KL 002.12.1 KSC Kes Student Guide Unit5 Ru v1.2 WM

KL 002.12.1: Kaspersky Endpoint Security and Management.
Ю
Часть 5. Администрирование
KL 002.12.1
Е НИ
АН
ТР
Р ОС
Kaspersky Endpoint
СП
Security and
РА
И
Management
И Ю
АН
ОВ
ИР
П
КО
ИТ
ЕЖ
ДЛ
ПО
Учебный курс
НЕ
1
KL 002.12.1: Kaspersky Endpoint Security and Management.
Ю
НИ
Содержание
Администрирование......................................................................................................................4
Е
АН
1. Усиление защиты Сервера администрирования ............................................................5
2. Аварийное восстановление ..............................................................................................7
ТР
Зачем делать резервную копию ................................................................................................... 7
Задача резервного копирования ................................................................................................... 9
Утилита резервного копирования ............................................................................................12
ОС
Задача обслуживания Сервера администрирования ...............................................................13
3. Настройка политик и задач .............................................................................................14
Р
3.1 Политики ........................................................................................................................................14
СП
Индикатор уровня защиты в политике....................................................................................14
Применение политики .................................................................................................................15
Доступ к Kaspersky Security Network ..........................................................................................16
РА
3.2 Задачи............................................................................................................................................17
Задача обновления баз ................................................................................................................17
Загрузка обновлений в хранилище Сервера администрирования .........................................19
И
Мониторинг обновления баз ......................................................................................................20
Статусы устройств ..................................................................................................................21
Ю
Как понять, что у компьютера есть задача обновления ......................................................22
3.3 Самозащита Kaspersky Endpoint Security ...................................................................................23
И
Что делает самозащита ...........................................................................................................23

АН
Разрешите управлять KES в сеансе удаленного доступа ....................................................25

Что делает защита от атак BadUSB .....................................................................................26
3.4 Защита паролем ...........................................................................................................................27
ОВ
Как пользователь может остановить защиту ......................................................................27

Включите защиту паролем ........................................................................................................28
Настройте защиту паролем для Агента администрирования ............................................30
ИР
Как защитить данные при краже или потере устройства ...................................................31

3.5 Как защитить компьютер за пределами сети .............................................................................32
Каким локальным сетям доверять............................................................................................32
П
Сделайте политику для компьютеров вне офиса ..................................................................33

КО
Как сделать политику для компьютеров вне офиса ..............................................................33

Когда компьютеры переходят на политику для автономных пользователей ..................34
Задайте условия для перехода на мобильную политику .......................................................35
Какие настройки задать компьютерам вне офиса ................................................................36
ИТ
4. Хранение событий и интеграция с SIEM ........................................................................39

События в базе Kaspersky Security Center ................................................................................39
Ж
Интеграция с SIEM ......................................................................................................................40

Экспорт событий в формате Syslog ........................................................................................41
Е
Виджеты с типами событий .....................................................................................................42

ДЛ
5. Управление уязвимостями ..............................................................................................43

Обнаружение уязвимостей и обновлений .................................................................................43
Лицензия на Сервер администрирования .................................................................................44
ПО
Мастер первоначальной настройки..........................................................................................45

Задача Поиск уязвимостей и требуемых обновлений ............................................................46
Информация об обновлениях ......................................................................................................48
НЕ
2
KL 002.12.1: Kaspersky Endpoint Security and Management. 0. Администрирование
Ю
НИ
Информация об уязвимостях .....................................................................................................49
Установка требуемых обновлений и закрытие уязвимостей ..............................................51
Е
6. Панели мониторинга и отчеты........................................................................................53
Панель мониторинга ...................................................................................................................53
АН
Как наполнить панель мониторинга статистикой ...............................................................54
Панели мониторинга в MMC-консоли .......................................................................................55
Режим Dashboard-only ..................................................................................................................56
ТР
Как включить режим Dashboard-only .........................................................................................57
Отчеты ........................................................................................................................................59
Как отправлять отчеты по почте...........................................................................................61
ОС
Свойства задачи Deliver reports .................................................................................................62
Подключение к почтовому серверу ...........................................................................................63
Резюме по отчетам и задаче Deliver reports ............................................................................64
Р
7. Чеклисты ...........................................................................................................................65
СП
Ежедневный чеклист ...................................................................................................................65
Периодический чеклист ..............................................................................................................75
Чеклист при возникновении инцидента ...................................................................................76
РА
8. Обращение в техническую поддержку ..........................................................................80
Когда и как обращаться в техническую поддержку ................................................................80
И
Как удаленно собрать журналы Windows и GetSystemInfo .....................................................81
Как удаленно собрать журналы трассировки ..........................................................................82
Как собрать информацию о системе локально .......................................................................83
Ю
Как собрать отладочные журналы локально ...........................................................................84

Как отправить запрос в техподдержку ....................................................................................85
И
АН
ОВ
П ИР
КО
ИТ
Е Ж
ДЛ
ПО
НЕ
3
KL 002.12.1: Kaspersky Endpoint Security and Management. 0. Администрирование
Ю
НИ
Администрирование
Е
АН
ТР
Р ОС
СП
РА
И
ИЮ
АН
В этой части курса мы рассмотрим, как обеспечить функционирование системы защиты под
управлением Kaspersky Security Center.
ОВ
Различные рекомендации включают в себя корректную настройку системы. Некоторые моменты

должны планироваться заблаговременно, еще до установки Сервера администрирования.
ИР
Условно порядок настройки может выглядеть так:

— Усиление защиты Сервера администрирования;
— Аварийное восстановление;
П
— Настройка политик и задач;

— Хранение событий и интеграция с SIEM;
КО
— Управление уязвимостями;
— Панели мониторинга и отчеты;
— Чеклисты.
ИТ
Отдельно поговорим об обращении в службу технической поддержки.

Е Ж
ДЛ
ПО
НЕ
4
KL 002.12.1: Kaspersky Endpoint Security and Management. 1. Усиление защиты Сервера администрирования
Ю
НИ
1. Усиление защиты Сервера администрирования
Е
Один из самых важных моментов при эксплуатации Kaspersky Security Center это защитить сам
АН
Сервер администрирования от несанкционированного доступа. Потому что захват контроля над
Kaspersky Security Center позволяет «поставить на колени» защищенную организацию одним
ударом.
ТР
Ссылка на руководство по усилению защиты в официальной документации:
https://support.kaspersky.com/KSC/14.2/ru-RU/245736.htm
Р ОС
СП
РА
И
ИЮ
АН
ОВ
ИР
Тут мы перечислим области, на которые стоит уделить внимание. Детально останавливаться на

П
каждом аспекте мы не будем, так как многое описано в Руководстве по усилению защиты (ссылка
выше), но дадим направление, где можно ознакомиться подробнее:
КО
— Развертывание Сервера администрирования в DMZ.

Рекомендуется еще на этапе планирования озаботиться расположением Сервера
администрирования. В идеале Сервер администрирования должен быть развернут в DMZ.
ИТ
Потенциально это существенно уменьшает поверхность атаки:

— Интернет ограничен, разрешено ходить только на сервера Лаборатории Касперского и
Kaspersky Security Network.
Ж
— К базе никто не подключится.

— Риски атаки эксплойтами минимальны, при внедрении backdoor он не заработает, т.к.
Е
не выйдет наружу.
— Из локальной сети доступны только порты для взаимодействия с компонентами
ДЛ
Kaspersky Security Center, например, 13000, 13291, 13299, 13111. Возможно, еще RDP.
Про развертывания Kaspersky Security Center в DMZ подробно рассказывается в курсе KL

ПО
302. Kaspersky Endpoint Security and Management. Масштабирование.

НЕ
5
KL 002.12.1: Kaspersky Endpoint Security and Management. 1. Усиление защиты Сервера администрирования
Ю
НИ
— Отключение уязвимых протоколов и сервисов — например, TLS, SMB, Print Spooler и
другие.
— Разрешенные адреса подключения к KSC и СУБД — это могут быть адреса, где
Е
установлены MMC-консоль или Web Console, а также сторонние системы, которые
интегрируются с KSC по OpenAPI (KATA, KUMA), а к СУБД может подключаться только
АН
KSC и, например, SIEM.
— Настройка учетных записей включает в себя следующее:
ТР
— Использование gMSA — сервисные учетные записи для работы служб Kaspersky
Security Center.
— Использование внутренних учетных записей — можно создать внутренние учетные
ОС
записи и полностью отключить использование учетных записей Windows для
управления Сервером администрирования.
— Разделение ролей — использовать разные права доступа к возможностям Сервера
администрирования для разных групп пользователей.
Р
— Включение 2FA.
СП
— Отдельно стоит обратить внимание на настройку самого сервера, где развернут Kaspersky
Security Center:
— Следить за пользователями, которые имеют доступ к этому серверу и использовать
РА
строгую парольную политику.
— Следить за ПО сервера — любые средства удаленного администрирования,
например, TeamViewer должны отслеживаться и удаляться.
И
— Журнал событий Windows Event Log должен храниться не менее 30 дней, с ротацией и
без ограничений по размеру.
— Контроль журналов СУДБ — должен подключаться только KSC и может еще SIEM,
Ю
любая другая попытка поднимает алерт.

И
АН
ОВ
П ИР
КО
ИТ
Е Ж
ДЛ
ПО
НЕ
6
KL 002.12.1: Kaspersky Endpoint Security and Management. 2. Аварийное восстановление
Ю
НИ
2. Аварийное восстановление
Е
В этом разделе мы поговорим про резервное копирование данных Сервера администрирования.
АН
Про него часто забывают, но это очень важный момент, иначе есть риск потерять все настройки
или настройками поломать без возможности отката.
ТР
Зачем делать резервную копию
Р ОС
СП
РА
И
ИЮ
АН
ОВ
ИР
Резервное копирование — универсальная защита от любых проблем. Что бы ни случилось с

Сервером администрирования или с базой данных Kaspersky Security Center, если у
П
администратора в надежном месте есть резервная копия конфигурации, он сможет восстановить

управление системой в течение часа.
КО
Резервная копия данных Kaspersky Security Center включает практически все видимые и
невидимые объекты управления и настройки: всю базу данных, структуру групп
администрирования, все задачи и политики, шаблоны отчетов, инсталляционные пакеты (кроме
ИТ
образов операционных систем), созданные выборки событий и компьютеров, сертификат Сервера

администрирования и т.д. Не резервируются только обновления в серверном хранилище,
поскольку к моменту восстановления из резервной копии они все равно успеют устареть.
Ж
С появлением в Kaspersky Endpoint Security функций шифрования, важность резервного

Е
копирования еще более возросла. Частью конфигурации Сервера администрирования является

хранилище ключей шифрования, которое содержит мастер-ключи всех компьютеров, на которых
ДЛ
используется шифрование. Эти ключи необходимы для восстановления доступа к

зашифрованным данным в случае любых сбоев. Если мастер-ключи на Сервере
администрирования окажутся утеряны, возникает риск безвозвратной потери зашифрованных
данных. Подробнее о шифровании и связанных с ним рисках рассказывается в курсе KL 008.
ПО
Шифрование.
НЕ
7
Ю
НИ
Даже без учета шифрования потеря данных Сервера администрирования может означать много
часов или даже дней и недель на восстановление системы. В большой сети даже создание
структуры групп не является тривиальной задачей и может требовать существенных временных
затрат. При переустановке Сервера также меняется его сертификат, а это значит, что Агенты
Е
администрирования, даже используя правильный адрес, не смогут устанавливать соединение с
АН
Сервером. В общем случае для восстановления связи с компьютерами все Агенты придется
переустановить.
Наличие резервной копии спасает администраторов от всех перечисленных проблем, т.к. копия
ТР
включает и сертификат Сервера, и все настройки, и хранилище ключей шифрования.
Резервное копирование может использоваться и как альтернативный способ обновления версии
ОС
Kaspersky Security Center. Стандартный вариант обновления версии — установка новой версии
поверх старой. Инсталлятор обнаруживает установленную старую версию и выполняет
обновление компонентов, по возможности сохраняя или конвертируя настройки. Вместо этого
Р
можно создать резервную копию старой системы, деинсталлировать ее, установить новую версию
Сервера администрирования и восстановить конфигурацию из резервной копии. При таком
СП
подходе можно параллельно обновить не только программные компоненты сервера, но и
аппаратную конфигурацию.
РА
Аналогично через резервную копию можно переносить Сервер администрирования на другой
компьютер. Сначала создается копия, потом Сервер администрирования устанавливается на
новом месте и восстанавливается из копии. При этом важно, чтобы старый и новый Серверы
администрирования использовали однотипный SQL-сервер.
И
Если при переносе меняется имя Сервера, используемое для подключения к нему клиентских
Ю
компьютеров, необходимо будет предварительно выполнить задачу смены Сервера
администрирования. Подробнее эта задача рассматривается в курсе KL 302. Kaspersky Endpoint
Security and Management. Масштабирование.
И
АН
Самое важное в резервном копировании — регулярно проверять, что вы можете восстановить

систему из резервной копии.
Потратьте полчаса времени раз в месяц, чтобы восстановить данные Сервера администрирования
на тестовом компьютере. Так вы проверите, что резервные копии не повреждены и заодно
ОВ
отточите навыки, чтобы в случае настоящего сбоя восстановить системы быстро и без нервов.
П ИР
КО
ИТ
Е Ж
ДЛ
ПО
НЕ
8
Ю
НИ
Задача резервного копирования
Е
АН
ТР
Р ОС
СП
РА
И
ИЮ
Для создания резервных копий в Kaspersky Security Center предусмотрена специальная задача —
АН
Резервное копирование данных Сервера администрирования. Она создается Мастером

первоначальной настройки и может существовать только в единственном экземпляре. При
необходимости ее можно удалить и создать заново.
ОВ
Задача, фактически, является надстройкой над утилитой резервного копирования klbackup.exe,

которую можно найти в каталоге программных файлов Сервера администрирования. При запуске
задача просто запускает утилиту с нужными параметрами, а уже утилита выполняет всю работу.
ИР
В ходе резервного копирования утилита klbackup.exe не останавливает службу, а копирует все

данные и настройки Сервера, после чего посылает на SQL-сервер команду создать резервную
П
копию базы событий.

КО
ИТ
Е Ж
ДЛ
ПО
НЕ
9
Ю
Е НИ
АН
ТР
Р ОС
СП
РА
И
Ю
Для создания резервной копии нужно указать папку назначения. В заданной папке для каждой
резервной копии создается подпапка, имя которой содержит дату и время создания. По умолчанию
И
используется папка SC_Backup в каталоге данных Сервера администрирования

— %ProgramData%\KasperskySC\SC_Backup.
АН
Недостаток хранения копий на том же диске, что и сам Сервер администрирования, в том, что
аппаратный сбой может повредить сразу и работающую систему, и резервную копию. Безопаснее
хранить резервные копии отдельно. Администратор может либо сразу указать сетевую папку
ОВ
назначения, либо настроить перенос резервных копий внешними средствами.
Важно понимать, что копирование данных и настроек Сервера выполняется с правами Сервера
ИР
администрирования, а копирование базы данных — с правами Сервера баз данных. Если в

качестве папки для резервных копий указан сетевой путь, нужно обеспечить доступ к этой сетевой
папке и Серверу администрирования, и SQL-серверу. Естественно, на указанном диске должно
П
быть достаточно свободного места.

КО
Поскольку резервная копия весит гигабайты, в зависимости от размера сети и параметров

хранения событий, имеет смысл ограничить количество хранимых резервных копий. По умолчанию
в параметрах задачи установлено ограничение в 3 резервные копии.
ИТ
Сертификат Сервера администрирования при сохранении шифруется. Это делается из

соображений безопасности, чтобы злоумышленник не смог использовать его для перехвата
управления клиентскими компьютерами. Для шифрования нужно указать пароль. По умолчанию он
Ж
пустой.
Е
ДЛ
ПО
НЕ
10
Ю
Е НИ
АН
ТР
Р ОС
СП
РА
И
Ю
Стандартное расписание у задачи резервного копирования — каждые два дня в 2 часа ночи —
следовательно, по умолчанию будут храниться резервные копии только за шесть последних дней.
И
Не менее важно следить, чтобы задача успешно завершалась, т.е. копия данных сохранялась на
АН
диск. Тут может помочь настройка почтовых уведомлений об успешном завершении задачи.
Настраивается это в свойствах задачи на вкладке Settings в секции Notifications.
ОВ
П ИР
КО
ИТ
Е Ж
ДЛ
ПО
НЕ
11
Ю
НИ
Утилита резервного копирования
Е
АН
ТР
Р ОС
СП
РА
И
ИЮ
Для восстановления из резервной копии специальной задачи нет. Это продуманное решение,
АН
чтобы избежать случайных запусков восстановления и не потерять изменения, сделанные после

создания резервной копии.
ОВ
Для восстановления Сервера администрирования используется утилита klbackup.exe, которая

находится в папке установки Kaspersky Security Center. Также ее можно запустить через меню
Пуск.
ИР
При запуске без параметров она выполняется в режиме пошагового Мастера, который
запрашивает путь к резервной копии и пароль для расшифровки сертификата.
П
Утилита резервного копирования может использоваться не только для восстановления, но и для

создания резервных копий. Для этого на шаге Выберите действие нужно выбрать Выполнить
КО
резервное копирование данных Сервера администрирования.
На этом же шаге можно включить режим, когда сохраняться и восстанавливаться будет только
сертификат Сервера администрирования. Этот режим можно использовать, например, чтобы
ИТ
восстановить только связь между Агентами и Сервером, а структуру групп, политики и задачи
создать с нуля. В задаче такой режим недоступен.
Ж
Утилиту klbackup.exe можно запускать из командной строки с параметрами:

–path — параметр для задания пути к резервной копии;
Е
–restore — параметр, указывающий на то, что нужно выполнить восстановление, без него
ДЛ
утилита выполнит создание копии;

–use_ts — с этим параметром утилита будет создавать копию в подкаталоге c временной
меткой, без него — непосредственно в каталоге, указанном в параметре -path;
ПО
–password — параметр для задания пароля, используемого для шифрования

сертификата.
НЕ
12
Ю
НИ
В качестве резюме можно сказать, что для того, чтобы однажды не потерять все, нужно четко
знать, как часто делается резервное копирование, как и где оно хранится и какой у него пароль.
Е
Задача обслуживания Сервера администрирования
АН
ТР
Р ОС
СП
РА
И
ИЮ
АН
Со временем база Сервера администрирования может начать «тормозить». В частности, Консоль

ОВ
управления долго создает отчеты, а списки событий или компьютеров показывает после заметной
паузы.
ИР
Чтобы ускорить работу Консоли с событиями в базе, базу нужно оптимизировать. В Kaspersky
Security Center есть специальная задача Обслуживание Сервера администрирования, которая
оптимизирует базу Сервера администрирования. Задача поддерживает только базу Microsoft SQL,
П
для оптимизации других баз данных нужно использовать родные средства поставщиков этих баз
данных.
КО
Чтобы база Сервера администрирования работала быстрее, задача Обслуживание Сервера

администрирования:
— Ищет и устраняет ошибки в базе;
ИТ
— Перестраивает индексы;
— Обновляет статистику базы;
— Опционально уменьшает размер базы.
Ж
Параметров у задачи почти нет. Кроме расписания, есть единственная опция Сжать базу данных,
Е
которая уменьшает размер базы. Рекомендуется оптимизировать базу раз в неделю.

ДЛ
Если Сервер администрирования работает медленно, потому что у него мало ресурсов, задача
Обслуживание базы данных ничем не поможет.
ПО
Задача Обслуживание Сервера администрирования может быть только одна. Ее создает

Мастер первоначальной настройки. По умолчанию задача запускается по субботам в час ночи.
НЕ
13
KL 002.12.1: Kaspersky Endpoint Security and Management. 3. Настройка политик и задач
Ю
НИ
3. Настройка политик и задач
Е
В этом разделе мы рассмотрим некоторые моменты, на которые стоит обратить внимание при
АН
настройке политик и задач.
ТР
3.1 Политики
ОС
Индикатор уровня защиты в политике
Р
СП
РА
И
ИЮ
АН
ОВ
П ИР
КО
В свойствах политики Kaspersky Endpoint Security есть Индикатор уровня защиты, который
помогает администратору оценить уровень противодействия угрозам и подсказывает, какие
компоненты необходимо включить, чтобы уровень защиты соответствовал максимальному.
ИТ
Например, администратор в политике включил все компоненты Базовой защиты и Продвинутой

защиты, но по ошибке или целенаправленно отключил критически важный компонент Анализ
поведения, который обнаруживает угрозы на основе анализа поведения программ, в частности,
Ж
детектирует сложные угрозы такие как программы-вымогатели. Как только компонент Анализ
поведения будет выключен, Индикатор уровня защиты сразу изменит цвет на красный и
Е
надпись на индикаторе будет соответствовать статусу Уровень защиты низкий. Дополнительно,

после применения настроек политики, справа от индикатора, появится надпись Выключены
ДЛ
важные компоненты защиты и ссылка Узнать больше. При клике на ссылку отроется окно
Рекомендованные компоненты защиты, в котором можно включить необходимые компоненты
для максимального противодействия угрозам. Если администратор проигнорирует
предупреждение и нажмет кнопку Сохранить в окне политики, Kaspersky Security Center покажет
ПО
информационное окно и предложит исправить ситуацию.

НЕ
14
Ю
НИ
Индикатор уровня защиты может принимать одно из следующих значений:
— Уровень защиты высокий — цвет индикатора изменяется на зеленый, если включены
все компоненты, относящиеся к следующим категориям:
Е
— Критические:
АН
— Защита от файловых угроз;
— Анализ поведения;
— Защита от эксплойтов;
ТР
— Откат вредоносных действий.
— Важные:
ОС
— Kaspersky Security Network;
— Защита от веб-угроз;
— Защита от почтовых угроз;
— Предотвращение вторжений.
Р
— Уровень защиты средний — цвет индикатора изменяется на желтый, если отключен
СП
один важный компонент.
— Уровень защиты низкий — цвет индикатора изменяется на красный в одном из
следующих случаев:
РА
— отключены один или несколько критических компонентов;
— отключены два или более важных компонента.
И
Применение политики
ИЮ
АН
ОВ
П ИР
КО
ИТ
Е Ж
ДЛ
Про особенности работы политик и задач мы уже говорили в Части I этого курса, а в Части II
разбирали различные настройки политики, в том числе и в лабораторных работах.
ПО
Здесь еще раз хочется подчеркнуть, что замок прежде всего отвечает за то, что настройка
распространится на управляемое устройство, а не только то, что пользователь не сможет
изменить ее локально. В любом случае, следите, чтобы замки были закрыты.
НЕ
15
Ю
НИ
Также рекомендуется не плодить большое количество одинаковых политик и при возможности
использовать профили политик. С профилями политик можно ознакомиться в документации:
https://support.kaspersky.com/KSC/14.2/ru-RU/165778.htm
Е
АН
Доступ к Kaspersky Security Network
ТР
Р ОС
СП
РА
И
ИЮ
АН
ОВ
В Kaspersky Security Center для отображения интерфейса политики используются так называемые
плагины, плагины есть и для MMC-консоли, и для Web Console. Обычно плагины обновляются с
каждой новой версией Kaspersky Endpoint Security. При каждом обновлении плагина необходимо
ИР
заново принять в нем Лицензионное соглашение Kaspersky Security Network. До тех пор, пока
соглашение не принято, задача Kaspersky Security Network может не работать.
П
Также бывает, что проблема с доступом к KSN может возникнуть на стороне Сервера
администрирования или на стороне сетевой инфраструктуры.
КО
Если у Kaspersky Endpoint Security нет доступа к KSN, он сообщает об этом на Сервер
администрирования событием Серверы KSN недоступны. Чтобы быстро находить все
компьютеры, на которых нет доступа к KSN, создайте свою выборку компьютеров.
ИТ
По умолчанию Kaspersky Endpoint Security обращаются в KSN через службу Сервера

администрирования Прокси-сервер Kaspersky Security Network. Служба принимает соединения
на TCP-порт 13111. Если у компьютеров нет доступа к KSN, убедитесь, что:
Ж
— Запущена служба Прокси-сервер Kaspersky Security Network на Сервере

Е
администрирования.
ДЛ
— Порт 13111 не закрыт сетевым экраном.

— Сервер администрирования имеет доступ к KSN-серверам на порт 443.
— В политике Kaspersky Endpoint Security разрешите компьютерам обращаться к KSN-
ПО
серверам напрямую.
НЕ
16
Ю
НИ
3.2 Задачи
Е
Задача обновления баз
АН
ТР
Р ОС
СП
РА
И
ИЮ
АН
На Сервере администрирования обязательно должна присутствовать задача Обновление для

ОВ
Kaspersky Endpoint Security. Именно такую задачу создает Мастер первоначальной настройки для
корневой группы Управляемые устройства.
ИР
Расписание
Стандартное расписание задач обновления Kaspersky Endpoint Security — При загрузке

П
обновлений в хранилище. В отличие от периодического расписания, когда время запуска

КО
определяет Kaspersky Endpoint Security и запускает задачу независимо от того, есть связь с
Сервером администрирования или нет, расписание При загрузке обновлений в хранилище
означает, что задача всегда запускается по команде от Сервера администрирования.
ИТ
Чтобы отправить команду запуска, Сервер администрирования посылает сигнал на клиентский

компьютер на UDP-порт 15000. Этот порт слушает Агент администрирования и, получив на него
сигнал, связывается с Сервером администрирования. В результате соединения с Сервером Агент
получает команду запуска задачи и передает ее на выполнение Kaspersky Endpoint Security. Если
Ж
сигнал Сервера до клиентского компьютера не дошел, Агент получит команду запуска задачи при
следующей плановой синхронизации (по умолчанию раз в 15 минут). То же самое происходит,
Е
когда администратор пытается вручную запустить задачу через Консоль администрирования.

ДЛ
Расписание При загрузке обновлений в хранилище гарантирует, что клиентские компьютеры

будут получать обновления своевременно и без ненужных обращений к Серверу. Альтернативно
можно использовать простое периодическое расписание запуска — например, раз в час.
ПО
Чтобы клиентские компьютеры в момент запуска задачи не создавали большой пиковой нагрузки
на источник обновлений и на сеть, используется случайный разброс времени запуска в некотором
НЕ
17
Ю
НИ
интервале. Скажем, если выбран интервал 5 минут, компьютер начнет обновление не ровно в
назначенное время, а после случайной задержки от 0 до 5 минут.
По умолчанию Сервер администрирования автоматически определяет интервал разброса в
Е
зависимости от количества компьютеров в задаче. Администратор может отключить опцию
АН
Автоматически определять период задержки запуска задачи в параметрах расписания и
установить период на свое усмотрение.
ТР
Источник
Чтобы задать список источников, нужно открыть свойства задачи и перейти на вкладку
ОС
Параметры программы | Локальный режим. Источниками обновления могут выступать:
— Kaspersky Security Center — рекомендуемый источник для всех управляемых
компьютеров. Более того, наиболее естественный источник для расписания — При
Р
загрузке обновлений в хранилище.
СП
— Серверы обновления «Лаборатории Касперского» — рекомендуемый источник для
компьютеров за пределами корпоративной сети или резервный источник, когда Сервер
администрирования недоступен. Впрочем, нередко администраторы предпочитают, чтобы
РА
компьютеры ждали возобновления связи с Сервером администрирования, а не создавали
лишний внешний трафик.
— Локальная или сетевая папка — еще один вариант настройки резервных источников
обновлений. В качестве сетевой папки можно указать HTTP- или FTP-адрес. Например,
И
если в сети несколько Серверов администрирования, можно в качестве резервных
источников использовать HTTP-адреса папок с обновлениями на других Серверах.
Ю
Задаче обновления клиентских компьютеров можно назначить не один, а несколько источников.

Если первый источник окажется недоступен, задача попробует обновиться из следующего по
И
списку.
АН
Загрузка обновлений с Сервера администрирования осуществляется Агентами

администрирования. Загрузка обновлений с серверов обновлений Лаборатории Касперского или с
других FTP- или HTTP-серверов осуществляется самой программой Kaspersky Endpoint Security
ОВ
без помощи агента.
Если на компьютерах старые версии сигнатур, проверьте источник в задаче обновления.

ИР
Установите источник Kaspersky Security Center. Если вы хотите использовать папку или FTP-
сервер, проверьте, что по этому адресу есть обновления, и что у компьютеров есть доступ к
файлам
П
В задаче обновления можно включить копирование обновлений в отдельную папку. Этот режим
КО
может использоваться для создания источника обновлений в малых сетях или подсетях без
Сервера администрирования.
ИТ
Е Ж
ДЛ
ПО
НЕ
18
Ю
НИ
Загрузка обновлений в хранилище Сервера администрирования
Е
АН
ТР
Р ОС
СП
РА
И
ИЮ
Задача обновления серверного хранилища так и называется — Загрузка обновлений в

АН
хранилище. Она создается автоматически Мастером первоначальной настройки и существует в

единственном экземпляре. В Консоли управления она находится на странице Устройства |
Задачи группа <Имя Cервера администрирования>.
ОВ
Если у компьютеров старые базы, проверьте, есть ли у Сервера администрирования задача

обновления. Перейдите на страницу Устройства | Задачи сервера администрирования и ищите
ИР
задачу с типом Загрузка обновлений в хранилище.
Задача такого типа может быть только одна. Если она уже есть, Мастер создания задачи не
П
позволяет создать еще одну. Однако в порядке диагностики проблем можно удалить созданную
автоматически задачу Загрузка обновлений в хранилище и создать новую.
КО
К настройкам этой задачи относятся расписание, источник обновления, параметры подключения к

источнику, состав загружаемых обновлений и ряд дополнительных параметров.
ИТ
Поскольку задача существует в единственном экземпляре, единственным разумным расписанием

для нее является периодическое, с небольшим интервалом от 15—20 минут до нескольких часов.
Исходное значение интервала — 1 час.
Ж
Источник обновлений может быть одного из трех типов:

Е
— Серверы обновлений «Лаборатории Касперского» — список FTP- и HTTP-серверов,

официально поддерживаемых Лабораторией Касперского. Такие Сервера расположены в
ДЛ
разных странах по всему миру, что обеспечивает высокую надежность обновления. Если
задача не может подключиться к одному серверу, она пробует следующий по списку.
Список серверов загружается вместе с другими обновлениями.
ПО
— Главный Сервер администрирования — используется, если есть несколько серверов

Kaspersky Security Center и они объединены в иерархию (рассматривается в курсе KL 302
Kaspersky Endpoint Security and Management. Масштабирование).
НЕ
19
Ю
НИ
— Локальная или сетевая папка — используется для обновления из источников, созданных
администратором. В качестве сетевой папки можно указать, в том числе, FTP- или HTTP-
адрес.
Е
Задаче загрузки обновлений в хранилище можно назначить не один, а несколько источников. Если
АН
первый источник окажется недоступен, задача попробует обновиться из следующего по списку.
Мониторинг обновления баз
ТР
Р ОС
СП
РА
И
ИЮ
АН
ОВ
ИР
Информация об используемых базах доступна администратору в веб-виджете Распространение

антивирусных баз в разделе Панель мониторинга. Если все нормально, в виджете будет
показана зеленая круговая диаграмма и время последней загрузки новых баз в серверное
П
хранилище. Если есть проблема, часть круговой диаграммы поменяет цвет на желтый или
красный и увеличится счетчик рядом с соответствующим статусом баз.
КО
Статусы баз в веб-виджете представлены ссылками, которые открывают выборки устройств:

— Устройства с актуальными базами;
— Устройства с базами, которые обновлены в последние 24 часа;
ИТ
— Устройства с базами, которые обновлены в последние 3 дня;

— Устройства с базами, которые обновлены в последние 7 дней;
— Устройства с базами, которые не обновлялись более 7 дней.
Ж
Более подробную информацию об используемых базах и проблемных компьютерах

Е
администратор может найти в отчетах. Отчет об используемых базах показывает, у какого

количества компьютеров базы устарели на одни сутки, трое суток, семь суток и более 7 суток.
ДЛ
Если базы на компьютере устарели не потому, что он был выключен, а из-за постоянных сбоев
задачи обновления, для выяснения подробностей администратору потребуются события задачи
ПО
обновления. Событий, поступающих на Сервер администрирования, часто недостаточно для

полноценной оценки ситуации. В локальном отчете обновления Kaspersky Endpoint Security, как
правило, содержится больше событий.
НЕ
20
Ю
НИ
Статусы устройств
Е
АН
ТР
Р ОС
СП
РА
И
ИЮ
О старых базах сигнатур сообщают статусы компьютеров.

АН
Компьютеры со старыми базами получают статус Предупреждение или Критический, в

зависимости от того, насколько старые базы на них установлены. Критерии присвоения статусов
ОВ
настраиваются в свойствах групп. По умолчанию для статуса Предупреждение базы должны

устареть на 7 дней, а для статуса Критический — на 14 дней.
Понять, что статус компьютера отличается от OK именно из-за старых баз, можно по описанию
ИР
статуса в свойствах компьютера в разделе Защита, или на вкладке Управляемые устройства в

графе Описание статуса. Более подробная информация о сигнатурах и, в частности, дата
последнего обновления доступны через свойства программы Kaspersky Endpoint Security, которая
П
в свою очередь доступна на вкладке Программы в свойствах компьютера.

КО
ИТ
Е Ж
ДЛ
ПО
НЕ
21
Ю
НИ
Как понять, что у компьютера есть задача обновления
Е
АН
ТР
Р ОС
СП
РА
И
ИЮ
Раздача обновлений из серверного хранилища клиентским компьютерам осуществляется

АН
групповыми задачами обновления.
Чтобы гарантированно охватить все управляемые компьютеры, задача обновления должна быть
ОВ
групповой и относиться к группе Управляемые устройства. Если компьютеры организованы в

группы и оптимальный порядок обновления в разных группах отличается, можно создать свои
задачи обновления в каждой группе.
ИР
Если однотипные задачи имеются в родительской и дочерней группе, на компьютерах дочерней

группы будут запускаться обе задачи. Это, скорее всего, приведет к ошибкам, т.к. если Kaspersky
Endpoint Security выполняет задачу обновления, он не может запустить еще одну. Чтобы этого
П
избежать, в родительской группе задачу можно удалить, перевести в ручной режим запуска или
исключить из нее подгруппы, где есть своя задача обновлений.
КО
Если в Консоли управления много групп, а на компьютерах есть разные версии Kaspersky Endpoint
Security, с первого взгляда тяжело оценить, у всех ли компьютеров есть задача обновления. Чтобы
это понять:
ИТ
Откройте свойства компьютера и перейдите на вкладку Задачи.

Ищите групповую задачу с типом Обновление, т.к. локальные задачи по умолчанию
Ж
отключаются при применении политики.

Е
Если такой задачи нет, создайте ее в этой группе или одной из вышестоящих групп. Старайтесь
использовать поменьше задач. Часто достаточно одной задачи обновления для каждой версии
ДЛ
Kaspersky Endpoint Security в корневой группе Управляемые устройства.

ПО
НЕ
22
Ю
НИ
3.3 Самозащита Kaspersky Endpoint Security
Е
Что делает самозащита
АН
ТР
ОС
Р
СП
РА
И
ИЮ
АН
ОВ
П ИР
КО
ИТ
Е Ж
ДЛ
ПО
НЕ
23
Ю
НИ
В Kaspersky Endpoint Security реализована технология самозащиты. Она предотвращает
несанкционированное отключение продукта и другие попытки нарушить его нормальное
функционирование.
Е
Технология самозащиты имеет две опции в разделе General settings | Application settings
АН
политики:
— Параметр Enable Self-Defense отвечает за защиту:
— процессов Kaspersky Endpoint Security в оперативной памяти компьютера;
ТР
— исполняемых и вспомогательных файлов Kaspersky Endpoint Security на жестком
диске;
ОС
— ключей Kaspersky Endpoint Security в реестре системы;
— Опция Enable external management of system services разрешает остановить службы1
Kaspersky Endpoint Security внешним системам.
Р
СП
Отключение самозащиты понижает уровень защиты компьютера, поэтому по умолчанию параметр
Enable Self-Defense включен, а параметр Enable external management of system services
отключен. Параметры самозащиты являются обязательными. Мы рекомендуем отключать
РА
самозащиту только при наличии проблемы совместимости с другими приложениями или при
поиске неисправностей на управляемом компьютере.
Например, вы можете отключить самозащиту, если у Вас возникнут проблемы совместимости с

И
утилитами удаленного управления. Хотя эту проблему Вы можете решить лучшим способом.
Давайте обсудим этот способ подробнее.
ИЮ
АН
ОВ
П ИР
КО
ИТ
Е Ж
ДЛ
ПО
1У Kaspersky Endpoint Security есть две службы: собственно Kaspersky Endpoint Security (avp.exe) и Kaspersky Seamless
Update Service (avpsus.exe)
НЕ
24
Ю
НИ
Разрешите управлять KES в сеансе удаленного доступа
Е
АН
ТР
Р ОС
СП
РА
И
ИЮ
Вредоносные программы могут имитировать команды пользователя в окне продукта, чтобы

АН
выключить защиту. Поэтому по умолчанию самозащита принимает события мыши и клавиатуры

только непосредственно от устройств, а не от других процессов. Когда администратор пытается
управлять Kaspersky Endpoint Security через программу удаленного доступа, такую как UltraVNC
ОВ
или TeamViewer, самозащита не дает ничего нажать в окне Kaspersky Endpoint Security.
Если вам нужно управлять Kaspersky Endpoint Security через программу удаленно доступа, а
самозащита не дает этого делать, настройте исключение. Добавьте исполняемый файл средства
ИР
удаленного доступа, который работает на управляемых компьютерах, в список доверенных

программ.
П
Процесс, который запускает администратор у себя на компьютере, не обязательно совпадает с

КО
процессом на удаленном компьютере, который принимает соединение и дает доступ к рабочему

столу. Добавляйте именно процесс, который работает на удаленном компьютере.
В свойствах доверенной программы включите флаг Allow interaction with the application
ИТ
interface. Остальные флаги отключите. Не разрешайте программам больше, чем им нужно для
работы.
Е Ж
ДЛ
ПО
НЕ
25
Ю
НИ
Что делает защита от атак BadUSB
Е
АН
ТР
Р ОС
СП
РА
И
ИЮ
Для атаки злоумышленник может модифицировать любую флешку.

АН
Когда Вы подключите к компьютеру такую флешку, то операционная система может опознать ее

как другое устройство. Такое USB-устройство может скрытно выполнять ряд функций,
ОВ
предусмотренных злоумышленником.
Например, флешка может опознаваться как клавиатура и отправлять команды от имени

вошедшего в систему пользователя. На практике это могут быть совершенно любые действия:
ИР
скрытая загрузка вредоносной программы или перехват и отправка конфиденциальных данных. И

даже если пользователь не обладает правами Администратора в системе, то злоумышленник
может использовать один из способов повышения привилегий, а прав обычного пользователя
П
обычно хватает, чтобы организовать утечку данных.

КО
Компонент Защита от атак BadUSB не позволяет подключаться USB-устройствам в качестве

клавиатуры без авторизации пользователем. Компонент отобразит пользователю уведомление и
попросить пользователя авторизовать устройство, если операционная система опознает
подключенное USB-устройство как клавиатуру.
ИТ
По умолчанию компонент Защита от атак BadUSB не устанавливается на компьютеры. Чтобы

доустановить его, используйте задачу Kaspersky Endpoint Security Change application
Ж
components.
Е
Мы рекомендуем устанавливать компонент Защита от атак BadUSB на ноутбуки.

ДЛ
Защита от атак BadUSB имеет два параметра в разделе Application Settings | Essential Threat
Protection | BadUSB Attack Prevention:
ПО
— Параметр BadUSB Attack Prevention может иметь два состояния: ENABLED или
DISABLED, по умолчанию защита выключена.
НЕ
26
Ю
НИ
— Параметр Prohibit use of On-Screen for authorization of USB devices позволяет
разрешить или запретить использовать экранную клавиатуру для авторизации устройства.
По умолчанию, политика разрешает использование экранной клавиатуры.
Е
Если Вы планируете использовать защиту от атак BadUSB на ноутбуках, то мы рекомендуем
АН
разрешить использование экранной клавиатуры в политике для автономных пользователей. Это
позволит избежать проблем с авторизацией беспроводных пультов и презентеров.
ТР
3.4 Защита паролем
ОС
Как пользователь может остановить защиту
Р
СП
РА
И
ИЮ
АН
ОВ
П ИР
КО
Настройки по умолчанию оставляют пользователю как минимум две возможности отключить

защиту:
— Закрыть Kaspersky Endpoint Security командой Exit в контекстном меню иконки в области
ИТ
уведомлений. Этот способ не требует даже повышения привилегий, он доступен любому

пользователю.
Ж
— Деинсталлировать Kaspersky Endpoint Security, что требует наличия у пользователя прав

администратора. Но у некоторых пользователей, особенно пользователей ноутбуков, эти
права могут быть.
Е
— Удалить лицензию, что отключает большую часть защит и отключает возможность

ДЛ
обновления баз сигнатур.
Чтобы не дать пользователям ослаблять или совсем останавливать Kaspersky Endpoint Security,
ПО
настройте защиту паролем для упомянутых действий в политике и сделайте нужные настройки
обязательными (то есть закройте замок). Дополнительно самозащита Kaspersky Endpoint Security
НЕ
27
Ю
НИ
будет блокировать попытки выгрузить из памяти процессы приложения или удалить его файлы с
диска.
Еще один менее очевидный способ отключить защиту — деинсталлировать Агент
Е
администрирования. Спустя 10–20 минут после удаления Агента администрирования Kaspersky
АН
Endpoint Security выходит из-под действия политики, и пользователю становятся доступны все его
настройки. Агент администрирования тоже можно защитить паролем, и эта возможность по
умолчанию тоже не включена.
ТР
Включите защиту паролем
Р ОС
СП
РА
И
ИЮ
АН
ОВ
ИР
Защита паролем может распространяться на большинство действий пользователя в отношении

П
Kaspersky Endpoint Security: изменение настроек, отключение, деинсталляция.

КО
Чтобы включить защиту паролем Kaspersky Endpoint Security:

Откройте политику на вкладке Application settings в разделе General settings | Interface,
переключите параметр Password protection в состояние ENABLED.
ИТ
Задайте пароль.
Настройте разрешения для группы Everyone. Выберите, какие операции не потребуют от
пользователя ввести пароль:
Ж
— Application Settings — защищает все параметры Kaspersky Endpoint Security, в том

числе и опции включения компонентов, но не ограничивает возможность остановки
Е
компонентов через их контекстное меню.

ДЛ
— Remove / modify / restore the application — добавляет в мастер деинсталляции

Kaspersky Endpoint Security запрос пароля.
— Disable Kaspersky Security Center policy — добавляет в контекстное меню иконки
ПО
Kaspersky Endpoint Security команду временного отключения политики по паролю.

НЕ
28
Ю
НИ
— Exit the application — запрашивает пароль при использовании команды Exit. От
попыток завершить работу Kaspersky Endpoint Security нештатным способом защищает
самозащита.
Е
— View reports — требует пароль перед тем как показать события в локальном
интерфейсе Kaspersky Endpoint Security.
АН
Пароль защищает и графический интерфейс Kaspersky Endpoint Security, и интерфейс
командной строки.
ТР
— Restore access to data on encrypted drives — использовать средства восстановления
зашифрованной информации должен администратор, а не пользователь.
ОС
— Restore from Backup — требует пароль при восстановлении файлов из резервного
хранилища.
— Disable protection components — не запрещает запускать компоненты защиты и
Р
локальные задачи, если они отображаются, и запрашивает пароль только при попытке
остановить. Для задачи обновления аналогичной опции нет.
СП
— Disable control components — ставит пароль на отключение контроля устройств,
контроля программ, веб-контроля.
РА
Эта возможность удобна для администраторов при локальной диагностике проблем.
Политика не дает менять локальные параметры, что мешает диагностике. Но
перемещать проблемный компьютер в отдельную группу на время диагностики и затем
возвращать его назад — неудобно. Особенно если за централизованное управление
И
защитой отвечает одно подразделение ИТ, а за локальную диагностику — другое.
Возможность временно отключать политику по паролю на отдельном компьютере
Ю
позволяет выполнять диагностику, не меняя общих настроек на Сервере

И
— Remove key — пользователь, не зная пароля, не сможет остановить защиту, удалив

АН
лицензию вручную.
Защита паролем хороша тем, что действует, даже когда политика отключена. После того как
настройки защиты паролем применились к Kaspersky Endpoint Security, даже если администратор
ОВ
отключит политику, пользователь не сможет управлять защитой, не зная пароля. Защита паролем
позволяет настроить отдельные права каждому пользователю или группе пользователей.
П ИР
КО
ИТ
Е Ж
ДЛ
ПО
НЕ
29
Ю
НИ
Настройте защиту паролем для Агента администрирования
Е
АН
ТР
Р ОС
СП
РА
И
ИЮ
Агент администрирования не так заметен в системе, как Kaspersky Endpoint Security. Одно из
АН
немногих мест, где его можно увидеть — список установленных программ. Слово «Kaspersky» в
названии продукта может спровоцировать некоторых пользователей на попытку удалить Агент
администрирования. Если пользователь обладает правами администратора, он сможет это
ОВ
сделать.
Чтобы защитить Агент администрирования, задайте пароль на деинсталляцию в его политике.

Политику Агента администрирования создает мастер первоначальной настройки.
ИР
Пароль для деинсталляции Агента администрирования относится к разделу Settings на вкладке

Application settings в политике Агента администрирования. В стандартной конфигурации пароль
П
не задан и не является обязательным. Включите опцию Use uninstallation password, задайте

пароль и закройте замок этой группы настроек.
КО
После применения политики в мастер деинсталляции Агента администрирования добавляется

окно с запросом пароля. Попытка удалить Агент через командную строку, не указав пароль, также
завершится неудачно.
ИТ
Е Ж
ДЛ
ПО
НЕ
30
Ю
НИ
Как защитить данные при краже или потере устройства
Е
АН
ТР
Р ОС
СП
РА
И
ИЮ
Kaspersky Endpoint Security имеет ряд инструментов, которые позволяют защитить данные
АН
пользователей при краже и потере устройства. Одним из таких инструментов является задача
Wipe data.
ОВ
Данная задача позволяет Администратору удалять данные пользователя – папки и/или файлы
заданных расширений – либо средствами операционной системы, либо перезаписывая данные
случайными без возможности восстановления. Задача может быть запущена вручную по желанию
Администратора или автоматически при отсутствии связи с Kaspersky Security Center более Х
ИР
дней.
П
КО
ИТ
Е Ж
ДЛ
ПО
НЕ
31
Ю
НИ
3.5 Как защитить компьютер за пределами сети
Е
Каким локальным сетям доверять
АН
ТР
Р ОС
СП
РА
И
ИЮ
АН
Внутри корпоративной сети компьютеры подвергаются меньшей опасности заражения, чем за ее

ОВ
пределами. Вполне разумно было бы менять настройки компьютеров, когда они перемещаются за
пределы офиса.
ИР
В частности, политика по умолчанию считает сети 10.0.0.0/8, 172.16.0.0/12 и 192.168.0.0/16

локальными и разрешает в них доступ к общим папкам компьютера, службам Windows и доступ к
рабочему столу компьютера по протоколу RDP.
П
Но за пределами сети компании адреса 10.0.0.0/8, 172.16.0.0/12 и 192.168.0.0/16 могут быть у

КО
сетей отелей, кафе, аэропортов и других публичных точек доступа. Доверять им как локальным
сетям опасно.
Используйте специальные политики для автономных пользователей, чтобы изменить настройки

ИТ
Kaspersky Endpoint Security за пределами сети компании.

Е Ж
ДЛ
ПО
НЕ
32
Ю
НИ
Сделайте политику для компьютеров вне офиса
Е
АН
ТР
Р ОС
СП
РА
И
ИЮ
Политика Для автономных пользователей (Out-of-office) — это третий возможный статус

АН
политики, кроме Active и Inactive.
Политика для автономных пользователей может быть в любой группе. Причем в группе может
ОВ
быть только одна политика для автономных пользователей для конкретной версии Kaspersky
Endpoint Security. Распространяется такая политика точно так же, как и активная политика, но если
активная политика применяется немедленно, то политика для автономных пользователей —
только после выполнения специальных условий.
ИР
В этой главе мы детально рассмотрим эти условия и их настройку.

П
Если дочерняя группа не имеет своей политики для автономных компьютеров, то в ней будет
КО
действовать политика для автономных пользователей ближайшей родительской группы. В то же

время, если политика для автономных пользователей есть и в родительской, и в дочерней группе,
между собой они никак не связаны. Обязательные параметры политики родительской группы никак
не ограничивают политику для автономных пользователей дочерней группы.
ИТ
Иными словами, автономные политики дочерних групп не наследуют отдельные настройки

автономных политик родительских групп. Дочерние группы наследуют автономные политики
Ж
только целиком, если у них нет своей автономной политики.

Е
Как сделать политику для компьютеров вне офиса

ДЛ
Чтобы создать политику для автономных пользователей:

Запустите мастер создания политики: выберите вкладку Devices | Policies & profiles и
ПО
нажмите Add.
Выберите программу Kaspersky Endpoint Security для Windows.
НЕ
33
Ю
НИ
Примите соглашение KSN.
Дайте политике понятное имя.
Выберите состояние политики: Out-of-office.
Е
АН
Примечание: состояние политики Out-of-office есть не во всех продуктах. Вы можете
найти это состояние в большинстве EPP-продуктов Лаборатории Касперского, а политика
Агента администрирования, например, такой возможности не имеет.
ТР
Создайте политику с настройками по умолчанию.
Чтобы изменить состояние уже готовой политики, откройте раздел General в свойствах политики.
ОС
Когда компьютеры переходят на политику для автономных
Р
пользователей
СП
РА
И
ИЮ
АН
ОВ
П ИР
КО
По умолчанию компьютеры никогда не переходят на политику для автономных пользователей.

Чтобы они переходили на такую политику, задайте условия в политике Агента администрирования
ИТ
одним из двух способов:

— Включите параметр Enable out-of-office mode when Administration Server is not
available.
Ж
Компьютеры будут переходить на автономную политику, если компьютер не подключен ни

Е
к какой сети или если Агент администрирования три раза подряд не смог
синхронизироваться с Сервером администрирования.
ДЛ
На практике обычно это означает, что компьютер был отключен от корпоративной сети. По
умолчанию период синхронизации равен 15 минутам. Следовательно, в автономный
режим клиент переключится мгновенно после отключения сети или через 30–45 минут,
ПО
если сеть не отключалась.

— Настройте сетевые местонахождения для профиля <Offline mode>.
НЕ
34
Ю
НИ
Лучше настройте сетевые местонахождения. С их помощью можно точнее описать, когда
компьютер находится в сети компании, а когда нет.
Если в сети много компьютеров и Сервер администрирования перегружен, не все компьютеры
Е
смогут соединиться с Сервером при штатной синхронизации. Может оказаться так, что компьютер
АН
не синхронизируется три раза подряд и перейдет на автономную политику внутри сети компании.
В зависимости от настроек автономной политики, компьютер может заблокировать доступ к своим
сетевым папкам. Этим компьютером может оказаться и файловый сервер, и контроллер домена.
ТР
Конечно, если компьютеры не могут синхронизироваться с Сервером администрирования, это
отдельная проблема, которую нужно решать2. Но неудачные условия перехода в автономный
режим могут усугубить проблему.
ОС
Задайте условия для перехода на мобильную политику
Р
СП
РА
И
ИЮ
АН
ОВ
П ИР
КО
Вместо параметра Enable out-of-office mode when Administration Server is not available,
настройте сетевые местонахождения, которые лучше описывают, когда компьютер находится
внутри сети компании, а когда снаружи.
ИТ
Агенты администрирования могут использовать разные профили соединения в разных сетевых

местонахождениях. Подробнее профили описывает курс KL 302. Чтобы компьютеры перешли в
автономный режим, настройте сетевые местонахождения для профиля <Offline mode>.
Ж
В политике Агента администрирования есть разные условия для описания сетевых

Е
местонахождений. Многие из них простые и понятные, например, адрес подсети компьютера или
ДЛ
адрес основного шлюза. Но они не могут точно определить сеть компании. Допустим, во
внутренней сети используется подсеть 192.168.0.0/24. Такая же сеть может быть в отеле, в кафе
ПО
2 Как правильно масштабировать Kaspersky Security Center в больших сетях рассказывает курс KL 302.
НЕ
35
Ю
НИ
или в бесплатной точке доступа на улице. Поэтому условия по адресу подсети, шлюза или DNS-
сервера недостаточно надежные.
Лучше используйте условие для разрешимости имен Condition for name resolvability и укажите
Е
имя, которое есть только на внутреннем DNS-сервере компании. Настройте компьютеры
АН
переходить в автономный режим, когда они не могут разрешить это имя:
В политике Агента администрирования откройте Application Settings | Connectivity |
Connection profiles | Settings и в области Network location settings нажмите кнопку Add,
ТР
чтобы добавить параметры сетевого местоположения.
Дайте сетевому местонахождению понятное название, например, «Недоступно имя
<внутреннее DNS-имя>» и включите параметр Description enabled.
ОС
В поле Use connection profile выберите профиль <Offline mode>.
Добавьте условие типа Condition for name resolvability.
Р
Добавьте в список значений имя, которое разрешимо только во внутренней сети.
СП
Под списком DNS or NetBIOS device name переключите параметр в состояние Does not
match any of the values in the list. Это будет означать, что условие срабатывает, если
указанное имя разрешить не удается.
РА
Закройте замок и сохраните условие.
Какие настройки задать компьютерам вне офиса И

И Ю
АН
ОВ
П ИР
КО
ИТ
Е Ж
Политика для автономных компьютеров должна учитывать тот факт, что компьютер находится не в
ДЛ
корпоративной сети, и что обслуживанием Kaspersky Endpoint Security вынужденно занимается

пользователь. Соответственно, такая политика должна давать пользователю необходимый доступ
к информации о состоянии защиты и к инструментам управления Kaspersky Endpoint Security.
ПО
Как минимум стоит дать пользователю возможность выполнять проверку подозрительных файлов
и носителей, а также запускать обновление. Для этого нужно разрешить пользователю управлять
НЕ
36
Ю
НИ
групповыми или локальными задачами, или и теми, и другими. Соответствующие настройки ищите
в политике в разделе Local Tasks.
Е
АН
ТР
Р ОС
СП
РА
И
ИЮ
Политика по умолчанию предполагает, что сети 10.0.0.0/8, 172.16.0.0/12 и 192.168.0.0/16 являются

АН
локальными и требуют меньше ограничений. Это не обязательно будет безопасным

предположением вне сети офиса. Такие адреса могут быть у сетей отелей, кафе или других
публичных точек доступа, и доверять им нельзя. Сделайте эти сети публичными в автономной
ОВ
политике. Или, если вы доверяете пользователям, удалите все сети из политики: Сетевой экран
будет смотреть на статусы сетей в операционной системе, а их может выбирать пользователь
компьютера.
П ИР
КО
ИТ
Е Ж
ДЛ
ПО
НЕ
37
Ю
Е НИ
АН
ТР
Р ОС
СП
РА
И
Ю
Чтобы помочь пользователю принимать рациональные решения по защите компьютера, нужно

дать ему возможность получать больше информации об инцидентах. Пользователя стоит
И
уведомлять об:
— угрозах;
АН
— необходимости лечения активного заражения;

— устаревших базах.
ОВ
Для этого:
— Откройте список локальных событий Kaspersky Endpoint Security в разделе
Application settings | General settings | Interface политики и нажмите ссылку Notification
ИР
settings в области Notifications.

— Выберите компонент и установите флаг напротив важных для пользователя событий в
колонке Notify on screen.
П
КО
Предупреждайте пользователя о проблемах Kaspersky Endpoint Security желтым треугольником на

значке в панели уведомлений. Выберите, о каких проблемах сообщать пользователю, в области
Show application’s status in notifications area раздела Application settings | General settings |
Interface политики.
ИТ
Е Ж
ДЛ
ПО
НЕ
38
KL 002.12.1: Kaspersky Endpoint Security and Management. 4. Хранение событий и интеграция с SIEM
Ю
НИ
4. Хранение событий и интеграция с SIEM
Е
В этом разделе мы поговорим про события, которые поступают на Сервер администрирования, где
АН
и как они хранятся и как можно их пересылать в сторонние системы для анализа.
ТР
События в базе Kaspersky Security Center
Р ОС
СП
РА
И
ИЮ
АН
ОВ
ИР
События в Kaspersky Security Center хранятся в базе SQL. Поддерживаются различные типы SQL-
серверов: MS SQL, My SQL, PostgreSQL, MariaDB.
П
Информация о базе данных Сервера администрирования доступна в его свойствах в разделе

Details of current database.
КО
Ограничение на количество событий также задается в свойствах Сервера в разделе Event

repository, по умолчанию хранится 400 000 событий. Максимально рекомендуемое количество 45
000 000 событий.
ИТ
Е Ж
ДЛ
ПО
НЕ
39
Ю
НИ
Интеграция с SIEM
Е
АН
ТР
Р ОС
СП
РА
И
ИЮ
SIEM — это Security Information and Event Management. Такого рода системы предназначены для
АН
анализа информации, поступающей от различных источников, таких как система антивирусной

защиты, системы веб-фильтрации, маршрутизаторы, межсетевые экраны и многие другие.
Получив информацию, SIEM-система может ее проанализировать. В основе анализа лежат чистая
ОВ
математика и статистика. SIEM-системы способны выявлять вирусные эпидемии, сетевые атаки,

попытки несанкционированного доступа, ошибки и сбои в работе и т.д.
При наличии лицензии KESB Расширенный, Kaspersky Security Center может отправлять события
ИР
в формате следующих SIEM-систем:

— Splunk,
П
— ArcSight,
— QRadar.
КО
Или просто по протоколу Syslog.
При наличии лицензии KESB Стандартный, Kaspersky Security Center сможет отправлять события
ИТ
только в формате Syslog, который описан в RFC 5424.
Администратору нужно включить опцию Автоматически экспортировать события в базу SIEM-

системы, выбрать используемую SIEM-систему, указать адрес сервера, протокол и номер порта.
Ж
Начиная с текущего момента, события будут передаваться на SIEM-сервер. Также у

Е
администратора есть возможность экспортировать в базу SIEM-сервера все события,

ДЛ
произошедшие с определенной даты. Для этого нужно нажать ссылку Set the export start date и
указать дату. Сессия между Сервером администрирования и SIEM-сервером устанавливается
каждые 30 секунд, в рамках одной сессии передается не больше 100 событий.
ПО
НЕ
40
Ю
НИ
Экспорт событий в формате Syslog
Е
АН
ТР
Р ОС
СП
РА
И
ИЮ
Если администратор хочет получать события в SIEM-систему в формате Syslog, то недостаточно

АН
просто включить экспорт событий в формате Syslog.
Нужно еще в свойствах каждого события, которое администратор хочет получать, отметить
ОВ
соответствующую опцию — Экспортировать в SIEM-систему по протоколу Syslog — и вот тогда

событие уйдет.
События в Kaspersky Security Center находятся в разных местах, еще они распределены по
ИР
закладкам по уровню критичности:

— В свойствах Сервера администрирования;
П
— В свойствах политики Агента администрирования;

— В свойствах политики конкретного приложения, например:
КО
— Kaspersky Endpoint Security для Windows,

— Kaspersky Endpoint Security для Linux,
— Kaspersky Security для Windows Server,
— Kaspersky Security для виртуальных сред.
ИТ
Хорошо еще, что работает множественный выбор (multiselect), можно выбрать сразу все события и
включить опцию сразу для всех.
Ж
Также события из базы данных Сервера администрирования можно доставать напрямую,

подключившись непосредственно к базе на SQL-сервере и выполнив нужный запрос.
Е
ДЛ
ПО
НЕ
41
Ю
НИ
Виджеты с типами событий
Е
АН
ТР
Р ОС
СП
РА
И
ИЮ
Событий в Kaspersky Security Center много, а база не резиновая, поэтому следить за тем, какие
АН
именно события хранятся в базе, может быть полезно.
В Kaspersky Security Center есть только виджет 10 наиболее частых событий базы данных. В
ОВ
ММС-консоли виджет показывает количество событий наиболее популярных типов и количество

событий, которое еще может вместить база данных. В Web Console распределение показано в
процентах, чтобы получить абсолютное значение, нужно навести курсор на соответствующий цвет
круговой диаграммы.
ИР
Однако в идеале нужно иметь анализатор, который будет показывать, сколько событий того или
иного типа приходит, в штуках и килобайтах, а также как они распределяются по уровню
П
критичности и времени, чтобы при настройке администратор четко понимал, какие события вносят
основной вклад, и учитывал это.
КО
В качестве анализатора может использоваться SIEM-система, например, Kaspersky Unified

Monitoring and Analysis Platform.
ИТ
Е Ж
ДЛ
ПО
НЕ
42
KL 002.12.1: Kaspersky Endpoint Security and Management. 5. Управление уязвимостями
Ю
НИ
5. Управление уязвимостями
Е
В этом разделе мы в общих чертах поговорим о том, как Kaspersky Security Center может
АН
управлять уязвимостями и обновлениями.
Детально этот функционал рассматривается в курсе KL 009. Systems Management.
ТР
Обнаружение уязвимостей и обновлений
Р ОС
СП
РА
И
ИЮ
АН
ОВ
ИР
Kaspersky Security Center ищет информацию о доступных обновлениях Windows и другого

П
программного обеспечения Microsoft, а также об уязвимостях в программном обеспечении, как

Microsoft, так и сторонних производителей. Некоторые обновления Windows могут также закрывать
КО
найденные уязвимости, т.е. одним выстрелом убивается сразу несколько зайцев.
Сбором информации об обновлениях операционной системы и программного обеспечения

Microsoft, которые уже установлены и которые нужно установить, занимается Агент
ИТ
администрирования. Агент получает информацию о доступных обновлениях либо от службы

Центр обновления Windows, либо от Сервера администрирования, в зависимости от настроек.
Исходя из данных о доступных обновлениях, Агент определяет, какие обновления установлены, а
Ж
какие нет, и передает эту информацию на Сервер администрирования.

Е
Сбором информации об уязвимостях также занимается Агент администрирования. Это происходит

путем автоматического мониторинга запускаемых программ и периодического сканирования по
ДЛ
расписанию программ на клиентских компьютерах. Информация об уязвимостях берется из базы,

составленной экспертами Лаборатории Касперского.
ПО
База уязвимостей обновляется задачей Загрузка обновлений в хранилище Сервера

администрирования. Данные из базы Microsoft запрашиваются у локальной службы Центр
НЕ
43
Ю
НИ
обновления Windows сканируемого компьютера, или у Сервера администрирования, в
зависимости от настроек в политике Агента администрирования.
Информация об уязвимостях и обновлениях передается с клиентских компьютеров на Сервер
Е
администрирования, где она доступна в виде таблицы и может использоваться для закрытия
АН
уязвимостей.
Лицензия на Сервер администрирования
ТР
Р ОС
СП
РА
И
ИЮ
АН
ОВ
ИР
Для использования функционала Patch Management нужно добавить лицензию в свойствах

Сервера администрирования. Лицензии, которые дают право использовать функционал Systems
Management в Kaspersky Security Center:
П
— Kaspersky Endpoint Security для бизнеса Расширенный;

КО
— Kaspersky Total Security для бизнеса;

— Kaspersky Systems Management — отдельная лицензия только на функционал Systems
Management и она не распространяется на Kaspersky Endpoint Security.
ИТ
Однако не все возможности требуют лицензии Systems Management. Агент администрирования в

любом случае собирает информацию о программном и аппаратном обеспечениях на клиентских
компьютерах, информация об оборудовании в сети также всегда отображается в Консоли
Ж
Е
Интеграция с SIEM-системами тоже частично может работать без лицензии, Kaspersky Security
Center будет отправлять события в стандартном формате Syslog, но не в формате определенной
ДЛ
SIEM-системы.
Задача Поиск уязвимостей и доступных обновлений всегда будет работать, она создается по
ПО
умолчанию Мастером первоначальной настройки и предоставляет администратору данные об

уязвимостях и доступных обновлениях на клиентских компьютерах.
НЕ
44
Ю
НИ
Без лицензии НЕ будет работать:
— Задача Установка обновлений и закрытие уязвимостей;
— Задача Синхронизация обновлений Windows Update, т.е. нельзя будет использовать
Е
Сервер администрирования в качестве WSUS-сервера.
АН
Мастер первоначальной настройки
ТР
Р ОС
СП
РА
И
ИЮ
АН
ОВ
Установка лицензии и выбор используемых функций осуществляются в Мастере первоначальной

ИР
настройки. В зависимости от параметров, выбранных на шаге Параметры управления

обновлениями, Мастер создает одну или несколько задач, связанных с поиском и устранением
уязвимостей:
П
— Искать требующиеся для установки обновления + Использовать имеющийся в сети

WSUS-сервер — режим по умолчанию, наименее функциональный и не требующий
КО
специальной лицензии. Метаданные Windows Update берутся у локальных служб, задача

исправления уязвимостей не создается. Администратор не может воспользоваться
функцией автоматического исправления уязвимостей, но может назначать исправление
отдельных уязвимостей вручную. В процессе настройки будет создана задача Агента
ИТ
администрирования Поиск уязвимостей и требуемых обновлений.

— Искать требующиеся для установки обновления + Использовать Сервер
администрирования в роли WSUS-сервера — при таком выборе для поиска уязвимостей
Ж
Microsoft будут использоваться метаданные Windows Update c Сервера

администрирования. Соответственно для загрузки этих метаданных на Сервер будет
Е
создана специальная задача. Всего будет создано две задачи:

ДЛ
— Поиск уязвимостей и требуемых обновлений.

— Синхронизация обновлений Windows Update.
— Искать и устанавливать требующиеся обновления + Использовать имеющийся в
ПО
сети WSUS-сервер — в этом случае Сервер администрирования не будет предоставлять

метаданные Windows Update и не будет участвовать в загрузке и распространении
НЕ
45
Ю
НИ
обновлений Microsoft, но при этом будет использоваться функция автоматической
установки обновлений и исправлений. В результате настройки будут созданы две задачи:
Е
— Установка требуемых обновлений и закрытие уязвимостей.
АН
— Искать и устанавливать требующиеся обновления + Использовать Сервер
администрирования в роли WSUS-сервера — это наиболее функциональный режим,
объединяющий поиск уязвимостей, автоматическое исправление уязвимостей и
использование Сервера администрирования для предоставления метаданных Windows
ТР
Update и распространения обновлений Microsoft. Будут созданы три задачи:
ОС
— Установка требуемых обновлений и закрытие уязвимостей.
— Синхронизация обновлений Windows Update.
Р
Задача Поиск уязвимостей и требуемых обновлений
СП
РА
И
ИЮ
АН
ОВ
П ИР
КО
Поиск уязвимостей и обновлений выполняется в рамках одной задачи Поиск уязвимостей и

требуемых обновлений, она создается автоматически после прохождения Мастера
ИТ
первоначальной настройки. Поиск уязвимостей в Kaspersky Security Center полностью возложен на

Агент администрирования и не зависит от наличия на клиентском компьютере Kaspersky Endpoint
Security.
Ж
Эта задача проверяет исполняемые файлы на клиентских компьютерах по базе уязвимостей

Е
Лаборатории Касперского и запрашивает у службы Windows Updates информацию об

обновлениях.
ДЛ
По умолчанию создается общая задача для всех компьютеров в группе Управляемые

устройства. Поскольку поиск уязвимостей сказывается на потреблении ресурсов, может
ПО
возникнуть необходимость использовать разное расписание запуска в разных группах. Для этого
нужно будет скопировать исходную задачу или создать аналогичные ей при помощи Мастера.
Задача может быть не только групповой, но и для произвольного набора компьютеров.
НЕ
46
Ю
НИ
Задача содержит следующие параметры:
— Использовать данные служб Windows Server Update Services — параметр
включает/выключает поиск обновлений Microsoft.
Е
— Соединяться с сервером обновлений для актуализации данных — включает запрос
АН
свежей информации о доступных обновлениях Microsoft (через локальный Windows Update
Agent) перед выполнением задачи. В противном случае будет использоваться
информация, полученная локальным Windows Update Agent при последней синхронизации
с источником обновлений, речь идет о файле wsusscn2.cab.
ТР
В политике Агента администрирования есть такой же параметр, правда, называется он
Режим поиска обновлений Windows Update — Активный. Т.е. значения в задаче и
ОС
политике могут противоречить друг другу, но приоритет будет у политики.
— Использовать список программ Лаборатории Касперского — параметр относится к
сторонним программам. Для поиска обновлений и уязвимостей необходимо указать
Р
область поиска — список каталогов, в которых будет выполняться поиск. По умолчанию в
список добавлены стандартные для Windows расположения исполняемых файлов:
СП
— %SystemRoot%
— %ProgramFiles%
— %ProgramFiles(x86)%
РА
Если администратор знает о других папках, где могут быть установлены программы, он может
пополнить список. В том числе, если в компании есть пользователи, которые являются
И
администраторами своих компьютеров, и могут устанавливать программы куда угодно,
администратор может добавить в зону сканирования весь диск C:\ или несколько дисков.
Ю
Однако даже если список каталогов в задаче пустой, поиск на наличие уязвимостей все равно
будет проводиться для приложений, установленных на клиентских компьютерах. Для этого
И
сканируются соответствующие ветки реестра, формирующие апплет appwiz.cpl.

АН
По умолчанию задача запускается 1 раз в неделю.
Поскольку поиск обновлений Microsoft не сопровождается сканированием файловой системы,

администратор может использовать две задачи поиска уязвимостей и обновлений, одна будет
ОВ
искать только обновления и уязвимости в сторонних программах, вторая только в программном

обеспечении Microsoft.
П ИР
КО
ИТ
Е Ж
ДЛ
ПО
НЕ
47
Ю
НИ
Информация об обновлениях
Е
АН
ТР
Р ОС
СП
РА
И
ИЮ
После того как выполнится задача Поиск уязвимостей и требуемых обновлений, можно
АН
приступать к работе с обнаруженными уязвимостями и обновлениями.
Информация о существующих обновлениях Windows и обновлениях сторонних программ

ОВ
отображается в узле Operations | Patch Management | Software Updates. Там отображается

информация обо всех известных обновлениях, но по умолчанию включен фильтр Отображать
только применимые обновления, т.е. администратор видит те обновления, которые можно
установить на клиентские компьютеры.
ИР
Многие обновления сторонних приложений, а также некоторые обновления Microsoft имеют

лицензионное соглашение. Чтобы избежать проблем при установке, администратору необходимо
П
принять лицензионные соглашения, иначе установка обновления будет завершена с ошибкой.

Список лицензионных соглашений, по которым надо принять решение, доступен по ссылке
КО
Требуется принять Лицензионные соглашения для обновлений. Рекомендуется принять сразу

все лицензионные соглашения.
ИТ
Е Ж
ДЛ
ПО
НЕ
48
Ю
НИ
Информация об уязвимостях
Е
АН
ТР
Р ОС
СП
РА
И
ИЮ
Информация об уязвимостях, найденных на клиентских компьютерах в программах Microsoft и

АН
сторонних программах, отображается в узле Operations | Patch Management | Software

Vulnerabilities. По умолчанию включен фильтр Требует закрытия, т.е. администратор видит те
уязвимости, которые можно закрыть автоматически.
ОВ
Для работы со списком администратор также может использовать фильтры, например, Источник и
Уровень критичности.
П ИР
КО
ИТ
Е Ж
ДЛ
ПО
НЕ
49
Ю
Е НИ
АН
ТР
Р ОС
СП
РА
И
Ю
В Web Console есть виджет, который показывает распределение уязвимостей по уровням

критичности. По умолчанию такой виджет скрыт, но администратор может вынести его на
И
дэшборд. Компьютеры на диаграмме разделены на четыре категории в зависимости от

существующих уровней критичности. Щелчком по ссылке с уровнем критичности открывается
АН
список компьютеров, имеющих уязвимости соответствующего уровня.

ОВ
П ИР
КО
ИТ
Е Ж
ДЛ
ПО
НЕ
50
Ю
НИ
В ММС-консоли отображение списка уязвимостей и диаграмма распределения по статусам
находятся в одном месте, поэтому возможно администратору будет непросто сразу переключиться
с MMC на веб-консоль. Плюс в MMC-консоли администратор видит точное количество
уязвимостей, которые отвечают заданному фильтру, например, точное количество найденных в
Е
сети уязвимостей или точное количество уязвимостей, для которых есть автоматическое
АН
исправление.
Установка требуемых обновлений и закрытие уязвимостей
ТР
Р ОС
СП
РА
И
ИЮ
АН
ОВ
ИР
С помощью Kaspersky Security Center администратор может использовать разные подходы к

исправлению уязвимостей и установке обновлений.
П
Например, администратор может настроить автоматическое применение исправлений для всех

найденных уязвимостей или только для критических. Либо может настроить автоматическую
КО
установку одобренных обновлений, либо устанавливать отдельные выбранные обновления и

исправлять уязвимости только для определенных программ.
И во всех случаях администратор будет использовать задачу одного типа — Установка

ИТ
требуемых обновлений и закрытие уязвимостей. Такие задачи работают на основании правил.

Администратор может даже использовать только одну задачу для всех описанных выше ситуаций,
достаточно просто изменить существующее правило или добавить новое. Если правил несколько,
они отрабатывают по порядку.
Ж
Такую задачу может создавать Мастер первоначальной настройки, если администратор выбрал
Е
режим поиска и исправления уязвимостей, а не просто поиска. Задача создается для группы
ДЛ
Управляемые устройства и запускается ежедневно.
В задаче, созданной Мастером первоначальной настройки, имеется несколько предустановленных

правил, которые предписывают устанавливать:
ПО
— Все обновления, одобренные администратором;

— Все обновления для критических уязвимостей, кроме запрещенных администратором;
НЕ
51
Ю
НИ
— Все обновления Windows (кроме запрещенных администратором) следующих категорий:
— Критические обновления;
— Обновления системы безопасности;
— Обновления определений.
Е
АН
Администратор может выбрать и другое расписание, например, чтобы задача установки
обновлений запускалась сразу после задачи поиска уязвимостей. Также администратор может
привязать установку обновлений и исправление уязвимостей к перезагрузке компьютера, как это
сделано в Windows. Для этого нужно включить опцию Начинать установку в момент
ТР
перезагрузки или выключения устройства.
Параметры установки исправлений и обновлений регулируются правилами в свойствах задачи.
ОС
Правила могут быть трех типов:
— Правило для всех обновлений;
— Правило для обновлений Windows Update;
Р
— Правило для сторонних обновлений.
СП
У правил разных типов настройки отличаются. При этом правила каждого типа могут быть как
достаточно общими, например, устанавливать исправления для всех уязвимостей, так и
специфическими, например, устанавливать обновления для выбранной программы или даже одно
РА
конкретное обновление
И
ИЮ
АН
ОВ
П ИР
КО
ИТ
Е Ж
ДЛ
ПО
НЕ
52
KL 002.12.1: Kaspersky Endpoint Security and Management. 6. Панели мониторинга и отчеты
Ю
НИ
6. Панели мониторинга и отчеты
Е
Для оценки ситуации с безопасностью в целом в Kaspersky Security Center есть панели
АН
мониторинга и отчеты, которые визуализируют ту или иную статистику.
ТР
Панель мониторинга
Р ОС
СП
РА
И
ИЮ
АН
ОВ
ИР
Статистическую информацию в Kaspersky Security Center можно найти в разных местах:

— Отчеты,
— События,
П
— Статусы компьютеров,
КО
— Списки уязвимостей и доступных обновлений,

— Реестры программ и исполняемых файлов,
— Журналы задач.
ИТ
Вся эта информация может использоваться в том или ином виде для мониторинга состояния
защиты.
Однако, чтобы быстро получить общее представление о состоянии защиты, можно открыть Web
Ж
Console и перейти в раздел Мониторинг и отчеты | Панель мониторинга. На ней администратор

сам выбирает, какие графики показывать, какие формы графиков использовать и как их
Е
расположить друг относительно друга.

ДЛ
Чтобы сократить время ежедневного осмотра, сделайте свою панель мониторинга и поместите на
нее виджеты с графиками:
ПО
— О состоянии защиты,
— Об обновлении баз,
— Об угрозах,
НЕ
53
Ю
НИ
— О сетевых атаках,
— Об уязвимостях,
— Типы обнаруженных вирусов и результаты лечения,
— И других важных событиях на свое усмотрение.
Е
АН
Количество шаблонов виджетов фиксировано, но их достаточно много и для большинства
вопросов есть виджет, который на этот вопрос отвечает.
ТР
Как наполнить панель мониторинга статистикой
Р ОС
СП
РА
И
ИЮ
АН
ОВ
ИР
По умолчанию вкладка Панель мониторинга включает 6 виджетов, посвященных различным

аспектам состояния сети:
П
— Состояние защиты,
— Новые устройства,
КО
— Активность угроз,
— Наиболее распространенные угрозы,
— Наиболее зараженные устройства,
— Обнаружение угроз компонентами программы.
ИТ
Обычно виджет представляет собой график или диаграмму с легендой. По умолчанию они
строятся на основе событий со всех управляемых компьютеров и по данным за последние 30
Ж
дней. Администратор может ограничить диапазон компьютеров или ввести другой период.
Е
Администратор может добавлять, удалять и перемещать виджеты на панели мониторинга, а также

может менять настройки и внешний вид виджетов.
ДЛ
Всего доступно около 50 видов виджетов, сгруппированных по 6 категориям. Администратор может

свободно комбинировать различные виджеты на панели мониторинга, как ему удобнее. Чтобы
ПО
изменить наполнение панели мониторинга нужно использовать иконку Добавить или

восстановить веб-виджет.
НЕ
54
Ю
НИ
В настройках виджета, в зависимости от его типа, можно изменить временной интервал для
отображаемых данных и компьютеры, с которых собираются данные. Для компьютеров есть всего
два варианта — либо группа администрирования, либо компьютеры из указанной выборки.
Е
АН
Панели мониторинга в MMC-консоли
ТР
Р ОС
СП
РА
И
ИЮ
АН
ОВ
В MMC-консоли тоже есть панель мониторинга с виджетами. На вкладке Статистика доступно

сразу 7 панелей с соответствующими виджетами, т.е. почти вся важная информация о состоянии
защиты отображается по умолчанию.
ИР
Настройки виджетов также дают администратору гибкие возможности по визуализации, можно

изменить размер виджета, тип диаграммы, направление оси и другие.
П
КО
ИТ
Е Ж
ДЛ
ПО
НЕ
55
Ю
НИ
Режим Dashboard-only
Е
АН
ТР
Р ОС
СП
РА
И
ИЮ
Но вернемся в Web Console, там есть специальный режим Dashboard-only. Может быть полезен
АН
для сотрудников, которые хотят только просматривать статистику, например, топ-менеджеров. Так
же в этом режиме удобно вывести статистику на общий монитор.
ОВ
Когда у пользователя включен этот режим, то после аутентификации отображается только панель
мониторинга с предопределенным набором виджетов. Главное меню не отображается, поэтому ни
переключиться куда-то, ни просмотреть что-то другое, ни изменить какие-либо настройки
пользователь не может.
П ИР
КО
ИТ
Е Ж
ДЛ
ПО
НЕ
56
Ю
НИ
Как включить режим Dashboard-only
Е
АН
ТР
Р ОС
СП
РА
И
ИЮ
Чтобы включить режим Dashboard-only рекомендуется создать отдельного пользователя и

АН
предоставить ему минимальные права.
Достаточно дать разрешение на чтение для области Базовая функциональность.

ОВ
Гранулированные права доступа настраиваются только в свойствах Сервера администрирования.

П ИР
КО
ИТ
Е Ж
ДЛ
ПО
НЕ
57
Ю
Е НИ
АН
ТР
Р ОС
СП
РА
И
Ю
Режим включается в свойствах учетной записи на вкладке Dashboard. Однако перед тем, как
включить режим необходимо наполнить виджетами панель мониторинга. Делается это точно
И
также, как и в главном меню Kaspersky Security Center.

АН
После переключения ползунка в режим Вкл., возможность изменять виджеты пропадает.

ОВ
П ИР
КО
ИТ
Е Ж
ДЛ
ПО
НЕ
58
Ю
НИ
Отчеты
Е
АН
ТР
Р ОС
СП
РА
И
ИЮ
В Kaspersky Security Center есть больше 50 различных шаблонов отчетов, однако не все они
АН
доступны по клику в разделе Отчеты.
Но даже те, которые есть, по умолчанию генерируются для группы Управляемые устройства и
ОВ
показывают события за последние 30 дней. Использовать такие отчеты для мониторинга

реального состояния защиты бесполезно. По ним невозможно понять, что изменилось сегодня по
сравнению с вчера.
ИР
Поэтому скорее всего администратору придется удалить все отчеты и создать необходимые
отчеты заново. Например, если нужно получать информацию о вирусах за день, за неделю и за
месяц, то это будет три разных отчета, созданных из одного шаблона, но с разными периодами.
П
Какие отчеты могут понадобиться для ежедневного осмотра мы рассмотрим далее в этой главе.
КО
Формально на странице Отчеты находятся не сами отчеты, а шаблоны отчетов, которые

описывают тип и параметры отчета. Отчеты Сервер администрирования генерирует из шаблонов,
ИТ
когда администратор нажимает на ссылку с именем отчета или когда нужно отправить отчеты по
почте.
Е Ж
ДЛ
ПО
НЕ
59
Ю
Е НИ
АН
ТР
Р ОС
СП
РА
И
Ю
Чтобы создать пользовательский отчет (шаблон отчета):

Нажмите кнопку Добавить в разделе Отчеты.
И
Укажите понятное имя, например, Отчет о сетевых атаках за 1 день.

АН
Выберите тип отчета.

Выберите область действия отчета.
ОВ
Отчет может быть для группы, для отдельных компьютеров (списка) и для выборки
компьютеров. Большинство отчетов нужны для всей сети сразу, для этого выбирайте
область действия отчета Управляемые устройства.
ИР
Выберите период. Для ежедневных отчетов укажите период 1 день.
В настройках шаблона задается также перечень информационных полей, которые составляют

П
таблицы отчета. Некоторые поля не несут важной информации и их вполне можно удалить, чтобы
не загромождать отчет. Например, поле Виртуальный сервер нет смысла включать в отчет, если
КО
в сети не используются Виртуальные Сервера администрирования.

ИТ
Е Ж
ДЛ
ПО
НЕ
60
Ю
НИ
Как отправлять отчеты по почте
Е
АН
ТР
Р ОС
СП
РА
И
ИЮ
Некоторые администраторы предпочитают открывать Консоль управления, только когда нужно

АН
что-то посмотреть или настроить, а узнавать о проблемах предпочитают по почте. Так они
используют один инструмент — почтовый ящик — чтобы узнавать о проблемах разных подсистем,
вместо того, чтобы открывать десяток разных консолей.
ОВ
Kaspersky Security Center может доставлять уведомления и отчеты по почте. Для ежедневного
осмотра лучше подходят отчеты, которые показывают, что происходит во всей сети.
Уведомлениями сообщайте о конкретных событиях, на которые нужно немедленно обратить
ИР
внимание.
Для отправки отчетов есть специальная задача Сервера администрирования — Рассылка

П
отчетов, она не создается по умолчанию и ее нужно создать вручную.

КО
ИТ
Е Ж
ДЛ
ПО
НЕ
61
Ю
НИ
Свойства задачи Deliver reports
Е
АН
ТР
Р ОС
СП
РА
И
ИЮ
В свойствах задачи нужно выбрать шаблоны отчетов, которые администратор хочет получать.
АН
Задача показывает все шаблоны отчетов, которые есть в разделе Отчеты.
Задача отправляет отчет в одном из форматов:

ОВ
— HTML,
— PDF,
— XLS.
ИР
Отчеты можно пересылать по почте и/или сохранять в папке. Здесь же задаются адреса
получателей, адрес отправителя и тема сообщения.
П
Можно использовать параметры почтового сервера, заданные в свойствах Сервера

КО
администрирования или указать параметры вручную.
Расписание запуска задачи задается тут же на соответствующей вкладке.

ИТ
Е Ж
ДЛ
ПО
НЕ
62
Ю
НИ
Подключение к почтовому серверу
Е
АН
ТР
Р ОС
СП
РА
И
ИЮ
По умолчанию для отправки по почте событий и отчетов используются параметры, заданные в

АН
свойствах Сервера администрирования в разделе Уведомления.
Изначально, параметры доставки почтовых уведомлений задаются в ходе выполнения мастера

ОВ
первоначальной настройки. Впоследствии их можно изменить в разделе Уведомление на вкладке

Общие в окне свойств Сервера администрирования.
Обязательные параметры:
ИР
— SMTP-сервер — имя или IP-адрес;

— Порт SMTP-сервера;
П
— Адрес получателя — почтовые адреса через точку с запятой.

КО
Дополнительные параметры, такие как:

— Использовать ли DNS и MX поиск;
— Использовать ли сертификат для аутентификации на SMTP-сервере;
— Адрес отправителя — по умолчанию подставляется адрес получателя;
ИТ
— Тема шаблона сообщения;

— Текст уведомления.
Ж
Для того, чтобы проверить корректность параметров подключения к почтовому серверу, есть
кнопка Отправить тестовое сообщение.
Е
Чтобы отправлять разные уведомления на разные адреса или с разным шаблоном текста, надо в
ДЛ
свойствах событий или задачи Рассылка отчетов переключить параметр Использовать

параметры Сервера администрирования и задать пользовательские параметры.
ПО
НЕ
63
Ю
НИ
Резюме по отчетам и задаче Deliver reports
Е
АН
ТР
Р ОС
СП
РА
И
ИЮ
У каждой задачи есть расписание, если какие-то отчеты надо получать ежедневно, еженедельно,
АН
ежемесячно, то надо создать несколько задач с соответствующим расписанием.
То же самое и для отчетов, если нужно получать сводный отчет за 1 день, за неделю, за месяц, то
ОВ
надо создать несколько отчетов этого типа с разным временным периодом.
То есть для каждого уникального набора параметров: расписание, область, период нужно делать
отдельные отчеты и отмечать их в свойствах задачи Deliver reports.
П ИР
КО
ИТ
Е Ж
ДЛ
ПО
НЕ
64
KL 002.12.1: Kaspersky Endpoint Security and Management. 7. Чеклисты
Ю
НИ
7. Чеклисты
Е
В этом разделе мы поговорим о том какие задачи рекомендуется выполнять каждый день, а какие
АН
периодически. Также рассмотрим какие действия можно выполнить при обнаружении угроз.
ТР
Ежедневный чеклист
Р ОС
СП
РА
И
ИЮ
АН
ОВ
ИР
В качестве ежедневных процедур следует как минимум просматривать следующие отчеты:

— Отчет об угрозах;
— Отчет о сетевых атаках;
П
— Отчет о состоянии защиты;

КО
— Отчет об используемых антивирусных базах;

— Отчет об использовании лицензионных ключей.
Можно настроить отправку соответствующих отчетов по почте, хорошей практикой будет отправка
ИТ
ежедневных отчетов с данными за 2 дня.
Глубина отчета в 2 дня помогает не пропустить события от устройств, которые, например вчера
Ж
были не в сети, т.е. события сохранялись локально, а сегодня, после появления в сети, события
ушли на Сервер администрирования, но в отчет с диапазоном 1 день они не попадут.
Е
Также имеет смысл вывести на панель мониторинга такие же виджеты:

ДЛ
— Типы обнаруженных вирусов и результаты лечения;

— История сетевых атак;
— Состояние защиты;
ПО
— Распространение антивирусных баз;

— Используемые лицензионные ключи.
НЕ
65
Ю
НИ
В зависимости от использования того или иного функционала в Kaspersky Security Center и
Kaspersky Endpoint Security могут оказаться полезными следующие ежедневные проверки:
— Отчет и виджет по наличию уязвимостей на управляемых устройствах.
Е
— При использовании Patch Management необходима постоянная проверка свободного
АН
места на диске, иначе загрузка патчей может забить диск и нарушить работу Kaspersky
Security Center.
— При использовании Адаптивного контроля аномалий необходима ежедневная проверка
ТР
его срабатываний, которые ожидают действий администратора.
— При использовании Контроля устройств необходим ежедневный анализ его событий для
реагирования на ложные срабатывания и корректировка списка доверенных устройств.
ОС
— Также стоит ежедневно просматривать Карантин на предмет ложных срабатываний, в
таких случаях Kaspersky Security Center умеет восстанавливать файлы.
Р
СП
Состояние защиты
РА
И
ИЮ
АН
ОВ
П ИР
КО
О том, что защита не работает, могут говорить следующие статусы компьютера:

ИТ
— Программа защиты не установлена;

— Программа защиты не запущена;
— Защита выключена.
Ж
Для поиска компьютеров с такими статусами удобно использовать предустановленные выборки.

Е
Если защита не работает, это может быть по очень разным причинам. Убедитесь, что:
ДЛ
— На компьютере есть Агент администрирования — пользователь мог удалить Агент

администрирования и тогда Консоль управления показывает последние сведения,
которые Агент отправил на Сервер. Установите Агент заново и защитите его от
ПО
пользователя: задайте пароль на деинсталляцию.

НЕ
66
Ю
НИ
— На компьютере есть Kaspersky Endpoint Security — пользователь мог удалить
Kaspersky Endpoint Security. Установите защиту заново и защитите ее от пользователя:
задайте пароль.
Е
— К компьютеру применяется политика — устройство может быть в группе без политики,
или на компьютере может быть версия Kaspersky Endpoint Security, для которой на
АН
Сервере нет политики. Создайте политики во всех группах и для всех версий Kaspersky
Endpoint Security.
— Настройки политики закрыты замком — если замки не закрыты, пользователь может
ТР
менять значения параметров и потенциально может выключить компоненты или
автозапуск Kaspersky Endpoint Security. Закройте замки для всех важных параметров в
политике.
ОС
— Включена защита паролем — Если защита паролем не включена, пользователь может
выгрузить Kaspersky Endpoint Security, даже без прав администратора.
Р
Статус Программа защиты не запущена всегда сопровождается статусом Защита выключена.
СП
Но не наоборот. Если Kaspersky Endpoint Security работает, но все компоненты защиты
выключены, у компьютера будет статус Защита выключена без статуса Программа защиты не
запущена. Защита в Kaspersky Endpoint Security считается включенной, если работает хотя бы
один компонент защиты. Даже если это только Защита от почтовых угроз.
РА
Как удаленно включить защиту
И
ИЮ
АН
ОВ
П ИР
КО
ИТ
Ж
Одним из наиболее критичных статусов защиты является статус Программа защиты не

Е
запущена. Чтобы исправить этот статус нужно отдать команду Агенту администрирования, чтобы
ДЛ
он запустил Kaspersky Endpoint Security. Отдать такую команду можно в свойствах компьютера на
вкладке Программы.
Если не запущены отдельные компоненты, их можно запустить на вкладке Задачи.

ПО
НЕ
67
Ю
НИ
Второй способ запустить Kaspersky Endpoint Security — с помощью задачи Запуск и остановка
программы. Эта задача относится к дополнительным задачам Kaspersky Security Center и может
быть как групповой, так и для наборов компьютеров.
Е
Групповую задачу удобно использовать при регистрации события Вирусная атака — с ее
АН
помощью можно запустить защиту на всех компьютерах сети, на случай если защита где-нибудь
остановлена.
Задача для наборов компьютеров лучше подходит для исправления статуса Программа защиты
ТР
не запущена.
Чтобы создать задачу, которая запускает Kaspersky Endpoint Security:
ОС
Запустите Мастер создания задачи на странице Устройства | Задачи.
Выберите программу Kaspersky Security Center и тип задачи Запуск и остановка
Р
программы.
СП
Выберите устройства, которым будет назначена задача — Выборка.
Укажите выборку компьютеров Программа защиты не запущена.
РА
Как отличить выключенные компьютеры
И
ИЮ
АН
ОВ
П ИР
КО
ИТ
Ж
В большой сети все компьютеры почти никогда не бывают включены. Какие-то обязательно
выключены.
Е
В консоли их легко отличить по значку — у выключенных компьютеров в графе Видим в сети

ДЛ
появится значок с красным восклицательным знаком. Смотрите также на статусы и записи в

колонках Агент администрирования установлен, Агент администрирования запущен и
Последнее подключение к Серверу администрирования.
ПО
НЕ
68
Ю
НИ
Если Агент не работает, а последнее соединение было давно, не обращайте внимания на статусы
защиты компьютера, они могут быть неточными.
Е
Что если компьютер виден, но Агент не выходит на связь
АН
ТР
Р ОС
СП
РА
И
ИЮ
АН
Если компьютер виден в сети, но Агент не соединяется с Сервером администрирования, то

ОВ
Сервер назначает ему один из двух статусов:

— Давно не подключался — по умолчанию компьютеры получают этот статус через 14 дней.
ИР
Период можно изменить в свойствах группы Управляемые устройства. Статус означает,

что все это время Агент администрирования не связывался с Сервером, и Сервер не мог
соединиться с компьютером во время полного опроса сети.
П
— Устройство стало неуправляемым — этот статус означает, что Агент не соединяется с

Сервером, но Сервер соединялся с компьютером во время полного опроса сети.
КО
Если у компьютера статус Давно не подключался, выясните, что случилось с компьютером. Если
этого компьютера больше нет, удалите его из группы и затем еще раз из списка Обнаружение
устройств и развертывание | Нераспределенные устройства. Если сотрудник болеет или в
ИТ
отпуске, ничего не делайте.
Если сотрудники подолгу (месяцами) не бывают в сети, увеличьте период, после которого Сервер
Ж
администрирования автоматически удаляет компьютеры из группы. По умолчанию это 60 дней.

Откройте свойства группы Управляемые устройства, перейдите на вкладку Параметры
выберите раздел Активность устройств и измените значение параметра Удалять устройство из
Е
группы, если оно неактивно больше (сут). Или отключите этот параметр совсем, если
ДЛ
сотрудники могут работать вне офиса неограниченно долго.

ПО
НЕ
69
Ю
НИ
Как заставить компьютер связаться с Сервером
Е
АН
ТР
Р ОС
СП
РА
И
ИЮ
Если у компьютера статус Давно не подключался, проверьте, что:

АН
— Агент администрирования установлен.

— Агент администрирования запущен.
ОВ
Если пользователь удалил Агент администрирования, включите защиту паролем в политике

Агента, а затем переустановите.
Если Агент установлен и запущен, проверьте его настройки. Используйте утилиту klnagchk.exe из
ИР
папки Агента администрирования %ProgramFiles(x86)%\Kaspersky Lab\NetworkAgent:

1. Запустите интерфейс командной строки (cmd.exe) с правами администратора.
П
2. Перейдите в папку Агента администрирования.

3. Запустите утилиту klnagchk.exe.
КО
Без параметров утилита выводит настройки Агента администрирования, пробует подключиться к

Серверу администрирования с этими настройками, публикует результат, и в конце выводит
статистику подключений.
ИТ
Во время тестового подключения Агент не проверяет, есть ли на Сервере новые настройки и не

посылает на Сервер свои данные.
Ж
Чтобы заставить Агент синхронизироваться с Сервером, выполните команду

Е
klnagchck.exe -sendhb
ДЛ
Эту команду нужно выполнять локально на клиентском компьютере.

ПО
НЕ
70
Ю
НИ
В Консоли управления тоже есть команды, чтобы проверить связь с компьютером:
— Проверить доступность устройства (только в MMC) — проверяет статус компьютера
Видим в сети по базе Сервера администрирования. Связываться с компьютером не
Е
пытается, поэтому ничего не добавляется к тому, что и так показывает иконка устройства.
АН
— Синхронизировать принудительно — посылает сигнал на порт UDP 15000 компьютера.
Как изменить адрес подключения к Серверу администрирования
ТР
Р ОС
СП
РА
И
ИЮ
АН
ОВ
Если у Агента администрирования неправильные параметры подключения к Серверу, исправьте

ИР
их утилитой klmover.exe из той же папки Агента администрирования:

Запустите интерфейс командной строки cmd.exe с правами администратора.
П
Перейдите в папку Агента администрирования.

КО
Запустите утилиту klmover.exe с параметром –address и адресом Сервера:
klmover.exe –address 10.28.0.20

ИТ
Если у Сервера нестандартный порт, добавьте параметр –ps и номер порта.
Чтобы исправить неправильные параметры подключения удаленно, переустановите Агент

Ж
администрирования. Перед этим проверьте настройки пакета Агента администрирования. Если у

установленного Агента неправильные параметры, не исключено, что они были неправильными в
Е
пакете.
ДЛ
ПО
НЕ
71
Ю
НИ
Как узнать, что лицензия истекает
Е
АН
ТР
Р ОС
СП
РА
И
ИЮ
Если лицензия на компьютере заканчивается или закончилась, это повод для администратора
АН
обратить внимание.
Дату окончания лицензии можно увидеть в свойствах лицензий на странице Операции |

Лицензирование | Лицензии Лаборатории Касперского.
ОВ
Также внимание администратора могут привлекать статусы компьютеров, настраиваемые в

свойствах групп администрирования. К лицензиям имеют отношение два условия для назначения
ИР
статуса:
— Срок действия лицензии истек — присваивает компьютеру статус Критический. Может
срабатывать не сразу, а спустя заданное количество дней после истечения лицензии —
П
чтобы дать возможность отработать механизмам автоматического обновления лицензии и

не беспокоить администратора понапрасну. По умолчанию все же условие срабатывает
КО
через 0 дней, т.е. сразу после истечения лицензии.

— Срок действия лицензии скоро истечет — присваивает компьютеру статус
Предупреждение. По умолчанию начинает отображаться за 7 дней до срока истечения,
ИТ
но этот параметр можно изменить в любую сторону.

Е Ж
ДЛ
ПО
НЕ
72
Ю
НИ
Отчет об использовании ключей
Е
АН
ТР
Р ОС
СП
РА
И
ИЮ
Практически вся информация о ключах, которая может понадобиться администратору, доступна на

АН
вкладке Операции | Лицензирование | Лицензии Лаборатории Касперского. В том числе, какое

у лицензии ограничение по узлам, и сколько компьютеров уже использует лицензию.
ОВ
Сервер администрирования показывает, сколько управляемых компьютеров использует лицензию.

Он не получает данные от серверов активации Лаборатории Касперского, у которых может быть
другая статистика, если лицензию используют компьютеры без Агента администрирования
ИР
События Сервера администрирования сообщают о превышении ограничения по узлам:

— Лицензионное ограничение превышено — есть два события с таким именем, одно из
П
которых является критическим, а второе — предупреждением. Критическое событие

генерируется при превышении 110% от заданного в лицензии ограничения по узлам.
КО
Предупреждение сообщает о превышении 100% от заданного ограничения.

— Ключ использован более чем на 90% — информационное сообщение, смысл которого
полностью передается названием.
ИТ
Никаких технических ограничений в связи с превышением 100% или 110% от лицензионного

ограничения, Сервер администрирования не вводит. Если для активации используются ключи, а
не коды, администратор может беспрепятственно распространить их задачей установки ключа на
Ж
неограниченное количество компьютеров. С точки зрения лицензионного соглашения, лицензия

дает вам право использовать программное обеспечение на том количестве устройств, которое
Е
приобретено и обозначено в лицензионном сертификате. Если в свойствах ключа включить

параметр Распространять ключ автоматически, Сервер администрирования будет не только
ДЛ
распространять его на компьютеры, но и отзывать с «лишних» компьютеров.
При использовании кодов активации технические ограничения могут вводить сервера активации
ПО
Лаборатории Касперского. Каждому экземпляру Kaspersky Endpoint Security который приходит за

активацией Сервера активации выдают разрешение (ticket) на использование продукта. Если
НЕ
73
Ю
НИ
одновременно выданных разрешений намного больше, чем ограничение лицензии (в полтора-два
раза), Сервера активации прекращает их выдавать.
Е
Задача распространения ключа
АН
ТР
Р ОС
СП
РА
И
ИЮ
АН
Когда приближается срок истечения лицензии, компания приобретает новую. Возникает вопрос,
ОВ
как переключиться с одной лицензии на другую без временного разрыва, но и не уменьшая

эффективный срок использования ни одной из лицензий. С одной стороны, не хотелось бы
заменять старую лицензию пока у нее еще есть несколько дней до истечения. Но и новую
лицензию нужно активировать до того, как старая окончательно перестанет работать.
ИР
Чтобы не терять лицензионный период ни старой, ни новой лицензии, используйте один из двух
подходов:
П
— Заранее распространите новый ключ на компьютеры задачей установки ключа. В

КО
настройках задачи укажите, что это дополнительный (резервный) ключ.

Резервные ключи и коды можно добавлять практически во всех продуктах Лаборатории
Касперского. Как только лицензия, указанная в активном ключе, перестает действовать,
продукт автоматически активируется с использованием резервного ключа или кода.
ИТ
— Добавьте новую лицензию на Сервер администрирования и включите в ее свойствах

параметр Распространять ключ автоматически.
Ж
Когда на компьютерах истечет предыдущий ключ, они получат от Сервера

администрирования новый ключ с установленным флагом автоматического
Е
распространения.
ДЛ
Автоматически распространяемые ключи поступают на все компьютеры. Если у компьютера нет

активной лицензии, автоматически распространяемый ключ станет активным. Если активная
лицензия уже есть, автоматически распространяемый ключ станет резервным. Если есть и
ПО
активная, и резервная лицензии, автоматически распространяемый ключ не установится.

НЕ
74
Ю
НИ
Иногда бывает нужно установить конкретный ключ на конкретный компьютер или группу
компьютеров. Автоматическое распространение для этого плохо подходит. Вместо этого можно
создать задачу Добавление ключа.
Е
АН
Периодический чеклист
ТР
Р ОС
СП
РА
И
ИЮ
АН
ОВ
Действия, которые рекомендуется выполнять периодически:

— Проверять восстановление из бекапа, пока он не удалился в результате ротации.
ИР
Например, если бэкап делается каждый день и хранится 3 копии, то проверять надо раз в
3 дня, если бэкап делается каждые 2 дня и хранится 5 копий, то проверять раз в 10 дней.
— Каждую неделю выполнять задачу Обслуживание Сервера администрирования.
П
— Каждую неделю проверять размер базы Сервера администрирования и при

КО
необходимости чистить ее от слишком «шумных» событий.

— Каждые 2 недели следить за статусом Давно не выполнялся поиск вредоносного ПО.
— Каждый месяц проверять несуществующие устройства, удалять их из базы.
ИТ
— Каждые 3 месяца следить за обновлениями продуктов ЛК, при необходимости

планировать и тестировать перед установкой на боевые сервера.
Ж
Также имеет смысл выполнять проверки для защиты самого сервера:

— Какие учетные записи имеют доступ к Kaspersky Security Center — например,
Е
администратор ушел из компании, а учетная запись все еще активна. Достаточно

ДЛ
проверять раз в месяц.

— Журнал Security проверять на наличие попыток компрометации Сервера
администрирования — ошибки подключения, неуспешная аутентификация.
ПО
— Журналы СУБД проверять на наличие ошибок, следов сторонних подключений или

«левых» учетных записей.
НЕ
75
Ю
НИ
— Настройки Firewall, чтобы не были лишних открытых портов, а только те, которые
регламентированы для работы Kaspersky Security Center.
Е
Чеклист при возникновении инцидента
АН
ТР
Р ОС
СП
РА
И
ИЮ
АН
Однозначно ответить на вопрос, что делать при возникновении инцидента, невозможно. В каждой
ОВ
организации свой подход, свои критерии, свои политики информационной безопасности.
В контексте Kaspersky Security Center за инцидент как минимум можно принять статус устройства
ИР
Обнаружены активные угрозы.
Хотя и обезвреженные угрозы могут представлять интерес для анализа, все зависит от различных
П
данных, которые связаны с детектом. Например, тип детекта, компонент, который обнаружил
угрозу, уровень критичности самого устройства или пользователя, время обнаружения и другие.
КО
Все эти данные могут влиять на итоговую оценку и необходимость дальнейшего расследования.
Даже если Kaspersky Endpoint Security не смог справиться с угрозой нужно все равно
проанализировать информацию, возможно он обнаружил вредоносный файл на сетевом диске, а
ИТ
обезвредить не смог потому, что нет прав на запись. В такой ситуации вряд ли стоит считать
угрозой то, чего нет на этом устройстве.
Ж
Если действительно на устройстве обнаружены активные угрозы, администратор может создать и

запустить для этой выборки задачу Поиск вредоносного ПО с включенной опцией Лечение
активного заражения (подробнее про эту опцию ниже).
Е
ДЛ
После успешного завершения задачи и удаления вредоносного ПО рекомендуется привести

антивирусные базы на устройстве в актуальное состояние.
Также при работе с инцидентами хорошей практикой является сбор данных с зараженного
ПО
устройства. Kaspersky Security Center умеет удаленно собирать журналы Windows, журналы
Kaspersky Endpoint Security и GetSystemInfo, делается это через Агента и может быть выполнено
даже при сбое в работе продукта. Если впоследствии окажется, что инцидент важный и будет
НЕ
76
Ю
НИ
расследование, то копии всех журналов для анализа у нас уже будут гарантированно. Также
журналы понадобятся в случае предоставления данных в НКЦКИ и правоохранительные органы.
Кроме того, часто в журнале Kaspersky Endpoint Security данных больше, чем в отчете Kaspersky
Security Center, например, там видны атакованные порты, а в отчете их нет.
Е
АН
По окончании работы над инцидентом рекомендуется сбросить счетчик вирусов, чтобы он не
влиял на статус устройства, если, конечно, такой статус включен.
ТР
Р ОС
СП
РА
И
ИЮ
АН
ОВ
О том, что на компьютере есть активные угрозы говорит соответствующий статус — Обнаружены
активные угрозы.
ИР
Для поиска устройств с такими статусами удобно использовать предустановленную выборку.

П
КО
ИТ
Е Ж
ДЛ
ПО
НЕ
77
Ю
Е НИ
АН
ТР
Р ОС
СП
РА
И
Ю
Как правило, даже если вредоносная программа выполняется, Kaspersky Endpoint Security может
ее завершить. За это отвечают компоненты Предотвращение вторжений, Анализ поведения и
И
Защита от эксплойтов. Защита от файловых угроз программы в памяти не проверяет.

АН
Но если компьютер заражен и Kaspersky Endpoint Security не может остановить вредоносную

программу, можно применить технологию лечения активного заражения.
ОВ
По умолчанию эта технология выключена, так как она блокирует запуск любых программ и
перезагружает компьютер, что помешает пользователю компьютера. Пользователь может
согласиться выполнить процедуру и рискует потерять данные, или пользователь может отказаться
выполнить процедуру и компьютер останется зараженным. В любом случае лучше, если решать
ИР
будет администратор, а не пользователь.
Чтобы запустить эту технологию на устройстве нужно обязательно включить опцию Применять
П
технологию лечения активного заражения в политике Kaspersky Endpoint Security. Это делается
в разделе Параметры программы | Общие настройки | Настройки приложения
КО
Опция Применять технологию лечения активного заражения работает по разному на рабочих

станциях и серверах. Если Kaspersky Endpoint Security находит угрозу и просит выполнить лечение
активного заражения, то на рабочих станциях появляется уведомление и пользователь должен
ИТ
согласиться на эту процедуру.
На серверах пользователей обычно нет и соглашаться некому, поэтому уведомление просто не

Ж
поднимается и процедура не выполняется. Чтобы лечение активного заражения работало на

серверах, нужно в задаче Поиск вредоносного ПО включить опцию Выполнять лечение
активного заражения немедленно, она позволяет избежать интерактивного взаимодействия с
Е
пользователем.
ДЛ
Для работы технологии на рабочих станциях опцию в задаче включать необязательно, но если
включить, то это также позволит избежать интерактивного взаимодействия с пользователем.
ПО
НЕ
78
Ю
НИ
При лечении активного заражения Kaspersky Endpoint Security не дает запускаться новым
программам, сканирует память, применяет более агрессивные методы завершения процессов,
пробует удалить вредоносные файлы на перезагрузке.
Е
По завершению задачи, когда все угрозы обезврежены, сбросьте счетчик вирусов на компьютерах.
АН
Без внешнего вмешательства счетчик вирусов может только увеличиваться, единственный способ
привести этот статус в нормальное состояние — сбросить значение счетчика вручную. Для этого
ТР
откройте свойства компьютера, на вкладке Общие в разделе Защита, есть кнопка Обнулить
счетчик вирусов.
Р ОС
СП
РА
И
ИЮ
АН
ОВ
П ИР
КО
ИТ
Е Ж
ДЛ
ПО
НЕ
79
KL 002.12.1: Kaspersky Endpoint Security and Management. 8. Обращение в техническую поддержку
Ю
НИ
8. Обращение в техническую поддержку
Е
В этом разделе мы поговорим про то, когда и как обращаться в службу технической поддержки
АН
Лаборатории Касперского.
ТР
Когда и как обращаться в техническую поддержку
Р ОС
СП
РА
И
ИЮ
АН
ОВ
ИР
Если Kaspersky Endpoint Security не работает или работает не так, как настроил администратор, а
простые меры не решают проблему, обращайтесь в техподдержку.
П
Чтобы быстрее получить ответ, сразу соберите следующую информацию:

КО
— Журнал трассировки Kaspersky Endpoint Security при воспроизведении проблемы;

— Журналы Windows;
— Журнал GetSystemInfo — информация о компьютере.
ИТ
После этого необходимо создать запрос на портале https://companyaccount.kaspersky.com/. В

запросе необходимо:
— Указать приложение и область функционала;
Ж
— Описать шаги, которые приводят к проблеме;

— Приложить журналы.
Е
Журналы можно собирать как локально на компьютере, на котором возникают проблемы, так и
ДЛ
удаленно с помощью утилиты удаленной диагностики Kaspersky Security Center.

ПО
НЕ
80
Ю
НИ
Как удаленно собрать журналы Windows и GetSystemInfo
Е
АН
ТР
Р ОС
СП
РА
И
ИЮ
Чтобы собрать журналы удаленно, нужно подключиться к компьютеру утилитой удаленной

АН
диагностики. Ее можно запустить как из меню Пуск, так и из контекстного меню компьютера в
Консоли управления.
ОВ
Затем выбрать нужное устройство и подключиться к нему.
Чтобы получить информацию о компьютере, нажмите ссылку Загрузить информацию о системе.

ИР
Чтобы получить журналы Windows, нажмите ссылку Загрузить, выберите нужные журналы и
нажмите Запустить.
П
Загрузите журнал Kaspersky Event Log и любые другие журналы, в которых есть события о
КО
проблеме
Утилита удаленной диагностики сохраняет файлы в папку на рабочем столе. Откройте ее по

ссылке Папка загрузки в левом нижнем углу.
ИТ
Е Ж
ДЛ
ПО
НЕ
81
Ю
НИ
Как удаленно собрать журналы трассировки
Е
АН
ТР
Р ОС
СП
РА
И
ИЮ
Чтобы собрать журналы трассировки через утилиту диагностики:

АН
Выберите в дереве объектов Kaspersky Endpoint Security.

Нажмите ссылку Включить трассировку, не меняйте уровень трассировки, и нажмите
ОВ
OK.
Повторите шаги, которые воспроизводят проблему.
Нажмите ссылку Выключить трассировку в интерфейсе утилиты.
ИР
Раскройте папку Файлы трассировки в узле Kaspersky Endpoint Security, нажмите

верхнюю ссылку Загрузить, выберите нужные файлы и нажмите Запустить.
П
Если проблема не в Kaspersky Endpoint Security или не только в нем, точно так же соберите
КО
журналы трассировки Агента администрирования, Сервера администрирования, компонента

Updater.
Когда закроете утилиту диагностики, она спросит, нужно ли удалить папку загрузки. Не удаляйте
ИТ
папку, пока не отправите журналы в техническую поддержку.

Е Ж
ДЛ
ПО
НЕ
82
Ю
НИ
Как собрать информацию о системе локально
Е
АН
ТР
Р ОС
СП
РА
И
ИЮ
Иногда проблему удобнее воспроизводить локально на компьютере. В таком случае и журналы

АН
удобнее собирать локально.
Чтобы собрать сведения о системе, загрузите утилиту GetSystemInfo с сайта

ОВ
https://www.getsysteminfo.com/
Запустите ее и сохраните журнал в папку. Утилита собирает сразу и информацию о системе и

журналы Windows, поэтому отдельно собирать журналы Windows не нужно.
П ИР
КО
ИТ
Е Ж
ДЛ
ПО
НЕ
83
Ю
НИ
Как собрать отладочные журналы локально
Е
АН
ТР
Р ОС
СП
РА
И
ИЮ
Чтобы собрать журналы трассировки Kaspersky Endpoint Security:

АН
В главном окне нажмите на иконку Поддержка.

В окне Поддержка нажмите ссылку Support tools.
ОВ
Включите трассировку программы, уровень можно оставить Обычный (500) и нажмите

Сохранить.
ИР
Можно выбрать режим трассировки — С ротацией. В этом случае появится возможность

ограничить максимальное количество файлов трассировки и максимальный размер
каждого из файлов трассировки. Если количество файлов трассировки достигло предела,
самый старый файл удаляется.
П
Воспроизведите проблему.
КО
Выключите трассировку.
Заберите журналы трассировки из папки %ProgramData%\Kaspersky Lab\KES\Traces\.
ИТ
В имени файла указана дата и время создания, выбирайте последние по времени

журналы
Ж
Как локально включить журналы трассировки компонентов Kaspersky Security Center описано в
статье: https://support.kaspersky.ru/ksc11/diagnostics/15025
Е
ДЛ
ПО
НЕ
84
Ю
НИ
Как отправить запрос в техподдержку
Е
АН
ТР
Р ОС
СП
РА
И
ИЮ
Когда у вас есть все журналы, можно обращаться в техническую поддержку:

АН
Перейдите на сайт: https://companyaccount.kaspersky.com.

ОВ
Если у вас нет учетной записи, зарегистрируйтесь: укажите ваш почтовый ящик и
лицензию на продукты Лаборатории Касперского (код активации или ключевой файл).
Нажмите на кнопку Создать запрос и выберите категорию Запрос в Службу

ИР
Технической поддержки.
Выберите область защиты, продукт, версию, операционную систему, тип и подтип запроса.
П
Введите тему запроса и детально опишите проблему: какие шаги выполняете, какой
КО
результат ожидаете и какой получаете вместо ожидаемого.
Прикрепите архив со всеми собранными журналами.

ИТ
Е Ж
ДЛ
ПО
НЕ
85

KL 002.12.1 KSC Kes Student Guide Unit5 Ru v1.2 WM

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

KL 002.12.1 KSC Kes Student Guide Unit5 Ru v1.2 WM

Загружено:

Авторское право:

Доступные форматы

KL 002.12.1: Kaspersky Endpoint Security and Management.

2. Аварийное восстановление ..............................................................................................7

3. Настройка политик и задач .............................................................................................14

Что делает самозащита ...........................................................................................................23

Разрешите управлять KES в сеансе удаленного доступа ....................................................25

Как пользователь может остановить защиту ......................................................................27

Как защитить данные при краже или потере устройства ...................................................31

Сделайте политику для компьютеров вне офиса ..................................................................33

Как сделать политику для компьютеров вне офиса ..............................................................33

4. Хранение событий и интеграция с SIEM ........................................................................39

Интеграция с SIEM ......................................................................................................................40

Виджеты с типами событий .....................................................................................................42

5. Управление уязвимостями ..............................................................................................43

Мастер первоначальной настройки..........................................................................................45

Как собрать отладочные журналы локально ...........................................................................84

Различные рекомендации включают в себя корректную настройку системы. Некоторые моменты

Условно порядок настройки может выглядеть так:

— Настройка политик и задач;

Отдельно поговорим об обращении в службу технической поддержки.

Тут мы перечислим области, на которые стоит уделить внимание. Детально останавливаться на

— Развертывание Сервера администрирования в DMZ.

Потенциально это существенно уменьшает поверхность атаки:

— К базе никто не подключится.

Про развертывания Kaspersky Security Center в DMZ подробно рассказывается в курсе KL

302. Kaspersky Endpoint Security and Management. Масштабирование.

любая другая попытка поднимает алерт.

Резервное копирование — универсальная защита от любых проблем. Что бы ни случилось с

администратора в надежном месте есть резервная копия конфигурации, он сможет восстановить

образов операционных систем), созданные выборки событий и компьютеров, сертификат Сервера

С появлением в Kaspersky Endpoint Security функций шифрования, важность резервного

копирования еще более возросла. Частью конфигурации Сервера администрирования является

используется шифрование. Эти ключи необходимы для восстановления доступа к

Резервное копирование может использоваться и как альтернативный способ обновления версии

Самое важное в резервном копировании — регулярно проверять, что вы можете восстановить

Резервное копирование данных Сервера администрирования. Она создается Мастером

Задача, фактически, является надстройкой над утилитой резервного копирования klbackup.exe,

В ходе резервного копирования утилита klbackup.exe не останавливает службу, а копирует все

копию базы событий.

используется папка SC_Backup в каталоге данных Сервера администрирования

назначения, либо настроить перенос резервных копий внешними средствами.

администрирования, а копирование базы данных — с правами Сервера баз данных. Если в

быть достаточно свободного места.

Поскольку резервная копия весит гигабайты, в зависимости от размера сети и параметров

Сертификат Сервера администрирования при сохранении шифруется. Это делается из

чтобы избежать случайных запусков восстановления и не потерять изменения, сделанные после

Для восстановления Сервера администрирования используется утилита klbackup.exe, которая

Утилита резервного копирования может использоваться не только для восстановления, но и для

резервное копирование данных Сервера администрирования.

Утилиту klbackup.exe можно запускать из командной строки с параметрами:

утилита выполнит создание копии;

–password — параметр для задания пароля, используемого для шифрования

Со временем база Сервера администрирования может начать «тормозить». В частности, Консоль

Чтобы база Сервера администрирования работала быстрее, задача Обслуживание Сервера

которая уменьшает размер базы. Рекомендуется оптимизировать базу раз в неделю.

Задача Обслуживание Сервера администрирования может быть только одна. Ее создает

Например, администратор в политике включил все компоненты Базовой защиты и Продвинутой

надпись на индикаторе будет соответствовать статусу Уровень защиты низкий. Дополнительно,

информационное окно и предложит исправить ситуацию.

По умолчанию Kaspersky Endpoint Security обращаются в KSN через службу Сервера

— Запущена служба Прокси-сервер Kaspersky Security Network на Сервере

— Порт 13111 не закрыт сетевым экраном.

На Сервере администрирования обязательно должна присутствовать задача Обновление для

Стандартное расписание задач обновления Kaspersky Endpoint Security — При загрузке