том,
чтобы перенести только общую папку Сервера администрирования. Ее можно перенести независимо от
И

программных файлов, и она занимает значительно больше места, чем остальные программные файлы вместе
взятые. Путь к общей папке вы выбираете дальше в мастере установки.
Е

Помните, что резервные копии Сервера администрирования хранятся в папке данных %ProgramData%
И

\KasperskySC. Резервные копии имеют значительный объем: до нескольких гигабайт, в зависимости от


количества узлов.
АН
ОВ
ПИР
КО
О
I-29

ЕН
Часть I. Внедрение

Размер сети

Е Щ
ПР
ЗА
Е
Е НИ
АН
Размер сети можно выбрать из четырех вариантов:
ТР

— Менее 100 компьютеров в сети


— От 100 до 1000 компьютеров в сети
ОС

— От 1000 до 5000 компьютеров в сети


— Более 5000 компьютеров в сети

От ответа администратора зависят следующие параметры Сервера администрирования:


Р
СП

Количество компьютеров в сети Менее От 100 От 1000 Более


100 до 1000 до 5000 5000

Автоматически определять период задержки запуска задач –


РА

+ + +

Отображать подчиненные Серверы администрирования – – + +

Отображать разделы с параметрами безопасности – – + +


И

Автоматическое определение периода задержки при запуске задач относится к расписанию групповых задач
Е

поиска вирусов, обновления, поиска уязвимостей и пр.


И

При одновременном запуске задачи на большом количестве компьютеров резко возрастает загрузка сети и
нагрузка на Сервер администрирования. Чтобы сгладить скачок, задача может запускаться на компьютерах
АН

не строго в указанное время, а после случайной задержки.

Администратор может включить случайный разброс времени запуска и затем выбрать интервал задержки
вручную или положиться на автоматическое определение интервала. На каждом компьютере независимо
ОВ

выбирается случайное значение задержки в пределах заданного или автоматически выбранного интервала.

Как работает автоматическое распределение периода задержки


ИР

При автоматическом определении периода задержки его величина зависит от количества компьютеров, на
П

которых запускается задача.


КО
О
I-30 ЛАБОРАТОРИЯ КАСПЕРСКОГО™

ЕН
KL 002.11. Kaspersky Endpoint Security and Management. Базовый курс

Количество компьютеров Период задержки

Щ
0–200 0 минут

Е
200–500 5 минут

ПР
500–1000 10 минут

1000–2000 15 минут

ЗА
2000–5000 20 минут

5000–10000 30 минут

Е
10000–20000 1 час

НИ
20000–50000 2 часа

50000+ 3 часа

Е
О подчиненных серверах администрирования и параметрах безопасности рассказывает курс KL 302.

АН
«Kaspersky Endpoint Security and Management. Масштабирование». В небольших и средних сетях эти
функции используются редко.

Разницы в настройках по умолчанию между выбором сети от 1000 до 5000 компьютеров и сети с более 5000
ТР
компьютеров нет. При выборе более 5000 компьютеров в сети мастер установки не рекомендует
использовать бесплатную версию сервера Microsoft SQL. О работе в больших сетях рассказывает курс
KL 302. «Kaspersky Endpoint Security and Management. Масштабирование».
ОС

Выбор размера сети влияет только на пару настроек интерфейса, которые можно легко изменить после
установки. При этом разница есть только между выбором сети до 1000 компьютеров и больше 1000
компьютеров. Никакие рабочие параметры Сервера администрирования этот выбор не затрагивает.
Р
СП

Учетная запись службы Сервера администрирования


РА
И
И Е
АН
ОВ
ИР

По умолчанию инсталлятор создает новую учетную запись вида KL-AK-<набор символов> для запуска
службы Сервера администрирования. Это локальная учетная запись, которая хотя и не входит в группу
П

администраторов компьютера, имеет права, эквивалентные правам администратора.


КО
О
I-31

ЕН
Часть I. Внедрение

Кроме этого, она входит в группу KLAdmins. Члены этой группы обладают полным доступом ко всем

Щ
возможностям и настройкам Сервера администрирования. Из соображений безопасности эта учетная запись
лишена права локального входа в систему.

Е
Если администратор решит использовать другую учетную запись, он должен сам позаботиться о том, чтобы
у нее были все необходимые права.

ПР
Учетная запись службы Сервера администрирования должна обладать правами администратора на
компьютере, выбранном для установки.

ЗА
Кроме этого, она важна, когда для хранения базы данных Сервера администрирования планируется
использовать сервер Microsoft SQL, установленный на другом компьютере. В этом случае учетная запись
должна обладать правами чтения и записи в базу данных Сервера администрирования на сервере Microsoft

Е
SQL.

НИ
Использование записи с правами администратора домена может упростить выполнение некоторых операций,
например, удаленной установки.

Е
Учетная запись для вспомогательных служб

АН
ТР
Р ОС
СП
РА
И

Учетная запись KL-AK-* запускает только службу Сервера администрирования: Kaspersky Security Center
Е

Administration Server. У Сервера администрирования есть еще вспомогательные службы:


И

— Прокси-сервер активации «Лаборатории Касперского»


— Веб-сервер «Лаборатории Касперского»
АН

— Прокси-сервер Kaspersky Security Network


— Агент администрирования Kaspersky Security Center
— Объект автоматизации Kaspersky Security Center
ОВ

Первые три службы работают от имени еще одной служебной учетной записи, которую создает программа
установки: KlScSvc. У этой записи те же права, что и у KL-AK-*: права, эквивалентные правам локального
администратора, но без права локального входа в систему.
ИР

Агент администрирования и объект автоматизации работают от имени учетной записи Local system. На
некоторых операционных системах объект автоматизации работает от имени учетной записи Network
П

Service.

Мастер установки позволяет выбрать другую учетную запись, вместо KlScSvc. Например, если в компании
КО

уже есть служебная учетная запись для сторонних программ.


О
I-32 ЛАБОРАТОРИЯ КАСПЕРСКОГО™

ЕН
KL 002.11. Kaspersky Endpoint Security and Management. Базовый курс

Выбор SQL-сервера

Е Щ
ПР
ЗА
Е
Е НИ
АН
Сервер администрирования хранит события, информацию о компьютерах и часть настроек в базе данных
ТР
SQL.

Хранить базу данных Сервер администрирования может в одном из двух типов SQL-серверов:
ОС

— Microsoft SQL Server


— MySQL
Р

Что выбрать, зависит от предпочтений компании и администратора.


СП

Microsoft SQL Server является индустриальным стандартом и рекомендуется для больших сетей от 5000
узлов и выше.
РА

MySQL-сервер имеет открытый исходный код и может работать на операционной системе Linux. Поэтому
MySQL иногда выбирают государственные структуры.

В состав Kaspersky Security Center, начиная с версии 10 SP3, больше не входит Microsoft SQL Server Express.
И

Поэтому администратору необходимо самостоятельно установить и настроить SQL-сервер. Желательно


сделать это до начала установки Kaspersky Security Center.
Е

Как выбрать существующий сервер Microsoft SQL


И
АН

Если вы решили использовать Microsoft SQL-сервер, укажите полное имя экземпляра SQL-сервера и имя
базы данных для Сервера администрирования.
ОВ
ПИР
КО
О
I-33

ЕН
Часть I. Внедрение

Е Щ
ПР
ЗА
Е
Е НИ
АН
Чтобы найти нужный экземпляр в сети, используйте кнопку Обзор…. Если экземпляра нет в списке,
проверьте, что на SQL-сервере запущена служба SQL Server Browser. По умолчанию она отключена.

Если вы не установили сервер Microsoft SQL заранее, можете установить его не закрывая мастер установки
ТР
KSC. В окне выбора параметров SQL-сервера есть две ссылки на веб-страницы Microsoft:

— Ссылка на страницу загрузки Microsoft SQL Server 2014 SP2 Express, бесплатной версии,
ОС

рекомендуемой для небольших сетей до 5000 узлов

— Ссылка на страницу Microsoft SQL Server, где можно найти описания разных редакций и выбрать
подходящую
Р
СП

Как подключиться к серверу Microsoft SQL


РА
И
И Е
АН
ОВ
ИР

Базу данных для Сервера администрирования создает программа установки. Впоследствии Сервер
П

администрирования подключается к базе, чтобы записывать и извлекать из нее события.


КО

Инсталлятору нужны права, чтобы создать базу. Серверу администрирования нужны права чтобы
записывать и читать из базы.
О
I-34 ЛАБОРАТОРИЯ КАСПЕРСКОГО™

ЕН
KL 002.11. Kaspersky Endpoint Security and Management. Базовый курс

Если выбрать Режим аутентификации Microsoft Windows, инсталлятор подключается к SQL-серверу от

Щ
имени текущего пользователя Windows. При этом Сервер администрирования подключается к базе от имени
учетной записи своей службы (KL-AK-<*>), которую администратор выбрал на одном из предыдущих
шагов.

Е
Следовательно, у текущего пользователя должны быть права на SQL-сервере, чтобы создать базу. Чтобы

ПР
проверить, достаточно ли у пользователя прав, используйте кнопку Проверить соединение.

Если администратор Kaspersky Security Center не может получить права создавать базы на SQL-сервере,

ЗА
пусть администратор SQL-сервера создаст пустую базу, а администратор Kaspersky Security Center укажет
имя экземпляра и базы в мастере установки.

У учетной записи KL-AK-<*> (или другой записи, которую выбрал администратор), должны быть права

Е
читать и писать в базу. До установки это проверить нельзя, но после установки можно дать выбранной
записи недостающие права или вообще выбрать другую запись для службы Сервера администрирования.

НИ
Если выбрать Режим аутентификации SQL-сервера, укажите учетную запись SQL-сервера (не Windows).
Инсталлятор и Сервер администрирования оба будут использовать эту запись, чтобы создать базу и

Е
записывать в нее события.

АН
По умолчанию во всех поддерживаемых версиях SQL-сервера режим аутентификации SQL-сервера
отключен. Такая аутентификация считается устаревшей и небезопасной. Microsoft и Лаборатория
Касперского рекомендуют режим аутентификации Microsoft Windows Authentication Mode.
ТР
Если экземпляр SQL-сервера находится на другом компьютере, проверьте, что SQL-сервер разрешает
подключения по сети, и что порты не блокируются сетевым экраном. Используйте кнопку Проверить
соединение.
ОС

Как указать сервер MySQL


Р
СП
РА
И
И Е
АН
ОВ

Если вы выбрали MySQL-сервер, укажите адрес сервера баз данных, порт MySQL-сервера (как правило,
3306) и имя базы данных.
ИР

В окне настройки параметров нет ссылки на страницу загрузки MySQL. Чтобы загрузить дистрибутив
MySQL, используйте веб-сайт www.mysql.org
П
КО
О
I-35

ЕН
Часть I. Внедрение

Как подключиться к серверу MySQL

Е Щ
ПР
ЗА
Е
Е НИ
АН
Также укажите имя и пароль для аутентификации на MySQL-сервере. Эти имя и пароль будут использовать
ТР
и инсталлятор, чтобы создать базу, и Сервер администрирования, чтобы в нее писать.

В новых версиях MySQL-сервер, чтобы учетная запись могла подключиться к серверу, нужно со стороны
ОС

SQL-сервера разрешить использовать ее с конкретного адреса или имени компьютера. Подробности ищите в
документации MySQL.

Чтобы проверить, может ли выбранная запись подключиться к выбранному серверу, используйте кнопку
Р

Проверить соединение.
СП

Общая папка Сервера администрирования


РА
И
И Е
АН
ОВ
ИР
П

В общей папке хранятся обновления сигнатур и инсталляционные файлы программ, в частности, Агента
администрирования и Kaspersky Security Center.
КО
О
I-36 ЛАБОРАТОРИЯ КАСПЕРСКОГО™

ЕН
KL 002.11. Kaspersky Endpoint Security and Management. Базовый курс

По умолчанию программа установки создает общую папку Сервера администрирования в папке с

Щ
программными файлами. Локальное имя этой папки Share, а сетевое — KLSHARE.

Сразу после установки и первоначальной настройки размер общей папки составляет около 300 Мб. В

Е
зависимости от того, как администратор будет использовать Kaspersky Security Center, ее размер может
увеличиться до нескольких гигабайт. По этой причине может иметь смысл поместить общую папку Сервера

ПР
администрирования не на системном диске.

Изменить расположение общей папки можно и позже через Консоль администрирования.

ЗА
Порты подключения к Серверу администрирования

Е
Е НИ
АН
ТР
Р ОС
СП

Сервер администрирования принимает соединения от Агентов администрирования на два TCP-порта:


РА

— 13000 — для шифрованных соединений (SSL)


— 14000 — для нешифрованных соединений

По умолчанию все соединения в Kaspersky Security Center шифруются, так что используется только
И

безопасный порт 13000. Порт 14000 используется, только если администратор специально отключит
шифрование соединений в целях диагностики.
Е

Если вы хотите использовать другие порты, решите это заранее и укажите их в мастере установки.
И

Чтобы изменить порты уже после установки Сервера администрирования, их придется менять в нескольких
местах в Консоли. А чтобы изменить порты после установки на компьютеры Агентов администрирования,
АН

их придется менять специальной задачей или переустановкой Агентов.

В старых версиях Kaspersky Security Center, консоли администрирования подключались на порт 13000. В
ОВ

новых версиях консоли подключаются на TCP-порт 13291. В мастере установки этот порт выбрать нельзя,
но его можно легко изменить позже через Консоль администрирования.

Службы веб-сервер и прокси-сервер активации используют еще 4 порта, которые тоже можно изменить в
ИР

консоли.

Для установления SSL-соединений Сервер администрирования при установке генерирует новый сертификат
сроком на 10 лет. Для сохранения и восстановления сертификата при сбоях или после переустановки
П

Сервера администрирования нужно использовать процедуру резервного копирования (подробнее см.


КО

Часть IV «Обслуживание»).
О
I-37

ЕН
Часть I. Внедрение

Адрес Сервера администрирования для Агентов администрирования

Е Щ
ПР
ЗА
Е
Е НИ
АН
Клиентские компьютеры после установки на них Агента администрирования будут соединяться с Сервером
ТР
администрирования по заданному при установке адресу и номеру порта.

Адрес Сервера можно задать в формате IP-адреса (только IPv4), DNS- или NetBIOS-имени. Выбор зависит
ОС

от того, как устроена сеть. Хотя указать IPv6-адрес нельзя, Агенты администрирования могут подключаться
к Серверу администрирования по протоколу IPv6, если адрес Сервера администрирования задан в форме
NetBIOS- или DNS-имени.
Р

Если Сервер администрирования имеет постоянный IP-адрес, который не планируется менять в обозримом
СП

будущем, он и будет лучшим выбором для адреса подключения. В этом случае возможность подключения
зависит только от корректной работы маршрутизирующих устройств, но никак не зависит от систем
разрешения имен.
РА

Если IP-адрес динамический или постоянный, но часто изменяемый, использование его в качестве адреса
подключения создаст проблемы, связанные с регулярной перенастройкой параметров подключения
клиентов. Во избежание таких проблем адресом подключения лучше выбрать имя Сервера. Если в сети
надежно работает служба DNS, выбор DNS-имени является предпочтительным — разрешение DNS-имен,
И

как правило, не блокируется локальными брандмауэрами.

Разрешение NetBIOS-имен построено на широковещательных запросах и ответах, которые как раз могут
Е

блокироваться локальными брандмауэрами. Использовать NetBIOS-имя в качестве адреса подключения


И

стоит только в случае, если другие варианты еще менее удобны.


АН

После установки изменить адрес и порты подключения к Серверу можно в свойствах инсталляционного
пакета Агента администрирования. А адрес и порты подключения к Серверу по умолчанию, которые
автоматически подставляется в новые пакеты Агента администрирования, можно задать в свойствах узла
Дополнительно\ Удаленная установка\ Инсталляционные пакеты.
ОВ
ИР
П
КО
О
I-38 ЛАБОРАТОРИЯ КАСПЕРСКОГО™

ЕН
KL 002.11. Kaspersky Endpoint Security and Management. Базовый курс

Плагины для управления программами

Е Щ
ПР
ЗА
Е
Е НИ
АН
В поставку Kaspersky Security Center входят все последние версии плагинов управления продуктами
ТР
Лаборатории Касперского. В выборочной установке администратор может отметить плагины тех продуктов,
которые используются или будут использоваться в сети. Плагины можно установить и позже из общей
программы-оболочки для установки компонентов Kaspersky Security Center. Также инсталляторы плагинов
ОС

входят в дистрибутивы соответствующих продуктов.

Установка каждого плагина — это запуск дополнительного, пусть и короткого мастера установки. Для
некоторых плагинов установка проходит абсолютно автоматически без вмешательства администратора, для
Р

некоторых других плагинов администратору придется согласиться с лицензионным соглашением.


СП

Если какой-то продукт использовался ранее, но был заменен новой версией с новым плагином, старый
плагин можно удалить. Как удалить ненужные плагины, рассказывает статья в базе знаний
http://support.kaspersky.com/faq/?qid=208280749
РА

В ходе стандартной установки инсталлятор устанавливает плагины управления компонентами Kaspersky


Security Center 10, плагин управления Kaspersky Endpoint Security 10 для Windows, а также плагины для
управления мобильными устройствами.
И

Установка плагинов выполняется в самом конце установки Сервера администрирования. Буквально сразу
после завершения установки плагина Kaspersky Endpoint Security 10 следует полное завершение установки.
Е

В последнем окне администратор может согласиться на запуск Консоли администрирования.


И
АН
ОВ
ПИР
КО
О
I-39

ЕН
Часть I. Внедрение

Завершение установки

Е Щ
ПР
ЗА
Е
Е НИ
АН
В последнем окне мастер предлагает сразу запустить локальную Консоль администрирования и продолжить
ТР
установку в мастере первоначальной настройки Сервера администрирования.

Как правило, Серверу администрирования нужно несколько минут, чтобы начать работать и принимать
ОС

соединения.

Дополнительные консоли и плагины


Р
СП
РА
И
И Е
АН
ОВ
ИР

Если нужны плагины для других продуктов Лаборатории Касперского, их можно установить их общей
программы-оболочки.

Чтобы управлять Сервером администрирования удаленно и не через RDP, установите Консоль


П

администрирования. У консоли очень простой мастер установки без настроек. Плагины для консоли
установите отдельно из той же программы оболочки.
КО
О
I-40 ЛАБОРАТОРИЯ КАСПЕРСКОГО™

ЕН
KL 002.11. Kaspersky Endpoint Security and Management. Базовый курс

Плагины устанавливаются в каждую консоль, а не на Сервер администрирования. Если в консоли не хватает

Щ
нужного плагина, администратор не сможет открыть задачи и политики для соответствующей программы и
получит сообщение от консоли. Чтобы исправить ситуацию, просто установите нужный плагин.

Е
Результаты установки

ПР
ЗА
Е
Е НИ
АН
ТР
ОС

Если выбрать вариант установки Выборочная, но во всех окнах мастера принять настройки по умолчанию,
результат будет точно такой же, как и при выборе варианта установки Стандартная, а именно:
Р

Компоненты Сервер администрирования


СП

Агент администрирования
Консоль администрирования

Пути %Program Files(x86)%\Kaspersky Lab\Kaspersky Security Center — программные файлы


РА

установки %ProgramData%\KasperskyLab\adminkit — настройки


%ProgramData%\KasperskySC\SC_Backup — папка для резервных копий

Службы Сервер администрирования Kaspersky Security Center


И

Агент администрирования Kaspersky Security Center


Объект автоматизации Kaspersky Security Center
Прокси-сервер Kaspersky Security Network
Е

Веб-сервер «Лаборатории Касперского»


И

Прокси-сервер активации «Лаборатории Касперского»

имя базы:KAV
АН

SQL-сервер

Группы KLAdmins
KLOperators
(зачем они нужны, рассказывает курс KL 302)
ОВ

Учетные KL-AK-<*> — запускает службу Сервер администрирования Kaspersky Security Center


записи KlScSvc — запускает службы Прокси-сервер активации «Лаборатории Касперского»,
ИР

Прокси-сервер Kaspersky Security Network и Веб-сервер «Лаборатории Касперского»


Записи KL-AK-<*> и KlScSvc имеют права, эквивалентные правам локального
администратора, хотя и не входят во встроенную группу администраторов
KlPxeUser — служебный пользователь для PXE-сервера (см. курс KL 009)
П

Общая папка KLSHARE — локальный путь %Program Files(x86)%\Kaspersky Lab\Kaspersky Security


КО

Center\ Share
О
I-41

ЕН
Часть I. Внедрение

Е Щ
ПР
ЗА
Е
Е НИ
Адрес для
подключений
DNS-имя сервера
АН
ТР
Порты для 13000 — для SSL-подключений Агентов
подключений 14000 — для обычных подключений Агентов и Консолей администрирования
13291 — для SSL-подключений Консолей администрирования и Веб-консолей
8060 — http-порт Веб-сервера «Лаборатории Касперского»
ОС

8061 — https-порт Веб-сервера «Лаборатории Касперского»


13111 — порт службы Kaspersky Security Network proxy server
17000 — порт прокси-сервера активации
Р

Плагины Сервер администрирования Kaspersky Security Center 10 (10.5)


СП

Агент администрирования Kaspersky Security Center 10 (10.5)


Kaspersky Endpoint Security 11 для Windows
Kaspersky Endpoint Security for Mobile
Kaspersky Mobile Device Management 10
РА

Инсталляционные Kaspersky Endpoint Security 11 for Windows


пакеты Агент администрирования Kaspersky Security Center (10.5)
И

Большинство этих настроек можно изменить или в рамках выборочной установки, или в настройках
продукта после того, как установка выполнена, или и там, и там. Но небольшое количество настроек
поменять после установки либо нельзя вовсе, либо очень тяжело. Эти исключения нужно знать и продумать
Е

их значения до установки:
И

1. Путь к файлам данных нельзя изменить в принципе — он установлен в соответствии с


АН

требованиями Microsoft.

2. Путь к программным файлам и адрес SQL-сервера без переустановки изменить нельзя.


ОВ

3. Тип SQL-сервера (Microsoft или MySQL) изменить нельзя. Во всяком случае, штатными способами.
ИР
П
КО
О
I-42 ЛАБОРАТОРИЯ КАСПЕРСКОГО™

ЕН
KL 002.11. Kaspersky Endpoint Security and Management. Базовый курс

2.3 Мастер первоначальной настройки

Е Щ
ПР
Что нужно знать перед настройкой

ЗА
Е
Е НИ
АН
ТР
ОС

При первом подключении Консоли к Серверу администратору показываются реквизиты сертификата


Сервера администрирования.
Р
СП

С точки зрения безопасности, проверьте, что атрибуты сертификата в консоли совпадают с атрибутами
файла сертификата в папке %ProgramData%\KasperskyLab\adminkit\1093\cert\. Если атрибуты не совпадают,
это может означать, что кто-то или что-то перехватывает соединение консоли с сервером (атака man in the
middle).
РА
И
И Е
АН
ОВ
ПИР
КО
О
I-43

ЕН
Часть I. Внедрение

При первом подключении Консоли к Серверу запускается мастер первоначальной настройки. Он

Щ
продолжает установку и создает настройки по умолчанию. Мастер просит администратора:

— включить поддержку мобильных устройств

Е
— добавить лицензию
— настроить прокси-сервер

ПР
— загрузить последние версии плагинов и инсталляционных пакетов
— включить Kaspersky Security Network
— настроить почтовые уведомления и доставку отчетов

ЗА
— выбрать режим поиска и устранения уязвимостей

После этого мастер:

Е
— создает основные задачи и политики
— загружает обновления сигнатур на Сервер администрирования

НИ
Управление мобильными устройствами

Е
АН
ТР
Р ОС
СП
РА
И

Первый шаг первоначальной настройки — настройка поддержки мобильных устройств. Администратору


необходимо определить, будет использоваться Kaspersky Security Center для управления мобильными
Е

устройствами или нет.


И

Если выбрать Включить поддержку мобильных устройств, мастер


АН

— включит отображение необходимых элементов в интерфейсе консоли


— предложит загрузить и установить плагины и инсталляционные пакеты для мобильных устройств
— попросит настроить параметры подключения мобильных устройств к Серверу администрирования
ОВ

— создаст политики для мобильных устройств, если загружены соответствующие плагины

Если вы не уверены, выберите Поддержка мобильных устройств не требуется. Ее всегда можно будет
включить или выключить в узле управления мобильными устройствами в Консоли администрирования.
ИР

Управлению мобильными устройствами посвящен отдельный курс KL 010. Поэтому вопросы, связанные с
поддержкой мобильных устройств, в данном курсе рассматриваться не будут.
П
КО
О
I-44 ЛАБОРАТОРИЯ КАСПЕРСКОГО™

ЕН
KL 002.11. Kaspersky Endpoint Security and Management. Базовый курс

Установка лицензии

Е Щ
ПР
ЗА
Е
Е НИ
АН
ТР
Следующий шаг — активация продукта. Большинство продуктов Лаборатории Касперского требует
активации, а некоторые, и в частности Kaspersky Security Center и Kaspersky Endpoint Security, могут быть
активированы до разного уровня функциональности. То есть, в зависимости от лицензии, некоторые
ОС

возможности могут быть недоступны.

Ключи и коды активации


Р
СП

Чтобы активировать продукт, нужен ключ или код. Оба могут олицетворять лицензию покупателя со всеми
ее ограничениями.

Ключ — это специальный файл с параметрами лицензии, подлинность которого продукт может установить
РА

локально. Код — это просто строка и для выяснения ее подлинности и параметров соответствующей
лицензии продукт должен подключиться к Серверам активации Лаборатории Касперского в Интернет.

Старые версии продуктов Лаборатории Касперского можно активировать только ключом. Все актуальные
И

версии можно активировать и ключом, и кодом.

Коды удобнее, потому что один код активирует все продукты по лицензии. Чтобы активировать эти же
Е

продукты ключом, часто в лицензию входит несколько разных ключевых файлов. Ключом для Kaspersky
И

Security Center нельзя активировать Kaspersky Endpoint Security, и наоборот. А код у них один.
АН

Ключи нужны, когда нужно активировать продукт на компьютере без доступа в Интернет. Если у вас есть
только код, но нет ключа, добавьте код в хранилище ключей на Сервере администрирования (узел
Лицензии Лаборатории Касперского в Консоли администрирования). Сервер автоматически загрузит
соответствующие ключи, которые вы сможете экспортировать в файлы.
ОВ

Если у компьютеров нет доступа в Интернет, но они подключены к Серверу администрирования, у которого
доступ есть, продукты на компьютерах можно будет активировать кодом. Продукты верифицируют код
через службу Сервера администрирования: Прокси-сервера активации «Лаборатории Касперского».
ПИР
КО
О
I-45

ЕН
Часть I. Внедрение

Активация кодом

Е Щ
ПР
ЗА
Е
Е НИ
АН
ТР
Р ОС
СП
РА
И
Е

В мастере первоначальной настройки можно указать либо ключ, либо код. Если у покупателя есть только
И

код, все просто, нужно выбрать подходящий способ активации, ввести код и дождаться его верификации. На
этом этапе Серверу администрирования требуется доступ в Интернет.
АН

Код (или ключ) можно назначить для автоматической установки на клиентские компьютеры. Для этого
отметьте флаг Автоматически распространять ключ на управляемые устройства. Если Сервер
администрирования обнаружит управляемый компьютер, на котором Kaspersky Endpoint Security не
ОВ

активирован, он автоматически пошлет туда ключ, выбранный для автоматической установки.

Подробнее о том, как активировать Kaspersky Endpoint Security на клиентских компьютерах, рассказывает
ИР

глава 3 в этой части.


П
КО
О
I-46 ЛАБОРАТОРИЯ КАСПЕРСКОГО™

ЕН
KL 002.11. Kaspersky Endpoint Security and Management. Базовый курс

Активация ключом

Е Щ
ПР
ЗА
Е
Е НИ
АН
Если у покупателя вместо кода есть ключ, то, как правило, он есть не один и нужно решить, какой ключ
ТР
указать в мастере.

Чаще всего рекомендуется указывать ключ для активации Kaspersky Endpoint Security. Узнать, какой из
ОС

ключей подходит для этой цели можно из файла CompatibilityList.txt, который обычно поставляется вместе с
ключом или кодом. Остальные ключи можно добавить позже в узле Лицензии Лаборатории Касперского
или в свойствах Сервера администрирования.
Р

Настройка прокси-сервера для доступа в Интернет


СП
РА
И
И Е
АН
ОВ
ИР

Следующий шаг просит настроить параметры прокси-сервера для доступа в Интернет. Серверу
администрирования нужен выход в Интернет для загрузки обновлений и для связи с KSN-серверами
П

Лаборатории Касперского. Обе функции будут использовать общие параметры прокси.


КО

Сами параметры вполне стандартны: адрес и порт сервера, опциональные имя и пароль пользователя для
аутентификации, возможность отключить использование прокси для локальных адресов.
О
I-47

ЕН
Часть I. Внедрение

Проверка новых версий

Е Щ
ПР
ЗА
Е
Е НИ
АН
ТР
Инсталлятор Kaspersky Security Center содержит все актуальные плагины на момент выпуска последней
версии Kaspersky Security Center. Но разные продукты выходят в разное время и с момента выпуска
последней версии Kaspersky Security Center могли появиться новые версии управляемых продуктов и
ОС

плагинов к ним.

Мастер первоначальной настройки может проверить, нет ли новых версий.


Р

Загрузка новых версий плагинов


СП
РА
И
И Е
АН
ОВ
ИР

Сначала мастер проверяет, нет ли новых версий плагинов, из тех, что администратор выбрал установить
вместе с Сервером администрирования.
П

В списке новых плагинов мастер показывает версию программы, которой управляет плагин, версию
установленного плагина, и версию плагина, который можно загрузить.
КО
О
I-48 ЛАБОРАТОРИЯ КАСПЕРСКОГО™

ЕН
KL 002.11. Kaspersky Endpoint Security and Management. Базовый курс

Загрузка новых версий инсталляционных пакетов

Е Щ
ПР
ЗА
Е
Е НИ
АН
После плагинов мастер проверяет, нет ли новых версий управляемых продуктов, для которых можно
ТР
загрузить инсталляционные пакеты. Мастер показывает только те продукты, пакеты или плагины для
которых установлены в консоли.
ОС

Пакеты есть не для всех управляемых продуктов, но для Kaspersky Endpoint Security пакеты есть. Если в
списке есть новая версия Kaspersky Endpoint Security, загрузите ее. Для этого отметьте ее в списке.

Чтобы загрузить продукты, которых нет в списке, откройте в консоли узел Дополнительно, Удаленная
Р

установка, Инсталляционные пакеты; нажмите кнопку Дополнительные действия и выберите


СП

Просмотреть актуальные версии программ «Лаборатории Касперского».

Мастер загрузит выбранные пакеты и покажет их в списке. Администратор может их настроить с помощью
кнопки Свойства. О настройках пакетов Агента администрирования и Kaspersky Endpoint Security
РА

рассказывает глава 3 этой части.


И
И Е
АН
ОВ
ПИР
КО
О
I-49

ЕН
Часть I. Внедрение

Kaspersky Security Network

Е Щ
ПР
ЗА
Е
Е НИ
АН
ТР
Мастер предлагает администратору принять соглашение Kaspersky Security Network (далее, KSN). KSN —
это название облачных (in-the-cloud) защитных технологий Лаборатории Касперского.
ОС

Участие в KSN позволяет использовать для защиты компьютеров оперативную информацию о новых
угрозах, не дожидаясь появления этой информации в традиционных антивирусных базах. Взамен на это
согласие, Лаборатория Касперского будет получать обезличенную информацию о файлах и URL-адресах,
обработанных на компьютерах клиента. Подробнее о службе KSN рассказывается во Вступлении и в Части 2
Р

Управление защитой.
СП

Согласие на участие в KSN активирует в политике опции использования KSN и KSN-прокси. Если
отказаться от участия в KSN, использование KSN в политике Kaspersky Endpoint Security 10 будут
отключено, но использование KSN-прокси останется включенным.
РА

Использование KSN-прокси в политике связано с функцией KSN-прокси Сервера администрирования.


Функция KSN-прокси в Сервере администрирования реализована в виде дополнительной службы —
Прокси-сервер Kaspersky Security Network. По умолчанию в свойствах Сервера администрирования
использование KSN-прокси включено.
И
И Е
АН
ОВ
ИР
П
КО
О
I-50 ЛАБОРАТОРИЯ КАСПЕРСКОГО™

ЕН
KL 002.11. Kaspersky Endpoint Security and Management. Базовый курс

Настройка почтовых уведомлений

Е Щ
ПР
ЗА
Е
Е НИ
АН
ТР
Следующий шаг — настройка почтовых уведомлений и доставки отчетов. Чтобы получать уведомления о
важных событиях в почтовый ящик, нужно указать адрес получателя и параметры SMTP-сервера: адрес,
порт и, если требуется, данные для авторизации. Заданные здесь параметры будут использоваться для
ОС

отправки уведомлений и отчетов.

По умолчанию отправка уведомлений о событиях не включена. Чтобы действительно получать информацию


о событиях в почтовый ящик, нужно включить отправку уведомлений в свойствах событий. События
Р

Kaspersky Security Center доступны через свойства Сервера администрирования. События Kaspersky
Endpoint Security — через политику Kaspersky Endpoint Security.
СП

Если оставить настройки уведомлений пустыми, мастер не создаст задачу Рассылка отчетов. В случае
заполнения параметров уведомлений мастер задачу создаст и настроит раз в неделю отправлять
РА

администратору отчет о состоянии защиты.

Мастер не проверяет корректность настроек, но позволяет сделать это администратору с помощью кнопки
Отправить пробное сообщение. Администратор может воспользоваться ей для отправки тестового
сообщения по указанным реквизитам. Если мастеру не удастся подключиться к почтовому серверу или
И

пройти аутентификацию, будет сообщение об ошибке. Для завершения проверки администратору нужно
дополнительно убедиться, что сообщение пришло в почтовый ящик.
И Е
АН
ОВ
ПИР
КО
О
I-51

ЕН
Часть I. Внедрение

Настройка поиска уязвимостей и установки

Щ
обновлений

Е
ПР
ЗА
Е
Е НИ
АН
ТР

Этот шаг отображается в мастере первоначальной настройки, только если администратор указал ключ или
ОС

код, активирующий функции управления системами в Kaspersky Security Center (или отложил установку
ключа на потом).

Настройки этого шага определяют режим установки исправлений и управления обновлениями Microsoft.
Р

Kaspersky Security Center может автоматически обнаруживать на компьютерах уязвимые программы и


модули операционной системы, и автоматически их исправлять, устанавливая соответствующие обновления.
СП

Кроме этого Kaspersky Security Center может брать на себя функции локального источника обновлений
Microsoft (сервера WSUS). Об этом рассказывает курс KL 009. Управление системами.
РА

Создание задач и политик


И
И Е
АН
ОВ
ИР
П
КО

После того, как все параметры заданы, мастер первоначальной настройки создает политики и задачи,
необходимые для защиты узлов. Следующие политики и задачи создаются всегда:
О
I-52 ЛАБОРАТОРИЯ КАСПЕРСКОГО™

ЕН
KL 002.11. Kaspersky Endpoint Security and Management. Базовый курс

Политики

Е Щ
Политика Область действия

ПР
Kaspersky Endpoint Security 11 for Windows Группа Управляемые устройства

Агент администрирования Kaspersky Security Center 10 Группа Управляемые устройства

ЗА
Задачи

Е
Задача Область действия Расписание Параметры

НИ
Установка обновлений Управляемые При загрузке Источник: Сервер
устройства обновлений в администрирования
хранилище Устанавливает только
одобренные обновления

Е
модулей

Быстрый поиск вирусов Управляемые


устройства АН
По пятницам в
19:00
Проверяет критические области
с рекомендуемыми
настройками
ТР
Поиск уязвимостей и Управляемые По вторникам в Ищет все известные уязвимости
требуемых обновлений устройства 19:00 в папках %SystemRoot% и
%ProgramFiles%
ОС

Загрузка обновлений в Сервер Каждый час Источник: Сервера обновлений


хранилище администрирования Лаборатории Касперского
Р

Резервное копирование Сервер Раз в два дня в Хранит 3 последние копии,


СП

данных Сервера администрирования 2:00 утра пароль не задан


администрирования

Обслуживание базы данных Сервер Каждую субботу Оптимизирует, но не сжимает


РА

администрирования в 1:00 ночи базу

Еще три задачи могут быть созданы в зависимости от заданных ранее параметров:
И

Задача Область действия Расписание Параметры

Рассылка отчетов Сервер Каждый день Отчет о состоянии защиты в формате


Е

администрирования в 8:00 утра HTML


И

Установка требуемых Управляемые Каждый день Исправляет критические уязвимости,


АН

обновлений и устройства в 1:00 ночи устанавливает обновления, одобренные


закрытие уязвимостей администратором и обновления Microsoft
с высоким уровнем важности
ОВ

Синхронизация Сервер Каждый день Загружает метаданные (не обновления)


обновлений Windows администрирования в 3:00 ночи Windows Update на сервер
Update администрирования
ПИР
КО
О
I-53

ЕН
Часть I. Внедрение

Исключения в политике Kaspersky Endpoint Security

Е Щ
ПР
ЗА
Е
Е НИ
АН
Когда мастер создает политику Kaspersky Endpoint Security, он просит администратора подтвердить
ТР
исключение из проверки.

В настройках исключений есть две опции, одна из них создает рекомендуемые исключения для серверов, а
ОС

вторая для рабочих станций. Создаваемые исключения базируются на рекомендациях Microsoft и


Лаборатории Касперского. Обе опции исходно включены.

Кроме этого в окне представлен список шаблонов исключений для средств удаленного управления. Эти
Р

исключения имеет смысл включить, если соответствующие средства управления используются в компании.
СП

В противном случае, Kaspersky Endpoint Security может препятствовать нормальной работе средств
удаленного управления.
РА

Загрузка обновлений в хранилище


И
И Е
АН
ОВ
ИР
П
КО

Создав задачи и политики, мастер первоначальной настройки немедленно запускает задачу загрузки
обновлений в хранилище.
О
I-54 ЛАБОРАТОРИЯ КАСПЕРСКОГО™

ЕН
KL 002.11. Kaspersky Endpoint Security and Management. Базовый курс

Мастер отображает прогресс выполнения задачи, но дожидаться ее завершения не обязательно. Если

Щ
перейти к следующему окну мастера, обновление продолжится в фоновом режиме.

Е
ПР
ЗА
Е
Е НИ
АН
ТР
Что делать дальше
ОС

В последнем окне мастера первоначальной настройки есть возможность немедленно перейти к мастеру
удаленной установки для внедрения Kaspersky Endpoint Security на компьютеры сети. По умолчанию эта
опция включена, но лучше с внедрением не спешить, а действовать по плану:
Р

1. Дать Серверу время обнаружить компьютеры в сети


СП

2. Проверить настройки инсталляционных пакетов, чтобы установить именно то, что нужно

3. Попробовать разные методы установки в тестовой среде


РА

При желании администратор может повторно запустить мастер первоначальной настройки, используя
контекстное меню Сервера администрирования. При последующих запусках мастер создает только те
задачи и политики, которых не хватает.
И
И Е
АН
ОВ
ПИР
КО
О
I-55

ЕН
Часть I. Внедрение

2.4 Что есть в консоли администрирования

Е Щ
ПР
ЗА
Е
Е НИ
АН
ТР

Как устроена консоль


ОС

После мастера первоначальной настройки администратор попадает в Консоль администрирования.


Р

Консоль администрирования Kaspersky Security Center основана на Microsoft Management Console. В левой
части окна находится дерево узлов, в правой части отображается экран выбранного узла.
СП

Главный узел в консоли — это узел Сервера администрирования. Все остальные узлы расположены под ним.
РА

Где смотреть, что происходит

Чтобы понять, что происходит в сети, надо смотреть на экран узла Сервера администрирования. Здесь на 4-х
И

закладках собраны глобальные статусы, дэшборды, отчеты и события.


Е

Где искать компьютеры


И

Управляемые компьютеры находятся в узле Управляемые устройства. Этот узел является группой, в
АН

которой можно создавать задачи, политики и подгруппы. Все политики и часть задач, которые создал мастер
первоначальной настройки, он создал для группы Управляемые устройства.

Если нужного компьютера нет в узле Управляемые устройства, ищите его в узле Нераспределенные
ОВ

устройства. На эти компьютеры не распространяются никакие политики и задачи, поэтому не оставляйте


здесь компьютеры, которые нужно защищать. Переносите их в Управляемые устройства.
ИР

Если компьютера нет ни в Управляемых устройствах, ни в нераспределенных устройствах, значит Сервер


администрирования их еще не нашел. Проверьте, что компьютер включен, и подождите 1-2 часа. Если
Сервер не находит компьютер, установите на компьютер Агент администрирования.
П
КО
О
I-56 ЛАБОРАТОРИЯ КАСПЕРСКОГО™

ЕН
KL 002.11. Kaspersky Endpoint Security and Management. Базовый курс

Где искать программы для установки

Щ
Программы, которые можно установить на компьютеры, находятся в узле Дополнительно, Удаленная

Е
установка, Инсталляционные пакеты. Если нужно изменить состав компонентов или другие настройки
установки, меняйте их здесь.

ПР
Где смотреть на лицензии

ЗА
Лицензию, которую вы добавили в мастере первоначальной настройки, ищите в узле Лицензии
Лаборатории Касперского. Здесь вы найдете ограничения лицензии, когда она истекает, какие
компьютеры ее используют и т.д. Здесь же добавляйте новую лицензию, когда старая истечет.

Е
НИ
Где искать настройки защиты

Все задачи собраны в узле Задачи. Здесь вы найдете и задачи, которые относятся к группам, и задачи

Е
Сервера администрирования, и задачи для произвольных наборов компьютеров. В узле Задачи можно

АН
создавать, удалять или редактировать любые задачи.

Аналогичный узел Политики показывает все политики из всех групп.


ТР
Если нужно найти компьютеры по каким-то параметрам, используйте окно поиска, которое можно вызвать
из контекстного меню Сервера администрирования. Если вы часто ищете компьютеры по одним и тем же
параметрам, создайте выборку компьютеров в одноименном узле. В нем уже есть выборки, которые
ОС

показывают компьютеры с распространенными проблемами.


Р
СП
РА
И
И Е
АН
ОВ
ПИР
КО
О
I-57

ЕН
Часть I. Внедрение

Глава 3. Как установить Kaspersky Endpoint

Щ
Security на компьютеры

Е
ПР
3.1 Требования к компьютерам

ЗА
Е
Требования Kaspersky Endpoint Security к

НИ
операционным системам

Е
АН
ТР
Р ОС
СП
РА

Kaspersky Endpoint Security можно установить на следующие операционные системы Microsoft Windows:
И

Пользовательские
И Е

— Windows 10 Pro x86 / x64 (все редакции)3


— Windows 10 Enterprise x86 / x64 (все редакции)3
АН

— Windows 8.1 Pro x86 / x64


— Windows 8.1 Enterprise x86 / x64
— Windows 8 Pro x86 / x64
ОВ

— Windows 8 Enterprise x86 / x64


— Windows 7 Professional x86 / x64 SP1
— Windows 7 Enterprise x86 / x64 SP1
— Windows 7 Ultimate x86 / x64 SP1
ИР
П
КО

3
Ограничения при работе на новых версиях Windows 10 описаны в статье базы знаний по ссылке https://support.kaspersky.ru/13036
О
I-58 ЛАБОРАТОРИЯ КАСПЕРСКОГО™

ЕН
KL 002.11. Kaspersky Endpoint Security and Management. Базовый курс

Серверные

Щ
— Microsoft Windows Server 2016 x64

Е
— Microsoft Windows Server 2012 R2 Standard x64

ПР
Microsoft Windows Server 2012 Foundation / Standard x64
— Microsoft Small Business Server 2011 Standard x64
— Microsoft Windows Server 2008 R2 Standard x64 SP1
— Microsoft Windows Server 2008 R2 Enterprise x64 SP1

ЗА
— Microsoft Windows Server 2008 Standard x64 SP2
— Microsoft Windows Server 2008 Enterprise x64 SP2

Стоит обратить внимание, что Datacenter-редакции Windows Server не поддерживаются. Для их защиты

Е
нужно использовать Kaspersky Security для Windows Server.

НИ
Перечень операционных систем включает большинство версий Windows, начиная с Windows 7 / Windows
Server 2008 R2 и до Windows 10 RS4 / Windows Server 2016.

Е
Поддержка Kaspersky Endpoint Security виртуальных
платформ АН
ТР
Р ОС
СП
РА
И
И Е

Kaspersky Endpoint Security 11 для Windows можно установить на следующие виртуальные платформы (и
более старые версии):
АН

— VMware Workstation 12
— VMware ESXi 6.5
— Microsoft Hyper-V 2016
ОВ

— Citrix XenServer 7.2


— Citrix XenDesktop 7.14
— Citrix Provisioning Services 7.14
ИР

Для корректной работы с Citrix PVS нужно устанавливать Kaspersky Endpoint Security c параметром
/pCITRIXCOMPATIBILITY=1. В Kaspersky Endpoint Security 11 для Windows этот параметр можно
включить в свойствах инсталляционного пакета, а не только через командную строку.
П

Чтобы установить Kaspersky Endpoint Security, нужны права администратора.


КО
О
I-59

ЕН
Часть I. Внедрение

Минимальные требования к оборудованию

Е Щ
Общие аппаратные требования для установки Kaspersky Endpoint Security 11 таковы:

ПР
— Процессор с частотой 1 ГГц (и поддержкой набора инструкций SSE2)
— 1 ГБ оперативной памяти4
— 2 ГБ свободного места на диске

ЗА
Требования для установки Агента администрирования

Е
Е НИ
АН
ТР
Р ОС
СП

Агент администрирования Kaspersky Security Center поддерживает установку на все системы,


поддерживаемые Kaspersky Endpoint Security 11 для Windows.
РА

Аппаратные требования для установки Агента администрирования следующие:

— Процессор:
— 1 ГГц или выше для 32-битных систем
И

— 1.4 ГГц или выше для 64-битных


— Память: 512 МБ
Е

— Место на диске: 1 ГБ
И

Требования к памяти следует воспринимать как рекомендацию. Установку можно выполнить и на


компьютер с меньшим объемом памяти.
АН
ОВ
ИР
П
КО

4
Минимальный объем оперативной памяти при котором можно выполнить установку составляет 768 МБ
О
I-60 ЛАБОРАТОРИЯ КАСПЕРСКОГО™

ЕН
KL 002.11. Kaspersky Endpoint Security and Management. Базовый курс

3.2 Методы установки

Е Щ
ПР
Что делать перед установкой

ЗА
Е
Е НИ
АН
ТР
ОС

Перед тем, как устанавливать Kaspersky Endpoint Security на компьютеры, подготовьтесь:


Р

Что делать Зачем


СП

Дайте серверу время Вам не придется искать и вводить имена или адреса
обнаружить компьютеры
РА

Подготовьте независимый Сервер может обнаружить не все компьютеры, лучше иметь под рукой
список компьютеров эталонный список, в котором отмечать прогресс

Узнайте адреса компьютеров, Если Сервер администрирования не обнаружил компьютер, но вы знаете


его адрес, вы все равно сможете запустить удаленную установку
И

Узнайте имена и пароли Если компьютеры в домене, достаточно знать пароль администратора
Е

администраторов домена
На компьютерах вне домена все равно нужно знать пароль администратора
И

и для удаленной и для локальной установки


АН

Выясните, есть ли на Kaspersky Endpoint Security может не обнаружить и не удалить сторонние


компьютерах сторонние антивирусы, и тогда вам придется удалить их самостоятельно
антивирусы, и какие
ОВ

Если компьютеров много, Чем больше компьютеров, тем с большим количеством проблем вы
разбейте их на этапы столкнетесь, тем больше вы будете их решать, и тем дольше отдельные
установки пользователи будут простаивать
ИР

Попробуйте разные методы Вы обнаружите как минимум часть из тех проблем, которые потом
установки в тестовой среде возникнут в сети, и сможете решить, как их быстро устранить или вообще
обойти
Выберите методы установки, которые создают меньше проблем
П

Приступайте
КО
О
I-61

ЕН
Часть I. Внедрение

Какие есть методы установки

Е Щ
ПР
ЗА
Е
Е НИ
АН
ТР
Есть разные способы установить Kaspersky Endpoint Security, каждый со своими особенностями и
преимуществами.
ОС

Удаленная Не нужно ходить к каждому компьютеру, можно устанавливать на много компьютеров


установка с одновременно, что экономит время
помощью Установку можно начать в любой момент и начать получать результаты через считанные
Kaspersky минуты.
Р

Security Center Но нужно знать пароль администратора на компьютерах, и нужно, чтобы общие папки
СП

компьютеров были доступны по сети. Часто сетевые экраны или настройки безопасности
Windows блокируют доступ к общим папкам

Установка через Тоже не нужно ходить к компьютерам и можно устанавливать на много сразу.
РА

Active Directory Более того, не нужен доступ к общим папкам компьютеров и пароли администратора на
компьютерах. Компьютеры сами загружают и устанавливают программы.
С другой стороны, компьютеры должны быть в домене и администратору нужны права в
домене, чтобы опубликовать пакет. Компьютеры начинают установку не сразу, а только
при следующем входе в домен, т.е. при следующей перезагрузке.
И

Установка Администраторы устанавливают не только Kaspersky Endpoint Security, и у них вполне


Е

сторонними могут быть сторонние средства для установки и управления программами.


средствами Особенности зависят от конкретного средства, но как правило администратор может
И

установить программы удаленно на много компьютеров сразу.


АН

Локальная Ни один из методов удаленной установки не гарантирует успех на 100% компьютеров.


установка из Компьютеры могут быть не в домене, их общие папки могут быть закрыты сетевым
автономного экраном и у администратора может не быть сторонних средств управления
пакета компьютерами.
ОВ

Иногда проще прийти к компьютеру и установить программу локально, чем добиться


того, чтобы сработала удаленная установка.
Автономные пакеты в Kaspersky Security Center экономят время при локальной
установке: администратору не нужно проходить мастер установки и настраивать
ИР

параметры, нужно просто запустить инсталлятор и подождать

Выполняйте установку удаленно тем методом, который лучше подходит для вашей сети.
П

На тех компьютерах, где удаленная установка не удалась, устанавливайте локально с помощью автономных
КО

пакетов.
О
I-62 ЛАБОРАТОРИЯ КАСПЕРСКОГО™

ЕН
KL 002.11. Kaspersky Endpoint Security and Management. Базовый курс

3.3 Как удаленно установить Агент

Щ
администрирования и Kaspersky Endpoint

Е
Security

ПР
ЗА
Мастер удаленной установки

Е
Е НИ
АН
ТР
Р ОС
СП

В Kaspersky Security Center есть много способов запустить удаленную установку. Они все используют один
и тот же базовый механизм. Разница между способами заключается в количестве настроек и в том, где в
консоли ими можно воспользоваться. Наиболее стандартный способ, особенно для новичков, заключается в
РА

использовании общего мастера удаленной установки. Характерный сценарий его использования описан
ниже.

Сервер администрирования обнаруживает в сети компьютеры, на которых не установлены средства защиты.


И

Этот факт отображается на закладке Мониторинг узла Сервера администрирования в секции


Развертывание — предупреждающим цветом индикатора и поясняющими надписями. Для исправления
ситуации администратору предлагается нажать на ссылку Установить защиту.
И Е
АН
ОВ
ПИР
КО
О
I-63

ЕН
Часть I. Внедрение

Инсталляционные пакеты

Е Щ
ПР
ЗА
Е
Е НИ
АН
ТР
По ссылке открывается узел Дополнительно \ Удаленная установка, где администратор может запустить
мастер удаленной установки.
ОС

Мастер установки последовательно выясняет у администратора, какой продукт нужно установить, на какие
компьютеры и каким способом.

Мастер спрашивает у администратора не все параметры установки. Например, мастер не спрашивает, какие
Р

компоненты Kaspersky Endpoint Security установить. И если нужно включить режим совместимости с Citrix
Provisioning Services, в мастере удаленной установки это сделать нельзя.
СП

Поэтому, перед тем как запускать мастер удаленной установки, откройте список инсталляционных пакетов
и проверьте их настройки. Если нужно, измените настройки пакетов, или создайте новые пакеты со своими
РА

настройками. Управлять инсталляционными пакетами, в том числе удалять или создавать новые, можно
через хранилище Инсталляционные пакеты, расположенное в узле Дополнительно \ Удаленная
установка.

Какие есть настройки в инсталляционных пакетах и как создавать новые пакеты, рассказывают разделы Как
И

изменить состав компонентов KES и Как создать новый пакет установки в конце главы.
И Е
АН
ОВ
ИР
П
КО
О
I-64 ЛАБОРАТОРИЯ КАСПЕРСКОГО™

ЕН
KL 002.11. Kaspersky Endpoint Security and Management. Базовый курс

Выбор инсталляционного пакета

Е Щ
ПР
ЗА
Е
Е НИ
АН
ТР
Продукт для установки выбирается из списка доступных инсталляционных пакетов. В стандартную
поставку Kaspersky Security Center входят инсталляционные пакеты текущих версий Агента
администрирования и Kaspersky Endpoint Security для Windows.
ОС

Если в мастере удаленной установки выбрать Kaspersky Endpoint Security, он будет установлен вместе с
Агентом администрирования. Мастер не только устанавливает выбранный пакет, но и подключает
компьютеры к Серверу администрирования путем установки на них Агента. Если компьютеры уже
Р

подключены, Агент повторно не устанавливается.


СП

Инсталляционные пакеты Kaspersky Endpoint Security 11 для Windows и Агента администрирования годятся
для установки на любую поддерживаемую операционную систему: сервер, рабочую станцию, 32-битную
или 64-битную.
РА

Из-за этой универсальности, инсталляционный пакет Kaspersky Endpoint Security 11 имеет сравнительно
большой объем: чуть меньше 200 МБ. Штатных способов уменьшить размер инсталляционного пакета не
предусмотрено. Пакет Агента администрирования имеет куда меньший объем — около 40 МБ.
И
И Е
АН
ОВ
ПИР
КО
О
I-65

ЕН
Часть I. Внедрение

Выбор компьютеров

Е Щ
ПР
ЗА
Е
Е НИ
АН
ТР
После пакета, выберите, на какие компьютеры его устанавливать.

В мастере можно выбрать группы компьютеров (верхняя кнопка) или отдельные компьютеры (нижняя
ОС

кнопка).

Если вы запустили мастер сразу после того, как установили Сервер администрирования, в группах у вас есть
только один компьютер — сам Сервер администрирования. Все остальные компьютеры, которые обнаружил
Р

Сервер администрирования, находятся в узле Нераспределенные устройства. Еще могут быть компьютеры,
которые Сервер администрирования не обнаружил: их нет нигде в консоли.
СП

Зачем тогда мастер предлагает выбирать группы, если в них нет компьютеров? Например, если перед
установкой защиты вы импортировали структуру компьютеров из Active Directory. Тогда у вас уже есть
РА

группы, наполненные компьютерами, и вы можете устанавливать Kaspersky Endpoint Security по группе за


раз. Как импортировать группы и компьютеры из Active Directory, читайте в 4-йглаве этой части.

Вернемся к сценарию, когда у вас нет групп. Чтобы выбрать компьютеры в узле Нераспределенные
устройства или указать адреса необнаруженных компьютеров, нажмите нижнюю кнопку.
И

Как будет видно чуть позже, мастер удаленной установки в результате собранных сведений создает задачу
Е

удаленной установки. Если на этом шаге выбрать группу, мастер создаст групповую задачу, если выбрать
компьютеры, мастер создаст задачу для наборов компьютеров.
И
АН
ОВ
ИР
П
КО
О
I-66 ЛАБОРАТОРИЯ КАСПЕРСКОГО™

ЕН
KL 002.11. Kaspersky Endpoint Security and Management. Базовый курс

Е Щ
ПР
ЗА
Е
Е НИ
АН
Если нажать верхнюю кнопку, мастер просит выбрать группу. Он не показывает состав групп, так что
администратор должен помнить, в какой группе находятся интересующие его компьютеры.
ТР
Р ОС
СП
РА
И
И Е
АН
ОВ
ПИР
КО
О
I-67

ЕН
Часть I. Внедрение

Е Щ
ПР
ЗА
Е
Е НИ
АН
Если нажать нижнюю кнопку, мастер показывает все обнаруженные компьютеры: и те, которые уже в
группах в узле Управляемые устройства, и те, которые еще в узле Нераспределенные устройства. В узле
Нераспределенные устройства компьютеры сгруппированы в домены и рабочие группы.
ТР
Чтобы выбрать компьютеры, поставьте возле них отметки. Если поставить отметку на группе, домене или
узле верхнего уровня, вы выберете сразу все компьютере в группе, домене или узле.
Р ОС
СП
РА
И
И Е
АН

Чтобы установить Kaspersky Endpoint Security на компьютеры, которые Сервер администрирования не


обнаружил, нажмите кнопку Добавить. В новом окне введите адреса или имена компьютеров. Чтобы ввести
ОВ

сразу много адресов, укажите диапазон или импортируйте список из текстового файла. В файле каждый
адрес или имя должны быть на отдельной строке.

Мастер добавит все адреса, которые вы ввели, и автоматически установит возле них отметки.
ИР
П
КО
О
I-68 ЛАБОРАТОРИЯ КАСПЕРСКОГО™

ЕН
KL 002.11. Kaspersky Endpoint Security and Management. Базовый курс

Способ установки

Е Щ
ПР
ЗА
Е
Е НИ
АН
ТР
На следующем шаге мастер спрашивает, как выполнять удаленную установку. Есть два способа:

С помощью Агента Агент администрирования уже должен быть на компьютере и должен быть
ОС

администрирования подключен к этому Серверу.


Сервер посылает команду Агенту, Агент загружает файлы пакетов во временную
папку и выполняет установку от имени локальной системы.
Имя и пароль администратора указывать не нужно, доступ к общим папкам на
Р

компьютере не нужен.
СП

Средствами Нужен доступ к общим папкам компьютера по сети.


операционной Сервер администрирования копирует файлы пакетов в системную общую папку
системы \\<имя компьютера>\admin$ Затем сервер использует протокол Remote Procedure Call
РА

(RPC), чтобы удаленно запустить служебный процесс, который выполнит установку и


сообщит результат на Сервер.
Чтобы скопировать файлы и запустить установку, нужно указать имя и пароль
администратора компьютера.
И

Мастер всегда пытается выполнить установку с помощью Агента администрирования. Если Агент на
компьютере еще не установлен, применяется установка средствами Windows.
И Е

При установке на компьютер Kaspersky Endpoint Security и Агента администрирования, мастер сначала
устанавливает Агент средствами Windows, а затем устанавливает Kaspersky Endpoint Security 11 с помощью
АН

Агента.
ОВ
ПИР
КО
О
I-69

ЕН
Часть I. Внедрение

Выбор ключа

Е Щ
ПР
ЗА
Е
Е НИ
АН
ТР
Kaspersky Endpoint Security, в отличие от Агента администрирования, для функционирования нужна
активация. В мастере установки можно явно указать, какой код или ключ использовать для активации
продукта. На выбор предоставляется список кодов и ключей, уже добавленных в хранилище Сервера
ОС

администрирования. При необходимости этот список можно пополнить, не прекращая работу мастера.

Выбирать нужно ключ. Мастер не просто использует выбранный ключ для этой установки, но и сохранит
его в свойствах пакета Kaspersky Endpoint Security. Плагин Kaspersky Endpoint Security не поддерживает
Р

коды активации в свойствах инсталляционного пакета.


СП

Чтобы активировать Kaspersky Endpoint Security кодом, а не ключом, не выбирайте ничего в мастере
установки. Вместо этого включите параметр Автоматически распространяемый ключ в свойствах кода
активации в узле Лицензии «Лаборатории Касперского».
РА
И
И Е
АН
ОВ
ИР
П

Мастер предлагает выбрать параметры перезагрузки, однако в большинстве случаев при установке Агента и
Kaspersky Endpoint Security 11 перезагрузка не нужна. При установке Агента она не нужна практически
КО

никогда. При установке Kaspersky Endpoint Security необходимость в перезагрузке возникает, если на
компьютере до этого была установлена другая защитная программа.
О
I-70 ЛАБОРАТОРИЯ КАСПЕРСКОГО™

ЕН
KL 002.11. Kaspersky Endpoint Security and Management. Базовый курс

Выбор по умолчанию — Спросить у пользователя — годится для установки на рабочие станции. При

Щ
установке на сервера лучше выбрать Не перезагружать. За сервером, как правило, нет пользователя, и
ответить на запрос будет некому.

Е
Чтобы пользователь не тянул с перезагрузкой, по умолчанию задача показывает предупреждение каждые 5
минут. И через 30 минут принудительно перезагружает компьютер. Администратор может изменить эти

ПР
интервалы и текст предупреждения.

Удаление несовместимых программ

ЗА
Е
Е НИ
АН
ТР
Р ОС
СП

Одной из возможностей программы установки Kaspersky Endpoint Security 11 является обнаружение и


удаление с компьютера несовместимых программ. Имеются в виду средства защиты — антивирусы, сетевые
экраны и т.п. — совместное использование которых с Kaspersky Endpoint Security крайне не рекомендуется,
т.к. может привести к серьезным проблемам в работе пользователей и компьютеров.
РА

В общем случае администратор должен сам знать, какие потенциально несовместимые средства защиты
имеются в сети, и должен заранее побеспокоиться об их удалении. Деинсталляцию рекомендуется
выполнять штатными средствами соответствующих программ или средствами Windows. Возможности
И

инсталлятора Kaspersky Endpoint Security стоит рассматривать лишь как защиту от непредвиденных
ситуаций.
Е

Обнаружение несовместимых программ отключить нельзя5, т.к. оно призвано защитить от конфликтных
И

ситуаций. В мастере удаленной установки можно изменить настройки удаления, но подробнее они будут
рассмотрены в конце этой главы.
АН
ОВ
П ИР
КО

5
Нельзя отключить в графическом интерфейсе. Существует параметр командной строки, который отключает обнаружение
несовместимых программ, и при необходимости его можно задать в файле описания пакета удаленной установки.
О
I-71

ЕН
Часть I. Внедрение

Куда поместить компьютеры после установки

Е Щ
ПР
ЗА
Е
Е НИ
АН
ТР
Установка Агента и средств защиты предполагает, что компьютеры после установки должны быть
управляемыми: использовать настройки политик и задач с Сервера администрирования. Для этого
компьютеры должны быть в узле Управляемые устройства, а не в узле Нераспределенные устройства.
ОС

Если на компьютере есть Агент администрирования, но компьютер не входит в группу администрирования,


такой компьютер не пересылает свои события на Сервер администрирования, не отображается в отчетах и
не использует заданные администратором централизованные настройки. Он является управляемым только
Р

номинально, но не фактически.
СП

Если администратор выбирает компьютеры не группами, а по отдельности, мастер установки


дополнительно запрашивает, нужно ли перемещать компьютеры после установки в группу
администрирования, и если да, то в какую.
РА

Выбор влияет только на нераспределенные компьютеры. Если в список установки попали и


нераспределенные, и управляемые компьютеры, управляемые останутся на своих местах. Этот шаг
возникает, только если совместно с Kaspersky Endpoint Security 11 выполняется установка Агента
И

администрирования.
И Е
АН
ОВ
ИР
П
КО
О
I-72 ЛАБОРАТОРИЯ КАСПЕРСКОГО™

ЕН
KL 002.11. Kaspersky Endpoint Security and Management. Базовый курс

Учетная запись администратора

Е Щ
ПР
ЗА
Е
Е НИ
АН
ТР
Первоначальная установка Агента выполняется средствами Windows и нуждается в учетной записи для
доступа к компьютерам. Мастер установки позволяет задать несколько учетных записей, на случай, если
пароли администратора на компьютерах не совпадают. Попытки доступа от имени разных учетных записей
ОС

выполняются в порядке перечисления. Если одна учетная запись не подходит, используется следующая и
так до конца списка.

Перед использованием явно заданных учетных записей всегда выполняется попытка установки от имени
Р

учетной записи Сервера администрирования. Можно считать, что она незримо присутствует в самом начале
списка. Впрочем, если при инсталляции Сервера администратор использовал настройки по умолчанию,
СП

учетная запись службы Сервера для удаленной установки не подойдет. В результате установки с
настройками по умолчанию служба Сервера запускается от имени учетной записи KL-AK-*, которая
создается автоматически и наделяется правами локального администратора (не буквально, но
РА

эквивалентными). На удаленных компьютерах она прав не имеет.

Таким образом, в большинстве случаев учетную запись для доступа к компьютерам задавать нужно. В
доменной среде для использования при удаленной установке удобно использовать учетную запись
И

администратора домена. В крупных компаниях, как правило, есть специальная учетная запись для
выполнения удаленной установки, либо необходимые права есть у учетных записей персонала ИТ.
И Е
АН
ОВ
ПИР
КО
О
I-73

ЕН
Часть I. Внедрение

Где следить за ходом установки

Е Щ
ПР
ЗА
Е
Е НИ
АН
ТР
Задача установки
ОС

Мастер установки, исходя из заданных администратором настроек, создает и немедленно запускает задачу
установки продукта на выбранные компьютеры. После чего автоматически отрывает экран задачи в Консоли
администрирования.
Р

На этом экране отображается ход выполнения задачи на выбранных компьютерах. Установка может
ожидать выполнения, выполняться, ожидать перезагрузки, завершиться успешно или с ошибкой.
СП

Количество компьютеров в каждом из состояний показывается в виде секторной диаграммы и таблицы.

Журнал задачи
РА

Журнал выполнения задачи доступен по ссылке Просмотреть результаты, расположенной под статистикой.
И
И Е
АН
ОВ
ИР
П
КО
О
I-74 ЛАБОРАТОРИЯ КАСПЕРСКОГО™

ЕН
KL 002.11. Kaspersky Endpoint Security and Management. Базовый курс

В верхней части окна результатов приводится список всех компьютеров задачи, в нижней части — журнал

Щ
выполнения задачи на выбранном компьютере. Текущий результат выполнения показывается для каждого
компьютера в верхней части окна.

Е
Журнал выполнения представляет собой историю изменения статуса задачи на компьютере. При этом
общий статус может оставаться таким же, а меняться только его описание. Так в задаче установки журнал

ПР
может содержать несколько записей со статусом Выполняется, где первая будет говорить о начале
копирования файлов на удаленный компьютер, вторая о запуске программы установки, третья о выполнении
установки.

ЗА
Характерная история выполнения установки на отдельном компьютере показывает, что сначала
устанавливается Агент, а потом Kaspersky Endpoint Security. При этом для установки Агента файлы
копируются в общую папку admin$ на компьютере, а для установки Kaspersky Endpoint Security Сервер

Е
администрирования ожидает соединения с установленным Агентом.

НИ
Результат установки

Е
АН
ТР
Р ОС
СП
РА

Хотя пакет Kaspersky Endpoint Security один для всех версий Windows, результаты установки на серверы и
И

рабочие станции отличаются.

— На рабочие станции устанавливаются все компоненты, выбранные в свойствах инсталляционного


Е

пакета.
И

— На серверы устанавливаются только компоненты (те из них, которые выбраны в пакете):


АН

— Анализ поведения
— Защита от эксплойтов
— Откат вредоносных действий
ОВ

— Защита от файловых угроз


— Защита от сетевых угроз
— Сетевой экран
— Защита от атак BadUSB
ИР

— Контроль программ
— Управление BitLocker
— Endpoint Sensor
П
КО
О
I-75

ЕН
Часть I. Внедрение

3.4 Как установить Агент администрирования

Щ
через Active Directory

Е
ПР
Как устанавливать программы через Active Directory

ЗА
Е
Е НИ
АН
ТР
Р ОС

Устанавливать программы с помощью групповых политик Active Directory можно и без Kaspersky Security
СП

Center.

Принцип заключается в следующем. Инсталляционный пакет продукта в формате Microsoft Installer (.msi)
помещается в общую папку, доступную для чтения компьютерам домена. Размещенный пакет
РА

регистрируется в разделе установки в групповой политике Active Directory, которая распространяется на


доменные компьютеры. При следующем входе в домен, компьютеры в соответствии с политикой загружают
инсталляционный пакет из общей папки и выполняют его установку еще до входа пользователя в систему.
И

Этот метод сравнительно несложно осуществить вручную. Тем не менее, через Kaspersky Security Center его
использовать удобнее.
И Е
АН
ОВ
ИР
П
КО
О
I-76 ЛАБОРАТОРИЯ КАСПЕРСКОГО™

ЕН
KL 002.11. Kaspersky Endpoint Security and Management. Базовый курс

Как задачей опубликовать пакет Агента в Active

Щ
Directory

Е
ПР
ЗА
Е
Е НИ
АН
ТР

Чтобы опубликовать пакет Агента администрирования в групповой политике домена, включите в задаче
ОС

(или в мастере установки) опцию Назначить установку Агента администрирования в групповых


политиках Active Directory.

Чтобы задача завершилась успешно, запускайте ее с правами администратора домена. Для этого добавьте
Р

учетную запись администратора домена в раздел Учетная запись в настройках задачи.


СП

Метод распространяется только на Агент администрирования, поскольку считается, что после установки
Агента, остальные программы будут инсталлироваться с помощью Агента, а не другими методами.
РА

Что задача меняет в Active Directory

Группа целевых компьютеров


И
И Е
АН
ОВ
ПИР
КО
О
I-77

ЕН
Часть I. Внедрение

Результат у включения опции следующий. Сервер администрирования создает в Active Directory новую

Щ
группу с именем Kaspersky_AK{GUID} и включает в нее учетные записи компьютеров, на которые
распространяется задача.

Е
Объект групповой политики

ПР
ЗА
Е
Е НИ
АН
ТР
ОС

Сервер администрирования также создает в Active Directory новый объект групповой политики уровня
домена с именем Kaspersky_AK{тот же GUID} и назначает в нем установку MSI-пакета Агента
администрирования, расположенного в общей папке Сервера.
Р

Право применения политики дается только ранее созданной группе с учетными записями целевых
СП

компьютеров задачи. Таким образом, политика уровня домена будет применена не на всех компьютерах
домена, а только на выбранных компьютерах.
РА

Параметры объекта групповой политики


И
И Е
АН
ОВ
ИР
П
КО

После этого установка выполняется в стандартном ключе. Политика со временем распространяется на


компьютеры. При очередной перезагрузке компьютеры загружают MSI-пакет Агента администрирования из
О
I-78 ЛАБОРАТОРИЯ КАСПЕРСКОГО™

ЕН
KL 002.11. Kaspersky Endpoint Security and Management. Базовый курс

общей папки Сервера администрирования и устанавливают его. Параметры установки, среди которых

Щ
находится адрес и порты Сервера, берутся из файла ответов, который находится рядом с MSI-пакетом.
Таким образом, компьютеры автоматически подключаются к Серверу администрирования.

Е
Если в задаче установки был выбран не только Агент, но и другая программа, например, Kaspersky Endpoint
Security, установка продолжится после первого подключения Агента к Серверу.

ПР
Созданные задачей группа безопасности и объект групповой политики остаются в Active Directory до тех
пор, пока либо задача не будет удалена из Kaspersky Security Center, либо не будет отключена опция

ЗА
Назначить установку Агента администрирования в групповых политиках Active Directory в свойствах
задачи.

Е
3.5 Как сделать проще локальную установку

Е НИ
Зачем устанавливать локально
АН
Если на компьютеры не получается установить программы удаленно, часто проще не пытаться устранить
ТР
препятствия, а прийти к компьютеру и установить программы локально. Особенно если таких компьютеров
сравнительно мало.
ОС

Если устанавливать обычными программами установки, нужно проходить мастер установки. Это хоть и не
слишком долго, но быстро надоедает, и легко опечататься, указывая адрес Сервера администрирования.
Проще подготовить на Сервере администрирования автономный пакет со всеми настройками, и
устанавливать из него.
Р
СП

Автономные пакеты установки


РА
И
И Е
АН
ОВ
ИР

Автономный пакет в Kaspersky Security Center — это один файл setup.exe, который включает в себя
П

инсталляционные файлы и параметры установки продукта, например, Kaspersky Endpoint Security.


Автономный пакет может дополнительно включать инсталляционные файлы Агента администрирования и
КО

параметры соединения с Сервером администрирования.


О
I-79

ЕН
Часть I. Внедрение

Такой пакет предназначен для локальной установки администраторами и сотрудниками ИТ, а также

Щ
пользователями, у которых есть достаточные для этого права с целью экономии времени и снижения
количества ошибок.

Е
Очевидным преимуществом автономных пакетов является очень простая процедура установки. Во время
установки не нужно настраивать никакие параметры, все они уже включены в пакет. Это экономит время и

ПР
исключает ошибки, например, при указании адреса Сервера для подключения Агента администрирования.

Кроме того, поскольку автономный пакет — это всего лишь один файл, с ним проще обращаться, чем со

ЗА
стандартным дистрибутивом. Нет опасности недокопировать часть файлов, и в целом операции с ним
занимают меньше времени.

Как создать автономный пакет

Е
Е НИ
АН
ТР
Р ОС
СП
РА

Автономные пакеты создаются из обычных инсталляционных пакетов, доступных на Сервере


администрирования в узле Дополнительно, Удаленная установка, Инсталляционные пакеты. Это делает
специальный мастер, который перед созданием автономного пакета уточняет некоторые параметры
установки.
И
И Е
АН
ОВ
ИР
П
КО
О
I-80 ЛАБОРАТОРИЯ КАСПЕРСКОГО™

ЕН
KL 002.11. Kaspersky Endpoint Security and Management. Базовый курс

Если создается автономный инсталляционный пакет Kaspersky Endpoint Security, мастер предлагает

Щ
включить в пакет установку Агента администрирования, чтобы защищенный компьютер был немедленно
подключен к Серверу администрирования.

Е
ПР
ЗА
Е
Е НИ
АН
ТР

Как и при удаленной установке, компьютеры после установки можно сразу переместить в категорию
управляемых. Оставлять защищенные компьютеры в категории нераспределенных смысла не имеет.
ОС

Этот шаг появляется в мастере при выборке установки Агента администрирования совместно с основным
пакетом.
Р

Если кроме указанных параметров нужно изменить исходные параметры работы Kaspersky Endpoint Security
или состав устанавливаемых компонентов, это нужно сделать предварительно в свойствах обычного пакета,
СП

перед тем как запускать для него мастер создания автономного пакета установки. Параметры
инсталляционных пакетов описаны дальше в этой главе.
РА

После уточнения параметров мастер формирует файл setup.exe, выполняющий установку, и помещает его в
специальный подкаталог PkgInst общей папки Сервера администрирования. Имя папки с файлов setup.exe
совпадает с именем пакет. Позже вы легко найдете пакет по сетевому пути: \\<имя сервера
администрирования>\KLSHARE\PkgInst\<имя автономного пакета>\setup.exe.
И

По умолчанию Сервер администрирования подписывает автономные пакеты своим сертификатом. Это


самоподписанный сертификат и Windows при запуске пакета покажет предупреждение. Администратор
Е

может подписать пакеты своим сертификатом. Сертификат нужно указать в свойствах узла Дополнительно
\ Удаленная установка \ Инсталляционные пакеты, в разделе Подпись автономных пакетов.
И
АН
ОВ
ПИР
КО
О
I-81

ЕН
Часть I. Внедрение

Что делать с автономными пакетами

Е Щ
ПР
ЗА
Е
Е НИ
АН
ТР
При этом администратору предлагается три варианта дальнейших действий:

— Открыть папку — например, чтобы скопировать на Flash-накопитель


ОС

— Пример HTML-кода для размещения ссылки на веб-сайте — открывается текстовое окно с


фрагментом HTML-кода, который можно добавить на веб-страницу, чтобы на ней отображалась
ссылка на пакет
Р
СП
РА
И
И Е
АН
ОВ

— Разослать ссылку на автономный пакет установки по электронной почте — Сервер


ИР

администрирования запускает почтовый клиент по умолчанию и автоматически формирует тему и


текст приглашения со ссылкой на расположение пакета в общей папке, адреса получателей
администратору нужно заполнить самостоятельно
П
КО
О
I-82 ЛАБОРАТОРИЯ КАСПЕРСКОГО™

ЕН
KL 002.11. Kaspersky Endpoint Security and Management. Базовый курс

Е Щ
ПР
ЗА
Е
Е НИ
АН
Впоследствии список созданных автономных пакетов можно открыть по кнопке на странице узла
Инсталляционные пакеты (внутри контейнера Дополнительно, Удаленная установка). В окне списка
можно удалить ненужные пакеты или повторить рассылку письма пользователям.
ТР
Предлагаемая мастером создания пакета ссылка для отправки по почте содержит путь к сетевой папке
Сервера администрирования. Если по ссылке попытается пойти пользователь, не входящий в домен и не
зарегистрированный на Сервере администрирования, он может не получить доступа.
ОС

Вместо ссылки на сетевую папку лучше использовать http-ссылку на пакет, которую можно скопировать из
свойств пакета. На Сервере администрирования имеется встроенный веб-сервер, через который любой
пользователь может загрузить пакет. Каждый автономный пакет получает уникальную ссылку, основанную
Р

на идентификаторе пакета. Администратор может найти эту ссылку в свойствах пакета в общем списке
СП

автономных пакетов.

При повторном запуске мастера создания автономного пакета из обычного пакета, для которого автономный
пакет ранее уже создавался, у администратора есть выбор: пересоздать автономный пакет или создать
РА

отдельный новый автономный пакет.


И
И Е
АН
ОВ
ПИР
КО
О
I-83

ЕН
Часть I. Внедрение

3.6 Как выбрать, какие компоненты KES

Щ
устанавливать

Е
ПР
Инсталляционные пакеты

ЗА
Е
Е НИ
АН
ТР
Р ОС

Инсталляционными пакетами в Kaspersky Security Center представляются готовые к установке продукты. В


СП

пакете объединяются инсталляционные файлы, параметры установки и некоторые параметры работы


продукта. Параметры инсталляционного пакета призваны заменить мастер установки и мастер
первоначальной настройки продукта. У каждого продукта настройки свои. Как уже было видно,
инсталляционные пакеты используются в мастере и задачах удаленной установки, а также при создании
РА

автономных пакетов установки.

В поставку Kaspersky Security Center входят все необходимые пакеты для внедрения системы защиты:
И

— Пакет Агента администрирования


— Пакет Kaspersky Endpoint Security для Windows
— Пакет Сервера iOS MDM
Е

— Пакет Сервера мобильных устройств Exchange ActiveSync


И

Список имеющихся пакетов доступен в хранилище Дополнительно, Удаленная установка,


АН

Инсталляционные пакеты. Кроме названия и версии устанавливаемого приложения у каждого пакета есть
уникальное имя. Эти данные, а также язык пакета отображаются в виде таблицы при выборе хранилища. В
области описания пакета есть еще его размер — суммарный размер всех файлов.
ОВ

Пакеты можно создавать, изменять и удалять. Если пакет используется в задаче установки, удалить его
нельзя. Сначала удалите все задачи, которые используют пакет, затем удаляйте пакет.

В Kaspersky Security Center можно создавать и использовать инсталляционные пакеты разных видов и
ИР

назначения. С помощью инсталляционных пакетов можно устанавливать операционные системы, сторонние


программы, обновления и исправления к сторонним программам. С помощью инсталляционных пакетов
можно также запускать на компьютерах скрипты и утилиты. Об использовании этих видов
П

инсталляционных пакетов больше говорится в курсе KL 009 Управление системами. Настоящая глава
ограничивается рассмотрением пакетов для установки программ Лаборатории Касперского.
КО
О
I-84 ЛАБОРАТОРИЯ КАСПЕРСКОГО™

ЕН
KL 002.11. Kaspersky Endpoint Security and Management. Базовый курс

Настройки пакета Kaspersky Endpoint Security

Е Щ
ПР
ЗА
Е
Е НИ
АН
ТР
Общие свойства
ОС

У каждого пакета есть общие свойства и настройки, которые зависят от программы, для которой создан
пакет. Чтобы увидеть настройки пакета, нужно чтобы в консоли был установлен плагин программы. Если
нужного плагина нет, консоль попросит его установить. Плагин можно установить из оболочки
инсталлятора Kaspersky Security Center или загрузить со станицы программы на сайте поддержки
Р

Лаборатории Касперского.
СП

В общих свойствах пакета повторяется информация о версии программы и размере файлов, а также
приводится путь к файлам пакета в общей папке Сервера администрирования. При необходимости,
сотрудник ИТ–департамента может загрузить инсталляционные файлы по сети и выполнить локальную
РА

установку программы.

Как обновить базы в пакете


И
И Е
АН
ОВ
ПИР
КО
О
I-85

ЕН
Часть I. Внедрение

В общих свойствах пакета Kaspersky Endpoint Security есть еще кнопка Обновить базы. Она обновляет базу

Щ
сигнатур внутри пакета.

Чтобы Kaspersky Endpoint Security мог работать сразу после установки, в состав инсталляционных файлов

Е
входят базы. Со временем они устаревают. Это не является большой проблемой, поскольку сразу после
установки Kaspersky Endpoint Security запустится задача обновления и загрузит новые базы.

ПР
Но в некоторых случая целесообразно, чтобы установка выполнялась с максимально свежими базами.
Например, сотрудник ИТ может взять с собой автономный пакет установки для внедрения на компьютерах

ЗА
небольшого офиса с плохим доступом в Интернет. В этом случае не столь важен размер пакета, который
сотрудник принесет с собой на сменном носителе. Важнее уменьшить трафик задачи обновления, который
может составить несколько десятком мегабайт, если базы в пакете старые.

Е
Для таких случаев предусмотрена возможность обновить базы в самом пакете перед установкой. Дата
последнего такого обновления приводится здесь же, в общих свойствах пакета, в графе Базы обновлены.

НИ
Кнопка Обновить базы копирует в пакет полный набор баз для Kaspersky Endpoint Security из хранилища
Сервера. В исходной версии пакета базы представлены архивом bases.cab. После обновления баз кнопкой
Обновить базы, архив заменяется папкой bases. Суммарный объем папки сравним с размером архива,

Е
поскольку файлы баз зашифрованы и не поддаются сжатию.

АН
Kaspersky Security Center автоматически обновляет базы в пакетах после загрузки новых обновлений в
хранилище. Но делает это только один раз для каждого пакета. Если базы в пакете уже однажды были
обновлены автоматически, при последующей загрузке обновлений в хранилище базы они больше
ТР
автоматически не обновляются.

Фактически автоматическое обновление применяется вскоре после установки Сервера администрирования к


ОС

предустановленному пакету Kaspersky Endpoint Security, и точно также к каждому новому созданному
пакету Kaspersky Endpoint Security вскоре после его создания.
Р

Как выбрать компоненты в пакете


СП
РА
И
И Е
АН
ОВ
ИР

Остальные параметры пакета Kaspersky Endpoint Security дублируют параметры интерактивной установки.
Это в первую очередь список компонентов и папка размещения программных файлов.

Набор компонентов определяется значением параметра Тип установки. Администратор может выбрать
П

один из двух фиксированных типов установки:


КО

— Базовая установка:
— Анализ поведения
О
I-86 ЛАБОРАТОРИЯ КАСПЕРСКОГО™

ЕН
KL 002.11. Kaspersky Endpoint Security and Management. Базовый курс

— Защита от эксплойтов

Щ
— Откат вредоносных действий
— Предотвращение вторжений
— Защита от файловых угроз

Е
— Защита от почтовых угроз
— Защита от веб-угроз

ПР
— Защита от сетевых угроз
— Сетевой экран

ЗА
— Стандартная установка: все компоненты базовой установки плюс
— Контроль программ
— Веб-контроль
— Контроль устройств

Е
Если ни один из этих наборов не подходит, администратор может выбрать тип Выборочная установка и

НИ
отметить только те компоненты, которые ему нужны. Некоторые компоненты м можно установить только в
Выборочной установке:

— Шифрование файлов

Е
— Полнодисковое шифрование

АН
— Управление BitLocker
— Защита от атак BadUSB
— Endpoint Sensor
ТР
По умолчанию выбраны компоненты, соответствующие стандартной установке. Администратор может
переключаться между типами установки либо выбрать индивидуальные компоненты из списка. При этом
нужно помнить, что, хотя пакет может быть установлен на любую поддерживаемую операционную систему,
ОС

многие компоненты работают только на рабочих станциях. На серверных системах устанавливаются только
следующие компоненты:

— Анализ поведения
Р

— Защита от эксплойтов
— Откат вредоносных действий
СП

— Защита от файловых угроз


— Защита от сетевых угроз
— Сетевой экран
РА

— Контроль программ
— Защита от атак BadUSB
— Управление BitLocker
— Endpoint Sensor
И

Несмотря на то, что настройки компонента Предотвращение вторжений отображаются в интерфейсе


Kaspersky Endpoint Security на серверах, компонент на самом деле не устанавливается. Kaspersky Endpoint
Е

Security на серверах не контролирует активность программ, и в частности не блокирует запуск программ,


имеющих статус Недоверенные. Настройки Предотвращения вторжений отображаются на серверах потому,
И

что часть этих настроек относится к работе компонента Сетевой экран. Подробнее о компонентах
Предотвращение вторжений и Сетевой экран рассказывается в части II этого курса.
АН

Кроме компонентов устанавливаются также локальные задачи. Они недоступны для выбора в свойствах
пакета и устанавливаются на любые операционные системы:
ОВ

— Обновление
— Откат обновления
— Проверка целостности
ИР

— Задачи поиска вирусов:


— Полная проверка
— Проверка важных областей
— Выборочная проверка
П

— Проверка из контекстного меню


КО
О
I-87

ЕН
Часть I. Внедрение

Настройки совместимости

Е Щ
ПР
ЗА
Е
Е НИ
АН
По умолчанию компоненты Kaspersky Endpoint Security устанавливаются в папку
ТР

%ProgramFile(x86)%\Kaspersky Lab\Kaspersky Endpoint Security for Windows


ОС

При желании администратор может изменить этот путь на любой другой.

Администраторы, часто использующие интерфейс командной строки, могут включить флаг автоматического
добавления папки установки в переменную среды %PATH%. Тогда они смогут вызывать команды
Р

управления продуктом просто через avp.com, без необходимости указывать полный путь.
СП

В пакете есть два дополнительных параметра имеющих статус настроек совместимости. Один из них (Не
защищать процесс установки программы) отключает самозащиту в процессе установки. Самозащита не
дает менять инсталляционные файлы сторонним программам, в первую очередь вредоносным. Она также
РА

блокирует доступ к папке, куда устанавливаются файлы Kaspersky Endpoint Security, и к разделу реестра с
ключами программ Лаборатории Касперского. Иногда самозащита конфликтует со сторонними
программами, например, с агентами резервного копирования. Поэтому ее можно отключить.
И

Второй параметр обеспечивает совместимость с Citrix Provisioning Services. Если вы хотите установить
Kaspersky Endpoint Security на образ для виртуальных машин в среде Citrix PVS, включите эту опцию.
И Е
АН
ОВ
ИР
П
КО
О
I-88 ЛАБОРАТОРИЯ КАСПЕРСКОГО™

ЕН
KL 002.11. Kaspersky Endpoint Security and Management. Базовый курс

Как добавить в пакет файл с настройками

Е Щ
ПР
ЗА
Е
Е НИ
АН
Еще одним параметром является Конфигурационный файл. Этот файл задает параметры работы Kaspersky
ТР
Endpoint Security после установки

Конфигурационный файл заменяет собой мастер первоначальной настройки Kaspersky Endpoint Security.
ОС

Если конфигурационный файл не задан, продукт будет работать с заводскими настройками. Впрочем, при
первом же соединении Агента с Сервером будет загружена политика Kaspersky Endpoint Security, которая
переопределит настройки защиты. Так что конфигурационный файл нужен, если политика форсирует не все
настройки продукта, или для использования на неуправляемых компьютерах.
Р
СП

Чтобы создать конфигурационный файл, установите Kaspersky Endpoint Security на компьютер, но не


подключайте его к Серверу администрирования, иначе групповая политика не даст вам менять локальные
настройки.
РА

Настройте Kaspersky Endpoint Security через локальный интерфейс, как вам нужно, и сохраните эти
настройки в файл. Кнопка Сохранить… находится в окне Настройка в разделе Общие
параметры\Управление параметрами.
И
И Е
АН
ОВ
ПИР
КО
О
I-89

ЕН
Часть I. Внедрение

Как добавить в пакет ключ

Е Щ
ПР
ЗА
Е
Е НИ
АН
Kaspersky Endpoint Security не работает без активации. При интерактивной установке ключ задается в ходе
ТР
выполнения мастера первоначальной настройки. При удаленной установке есть несколько способов
активировать установленный продукт. Один из них — указать файл ключа в свойствах инсталляционного
пакета.
ОС

В свойствах пакета можно добавить только ключ, код добавить нельзя.


Р

Кроме этого ключ или код можно распространить специальной задачей на выбранные компьютеры.
СП

Третий вариант: включить флаг Автоматически распространяемый ключ в свойствах ключа или кода в
узле Лицензии Лаборатории Касперского в консоли администрирования.

В крайнем случае код или ключ можно добавить через локальный интерфейс Kaspersky Endpoint Security.
РА

Где выключить удаление несовместимых программ


И
И Е
АН
ОВ
ИР
П
КО
О
I-90 ЛАБОРАТОРИЯ КАСПЕРСКОГО™

ЕН
KL 002.11. Kaspersky Endpoint Security and Management. Базовый курс

По умолчанию инсталлятор Kaspersky Endpoint Security ищет и удаляет несовместимые программы:

Щ
сторонние антивирусы и сетевые экраны.

Список программ, которые может удалить Kaspersky Endpoint Security, довольно большой, но не

Е
исчерпывающий. В нем, как правило, нет самых свежих версий сторонних средств защиты, а также нет
программ, которые не слишком широко распространены. Как удалить программы, которые Kaspersky

ПР
Endpoint Security не обнаружил, рассказывает раздел в конце этой главы.

Если Kaspersky Endpoint Security некорректно удаляет несовместимую программу, отключите

ЗА
автоматическое удаление, и удалите программу самостоятельно.

Параметры пакета Агента администрирования

Е
Е НИ
АН
ТР
Р ОС
СП

Путь установки
РА

Общие сведения о пакете Агента администрирования такие же, как и Kaspersky Endpoint Security, но без
кнопки Обновить базы. У Агента администрирования нет баз.
И

В разделе Параметры можно изменить каталог установки, а также задать пароль на деинсталляцию. Если
каталог не указан в явном виде, используется стандартное значение
И Е

%ProgramFiles%\Kaspersky Lab\NetworkAgent
АН

Защита паролем
ОВ

В свойствах пакета можно включить защиту Агента от деинсталляции и указать пароль. В этом случае даже
пользователь с правами администратора не сможет удалить Агент штатными средствами, не зная пароля.
Впрочем, при большом желании пользователь с правами администратора всегда может привести Агент в
неработоспособное состояние.
ИР

Если вы не включили защиту паролем в инсталляционном пакете Агента, включите ее в политике Агента,
где она тоже есть.
П
КО
О
I-91

ЕН
Часть I. Внедрение

Параметры подключения к Серверу администрирования

Е Щ
ПР
ЗА
Е
Е НИ
АН
В секции Подключение в свойствах инсталляционного пакета Агента администрирования расположены
ТР
параметры подключения к Серверу администрирования. Эти же настройки спрашивает мастер установки
Агента при выполнении локальной инсталляции в интерактивном режиме.
ОС

Основные параметры подключения — это адрес и порты Сервера администрирования. Исходно они
принимают значения, заданные при установке Сервера администрирования. Если клиентские компьютеры и
Сервер администрирования находятся в разных подсетях, связь между которыми осуществляется через
прокси-сервер, параметры прокси-сервера тоже можно задать в свойствах инсталляционного пакета. Эти
Р

стандартные параметры включают адрес и порт прокси-сервера, а также имя и пароль для аутентификации.
СП

Следует иметь в виду, что эти параметры будут использованы Агентами при подключении к Серверу, а не
наоборот.

Когда соединение с клиентским компьютером инициируется Сервером, например, для экстренного


РА

применения политики, Сервер обращается к Агенту администрирования через UDP-порт. Чтобы брандмауэр
Windows не блокировал поступающие на этот порт запросы, Агент может автоматически создать
необходимые исключения. Такое поведение Агента регулируется опцией Открывать порты Агента
администрирования в брандмауэре Microsoft Windows. По умолчанию Агент принимает соединения на
И

UDP-порт 15000. Значение можно поменять как в свойствах пакета, так и позже в политике Агента.

Как и Консоль администрирования, Агенты могут связываться с Сервером по шифрованному (SSL) или
Е

нешифрованному каналу. По умолчанию использование SSL включено. При этом Агенты автоматически
И

загружают и используют сертификат Сервера администрирования. Возможность задать сертификат вручную


может использоваться в сетях с повышенными требованиями к безопасности, чтобы исключить вариант
АН

подмены Сервера администрирования.

Дополнительные параметры в инсталляционном пакете Агента востребованы скорее в сетях со сложной


инфраструктурой. Они рассмотрены в курсах KL 009. Управление системами и KL 302. Kaspersky Endpoint
ОВ

Security and Management. Масштабирование.


ИР
П
КО
О
I-92 ЛАБОРАТОРИЯ КАСПЕРСКОГО™

ЕН
KL 002.11. Kaspersky Endpoint Security and Management. Базовый курс

3.7 Как создать пакет установки

Е Щ
ПР
Зачем создавать пакеты установки

ЗА
Е
Е НИ
АН
ТР
ОС

Инсталляционных пакетов, входящих в стандартную поставку Kaspersky Security Center, вполне достаточно
для организации защиты в большинстве сетей. Создание дополнительных пакетов может потребоваться в
Р

следующих случаях:
СП

— Вышла новая версия Kaspersky Endpoint Security. Для обновления версии, как и для первоначальной
установки, нужен инсталляционный пакет. Администратор может создать пакет самостоятельно или
загрузить новую версию Kaspersky Security Center, включающую обновленные версию пакета, и
РА

переустановить Сервер администрирования поверх существующего (все настройки сохранятся).

— Нужно выполнить удаленную установку продукта Лаборатории Касперского, не входящего в


стандартную поставку Kaspersky Security Center, например, Kaspersky Security для Windows Server.
И

Такой пакет нужно создавать вручную.

— В разных частях сети установку нужно выполнять с разными параметрами. Например, согласно
Е

плану внедрения, часть компьютеров может не нуждаться в компонентах Защита от веб-угроз и


Защита от почтовых угроз. Чтобы иметь возможность выполнять внедрение параллельно на обе
И

категории компьютеров, нужно создать дополнительный инсталляционный пакет с нестандартными


настройками.
АН

Мастер создания пакета


ОВ

Чтобы создать инсталляционный пакет, нажмите кнопку Создать инсталляционный пакет в узле
Дополнительно \ Удаленная установка \ Инсталляционные пакеты. Мастер запрашивает имя пакета,
ИР

расположение инсталляционных файлов, а также некоторые параметры установки, в зависимости от


продукта. Мастер может также потребовать принять лицензионное соглашение продукта.
П

Для создания пакета нужно, чтобы в консоли Kaspersky Security Center был установлен плагин управления
соответствующего продукта. Инсталлятор плагина обычно расположен среди инсталляционных файлов
КО

продукта и иногда мастер обнаруживает и устанавливает плагин автоматически. В противном случае


администратору нужно самостоятельно установить плагин, прежде чем создавать пакет.
О
I-93

ЕН
Часть I. Внедрение

Типы пакетов

Е Щ
ПР
ЗА
Е
Е НИ
АН
ТР
Мастер начинается с выбора типа пакета. Предлагается три (или четыре, в зависимости от настроек
Kaspersky Security Center) варианта на выбор:
ОС

— Пакет для программы Лаборатории Касперского. Для создания такого пакета нужен специальный
файл описания пакета. Такой файл описания есть в составе большинства продуктов Лаборатории
Касперского. Файл описания можно создать и самому, но это уже выходит за рамки курса.
Р

— Пакет для программы, указанной пользователем. Пакет этого типа позволяет запускать выбранный
файл (не обязательно инсталлятор, может быть скрипт или утилиту) на удаленных компьютерах.
СП

— Пакет для программ сторонних производителей из базы программ Лаборатории Касперского. Этот
вариант позволяет устанавливать сторонние программы без необходимости предварительно искать
РА

и загружать их инсталляционные файлы. Эта возможность описывается в курсе KL 009 Управление


системами.

Четвертый вариант, который может не отображаться в зависимости от настроек, это пакет для установки
операционной системы из образа диска. Это тоже тема из курса KL 009 Управление системами.
И
И Е
АН
ОВ
ИР
П
КО
О
I-94 ЛАБОРАТОРИЯ КАСПЕРСКОГО™

ЕН
KL 002.11. Kaspersky Endpoint Security and Management. Базовый курс

Настройки пакета

Е Щ
Имя пакета

ПР
ЗА
Е
Е НИ
АН
ТР
ОС

Сейчас нас интересует первый тип пакетов. После того, как он выбран, мастер запрашивает имя пакета и
путь к папке, в которой находятся инсталляционные файлы и файл описания пакета.

Файлы для установки


Р
СП
РА
И
И Е
АН
ОВ
ИР

Инсталляционные файлы могут быть распакованы (в таком виде они обычно поставляются на компакт-
диске), или запакованы в самораспаковывающийся архив (в таком виде они доступны для загрузки на веб-
сайте Лаборатории Касперского). Мастер создания пакетов поддерживает оба формата. Если указать
самораспаковывающийся архив, мастер автоматически распакует его во временную папку и извлечет все
П

необходимые файлы.
КО

Инсталляционные пакеты для продуктов Лаборатории Касперского создаются на основании файлов


описаний, имеющих расширение .kpd или .kud. Файлы идентичны, за исключением кодировки. .kpd-файл
О
I-95

ЕН
Часть I. Внедрение

использует кодировку ANSI, .kud — Unicode. Внутри файла перечислены версия продукта, имя программы

Щ
инсталлятора, параметры установки, описание ошибок и другие настройки, в зависимости от продукта.

Одного .kpd/.kud-файла для создания пакета недостаточно. Это только файл описания, а не полный архив.

Е
Файлы описания находятся внутри дистрибутива, и отделять их от дистрибутива нельзя. Только
выбрав .kpd/.kud-файл в дистрибутиве получится создать инсталляционный пакет, пригодный для

ПР
установки. Попытка скопировать в отдельную папку только файл описания и создать из него
инсталляционный пакет является распространенной ошибкой.

ЗА
Этой ошибки можно избежать, если создавать пакет из самораспаковывающегося инсталлятора продукта, в
том виде, в котором он загружен с веб-сайта Лаборатории Касперского. Эта возможность не сразу бросается
в глаза. Чтобы создать пакет из файла-инсталлятора, нужно в окне выбора файла описания изменить тип
файла с .kpd/.kud на Самораспаковывающийся архив. И выбрать загруженный инсталлятор. Мастер

Е
создания пакета автоматически распакует указанный файл во временную папку и возьмет из нее файл
описания.

НИ
После выбора файла описания пакета, мастер отображает имя и версию программы, чтобы администратор
мог убедиться в правильности выбора.

Е
Лицензионное соглашение
АН
ТР
Р ОС
СП
РА
И
Е

Следующим шагом мастер может потребовать принять лицензионное соглашение.


И
АН
ОВ
ИР
П
КО
О
I-96 ЛАБОРАТОРИЯ КАСПЕРСКОГО™

ЕН
KL 002.11. Kaspersky Endpoint Security and Management. Базовый курс

Настройки программы

Е Щ
ПР
ЗА
Е
Е НИ
АН
Затем, в зависимости от программы, мастер может запросить значения параметров установки. В случае
ТР
Kaspersky Endpoint Security мастер просит выбрать тип установки: Базовая или Стандартная. Выбор
можно позже изменить в свойствах пакета, особенно если требуется установить нестандартный набор
компонентов.
ОС

Как загрузить новые версии


Р
СП

Где увидеть новые версии


РА
И
И Е
АН
ОВ
ИР

Чтобы создать инсталляционный пакет программы Лаборатории Касперского, администратору не


обязательно самому искать и загружать инсталляционные файлы. Kaspersky Security Center отслеживает
П

текущие версии Kaspersky Security Center, Kaspersky Endpoint Security и Kaspersky Security для Windows
Server, и позволяет администратору создавать инсталляционные пакеты прямо из дистрибутивов, доступных
КО

на серверах Лаборатории Касперского.


О
I-97

ЕН
Часть I. Внедрение

На экране узла Инсталляционные пакеты есть кнопка Дополнительные действия, а под ней ссылка

Щ
Просмотреть актуальные версии программ «Лаборатории Касперского».

Е
ПР
ЗА
Е
Е НИ
АН
ТР
По ней открывается список доступных дистрибутивов различных версий и локализаций 6. Администратору
нужно просто выбрать нужный дистрибутив и нажать кнопку Загрузить и создать пакет — все остальное
Сервер администрирования выполнит автоматически: загрузит файлы и создаст из них инсталляционный
ОС

пакет.

Как найти нужный продукт или обновление


Р
СП
РА
И
И Е
АН
ОВ

Kaspersky Security Center управляет многими программами Лаборатории Касперского. А список обновлений
ИР

содержит не только новые версии программ, но и обновления к ним, новые версии плагинов, разные
локализации одной и той же программы. В итоге список получается длинный.
П
КО

6
По умолчанию, отображаются локализации продуктов на базовых языках (английский, французский, немецкий) и на языке
консоли Kaspersky Security Center
О
I-98 ЛАБОРАТОРИЯ КАСПЕРСКОГО™

ЕН
KL 002.11. Kaspersky Endpoint Security and Management. Базовый курс

Чтобы найти то, что нужно, используйте фильтр. В фильтре можно выбрать:

Щ
— Тип программы:

Е
— Инструменты управления — компоненты Kaspersky Security Center

ПР
— Рабочие станции— программы для защиты рабочих станций. Сюда относится Kaspersky
Endpoint Security для Windows
— Файловые сервера и системы хранения данных— программы для защиты серверов и хранилищ.
Сюда относится, например, Kaspersky Security для Windows Server

ЗА
— Виртуальные среды— разные версии Kaspersky Security для виртуальных сред
— Мобильные устройства— программы Лаборатории Касперского для смартфонов и планшетов
Android и iOS
— Банкоматы и POS-системы — Kaspersky Embedded Systems Security

Е
— Тип обновления:

НИ
— Полный дистрибутив
— Плагин для управления
— Обновление программы

Е
АН
ТР
Р ОС
СП
РА
И

— Показывать не все обновления:


Е

— Только самые последние версии


— Обновление только к используемым программам
И

— Обновления к программам, плагины которых установлены в консоли


АН

— Язык:

— Все языки
ОВ

— Язык консоли администрирования и базовый набор языков (английский, немецкий,


французский)
— Язык консоли и еще один язык, на выбор из списка
ИР

После того, как вы примените фильтр, в окне останутся только обновления, которые удовлетворяют
условиям. Вы также можете сортировать результаты по имени, типу, языку и другим параметрам.
П
КО
О
I-99

ЕН
Часть I. Внедрение

Как узнать, что есть новые версии

Е Щ
ПР
ЗА
Е
Е НИ
АН
ТР
Kaspersky Security Center уведомляет администратора о появлении новых версий дистрибутивов. Когда это
происходит, на закладке Мониторинг узла Сервера администрирования в секции Обновление появляется
соответствующее сообщение.
ОС

3.8 Как удалять несовместимые программы


Р
СП

Какие программы несовместимые и зачем их удалять


РА
И
И Е
АН
ОВ
ИР
П
КО

Kaspersky Endpoint Security несовместим с другими средствами защиты. Перед его установкой
конфликтующие программы нужно удалить. Если этого не сделать, компьютер может работать медленно и
О
I-100 ЛАБОРАТОРИЯ КАСПЕРСКОГО™

ЕН
KL 002.11. Kaspersky Endpoint Security and Management. Базовый курс

нестабильно. В худших, хотя и редких случаях, компьютер может зависать, спонтанно перегружаться и

Щ
показывать синий экран.

Средства защиты плохо работают вместе из-за драйверов, которые они устанавливают, чтобы перехватывать

Е
операции с файлами, сетевые соединения и системные вызовы. Агент администрирования никаких
драйверов не устанавливает, поэтому со сторонними средствами защиты не конфликтует.

ПР
Как удалять несовместимые программы

ЗА
Чтобы удалить сторонние средства защиты, лучше использовать штатные средства:

— Программы со своей системой централизованного управления удаляйте через эту систему

Е
— Если это приемлемо, удаляйте сторонние средства защиты средствами Windows

НИ
Если удалить несовместимые программы штатными средствами не удается, у администратора есть два
способа сделать это с помощью Kaspersky Security Center:

Е
— Воспользоваться опцией Удалять несовместимые программы автоматически в пакете установки
Kaspersky Endpoint Security

АН
— Использовать задачу Агента администрирования: Удаленная деинсталляция программы
ТР
Опция в инсталляционном пакете включена всегда и надежно удаляет многие распространенные версии
сторонних антивирусов и сетевых экранов. Но если у вас не слишком распространенный сторонний
антивирус или свежая версия стороннего антивируса, инсталлятор Kaspersky Endpoint Security может его
пропустить.
ОС

Кроме этого, некоторые несовместимые программы инсталлятор может обнаружить, но не может удалить.
Р

Что бывает, если есть несовместимые программы


СП

Kaspersky Endpoint Security обнаружил и удалил несовместимые


РА

программы
И
И Е
АН
ОВ
ПИР
КО
О
I-101

ЕН
Часть I. Внедрение

Если инсталлятор обнаружил и удалил несовместимые программы, он потребует перезагрузить компьютер,

Щ
чтобы завершить установку Kaspersky Endpoint Security. Это единственное отличие от обычной установки.
Если на компьютере не было несовместимых программ, инсталлятор все установки без перезагрузки.

Е
Специально для таких ситуаций в задаче установки есть параметры перезагрузки. По умолчанию задача
будет показывать пользователю сообщение, что нужно перезагрузить компьютер, каждые 5 минут, и

ПР
принудительно перезагрузит компьютер через 30 минут. Все эти интервалы администратор может поменять
в свойствах задачи удаленной установки.

ЗА
Kaspersky Endpoint Security обнаружил, но не удалил несовместимые
программы

Е
Е НИ
АН
ТР
Р ОС
СП

Если при отключенном удалении в ходе установки Kaspersky Endpoint Security 11 обнаруживается
несовместимая программа, инсталлятор завершается с ошибкой. В описании ошибки сказано, что установка
РА

невозможна, пока на компьютере присутствуют несовместимые программы. Администратору предлагается


удалить конфликтующие программы и повторить попытку установки.

Если это задача, которая устанавливает Kaspersky Endpoint Security вместе с Агентом администрирования,
И

она установит Агент администрирования и только потом сообщит об ошибке. Это удобно, потому что
позволит использовать Агент, чтобы удалить несовместимую программу специальной задачей.
И Е
АН
ОВ
ИР
П
КО
О
I-102 ЛАБОРАТОРИЯ КАСПЕРСКОГО™

ЕН
KL 002.11. Kaspersky Endpoint Security and Management. Базовый курс

Kaspersky Endpoint Security не обнаружил несовместимые программы

Е Щ
ПР
ЗА
Е
Е НИ
АН
Если на компьютере есть несовместимые программы, но инсталлятор их не нашел, он завершит установку
ТР
так, как будто их нет. В этом случае администратор может не сразу узнать о том, что есть конфликт. Рано
или поздно пользователи начнут жаловаться на то, что компьютер работает медленно или со сбоями.
Выясняя в чем дело, администратор обнаружит, что на компьютере несколько средств защиты.
ОС

Как узнать, что есть несовместимые программы


Р
СП
РА
И
И Е
АН
ОВ

Узнать о том, что на компьютерах есть сторонние средства зашиты, администратор может из консоли
ИР

администрирования. Агенты администрирования посылают на Сервер списки установленных программ, и


обобщенный список находится в консоли в узле Дополнительно, Управление программами, Реестр
программ.
П

Если администратор подозревает, что в сети могут быть средства защиты других производителей, он может
поискать их в списке по имени производителя. Например, Symantec, McAfee или MalwareBytes.
КО
О
I-103

ЕН
Часть I. Внедрение

В свойствах программы администратор найдет список компьютеров, на которых она установлена. После

Щ
этого останется только ее удалить.

Для этого есть задача Агента администрирования: Удаленная деинсталляция программы. Но сразу она не

Е
поможет. Список программ, которые может удалить Агент, обычно совпадает со списком программ,
которые может удалить инсталлятор Kaspersky Endpoint Security. Этот список общий и в составе продуктов

ПР
обновляется только при выпуске новых версий или пакетов исправлений (Service pack). А новые версии и
пакеты исправлений для Kaspersky Endpoint Security и Kaspersky Security Center почти всегда выходят
одновременно.

ЗА
Как удалить неизвестные несовместимые программы

Е
Что делать

Е НИ
АН
ТР
Р ОС
СП
РА

Для каждой программы из списка есть ini-файл, в котором написано, как ее обнаруживать и как ее удалять.

Чтобы удалить программу, которой нет в списке, отправьте дистрибутив программы в службу поддержки и
И

запросите ini-файл для нее. Специалистам Лаборатории Касперского понадобится время, чтобы изучить
программу и разработать для нее ini-файл. Эта услуга доступна только для сравнительно больших клиентов.
Е

Полученный ini-файл скопируйте в папку с остальными ini-файлами на Сервере


И

администрирования: %ProgramFiles(x86)%\Kaspersky Lab\Kaspersky Security Center\Data\Cleaner. После


этого перезагрузите службу Сервера администрирования.
АН

Теперь задача Агента администрирования Удаленная деинсталляция программ сможет удалять новую
несовместимую программу. Запустите задачу, чтобы удалить все несовместимые программы на всех
компьютерах. Или, чтобы сэкономить ресурсы, сделайте выборку только тех компьютеров, на которых есть
ОВ

несовместимая программа, и запустите на них задачу деинсталляции только для этой несовместимой
программы.
ИР
П
КО
О
I-104 ЛАБОРАТОРИЯ КАСПЕРСКОГО™

ЕН
KL 002.11. Kaspersky Endpoint Security and Management. Базовый курс

Как обратиться в поддержку

Е Щ
ПР
ЗА
Е
Е НИ
АН
Чтобы обратиться в техническую поддержку, используйте портал companyaccount.kaspersky.com. Чтобы
ТР
зарегистрироваться, укажите свой почтовый ящик и лицензию: ключ или код активации.
Р ОС
СП
РА
И
И Е
АН

Чтобы запросить ini-файл, создайте новый запрос и выберите категорию Запрос в Службу Технической
поддержки.
ОВ
ПИР
КО
О
I-105

ЕН
Часть I. Внедрение

Е Щ
ПР
ЗА
Е
Е НИ
В запросе выберите

— Область — для рабочих станций


АН
— Название и версию программы — Kaspersky Endpoint Security для Windows 11.x.x.xxxx
ТР
— Тип и подтип запроса — установка и несовместимые программы

После этого опишите ситуацию и обязательно прикрепите к запросу инсталлятор сторонней программы,
ОС

которую вы хотите удалить.

Как отобрать компьютеры с несовместимой


Р

программой
СП
РА
И
И Е
АН
ОВ
ИР

Выборки компьютеров
П

Чтобы удалить несовместимые программы, нужно создать задачу деинсталляции и запустить ее на


КО

компьютерах, где эти программы обнаружены.


О
I-106 ЛАБОРАТОРИЯ КАСПЕРСКОГО™

ЕН
KL 002.11. Kaspersky Endpoint Security and Management. Базовый курс

Чтобы отобрать компьютеры с несовместимой программой, создайте выборку компьютеров (в одноименном

Щ
узле). В узле Выборки устройств есть предустановленные выборки, которые показывают проблемные
компьютеры:

Е
— Агенты обновлений
— Базы устарели

ПР
— Давно не выполнялся поиск вирусов
— Давно не подключались
— Есть необработанные объекты

ЗА
— Найдено много вирусов
— Не включена защита
— Не установлена программа защиты
— Нераспределенные устройства с Агентом администрирования

Е
— Новые устройства в сети
— Ошибки шифрования данных

НИ
— Потеряно соединение с устройством
— Устройства со статусом «Критический»
— Устройства со статусом «Предупреждение»
— Устройства со статусом «Предупреждение» и «Критический» из-за наличия уязвимостей

Е
АН
Это предустановленные выборки: их нельзя ни изменить, ни удалить. Выборки компьютеров с
несовместимыми устройствами среди них нет.

Как создать выборку


ТР

Чтобы создать выборку нажмите кнопку Дополнительно и выберите Создать выборку.


Р ОС
СП
РА
И
И Е
АН

В выборке можно искать


ОВ

— среди всех компьютеров


— только среди управляемых
— только среди нераспределенных
ИР

Нераспределенные компьютеры не передают на сервер списки установленных программ. Поэтому ищите


компьютеры с несовместимыми программами либо среди управляемых, либо среди всех.
П

По умолчанию в выборке не заданы никакие условия, и она находит все компьютеры в области поиска.
КО
О
I-107

ЕН
Часть I. Внедрение

Параметры выборки

Е Щ
ПР
ЗА
Е
Е НИ
АН
Чтобы найти компьютеры с несовместимой программой, измените ее условия.
ТР

По умолчанию в каждой выборке есть одно макроусловие с множеством микроусловий. Все микроусловия в
макроусловии объединяются логическим И. Макроусловия между собой объединяются логическим ИЛИ.
ОС

Чтобы найти компьютеры с одной несовместимой программой, достаточно одного макроусловия. Откройте
его свойства и перейдите в раздел Реестр программ. Выберите имя искомой программы в списке Имя
несовместимого средства защиты. Сохраните условие и выборку. В результате выборка будет содержать
Р

только компьютеры, где обнаружена эта программа.


СП

Чтобы отобразить в одной выборке компьютеры с разными несовместимыми программами, добавьте


макроусловия и выберите в них остальные несовместимые программы.
РА
И
И Е
АН
ОВ
ИР
П
КО
О
I-108 ЛАБОРАТОРИЯ КАСПЕРСКОГО™

ЕН
KL 002.11. Kaspersky Endpoint Security and Management. Базовый курс

Как удалить несовместимые программы задачей

Е Щ
Где в консоли создавать задачи

ПР
ЗА
Е
Е НИ
АН
ТР
ОС

Теперь создайте для этой выборки задачу деинсталляции. Для этого запустите мастер создания задачи в узле
Задачи, и на шаге выбора компьютеров укажите созданную выборку. Такая задача при каждом запуске
будет проверять текущее содержимое выборки и обновлять свой список целевых компьютеров
соответствующим образом.
Р
СП

Типы задач
РА
И
И Е
АН
ОВ
ИР

Мастер создания показывает все задачи, которые вы можете создать. Каждый плагин, установленный в
консоли, добавляет к списку задачи того или иного приложения. После стандартной установки Сервера
П

администрирования вы сможете создавать задачи для Kaspersky Security Center и Kaspersky Endpoint Security
11. Задача удаленной установки и задача деинсталляции — это задачи Kaspersky Security Center.
КО
О
I-109

ЕН
Часть I. Внедрение

Для удаления несовместимых программ выберите тип задачи Сервер администрирования Kaspersky

Щ
Security Center 10 \ Дополнительно \ Удаленная деинсталляция программы в мастере создания задачи.

Е
Подтипы задачи деинсталляции

ПР
ЗА
Е
Е НИ
АН
ТР
ОС

Эта задача используется в различных сценариях, связанных с удалением программ и обновлений к ним:

— Удалить несовместимые программы


— Удалить установленные программы Лаборатории Касперского (например, чтобы переустановить)
Р

— Удалить программы из реестра программ (обычно нужно знать команду деинсталляции)


— Удалить обновление или программу из базы сторонних программ (см. курс KL 009)
СП

В данном случае выберите Удалить несовместимую программу.


РА

Выбор программы
И
И Е
АН
ОВ
ИР
П
КО

После этого укажите имя несовместимой программы, которую нужно удалить. Потенциально можно указать
несколько программ для удаления или даже все программы из поддерживаемого списка. Выбор больше чем
О
I-110 ЛАБОРАТОРИЯ КАСПЕРСКОГО™

ЕН
KL 002.11. Kaspersky Endpoint Security and Management. Базовый курс

одной программы для деинсталляции увеличивает время выполнения задачи, поскольку задача

Щ
последовательно выполняет сценарии удаления для всех программ из списка.

Е
Параметры перезагрузки

ПР
ЗА
Е
Е НИ
АН
ТР
ОС

Выбор компьютеров

В задаче деинсталляции есть параметры перезагрузки компьютера. Для завершения деинсталляции


Р

перезагрузка часто нужна. По умолчанию предлагается вывести запрос на перезагрузку на экран


компьютера и оставить решение за пользователем. Чтобы пользователь не тянул с решением, запрос
СП

повторяется несколько раз с интервалом в 5 минут, а спустя 30 минут выполняется форсированная


перезагрузка.
РА

Администратор может изменить значения всех интервалов и текст запроса. Она также может включить
немедленную форсированную перезагрузку, однако в этом случае возникает риск потери пользовательских
данных. Другая альтернатива — просто ждать, пока компьютер не будет перезагружен в ходе естественной
эксплуатации. В этом случае задача может завершиться только к следующему утру.
И
И Е
АН
ОВ
ПИР
КО
О
I-111

ЕН
Часть I. Внедрение

Наконец, выберите компьютеры для задачи. Доступны следующие варианты выбора:

Щ
— Отметить компьютеры в группе Управляемые устройства и в узле Нераспределенные устройства
— Набрать на клавиатуре имена или адреса компьютеров

Е
— Указать имя группы компьютеров
— Указать имя выборки компьютеров

ПР
Последняя опция удобна, когда компьютеры можно сравнительно легко описать набором условий.
Например, компьютеры, на которых обнаружены несовместимые программы.

ЗА
Учетная запись

Е
Е НИ
АН
ТР
Р ОС
СП

Еще мастер создания задачи запрашивает у администратора учетную запись. В описываемом сценарии
учетную запись задавать не нужно, т.к. на компьютерах уже есть Агент администрирования, который
РА

загрузит и выполнит задачу деинсталляции от имени локальной системы. Учетную запись нужно задавать,
только если задача будет выполняться на компьютерах без Агента администрирования, либо на
компьютерах, где Агент администрирования не имеет прав администратора. И тот, и другой случай
встречается редко.
И
И Е
АН
ОВ
ИР
П
КО
О
I-112 ЛАБОРАТОРИЯ КАСПЕРСКОГО™

ЕН
KL 002.11. Kaspersky Endpoint Security and Management. Базовый курс

Завершение мастера

Е Щ
ПР
ЗА
Е
Е НИ
АН
На последних шагах мастера нужно выбрать расписание, имя задачи и, может быть, сразу запустить задачу.
ТР
Задачу деинсталляции достаточно выполнить один раз.

После удаления сторонних программ, внедрение Kaspersky Endpoint Security можно выполнить мастером
ОС

удаленной установки или задачей удаленной установки, которую можно создать с помощью мастер в узле
Задачи. Параметры задачи удаленной установки практически такие же, как и в мастере удаленной
установки.
Р
СП
РА
И
И Е
АН
ОВ

По умолчанию мастер предлагает имя задачи, которое совпадает с типом задачи: Удаленная
деинсталляция программы. Если вы удаляете одну программу, укажите ее имя в имени задачи. Так вам
ИР

будет проще понимать в будущем, нужна еще эта задача, или ее можно удалить.

На последнем шаге мастер позволяет запустить задачу немедленно. Часто это именно то, что вы и так
П

собираетесь сделать. Чтобы запустить задачу, включите опцию Запустить задачу после завершения
работы мастера.
КО
О
I-113

ЕН
Часть I. Внедрение

Глава 4. Как организовать компьютеры в

Щ
группы

Е
ПР
4.1 Как понять, что внедрение закончилось

ЗА
Е
Теперь вы знаете все, что нужно, чтобы установить защиту на всех компьютерах сети:

НИ
— Как выбрать компоненты и параметры установки Kaspersky Endpoint Security
— Как установить Kaspersky Endpoint Security и Агент администрирования удаленно
— Как установить Kaspersky Endpoint Security и Агент администрирования средствами Active Directory

Е
— Как создать автономный пакет для локальной установки
— Как создать несколько разных пакетов с разными параметрами

АН
Как установить на обнаруженные и необнаруженные компьютеры

К этому списку полезно добавить инструменты мониторинга:


ТР

— Как понять, какие программы установлены на каких компьютерах


— Как понять, что установка в сети закончилась
ОС

Для этого можно использовать результаты задач установки, а также отчеты, выборки компьютеров и
выборки событий.
Р

Где искать информацию о внедрении


СП
РА
И
И Е
АН
ОВ
ИР

Результаты задачи или просмотр группы Управляемые устройства не обязательно дают полную
информацию о развертывании защиты в сети. Внедрение одной задачей на все компьютеры характерно
П

только для небольших сетей, как и управление всеми компьютерами, используя только одну группу.
КО
О
I-114 ЛАБОРАТОРИЯ КАСПЕРСКОГО™

ЕН
KL 002.11. Kaspersky Endpoint Security and Management. Базовый курс

Для составления полной картины, естественным источником информации являются отчеты. На стадии

Щ
внедрения полезны отчеты:

— Отчет о несовместимых программах

Е
— Отчет о версиях программ Лаборатории Касперского
— Отчет о развертывании защиты

ПР
Кроме этого полезными инструментами на этапе внедрения являются выборки:

ЗА
— Новые устройства в сети
— Не установлена программа защиты
— Нераспределенные устройства с Агентом администрирования

Е
Общие статусы

Е НИ
АН
ТР
Р ОС
СП
РА

Информация о развертывании защиты есть и на закладке Мониторинг Сервера администрирования. В


секции Развертывание приводится количество управляемых компьютеров, не оснащенных Kaspersky
Endpoint Security. Если их больше нуля, отображается ссылка на выборку всех таких компьютеров.
И

Если в узле Нераспределенные устройства есть компьютеры с установленным Агентом


администрирования, это отражается в области Структура управления, со ссылкой на соответствующую
Е

выборку компьютеров.
И

Выборки устройств
АН

Компьютеры с Агентом администрирования должны быть в узле Управляемые устройства. Если они
ОВ

находятся в узле Нераспределенные устройства, они не посылают события на Сервер администрирования


и не получают с Сервера задачи и политики.

Поэтому Сервер администрирования показывает такие компьютеры на экране мониторинг и в


ИР

соответствующей выборке.
П
КО
О
I-115

ЕН
Часть I. Внедрение

Отчеты

Е Щ
Где искать отчеты

ПР
Отчеты доступны через узел Сервера администрирования на закладке Отчеты.

ЗА
Отчет об установленных программах

Е
Е НИ
АН
ТР
Р ОС
СП

Отчет о версиях установленных программ показывает количество установленных экземпляров программ


Лаборатории Касперского на управляемых компьютерах. В частности, количество установленных Агентов
администрирования, Серверов администрирования и экземпляров Kaspersky Endpoint Security.
РА

Различные версии (сборки) продуктов учитываются отдельно, что удобно при переходе на новую версию. В
отчете хорошо видно, сколько компьютеров уже используют актуальные версии программ, а сколько — еще
старые.
И

Графическая часть отчета является визуализацией таблицы статистики, которая перечисляет разные версии
управляемых продуктов и количество установок каждой из них.
Е

Таблица детализации приводит информацию по каждому компьютеру: какие продукты установлены, каких
И

версий и т.д.
АН
ОВ
ИР
П
КО
О
I-116 ЛАБОРАТОРИЯ КАСПЕРСКОГО™

ЕН
KL 002.11. Kaspersky Endpoint Security and Management. Базовый курс

Отчет о развертывании защиты

Е Щ
ПР
ЗА
Е
Е НИ
АН
Этот отчет делит компьютеры на три категории:
ТР

— Компьютеры с Агентом и средствами защиты


— Компьютеры с Агентом, но без средств защиты
ОС

— Компьютеры без Агента

Компьютеры со средствами защиты, но без Агента попадают в последнюю категорию. Если Агент не
установлен, Сервер администрирования не знает, есть ли на компьютере средства защиты. В эту же
Р

категорию попадают компьютеры, на которых Агент установлен, но не подключен к Серверу


СП

администрирования. Например, компьютеры, где Агенты используют неправильный адрес Сервера.

Диаграмма и статистическая таблица приводят число компьютеров в каждой из категорий. Таблица


детализации, как и в отчете о версиях установленных программ, приводит версию Агента и Kaspersky
РА

Endpoint Security на каждом из компьютеров.

Этот отчет особенно удобен, если для внедрения администратор сначала перенес все компьютеры в группу
управляемых, а потом начал внедрение с использованием задач. В этом случае отчет явно показывает,
И

сколько еще управляемых компьютеров не подключено к Серверу, и сколько из подключенных еще не


защищены Kaspersky Endpoint Security.
Е

Если для внедрения администратор использует мастер удаленной установки, и каждый раз выбирает
И

компьютеры из нераспределенных, этот отчет оказывается менее полезным. Информация о


нераспределенных компьютерах в отчет не включена.
АН
ОВ
ПИР
КО
О
I-117

ЕН
Часть I. Внедрение

4.2 Как сервер администрирования ищет

Щ
компьютеры

Е
ПР
Виды опросов

ЗА
Е
Е НИ
АН
ТР
Р ОС

В ходе работы мастера удаленной установки или при создании задачи установки администратор имеет
СП

возможность выбирать компьютеры из некоторого списка. Этот список формируется Сервером


администрирования путем опроса сети. Опрос осуществляется периодически несколькими разными
способами:
РА

— Опросом сети Microsoft


— Опросом Active Directory
— Опросом IP-подсетей
Сеть опрашивает не служба Сервера администрирования, а служба Агента администрирования,
И

установленная на сервере администрирования. Агенты администрирования на обычных компьютерах сеть


не опрашивают.
И Е

Где настроить опросы


АН

Результаты опроса отображаются в узле Дополнительно \ Опрос сети отдельно для каждого метода
обнаружения:
ОВ

— Домены — компьютеры, обнаруженные в ходе опроса сети Windows; рабочие группы и домены
представлены папками, в которых содержатся компьютеры
ИР

— Active Directory — домены и организационные подразделения представлены папками, в которых


содержатся компьютеры
П

— IP-диапазоны — папками представлены IP-подсети


КО

В упрощенном виде найденные компьютеры отображаются в узле верхнего уровня Нераспределенные


устройства.
О
I-118 ЛАБОРАТОРИЯ КАСПЕРСКОГО™

ЕН
KL 002.11. Kaspersky Endpoint Security and Management. Базовый курс

Один компьютер может отображаться в нескольких представлениях. Если компьютер обнаружен в домене

Щ
HQ и его адрес 192.168.0.1, его будет видно и в узле Домены, и в узле IP-диапазоны в соответствующих
папках.

Е
Администратор может изменить параметры опроса каждым из способов. Для этого нужно перейти на экран
узла Дополнительно \ Опрос сети и воспользоваться командой Настроить параметры опроса в нужном

ПР
разделе. На этом же экране он может запустить любой из опросов вручную.

Опрос сети Windows

ЗА
Что делает быстрый опрос

Е
Е НИ
АН
ТР
Р ОС
СП

Сервер администрирования собирает списки компьютеров сети Windows точно так же, как это делает сама
РА

операционная система. Когда пользователь открывает на компьютере сетевое окружение, он видит список
соседних компьютеров, сгруппированных в домены и рабочие группы. Точно такой же список может
получать и Сервер администрирования.
И

Этот способ опроса называется быстрым опросом сети Windows. В ходе такого сканирования Сервер
практически не создает нагрузки на сеть. За составление и предоставление списка компьютеров отвечает
служба Computer Browser. В каждом сегменте сети есть главный компьютер, хранящий общий список и
Е

предоставляющий его по запросу. Чтобы получить список, Серверу администрирования достаточно послать
И

один запрос.
АН

В версиях Windows Vista/Server 2008 и новее служба Обозреватель компьютеров по умолчанию отключена.
Если Сервер администрирования не может получить список компьютеров от службы Обозреватель
компьютеров, он выполняет запрос в Active Directory и пытается получить список компьютеров оттуда.
Конечно, при условии, что Сервер администрирования входит в домен Active Directory.
ОВ

Быстрый опрос выполняется раз в 15 минут. В результате быстрого опроса Сервер получает список
NetBIOS-имен компьютеров, доменов и рабочих групп.
ПИР
КО
О
I-119

ЕН
Часть I. Внедрение

Что делает полный опрос

Е Щ
ПР
ЗА
Е
Е НИ
АН
При полном опросе Сервер администрирования пытает получить как можно больше информации о каждом
ТР
компьютере из результатов быстрого опроса.

Для каждого имени, Сервер выполняет разрешение имени в IP-адрес, используя протоколы NetBIOS, DNS и
ОС

LLMNR. Для полученных адресов сервер выполняет обратное разрешение в имя, и, если имя не совпадает с
исходным, получает IP-адрес для нового имени.
Сервер проверяет, доступны ли IP-адреса, с помощью ICMP-запросов, и в конце пытается соединиться с
Р

компьютерами по протоколам SMB и RPC, чтобы выяснить операционную систему.


СП

Все эти многочисленные запросы нужны, чтобы учесть, что имена и адреса компьютеров могут меняться. С
помощью прямых и обратных проверок имен и IP-адресов Сервер администрирования отличает новые
компьютеры в сети от старых компьютеров, которые просто поменяли имя или IP-адрес.
РА

Поскольку количество запросов пропорционально количеству компьютеров, сетевая активность при полном
опросе заметно выше, чем при быстром. Как следствие период такого опроса по умолчанию составляет 60
минут.
И

Как сервер отображает результаты опроса


И Е

В результатах опроса Сервер показывает все, что смог выяснить о компьютере: его имя, адрес,
операционную систему и т.д.
АН
ОВ
ИР
П
КО
О
I-120 ЛАБОРАТОРИЯ КАСПЕРСКОГО™

ЕН
KL 002.11. Kaspersky Endpoint Security and Management. Базовый курс

Параметры опроса сети Windows

Е Щ
ПР
ЗА
Е
Е НИ
АН
Для каждого типа опроса администратор может:
ТР

— Включить или выключить опрос вообще


— Включить или выключить опрос для части сети (что такое часть сети, зависит от типа опроса)
ОС

— Выбрать расписание опроса


— Выбрать, когда данные опроса устаревают

Расписание опроса определяется временем начала и интервалом. Интервал можно задать в минутах, часах,
Р

днях и даже неделях. Также можно включить запуск пропущенных опросов. При частом опросе это вряд ли
СП

потребуется, но не будет лишним, если опрос выполняется раз в неделю или раз в месяц.
РА
И
И Е
АН
ОВ
ИР

Кроме того, для опроса сети Windows администратор может указать время жизни информации о найденных
компьютерах. По умолчанию этот период составляет 7 дней. Если в течение семи дней найденный ранее
П

компьютер не обнаруживается при опросе сети Windows, информация о нем удаляется из базы данных
Сервера.
КО
О
I-121

ЕН
Часть I. Внедрение

Этот интервал можно задать независимо для каждого домена или рабочей группы. Или же можно задать

Щ
общее время жизни и использовать его для всей сети Windows.

Кроме этого в свойствах домена или рабочей группы можно отключить опрос только для этого участка сети.

Е
ПР
Опрос Active Directory

ЗА
Что делает опрос Active Directory

Е
Е НИ
АН
ТР
Р ОС
СП

Сервер администрирования запрашивает в Active Directory структуру контейнеров (подразделений) и списки


компьютеров в каждом из них.

Кроме этого, Сервер администрирования запрашивает список пользователей и групп безопасности. В этом
РА

курсе мы не касаемся того, как использовать пользователей AD. Смотрите курсы KL 010 и KL 302

В большой сети общий объем всех списков (компьютеров, пользователей, групп) может быть большим,
поэтому по умолчанию опрос Active Directory выполняется раз в 60 минут.
И
И Е
АН
ОВ
ИР
П
КО
О
I-122 ЛАБОРАТОРИЯ КАСПЕРСКОГО™

ЕН
KL 002.11. Kaspersky Endpoint Security and Management. Базовый курс

Параметры опроса Active Directory

Е Щ
ПР
ЗА
Е
Е НИ
АН
Параметры опроса для Active Directory похожи на параметры опроса сети Windows. Есть возможность
ТР
полностью отключить этот метод опроса, и есть настройки расписания опроса, если опрос включен.

Явно заданного времени жизни у полученных данных нет. Каждый следующий опрос заменяет результаты
ОС

предыдущего:

— добавляет недостающие подразделения и компьютеры


— удаляет компьютеры и подразделения, которых больше нет в Active Directory
Р
СП

В дополнительных параметрах опроса администратор может выбрать область сканирования:

— Домен, куда входит Сервер администрирования (выбрано по умолчанию)


— Весь лес доменов, куда входит Сервер администрирования
РА

— Явно заданный список доменов

Чтобы добавить домен для опроса, нужно указать адрес контроллера домена, а также имя и пароль учетной
записи для доступа к нему.
И

Опрос отдельных подразделений можно отключить в свойствах этих подразделений.


Е

После того, как администратор меняет область опроса, после следующего опроса Сервер показывает только
И

содержимое новой области. Например, если администратор отключил сканирование подразделения, после
очередного опроса этого Сервер администрирования удалит всю информацию о содержимом этого
АН

подразделения из своей базы данных. Точно так же, если ранее Сервер сканировал несколько доменов и
администратор удалили один из доменов из списка, после следующего опроса Сервер удали все данные
этого домена из базы.
ОВ
ПИР
КО
О
I-123

ЕН
Часть I. Внедрение

Опрос IP-подсетей

Е Щ
Что делает опрос IP-подсетей

ПР
ЗА
Е
Е НИ
АН
ТР
ОС

Опрос IP-диапазонов работает почти так же, как полный опрос сети Windows. Но исходный список
компьютеров — это не результаты быстрого опроса, а список IP-адресов из заданных администратором IP-
диапазонов.
Р

Каждый адрес сервер пытается разрешить в имя, имя опять в адрес, проверяет, отвечает ли адрес на запросы
ICMP ECHO REQUEST и т.д.
СП

Чтобы выяснить тип устройства, Сервер также отправляет SNMP-запросы.

В результаты опроса попадают только те компьютеры, которые ответили на ICMP-запрос.


РА

Параметры опроса IP-подсетей


И
И Е
АН
ОВ
ИР
П
КО
О
I-124 ЛАБОРАТОРИЯ КАСПЕРСКОГО™

ЕН
KL 002.11. Kaspersky Endpoint Security and Management. Базовый курс

Исходно IP-диапазоны для опроса Сервер администрирования берет из сетевых настроек компьютера, на

Щ
котором установлен. Если адрес компьютера 192.168.0.1 и маска подсети 255.255.255.0, Сервер
администрирования автоматически включит сеть 192.168.0.0/24 в список сканируемых и проведет опрос
всех адресов от 192.168.0.1 до 192.168.0.254.

Е
Параметры опроса IP-диапазонов включают список опрашиваемых IP-подсетей, разрешающий флаг и

ПР
расписание. Если включить этот тип опроса, интервалом по умолчанию будет 420 минут (7 часов). Время
жизни результатов опроса по умолчанию составляет 24 часа. Если IP-адрес не подтверждается опросами в
течение суток, он удаляется из базы. Такой короткий период жизни пытается учесть динамические IP-адреса

ЗА
(полученные по протоколу DHCP), которые могут меняться часто. При изменении настроек главное, чтобы
время хранения информации не было меньше интервала опроса.

Как добавить сеть для опроса

Е
Е НИ
АН
ТР
Р ОС
СП
РА

Чтобы опрашивать подсети, в которые Сервер администрирования не входит, их нужно добавить в список
вручную. Задать подсеть можно либо ее адресом и маской, либо начальным и конечным IP-адресом, как IP-
диапазон. Кроме этого нужно указать имя создаваемой подсети.
И
И Е
АН
ОВ
ПИР
КО
О
I-125

ЕН
Часть I. Внедрение

Как изменить диапазоны в IP-подсети

Е Щ
ПР
ЗА
Е
Е НИ
АН
Под одним именем можно объединить несколько разных IP-диапазонов. Дополнительные диапазоны
ТР
настраиваются в свойствах подсети. Именованные подсети не могут пересекаться друг с другом. Диапазоны
внутри одной подсети пересекаться могут.
ОС

Разрешать и отключать сканирование можно независимо для каждой подсети.

Где следить за ходом опросов сети


Р
СП
РА
И
И Е
АН
ОВ
ИР

При выполнении опроса сети на экране узла Дополнительно \ Опрос сети отображается прогресс опроса.
Более подробная информация доступна в статистике Сервера администрирования (свойства Сервера
администрирования: Дополнительно \ Статистика работы Сервера администрирования). Из статистики
можно узнать время последнего опроса каждым из методов, прогресс выполнения опроса в процентах и имя
П

опрашиваемого домена при опросе сети Microsoft.


КО
О
I-126 ЛАБОРАТОРИЯ КАСПЕРСКОГО™

ЕН
KL 002.11. Kaspersky Endpoint Security and Management. Базовый курс

Как узнать, что Сервер нашел новые компьютеры

Е Щ
ПР
ЗА
Е
Е НИ
АН
ТР
Администратор может настроить уведомление о событии обнаружения новых компьютеров в сети. Событие
находится в свойствах Сервера администрирования и администратору нужно просто включить в его
параметрах отправку почтового сообщения.
ОС

Чтобы получать уведомления о новых компьютерах, откройте раздел Настройка событий в свойствах
Сервера администрирования. Найдите событие Найдено новое устройство в разделе Информационное
сообщение. Откройте свойства события и включите флаг Уведомлять по электронной почте.
Р

Для доставки уведомлений Сервер использует параметры, которые вы задачи в мастере первоначальной
СП

настройки, когда устанавливали Сервер администрирования. Если вы не уверены, что указали верные
параметры, проверьте их в разделе Параметры доставки уведомлений в окне свойств Сервера.
РА
И
И Е
АН
ОВ
ПИР
КО
О
I-127

ЕН
Часть I. Внедрение

4.3 Как создать или импортировать группы

Е Щ
ПР
Зачем создавать группы

ЗА
Е
Е НИ
АН
ТР
ОС

После установки на Сервере администрирования есть только одна группа — Управляемые устройства.
При такой организации администратор вынужден использовать одну политику защиты и общее расписание
Р

задач для всех компьютеров, что не всегда удобно.


СП

Даже в небольших сетях бывает удобно или даже необходимо использовать разные настройки защиты для
серверов и пользовательских компьютеров. А в крупных сетях, где разные группы пользователей
используют разные специализированные программы, возможность создавать политики с разными
РА

исключениями для разных пользователей очень удобна. А для того, чтобы применять разные политики,
нужно поместить компьютеры в разные группы. 7

С практической точки зрения бывает удобно, когда компьютеры в Kaspersky Security Center организованы в
И

такие же группы, как и в Active Directory, или в группы, соответствующие IP-подсетям, используемым в
организации. Так администратору проще понимать, где расположен компьютер, чтобы послать к нему
сотрудника ИТ-департамента.
Е

Есть и другие примеры использования групп. Нередко, особенно в больших сетях, администраторы создают
И

группы для организации процесса внедрения. Компьютеры без Агента и средств защиты помещают в группу
Deploy Agent, где создана задача автоматической установки Агента администрирования. Компьютеры с
АН

установленным Агентом перемещают в группу Remove Incompatible Apps, где созданы задачи удаления
несовместимых программ. Компьютеры без несовместимых программ перемещают в группу Deploy KES,
где создана задача автоматической установки Kaspersky Endpoint Security. Наконец, полностью защищенные
ОВ

компьютеры перемещают в постоянную структуру управления.


ИР
П
КО

7
Начиная с Kaspersky Security Center 10 Service Pack 1 есть возможность применять разные профили настроек к компьютерам в
одной группе. Эта тема раскрыта в курсе KL 302
О
I-128 ЛАБОРАТОРИЯ КАСПЕРСКОГО™

ЕН
KL 002.11. Kaspersky Endpoint Security and Management. Базовый курс

Как добавить группу

Е Щ
ПР
ЗА
Е
Е НИ
АН
ТР
Группы в Консоли администрирования создаются так же просто как папки в Обозревателе Windows. Первые
группы создаются прямо в узле Управляемые устройства. Последующие группы можно создавать там же
или в созданных ранее группах.
ОС

В терминах интерфейса Консоли администрирования, чтобы создать новую группу можно воспользоваться
любым из следующих способов:
Р

— Выбрать узел Управляемые устройства или существующую группу и нажать кнопку Создать
группу на закладке Устройства экрана управления группой
СП

— Вызвать контекстное меню узла Управляемые устройства или существующей группы и выбрать
Создать, Группу
РА

В открывшемся окне нужно ввести имя группы, после чего она появится в виде подпапки в структуре
управляемых компьютеров. Каждая такая папка группы (в дальнейшем просто группа) содержит закладки
для отображения входящих в группу компьютеров, групповых задач и политик.
И

Если созданная ранее группа больше не нужна, ее можно удалить. Для этого должно выполняться одно
требование — в группе, с учетом возможных подгрупп, не должно быть компьютеров. Это обычно и
Е

означает, что группа не нужна.


И

Группы можно перемещать внутри структуры управляемых компьютеров. Например, если структура групп
отражает территориальное расположение компьютеров и отдел кадров переехал из корпуса 1 в корпус 2,
АН

подгруппу отдела кадров вместе со всеми компьютерами можно легко переместить из группы корпуса 1 в
группу корпуса 2. Для этого нужно использовать привычные по работе с файлами методы cut’n’paste и
drag’n’drop.
ОВ
ПИР
КО
О
I-129

ЕН
Часть I. Внедрение

Как добавить компьютеры в группу

Е Щ
ПР
ЗА
Е
Е НИ
АН
ТР
В Консоли администрирования перемещать компьютеры можно любым из следующих способов:

— Drag’n’drop — выбрать компьютер в структуре управляемых или нераспределенных компьютеров и


ОС

перетащить его мышью в нужную группу. Так можно перемещать и несколько компьютеров сразу

— Cut’n’paste —же самое, только выбранные компьютеры нужно вырезать (через контекстное меню
или комбинацию клавиш Ctrl+X) и затем вставить в нужную группы (опять же через контекстное
Р

меню или комбинацию клавиш Ctrl+V)


СП

— Выделить один или несколько компьютеров в узле Нераспределенные устройства или в любой
выборке компьютеров (внутри групп этот метод не работает), вызвать контекстное меню и выбрать
команду Переместить в группу, после чего указать нужную группу
РА

Мастер добавления компьютеров


И
И Е
АН
ОВ
ИР
П
КО
О
I-130 ЛАБОРАТОРИЯ КАСПЕРСКОГО™

ЕН
KL 002.11. Kaspersky Endpoint Security and Management. Базовый курс

Вы можете также выбрать нужную группу и запустить мастер добавления компьютеров с помощью ссылки

Щ
Переместить устройства в группу на закладке Устройства. В мастере перемещения компьютеры можно
выбирать из результатов опроса или задавать их имена или адреса вручную.

Е
ПР
ЗА
Е
Е НИ
АН
ТР

Если в мастере указать имя или адрес компьютера, которого нет в результатах опроса на Сервере
администрирования, мастер сообщит, что добавить компьютер нельзя.
ОС

Если компьютер в сети есть, но не обнаруживается — например, локальный брандмауэр разрешает только
исходящие соединения — на него нужно установить Агент администрирования. При подключении Агента к
Серверу компьютер всегда добавляется в базу и появляется в результатах опроса сети.
Р
СП

Как импортировать структуру групп


РА
И
И Е
АН
ОВ
ИР

Если сеть большая и планируемая структура управляемых компьютеров предполагает большое количество
П

групп, создание такой структуры вышеописанными методами может оказаться весьма трудоемкой задачей.
Иногда проще импортировать структуру групп из результатов опроса сети или из тестового файла.
КО
О
I-131

ЕН
Часть I. Внедрение

Нередко бывает, что администратор хочет организовать управляемые компьютеры точно так же, как

Щ
организована его сеть — чтобы компьютеры были разбиты на такие же рабочие группы или домены и
подразделения. Для этого администратор может воспользоваться функцией импорта структуры.

Е
Импортировать можно структуру Windows-сети, структуру Active Directory и структуру, заданную
текстовым файлом. В первых двух случаях импортировать можно или структуру целиком — группы с

ПР
компьютерами, или только группы. При импорте структуры из текстового файла создаются только группы.

Импорт компьютеров затрагивает только нераспределенные компьютеры. Если часть компьютеров

ЗА
импортируемой рабочей группы или подразделения Active Directory уже находится в одной из групп
управляемых компьютеров, в результате работы мастера они свое расположение не изменят.

Чтобы запустить мастер, нужно в контекстном меню группы Управляемые устройства выбрать команду

Е
Все задачи, Создать структуру групп. В мастере нужно последовательно указать, какую структуру
импортировать, и в какую группу. При импорте структуры Windows-сети или Active Directory можно

НИ
отказаться от импорта компьютеров.

Е
АН
ТР
Р ОС
СП
РА

Структура Windows-сети и структура, заданная текстовым файлом импортируются целиком. При импорте
структуры Active Directory можно выбрать, какой домен или какое подразделение импортировать. Соседние
домены и подразделения будут проигнорированы.
И
И Е
АН
ОВ
ИР
П
КО
О
I-132 ЛАБОРАТОРИЯ КАСПЕРСКОГО™

ЕН
KL 002.11. Kaspersky Endpoint Security and Management. Базовый курс

Мастер создания структуры предназначен для облегчения первоначального создания структуры

Щ
управляемых компьютеров. Он не предназначен для регулярной синхронизации структуры в Kaspersky
Security Center, например, с Active Directory. Если стоит задача синхронизации, ее можно решить при
помощи правил переноса компьютеров.

Е
ПР
ЗА
Е
Е НИ
АН
ТР

Текстовый файл для импорта нужно готовить вручную. Каждая группа или подгруппа задается отдельной
ОС

строкой. Подгруппы задаются полным путем через «\», например:

Офис1\Подразделение1\Отдел1
Офис1\Подразделение1\Отдел2
Р

Офис2
Офис3\Подразделение1
СП

Если в полном пути подгруппы есть еще не созданные группы, они автоматически создаются.
РА

Созданные при импорте группы ничем не отличаются от созданных вручную. Их можно переименовывать,
перемещать, удалять и т. д.
И
И Е
АН
ОВ
ПИР
КО
О
I-133

ЕН
Часть I. Внедрение

4.4 Как автоматически добавлять компьютеры в

Щ
группы

Е
ПР
Правила перемещения компьютеров

ЗА
Е
Е НИ
АН
ТР
Р ОС

Если группы в Kaspersky Security Center соответствуют IP-подсетям или подразделениям Active Directory,
СП

администратор может легко автоматизировать распределение компьютеров по группам. Для этого


существуют правила перемещения компьютеров.

Список правил перемещения доступен через узел Нераспределенные устройства и через узел
РА

Дополнительно \ Опрос сети. Его можно открыть:

— командой Свойства в контекстном меню любого из узлов


И

— кнопкой Настроить правила в узле Нераспределенные устройства

— ссылкой Настроить правила перемещения компьютеров в группы администрирования внизу


Е

экрана управления узлом Дополнительно \ Опрос сети


И
АН
ОВ
ИР
П
КО
О
I-134 ЛАБОРАТОРИЯ КАСПЕРСКОГО™

ЕН
KL 002.11. Kaspersky Endpoint Security and Management. Базовый курс

Правила, созданные задачами

Е Щ
ПР
ЗА
Е
Е НИ
АН
ТР
Р ОС
СП
РА
И
Е

В ряде сценариев Kaspersky Security Center автоматически создает правила перемещения компьютеров.
И

Например, когда администратор в мастере удаленной установки или при создании автономного пакета
выбирает перемещать нераспределенные компьютеры в группу, Сервер администрирования для выполнения
АН

этой операции создает правило перемещения. Эти правила можно увидеть в списке и можно отключить, но
нельзя удалить или отредактировать. Сервер удаляет их автоматически при удалении породившей их задачи
или автономного пакета.
ОВ
ПИР
КО
О
I-135

ЕН
Часть I. Внедрение

Настройки правил перемещения

Е Щ
ПР
ЗА
Е
Е НИ
АН
ТР
Правило перемещения состоит из следующих естественных настроек:

— Что перемещать — набор условий, который применяется к компьютерам, чтобы решить, нужно их
ОС

перемещать или нет

— Куда перемещать — имя группы в структуре управляемых компьютеров, куда будут перемещаться
компьютеры, удовлетворяющие условиям правила
Р

— Когда перемещать — при каких условиях правило будет применено автоматически


СП

При создании правила нужно выбрать ему имя. Лучше, чтобы оно отражало суть правила, поскольку в
списке видны только имена. Также нужно выбрать группу назначения — куда перемещать.
РА

Когда применяются правила


И

После этого нужно решить, когда применять правило к компьютерам. Есть три возможности:

— Один раз для каждого устройства — в момент включения такое правило применяется ко всем
Е

компьютерам в базе Сервера, после чего применяется к каждому новому компьютеру при его
И

обнаружении
АН

— Один раз для каждого устройства и после каждой переустановки Агента — отличается от
предыдущего тем, что если на каком-то компьютере Агент был переустановлен, правило
применяется к нему повторно
ОВ

— Постоянно — правило действует перманентно, если удовлетворяющий правилу компьютер


переместить в другую группу, Сервер администрирования тут же вернет его на место согласно
правилу. Или если атрибуты компьютера изменились, постоянно действующее правило на это
отреагируют, а однократное — нет.
ИР

Правила, которые Сервер администрирования создает автоматически для задач установки и автономных
пакетов, применяются в режиме Один раз для каждого устройства и после каждой переустановки
П

Агента.
КО

На практике постоянно действующие правила могут быть удобнее, но сопряжены с постоянной загрузкой
вычислительных ресурсов Сервера администрирования.
О
I-136 ЛАБОРАТОРИЯ КАСПЕРСКОГО™

ЕН
KL 002.11. Kaspersky Endpoint Security and Management. Базовый курс

Условия в правилах перемещения

Е Щ
Перемещать управляемые компьютеры

ПР
Остальные настройки правила задают условия, которым должен удовлетворять компьютер, чтобы правило
на него подействовало. Первое такое условие находится в разделе Общие и называется Перемещать
только устройства, не размещенные в группах администрирования.

ЗА
С этой опцией правило — даже постоянного действия — не будет мешать администратору вручную
перемещать компьютеры между группами. Оно затронет только нераспределенные компьютеры. Чтобы
применить такое правило к отдельному компьютеру, уже находящемуся в группе, достаточно компьютер из

Е
группы удалить. При удалении из структуры управляемых компьютеров компьютер снова становится

НИ
нераспределенным и попадает под действие правила.

Без опции Перемещать только устройства, не размещенные в группах администрирования правило


действует на все компьютеры в базе и намертво привязывает компьютеры к назначенной им группе.

Е
Впрочем, намертво только в том смысле, что их нельзя переместить в другую группу. Удалить их из базы
Сервера администрирования можно без препятствий.

АН
Остальные условия расположены в дополнительных секциях в свойствах правила.
ТР
Перемещать компьютеры по именам и IP-адресам
Р ОС
СП
РА
И
И Е
АН

Многие условия для перемещения касаются сетевых атрибутов компьютера:

— NetBIOS-имя
ОВ

— Имя домена или рабочей группы


— DNS-имя
— DNS-домен

ИР

IP-адрес
— IP-адрес подключения к Серверу (если компьютер находится за NAT-шлюзом, адресом
подключения будет адрес шлюза)
П

Чтобы охватить правилом не один компьютер, а несколько, для IP-адресов можно указать интервал, а в
именах можно использовать маски: «*» и «?». Если этих параметров недостаточно, можно создать несколько
КО

правил с разными условиями, которые будут помещать компьютеры в одну группу.


О
I-137

ЕН
Часть I. Внедрение

Если правило относится к нераспределенным компьютерам, условия можно задавать в терминах

Щ
представления нераспределенных компьютеров в Kaspersky Security Center:

— IP–диапазоны, как они заданы в узле Дополнительно \ Опрос сети для опроса сети

Е
— Подгруппы в структуре Домены, опять же в узле Дополнительно \ Опрос сети — это имена
доменов и рабочих групп, как они обнаружены Сервером администрирования при опросе сети

ПР
Перемещать компьютеры по операционным системам

ЗА
Е
Е НИ
АН
ТР
Р ОС

Условия для устройств могут включать версию операционной системы, а также ее архитектуру и номер
пакета обновлений (Service pack). В одном правиле можно указать несколько операционных систем. Если
СП

администратор хочет автоматически перемещать все сервера в группу Servers, ему будет достаточно одного
правила для всех серверных версий Windows, используемых в сети. Например, для Windows Server 2008 R2
и Windows Server 2012 R2.
РА

Также условия для компьютеров могут включать наличие работающего Агента администрирования. Этим
условием можно отделить компьютеры, уже подключенные к Серверу администрирования, от компьютеров,
ожидающих подключения.
И

Остальные условия
И Е

В правиле перемещения есть условия для виртуальных машин. Виртуальные машины на разных платформах
виртуализации можно переместить в разные группы. О защите виртуальных машин рассказывает курс KL
АН

031 Kaspersky Security для виртуальных сред. Легкий агент.

Если этих условий не хватает, компьютеры можно пометить метками (тегами) и настроить условия по тегам.
Эта тему раскрывает курс KL 302.
ОВ
ИР
П
КО
О
I-138 ЛАБОРАТОРИЯ КАСПЕРСКОГО™

ЕН
KL 002.11. Kaspersky Endpoint Security and Management. Базовый курс

Как синхронизировать группы с Active Directory

Е Щ
ПР
ЗА
Е
Е НИ
АН
ТР
Есть аналогичные условия и для расположения компьютеров в структуре Active Directory:

— Имя подразделения Active Directory


ОС

— Имя группы в Active Directory

Правила перемещения позволяют организовать полную синхронизацию с Active Directory. Для этого нужно
включить дополнительные опции, относящиеся к условию Применить правило к подразделению Active
Р

Directory:
СП

— Включая дочерние подразделения — если в выбранном подразделении есть дочерние


подразделения, компьютеры из них будут перемещены в группу назначения
РА

— Перемещать компьютеры из дочерних организационных единиц в соответствующие


подгруппы — если в выбранном подразделении есть дочернее подразделение, а в группе
назначения есть одноименная подгруппа, компьютеры из дочернего подразделения будут
перемещены в одноименную подгруппу
И

— Создавать отсутствующие подгруппы — если в выбранном подразделении есть дочернее


подразделение, а в группе назначения нет одноименной подгруппы, Сервер администрирования
Е

создаст такую подгруппу и переместит в нее компьютеры дочернего подразделения


И

— Удалять подгруппы, отсутствующие в Active Directory — антипод предыдущей опции. Когда


подразделение удаляется из Active Directory, эта опция удалит соответствующую группу из
АН

Kaspersky Security Center.

Если включить все четыре этих опции, в группе назначения будет создана постоянно обновляемая копия
ОВ

структуры Active Directory. Если в Active Directory будут появляться или исчезать подразделения, или
компьютеры будут перемещаться из одного подразделения в другое, Kaspersky Security Center
автоматически отразит эти изменения в структуре группы назначения.
ИР

Кроме подразделений в Active Directory есть группы, куда могут входить учетные записи компьютеров.
Чтобы перенести в группы компьютеры, которые входят в доменную группу, отметьте условие Устройство
является членом группы Active Directory и выберите имя группы.
П
КО
О
I-139

ЕН
Часть I. Внедрение

Теги

Е Щ
ПР
ЗА
Е
Е НИ
АН
ТР
Теги — это дополнительный атрибут, который администратор может назначить устройствам, и
использовать для более гибкой настройки правил перемещения. Администратор может назначать теги
вручную одному или сразу нескольким выбранным устройствам, а может настроить правила
ОС

автоматического назначения тегов. Одному устройству может быть назначено несколько тегов.

Правила перемещения могут применяться к устройствам без выбранных тегов или к устройствам, у которых
есть хотя бы один из выбранных тегов.
Р

Чтобы назначить теги, выберите одно или несколько устройств, откройте окно свойств и перейдите в раздел
СП

Теги. В этом же разделе есть ссылка Настроить правила автоматического назначения тегов. Правила
автоматического назначения тегов можно настроить и в окне свойств узла Сервер администрирования.
РА

В ряде случаев теги имеет смысл назначать сразу при развертывании средств защиты. Сделать это можно в
свойствах пакета Агента администрирования. Чтобы при установке назначить компьютерам разные теги,
сделайте несколько пакетов установки Агента администрирования, включите в каждом пакете нужный тег, и
используйте пакеты с разными тегами для установки на разные компьютеры.
И

Вне зависимости, на каком устройстве и как был добавлен тег, он будет доступен для выбора в свойствах
любого устройства.
И Е
АН
ОВ
ИР
П
КО
О
I-140 ЛАБОРАТОРИЯ КАСПЕРСКОГО™

ЕН
KL 002.11. Kaspersky Endpoint Security and Management. Базовый курс

Порядок применения правил

Е Щ
ПР
ЗА
Е
Е НИ
АН
ТР
Созданные правила организованы в список и порядок правил имеет значение. Постоянно действующие
правила, очевидно, имеют приоритет над остальными. Среди правил одного типа применяется верхнее из
подходящих. Иными словами, если компьютер удовлетворяет условиям нескольких правил, сработает
ОС

только самое верхнее.

Порядок правил можно менять стрелками слева от списка. Кроме этого правила можно применять вручную
с помощью кнопки Форсировать внизу окна. Это позволяет повторно применить непостоянное правило.
Р

Постоянным правилам эта кнопка ничего не дает, поскольку постоянные правила и так непрерывно
форсируются.
СП

Мастер форсирования просит выбрать группу, в которой нужно применить правило, и переместит
компьютеры, которые удовлетворяют условиям правила из выбранной группы в группу, заданную в правиле.
РА

Есть возможность пропускать компьютеры, к которым правило уже было применено, и применять его
только к новым компьютерам.
И
И Е
АН
ОВ
ПИР
КО
О
II–1

ЕН
Часть II.Управление защитой

Е Щ
ПР
ЗА
Часть II. Управление

Е
НИ
защитой

Е
АН
Глава 1. Как Kaspersky Endpoint Security 10 защищает компьютер ........................ 4
1.1 Как злоумышленники атакуют компьютер ........................................................................................................ 4
Как вредоносные программы попадают на компьютер .................................................................................. 4
ТР
Как вредоносные программы наносят вред ...................................................................................................... 7
1.2 Как Kaspersky Endpoint Security противостоит атакам ...................................................................................... 9
ОС

Как Kaspersky Endpoint Security защищает от угроз ....................................................................................... 9


Как Kaspersky Security Network помогает защищать от угроз ..................................................................... 11
Где находятся настройки Kaspersky Endpoint Security .................................................................................. 12
Р

Глава 2. Как настроить защиту файлов .................................................................... 13


СП

2.1 Как Kaspersky Endpoint Security защищает файлы? ......................................................................................... 13


2.2 Что и как настроить в Защите от файловых угроз ........................................................................................... 15
Настройки Защиты от файловых угроз ......................................................................................................... 15
РА

2.3 Что делать если Защита от файловых угроз замедляет компьютер ............................................................... 22
Как исключить папку программы..................................................................................................................... 23
Как исключить файлы, к которым обращается процесс .............................................................................. 24
И

Как не проверять сетевые диски ..................................................................................................................... 25


Как временно остановить Защиту от файловых угроз ................................................................................ 26
Как применить настройки к компьютерам .................................................................................................... 26
Е

2.4 Стандартные уровни безопасности Защиты от файловых угроз .................................................................... 27


И

2.5 Как и зачем проверять файлы по расписанию ................................................................................................. 28


АН

Зачем искать вредоносные программы после Защиты от файловых угроз ................................................ 28


Где и как искать опасные файлы ..................................................................................................................... 29
Стандартные уровни безопасности поиска вирусов ..................................................................................... 31
Как выбрать оптимальное расписание ........................................................................................................... 31
ОВ

2.6 Что делать с ложными срабатываниями ........................................................................................................... 34


Как настроить исключение для неправильного вердикта ............................................................................. 34
Исключения по контрольной сумме .................................................................................................................. 35
ИР

Исключения по сертификатам ......................................................................................................................... 36


2.7 Защита файлов: резюме ...................................................................................................................................... 36
П
КО
О
II–2 ЛАБОРАТОРИЯ КАСПЕРСКОГО™

ЕН
KL 002.11. Kaspersky Endpoint Security and Management. Базовый курс

Глава 3. Как настроить защиту от угроз по сети ...................................................... 38

Щ
3.1 Как работает защита сети ................................................................................................................................... 38
Что делают сетевые компоненты .................................................................................................................. 38

Е
Как Kaspersky Endpoint Security перехватывает трафик .............................................................................. 39

ПР
3.2 Защита от почтовых угроз .................................................................................................................................. 40
Что делает Защита от почтовых угроз ......................................................................................................... 40
Настройки Защиты от почтовых угроз ......................................................................................................... 40

ЗА
Фильтр вложений .............................................................................................................................................. 41
Стандартные уровни безопасности ................................................................................................................ 42
Исключения при ложных срабатываниях ........................................................................................................ 42

Е
3.3 Защита от веб-угроз ............................................................................................................................................ 43
Что делает Защита от веб-угроз .................................................................................................................... 43

НИ
Настройки Защиты от веб-угроз .................................................................................................................... 44
Как сделать веб-сайт доверенным................................................................................................................... 45
3.4 Как не перехватывать весь трафик программы ................................................................................................ 46

Е
3.5 Защита сетевых соединений: резюме ................................................................................................................ 47

АН
Глава 4. Как настроить защиту от сложных угроз ................................................... 48
4.1 Как Kaspersky Endpoint Security защищает от новых угроз ............................................................................ 48
4.2 Что делает Продвинутая защита ........................................................................................................................ 49
ТР

Как Анализ поведения защищает от новых угрозы ........................................................................................ 49


Как Защита от эксплойтов защищает от новых угроз ................................................................................ 51
ОС

Как Откат вредоносных действий защищает от новых угроз .................................................................... 51


Как Предотвращение вторжений защищает от новых угроз ...................................................................... 52
Как настроить предотвращение вторжений против программ-вымогателей ......................................... 56
4.3 Как исключить программу из мониторинга ..................................................................................................... 57
Р

Что делать, если KES мешает работать программе ................................................................................... 57


СП

Как изменить категорию доверия для программы ......................................................................................... 58


Как сделать программу доверенной для Анализа поведения и Предотвращения вторжений ................... 61
4.4 Защита от новых и сложных угроз: резюме...................................................................................................... 62
РА

Глава 5. Как контролировать сетевые соединения ................................................. 63


5.1 Как Сетевой экран защищает от угроз .............................................................................................................. 63
И

5.2 Как работает сетевой экран в Kaspersky Endpoint Security.............................................................................. 64


Как сетевой экран анализирует пакеты и соединения .................................................................................. 64
Е

Как сетевой экран решает, какие сети локальные? ...................................................................................... 66


Как сетевой экран ограничивает программы? ............................................................................................... 67
И

5.3 Что делает сетевой экран с настройками по умолчанию ................................................................................. 69


АН

Что делает Сетевой экран при настройках по умолчанию .......................................................................... 69


Что это значит для программ на компьютере .............................................................................................. 70
Что если сетевой экран мешает работать программе ................................................................................ 71
ОВ

5.4 Зачем нужна защита от сетевых угроз .............................................................................................................. 72


Что делает защита от сетевых угроз ............................................................................................................ 72
Как разблокировать компьютер, заблокированный защитой от сетевых угроз........................................ 73
ИР

5.5 Защита сети: резюме ........................................................................................................................................... 74


П
КО
О
II–3

ЕН
Часть II.Управление защитой

Глава 6. Как защитить компьютер за пределами сети ........................................... 75

Щ
6.1 Каким локальным сетям доверять ..................................................................................................................... 75
6.2 Как создать политику для компьютеров вне офиса ......................................................................................... 76

Е
Как сделать политику для компьютеров вне офиса ...................................................................................... 76

ПР
Когда компьютеры переходят на политику для автономных пользователей ............................................ 77
Как задать условия перехода на автономную политику ............................................................................... 78
6.3 Какие настройки задать компьютерам вне офиса ............................................................................................ 79

ЗА
6.4 Автономные политики: резюме ......................................................................................................................... 81

Глава 7. Что еще есть в защите и зачем .................................................................. 82


7.1 Что делает и зачем нужна самозащита ............................................................................................................. 82

Е
Что делает самозащита .................................................................................................................................. 82

НИ
Как управлять KES в сеансе удаленного доступа .......................................................................................... 83
7.2 Как защитить Kaspersky Endpoint Security от пользователя ........................................................................... 84
Как пользователь может остановить защиту ............................................................................................. 84

Е
Как включить защиту паролем ........................................................................................................................ 85

АН
Настройка защиты паролем для Агента администрирования .................................................................... 86
7.3 Какие еще есть настройки защиты .................................................................................................................... 87
Действия ............................................................................................................................................................. 87
ТР
Остальные настройки ....................................................................................................................................... 87
Защита компьютера: резюме .......................................................................................................................... 90
Р ОС
СП
РА
И
И Е
АН
ОВ
ИР
П
КО
О
II–4 ЛАБОРАТОРИЯ КАСПЕРСКОГО™

ЕН
KL 002.11. Kaspersky Endpoint Security and Management. Базовый курс

Е Щ
Глава 1. Как Kaspersky Endpoint Security 10

ПР
защищает компьютер

ЗА
1.1 Как злоумышленники атакуют компьютер

Е
НИ
Как вредоносные программы попадают на компьютер

Е
АН
ТР
Р ОС
СП
РА
И

Вредоносные программы попадают не компьютер через все, что связывает компьютер с внешним миром. В
частности, через сетевые соединения и через внешние носители. Рассмотрим типичные сценарии, как
вредоносные программы проникают на компьютер, и как этому помешать.
И Е

Через браузер
АН

Уязвимый веб-браузер
ОВ

У пользователя установлен уязвимый браузер. Используя уязвимость, веб-страница может заставить браузер
загрузить и запустить на компьютере любую программу. Пользователь заходит на сомнительный веб-сайт
— веб-сайт запускает на компьютере пользователя вредоносную программу. Вредоносный код может быть
не на основных страницах веб-сайта, а в рекламных блоках, которые веб-сайт получает с других ресурсов.
ИР

Чтобы защититься от такой атаки:


П

— Устанавливайте обновления для веб-браузеров


— Не давайте пользователям запускать какие угодно браузеры
КО

— Не давайте пользователям заходить на какие угодно веб-страницы


— Не давайте пользователям заходить известные зараженные сайты
— Не давайте веб-браузерам запускать дочерние процессы
О
II–5

ЕН
Часть II.Управление защитой

Зараженный файл

Щ
Пользователь ищет в Интернете бесплатную программу. Например, бесплатную утилиту, которая делает
что-то полезное для пользователя, или пиратскую версию платной программы, или генератор ключей для

Е
платной программы. Находит, загружает на компьютер и запускает. Программа оказывается вредоносной.

ПР
Может быть пользователь не разобрался и загрузил файл с подходящим названием с «интернет-помойки».
Может быть злоумышленники подменили код у бесплатной программы или взломали страницу загрузки и
подменили программу.

ЗА
Чтобы защититься от такой атаки:

— Не давайте пользователям заходить на какие угодно веб-страницы

Е
— Не давайте пользователям заходить известные сайты с вредоносными программами
— Проверяйте файлы, которые пользователь загружает из Интернет, средством защиты от угроз

НИ
Через почту

Е
Пользователь получает по почте письмо, которое выглядит как письмо из банка, магазина, службы доставки,

АН
от партнера, знакомого и т.п. Текст письма просит перейти по ссылке или открыть вложение. По ссылке
находится вредоносный или фишинговый веб-сайт. Во вложении — вредоносная программа или документ с
вложенной вредоносной программой.
ТР
Чтобы защититься от такой атаки:
ОС

— Фильтруйте почту средствами защиты от спама (массовых анонимных рассылок)


— Проверяйте файлы, вложенные в электронные письма, средством защиты от угроз
— Не давайте пользователям сохранять на диск исполняемые файлы из электронных писем
— От ссылок в письмах защищайтесь как от атак через веб-браузер
Р
СП

С других компьютеров по сети

Из общей папки
РА

Пользователь скопировал из общей папки на другом компьютере программу и запустил ее. Программа
оказалась вредоносной.
И

Пользователь открыл документ из общей папки на другом компьютере. В документе был вредоносный код.

Чтобы защититься от такой атаки:


И Е

— Установите средства защиты на все компьютеры


— Проверяйте файлы, которые пользователи копируют, открывают или запускают
АН

Атака по сети
ОВ

В операционной системе на компьютере пользователя есть уязвимость. Если послать на определенный порт
специальную последовательность пакетов, можно заставить уязвимую службу выполнить код, который
содержится в этих пакетах. Зараженный компьютер в сети атакует уязвимую службу на всех окрестных
компьютерах и заражает их.
ИР

Чтобы защититься от такой атаки:


П

— Устанавливайте обновления безопасности для операционной системы


— Запрещайте соединения с портами, которые не нужны для работы пользователя
КО

— Проверяйте пакеты, которые принимает компьютер, на предмет сетевых атак средством защиты от
угроз
О
II–6 ЛАБОРАТОРИЯ КАСПЕРСКОГО™

ЕН
KL 002.11. Kaspersky Endpoint Security and Management. Базовый курс

С внешних носителей

Щ
Своя «флешка»

Е
ПР
Пользователь подключил к компьютеру флешку, скопировать на нее или с нее документы. На флешке есть
вредоносная программа, которая использовала уязвимость в операционной системе, чтобы автоматически
запуститься на компьютере.

ЗА
Либо пользователь подключил флешку, чтобы посмотреть, что на ней. Обнаружил документ или
исполняемый файл с интригующим названием и решил открыть его. Файл оказался зараженным.

Чтобы защититься от такой атаки:

Е
— Не разрешайте пользователям подключать к компьютеру неизвестные (или все) флешки

НИ
— Проверяйте файлы на флешках средством защиты от угроз
— Устанавливайте обновления безопасности для операционной системы

Е
BadUSB

АН
Пользователь подключил к компьютеру USB-устройство, которое выглядит как флешка. Устройство
зарегистрировалось в операционной системе как флешка и как клавиатура. Через некоторое время
устройство начало давать компьютеру команды, посылая сигналы нажатия клавиш.
ТР

Чтобы защититься от такой атаки:


ОС

— Используйте средства защиты от атак BadUSB

Как защищаться от угроз


Р
СП

Все способы, как защититься от угроз, можно разделить на:

Устраните потенциальные цели атак


РА

Устанавливайте обновления безопасности для операционной системы


Устанавливайте обновления для веб-браузеров и других программ
Не давайте пользователям запускать какие угодно браузеры
И

Не давайте пользователям заходить на какие угодно веб-страницы


Не давайте веб-браузерам запускать дочерние процессы
Не давайте пользователям сохранять на диск исполняемые файлы из электронных писем
Е

Запрещайте соединения с портами, которые не нужны для работы пользователя


И

Не разрешайте пользователям подключать к компьютеру неизвестные (или все) флешки


АН

Используйте средства защиты, чтобы обнаруживать атаки


Установите средства защиты на все компьютеры
Проверяйте файлы, которые пользователи копируют, открывают или запускают
ОВ

Проверяйте файлы на флешках средством защиты от угроз


Проверяйте файлы, вложенные в электронные письма, средством защиты от угроз
Проверяйте файлы, которые пользователь загружает из Интернет, средством защиты от угроз
ИР

Не давайте пользователям заходить известные зараженные сайты


Не давайте пользователям заходить известные сайты с вредоносными программами
Проверяйте пакеты, которые принимает компьютер, на предмет сетевых атак средством защиты от угроз
П

Используйте средства защиты от атак BadUSB


КО
О
II–7

ЕН
Часть II.Управление защитой

Как вредоносные программы наносят вред

Е Щ
ПР
ЗА
Е
Е НИ
АН
ТР
Ни одно средство защиты не защищает от 100% угроз. Злоумышленники всегда могут оказаться на полшага
впереди, за счет того что они
ОС

— Регистрируют новые домены и веб-сайты


— Пишут новые вредоносные программы
— Используют уязвимости нулевого дня, для которых еще нет обновлений
Р

Даже если средства защиты работают, как положено, есть риск, что компьютер будет заражен новой
вредоносной программой. Если защита установлена не на всех компьютерах, если на компьютерах старые
СП

базы, если выключены важные компоненты защиты — риск возрастает.

Рассмотрим, какой вред несут вредоносные программы и как можно его уменьшить.
РА

Вымогатели
И

Вредоносная программа вымогатель шифрует документы и другие файлы на компьютере и в общих папках,
и просит деньги за то, чтобы дать ключ шифрования. Ключ хранится на сервере злоумышленников.
Вредоносная программа или загружает ключ с сервера, шифрует файлы и удаляет ключ; или формирует
Е

случайный ключ, посылает его на сервер, шифрует файлы и ключ удаляет. В любом случае программа-
И

вымогатель связывается со своим сервером по сети.


АН

Чтобы защититься от такой атаки:

— Регулярно делайте резервные копии всех важных файлов


— Не давайте неизвестным программам устанавливать и принимать сетевые соединения
ОВ

— Используйте средства защиты, которые эвристически обнаруживают шифрование

Шпионы
ИР

Вредоносная программа ищет незашифрованные или слабо зашифрованные пароли в настройках программ
и в файлах на диске. Вредоносная программа перехватывает все, что вводит пользователь с клавиатуры,
П

делает скриншоты экрана и снимки через веб-камеру. Все это программа оправляет на сервер
злоумышленникам.
КО
О
II–8 ЛАБОРАТОРИЯ КАСПЕРСКОГО™

ЕН
KL 002.11. Kaspersky Endpoint Security and Management. Базовый курс

Чтобы защититься от такой атаки:

Щ
— Не давайте неизвестным программам устанавливать и принимать сетевые соединения
— Используйте средства защиты, которые эвристически обнаруживают шпионские действия

Е
ПР
Сетевые вредоносные программы

Вредоносная программа записывает себя на подключенные к компьютеру флешки и в общие папки по сети.

ЗА
Вредоносная программа заражает соседние компьютеры через уязвимые службы. Вредоносная программа
по команде из центра рассылает спам и участвует в DDOS-атаках.

Чтобы защититься от такой атаки:

Е
НИ
— Не давайте неизвестным программам устанавливать и принимать сетевые соединения
— Используйте средства защиты, которые эвристически обнаруживают опасные действия

Загрузчики

Е
АН
Часто, чтобы заразить обойти средства защиты и заразить компьютер, злоумышленники используют очень
простые файлы, которые не несут никакого прямого ущерба. Но эти файлы могут загрузить дополнительные
вредоносные файлы, которые уже могут шифровать документы, воровать пароли и т.д.
ТР

Чтобы защититься от такой атаки:


ОС

— Не давайте неизвестным программам устанавливать и принимать сетевые соединения

Некачественные вредоносные программы


Р
СП

Вредоносная программа приводит к тому, что другие программы зависают или работают с ошибками,
компьютер тормозит, спонтанно перезагружается и выводит синий экран.

Чтобы защититься от такой атаки:


РА

— Регулярно проверяйте файлы на компьютере средством защиты от угроз


И

Как уменьшить урон


Е

Способы уменьшить урон можно разделить так же, как и способы защититься от атаки:
И

Устраните потенциальные цели атак


АН

Не давайте неизвестным программам устанавливать и принимать сетевые соединения

Используйте средства защиты, чтобы обнаруживать атаки


ОВ

Используйте средства защиты, которые эвристически обнаруживают опасные действия

Регулярно проверяйте файлы на компьютере средством защиты от угроз


ПИР
КО
О
II–9

ЕН
Часть II.Управление защитой

1.2 Как Kaspersky Endpoint Security противостоит

Щ
атакам

Е
ПР
Как Kaspersky Endpoint Security защищает от угроз

ЗА
Е
Е НИ
АН
ТР
Р ОС

Компоненты Kaspersky Endpoint Security и Kaspersky Security Center делают все, чтобы защитить от атак и
СП

предотвратить ущерб:

Устраните потенциальные цели атак


РА

Устанавливайте обновления безопасности для операционной системы Kaspersky Security Center (см.
курс KL 009)

Устанавливайте обновления для веб-браузеров и других программ Kaspersky Security Center (см.
И

курс KL 009)

Не давайте пользователям запускать какие угодно браузеры Контроль программ


Е

Не давайте пользователям заходить на какие угодно веб-страницы Веб-контроль


И

Не давайте веб-браузерам запускать дочерние процессы Анализ поведения


АН

Защита от эксплойтов

Не давайте пользователям сохранять на диск исполняемые файлы из Защита от почтовых угроз


электронных писем
ОВ

Запрещайте соединения с портами, которые не нужны для работы Сетевой экран


пользователя
ИР

Не разрешайте пользователям подключать к компьютеру неизвестные Контроль устройств


(или все) флешки

Не давайте неизвестным программам устанавливать и принимать Сетевой экран


П

сетевые соединения
КО
О
II–10 ЛАБОРАТОРИЯ КАСПЕРСКОГО™

ЕН
KL 002.11. Kaspersky Endpoint Security and Management. Базовый курс

Используйте средства защиты, чтобы обнаруживать атаки

Щ
Установите средства защиты на все компьютеры Kaspersky Security Center (см.
Часть 1)

Е
Проверяйте файлы, которые пользователи копируют, открывают или Защита от файловых угроз

ПР
запускают Предотвращение вторжений

Проверяйте файлы на флешках средством защиты от угроз Поиск вирусов

ЗА
Проверяйте файлы, вложенные в электронные письма, средством Защита от почтовых угроз
защиты от угроз

Проверяйте файлы, которые пользователь загружает из Интернет, Защита от веб-угроз

Е
средством защиты от угроз

НИ
Не давайте пользователям заходить известные зараженные и Защита от веб-угроз
фишинговые сайты

Не давайте пользователям заходить известные сайты с вредоносными Защита от веб-угроз

Е
программами

атак средством защиты от угроз АН


Проверяйте пакеты, которые принимает компьютер, на предмет сетевых Защита от сетевых угроз

Используйте средства защиты от атак BadUSB Защита от атак BadUSB


ТР

Используйте средства защиты, которые эвристически обнаруживают Анализ поведения


опасные действия Предотвращение вторжений
ОС

Регулярно проверяйте файлы на компьютере средством защиты от угроз Поиск вирусов

В этом списке есть все компоненты Kaspersky Endpoint Security. Все они либо уменьшают поверхность атаки,
Р

либо активно ищут, обнаруживают и блокируют угрозы.


СП

Kaspersky Endpoint Security не делает резервные копии файлов на компьютерах, и не защищает от спама. От
спама защищают продукты Лаборатории Касперского для почтовых систем, такие как:
РА

— Kaspersky Security для Microsoft Exchange Server


— Kaspersky Secure Mail Gateway
И
И Е
АН
ОВ
ПИР
КО
О
II–11

ЕН
Часть II.Управление защитой

Как Kaspersky Security Network помогает защищать от

Щ
угроз

Е
ПР
ЗА
Е
Е НИ
АН
ТР

Чтобы компоненты Kaspersky Endpoint Security защищали от угроз, важно регулярно обновлять базы
ОС

сигнатур.

Не менее важно разрешить Kaspersky Endpoint Security использовать Kaspersky Security Network.
Р

Kaspersky Security Network (KSN) — это «облачная» технология, которая повышает точность вердиктов всех
компонентов защиты.
СП

Сервера Kaspersky Security Network собирают информацию о файлах на защищенных компьютерах,


анализирует их с помощью технологий машинного обучения, учитывает, когда файл был впервые
РА

обнаружен, как широко он распространен, в каких регионах, доверяют ли файлу пользователи персональных
версий Kaspersky Security, подписан ли файл сертификатом и каким и т.п. Подозрительные файлы
дополнительно анализируют эксперты Лаборатории Касперского.

После всего этого Kaspersky Security Network присваивает файлу группу доверия:
И

— Доверенные
Е

— Слабые ограничения
— Сильные ограничения
И

— Недоверенные
АН

Именно так компоненты Kaspersky Endpoint Security знают, каким программам можно выходить в сеть, а
каким нельзя, каким программам можно устанавливать драйверы, а каким не стоит, и какие доверенные
программы нужно проверять особенно тщательно, потому что в них могут быть уязвимости.
ОВ

Kaspersky Security Network содержит огромную базу контрольных сумм заведомо хороших файлов.
Лаборатория Касперского получает контрольные суммы эталонных файлов от многих известных
производителей программ, таких как Microsoft, Adobe, Google и др. За счет этого компоненты Kaspersky
ИР

Endpoint Security знают, какие файлы точно не заражены и мешают работе программ.

Кроме файлов Kaspersky Security Network формирует репутацию веб-страниц и шаблонов поведения
программ.
П

Если Лаборатория Касперского обнаруживает новую угрозу, контрольные суммы всех вредоносных файлов
КО

и веб-страниц оказываются в Kaspersky Security Network через доли секунды и доступны всем продуктам,
О
II–12 ЛАБОРАТОРИЯ КАСПЕРСКОГО™

ЕН
KL 002.11. Kaspersky Endpoint Security and Management. Базовый курс

которые используют Kaspersky Security Network. Через Kaspersky Security Network продукты узнают о новых

Щ
угрозах на несколько часов раньше, чем сигнатуры угроз поступают с обновлениями.

Данные, которые Kaspersky Endpoint Security посылает в Kaspersky Security Network, обезличены и

Е
анонимны. Полный список можно найти в соглашении Kaspersky Security Network, которое администратор
обязан принять, чтобы включить Kaspersky Security Network в политике Kaspersky Endpoint Security.

ПР
Чтобы использовать Kaspersky Security Network, но ничего не посылать в Лабораторию Касперского,
существует услуга Kaspersky Private Security Network.

ЗА
Где находятся настройки Kaspersky Endpoint Security

Е
Е НИ
АН
ТР
Р ОС
СП

В этой главе мы изучим, какие настройки есть у компонентов Kaspersky Endpoint Security:
РА

— Какие у них значения по умолчанию


— Как разные параметры меняют поведение компонентов
— Когда и как менять настройки, чтобы улучшить защиту компьютера или комфорт пользователей
И

Большинство настроек Kaspersky Endpoint Security находятся в политике. Часть настроек, например,
настройки поиска вирусов по расписанию или настройки обновления, находятся в задачах.
Е

Политики (все) и задачи (как правило), находятся в группах. Кроме этого их можно найти в узлах первого
И

уровня: Политики и Задачи. В этих узлах для каждой политики и задачи видно, к какой группе они
относятся.
АН
ОВ
ПИР
КО
О
II–13

ЕН
Часть II.Управление защитой

Щ
Глава 2. Как настроить защиту файлов

Е
ПР
ЗА
2.1 Как Kaspersky Endpoint Security защищает
файлы?

Е
Е НИ
АН
ТР
Р ОС
СП
РА

С помощью драйвера klif.sys Защита от файловых угроз перехватывает все файловые операции (такие как,
чтение, копирование, выполнение) и проверяет файлы, с которыми выполняются действия. В случае если
файл заражен, операция блокируется, а сам файл лечится или удаляется.
И

Если не считать уязвимости, которые позволяют вредоносным программам загрузить код в память, все атаки
сохраняют вредоносные файлы на диск компьютера. И даже те атаки, которые начинаются с выполнения
Е

кода в памяти, могут загрузить только код небольшого размера и используют его как первую ступень атаки,
которая загружает дополнительные модули в виде файлов и сохраняет на их диск.
И
АН

Можно отключить Защиту от почтовых угроз и Защита от веб-угроз, но пользователь все равно не сможет
запустить зараженный файл, полученный по почте или из сети Интернет. В момент сохранения файла на
диск его обнаружит и заблокирует Защита от файловых угроз. А запустить файл из вложения или веб-
страницы без сохранения на диск нельзя.
ОВ

Поэтому Защита от файловых угроз — один из самых важных компонентов Kaspersky Endpoint Security.

Защита от файловых угроз ищет вредоносные программы с помощью:


ИР

— Сигнатур вредоносных программ — база сигнатур это «черный список» известных вредоносных
файлов. Если файл не соответствует ни одной записи в базе, значит он не вредоносный.
П

Полноценный черный список, где у каждого известного вредоносного или зараженного файла есть
отдельная запись, требует слишком много места, поэтому база сигнатур — это оптимизированный
КО

черный список, уменьшенный до размера, который можно загрузить на компьютер. Каждая запись
идентифицирует семейство похожих угроз.
О
II–14 ЛАБОРАТОРИЯ КАСПЕРСКОГО™

ЕН
KL 002.11. Kaspersky Endpoint Security and Management. Базовый курс

— Эвристического анализа (эмуляции выполнения) — помогает обнаруживать полиморфные

Щ
вредоносные файлы, которые меняют свой код во время выполнения, и которые из-за этого сложно
обнаружить по сигнатурам. Защита от файловых угроз запускает исполняемые файлы в специальной
изолированной среде и ждет, не изменится ли код в памяти так, что начнет соответствовать

Е
сигнатуре.

ПР
— Проверки по KSN — Защита от файловых угроз посылает в KSN контрольную сумму файла и
получает ответ: есть ли такой файл в базе KSN, и какая у него репутация. База KSN это и есть
огромный список всех известных Лаборатории Касперского файлов (вернее, их контрольных сумм).

ЗА
В этом списке есть файлы с репутацией не доверенные. Это черный список, такие файлы Защита от
файловых угроз блокирует. Есть файлы с репутацией доверенные. Это белый список, куда входят
известные невредоносные файлы операционных систем и распространенных программ. Эти файлы
Защита от файловых угроз не блокирует, даже если по сигнатурам они вредоносные. Вердикт KSN

Е
имеет больший приоритет, потому что KSN содержит больше информации, чем локальная база
сигнатур.

НИ
Чтобы получить вердикт из KSN, компьютеру нужна связь с Интернет, которая может быть ненадежной.
Именно поэтому Kaspersky Endpoint Security не полагается исключительно на KSN, а использует базу
сигнатур и эмуляцию.

Е
АН
Вердикты KSN могут меняться со временем. У файла, который недавно появился в сети Интернет, сначала
нет никакой репутации. Со временем, когда KSN накапливает данные о том, кто, где и как использует этот
файл, его репутация меняется и может стать как доверенной, так и недоверенной. Для наилучшей защиты,
Kaspersky Endpoint Security мог бы уточнять вердикт KSN при каждой файловой операции. Но это бы
ТР
сильно увеличило сетевой трафик компьютера. И к тому же, на то, чтобы отправить запрос и получить ответ,
уходит время, которое зависит от качества связи.
ОС

Чтобы не создавать лишний трафик и не задерживать операции с файлами, Kaspersky Endpoint Security
сохраняет вердикты KSN в локальный кэш. У каждого вердикта есть время хранения. Для новых файлов оно
короткое, и заставляет Kaspersky Endpoint Security часто уточнять вердикт. Для файлов, которые известны
давно, это время большое.
Р

Чтобы не замедлять компьютер, Защита от файловых угроз проверяет не все файлы, а только те файлы,
СП

которые могут заразить компьютер. Например, Защита от файловых угроз не проверяет архивы, потому что,
чтобы запустить файл из архива, этот файл нужно извлечь. Если пользователь сам не извлек файл из архива,
это делает операционная система незаметно для пользователя. В любом случае Защита от файловых угроз
РА

проверит и, если нужно, заблокирует извлеченные файлы.

Файлы, которые не проверила Защита от файловых угроз, проверяйте задачами поиска вирусов. Поиск
вирусов проверяет файлы в указанной области и применяет те же методы, что и Защита от файловых угроз.
И
И Е
АН
ОВ
ПИР
КО
О
II–15

ЕН
Часть II.Управление защитой

2.2 Что и как настроить в Защите от файловых

Щ
угроз

Е
ПР
ЗА
Е
Е НИ
АН
ТР
ОС

Настройки Защиты от файловых угроз


Р

Защита от файловых угроз, как и Kaspersky Endpoint Security в целом, решает две задачи:
СП

— Не дать вредоносным программам нанести ущерб


— Не мешать работать пользователю и программам
РА

Чем больше файлов проверяет Защита от файловых угроз, тем лучше он решает первую задачу, и тем хуже
вторую. И наоборот. Настройки по умолчанию обеспечивают баланс между защитой и
производительностью. Меняя настройки, администратор может сместить баланс в ту или другую сторону.
И

Администратор меняет настройки Kaspersky Endpoint Security в политике. Настройки всех компонентов
находятся в одноименных секциях: настройки Защиты от файловых угроз в секции Базовая защита |
Защита от файловых угроз. Параметры Защиты от файловых угроз скрыты за кнопкой Настройка в
Е

секции Уровень безопасности.


И

Рассмотрим сначала параметры, которые не нужно менять и почему.


АН

Защита от файловых угроз проверяет не все типы файлов


ОВ

Общие \ Типы файлов

Все файлы Защита от файловых угроз проверяет все файлы в Области защиты,
ИР

к которым обращаются пользователь или программы

Файлы, проверяемые по формату (по Защита от файловых угроз смотрит на расширение и заголовок
умолчанию при уровне безопасности файла, чтобы решить, какой у файла формат. Если файлы этого
П

Рекомендуемый) формата могут нанести вред компьютеру, Защита от файловых


угроз проверяет файл
КО
О
II–16 ЛАБОРАТОРИЯ КАСПЕРСКОГО™

ЕН
KL 002.11. Kaspersky Endpoint Security and Management. Базовый курс

Файлы, проверяемые по расширению Защита от файловых угроз смотрит только на расширение файла и

Щ
по нему решает, какой у файла формат. Если файлы этого формата
могут нанести вред компьютеру, Защита от файловых угроз
проверят файл

Е
ПР
Файлы, которые могут нанести вред компьютеру, это в основном исполняемые файлы, но не только.
Документы Microsoft Office могут содержать исполняемый код (макросы), который может быть
вредоносным. Даже документы без кода, некоторые графические файлы, могут использовать уязвимости в

ЗА
программах, которые их открывают, и заставить эти программы выполнить часть файла как код.

По умолчанию Защита от файловых угроз проверяет файлы по формату. Так Kaspersky Endpoint Security
надежно защищает компьютер, поскольку проверяет все опасные файлы, но меньше загружает компьютер,

Е
поскольку проверяет не все файлы.

НИ
Проверять файлы только по расширению опасно. Например, вредоносный документ Word может иметь
расширение .123, которое не входит в список проверяемых, но пользователь все равно может его открыть
через контекстное меню Открыть с помощью. К тому же, проверять по расширению не намного быстрее,
чем проверять по формату. Пользователь не заметит разницы в производительности.

Е
АН
Если администратор хочет улучшить производительность медленных компьютеров, лучше начать с
исключений для программ, с которыми работают пользователи. Как создавать исключения, рассказывается в
конце этого раздела.
ТР
Список проверяемых расширений:

com исполняемый файл программы размером не более 64 КБ


ОС

exe исполняемый файл, самораспаковывающийся архив


sys системный файл Microsoft Windows
prg текст программы dBase™, Clipper или Microsoft Visual FoxPro®, программа пакета WAVmaker
bin бинарный файл
Р

bat файл пакетного задания


командный файл Microsoft Windows NT (аналогичен bat-файлу для DOS), OS/2
СП

cmd
dpl упакованная библиотека Borland Delphi
dll библиотека динамической загрузки
scr файл-заставка экрана Microsoft Windows
РА

cpl модуль панели управления (control panel) в Microsoft Windows


ocx объект Microsoft OLE (Object Linking and Embedding)
tsp программа, работающая в режиме разделения времени
drv драйвер некоторого устройства
И

vxd драйвер виртуального устройства Microsoft Windows


pif файл с информацией о программе
lnk файл-ссылка в Microsoft Windows
Е

reg файл регистрации ключей системного реестра Microsoft Windows


И

ini файл конфигурации, который содержит данные настроек для Microsoft Windows, Windows NT и
некоторых программ
АН

cla класс Java


vbs скрипт Visual Basic
vbe видеорасширение BIOS
js, jse исходный текст JavaScript
ОВ

htm гипертекстовый документ


htt гипертекстовая заготовка Microsoft Windows
hta гипертекcтовая программа для Microsoft Internet Explorer
ИР

asp скрипт Active Server Pages


chm скомпилированный HTML-файл
pht HTML-файл со встроенными скриптами PHP
php скрипт, встраиваемый в HTML-файлы
П

wsh файл Microsoft Windows Script Host


скрипт Microsoft Windows
КО

wsf
the файл заставки для рабочего стола Microsoft Windows 95
hlp файл справки формата Win Help
О
II–17

ЕН
Часть II.Управление защитой

eml сообщение Microsoft Outlook Express

Щ
nws новое сообщение электронной почты Microsoft Outlook Express
msg сообщение электронной почты Microsoft Mail
plg сообщение электронной почты

Е
mbx расширение для сохраненного сообщения Microsoft Office Outlook

ПР
doс* документы Microsoft Office Word, такие как:
doс документ Microsoft Office Word
docx документ Microsoft Officе Word 2007 с поддержкой языка XML
docm документ Microsoft Office Word 2007 с поддержкой макросов

ЗА
dot* шаблоны документа Microsoft Office Word, такие как:
dot шаблон документа Microsoft Office Word
dotx шаблон документа Microsoft Office Word 2007
dotm шаблон документа Microsoft Office Word 2007 с поддержкой макросов

Е
fpm программа баз данных, стартовый файл Microsoft Visual FoxPro

НИ
rtf документ в формате Rich Text Format
shs фрагмент Windows Shell Scrap Object Handler
dwg база данных чертежей AutoCAD
msi пакет Microsoft Windows Installer

Е
otm VBA-проект для Microsoft Office Outlook
документ Adobe Acrobat

АН
pdf
swf объект пакета Shockwave Flash
jpg, файл графического формата хранения сжатых изображений
jpeg
ТР
emf файл формата Enhanced Metafile. Следующее поколение метафайла операционной системы
Microsoft Windows. Файлы EMF не поддерживаются 16-разрядной Microsoft Windows
ico файл значка объекта
ОС

ov? исполняемые файлы Microsoft Office Word


xl* документы и файлы Microsoft Office Excel, такие как:
xla расширение Microsoft Office Excel
xlc диаграмма Microsoft Office Excel
Р

xlt шаблон документа Microsoft Office Excel


xlsx – рабочая книга Microsoft Office Excel 2007
СП

xlsx
xltm рабочая книга Microsoft Office Excel 2007 с поддержкой макросов
xlsb рабочая книга Microsoft Office Excel 2007 в бинарном (не XML) формате
xltx шаблон Microsoft Office Excel 2007
РА

xlsm шаблон Microsoft Office Excel 2007 с поддержкой макросов


xlam xlam – надстройка Microsoft Office Excel 2007 с поддержкой макросов
pp* pp* – документы и файлы Microsoft Office PowerPoint, такие как:
pps слайд Microsoft Office PowerPoint
И

ppt презентация Microsoft Office PowerPoint


pptx презентация Microsoft Office PowerPoint 2007
pptm презентация Microsoft Office PowerPoint 2007 с поддержкой макросов
Е

potx шаблон презентации Microsoft Office PowerPoint 2007


И

potm шаблон презентации Microsoft Office PowerPoint 2007 с поддержкой макросов


ppsx слайд-шоу Microsoft Office PowerPoint 2007
АН

ppsm слайд-шоу Microsoft Office PowerPoint 2007 с поддержкой макросов


ppam надстройка Microsoft Office PowerPoint 2007 с поддержкой макросов
md* документы и файлы Microsoft Office Access, такие как:
mda рабочая группа Microsoft Office Access
ОВ

mdb база данных Microsoft Office Access


sldx слайд Microsoft Office PowerPoint 2007
sldm слайд Microsoft Office PowerPoint 2007 с поддержкой макросов
ИР

thmx тема Microsoft Office 2007

Защита от файловых угроз использует самый низкий уровень эвристики


П
КО

Эвристический анализ в Kaspersky Endpoint Security запускает исполняемый программы в изолированной


среде и смотрит, что они делают. В первую очередь эвристический анализ помогает обнаруживать
полиморфные вредоносные программы, которые меняют свой код во время выполнения.
О
II–18 ЛАБОРАТОРИЯ КАСПЕРСКОГО™

ЕН
KL 002.11. Kaspersky Endpoint Security and Management. Базовый курс

Когда злоумышленники рассылают новую вредоносную программу по почте, или загружают новую версию

Щ
вредоносного модуля на зараженный компьютер, они могут генерировать файл с уникальной контрольной
суммой для каждого компьютера или адресата. Сигнатуры и даже Kaspersky Security Network в этом случае
не помогут. Но эвристический анализ как раз и позволит увидеть, что все эти варианты после запуска

Е
восстанавливают одинаковый вредоносный код.

ПР
Поэтому не выключайте Эвристический анализ в Защите от файловых угроз.

С другой стороны, Эвристический анализ задерживает запуск файлов. Уровень эвристики —

ЗА
Поверхностный, Средний или Глубокий — определяет время наблюдения объекта в виртуальной среде. В
контексте работы Защиты от файловых угроз это означает увеличение задержки при запуске программ.
Чтобы не замедлять компьютер, в настройках по умолчанию выбран самый низкий уровень.

Е
Защита от файловых угроз не проверяет файлы, которые уже проверяла

НИ
Производительность \ Оптимизация проверки \ Проверять только новые и измененные файлы

Е
Включено (по Защита от файловых угроз не проверяет файлы, которые уже проверяла, если
умолчанию) файлы с тех пор не изменились

Выключено АН
Защита от файловых угроз проверяет файлы каждый раз, когда к ним обращается
пользователь или программа
ТР

Большая часть файлов на компьютере меняется редко, поэтому проверяя только новые и измененные файлы,
Защита от файловых угроз почти не загружает компьютер. В первые несколько дней, пока все файлы для
ОС

Kaspersky Endpoint Security новые, пользователь может ощущать, что компьютер работает медленнее. Но
довольно скоро Защита от файловых угроз перестает заметно влиять на производительность.

Не выключайте опцию Проверять только новые и измененные файлы в Защите от файловых угроз, это
Р

замедлит компьютер.
СП

Как Kaspersky Endpoint Security узнает, какие файлы менялись, а какие нет?
РА

Файловая система NTFS (и ее наследник ReFS) записывает, когда файлы меняются, и гарантирует
целостность этих записей. Поэтому на дисках с файловой системой NTFS Kaspersky Endpoint Security просто
смотрит на дату изменения файла.

Файловая система FAT32 может не записывать дату изменения, и не защищает саму дату изменения от
И

изменений. Вредоносная программа может изменить файл, а потом записать ему какую угодно дату
изменения. Поэтому на дисках с файловой системой FAT32 Kaspersky Endpoint Security сохраняет в
Е

специальную базу контрольные суммы проверенных файлов. При следующем обращении Kaspersky
Endpoint Security заново вычисляет контрольную сумму и сравнивает ее с сохраненной. Если суммы
И

отличаются, значит файл изменился, и Защита от файловых угроз его проверяет.


АН

Проверять новые файлы только один раз опасно. Если вредоносная программа попала на компьютер до того,
как Kaspersky Endpoint Security получил ее сигнатуры, Защита от файловых угроз ее проверит, посчитает
чистой, и не будет проверять при следующих запусках.
ОВ

Чтобы так не случилось, даже когда опция Проверять только новые и измененные файлы включена,
Защита от файловых угроз проверяет все новые файлы не один раз, а как минимум два раза или даже
несколько раз.
ИР

Для этого Kaspersky Endpoint Security хранит время выпуска сигнатур, которыми проверял файл первый раз
и последний раз. Если файл проверялся только один раз или если текущая версия сигнатур отличается от
той, которой файл был проверен первый раз, меньше чем на 24 часа, Защита от файловых угроз проверяет
П

файл еще раз.


КО
О
II–19

ЕН
Часть II.Управление защитой

Что если сигнатуры для новой угрозы не появятся за 24 часа? Такого почти никогда не бывает. Тем более,

Щ
кроме сигнатур Kaspersky Endpoint Security использует информацию из Kaspersky Security Network, куда
сведения об угрозах попадают без задержек.

Е
Чтобы еще снизить риск, используйте поиск вирусов, чтобы проверять все файлы на компьютере, в том
числе и те, которые не менялись, и которые Защита от файловых угроз уже проверяла.

ПР
iSwift и iChecker

ЗА
Дополнительно \ Технологии проверки \ Технология iSwift

Включено (по Если выключена опция Проверять только новые и измененные файлы, использовать
умолчанию) специальный алгоритм, чтобы проверять файлы в файловой системе NTFS, не при

Е
каждом обращении

НИ
Выключено Если выключена опция Проверять только новые и измененные файлы, проверять
файлы в файловой системе NTFS при каждом обращении

Дополнительно \ Технологии проверки \ Технология iSwift

Е
Включено (по Если выключена опция Проверять только новые и измененные файлы, использовать
умолчанию)
АН
специальный алгоритм, чтобы проверять файлы на файловой системе FAT32, не при
каждом обращении

Выключено Если выключена опция Проверять только новые и измененные файлы, проверять
ТР
файлы в файловой системе FAT32 при каждом обращении

Технологии проверки iSwift и iChecker отвечают за сбор данных об изменениях в файлах. Технология iSwift
ОС

извлекает данные об изменениях из файловой системы NTFS (и ReFS). Технология iChecker применяется к
исполняемым файлам, расположенным на дисках с другими файловыми системами, например, FAT32. Для
этого iChecker вычисляет и сохраняет контрольную сумму проверенных исполняемых файлов. Если при
следующей проверке контрольная сумма совпадает, значит, файл не менялся. Обе технологии сохраняют в
Р

отдельную базу время проверки файла и версию сигнатур, использованных для проверки.
СП

Если включена опция Проверять только новые и измененные файлы, параметры Технология iSwift и
Технология iChecker ни на что не влияют. Если их выключить, Kaspersky Endpoint Security все равно будет
следить за тем, менялись ли файлы, и будет записывать в базы iSwift и iChecker, какими версиями сигнатур
РА

проверял файлы.

Зачем нужны параметры Технология iSwift и Технология iChecker? Допустим администратор считает, что
проверять новые файлы только первые сутки слишком опасно, и выключил опцию Проверять только
И

новые и измененные файлы. Но и проверять файлы при каждом обращении он не хочет, потому что это
замедляет компьютер. Параметры Технология iSwift и Технология iChecker как раз и включают режим,
когда Защита от файловых угроз проверяет файлы не при каждом обращении, но и никогда полностью не
Е

доверяет уже проверенным файлам, а продолжает их иногда перепроверять новыми базами. Работает это так.
И

Новым файлам Kaspersky Endpoint Security не доверяет, и проверяет их при каждом обращении, если с
АН

последней проверки изменилась версия сигнатур. Проверять файл одними и теми же сигнатурами смысла
нет. Так продолжается несколько дней.

Если за это время файл не менялся и при каждой проверке был незараженным, Kaspersky Endpoint Security
ОВ

назначает файлу доверительный период. Во время доверительного периода, если файл не менялся Защита от
файловых угроз его не проверяет.

Когда доверительный период заканчивается, Защита от файловых угроз проверяет файл при очередном
ИР

обращении свежей версией сигнатур. Если файл по-прежнему чистый, он получает новый доверительный
период, длиннее предыдущего.
П

Таким образом, файлы, которые давно находятся на компьютере и не меняются, со временем проверяются
все реже и реже.
КО
О
II–20 ЛАБОРАТОРИЯ КАСПЕРСКОГО™

ЕН
KL 002.11. Kaspersky Endpoint Security and Management. Базовый курс

Использовать параметры Технология iSwift и Технология iChecker вместо Проверять только новые и

Щ
измененные файлы безопаснее. И со временем Защита от файловых угроз почти перестает загружать
компьютер, как и при включенной опции Проверять только новые и измененные файлы. Но улучшение
производительности происходит значительно дольше.

Е
ПР
Не выключайте технологии iSwift и iChecker в Защите от файловых угроз. Это или не даст никакого эффекта
(если включена опция Проверять только новые и измененные файлы) или увеличит количество проверок
и замедлит компьютер

ЗА
Защита от файловых угроз не проверяет составные файлы (архивы и пр.)

Е
Производительность \ Проверка составных файлов \ Проверять архивы

НИ
Включено Защита от файловых угроз проверяет файлы внутри архивов форматов RAR, ARJ, ZIP,
CAB, LHA, JAR, ICE. Для этого Защита от файловых угроз распаковывает файлы из
архива во временную папку или в память

Е
Выключено Защита от файловых угроз не распаковывает архивы и не проверяет файлы в них
(по умолчанию)

АН
Чтобы проверить файлы в архиве, Защита от файловых угроз распаковывает архив, и на это уходит много
ресурсов компьютера. Сами по себе архивы не опасны. Даже если в архиве есть вредоносный файл, его
ТР
нельзя запустить их архива. Пользователь либо сам распакует архив, либо это сделает операционная система
незаметно для пользователя. В любом случае вредоносный файл попадает на диск, и Защита от файловых
угроз проверяет его как обычный файл.
ОС

Не включайте опцию Проверять архивы в Защите от файловых угроз. Это замедлит компьютер и не
повлияет на защиту
Р

Производительность \ Проверка составных файлов \ Проверять установочные пакеты


СП

Включено Защита от файловых угроз проверяет файлы внутри самораспаковывающихся архивов и


установочных пакетов, таких, как MSI. Для этого Защита от файловых угроз извлекает
файлы из пакета во временную папку или в память
РА

Выключено Защита от файловых угроз не проверяет самораспаковывающиеся архивы и


(по умолчанию) установочные пакеты
И

Установочные пакеты это исполняемые файлы. И Защита от файловых угроз в любом случае проверяет их
исполняемую часть. Но большая часть информации внутри установочного пакета это заархивированные
Е

файлы программы, которую устанавливает пакет. Чтобы проверить их, Защита от файловых угроз извлекает
их из пакета, и это ничем не отличается от проверки архивов.
И

Установочные пакеты Защитой от файловых угроз проверять не нужно. Если пользователь копирует пакет,
АН

он не может заразить компьютер. Если пользователь запускает пакет, пакет сам извлекает из себя файлы и
сохраняет их на диск, где их и проверяет Защита от файловых угроз.
ОВ

Производительность \ Проверка составных файлов \ Проверять файлы офисных форматов

Включено (по Защита от файловых угроз проверяет исполняемые куски не только в самих документах
умолчанию) Microsoft Office, но и в объектах, вложенных в документы Microsoft Office
ИР

Выключено Защита от файловых угроз проверяет исполняемые куски только непосредственно в


документах Microsoft Office, но не во вложенных в них объектах
П

У файлов Microsoft Office сложная структура. Можно сказать, что внутри у документа Microsoft Office своя
КО

собственная файловая система с дополнительными файлами. Когда пользователь вставляет в документ Word
график, который он подготовил в Excel, Microsoft Office может добавить в документ Word весь документ
Excel, со всеми данными, формулами и макросами.
О
II–21

ЕН
Часть II.Управление защитой

Не отключайте проверку документов офисных форматов. Не проверять объекты, вложенные в офисные

Щ
документы опасно. В них могут быть вредоносные макросы, которые программы Office запускают, не
сохраняя предварительно на диск.

Е
Новые и измененные архивы

ПР
Если выключить опцию Проверять только новые и измененные файлы, появляется возможность
проверять только новые и измененные архивы, установочные пакеты и файлы офисных форматов.

ЗА
Параметры проверки архивов

Е
Если администратор включил проверять архивы, и пользователь попробует скопировать или открыть архив,
операция не начнется, пока Защита от файловых угроз не распакует архив и не проверит в нем все файлы.

НИ
Все это время пользователь ничего не сможет делать с архивом.

Если администратор хочет проверять архивы, он может сделать жизнь пользователей легче, изменив
дополнительные параметры проверки архивов.

Е
Распаковывать
АН
Производительность \ Проверка составных файлов \ Дополнительно \ Фоновая проверка

Защита от файловых угроз будет задерживать только операции с небольшими


составные файлы в архивами. Если пользователь обращается к большому архиву, Защита от файловых
ТР
фоновом режиме угроз разрешит доступ, но параллельно начнет распаковывать файлы архива и
проверять их. И пользователю не придется ждать. Большие архивы это те, которые
больше чем Минимальный размер файла
ОС

Минимальный размер По умолчанию не задан. Т.е. если включить распаковывать составные файлы в
файла фоновом режиме, Защита от файловых угроз будет проверять в фоновом режиме
все архивы
Р

Производительность \ Проверка составных файлов \ Дополнительно \ Ограничения по размеру


СП

Не распаковывать Защита от файловых угроз будет проверять только архивы, которые меньше чем
составные файлы Максимальный размер файла
большого размера
РА

Максимальный размер По умолчанию равен 8 МБ.


файла
И

Защита от файловых угроз проверяет файлы не при каждой операции


чтения или записи
И Е

Режим проверки определяет, при каких операциях с файлами выполняется проверка. Их проще
АН

рассматривать снизу вверх:

Дополнительно \ Режим проверки


ОВ

При выполнении Защита от файловых угроз проверяет файлы перед запуском. Когда пользователь или
программа копирует или меняет файл, Защита от файловых угроз его не проверяет

При доступе Защита от файловых угроз проверяет файлы перед операцией чтения. Чтобы
ИР

скопировать или запустить файл, его нужно прочитать, т.е. Защита от файловых
угроз проверяет в том числе исполняемые файлы перед запуском и все потенциально
опасные файлы перед копированием. Когда пользователь или программы меняют
П

файлы, Защита от файловых угроз их не проверяет


КО

При доступе и Защита от файловых угроз проверяет файлы при всех операциях чтения и записи. Это
изменении самый безопасный режим, но и самый ресурсоемкий
О
II–22 ЛАБОРАТОРИЯ КАСПЕРСКОГО™

ЕН
KL 002.11. Kaspersky Endpoint Security and Management. Базовый курс

Интеллектуальный Защита от файловых угроз анализирует порядок операций с файлом. Если файл был

Щ
режим открыт на запись, проверка выполняется после закрытия файла, когда все изменения
с ним уже выполнены. Промежуточные изменения файла не анализируются. Или
если файл открыт на чтение, он проверяется при первом доступе, а при последующих

Е
обращениях в рамках той же операции чтения не проверяется

ПР
Интеллектуальный режим обеспечивает такую же защиту, как и При доступе и изменении, но тратит
меньше ресурсов. Используйте его на большинстве компьютеров.

ЗА
Режимы При доступе и При выполнении используйте на компьютерах, где производительность важнее
безопасности, но на свой страх и риск.

Е
Защита от файловых угроз удаляет вредоносные программы

НИ
Вредоносные программы, обнаруженные Защитой от файловых угроз, нельзя оставлять необработанными.
Поэтому настройки действий Защиты от файловых угроз должны быть обязательными. Оптимальным

Е
выбором будет пытаться лечить, а если лечение невозможно, удалять зараженные файлы. Большинство
вредоносных файлов неизлечимы, потому что не содержат ничего кроме вредоносного кода.

АН
Перед лечением или удалением файла его копия помещается в резервное хранилище. Это делается на случай,
если файл понадобится восстановить. Например, если в нем была критично важная информация, или если
файл был удален в результате ложного срабатывания.
ТР

Если включен компонент Откат вредоносных действий (из Расширенной защиты), для объектов, которые в
результате проверки удаляются, будет выполнен откат действий 1.
ОС

2.3 Что делать если Защита от файловых угроз


Р
СП

замедляет компьютер
РА
И
И Е
АН
ОВ
П ИР
КО

1
О процедуре отката действий рассказывается в 4 главе этой части
О
II–23

ЕН
Часть II.Управление защитой

Во-первых, выясните, действительно ли Защита от файловых угроз замедляет компьютер (или программу):

Щ
— Найдите компьютер, который работает медленно
— Отключите на нем политику (см. раздел Как защитить Kaspersky Endpoint Security от пользователя)

Е
— Остановите (выключите) Защиту от файловых угроз
— Проверьте, стал ли компьютер (программа) работать быстрее

ПР
Даже если без Защиты от файловых угроз программы на компьютере работают быстрее, не выключайте
Защиту от файловых угроз. Настройте исключения для программ. Попробуйте разные виды исключений:

ЗА
— Если все файлы программы в одной папке, исключите из проверки папку программы

— Если программа работает с файлами в разных папках или во временной папке, сделайте

Е
исполняемый файл программы доверенным

НИ
Не исключайте из проверки временную папку операционной системы. Вредоносные программы часто
запускаются именно из нее

Е
— Если программа работает с файлами в сетевых папках, попробуйте отключить проверку сетевых
дисков

АН
— Для программ, которые работают по расписанию в нерабочее время, приостанавливайте Защиту от
файловых угроз на время работы программы
ТР

Как исключить папку программы


Р ОС
СП
РА
И
И Е
АН

Исключения настраиваются в политике Kaspersky Endpoint Security: откройте раздел Общие параметры
защиты\Исключения и нажмите кнопку Настройка в секции исключения из проверки и доверенная зона.
ОВ

Исключения для папок находятся на закладке Исключения из проверки и применяются ко всем


компонентам защиты. Исключения из проверки состоят из трех атрибутов:
ИР

— Файл или папка — имя файла или каталога, на который распространяется исключение. В имени
объекта можно использовать переменные окружения (%systemroot%, %userprofile% и другие) и
спецсимволы «*» и «?»
П

— Название объекта — имя игнорируемой угрозы (как правило, имя вредоносной программы),
КО

которое тоже можно задать с использованием спецсимволов


О
II–24 ЛАБОРАТОРИЯ КАСПЕРСКОГО™

ЕН
KL 002.11. Kaspersky Endpoint Security and Management. Базовый курс

— Хеш объекта — контрольная сумма файла (SHA-256), на который распространяется исключение.

Щ
— Компоненты защиты— перечень компонентов защиты, на которые распространяется правило

Е
Из четырех атрибутов, обязательными являются любой из первых трех и четвертый. Можно создать

ПР
полноценное правило исключения для отдельного файла или каталога, не указывая тип угроз — выбранные
компоненты будут игнорировать любые угрозы в указанных объектах. И наоборот, можно создать правило
исключения для некоторого типа угроз, например, для средства удаленного управления UltraVNC, так что
выбранные компоненты не будут реагировать на эту угрозу независимо от того, где она обнаружена.

ЗА
Нередко используются три атрибута. Так, в списке исключений сразу имеется набор правил для
распространенных средств удаленного управления: UltraVNC, RAdmin и пр. В них задан и тип угроз, и
объект — расположение исполняемого файла при типичной установке средства управления. Такое правило

Е
не будет реагировать на средства управления, запускаемые из Program Files, но если пользователь запустит
UltraVNC из своего домашнего каталога, Kaspersky Endpoint Security воспримет это как угрозу.

НИ
Как исключить файлы, к которым обращается процесс

Е
АН
ТР
Р ОС
СП
РА
И

Если на компьютере запускаются особенно ресурсоемкие приложения, их работа может замедляться


Защитой от файловых угроз. Особенно это касается программ, выполняющих много операций с файлами,
например, резервного копирования или дефрагментации. Чтобы избежать замедления во время работы таких
Е

приложений, сделайте их доверенными.


И

Для этого в окне настройки исключений добавьте исполняемый файл в список на закладке Доверенные
АН

программы. В окне Исключения из проверки для программы укажите путь к исполняемому файлу, и
выберите тип разрешенных действий — Не проверять открываемые файлы. Путь может содержать
переменные среды и символов “*” и “?”
ОВ
ПИР
КО
О
II–25

ЕН
Часть II.Управление защитой

Как не проверять сетевые диски

Е Щ
ПР
ЗА
Е
Е НИ
АН
ТР
Не проверять сетевые диски опасно. Перед тем, как выключить проверку сетевых дисков, будьте уверены,
что на всех компьютерах сети установлены средства защиты. Не отключайте проверку сетевых дисков «на
всякий случай», а только если это решает проблему пользователей
ОС

Чтобы не проверять сетевые диски, измените область защиты в настройках уровня безопасности.

Область защиты в Защите от файловых угроз по умолчанию включает:


Р
СП

— Все съемные диски


— Все жесткие диски
— Все сетевые диски
РА

Иными словами — любые диски, с которых может быть произведен запуск вредоносных объектов. Область
защиты допускает добавление отдельных дисков или каталогов, вместо групп дисков. Однако отключение
любой из стандартных областей проверки существенно понижает уровень защиты.
И
И Е
АН
ОВ
ИР
П
КО
О
II–26 ЛАБОРАТОРИЯ КАСПЕРСКОГО™

ЕН
KL 002.11. Kaspersky Endpoint Security and Management. Базовый курс

Как временно остановить Защиту от файловых угроз

Е Щ
ПР
ЗА
Е
Е НИ
АН
ТР
Если желаемого эффекта не удается добиться настройкой исключений, как крайнюю меру, можно настроить
приостановку Защиту от файловых угроз на время работы программы. (Приостановка включается в
свойствах Уровня безопасности на закладке Дополнительно)
ОС

Защиту от файловых угроз можно остановить на время выполнения ресурсоемкой операции. Для этого
предназначены опции в группе Приостановка задачи:
Р

— По расписанию — расписание только ежедневное, задается временем приостановки Защиты от


файловых угроз и временем возобновления ее работы. Время указывается в часах и минутах.
СП

— При запуске программ — Защиты от файловых угроз будет приостанавливать работу при
появлении в памяти выбранной программы, и возобновлять работу после исчезновения программы
РА

из памяти

Как применить настройки к компьютерам


И

Настройки политики должны быть обязательными, т.е. с закрытым замком. Настройки с незакрытым замком
Е

не применяются к компьютерам.
И

Из-за того, что в политике по умолчанию все замки закрыты, администратор может вообще не обращать на
них внимания. Пока он меняет настройки и не трогает замки, все настройки остаются обязательными и
АН

применяются к компьютерам.

Но все равно помните, что без закрытых замков настройки не применяются. Если вы изменили настройки в
ОВ

политике, а на компьютерах они не изменились, проверьте замки в политике.


ПИР
КО
О
II–27

ЕН
Часть II.Управление защитой

2.4 Стандартные уровни безопасности Защиты от

Щ
файловых угроз

Е
ПР
Уровнем безопасности можно управлять при помощи переключателя имеющего три положения: Низкий,
Рекомендуемый и Высокий. В зависимости от положения переключателя настройки Защиты от файловых

ЗА
угроз принимают следующие значения:

Низкий Рекомендуемый Высокий

Е
Типы файлов Файлы, проверяемые Файлы, проверяемые по Все файлы

НИ
по расширению формату

Область защиты Все съемные диски Все съемные диски Все съемные диски
Все жесткие диски Все жесткие диски Все жесткие диски

Е
Все сетевые диски Все сетевые диски Все сетевые диски

Эвристический анализ Поверхностный

Проверять только +
АН
Поверхностный

+
Средний


новые и измененные
ТР
файлы

Проверка составных Проверять файлы офисных Проверять новые архивы


файлов форматов Проверять новые
ОС

Не распаковывать составные установочные пакеты


файлы большого размера: 8 Проверять все файлы
MB офисных форматов
Р

Распаковывать составные
файлы любого размера
СП

Режим проверки Интеллектуальный Интеллектуальный Интеллектуальный

Технологии проверки Технология iSwift Технология iSwift Технология iSwift


РА

Технология iChecker Технология iChecker Технология iChecker

Приостановка задачи — — —
И

Изменение любых параметров приводит к тому, что уровень безопасности меняется на Другой. Чтобы
вернуться к уровню Рекомендуемый, нажмите кнопку По умолчанию.
И Е
АН
ОВ
ИР
П
КО
О
II–28 ЛАБОРАТОРИЯ КАСПЕРСКОГО™

ЕН
KL 002.11. Kaspersky Endpoint Security and Management. Базовый курс

2.5 Как и зачем проверять файлы по

Щ
расписанию

Е
ПР
Зачем искать вредоносные программы после Защиты
от файловых угроз

ЗА
Е
Е НИ
АН
ТР
Р ОС

Чем помогает поиск вирусов, если Защита от файловых угроз все равно проверяет все опасные файлы?
СП

Поиск вирусов:

— Не дает пользователям распространять вредоносные программы в архивах


РА

— Обновляет кэши KSN, iSwift и iChecker, после чего Защита от файловых угроз может проверять
меньше файлов

— Проверяет файлы, которые не менялись. Защита от файловых угроз не проверяет такие файлы и
И

иногда это может быть опасно


Е

Задачи поиска вирусов выполняют проверку теми же способами, что и Защита от файловых угроз —
используя сигнатурный и эвристический анализ, а также KSN. Разница в том, что Защита от файловых угроз
И

проверяет файлы на лету, когда к ним происходит обращение, а задачи поиска вирусов проверяют файлы по
расписанию или по запросу.
АН

Защита от файловых угроз работает тогда же, когда и пользователь. Причем, чем активнее работают
пользовательские приложения, тем больше файлов проверяет Защита от файловых угроз, тратя больше
ресурсов. Из-за этого настройки Защиты от файловых угроз оптимизированы так, чтобы защищать только от
ОВ

немедленных угроз. Если пользователь копирует архив, немедленной угрозы заражения нет, и архив можно
не проверять.
ИР

Задачи поиска вирусов можно запускать в нерабочее время. В таком случае нет необходимости слишком уж
экономить ресурсы и можно выполнять проверку более тщательно. Поэтому, задача поиска будет ожидать
ответа из KSN для вынесения окончательного вердикта, независимо от результатов проверки с помощью
сигнатур и эвристики. Кроме того, поиском вирусов можно проверить объекты, исключенные из проверки в
П

Защите от файловых угроз — архивы, инсталляционные пакеты, прочие файлы незаражаемых форматов.
КО

Задача поиска вирусов может проверять процессы, находящиеся в памяти и ее можно запланировать для
выполнения после каждого результативного обновления баз.
О
II–29

ЕН
Часть II.Управление защитой

Где и как искать опасные файлы

Е Щ
ПР
ЗА
Е
Е НИ
АН
ТР
Настройки поиска вредоносных файлов задавайте в задачах поиска вирусов. Одну такую задачу создает
Мастер первоначальной настройки в группе Управляемые устройства. Пока не решите, что вам нужно
больше одной задачи, меняйте ее.
ОС

Область проверки
Р

Область проверки представляет собой список путей к папкам и файлам, которые проверяются во время
СП

работы задачи. При указании пути допускается использование переменных среды (например, %systemroot%),
а также символов * и ? в имени файла или папки. Для папок, можно дополнительно выбрать: проверять все
содержимое, включая подпапки, или только файлы, расположенные непосредственно в каталоге. В случае
если подпапки не проверяются, иконка объекта помечается небольшим красным значком "минус".
РА

Помимо файлов или каталогов в качестве объекта проверки можно указать:

— Моя почта — файлы данных Outlook (.pst и .ost)


И

— Память ядра —область памяти ядра операционной системы


— Запущенные программы и объекты автозапуска — область памяти, занятая процессами, и
исполняемые файлы программ, которые запускаются при старте системы. Дополнительно, если в
Е

свойствах задачи выбран этот объект, в ходе поиска будет выполняться проверка на наличие
И

руткитов (скрытых объектов файловой системы)


— Загрузочные секторы — проверяются загрузочные секторы жестких и съемных дисков
АН

— Системное резервное хранилище — проверка папок System Volume Information


— Все съемные диски — съемные диски, подключенные в данный момент к компьютеру
— Все жесткие диски — жесткие диски компьютера
— Все сетевые диски — все сетевые диски, подключенные к компьютеру
ОВ

— Компьютер — проверяются все перечисленные выше объекты, кроме Моя почта и Все сетевые
диски

Сделайте задачу, которая проверяет весь компьютер раз в неделю или раз в две недели. Если для такой
ИР

задачи нет времени, когда ее можно выполнить, проверяйте хотя бы критические области:

— Память ядра
П

— Запущенные процессы и объекты автозапуска


— Загрузочные секторы
КО

— %systemroot%\
— %systemroot%\system\
О
II–30 ЛАБОРАТОРИЯ КАСПЕРСКОГО™

ЕН
KL 002.11. Kaspersky Endpoint Security and Management. Базовый курс

— %systemroot%\system32\

Щ
— %systemroot%\system32\drivers\
— %systemroot%\syswow64\
— %systemroot%\syswow64\drivers\

Е
ПР
Уровень безопасности

Параметры уровня безопасности в задачах поиска вирусов практически ничем не отличаются от параметров

ЗА
уровня безопасности в Защите от файловых угроз. Есть всего лишь несколько параметров поиска вирусов,
которых не было в Защите от файловых угроз:

— Пропускать файлы если их проверка длится более N с. — на закладке Область действия в

Е
секции Оптимизация проверки. Включите этот параметр, если поиск вирусов выполняется долго и

НИ
не успевает завершиться в отведенное для него время

— Проверять файлы почтовых форматов — на закладке Область действия в секции Проверка


составных файлов. По умолчанию выключен, т.к. к файлам почтовых форматов относятся и файлы

Е
почтовых ящиков, проверка которых отнимает очень много времени

АН
Есть вредоносные файлы, которые распространяются как офисные документы с вложенными файлами
почтовых форматов, в которых в свою очередь находится исполняемый файл. Чтобы полностью обезвредить
такой файл, включите и проверку офисных документов, и проверку почтовых форматов
ТР

— Проверять защищенный паролем архивы — про проверке таких архивов, Kaspersky Endpoint
Security будет запрашивать у пользователя пароль для распаковки архива. Поскольку сканирование
ОС

по расписанию обычно выполняется в нерабочие часы, эта опция должна использоваться только для
задач, которые запускаются пользователями вручную.

Задачи поиска вирусов используются, в том числе и для проверки архивов. Это важно, поскольку Защита от
Р

файловых угроз архивы, как правило, не проверяет. Задача поиска вирусов может проверять те же типы
составных объектов, что и Защита от файловых угроз.
СП

Обработка составных объектов регулируется дополнительным параметром, доступным по нажатию кнопки


Дополнительно — Не распаковывать составные файлы большого размера.
РА

Остальные параметры уровня безопасности есть и в Защите от файловых угроз и работают точно так же.

Поскольку цель поиска вирусов проверить файлы, которые не проверяла Защита от файловых угроз, и
обновить кэши KSN, iSwift и iChecker, чтобы Защита от файловых угроз могла проверять меньше файлов,
И

используйте такие настройки:


Е

— Проверять все файлы


— Не проверять только новые и измененные файлы
И

— Проверять все архивы, установочные пакеты и файлы офисных форматов


АН

А если время позволяет, на закладке Дополнительно:

— Установите глубокий уровень эвристического анализа


ОВ

— Отключите технологии iSwift и iChecker, чтобы задача проверяла действительно все файлы

Учетная запись
ИР

По умолчанию задачи поиска запускаются на клиентских компьютерах с правами учетной записи локальной
системы. В случае если в область проверки задачи входят сетевые диски или другие объекты, доступ к
П

которым открыт не для всех пользователей, задача проверки не сможет их просканировать. Чтобы решить
проблему, укажите в свойствах задачи учетную запись, обладающую необходимыми правами.
КО
О
II–31

ЕН
Часть II.Управление защитой

Стандартные уровни безопасности поиска вирусов

Е Щ
Параметры проверки могут регулироваться и переключателем уровня безопасности. При этом будут
использоваться следующие настройки:

ПР
Низкий Рекомендуемый Высокий

ЗА
Типы файлов Файлы, проверяемые Все файлы Все
по формату файлы

Проверять только новые и измененные файлы + – –

Е
Пропускать файлы, если их проверка длится более 180 с – –

НИ
Проверять архивы Новые Все Все

Проверять инсталляционные пакеты Новые Все Все

Е
Проверять вложенные OLE-объекты Новые Все Все

Проверять файлы почтовых форматов

Проверять защищенные паролем архивы


АН –



+


ТР
Не распаковывать составные файлы большого – – –
размера

Эвристический анализ Поверхностный Средний Глубокий


ОС

Технология iChecker + + +

Технология iSwift
Р

+ + +
СП

Как выбрать оптимальное расписание


РА
И
И Е
АН
ОВ
ИР
П

Задачи поиска вирусов могут иметь любое периодическое расписание: каждый N день, еженедельно,
ежемесячно. Их можно запускать один раз в указанное время, или просто вручную.
КО
О
II–32 ЛАБОРАТОРИЯ КАСПЕРСКОГО™

ЕН
KL 002.11. Kaspersky Endpoint Security and Management. Базовый курс

Кроме этого доступны специальные расписания:

Щ
— После обновления программы — т.е. после загрузки и применения новых сигнатур угроз. Такое
расписание хорошо использовать для проверки памяти и других мест, где могут располагаться

Е
активные угрозы

ПР
— При запуске программы — т.е. сразу после включения Kaspersky Endpoint Security (или спустя
несколько минут). Это тоже хороший момент для проверки наиболее уязвимых областей
компьютера

ЗА
— По завершении другой задачи — универсальное расписание, позволяющее организовать цепочку
запусков. С практической точки зрения наиболее разумно увязывать поиск вирусов с завершением
обновления, но для этого уже есть специальное расписание

Е
— При обнаружении вирусной атаки — при регистрации на Сервере администрирования

НИ
специального события Вирусная атака.

Имеется возможность запускать пропущенные задачи. Если в запланированный момент поиска вирусов
компьютер был выключен, задача запустится при его включении. Используйте эту опцию осторожно. Если

Е
поиск вирусов запустится утром, когда пользователь включил компьютер, проверка будет мешать

АН
пользователю.

Режим Автоматически определять интервал для распределения запуска задачи полезнее для задач
обновления, чем для задач поиска вирусов. Читайте о нем в Части 4.
ТР

В окне Дополнительно есть еще несколько полезных настроек:


ОС

— Активировать компьютер перед запуском задачи функцией Wake On LAN за (мин.) —


позволяет планировать запуск проверки на ночное время или выходные дни, не беспокоясь о том,
будет ли компьютер включен. Правда, для использования этой функции нужно, чтобы ее поддержка
была включена в настройках BIOS компьютера
Р

— Выключать компьютер после выполнения задачи — может использоваться как продолжение


СП

предыдущей опции. Если проверка запланирована на ночное время или выходной, после ее
завершения компьютер можно выключить
РА

— Остановить, если задача выполняется дольше (мин.) — позволяет гарантированно завершить


задачу до начала рабочего дня, чтобы выполняющаяся проверка не мешала работе пользователей

На серверах выполняйте поиск вирусов по выходным, когда они меньше загружены.


И

На рабочих станциях постарайтесь найти такое время запуска, когда компьютеры включены, но поиск
вирусов не будет мешать пользователям:
Е

— Быстрый поиск вирусов можно выполнять в обеденный перерыв


И

— Полную проверку выполняйте ночью. Объясните пользователям, в какой день недели нужно
оставлять компьютеры включенными на ночь
АН
ОВ
ПИР
КО
О
II–33

ЕН
Часть II.Управление защитой

Что если оптимального расписания нет

Е Щ
ПР
ЗА
Е
Е НИ
АН
Если с пользователями договориться не получается, используйте Wake-On-LAN, чтобы включить
ТР
компьютеры ночью и выполнить поиск вирусов. Если и этот вариант не работает, используйте так
называемый поиск при простое.
ОС

Чтобы включить поиск при простое, откройте в задаче раздел Параметры и включите опцию Выполнять
проверку во время простоя компьютера (в секции Режим запуска). В таком режиме поиск вирусов будет
выполняться, только если компьютер не используется (заблокирован или на нем работает экранная заставка),
а в противном случае задача перейдет в состояние Приостановлена.
Р
СП

Полная проверка компьютера в режиме при простое может занять несколько дней или даже пару недель, но
это лучше, чем не проверять компьютер вообще.
РА
И
И Е
АН
ОВ
ИР
П
КО
О
II–34 ЛАБОРАТОРИЯ КАСПЕРСКОГО™

ЕН
KL 002.11. Kaspersky Endpoint Security and Management. Базовый курс

2.6 Что делать с ложными срабатываниями

Е Щ
ПР
Как настроить исключение для неправильного
вердикта

ЗА
Е
Е НИ
АН
ТР
Р ОС

Если Kaspersky Endpoint Security сообщает об угрозе в заведомо чистом файле, это ложное срабатывание.
СП

Ложные срабатывания сильно мешают работе. Поэтому Лаборатория Касперского очень тщательно
тестирует новые сигнатуры на огромной базе файлов операционных систем и популярных программ, чтобы
не допустить ложных срабатываний. И уже во время проверки Kaspersky Endpoint Security сверяет файлы с
РА

Kaspersky Security Network и игнорирует угрозы в файлах, которые известны в KSN как доверенные.

Ложные срабатывания на файлах случаются крайне редко, и если случаются, как правило, это файлы мало
распространенных программ: например, программ внутренней разработки.
И
И Е
АН
ОВ
ПИР
КО
О
II–35

ЕН
Часть II.Управление защитой

Если Защита от файловых угроз или задачи поиска вирусов ошибочно находят угрозу в файле, создайте

Щ
исключение для этого файла:

1. Откройте настройки доверенной зоны в политике Kaspersky Endpoint Security: Общие параметры

Е
защиты \ Исключения \ Исключения из проверки и доверенная зона \ Настройка

ПР
2. Добавьте файл, на котором происходит ложное срабатывание в список на закладке Исключения из
проверки. Отметьте флаг Файл или папка. Укажите полный путь к файлу в поле Файл или папка
в нижней части окна. Используйте переменные среды, такие как %ProgramFiles%

ЗА
Безопаснее делать исключения не для файла вообще, а для конкретной угрозы, которую ошибочно находит
Kaspersky Endpoint Security. Для этого:

Е
3. Отметьте флаг Название объекта в окне исключения. Укажите имя угрозы в поле Название
объекта в нижней части окна. Имя угрозы ищите в событии об угрозе от Kaspersky Endpoint

НИ
Security в поле Результат\Имя

Исключения по контрольной сумме

Е
АН
ТР
Р ОС
СП
РА
И

Что делать, если файл, для которого необходимо настроить исключения может находиться в разных местах
на разных компьютерах?
И Е

Если версия файла одинакова на всех компьютерах, используйте контрольную сумму файла:
АН

1. Откройте настройки доверенной зоны в политике Kaspersky Endpoint Security: Общие параметры
защиты \ Исключения \ Исключения из проверки и доверенная зона \ Настройка

2. Добавьте файл, на котором происходит ложное срабатывание в список на закладке Исключения из


ОВ

проверки. Отметьте флаг Хеш объекта. Укажите контрольную сумму файла в поле Хеш объекта в
нижней части окна. Контрольную сумму можно получить непосредственно из файла или
скопировать из события обнаружения.
ИР

Kaspersky Endpoint Security определяет контрольные суммы проверяемых файлов и отображает эти данные в
событиях обнаружения.
П
КО
О
II–36 ЛАБОРАТОРИЯ КАСПЕРСКОГО™

ЕН
KL 002.11. Kaspersky Endpoint Security and Management. Базовый курс

Исключения по сертификатам

Е Щ
Что делать, если вы настроили исключение, но вышла новая версия программы с новым именем папки и
исполняемого файла, и на нем тоже происходит ложное срабатывание?

ПР
Если имена файлов похожие, используйте маску пути. В маске символ «*» заменяет произвольное
количество символов, а символ «?» заменяет один произвольный символ. Например, маска file*.exe
соответствует всем файлам, которые начинаются на «file» и имеют расширение «.exe».

ЗА
Если имена файлов совсем разные, но все файлы подписаны сертификатом, поместите сертификаты в
хранилище сертификатов компьютеров, где используется программа и настройте Kaspersky Endpoint Security
доверять этим сертификатам:

Е
НИ
1. Откройте настройки доверенной зоны в политике Kaspersky Endpoint Security: Общие параметры
защиты \ Исключения \ Исключения из проверки и доверенная зона \ Настройка

2. Перейдите на закладку Доверенное системное хранилище сертификатов, включите параметр

Е
Использовать доверенное системное хранилище сертификатов и выберите одно из хранилищ.
По умолчанию предлагается хранилище Доверительные отношения в предприятии (Enterprise Trust)

3. АН
Поместите сертификат(ы), которыми подписаны файлы программы в выбранное хранилище на
клиентских компьютерах. Для этого используйте, например, групповые политики Active Directory
ТР
На компьютере есть пользовательские хранилища сертификатов и хранилища сертификатов компьютера.
Kaspersky Endpoint Security доверяет только сертификатам, которые находятся в хранилище компьютера
ОС

Для программ внутренней разработки можно использовать даже самоподписанные сертификаты.


Р

2.7 Защита файлов: резюме


СП
РА
И
И Е
АН
ОВ
ПИР

Защита от файловых угроз проверяет файлы на диске, к которым обращаются пользователи, программы и
операционная система. Чтобы не замедлять компьютер, Защита от файловых угроз проверяет только те
КО

файлы, которые представляют непосредственную угрозу. Но она не мешает пользователю копировать


вредоносные файлы в архивах.
О
II–37

ЕН
Часть II.Управление защитой

Задачи поиска вирусов проверяют все файлы и удаляют вредоносные файлы, которые пассивно лежат на

Щ
компьютере. Например, вредоносные файлы в архивах.

Если удобного расписания для поиска вирусов нет, используйте поиск вирусов при простое компьютера.

Е
Если Защита от файловых угроз замедляет компьютер или программы:

ПР
— Запланируйте поиск вирусов, поиск вирусов обновляет кэш проверки файлов и позволяет Защите от
файловых угроз не проверять их еще раз, если они не менялись

ЗА
— Настройте исключения для программ: для папок, исполняемых файлов или сертификатов

— Если медленно работает загрузка файлов по сети (например, профиля пользователя), и на сетевых

Е
серверах тоже есть средства защиты, не проверяйте сетевые диски

НИ
— В крайнем случае, приостанавливайте Защиту от файловых угроз на время работы ресурсоемких
программ

Е
Не выключайте Защиту от файловых угроз. Запланируйте поиск вирусов на компьютерах

АН
ТР
Р ОС
СП
РА
И
И Е
АН
ОВ
ИР
П
КО
О
II–38 ЛАБОРАТОРИЯ КАСПЕРСКОГО™

ЕН
KL 002.11. Kaspersky Endpoint Security and Management. Базовый курс

Щ
Глава 3. Как настроить защиту от угроз по

Е
ПР
сети

ЗА
3.1 Как работает защита сети

Е
НИ
Что делают сетевые компоненты

Е
АН
ТР
Р ОС
СП
РА
И

Сеть — это один из основных путей распространения вредоносных программ. Поэтому защита сети и
проверка сетевого трафика играет важную роль в обеспечении безопасности компьютера. В Kaspersky
Е

Endpoint Security за поиск вредоносных программ в сетевом трафике отвечают компоненты Защита от
почтовых угроз и Защита от веб-угроз:
И

Защита от почтовых угроз Удаляет вредоносный код из почтовых сообщений и вложений


АН

Переименовывает потенциально опасные вложения

Защита от веб-угроз Не дает загружать вредоносные файлы


ОВ

Не дает заходить на вредоносные и фишинговые сайты


ПИР
КО
О
II–39

ЕН
Часть II.Управление защитой

Как Kaspersky Endpoint Security перехватывает трафик

Е Щ
ПР
ЗА
Е
Е НИ
АН
ТР
Перехват сетевого трафика Kaspersky Endpoint Security осуществляет с помощью NDIS-фильтра. Драйвер
перехватывает исходящие соединения от программ на компьютере и передает пакеты сетевым компонентам
защиты. Kaspersky Endpoint Security определяет протокол соединения, и передает пакеты соответствующему
ОС

компоненту:

HTTP, FTP Защита от веб-угроз, Веб-контроль


Р

SMTP, POP3, IMAP, NNTP Защита от почтовых угроз


СП

Остальные пакеты поступают сразу к программам и приложениям, для которых они предназначены.

Kaspersky Endpoint Security не проверяет данные в защищенных соединениях (SSL/TLS)


РА

Kaspersky Endpoint Security может перехватывать не все исходящие соединения, а только соединения на
заданные порты. Для этого в политике Kaspersky Endpoint Security выберите раздел Общие параметры \
Исключения и в секции Контролируемые порты выберите Контролировать только выбранные порты.
И

Нажмите кнопку Настройка и укажите порты, которые нужно перехватывать.


Е

Если вы не знаете, какие именно порты использует программа, включите опцию Контролировать все
порты для указанных программ, и добавьте в список путь к исполняемому файлу программы.
И

Стандартные порты и программы уже указаны в списках контролируемых портов. Если используются
АН

нестандартные порты или программы, добавьте их в список.


ОВ
ИР
П
КО
О
II–40 ЛАБОРАТОРИЯ КАСПЕРСКОГО™

ЕН
KL 002.11. Kaspersky Endpoint Security and Management. Базовый курс

3.2 Защита от почтовых угроз

Е Щ
ПР
Что делает Защита от почтовых угроз

ЗА
Е
Е НИ
АН
ТР
ОС

Защита от почтовых угроз защищает от угроз, которые могут присутствовать в почтовых сообщениях.
Перехват сообщений осуществляется на уровне протоколов (POP3, SMTP, IMAP и NNTP), а также путем
Р

встраивания в Microsoft Office Outlook (MAPI).


СП

Защита от почтовых угроз обнаруживает и удаляет вредоносные программы, используя для этого сигнатуры
вредоносных программ, эвристический анализ и Kaspersky Security Network. Кроме этого, в Защите от
почтовых угроз есть возможность блокировать или переименовывать почтовые вложения, удовлетворяющие
РА

заданным маскам.

В зараженных сообщениях Защита от почтовых угроз меняет тему письма. В измененной теме указывается
выполненное действие.
И

Настройки Защиты от почтовых угроз


И Е

Область защиты
АН

Параметры безопасности определяют, кроме прочего, Область защиты. В терминах Защиты от почтовых
угроз область защиты может принимать два значения:
ОВ

— Входящие и исходящие сообщения


— Только входящие сообщения
ИР

Для защиты компьютера достаточно проверять только входящие сообщения. Проверка исходящих может
предотвратить непреднамеренную отправку зараженного файла в архиве и избежать неприятной ситуации.
Также проверку исходящих можно использовать для блокирования обмена вложениями определенных
П

типов, например, музыки или видео.


КО
О
II–41

ЕН
Часть II.Управление защитой

Встраивание в систему

Щ
Группа параметров Встраивание в систему уточняет область защиты:

Е
— Трафик POP3/SMTP/NNTP/IMAP — включает проверку сообщений электронной почты и

ПР
электронных новостей, передаваемых по указанным протоколам

— Дополнительно: расширение в Microsoft Office Outlook — включает проверку объектов2 на

ЗА
уровне клиента Microsoft Office Outlook при получении, прочтении и отправке.

Проверка на уровне протоколов работает независимо от используемых почтовых клиентов. Но сообщения,


передаваемые по не перехватывающимся протоколам, как например, при работе с серверами Microsoft

Е
Exchange или Lotus Notes, проверяться не будут.

НИ
Проверка на уровне почтового клиента, наоборот, работает независимо от того, каким образом получено
сообщение. Правда, список поддерживаемых клиентов весьма ограничен.

Е
Способы проверки

АН
Остальные настройки касаются проверки вложенных составных файлов.
ТР
Если вложенные файлы являются архивами, они могут быть распакованы и просканированы. Это поведение
регулируется тремя настройками:

— Проверять вложенные архивы — позволяет полностью отключить проверку архивов. Как


ОС

правило, лучше оставить этот параметр включенным, и проверять архивы на лету Защитой от
почтовых угроз. Гораздо легче не допустить попадания инфицированного архива в почтовую базу,
чем потом удалять его из базы задачей поиска вирусов
Р

— Проверять вложенные файлы офисных форматов


СП

Не выключайте эти параметры. Вредоносные файлы часто распространяются именно в виде


вложенных архивов и офисных документов
РА

— Не проверять архивы размером более NN МБ — ограничивает объем проверяемых архивов или


файлов офисных форматов. Вредоносные программы исключительно редко распространяются в
файлах большого размера. Включив это ограничение, можно избежать задержки при получении
больших составных файлов.
И

— Не проверять архивы более NN с — реализует защиту от «архивных бомб», проверка которых


Е

требует очень много времени и вычислительных ресурсов, затрудняя работу с компьютером


И

Фильтр вложений
АН

Остальные параметры касаются только вложенных файлов. Администратор может:


ОВ

— Не применять фильтр — пропускает все невредоносные вложения

— Переименовывать вложения указанных типов3 — используется по умолчанию и


ИР

переименовывает вложения исполняемых типов (.exe, .bat, .cmd и т.п.). Это превентивная мера
против неизвестных угроз. Пользователь не сможет запустить вложенный файл, не переименовав
его сознательно.
П
КО

2
Проверяются не только почтовые сообщения, но и объекты общих папок и календаря — любые объекты, получаемые через интерфейс MAPI из
хранилищ Microsoft Exchange
3
При переименовании последний символ расширения заменяется подчеркиванием
О
II–42 ЛАБОРАТОРИЯ КАСПЕРСКОГО™

ЕН
KL 002.11. Kaspersky Endpoint Security and Management. Базовый курс

Если включена проверка архивов, Защита от почтовых угроз будет переименовывать файлы с

Щ
указанными расширениями внутри архивов.

Эту же опцию можно использовать в качестве меры противодействия эпидемии новой вредоносной

Е
программы. Если известны характерные имена вложений, используемые вредоносной программой,

ПР
можно занести их в список и переименовывать так, чтобы пользователи не могли эти вложения
открыть как обычные файлы. Переименование с большой вероятностью предотвращает заражение.
В то же время при случайном совпадении полезного вложения с заданной маской, переименование
не влечет серьезных последствий. Пользователь может обратиться к администратору и получить

ЗА
инструкцию, как переименовать файл обратно.

— Удалять вложения указанных типов — надежнее защищает от заражения, и кроме того может
применяться для пресечения обмена файлами определенных типов: например, музыкальными или

Е
видеофайлами

НИ
Если включена проверка архивов, Защита от почтовых угроз будет удалять файлы указанных типов
из вложенных архивов

Е
Исходно список фильтров содержит маски часто используемых расширений файлов. Пользовательские
маски могут содержать не только расширение, но и часть имени. Для обобщения можно использовать

АН
спецсимволы «*» и «?». Добавляемые маски попадают в начало списка и сразу отмечаются как включенные.

Стандартные уровни безопасности


ТР
ОС

Низкий Рекомендуемый Высокий

Область защиты Только входящие Входящие и Входящие и


сообщения исходящие исходящие
Р

сообщения сообщения
СП

Трафик POP3 / SMTP / NNTP / IMAP + + +

Дополнительно: плагин в Microsoft Office + + +


РА

Outlook

Проверять вложенные архивы – + +

Проверять файлы офисных форматов + +


И

Не проверять вложенные объекты размером + – –


8 МБ
Е

Не проверять вложенные объекты более 5 с + – –


И

Фильтр вложений Переименовывать Переименовывать Переименовывать


АН

вложения вложения вложения


указанных типов указанных типов указанных типов

Эвристический анализ Поверхностный Средний Глубокий


ОВ

Исключения при ложных срабатываниях


ИР

Для Защиты от почтовых угроз правила исключений настраиваются так же, как и для Защиты от файловых
угроз: в разделе настроек Общие параметры \ Исключения, секция Исключения из проверки и
П

доверенная зона. В качестве объекта Файл или папка можно указать имя или маску вложенного файла, на
который должно распространяться исключение. Кроме того, аналогичное исключение нужно настроить для
КО

Защиты от файловых угроз, иначе сохранить или открыть полученный вложенный файл не получится.
О
II–43

ЕН
Часть II.Управление защитой

3.3 Защита от веб-угроз

Е Щ
ПР
Что делает Защита от веб-угроз

ЗА
Е
Е НИ
АН
ТР
ОС

Защита от веб-угроз выполняет две важные функции:


Р

— Блокирует доступ к фишинг-сайтам и потенциально опасным сайтам, анализируя адреса веб-


СП

страниц, которые открывает пользователь или программы

— Проверяет объекты, загружаемые по протоколам HTTP и FTP (объекты, загружаемые по HTTPS, не


проверяются) и блокирует вредоносные файлы
РА

Для проверки ссылок используются четыре технологии:

— Проверка по базе вредоносных веб-адресов — простое сравнение адреса открываемого сайта, с


И

адресами веб-ресурсов, замеченных в размещении вредоносных программ, выполнении атак на


компьютеры и прочей вредоносной деятельности
Е

— Проверка по базе фишинговых веб-адресов — выполняется так же, как предыдущая проверка,
только по базе сайтов замеченных в фишинге
И
АН

— Эвристический анализ для обнаружения фишинговых ссылок — анализ содержимого сайтов на


наличие HTML-кода характерного для фишинга

— Проверка в KSN — адреса открываемых сайтов проверяются в KSN. Опасные ссылки блокируются.
ОВ

Полученный ответ сохраняется в локальный кэш и используется при дальнейших проверках.

Для проверки файлов используются все доступные средства: сигнатурный анализ, эвристический анализ и
KSN.
ИР
П
КО
О
II–44 ЛАБОРАТОРИЯ КАСПЕРСКОГО™

ЕН
KL 002.11. Kaspersky Endpoint Security and Management. Базовый курс

Настройки Защиты от веб-угроз

Е Щ
Действия

ПР
Ко всем обнаруженным опасным объектам применяется одинаковое действие, которое можно выбрать из
двух доступных:

ЗА
— Запрещать загрузку
— Информировать

В политике нужно устанавливать действие Запрещать загрузку и делать его обязательным, чтобы

Е
пользователи не имели возможности загружать опасные объекты или посещать опасные веб-сайты.

НИ
При попытке открыть запрещенный веб-ресурс или загрузить зараженный объект, в браузере будет показано
уведомление о том, что загрузка заблокирована Kaspersky Endpoint Security.

Е
Уровень безопасности

АН
Поведение Защиты от веб-угроз регулируется немногочисленными настройками:
ТР
— Проверять ссылки по базе вредоносных веб-адресов — эту настройку отключать не
рекомендуется. Если какой-то веб-сайт ошибочно попал в список вредоносных, лучше создать для
него исключение
ОС

— Эвристический анализ для обнаружения вирусов— включает использование эвристического


анализа. Это тот же тип анализа, что и в Защите от файловых угроз, т. е. запуск исполняемых
файлов в виртуальной среде и наблюдение за выполняемыми операциями. Глубина анализа задает
Р

время наблюдения
СП

— Проверять ссылки по базе фишинговых веб-адресов — этот параметр аналогичен первому и


тоже должен быть включен
РА

— Эвристический анализ для обнаружения фишинговых ссылок — включает использование


эвристики при определении фишинговых сайтов

Настройки Защиты от веб-угроз можно регулировать переключателем Уровень безопасности. Ниже


И

представлено, как в зависимости от выбранного уровня меняются значения параметров:

Низкий Рекомендуемый Высокий


И Е

Эвристический анализ для обнаружения вирусов Поверхностный Средний Глубокий

Проверять архивы –
АН

+ +

Проверять архивы — это скрытая настройка Защиты от веб-угроз. При переводе Уровня безопасности в
положение Низкий, помимо изменения видимых параметров дополнительно отключается проверка архивов.
ОВ

Параметры:
ИР

— Проверять ссылки по базе вредоносных веб-адресов


— Проверять ссылки по базе фишинговых веб-адресов
— Эвристический анализ для обнаружения фишинговых ссылок
П

не зависят от выбранного уровня безопасности и не меняют отображаемый уровень безопасности, если их


изменить.
КО
О
II–45

ЕН
Часть II.Управление защитой

Как сделать веб-сайт доверенным

Е Щ
ПР
ЗА
Е
Е НИ
АН
ТР
Если Защита от веб-угроз ошибочно считает веб-сайт вредоносным или фишинговым, добавьте адрес веб-
сайта в список доверенных:
ОС

1. В настройках уровня безопасности откройте закладку Доверенные веб-адреса


2. Включите параметр Не проверять веб-трафик с доверенных веб-адресов
3. Добавьте адрес веб-сайта в список. Чтобы задать маску, используйте спецсимволы «*» и «?»
Р

Адреса сайтов, перечисленные в этом списке, а также загружаемые с них объекты, не будут проверяться
Защитой от веб-угроз.
СП

Если Защита от веб-угроз ошибочно считает вредоносным файл, который пользователь загружает с веб-
сайта, сделайте исключение для файлы в Общих параметрах. Примените исключение как минимум к Защите
РА

от веб-угроз, Защите от файловых угроз и к Поиску вирусов.


И
И Е
АН
ОВ
ИР
П
КО
О
II–46 ЛАБОРАТОРИЯ КАСПЕРСКОГО™

ЕН
KL 002.11. Kaspersky Endpoint Security and Management. Базовый курс

3.4 Как не перехватывать весь трафик

Щ
программы

Е
ПР
ЗА
Е
Е НИ
АН
ТР
ОС

Kaspersky Endpoint Security 11 использует драйвер, который не разрывает соединение, а использует функции
операционной системы, чтобы получить доступ ко всем пакетам.
Р

Такой способ перехвата, как правило, не создает проблем в работе сетевых программ4.
СП

Если все же вы у вас окажется программа, которая конфликтует и с новым методом перехвата, отключите
для нее перехват трафика:
РА

1. Откройте список доверенных процессов в политике Kaspersky Endpoint Security: откройте раздел
Общие параметры \ Исключения и нажмите кнопку Настройка в секции Исключения из
проверки и доверенная зона

Добавьте исполняемый файл программы на закладку Доверенные программы: укажите полный


И

2.
путь к файлу, используйте переменные среды, такие как %SystemRoot%
Е

3. В свойствах доверенной программы отметьте флаг Не проверять сетевой трафик и снимите


другие флаги
И

4. Если сервера, с которыми работает программа, имеют постоянные адреса (или фиксированный
АН

диапазон адресов) и порты, укажите их в нижней части окна: так безопаснее

Это исключение распространяется на компоненты Защита от почтовых угроз, Защита от веб-угроз и Веб-
ОВ

контроль
ИР

4
В старых версиях Kaspersky Endpoint Security (до 10 Service Pack 2) драйвер, который перехватывал соединения для компонентов защиты от
П

сетевых угроз, работал как локальный прокси-сервер.


Когда программа устанавливала соединение с удаленным сервером, Kaspersky Endpoint Security подменял адрес сервера на свой адрес, чтобы
КО

получить пакеты программы, а потом уже устанавливал свое соединения с удаленным сервером, чтобы переслать проверенные пакеты. Ответные
пакеты с сервера шли точно так же: сначала по соединению, которое установил Kaspersky Endpoint Security, затем от Kaspersky Endpoint Security к
программе.
Некоторые сетевые программы были несовместимы с таким способом перехвата.
О
II–47

ЕН
Часть II.Управление защитой

3.5 Защита сетевых соединений: резюме

Е Щ
ПР
ЗА
Е
Е НИ
АН
ТР

Сетевые компоненты Защита от почтовых угроз и Защита от веб-угроз не потребляют много ресурсов.
Наоборот, они позволяют Защите от файловых угроз проверять меньше файлов, и улучшают
ОС

производительность компьютера.

Защита от веб-угроз — единственный компонент, который защищает от фишинга. Он же защищает от новых


Р

угроз, которые распространяются через известные вредоносные веб-сайты.


СП

Не выключайте сетевые компоненты защиты, это не повлияет на производительность, но ухудшит защиту

Если Защита от веб-угроз или Защита от почтовых угроз ошибочно удаляют файлы, блокируют веб-сайты
РА

или мешают работе сетевых программ, настройте исключения:

— Исключения для веб-сайтов в настройках Защита от веб-угроз


— Исключения для программ в Общих параметрах | Исключениях
— Исключения для портов в Общих параметрах | Исключениях
И
И Е
АН
ОВ
ИР
П
КО
О
II–48 ЛАБОРАТОРИЯ КАСПЕРСКОГО™

ЕН
KL 002.11. Kaspersky Endpoint Security and Management. Базовый курс

Е Щ
Глава 4. Как настроить защиту от сложных

ПР
угроз

ЗА
4.1 Как Kaspersky Endpoint Security защищает от

Е
НИ
новых угроз

Е
АН
ТР
Р ОС
СП
РА
И

Злоумышленники постоянно создают новые вредоносные файлы. Лаборатория Касперского известна тем,
что очень быстро обнаруживает новые угрозы и добавляет их сигнатуры в базу. Контрольные суммы
вредоносных файлов попадают в Kaspersky Security Network еще быстрее. Но все равно злоумышленники на
Е

полшага впереди. Как Kaspersky Endpoint Security защищает от новых угроз и особенно от программ-
И

вымогателей?
АН

Программы-вымогатели, которые шифруют документы и требуют деньги за пароль, наносят прямой и


непосредственный ущерб

Kaspersky Endpoint Security пытается обнаруживать и блокировать вредоносные программы, в том числе и
ОВ

новые, на всех этапах атаки:

Злоумышленники публикуют вредоносные Защита от веб-угроз использует базу известных


ИР

программы на зараженных и вредоносных веб- вредоносных сайтов и репутацию веб-сайтов в


сайтах. Часто эти же веб-сайты они использовали и KSN, и не дает пользователям на них заходить
раньше
П

Злоумышленники рассылают новые вредоносные Защита от почтовых угроз переименовывает


программы по почте исполняемые вложенные файлы, в том числе и в
КО

архивах
О
II–49

ЕН
Часть II.Управление защитой

Злоумышленники используют уязвимости в Защита от эксплойтов не дает использовать

Щ
программах для запуска вредоносного кода известные и некоторые неизвестные уязвимости в
программах

Е
Новые вредоносные программы отличаются кодом, Анализ поведения следит за тем, что делают

ПР
чтобы обойти проверку по сигнатурам, но ведут себя программы, и обнаруживает новые вредоносные
похоже на другие вредоносные программы программы по их поведению

Зашифрованные данные статистически однородны, Анализ поведения использует эвристический и

ЗА
как будто их произвел генератор случайных чисел. статистический анализ, технологии машинного
Этим они отличаются от большинства файлов обучения, чтобы обнаружить шифрование файлов

Новые вредоносные программы не имеют никакой Предотвращение вторжений не дает программам


репутации в KSN без репутации использовать многие функции

Е
операционной системы

НИ
В основном новым угрозам противостоят Анализ поведения, Защита от эксплойтов и Предотвращение
вторжений при поддержке Kaspersky Security Network.

Е
4.2 Что делает Продвинутая защита АН
ТР

Компоненты и технологии, которые позволяют предотвращать или минимизировать последствия заражения


ОС

новыми вредоносными программами, еще не внесенными в базы сигнатур, называют продвинутой защитой.

Из уже рассмотренных компонентов к продвинутой защите относится эвристический анализ файлов. Но


главная роль в этом аспекте защиты принадлежит: Анализу поведения, Защите от эксплойтов, Откату
Р

вредоносных действий, Предотвращению вторжений и, в некоторой степени, компонентам контроля и


СП

сетевому экрану.

Как Анализ поведения защищает от новых угрозы


РА
И
И Е
АН
ОВ
ИР
П
КО
О
II–50 ЛАБОРАТОРИЯ КАСПЕРСКОГО™

ЕН
KL 002.11. Kaspersky Endpoint Security and Management. Базовый курс

Анализ поведения выполняет несколько функций:

Щ
— Ведет журнал активности программ для сравнения с базой поведенческих сигнатур
— Выявляет вредоносные программы и блокирует их действия

Е
— Защищает папки общего доступа от внешнего шифрования

ПР
Главной задачей является именно выявление вредоносных программ. Для этого Анализ поведения ведет
учет действий программ и сравнивает их с шаблонами опасного поведения. В журнал активности программ
попадают обращения к файлам, установление сетевых соединений и вызов системных функций.

ЗА
База шаблонов обновляема, но обновления для нее выходят сравнительно редко. Эффективность Анализа
поведения практически не зависит от регулярности обновления баз.

Е
Настройки

НИ
Настройки Анализа поведения немногочисленны и, по сути, соответствуют включению или выключению
самого компонента целиком или только Защиты папок общего доступа от внешнего шифрования.

Е
Действия
АН
Если Анализ поведения обнаруживает вредоносное поведение, он прерывает программу, удаляет
ТР
исполняемый файл и помещает его в Резервное хранилище.

Другие возможные действия:


ОС

— Информировать — не выполнять никаких действий, только занести факт обнаружения


вредоносной активности в отчет
Р

— Завершать работу программы — завершить и выгрузить вредоносную программу из памяти


СП

— Удалять файл — завершить программу, удалить вредоносный файл, а копию поместить в


Резервное хранилище
РА

Если Защита папок общего доступа от внешнего шифрования обнаруживает попытку шифрования файлов в
общей папке по сети, она блокирует операции записи и удаления для этой сессии на 60 минут. Затем
пытается восстановить незашифрованные версии файлов из копий с помощью компонента Откат
вредоносных действий.
И

Не отключайте Анализ поведения. Он защищает от угроз, от которых другие компоненты не всегда защитят
Е

Чтобы устранить ложные срабатывания или улучшить производительность, создавайте исключения.


И
АН
ОВ
ПИР
КО
О
II–51

ЕН
Часть II.Управление защитой

Как Защита от эксплойтов защищает от новых угроз

Е Щ
ПР
ЗА
Е
Е НИ
АН
ТР
Защита от эксплойтов — защищает от широкого класса атак (эксплойтов), целью которых является
получение прав администратора в системе или скрытое выполнение кода.
ОС

Эксплойты, как правило, используют атаку на переполнение буфера. В уязвимую программу или службу
передаются некорректные параметры, обработка которых приводит к тому, что часть параметров уязвимая
программа выполняет как код. В частности, с помощью таких атак на системные службы (которые
выполняются с правами локальной системы) можно получить права администратора на компьютере.
Р

Чаще всего с помощью такой атаки вредоносная программа пытается запустить саму себя с правами
СП

администратора. Включение данного параметра включает слежение за операциями запуска, и если уязвимая
программа выполняет запуск другой программы не по инициативе пользователя, такой запуск блокируется.
РА

Как Откат вредоносных действий защищает от новых


угроз
И
И Е
АН
ОВ
ИР
П
КО
О
II–52 ЛАБОРАТОРИЯ КАСПЕРСКОГО™

ЕН
KL 002.11. Kaspersky Endpoint Security and Management. Базовый курс

Откат вредоносных действий — выполняет откат действий приложений, которые удаляются Защитой от

Щ
файловых угроз, задачами поиска и Анализом поведения.

Откатываются изменения файловой системы (создание, перемещение, переименование файлов) и ключей

Е
реестра (удаление созданных вредоносной программой записей). Кроме того, для небольшой группы файлов
и ключей делается снимок состояния на момент старта системы, что позволяет откатываться к сохраненной

ПР
версии, если вредоносная программа вносила изменения в эти файлы и ключи. К таким особым объектам
относятся файлы hosts, boot.ini и ключи реестра, отвечающие за запуск программ и служб при старте
системы.

ЗА
Эта же опция восстанавливает файлы, зашифрованные программами-вымогателями, которые шифруют
файлы на дисках и в общих папках, после чего требуют выкуп.

Е
Для отката вредоносных действий используется журнал активности программ, который ведет компонент
Анализ поведения.

НИ
Как Предотвращение вторжений защищает от новых

Е
угроз
АН
ТР
Р ОС
СП
РА
И

Основное назначение Предотвращения вторжений — регулировать действия уже запущенных программ, а


Е

именно, доступ к файловой системе, системному реестру и взаимодействие с другими программами.


И

Как Предотвращение вторжений вычисляет репутацию программ


АН

Предотвращение вторжений разделяет программы на категории (группы доверия), для которых и задаются
ОВ

ограничения. Все программы делятся по уровню доверия, на четыре заранее фиксированные группы:

— Доверенные
— Слабые ограничения
ИР

— Сильные ограничения
— Недоверенные
П
КО
О
II–53

ЕН
Часть II.Управление защитой

Kaspersky Endpoint Security определяет группу доверия во время первого старта программы. Основным

Щ
инструментом для определения категории служит Kaspersky Security Network. Если доступа к сети нет или в
KSN нет информации о программе, категория определяется в зависимости от настроек:

Е
— Программы, для которых не удалось определить группу доверия, автоматически помещать в
— эта настройка позволяет администратору выбрать, какую категорию назначить программам, у

ПР
которых еще нет репутации. Администратор может выбрать одну из трех групп: Сильные
ограничения, Слабые ограничения, Недоверенные

ЗА
— Доверять программам, имеющим цифровую подпись — если этот параметр включен,
программы, подписанные доверенными сертификатами, будут автоматически помещаться в группу
Доверенные

Е
Доверенные сертификаты — это сертификаты, которым доверяет Kaspersky Security Network. Чтобы
доверять другим сертификатам, используйте настройки Исключений из проверки и доверенной зоны (Общие

НИ
параметры)

Определенная таким образом группа доверия сохраняется и используется при последующих запусках

Е
программы. Сохраненные сведения могут быть пересмотрены или удалены в результате действия
следующих настроек:

АН
— Обновлять правила контроля раннее неизвестных программ из базы KSN — позволяет
автоматически изменять группу доверия программы, если ранее ее не удалось определить с
помощью KSN
ТР

— Удалять правила контроля программ, не запускавшихся более 60 дней — позволяет не хранить


информацию о группах доверия для программ, которые давно не запускались. Время, в течение
ОС

которого хранится группа доверия, можно изменить

— Программы, запускаемые до Kaspersky Endpoint Security для Windows автоматически


помещать в группу доверия — позволяет настроить группу доверия для программ, которые
Р

запускаются раньше, чем Kaspersky Endpoint Security 5


СП

Как Предотвращение вторжений ограничивает программы


РА

Предотвращение вторжений ограничивает взаимодействие с другими программами и службами


операционной системы, в зависимости от группы доверия. Обобщенно, ограничения по умолчанию для
категорий доверия выглядят следующим образом:
И

Доверенные Нет ограничений


Е

Слабые Разрешено почти все, кроме внедрения в модули операционной системы и доступа к
ограничения устройствам записи: веб-камерам и микрофонам
И

Сильные Запрещены взаимодействия с модулями операционной системы и другими программами.


АН

ограничения Разрешена работа только с собственным сегментом оперативной памяти

Недоверенные Запрещено все, в том числе запуск программы


ОВ

Предотвращение вторжений позволяет ограничивать доступ к файлам и папкам на диске, а также к ключам
системного реестра. У Предотвращения вторжений есть список защищаемых ресурсов. Они сгруппированы
в две категории:
ИР

— Операционная система
— Персональные данные
П
КО

5
Драйвера сетевого экрана и предотвращения вторжений запускаются раньше программ, а модуль Kaspersky Endpoint Security, который отвечает за
репутацию исполняемых файлов — позже. Чтобы защищать компьютер, пока не запустился репутационный модуль, драйвера применяют ко всем
программам ограничения выбранной группы доверия.
О
II–54 ЛАБОРАТОРИЯ КАСПЕРСКОГО™

ЕН
KL 002.11. Kaspersky Endpoint Security and Management. Базовый курс

В каждой категории есть свои подкатегории и описания ресурсов: пути к папкам, маски файлов, маски

Щ
ключей реестра. Изначально в списке защищаемых ресурсов уже присутствуют группы наиболее важных
файлов и ключей реестра. Например, в категории Операционная система есть подкатегория Параметры
автозапуска, где перечислены все ключи реестра, относящиеся к автозапуску программ.

Е
Права доступа к группам ресурсов определяются для операций: Чтение, Запись, Удаление и Создание.

ПР
По умолчанию Предотвращение вторжений защищает ресурсы так:

ЗА
Операционная система Персональные данные

Доверенные Полный доступ Полный доступ

Е
Слабые ограничения Полный доступ ко всему, кроме критических файлов Полный доступ
операционной системы

НИ
Для критических файлов операционной системы
только чтение

Сильные ограничения Только чтение Полный доступ

Е
Недоверенные Нет доступа Нет доступа

АН
Ограничения для программы автоматически распространяются и на ее дочерние процессы. Если программа
с ограничениями запускает доверенную программу, доверенная программа тоже будет ограничена. Если
ТР
доверенную программу запускает пользователь или другая доверенная программа, ограничений не будет

Как настраивать Предотвращение вторжений


ОС

Администратор может изменить ограничения для любой группы доверия и даже для любой отдельной
Р

программы.
СП

Не меняйте настройки Предотвращения вторжений, если не уверены точно, что делаете

Чтобы найти группы доверия и их ограничения:


РА

1. Откройте раздел Продвинутая защита \ Предотвращение вторжений в политике Kaspersky


Endpoint Security
2. Нажмите верхнюю кнопку Настройка в секции Правила программ
И

3. Выберите группу доверия и нажмите Изменить


4. Перейдите на закладку Права
Е

Здесь администратор может ограничить или расширить права для программ с выбранной репутацией.
Например, он может разрешить доступ к веб-камере программам со слабыми ограничениями.
И
АН
ОВ
ПИР
КО
О
II–55

ЕН
Часть II.Управление защитой

Е Щ
ПР
ЗА
Е
Е НИ
Чтобы увидеть защищаемые ресурсы:

1.
АН
Откройте раздел Продвинутая защита \ Предотвращение вторжений в политике Kaspersky
ТР
Endpoint Security
2. Нажмите нижнюю кнопку Настройка в секции Правила программ

Список ресурсов на управляемых компьютерах обновляется вместе с базой сигнатур. Чтобы обновить
ОС

список ресурсов в политике, нажмите кнопку Обновить над списком.

Не удаляйте и не меняйте ресурсы, заданные по умолчанию. Чтобы не контролировать предустановленные


Р

ресурсы, добавьте их в исключения: используйте кнопку Исключения в верхнем левом углу.


СП

Чтобы защитить другие файлы или ключи реестра, добавьте их как свои ресурсы. Держите свои ресурсы в
отдельной категории.

Чтобы добавить свои защищаемые ресурсы:


РА

1. С помощью кнопки Добавить создайте свои категории и описания ресурсов


2. Настройте права доступа к ресурсу в таблице справа
И

Чтобы знать, когда предотвращение вторжений блокирует операцию, включите запись в журнал. Для этого
кликните по действию в таблице и выберите Записывать в отчет. Вы можете записывать в отчет, и когда
Е

Предотвращение вторжений разрешает действие6, просто чтобы понять, какие программы работают с
выбранным ресурсом.
И

Ограничения, установленные для программы, наследуются всеми ее дочерними процессами, даже если их
АН

исполняемые файлы относятся к группе Доверенные. Таким образом, программы с более низким уровнем
доверия не могут воспользоваться привилегиями программ более высокого уровня доверия, чтобы обойти
запреты
ОВ
ИР
П
КО

6
Будьте осторожны, чтобы не создать слишком большой поток событий с компьютеров на Сервер администрирования. Если нужно анализировать
события о разрешении доступа, сохраняйте их только в локальном журнале Kaspersky Endpoint Security и не пересылайте на Сервер
администрирования
О
II–56 ЛАБОРАТОРИЯ КАСПЕРСКОГО™

ЕН
KL 002.11. Kaspersky Endpoint Security and Management. Базовый курс

Как настроить предотвращение вторжений против

Щ
программ-вымогателей

Е
ПР
С настройками по умолчанию Предотвращение вторжений защищает от программ с плохой репутацией
операционную систему и другие программы на компьютере.

Администратор может легко защитить и файлы пользователей от программ неизвестного происхождения.

ЗА
Этим он защитит их и от программ-вымогателей, которые шифруют документы.

Идея простая. Программы-вымогатели:

Е
— либо уже известны в KSN как вредоносные, и Kaspersky Endpoint Security не даст их запустить

НИ
— либо не имеют никакой репутации в KSN и получают от Предотвращения вторжений репутацию
Слабые ограничения (по умолчанию) или Сильные ограничения, в зависимости от выбора
администратора

Е
Программы для работы с документами, такие как Microsoft Office, наоборот, хорошо известны и имеют
репутацию Доверенные.
АН
Поэтому, чтобы защитить документы, нужно не дать их менять программам с ограничениями. Для этого:
ТР
1. Откройте раздел Продвинутая защита \ Предотвращение вторжений в политике Kaspersky
Endpoint Security и нажмите вторую сверху кнопку Настройка
ОС

2. Добавьте документы в список защищенных ресурсов Предотвращения вторжений: выберите в


списке слева категорию Персональные данные \ Файлы пользователя и добавьте в нее новую
категорию Документы
Р

3. Добавьте в категорию расширения документов, такие, как *.doc, *.docx, *.pdf и т.п. Для этого
СП

добавьте в категорию Файл или папку и укажите расширение в поле Путь