Академический Документы
Профессиональный Документы
Культура Документы
Ю
Часть 5. Администрирование
KL 002.12.1
Е НИ
АН
ТР
Р ОС
Kaspersky Endpoint
СП
Security and
РА
И
Management
И Ю
АН
Часть 5. Администрирование
ОВ
ИР
П
КО
ИТ
ЕЖ
ДЛ
ПО
Учебный курс
НЕ
1
KL 002.12.1: Kaspersky Endpoint Security and Management.
Ю
Часть 5. Администрирование
НИ
Содержание
Администрирование......................................................................................................................4
Е
АН
1. Усиление защиты Сервера администрирования ............................................................5
ТР
Зачем делать резервную копию ................................................................................................... 7
Задача резервного копирования ................................................................................................... 9
Утилита резервного копирования ............................................................................................12
ОС
Задача обслуживания Сервера администрирования ...............................................................13
Р
3.1 Политики ........................................................................................................................................14
СП
Индикатор уровня защиты в политике....................................................................................14
Применение политики .................................................................................................................15
Доступ к Kaspersky Security Network ..........................................................................................16
РА
3.2 Задачи............................................................................................................................................17
Задача обновления баз ................................................................................................................17
Загрузка обновлений в хранилище Сервера администрирования .........................................19
И
Мониторинг обновления баз ......................................................................................................20
Статусы устройств ..................................................................................................................21
Ю
Как понять, что у компьютера есть задача обновления ......................................................22
3.3 Самозащита Kaspersky Endpoint Security ...................................................................................23
И
2
KL 002.12.1: Kaspersky Endpoint Security and Management. 0. Администрирование
Ю
Часть 5. Администрирование
НИ
Информация об уязвимостях .....................................................................................................49
Установка требуемых обновлений и закрытие уязвимостей ..............................................51
Е
6. Панели мониторинга и отчеты........................................................................................53
Панель мониторинга ...................................................................................................................53
АН
Как наполнить панель мониторинга статистикой ...............................................................54
Панели мониторинга в MMC-консоли .......................................................................................55
Режим Dashboard-only ..................................................................................................................56
ТР
Как включить режим Dashboard-only .........................................................................................57
Отчеты ........................................................................................................................................59
Как отправлять отчеты по почте...........................................................................................61
ОС
Свойства задачи Deliver reports .................................................................................................62
Подключение к почтовому серверу ...........................................................................................63
Резюме по отчетам и задаче Deliver reports ............................................................................64
Р
7. Чеклисты ...........................................................................................................................65
СП
Ежедневный чеклист ...................................................................................................................65
Периодический чеклист ..............................................................................................................75
Чеклист при возникновении инцидента ...................................................................................76
РА
8. Обращение в техническую поддержку ..........................................................................80
Когда и как обращаться в техническую поддержку ................................................................80
И
Как удаленно собрать журналы Windows и GetSystemInfo .....................................................81
Как удаленно собрать журналы трассировки ..........................................................................82
Как собрать информацию о системе локально .......................................................................83
Ю
3
KL 002.12.1: Kaspersky Endpoint Security and Management. 0. Администрирование
Ю
Часть 5. Администрирование
НИ
Администрирование
Е
АН
ТР
Р ОС
СП
РА
И
ИЮ
АН
В этой части курса мы рассмотрим, как обеспечить функционирование системы защиты под
управлением Kaspersky Security Center.
ОВ
— Управление уязвимостями;
— Панели мониторинга и отчеты;
— Чеклисты.
ИТ
4
KL 002.12.1: Kaspersky Endpoint Security and Management. 1. Усиление защиты Сервера администрирования
Ю
Часть 5. Администрирование
НИ
1. Усиление защиты Сервера администрирования
Е
Один из самых важных моментов при эксплуатации Kaspersky Security Center это защитить сам
АН
Сервер администрирования от несанкционированного доступа. Потому что захват контроля над
Kaspersky Security Center позволяет «поставить на колени» защищенную организацию одним
ударом.
ТР
Ссылка на руководство по усилению защиты в официальной документации:
https://support.kaspersky.com/KSC/14.2/ru-RU/245736.htm
Р ОС
СП
РА
И
ИЮ
АН
ОВ
ИР
каждом аспекте мы не будем, так как многое описано в Руководстве по усилению защиты (ссылка
выше), но дадим направление, где можно ознакомиться подробнее:
КО
не выйдет наружу.
— Из локальной сети доступны только порты для взаимодействия с компонентами
ДЛ
Kaspersky Security Center, например, 13000, 13291, 13299, 13111. Возможно, еще RDP.
5
KL 002.12.1: Kaspersky Endpoint Security and Management. 1. Усиление защиты Сервера администрирования
Ю
Часть 5. Администрирование
НИ
— Отключение уязвимых протоколов и сервисов — например, TLS, SMB, Print Spooler и
другие.
— Разрешенные адреса подключения к KSC и СУБД — это могут быть адреса, где
Е
установлены MMC-консоль или Web Console, а также сторонние системы, которые
интегрируются с KSC по OpenAPI (KATA, KUMA), а к СУБД может подключаться только
АН
KSC и, например, SIEM.
— Настройка учетных записей включает в себя следующее:
ТР
— Использование gMSA — сервисные учетные записи для работы служб Kaspersky
Security Center.
— Использование внутренних учетных записей — можно создать внутренние учетные
ОС
записи и полностью отключить использование учетных записей Windows для
управления Сервером администрирования.
— Разделение ролей — использовать разные права доступа к возможностям Сервера
администрирования для разных групп пользователей.
Р
— Включение 2FA.
СП
— Отдельно стоит обратить внимание на настройку самого сервера, где развернут Kaspersky
Security Center:
— Следить за пользователями, которые имеют доступ к этому серверу и использовать
РА
строгую парольную политику.
— Следить за ПО сервера — любые средства удаленного администрирования,
например, TeamViewer должны отслеживаться и удаляться.
И
— Журнал событий Windows Event Log должен храниться не менее 30 дней, с ротацией и
без ограничений по размеру.
— Контроль журналов СУДБ — должен подключаться только KSC и может еще SIEM,
Ю
6
KL 002.12.1: Kaspersky Endpoint Security and Management. 2. Аварийное восстановление
Ю
Часть 5. Администрирование
НИ
2. Аварийное восстановление
Е
В этом разделе мы поговорим про резервное копирование данных Сервера администрирования.
АН
Про него часто забывают, но это очень важный момент, иначе есть риск потерять все настройки
или настройками поломать без возможности отката.
ТР
Зачем делать резервную копию
Р ОС
СП
РА
И
ИЮ
АН
ОВ
ИР
Резервная копия данных Kaspersky Security Center включает практически все видимые и
невидимые объекты управления и настройки: всю базу данных, структуру групп
администрирования, все задачи и политики, шаблоны отчетов, инсталляционные пакеты (кроме
ИТ
Шифрование.
НЕ
7
KL 002.12.1: Kaspersky Endpoint Security and Management. 2. Аварийное восстановление
Ю
Часть 5. Администрирование
НИ
Даже без учета шифрования потеря данных Сервера администрирования может означать много
часов или даже дней и недель на восстановление системы. В большой сети даже создание
структуры групп не является тривиальной задачей и может требовать существенных временных
затрат. При переустановке Сервера также меняется его сертификат, а это значит, что Агенты
Е
администрирования, даже используя правильный адрес, не смогут устанавливать соединение с
АН
Сервером. В общем случае для восстановления связи с компьютерами все Агенты придется
переустановить.
Наличие резервной копии спасает администраторов от всех перечисленных проблем, т.к. копия
ТР
включает и сертификат Сервера, и все настройки, и хранилище ключей шифрования.
ОС
Kaspersky Security Center. Стандартный вариант обновления версии — установка новой версии
поверх старой. Инсталлятор обнаруживает установленную старую версию и выполняет
обновление компонентов, по возможности сохраняя или конвертируя настройки. Вместо этого
Р
можно создать резервную копию старой системы, деинсталлировать ее, установить новую версию
Сервера администрирования и восстановить конфигурацию из резервной копии. При таком
СП
подходе можно параллельно обновить не только программные компоненты сервера, но и
аппаратную конфигурацию.
РА
Аналогично через резервную копию можно переносить Сервер администрирования на другой
компьютер. Сначала создается копия, потом Сервер администрирования устанавливается на
новом месте и восстанавливается из копии. При этом важно, чтобы старый и новый Серверы
администрирования использовали однотипный SQL-сервер.
И
Если при переносе меняется имя Сервера, используемое для подключения к нему клиентских
Ю
компьютеров, необходимо будет предварительно выполнить задачу смены Сервера
администрирования. Подробнее эта задача рассматривается в курсе KL 302. Kaspersky Endpoint
Security and Management. Масштабирование.
И
АН
отточите навыки, чтобы в случае настоящего сбоя восстановить системы быстро и без нервов.
П ИР
КО
ИТ
Е Ж
ДЛ
ПО
НЕ
8
KL 002.12.1: Kaspersky Endpoint Security and Management. 2. Аварийное восстановление
Ю
Часть 5. Администрирование
НИ
Задача резервного копирования
Е
АН
ТР
Р ОС
СП
РА
И
ИЮ
Для создания резервных копий в Kaspersky Security Center предусмотрена специальная задача —
АН
9
KL 002.12.1: Kaspersky Endpoint Security and Management. 2. Аварийное восстановление
Ю
Часть 5. Администрирование
Е НИ
АН
ТР
Р ОС
СП
РА
И
Ю
Для создания резервной копии нужно указать папку назначения. В заданной папке для каждой
резервной копии создается подпапка, имя которой содержит дату и время создания. По умолчанию
И
Недостаток хранения копий на том же диске, что и сам Сервер администрирования, в том, что
аппаратный сбой может повредить сразу и работающую систему, и резервную копию. Безопаснее
хранить резервные копии отдельно. Администратор может либо сразу указать сетевую папку
ОВ
Важно понимать, что копирование данных и настроек Сервера выполняется с правами Сервера
ИР
пустой.
Е
ДЛ
ПО
НЕ
10
KL 002.12.1: Kaspersky Endpoint Security and Management. 2. Аварийное восстановление
Ю
Часть 5. Администрирование
Е НИ
АН
ТР
Р ОС
СП
РА
И
Ю
Стандартное расписание у задачи резервного копирования — каждые два дня в 2 часа ночи —
следовательно, по умолчанию будут храниться резервные копии только за шесть последних дней.
И
Не менее важно следить, чтобы задача успешно завершалась, т.е. копия данных сохранялась на
АН
диск. Тут может помочь настройка почтовых уведомлений об успешном завершении задачи.
Настраивается это в свойствах задачи на вкладке Settings в секции Notifications.
ОВ
П ИР
КО
ИТ
Е Ж
ДЛ
ПО
НЕ
11
KL 002.12.1: Kaspersky Endpoint Security and Management. 2. Аварийное восстановление
Ю
Часть 5. Администрирование
НИ
Утилита резервного копирования
Е
АН
ТР
Р ОС
СП
РА
И
ИЮ
Для восстановления из резервной копии специальной задачи нет. Это продуманное решение,
АН
При запуске без параметров она выполняется в режиме пошагового Мастера, который
запрашивает путь к резервной копии и пароль для расшифровки сертификата.
П
На этом же шаге можно включить режим, когда сохраняться и восстанавливаться будет только
сертификат Сервера администрирования. Этот режим можно использовать, например, чтобы
ИТ
восстановить только связь между Агентами и Сервером, а структуру групп, политики и задачи
создать с нуля. В задаче такой режим недоступен.
Ж
–restore — параметр, указывающий на то, что нужно выполнить восстановление, без него
ДЛ
12
KL 002.12.1: Kaspersky Endpoint Security and Management. 2. Аварийное восстановление
Ю
Часть 5. Администрирование
НИ
В качестве резюме можно сказать, что для того, чтобы однажды не потерять все, нужно четко
знать, как часто делается резервное копирование, как и где оно хранится и какой у него пароль.
Е
Задача обслуживания Сервера администрирования
АН
ТР
Р ОС
СП
РА
И
ИЮ
АН
управления долго создает отчеты, а списки событий или компьютеров показывает после заметной
паузы.
ИР
Чтобы ускорить работу Консоли с событиями в базе, базу нужно оптимизировать. В Kaspersky
Security Center есть специальная задача Обслуживание Сервера администрирования, которая
оптимизирует базу Сервера администрирования. Задача поддерживает только базу Microsoft SQL,
П
для оптимизации других баз данных нужно использовать родные средства поставщиков этих баз
данных.
КО
— Перестраивает индексы;
— Обновляет статистику базы;
— Опционально уменьшает размер базы.
Ж
Параметров у задачи почти нет. Кроме расписания, есть единственная опция Сжать базу данных,
Е
Если Сервер администрирования работает медленно, потому что у него мало ресурсов, задача
Обслуживание базы данных ничем не поможет.
ПО
13
KL 002.12.1: Kaspersky Endpoint Security and Management. 3. Настройка политик и задач
Ю
Часть 5. Администрирование
НИ
3. Настройка политик и задач
Е
В этом разделе мы рассмотрим некоторые моменты, на которые стоит обратить внимание при
АН
настройке политик и задач.
ТР
3.1 Политики
ОС
Индикатор уровня защиты в политике
Р
СП
РА
И
ИЮ
АН
ОВ
П ИР
КО
В свойствах политики Kaspersky Endpoint Security есть Индикатор уровня защиты, который
помогает администратору оценить уровень противодействия угрозам и подсказывает, какие
компоненты необходимо включить, чтобы уровень защиты соответствовал максимальному.
ИТ
детектирует сложные угрозы такие как программы-вымогатели. Как только компонент Анализ
поведения будет выключен, Индикатор уровня защиты сразу изменит цвет на красный и
Е
важные компоненты защиты и ссылка Узнать больше. При клике на ссылку отроется окно
Рекомендованные компоненты защиты, в котором можно включить необходимые компоненты
для максимального противодействия угрозам. Если администратор проигнорирует
предупреждение и нажмет кнопку Сохранить в окне политики, Kaspersky Security Center покажет
ПО
14
KL 002.12.1: Kaspersky Endpoint Security and Management. 3. Настройка политик и задач
Ю
Часть 5. Администрирование
НИ
Индикатор уровня защиты может принимать одно из следующих значений:
— Уровень защиты высокий — цвет индикатора изменяется на зеленый, если включены
все компоненты, относящиеся к следующим категориям:
Е
— Критические:
АН
— Защита от файловых угроз;
— Анализ поведения;
— Защита от эксплойтов;
ТР
— Откат вредоносных действий.
— Важные:
ОС
— Kaspersky Security Network;
— Защита от веб-угроз;
— Защита от почтовых угроз;
— Предотвращение вторжений.
Р
— Уровень защиты средний — цвет индикатора изменяется на желтый, если отключен
СП
один важный компонент.
— Уровень защиты низкий — цвет индикатора изменяется на красный в одном из
следующих случаев:
РА
— отключены один или несколько критических компонентов;
— отключены два или более важных компонента.
И
Применение политики
ИЮ
АН
ОВ
П ИР
КО
ИТ
Е Ж
ДЛ
Про особенности работы политик и задач мы уже говорили в Части I этого курса, а в Части II
разбирали различные настройки политики, в том числе и в лабораторных работах.
ПО
Здесь еще раз хочется подчеркнуть, что замок прежде всего отвечает за то, что настройка
распространится на управляемое устройство, а не только то, что пользователь не сможет
изменить ее локально. В любом случае, следите, чтобы замки были закрыты.
НЕ
15
KL 002.12.1: Kaspersky Endpoint Security and Management. 3. Настройка политик и задач
Ю
Часть 5. Администрирование
НИ
Также рекомендуется не плодить большое количество одинаковых политик и при возможности
использовать профили политик. С профилями политик можно ознакомиться в документации:
https://support.kaspersky.com/KSC/14.2/ru-RU/165778.htm
Е
АН
Доступ к Kaspersky Security Network
ТР
Р ОС
СП
РА
И
ИЮ
АН
ОВ
В Kaspersky Security Center для отображения интерфейса политики используются так называемые
плагины, плагины есть и для MMC-консоли, и для Web Console. Обычно плагины обновляются с
каждой новой версией Kaspersky Endpoint Security. При каждом обновлении плагина необходимо
ИР
заново принять в нем Лицензионное соглашение Kaspersky Security Network. До тех пор, пока
соглашение не принято, задача Kaspersky Security Network может не работать.
П
Также бывает, что проблема с доступом к KSN может возникнуть на стороне Сервера
администрирования или на стороне сетевой инфраструктуры.
КО
Если у Kaspersky Endpoint Security нет доступа к KSN, он сообщает об этом на Сервер
администрирования событием Серверы KSN недоступны. Чтобы быстро находить все
компьютеры, на которых нет доступа к KSN, создайте свою выборку компьютеров.
ИТ
администрирования.
ДЛ
серверам напрямую.
НЕ
16
KL 002.12.1: Kaspersky Endpoint Security and Management. 3. Настройка политик и задач
Ю
Часть 5. Администрирование
НИ
3.2 Задачи
Е
Задача обновления баз
АН
ТР
Р ОС
СП
РА
И
ИЮ
АН
Kaspersky Endpoint Security. Именно такую задачу создает Мастер первоначальной настройки для
корневой группы Управляемые устройства.
ИР
Расписание
определяет Kaspersky Endpoint Security и запускает задачу независимо от того, есть связь с
Сервером администрирования или нет, расписание При загрузке обновлений в хранилище
означает, что задача всегда запускается по команде от Сервера администрирования.
ИТ
сигнал Сервера до клиентского компьютера не дошел, Агент получит команду запуска задачи при
следующей плановой синхронизации (по умолчанию раз в 15 минут). То же самое происходит,
Е
Чтобы клиентские компьютеры в момент запуска задачи не создавали большой пиковой нагрузки
на источник обновлений и на сеть, используется случайный разброс времени запуска в некотором
НЕ
17
KL 002.12.1: Kaspersky Endpoint Security and Management. 3. Настройка политик и задач
Ю
Часть 5. Администрирование
НИ
интервале. Скажем, если выбран интервал 5 минут, компьютер начнет обновление не ровно в
назначенное время, а после случайной задержки от 0 до 5 минут.
Е
зависимости от количества компьютеров в задаче. Администратор может отключить опцию
АН
Автоматически определять период задержки запуска задачи в параметрах расписания и
установить период на свое усмотрение.
ТР
Источник
Чтобы задать список источников, нужно открыть свойства задачи и перейти на вкладку
ОС
Параметры программы | Локальный режим. Источниками обновления могут выступать:
— Kaspersky Security Center — рекомендуемый источник для всех управляемых
компьютеров. Более того, наиболее естественный источник для расписания — При
Р
загрузке обновлений в хранилище.
СП
— Серверы обновления «Лаборатории Касперского» — рекомендуемый источник для
компьютеров за пределами корпоративной сети или резервный источник, когда Сервер
администрирования недоступен. Впрочем, нередко администраторы предпочитают, чтобы
РА
компьютеры ждали возобновления связи с Сервером администрирования, а не создавали
лишний внешний трафик.
— Локальная или сетевая папка — еще один вариант настройки резервных источников
обновлений. В качестве сетевой папки можно указать HTTP- или FTP-адрес. Например,
И
если в сети несколько Серверов администрирования, можно в качестве резервных
источников использовать HTTP-адреса папок с обновлениями на других Серверах.
Ю
списку.
АН
Установите источник Kaspersky Security Center. Если вы хотите использовать папку или FTP-
сервер, проверьте, что по этому адресу есть обновления, и что у компьютеров есть доступ к
файлам
П
В задаче обновления можно включить копирование обновлений в отдельную папку. Этот режим
КО
может использоваться для создания источника обновлений в малых сетях или подсетях без
Сервера администрирования.
ИТ
Е Ж
ДЛ
ПО
НЕ
18
KL 002.12.1: Kaspersky Endpoint Security and Management. 3. Настройка политик и задач
Ю
Часть 5. Администрирование
НИ
Загрузка обновлений в хранилище Сервера администрирования
Е
АН
ТР
Р ОС
СП
РА
И
ИЮ
Задача такого типа может быть только одна. Если она уже есть, Мастер создания задачи не
П
позволяет создать еще одну. Однако в порядке диагностики проблем можно удалить созданную
автоматически задачу Загрузка обновлений в хранилище и создать новую.
КО
разных странах по всему миру, что обеспечивает высокую надежность обновления. Если
задача не может подключиться к одному серверу, она пробует следующий по списку.
Список серверов загружается вместе с другими обновлениями.
ПО
19
KL 002.12.1: Kaspersky Endpoint Security and Management. 3. Настройка политик и задач
Ю
Часть 5. Администрирование
НИ
— Локальная или сетевая папка — используется для обновления из источников, созданных
администратором. В качестве сетевой папки можно указать, в том числе, FTP- или HTTP-
адрес.
Е
Задаче загрузки обновлений в хранилище можно назначить не один, а несколько источников. Если
АН
первый источник окажется недоступен, задача попробует обновиться из следующего по списку.
ТР
Р ОС
СП
РА
И
ИЮ
АН
ОВ
ИР
хранилище. Если есть проблема, часть круговой диаграммы поменяет цвет на желтый или
красный и увеличится счетчик рядом с соответствующим статусом баз.
КО
Если базы на компьютере устарели не потому, что он был выключен, а из-за постоянных сбоев
задачи обновления, для выяснения подробностей администратору потребуются события задачи
ПО
20
KL 002.12.1: Kaspersky Endpoint Security and Management. 3. Настройка политик и задач
Ю
Часть 5. Администрирование
НИ
Статусы устройств
Е
АН
ТР
Р ОС
СП
РА
И
ИЮ
Понять, что статус компьютера отличается от OK именно из-за старых баз, можно по описанию
ИР
21
KL 002.12.1: Kaspersky Endpoint Security and Management. 3. Настройка политик и задач
Ю
Часть 5. Администрирование
НИ
Как понять, что у компьютера есть задача обновления
Е
АН
ТР
Р ОС
СП
РА
И
ИЮ
Чтобы гарантированно охватить все управляемые компьютеры, задача обновления должна быть
ОВ
избежать, в родительской группе задачу можно удалить, перевести в ручной режим запуска или
исключить из нее подгруппы, где есть своя задача обновлений.
КО
Если в Консоли управления много групп, а на компьютерах есть разные версии Kaspersky Endpoint
Security, с первого взгляда тяжело оценить, у всех ли компьютеров есть задача обновления. Чтобы
это понять:
ИТ
Если такой задачи нет, создайте ее в этой группе или одной из вышестоящих групп. Старайтесь
использовать поменьше задач. Часто достаточно одной задачи обновления для каждой версии
ДЛ
22
KL 002.12.1: Kaspersky Endpoint Security and Management. 3. Настройка политик и задач
Ю
Часть 5. Администрирование
НИ
3.3 Самозащита Kaspersky Endpoint Security
Е
Что делает самозащита
АН
ТР
ОС
Р
СП
РА
И
ИЮ
АН
ОВ
П ИР
КО
ИТ
Е Ж
ДЛ
ПО
НЕ
23
KL 002.12.1: Kaspersky Endpoint Security and Management. 3. Настройка политик и задач
Ю
Часть 5. Администрирование
НИ
В Kaspersky Endpoint Security реализована технология самозащиты. Она предотвращает
несанкционированное отключение продукта и другие попытки нарушить его нормальное
функционирование.
Е
Технология самозащиты имеет две опции в разделе General settings | Application settings
АН
политики:
— Параметр Enable Self-Defense отвечает за защиту:
— процессов Kaspersky Endpoint Security в оперативной памяти компьютера;
ТР
— исполняемых и вспомогательных файлов Kaspersky Endpoint Security на жестком
диске;
ОС
— ключей Kaspersky Endpoint Security в реестре системы;
— Опция Enable external management of system services разрешает остановить службы1
Kaspersky Endpoint Security внешним системам.
Р
СП
Отключение самозащиты понижает уровень защиты компьютера, поэтому по умолчанию параметр
Enable Self-Defense включен, а параметр Enable external management of system services
отключен. Параметры самозащиты являются обязательными. Мы рекомендуем отключать
РА
самозащиту только при наличии проблемы совместимости с другими приложениями или при
поиске неисправностей на управляемом компьютере.
1У Kaspersky Endpoint Security есть две службы: собственно Kaspersky Endpoint Security (avp.exe) и Kaspersky Seamless
Update Service (avpsus.exe)
НЕ
24
KL 002.12.1: Kaspersky Endpoint Security and Management. 3. Настройка политик и задач
Ю
Часть 5. Администрирование
НИ
Разрешите управлять KES в сеансе удаленного доступа
Е
АН
ТР
Р ОС
СП
РА
И
ИЮ
или TeamViewer, самозащита не дает ничего нажать в окне Kaspersky Endpoint Security.
Если вам нужно управлять Kaspersky Endpoint Security через программу удаленно доступа, а
самозащита не дает этого делать, настройте исключение. Добавьте исполняемый файл средства
ИР
В свойствах доверенной программы включите флаг Allow interaction with the application
ИТ
interface. Остальные флаги отключите. Не разрешайте программам больше, чем им нужно для
работы.
Е Ж
ДЛ
ПО
НЕ
25
KL 002.12.1: Kaspersky Endpoint Security and Management. 3. Настройка политик и задач
Ю
Часть 5. Администрирование
НИ
Что делает защита от атак BadUSB
Е
АН
ТР
Р ОС
СП
РА
И
ИЮ
предусмотренных злоумышленником.
components.
Е
Защита от атак BadUSB имеет два параметра в разделе Application Settings | Essential Threat
Protection | BadUSB Attack Prevention:
ПО
— Параметр BadUSB Attack Prevention может иметь два состояния: ENABLED или
DISABLED, по умолчанию защита выключена.
НЕ
26
KL 002.12.1: Kaspersky Endpoint Security and Management. 3. Настройка политик и задач
Ю
Часть 5. Администрирование
НИ
— Параметр Prohibit use of On-Screen for authorization of USB devices позволяет
разрешить или запретить использовать экранную клавиатуру для авторизации устройства.
По умолчанию, политика разрешает использование экранной клавиатуры.
Е
Если Вы планируете использовать защиту от атак BadUSB на ноутбуках, то мы рекомендуем
АН
разрешить использование экранной клавиатуры в политике для автономных пользователей. Это
позволит избежать проблем с авторизацией беспроводных пультов и презентеров.
ТР
3.4 Защита паролем
ОС
Как пользователь может остановить защиту
Р
СП
РА
И
ИЮ
АН
ОВ
П ИР
КО
Чтобы не дать пользователям ослаблять или совсем останавливать Kaspersky Endpoint Security,
ПО
настройте защиту паролем для упомянутых действий в политике и сделайте нужные настройки
обязательными (то есть закройте замок). Дополнительно самозащита Kaspersky Endpoint Security
НЕ
27
KL 002.12.1: Kaspersky Endpoint Security and Management. 3. Настройка политик и задач
Ю
Часть 5. Администрирование
НИ
будет блокировать попытки выгрузить из памяти процессы приложения или удалить его файлы с
диска.
Е
администрирования. Спустя 10–20 минут после удаления Агента администрирования Kaspersky
АН
Endpoint Security выходит из-под действия политики, и пользователю становятся доступны все его
настройки. Агент администрирования тоже можно защитить паролем, и эта возможность по
умолчанию тоже не включена.
ТР
Включите защиту паролем
Р ОС
СП
РА
И
ИЮ
АН
ОВ
ИР
Задайте пароль.
Настройте разрешения для группы Everyone. Выберите, какие операции не потребуют от
пользователя ввести пароль:
Ж
28
KL 002.12.1: Kaspersky Endpoint Security and Management. 3. Настройка политик и задач
Ю
Часть 5. Администрирование
НИ
— Exit the application — запрашивает пароль при использовании команды Exit. От
попыток завершить работу Kaspersky Endpoint Security нештатным способом защищает
самозащита.
Е
— View reports — требует пароль перед тем как показать события в локальном
интерфейсе Kaspersky Endpoint Security.
АН
Пароль защищает и графический интерфейс Kaspersky Endpoint Security, и интерфейс
командной строки.
ТР
— Restore access to data on encrypted drives — использовать средства восстановления
зашифрованной информации должен администратор, а не пользователь.
ОС
— Restore from Backup — требует пароль при восстановлении файлов из резервного
хранилища.
— Disable protection components — не запрещает запускать компоненты защиты и
Р
локальные задачи, если они отображаются, и запрашивает пароль только при попытке
остановить. Для задачи обновления аналогичной опции нет.
СП
— Disable control components — ставит пароль на отключение контроля устройств,
контроля программ, веб-контроля.
РА
Эта возможность удобна для администраторов при локальной диагностике проблем.
Политика не дает менять локальные параметры, что мешает диагностике. Но
перемещать проблемный компьютер в отдельную группу на время диагностики и затем
возвращать его назад — неудобно. Особенно если за централизованное управление
И
защитой отвечает одно подразделение ИТ, а за локальную диагностику — другое.
Возможность временно отключать политику по паролю на отдельном компьютере
Ю
лицензию вручную.
Защита паролем хороша тем, что действует, даже когда политика отключена. После того как
настройки защиты паролем применились к Kaspersky Endpoint Security, даже если администратор
ОВ
отключит политику, пользователь не сможет управлять защитой, не зная пароля. Защита паролем
позволяет настроить отдельные права каждому пользователю или группе пользователей.
П ИР
КО
ИТ
Е Ж
ДЛ
ПО
НЕ
29
KL 002.12.1: Kaspersky Endpoint Security and Management. 3. Настройка политик и задач
Ю
Часть 5. Администрирование
НИ
Настройте защиту паролем для Агента администрирования
Е
АН
ТР
Р ОС
СП
РА
И
ИЮ
Агент администрирования не так заметен в системе, как Kaspersky Endpoint Security. Одно из
АН
немногих мест, где его можно увидеть — список установленных программ. Слово «Kaspersky» в
названии продукта может спровоцировать некоторых пользователей на попытку удалить Агент
администрирования. Если пользователь обладает правами администратора, он сможет это
ОВ
сделать.
30
KL 002.12.1: Kaspersky Endpoint Security and Management. 3. Настройка политик и задач
Ю
Часть 5. Администрирование
НИ
Как защитить данные при краже или потере устройства
Е
АН
ТР
Р ОС
СП
РА
И
ИЮ
Kaspersky Endpoint Security имеет ряд инструментов, которые позволяют защитить данные
АН
пользователей при краже и потере устройства. Одним из таких инструментов является задача
Wipe data.
ОВ
Данная задача позволяет Администратору удалять данные пользователя – папки и/или файлы
заданных расширений – либо средствами операционной системы, либо перезаписывая данные
случайными без возможности восстановления. Задача может быть запущена вручную по желанию
Администратора или автоматически при отсутствии связи с Kaspersky Security Center более Х
ИР
дней.
П
КО
ИТ
Е Ж
ДЛ
ПО
НЕ
31
KL 002.12.1: Kaspersky Endpoint Security and Management. 3. Настройка политик и задач
Ю
Часть 5. Администрирование
НИ
3.5 Как защитить компьютер за пределами сети
Е
Каким локальным сетям доверять
АН
ТР
Р ОС
СП
РА
И
ИЮ
АН
пределами. Вполне разумно было бы менять настройки компьютеров, когда они перемещаются за
пределы офиса.
ИР
сетей отелей, кафе, аэропортов и других публичных точек доступа. Доверять им как локальным
сетям опасно.
32
KL 002.12.1: Kaspersky Endpoint Security and Management. 3. Настройка политик и задач
Ю
Часть 5. Администрирование
НИ
Сделайте политику для компьютеров вне офиса
Е
АН
ТР
Р ОС
СП
РА
И
ИЮ
Политика для автономных пользователей может быть в любой группе. Причем в группе может
ОВ
быть только одна политика для автономных пользователей для конкретной версии Kaspersky
Endpoint Security. Распространяется такая политика точно так же, как и активная политика, но если
активная политика применяется немедленно, то политика для автономных пользователей —
только после выполнения специальных условий.
ИР
Если дочерняя группа не имеет своей политики для автономных компьютеров, то в ней будет
КО
нажмите Add.
Выберите программу Kaspersky Endpoint Security для Windows.
НЕ
33
KL 002.12.1: Kaspersky Endpoint Security and Management. 3. Настройка политик и задач
Ю
Часть 5. Администрирование
НИ
Примите соглашение KSN.
Дайте политике понятное имя.
Выберите состояние политики: Out-of-office.
Е
АН
Примечание: состояние политики Out-of-office есть не во всех продуктах. Вы можете
найти это состояние в большинстве EPP-продуктов Лаборатории Касперского, а политика
Агента администрирования, например, такой возможности не имеет.
ТР
Создайте политику с настройками по умолчанию.
Чтобы изменить состояние уже готовой политики, откройте раздел General в свойствах политики.
ОС
Когда компьютеры переходят на политику для автономных
Р
пользователей
СП
РА
И
ИЮ
АН
ОВ
П ИР
КО
к какой сети или если Агент администрирования три раза подряд не смог
синхронизироваться с Сервером администрирования.
ДЛ
На практике обычно это означает, что компьютер был отключен от корпоративной сети. По
умолчанию период синхронизации равен 15 минутам. Следовательно, в автономный
режим клиент переключится мгновенно после отключения сети или через 30–45 минут,
ПО
34
KL 002.12.1: Kaspersky Endpoint Security and Management. 3. Настройка политик и задач
Ю
Часть 5. Администрирование
НИ
Лучше настройте сетевые местонахождения. С их помощью можно точнее описать, когда
компьютер находится в сети компании, а когда нет.
Е
смогут соединиться с Сервером при штатной синхронизации. Может оказаться так, что компьютер
АН
не синхронизируется три раза подряд и перейдет на автономную политику внутри сети компании.
В зависимости от настроек автономной политики, компьютер может заблокировать доступ к своим
сетевым папкам. Этим компьютером может оказаться и файловый сервер, и контроллер домена.
ТР
Конечно, если компьютеры не могут синхронизироваться с Сервером администрирования, это
отдельная проблема, которую нужно решать2. Но неудачные условия перехода в автономный
режим могут усугубить проблему.
ОС
Задайте условия для перехода на мобильную политику
Р
СП
РА
И
ИЮ
АН
ОВ
П ИР
КО
Вместо параметра Enable out-of-office mode when Administration Server is not available,
настройте сетевые местонахождения, которые лучше описывают, когда компьютер находится
внутри сети компании, а когда снаружи.
ИТ
местонахождений. Многие из них простые и понятные, например, адрес подсети компьютера или
ДЛ
адрес основного шлюза. Но они не могут точно определить сеть компании. Допустим, во
внутренней сети используется подсеть 192.168.0.0/24. Такая же сеть может быть в отеле, в кафе
ПО
2 Как правильно масштабировать Kaspersky Security Center в больших сетях рассказывает курс KL 302.
НЕ
35
KL 002.12.1: Kaspersky Endpoint Security and Management. 3. Настройка политик и задач
Ю
Часть 5. Администрирование
НИ
или в бесплатной точке доступа на улице. Поэтому условия по адресу подсети, шлюза или DNS-
сервера недостаточно надежные.
Лучше используйте условие для разрешимости имен Condition for name resolvability и укажите
Е
имя, которое есть только на внутреннем DNS-сервере компании. Настройте компьютеры
АН
переходить в автономный режим, когда они не могут разрешить это имя:
В политике Агента администрирования откройте Application Settings | Connectivity |
Connection profiles | Settings и в области Network location settings нажмите кнопку Add,
ТР
чтобы добавить параметры сетевого местоположения.
Дайте сетевому местонахождению понятное название, например, «Недоступно имя
<внутреннее DNS-имя>» и включите параметр Description enabled.
ОС
В поле Use connection profile выберите профиль <Offline mode>.
Добавьте условие типа Condition for name resolvability.
Р
Добавьте в список значений имя, которое разрешимо только во внутренней сети.
СП
Под списком DNS or NetBIOS device name переключите параметр в состояние Does not
match any of the values in the list. Это будет означать, что условие срабатывает, если
указанное имя разрешить не удается.
РА
Закройте замок и сохраните условие.
Политика для автономных компьютеров должна учитывать тот факт, что компьютер находится не в
ДЛ
Как минимум стоит дать пользователю возможность выполнять проверку подозрительных файлов
и носителей, а также запускать обновление. Для этого нужно разрешить пользователю управлять
НЕ
36
KL 002.12.1: Kaspersky Endpoint Security and Management. 3. Настройка политик и задач
Ю
Часть 5. Администрирование
НИ
групповыми или локальными задачами, или и теми, и другими. Соответствующие настройки ищите
в политике в разделе Local Tasks.
Е
АН
ТР
Р ОС
СП
РА
И
ИЮ
политике. Или, если вы доверяете пользователям, удалите все сети из политики: Сетевой экран
будет смотреть на статусы сетей в операционной системе, а их может выбирать пользователь
компьютера.
П ИР
КО
ИТ
Е Ж
ДЛ
ПО
НЕ
37
KL 002.12.1: Kaspersky Endpoint Security and Management. 3. Настройка политик и задач
Ю
Часть 5. Администрирование
Е НИ
АН
ТР
Р ОС
СП
РА
И
Ю
уведомлять об:
— угрозах;
АН
Для этого:
— Откройте список локальных событий Kaspersky Endpoint Security в разделе
Application settings | General settings | Interface политики и нажмите ссылку Notification
ИР
38
KL 002.12.1: Kaspersky Endpoint Security and Management. 4. Хранение событий и интеграция с SIEM
Ю
Часть 5. Администрирование
НИ
4. Хранение событий и интеграция с SIEM
Е
В этом разделе мы поговорим про события, которые поступают на Сервер администрирования, где
АН
и как они хранятся и как можно их пересылать в сторонние системы для анализа.
ТР
События в базе Kaspersky Security Center
Р ОС
СП
РА
И
ИЮ
АН
ОВ
ИР
События в Kaspersky Security Center хранятся в базе SQL. Поддерживаются различные типы SQL-
серверов: MS SQL, My SQL, PostgreSQL, MariaDB.
П
39
KL 002.12.1: Kaspersky Endpoint Security and Management. 4. Хранение событий и интеграция с SIEM
Ю
Часть 5. Администрирование
НИ
Интеграция с SIEM
Е
АН
ТР
Р ОС
СП
РА
И
ИЮ
SIEM — это Security Information and Event Management. Такого рода системы предназначены для
АН
При наличии лицензии KESB Расширенный, Kaspersky Security Center может отправлять события
ИР
— ArcSight,
— QRadar.
КО
При наличии лицензии KESB Стандартный, Kaspersky Security Center сможет отправлять события
ИТ
произошедшие с определенной даты. Для этого нужно нажать ссылку Set the export start date и
указать дату. Сессия между Сервером администрирования и SIEM-сервером устанавливается
каждые 30 секунд, в рамках одной сессии передается не больше 100 событий.
ПО
НЕ
40
KL 002.12.1: Kaspersky Endpoint Security and Management. 4. Хранение событий и интеграция с SIEM
Ю
Часть 5. Администрирование
НИ
Экспорт событий в формате Syslog
Е
АН
ТР
Р ОС
СП
РА
И
ИЮ
Нужно еще в свойствах каждого события, которое администратор хочет получать, отметить
ОВ
События в Kaspersky Security Center находятся в разных местах, еще они распределены по
ИР
Хорошо еще, что работает множественный выбор (multiselect), можно выбрать сразу все события и
включить опцию сразу для всех.
Ж
41
KL 002.12.1: Kaspersky Endpoint Security and Management. 4. Хранение событий и интеграция с SIEM
Ю
Часть 5. Администрирование
НИ
Виджеты с типами событий
Е
АН
ТР
Р ОС
СП
РА
И
ИЮ
Событий в Kaspersky Security Center много, а база не резиновая, поэтому следить за тем, какие
АН
В Kaspersky Security Center есть только виджет 10 наиболее частых событий базы данных. В
ОВ
Однако в идеале нужно иметь анализатор, который будет показывать, сколько событий того или
иного типа приходит, в штуках и килобайтах, а также как они распределяются по уровню
П
критичности и времени, чтобы при настройке администратор четко понимал, какие события вносят
основной вклад, и учитывал это.
КО
42
KL 002.12.1: Kaspersky Endpoint Security and Management. 5. Управление уязвимостями
Ю
Часть 5. Администрирование
НИ
5. Управление уязвимостями
Е
В этом разделе мы в общих чертах поговорим о том, как Kaspersky Security Center может
АН
управлять уязвимостями и обновлениями.
ТР
Обнаружение уязвимостей и обновлений
Р ОС
СП
РА
И
ИЮ
АН
ОВ
ИР
43
KL 002.12.1: Kaspersky Endpoint Security and Management. 5. Управление уязвимостями
Ю
Часть 5. Администрирование
НИ
обновления Windows сканируемого компьютера, или у Сервера администрирования, в
зависимости от настроек в политике Агента администрирования.
Е
администрирования, где она доступна в виде таблицы и может использоваться для закрытия
АН
уязвимостей.
ТР
Р ОС
СП
РА
И
ИЮ
АН
ОВ
ИР
администрирования.
Е
Интеграция с SIEM-системами тоже частично может работать без лицензии, Kaspersky Security
Center будет отправлять события в стандартном формате Syslog, но не в формате определенной
ДЛ
SIEM-системы.
Задача Поиск уязвимостей и доступных обновлений всегда будет работать, она создается по
ПО
44
KL 002.12.1: Kaspersky Endpoint Security and Management. 5. Управление уязвимостями
Ю
Часть 5. Администрирование
НИ
Без лицензии НЕ будет работать:
— Задача Установка обновлений и закрытие уязвимостей;
— Задача Синхронизация обновлений Windows Update, т.е. нельзя будет использовать
Е
Сервер администрирования в качестве WSUS-сервера.
АН
Мастер первоначальной настройки
ТР
Р ОС
СП
РА
И
ИЮ
АН
ОВ
45
KL 002.12.1: Kaspersky Endpoint Security and Management. 5. Управление уязвимостями
Ю
Часть 5. Администрирование
НИ
обновлений Microsoft, но при этом будет использоваться функция автоматической
установки обновлений и исправлений. В результате настройки будут созданы две задачи:
— Поиск уязвимостей и требуемых обновлений.
Е
— Установка требуемых обновлений и закрытие уязвимостей.
АН
— Искать и устанавливать требующиеся обновления + Использовать Сервер
администрирования в роли WSUS-сервера — это наиболее функциональный режим,
объединяющий поиск уязвимостей, автоматическое исправление уязвимостей и
использование Сервера администрирования для предоставления метаданных Windows
ТР
Update и распространения обновлений Microsoft. Будут созданы три задачи:
— Поиск уязвимостей и требуемых обновлений.
ОС
— Установка требуемых обновлений и закрытие уязвимостей.
— Синхронизация обновлений Windows Update.
Р
Задача Поиск уязвимостей и требуемых обновлений
СП
РА
И
ИЮ
АН
ОВ
П ИР
КО
возникнуть необходимость использовать разное расписание запуска в разных группах. Для этого
нужно будет скопировать исходную задачу или создать аналогичные ей при помощи Мастера.
Задача может быть не только групповой, но и для произвольного набора компьютеров.
НЕ
46
KL 002.12.1: Kaspersky Endpoint Security and Management. 5. Управление уязвимостями
Ю
Часть 5. Администрирование
НИ
Задача содержит следующие параметры:
— Использовать данные служб Windows Server Update Services — параметр
включает/выключает поиск обновлений Microsoft.
Е
— Соединяться с сервером обновлений для актуализации данных — включает запрос
АН
свежей информации о доступных обновлениях Microsoft (через локальный Windows Update
Agent) перед выполнением задачи. В противном случае будет использоваться
информация, полученная локальным Windows Update Agent при последней синхронизации
с источником обновлений, речь идет о файле wsusscn2.cab.
ТР
В политике Агента администрирования есть такой же параметр, правда, называется он
Режим поиска обновлений Windows Update — Активный. Т.е. значения в задаче и
ОС
политике могут противоречить друг другу, но приоритет будет у политики.
— Использовать список программ Лаборатории Касперского — параметр относится к
сторонним программам. Для поиска обновлений и уязвимостей необходимо указать
Р
область поиска — список каталогов, в которых будет выполняться поиск. По умолчанию в
список добавлены стандартные для Windows расположения исполняемых файлов:
СП
— %SystemRoot%
— %ProgramFiles%
— %ProgramFiles(x86)%
РА
Если администратор знает о других папках, где могут быть установлены программы, он может
пополнить список. В том числе, если в компании есть пользователи, которые являются
И
администраторами своих компьютеров, и могут устанавливать программы куда угодно,
администратор может добавить в зону сканирования весь диск C:\ или несколько дисков.
Ю
Однако даже если список каталогов в задаче пустой, поиск на наличие уязвимостей все равно
будет проводиться для приложений, установленных на клиентских компьютерах. Для этого
И
47
KL 002.12.1: Kaspersky Endpoint Security and Management. 5. Управление уязвимостями
Ю
Часть 5. Администрирование
НИ
Информация об обновлениях
Е
АН
ТР
Р ОС
СП
РА
И
ИЮ
После того как выполнится задача Поиск уязвимостей и требуемых обновлений, можно
АН
48
KL 002.12.1: Kaspersky Endpoint Security and Management. 5. Управление уязвимостями
Ю
Часть 5. Администрирование
НИ
Информация об уязвимостях
Е
АН
ТР
Р ОС
СП
РА
И
ИЮ
Для работы со списком администратор также может использовать фильтры, например, Источник и
Уровень критичности.
П ИР
КО
ИТ
Е Ж
ДЛ
ПО
НЕ
49
KL 002.12.1: Kaspersky Endpoint Security and Management. 5. Управление уязвимостями
Ю
Часть 5. Администрирование
Е НИ
АН
ТР
Р ОС
СП
РА
И
Ю
50
KL 002.12.1: Kaspersky Endpoint Security and Management. 5. Управление уязвимостями
Ю
Часть 5. Администрирование
НИ
В ММС-консоли отображение списка уязвимостей и диаграмма распределения по статусам
находятся в одном месте, поэтому возможно администратору будет непросто сразу переключиться
с MMC на веб-консоль. Плюс в MMC-консоли администратор видит точное количество
уязвимостей, которые отвечают заданному фильтру, например, точное количество найденных в
Е
сети уязвимостей или точное количество уязвимостей, для которых есть автоматическое
АН
исправление.
ТР
Р ОС
СП
РА
И
ИЮ
АН
ОВ
ИР
Такую задачу может создавать Мастер первоначальной настройки, если администратор выбрал
Е
режим поиска и исправления уязвимостей, а не просто поиска. Задача создается для группы
ДЛ
51
KL 002.12.1: Kaspersky Endpoint Security and Management. 5. Управление уязвимостями
Ю
Часть 5. Администрирование
НИ
— Все обновления Windows (кроме запрещенных администратором) следующих категорий:
— Критические обновления;
— Обновления системы безопасности;
— Обновления определений.
Е
АН
Администратор может выбрать и другое расписание, например, чтобы задача установки
обновлений запускалась сразу после задачи поиска уязвимостей. Также администратор может
привязать установку обновлений и исправление уязвимостей к перезагрузке компьютера, как это
сделано в Windows. Для этого нужно включить опцию Начинать установку в момент
ТР
перезагрузки или выключения устройства.
ОС
Правила могут быть трех типов:
— Правило для всех обновлений;
— Правило для обновлений Windows Update;
Р
— Правило для сторонних обновлений.
СП
У правил разных типов настройки отличаются. При этом правила каждого типа могут быть как
достаточно общими, например, устанавливать исправления для всех уязвимостей, так и
специфическими, например, устанавливать обновления для выбранной программы или даже одно
РА
конкретное обновление
И
ИЮ
АН
ОВ
П ИР
КО
ИТ
Е Ж
ДЛ
ПО
НЕ
52
KL 002.12.1: Kaspersky Endpoint Security and Management. 6. Панели мониторинга и отчеты
Ю
Часть 5. Администрирование
НИ
6. Панели мониторинга и отчеты
Е
Для оценки ситуации с безопасностью в целом в Kaspersky Security Center есть панели
АН
мониторинга и отчеты, которые визуализируют ту или иную статистику.
ТР
Панель мониторинга
Р ОС
СП
РА
И
ИЮ
АН
ОВ
ИР
— Статусы компьютеров,
КО
Вся эта информация может использоваться в том или ином виде для мониторинга состояния
защиты.
Однако, чтобы быстро получить общее представление о состоянии защиты, можно открыть Web
Ж
Чтобы сократить время ежедневного осмотра, сделайте свою панель мониторинга и поместите на
нее виджеты с графиками:
ПО
— О состоянии защиты,
— Об обновлении баз,
— Об угрозах,
НЕ
53
KL 002.12.1: Kaspersky Endpoint Security and Management. 6. Панели мониторинга и отчеты
Ю
Часть 5. Администрирование
НИ
— О сетевых атаках,
— Об уязвимостях,
— Типы обнаруженных вирусов и результаты лечения,
— И других важных событиях на свое усмотрение.
Е
АН
Количество шаблонов виджетов фиксировано, но их достаточно много и для большинства
вопросов есть виджет, который на этот вопрос отвечает.
ТР
Как наполнить панель мониторинга статистикой
Р ОС
СП
РА
И
ИЮ
АН
ОВ
ИР
— Состояние защиты,
— Новые устройства,
КО
— Активность угроз,
— Наиболее распространенные угрозы,
— Наиболее зараженные устройства,
— Обнаружение угроз компонентами программы.
ИТ
Обычно виджет представляет собой график или диаграмму с легендой. По умолчанию они
строятся на основе событий со всех управляемых компьютеров и по данным за последние 30
Ж
дней. Администратор может ограничить диапазон компьютеров или ввести другой период.
Е
54
KL 002.12.1: Kaspersky Endpoint Security and Management. 6. Панели мониторинга и отчеты
Ю
Часть 5. Администрирование
НИ
В настройках виджета, в зависимости от его типа, можно изменить временной интервал для
отображаемых данных и компьютеры, с которых собираются данные. Для компьютеров есть всего
два варианта — либо группа администрирования, либо компьютеры из указанной выборки.
Е
АН
Панели мониторинга в MMC-консоли
ТР
Р ОС
СП
РА
И
ИЮ
АН
ОВ
55
KL 002.12.1: Kaspersky Endpoint Security and Management. 6. Панели мониторинга и отчеты
Ю
Часть 5. Администрирование
НИ
Режим Dashboard-only
Е
АН
ТР
Р ОС
СП
РА
И
ИЮ
Но вернемся в Web Console, там есть специальный режим Dashboard-only. Может быть полезен
АН
для сотрудников, которые хотят только просматривать статистику, например, топ-менеджеров. Так
же в этом режиме удобно вывести статистику на общий монитор.
ОВ
Когда у пользователя включен этот режим, то после аутентификации отображается только панель
мониторинга с предопределенным набором виджетов. Главное меню не отображается, поэтому ни
переключиться куда-то, ни просмотреть что-то другое, ни изменить какие-либо настройки
пользователь не может.
П ИР
КО
ИТ
Е Ж
ДЛ
ПО
НЕ
56
KL 002.12.1: Kaspersky Endpoint Security and Management. 6. Панели мониторинга и отчеты
Ю
Часть 5. Администрирование
НИ
Как включить режим Dashboard-only
Е
АН
ТР
Р ОС
СП
РА
И
ИЮ
57
KL 002.12.1: Kaspersky Endpoint Security and Management. 6. Панели мониторинга и отчеты
Ю
Часть 5. Администрирование
Е НИ
АН
ТР
Р ОС
СП
РА
И
Ю
Режим включается в свойствах учетной записи на вкладке Dashboard. Однако перед тем, как
включить режим необходимо наполнить виджетами панель мониторинга. Делается это точно
И
58
KL 002.12.1: Kaspersky Endpoint Security and Management. 6. Панели мониторинга и отчеты
Ю
Часть 5. Администрирование
НИ
Отчеты
Е
АН
ТР
Р ОС
СП
РА
И
ИЮ
В Kaspersky Security Center есть больше 50 различных шаблонов отчетов, однако не все они
АН
Но даже те, которые есть, по умолчанию генерируются для группы Управляемые устройства и
ОВ
Поэтому скорее всего администратору придется удалить все отчеты и создать необходимые
отчеты заново. Например, если нужно получать информацию о вирусах за день, за неделю и за
месяц, то это будет три разных отчета, созданных из одного шаблона, но с разными периодами.
П
Какие отчеты могут понадобиться для ежедневного осмотра мы рассмотрим далее в этой главе.
КО
когда администратор нажимает на ссылку с именем отчета или когда нужно отправить отчеты по
почте.
Е Ж
ДЛ
ПО
НЕ
59
KL 002.12.1: Kaspersky Endpoint Security and Management. 6. Панели мониторинга и отчеты
Ю
Часть 5. Администрирование
Е НИ
АН
ТР
Р ОС
СП
РА
И
Ю
Отчет может быть для группы, для отдельных компьютеров (списка) и для выборки
компьютеров. Большинство отчетов нужны для всей сети сразу, для этого выбирайте
область действия отчета Управляемые устройства.
ИР
таблицы отчета. Некоторые поля не несут важной информации и их вполне можно удалить, чтобы
не загромождать отчет. Например, поле Виртуальный сервер нет смысла включать в отчет, если
КО
60
KL 002.12.1: Kaspersky Endpoint Security and Management. 6. Панели мониторинга и отчеты
Ю
Часть 5. Администрирование
НИ
Как отправлять отчеты по почте
Е
АН
ТР
Р ОС
СП
РА
И
ИЮ
что-то посмотреть или настроить, а узнавать о проблемах предпочитают по почте. Так они
используют один инструмент — почтовый ящик — чтобы узнавать о проблемах разных подсистем,
вместо того, чтобы открывать десяток разных консолей.
ОВ
Kaspersky Security Center может доставлять уведомления и отчеты по почте. Для ежедневного
осмотра лучше подходят отчеты, которые показывают, что происходит во всей сети.
Уведомлениями сообщайте о конкретных событиях, на которые нужно немедленно обратить
ИР
внимание.
61
KL 002.12.1: Kaspersky Endpoint Security and Management. 6. Панели мониторинга и отчеты
Ю
Часть 5. Администрирование
НИ
Свойства задачи Deliver reports
Е
АН
ТР
Р ОС
СП
РА
И
ИЮ
В свойствах задачи нужно выбрать шаблоны отчетов, которые администратор хочет получать.
АН
— HTML,
— PDF,
— XLS.
ИР
Отчеты можно пересылать по почте и/или сохранять в папке. Здесь же задаются адреса
получателей, адрес отправителя и тема сообщения.
П
62
KL 002.12.1: Kaspersky Endpoint Security and Management. 6. Панели мониторинга и отчеты
Ю
Часть 5. Администрирование
НИ
Подключение к почтовому серверу
Е
АН
ТР
Р ОС
СП
РА
И
ИЮ
Обязательные параметры:
ИР
Для того, чтобы проверить корректность параметров подключения к почтовому серверу, есть
кнопка Отправить тестовое сообщение.
Е
Чтобы отправлять разные уведомления на разные адреса или с разным шаблоном текста, надо в
ДЛ
63
KL 002.12.1: Kaspersky Endpoint Security and Management. 6. Панели мониторинга и отчеты
Ю
Часть 5. Администрирование
НИ
Резюме по отчетам и задаче Deliver reports
Е
АН
ТР
Р ОС
СП
РА
И
ИЮ
У каждой задачи есть расписание, если какие-то отчеты надо получать ежедневно, еженедельно,
АН
То же самое и для отчетов, если нужно получать сводный отчет за 1 день, за неделю, за месяц, то
ОВ
То есть для каждого уникального набора параметров: расписание, область, период нужно делать
отдельные отчеты и отмечать их в свойствах задачи Deliver reports.
П ИР
КО
ИТ
Е Ж
ДЛ
ПО
НЕ
64
KL 002.12.1: Kaspersky Endpoint Security and Management. 7. Чеклисты
Ю
Часть 5. Администрирование
НИ
7. Чеклисты
Е
В этом разделе мы поговорим о том какие задачи рекомендуется выполнять каждый день, а какие
АН
периодически. Также рассмотрим какие действия можно выполнить при обнаружении угроз.
ТР
Ежедневный чеклист
Р ОС
СП
РА
И
ИЮ
АН
ОВ
ИР
Можно настроить отправку соответствующих отчетов по почте, хорошей практикой будет отправка
ИТ
Глубина отчета в 2 дня помогает не пропустить события от устройств, которые, например вчера
Ж
были не в сети, т.е. события сохранялись локально, а сегодня, после появления в сети, события
ушли на Сервер администрирования, но в отчет с диапазоном 1 день они не попадут.
Е
65
KL 002.12.1: Kaspersky Endpoint Security and Management. 7. Чеклисты
Ю
Часть 5. Администрирование
НИ
В зависимости от использования того или иного функционала в Kaspersky Security Center и
Kaspersky Endpoint Security могут оказаться полезными следующие ежедневные проверки:
— Отчет и виджет по наличию уязвимостей на управляемых устройствах.
Е
— При использовании Patch Management необходима постоянная проверка свободного
АН
места на диске, иначе загрузка патчей может забить диск и нарушить работу Kaspersky
Security Center.
— При использовании Адаптивного контроля аномалий необходима ежедневная проверка
ТР
его срабатываний, которые ожидают действий администратора.
— При использовании Контроля устройств необходим ежедневный анализ его событий для
реагирования на ложные срабатывания и корректировка списка доверенных устройств.
ОС
— Также стоит ежедневно просматривать Карантин на предмет ложных срабатываний, в
таких случаях Kaspersky Security Center умеет восстанавливать файлы.
Р
СП
Состояние защиты
РА
И
ИЮ
АН
ОВ
П ИР
КО
Если защита не работает, это может быть по очень разным причинам. Убедитесь, что:
ДЛ
66
KL 002.12.1: Kaspersky Endpoint Security and Management. 7. Чеклисты
Ю
Часть 5. Администрирование
НИ
— На компьютере есть Kaspersky Endpoint Security — пользователь мог удалить
Kaspersky Endpoint Security. Установите защиту заново и защитите ее от пользователя:
задайте пароль.
Е
— К компьютеру применяется политика — устройство может быть в группе без политики,
или на компьютере может быть версия Kaspersky Endpoint Security, для которой на
АН
Сервере нет политики. Создайте политики во всех группах и для всех версий Kaspersky
Endpoint Security.
— Настройки политики закрыты замком — если замки не закрыты, пользователь может
ТР
менять значения параметров и потенциально может выключить компоненты или
автозапуск Kaspersky Endpoint Security. Закройте замки для всех важных параметров в
политике.
ОС
— Включена защита паролем — Если защита паролем не включена, пользователь может
выгрузить Kaspersky Endpoint Security, даже без прав администратора.
Р
Статус Программа защиты не запущена всегда сопровождается статусом Защита выключена.
СП
Но не наоборот. Если Kaspersky Endpoint Security работает, но все компоненты защиты
выключены, у компьютера будет статус Защита выключена без статуса Программа защиты не
запущена. Защита в Kaspersky Endpoint Security считается включенной, если работает хотя бы
один компонент защиты. Даже если это только Защита от почтовых угроз.
РА
Как удаленно включить защиту
И
ИЮ
АН
ОВ
П ИР
КО
ИТ
Ж
запущена. Чтобы исправить этот статус нужно отдать команду Агенту администрирования, чтобы
ДЛ
он запустил Kaspersky Endpoint Security. Отдать такую команду можно в свойствах компьютера на
вкладке Программы.
67
KL 002.12.1: Kaspersky Endpoint Security and Management. 7. Чеклисты
Ю
Часть 5. Администрирование
НИ
Второй способ запустить Kaspersky Endpoint Security — с помощью задачи Запуск и остановка
программы. Эта задача относится к дополнительным задачам Kaspersky Security Center и может
быть как групповой, так и для наборов компьютеров.
Е
Групповую задачу удобно использовать при регистрации события Вирусная атака — с ее
АН
помощью можно запустить защиту на всех компьютерах сети, на случай если защита где-нибудь
остановлена.
Задача для наборов компьютеров лучше подходит для исправления статуса Программа защиты
ТР
не запущена.
ОС
Запустите Мастер создания задачи на странице Устройства | Задачи.
Выберите программу Kaspersky Security Center и тип задачи Запуск и остановка
Р
программы.
СП
Выберите устройства, которым будет назначена задача — Выборка.
Укажите выборку компьютеров Программа защиты не запущена.
РА
Как отличить выключенные компьютеры
И
ИЮ
АН
ОВ
П ИР
КО
ИТ
Ж
В большой сети все компьютеры почти никогда не бывают включены. Какие-то обязательно
выключены.
Е
68
KL 002.12.1: Kaspersky Endpoint Security and Management. 7. Чеклисты
Ю
Часть 5. Администрирование
НИ
Если Агент не работает, а последнее соединение было давно, не обращайте внимания на статусы
защиты компьютера, они могут быть неточными.
Е
Что если компьютер виден, но Агент не выходит на связь
АН
ТР
Р ОС
СП
РА
И
ИЮ
АН
Если у компьютера статус Давно не подключался, выясните, что случилось с компьютером. Если
этого компьютера больше нет, удалите его из группы и затем еще раз из списка Обнаружение
устройств и развертывание | Нераспределенные устройства. Если сотрудник болеет или в
ИТ
Если сотрудники подолгу (месяцами) не бывают в сети, увеличьте период, после которого Сервер
Ж
группы, если оно неактивно больше (сут). Или отключите этот параметр совсем, если
ДЛ
69
KL 002.12.1: Kaspersky Endpoint Security and Management. 7. Чеклисты
Ю
Часть 5. Администрирование
НИ
Как заставить компьютер связаться с Сервером
Е
АН
ТР
Р ОС
СП
РА
И
ИЮ
Если Агент установлен и запущен, проверьте его настройки. Используйте утилиту klnagchk.exe из
ИР
klnagchck.exe -sendhb
ДЛ
70
KL 002.12.1: Kaspersky Endpoint Security and Management. 7. Чеклисты
Ю
Часть 5. Администрирование
НИ
В Консоли управления тоже есть команды, чтобы проверить связь с компьютером:
— Проверить доступность устройства (только в MMC) — проверяет статус компьютера
Видим в сети по базе Сервера администрирования. Связываться с компьютером не
Е
пытается, поэтому ничего не добавляется к тому, что и так показывает иконка устройства.
АН
— Синхронизировать принудительно — посылает сигнал на порт UDP 15000 компьютера.
ТР
Р ОС
СП
РА
И
ИЮ
АН
ОВ
пакете.
ДЛ
ПО
НЕ
71
KL 002.12.1: Kaspersky Endpoint Security and Management. 7. Чеклисты
Ю
Часть 5. Администрирование
НИ
Как узнать, что лицензия истекает
Е
АН
ТР
Р ОС
СП
РА
И
ИЮ
Если лицензия на компьютере заканчивается или закончилась, это повод для администратора
АН
обратить внимание.
статуса:
— Срок действия лицензии истек — присваивает компьютеру статус Критический. Может
срабатывать не сразу, а спустя заданное количество дней после истечения лицензии —
П
72
KL 002.12.1: Kaspersky Endpoint Security and Management. 7. Чеклисты
Ю
Часть 5. Администрирование
НИ
Отчет об использовании ключей
Е
АН
ТР
Р ОС
СП
РА
И
ИЮ
При использовании кодов активации технические ограничения могут вводить сервера активации
ПО
73
KL 002.12.1: Kaspersky Endpoint Security and Management. 7. Чеклисты
Ю
Часть 5. Администрирование
НИ
одновременно выданных разрешений намного больше, чем ограничение лицензии (в полтора-два
раза), Сервера активации прекращает их выдавать.
Е
Задача распространения ключа
АН
ТР
Р ОС
СП
РА
И
ИЮ
АН
Когда приближается срок истечения лицензии, компания приобретает новую. Возникает вопрос,
ОВ
Чтобы не терять лицензионный период ни старой, ни новой лицензии, используйте один из двух
подходов:
П
распространения.
ДЛ
74
KL 002.12.1: Kaspersky Endpoint Security and Management. 7. Чеклисты
Ю
Часть 5. Администрирование
НИ
Иногда бывает нужно установить конкретный ключ на конкретный компьютер или группу
компьютеров. Автоматическое распространение для этого плохо подходит. Вместо этого можно
создать задачу Добавление ключа.
Е
АН
Периодический чеклист
ТР
Р ОС
СП
РА
И
ИЮ
АН
ОВ
Например, если бэкап делается каждый день и хранится 3 копии, то проверять надо раз в
3 дня, если бэкап делается каждые 2 дня и хранится 5 копий, то проверять раз в 10 дней.
— Каждую неделю выполнять задачу Обслуживание Сервера администрирования.
П
75
KL 002.12.1: Kaspersky Endpoint Security and Management. 7. Чеклисты
Ю
Часть 5. Администрирование
НИ
— Настройки Firewall, чтобы не были лишних открытых портов, а только те, которые
регламентированы для работы Kaspersky Security Center.
Е
Чеклист при возникновении инцидента
АН
ТР
Р ОС
СП
РА
И
ИЮ
АН
Однозначно ответить на вопрос, что делать при возникновении инцидента, невозможно. В каждой
ОВ
В контексте Kaspersky Security Center за инцидент как минимум можно принять статус устройства
ИР
Хотя и обезвреженные угрозы могут представлять интерес для анализа, все зависит от различных
П
данных, которые связаны с детектом. Например, тип детекта, компонент, который обнаружил
угрозу, уровень критичности самого устройства или пользователя, время обнаружения и другие.
КО
Все эти данные могут влиять на итоговую оценку и необходимость дальнейшего расследования.
Даже если Kaspersky Endpoint Security не смог справиться с угрозой нужно все равно
проанализировать информацию, возможно он обнаружил вредоносный файл на сетевом диске, а
ИТ
обезвредить не смог потому, что нет прав на запись. В такой ситуации вряд ли стоит считать
угрозой то, чего нет на этом устройстве.
Ж
Также при работе с инцидентами хорошей практикой является сбор данных с зараженного
ПО
устройства. Kaspersky Security Center умеет удаленно собирать журналы Windows, журналы
Kaspersky Endpoint Security и GetSystemInfo, делается это через Агента и может быть выполнено
даже при сбое в работе продукта. Если впоследствии окажется, что инцидент важный и будет
НЕ
76
KL 002.12.1: Kaspersky Endpoint Security and Management. 7. Чеклисты
Ю
Часть 5. Администрирование
НИ
расследование, то копии всех журналов для анализа у нас уже будут гарантированно. Также
журналы понадобятся в случае предоставления данных в НКЦКИ и правоохранительные органы.
Кроме того, часто в журнале Kaspersky Endpoint Security данных больше, чем в отчете Kaspersky
Security Center, например, там видны атакованные порты, а в отчете их нет.
Е
АН
По окончании работы над инцидентом рекомендуется сбросить счетчик вирусов, чтобы он не
влиял на статус устройства, если, конечно, такой статус включен.
ТР
Р ОС
СП
РА
И
ИЮ
АН
ОВ
О том, что на компьютере есть активные угрозы говорит соответствующий статус — Обнаружены
активные угрозы.
ИР
77
KL 002.12.1: Kaspersky Endpoint Security and Management. 7. Чеклисты
Ю
Часть 5. Администрирование
Е НИ
АН
ТР
Р ОС
СП
РА
И
Ю
Как правило, даже если вредоносная программа выполняется, Kaspersky Endpoint Security может
ее завершить. За это отвечают компоненты Предотвращение вторжений, Анализ поведения и
И
По умолчанию эта технология выключена, так как она блокирует запуск любых программ и
перезагружает компьютер, что помешает пользователю компьютера. Пользователь может
согласиться выполнить процедуру и рискует потерять данные, или пользователь может отказаться
выполнить процедуру и компьютер останется зараженным. В любом случае лучше, если решать
ИР
Чтобы запустить эту технологию на устройстве нужно обязательно включить опцию Применять
П
технологию лечения активного заражения в политике Kaspersky Endpoint Security. Это делается
в разделе Параметры программы | Общие настройки | Настройки приложения
КО
пользователем.
ДЛ
Для работы технологии на рабочих станциях опцию в задаче включать необязательно, но если
включить, то это также позволит избежать интерактивного взаимодействия с пользователем.
ПО
НЕ
78
KL 002.12.1: Kaspersky Endpoint Security and Management. 7. Чеклисты
Ю
Часть 5. Администрирование
НИ
При лечении активного заражения Kaspersky Endpoint Security не дает запускаться новым
программам, сканирует память, применяет более агрессивные методы завершения процессов,
пробует удалить вредоносные файлы на перезагрузке.
Е
По завершению задачи, когда все угрозы обезврежены, сбросьте счетчик вирусов на компьютерах.
АН
Без внешнего вмешательства счетчик вирусов может только увеличиваться, единственный способ
привести этот статус в нормальное состояние — сбросить значение счетчика вручную. Для этого
ТР
откройте свойства компьютера, на вкладке Общие в разделе Защита, есть кнопка Обнулить
счетчик вирусов.
Р ОС
СП
РА
И
ИЮ
АН
ОВ
П ИР
КО
ИТ
Е Ж
ДЛ
ПО
НЕ
79
KL 002.12.1: Kaspersky Endpoint Security and Management. 8. Обращение в техническую поддержку
Ю
Часть 5. Администрирование
НИ
8. Обращение в техническую поддержку
Е
В этом разделе мы поговорим про то, когда и как обращаться в службу технической поддержки
АН
Лаборатории Касперского.
ТР
Когда и как обращаться в техническую поддержку
Р ОС
СП
РА
И
ИЮ
АН
ОВ
ИР
Если Kaspersky Endpoint Security не работает или работает не так, как настроил администратор, а
простые меры не решают проблему, обращайтесь в техподдержку.
П
Журналы можно собирать как локально на компьютере, на котором возникают проблемы, так и
ДЛ
80
KL 002.12.1: Kaspersky Endpoint Security and Management. 8. Обращение в техническую поддержку
Ю
Часть 5. Администрирование
НИ
Как удаленно собрать журналы Windows и GetSystemInfo
Е
АН
ТР
Р ОС
СП
РА
И
ИЮ
диагностики. Ее можно запустить как из меню Пуск, так и из контекстного меню компьютера в
Консоли управления.
ОВ
Чтобы получить журналы Windows, нажмите ссылку Загрузить, выберите нужные журналы и
нажмите Запустить.
П
Загрузите журнал Kaspersky Event Log и любые другие журналы, в которых есть события о
КО
проблеме
81
KL 002.12.1: Kaspersky Endpoint Security and Management. 8. Обращение в техническую поддержку
Ю
Часть 5. Администрирование
НИ
Как удаленно собрать журналы трассировки
Е
АН
ТР
Р ОС
СП
РА
И
ИЮ
OK.
Повторите шаги, которые воспроизводят проблему.
Нажмите ссылку Выключить трассировку в интерфейсе утилиты.
ИР
Если проблема не в Kaspersky Endpoint Security или не только в нем, точно так же соберите
КО
Когда закроете утилиту диагностики, она спросит, нужно ли удалить папку загрузки. Не удаляйте
ИТ
82
KL 002.12.1: Kaspersky Endpoint Security and Management. 8. Обращение в техническую поддержку
Ю
Часть 5. Администрирование
НИ
Как собрать информацию о системе локально
Е
АН
ТР
Р ОС
СП
РА
И
ИЮ
https://www.getsysteminfo.com/
83
KL 002.12.1: Kaspersky Endpoint Security and Management. 8. Обращение в техническую поддержку
Ю
Часть 5. Администрирование
НИ
Как собрать отладочные журналы локально
Е
АН
ТР
Р ОС
СП
РА
И
ИЮ
Воспроизведите проблему.
КО
Выключите трассировку.
Заберите журналы трассировки из папки %ProgramData%\Kaspersky Lab\KES\Traces\.
ИТ
Как локально включить журналы трассировки компонентов Kaspersky Security Center описано в
статье: https://support.kaspersky.ru/ksc11/diagnostics/15025
Е
ДЛ
ПО
НЕ
84
KL 002.12.1: Kaspersky Endpoint Security and Management. 8. Обращение в техническую поддержку
Ю
Часть 5. Администрирование
НИ
Как отправить запрос в техподдержку
Е
АН
ТР
Р ОС
СП
РА
И
ИЮ
Если у вас нет учетной записи, зарегистрируйтесь: укажите ваш почтовый ящик и
лицензию на продукты Лаборатории Касперского (код активации или ключевой файл).
Технической поддержки.
Выберите область защиты, продукт, версию, операционную систему, тип и подтип запроса.
П
Введите тему запроса и детально опишите проблему: какие шаги выполняете, какой
КО
85