KL 002.12.1 KSC Kes Student Guide Unit1 Ru v1.1 WM

KL 002.12.1: Kaspersky Endpoint Security and Management.
Часть 1. Внедрение
KL 002.12.1
Kaspersky Endpoint
Security and
Management
Учебный курс
1
Содержание
ed
1. Общие сведения ................................................................................................................4
1.1 Введение ......................................................................................................................................... 4
1.2 Kaspersky Endpoint Security для бизнеса ...................................................................................... 8
ut
Kaspersky Security Center ............................................................................................................... 8
Kaspersky Endpoint Security для Windows ..................................................................................... 9
Как Kaspersky Security Center управляет защитой .................................................................12
ib
Лицензирование ............................................................................................................................21
2. Установка Kaspersky Security Center ...............................................................................23
r
2.1 Что и в каком порядке устанавливать .........................................................................................23
st
2.2 Требования для установки Сервера администрирования ........................................................24
2.3 Установка Сервера администрирования ....................................................................................28
Начало установки ........................................................................................................................28
di
Оболочка инсталлятора Kaspersky Security Center ................................................................29
Мастер установки .......................................................................................................................30
2.4 Установка Kaspersky Security Center Web Console ....................................................................44
re
Требования для установки Kaspersky Security Center Web Console .......................................44
Мастер установки .......................................................................................................................45
Результаты установки ..............................................................................................................49
Взаимодействие Web Console с Kaspersky Security Center .....................................................51
or
2.5 Мастер первоначальной настройки ............................................................................................52
Усиление защиты ........................................................................................................................52
Приветствие ...............................................................................................................................53
Доступ в интернет и получение актуальной информации ...................................................54
Области защиты .........................................................................................................................55
d
Шифрование .................................................................................................................................56
Выбор плагинов ............................................................................................................................57
e
Установка плагинов ....................................................................................................................58

Выбор инсталляционных пакетов.............................................................................................59
pi
Kaspersky Security Network...........................................................................................................60

Активация .....................................................................................................................................61
Управление уязвимостями и обновлениями программ ...........................................................62
co
Создание политик и задач ..........................................................................................................63

Подключение к SMTP-серверу ....................................................................................................64
Сканирование сети ......................................................................................................................65
Завершение Мастера ..................................................................................................................66
2.6 Усиление защиты Сервера администрирования .......................................................................67
be
Создание внутреннего пользователя ......................................................................................67

Включение 2FA .............................................................................................................................68
Включение 2FA для всех пользователей ..................................................................................70
Запрет Windows-аутентификации ...........................................................................................71
Список разрешенных IP-адресов для подключения к KSC.......................................................72
to
3. Установка Kaspersky Endpoint Security ...........................................................................73

3.1 Требования для установки Сервера администрирования ........................................................73
3.2 Требования для установки Агента администрирования ...........................................................76
3.3 Инсталляционные пакеты ............................................................................................................77
t
Свойства инсталляционного пакета Kaspersky Endpoint Security ........................................78

No
Свойства пакета Агента администрирования ......................................................................86

Создание инсталляционных пакетов .......................................................................................89
Что делать перед установкой ..................................................................................................92
1
Методы установки и их особенности ......................................................................................93
ed
Мастер удаленной установки ....................................................................................................94
Задача удаленной установки ...................................................................................................104
3.4 Автономный пакет ......................................................................................................................107
Создание автономного пакета ...............................................................................................108
ut
4. Работа с группами управляемых устройств .................................................................111
Средства мониторинга внедрения ............................................................................................111
ib
4.1
Информация на экране Мониторинг в MMC-консоли ............................................................112
Информация на главном экране Web Console ........................................................................113
r
Отчеты ......................................................................................................................................113
st
4.2 Обнаружение компьютеров .......................................................................................................116
Как Kaspersky Security Center ищет компьютеры .................................................................116
Опрос сети Windows ..................................................................................................................117
Опрос Active Directory .................................................................................................................120
di
Опрос IP-диапазонов ..................................................................................................................122
Информация о выполнении опроса сети ................................................................................126
Уведомления о новых компьютерах ........................................................................................127
re
4.3 Организация компьютеров в группы .........................................................................................128
Зачем создавать группы ...........................................................................................................128
Создание групп ...........................................................................................................................129
Добавление компьютеров в группу .........................................................................................130
or
Импорт структуры групп ........................................................................................................131
Правила перемещения компьютеров ......................................................................................135
5. Kaspersky Security Center Cloud Console .......................................................................143

d
5.1 Особенности развертывания защиты .......................................................................................143

Архитектура ..............................................................................................................................143
e
Начало работы ..........................................................................................................................145

Точка распространения ............................................................................................................147
pi
Подключение первого устройства ..........................................................................................148

Назначение Точки распространения .......................................................................................150
Обнаружение устройств ..........................................................................................................151
co
Удаленная установка через Точку распространения ...........................................................152

be
to
t
No
2
Глоссарий
ed
Central Node Kaspersky Anti Targeted Attack Central Node
EPS Events Per Second
ut
KATA Kaspersky Anti Targeted Attack
KEA Kaspersky Endpoint Agent
ib
KEDR Kaspersky Endpoint Detection and Response
KES Kaspersky Endpoint Security
r
KICS Kaspersky Industrial CyberSecurity
st
KSC Kaspersky Security Center
KSWS Kaspersky Security для Windows Servers
di
KUMA Kaspersky Unified Monitoring and Analysis
SIEM Security Information and Event Management
re
XDR eXtended Detection and Response
WEC Windows Event Collector
WMI Windows Management Instrumentation

or
Агент администрирования Агент администрирования KSC
ИБ Информационная безопасность
ИТ Информационные технологии
d
Сервер администрирования Сервер администрирования KSC

e
СУБД Система управления базами данных

pi
co
be
to
t
No
3
ed
1. Общие сведения
ut
ib
1.1 Введение
r
st
di
re
or
e d
pi
co
Этот учебник рассказывает о линейке продуктов для защиты рабочих мест — Kaspersky Security
для бизнеса.
Цель курса — рассказать и показать, как можно защитить небольшую сеть компьютеров на базе
Windows. Небольшая сеть — это примерно до 1000 устройств, сосредоточенных в одном месте.
be
Под устройствами мы понимаем серверы и рабочие станции под управлением Windows.
Из введения вы узнаете, что это за курс, какие темы он охватывает, а какие нет. Также вы узнаете,
какие продукты и приложения изучаются в курсе, из чего они состоят, как взаимодействуют и как
лицензируются.
t to
No
4
KL 002.12.1: Kaspersky Endpoint Security and Management. 1. Общие сведения
Что есть и чего нет в этом курсе
ed
ut
r ib
st
di
re
or
Линейка Kaspersky Security для бизнеса — это пять продуктов для защиты рабочих мест.
https://content.kaspersky-labs.com/se/media/ru/business-
d
security/Kaspersky_Security_for_Business_datasheet.pdf
e
В Kaspersky Security для бизнеса входит много продуктов и возможностей. Этот курс не пытается
рассказать обо всем. Он рассказывает только как защитить не слишком большую сеть из
pi
компьютеров с операционной системой Windows.
В курсе используются только два приложения:

co
— Kaspersky Security Center — средство централизованного управления.

— Kaspersky Endpoint Security для Windows — средство защиты конечных узлов.
Курс не касается следующих приложений и функционала:

— Kaspersky Endpoint Security для Linux;
be
— Kaspersky Endpoint Security для Mac;

— Kaspersky Embedded Systems Security;
— Kaspersky Security for Windows Server;
— Kaspersky Security для виртуальных сред;
— Kaspersky Anti-Targeted Attack Platform / Kaspersky Endpoint Detection and Response;
— Шифрование;
to
— Systems Management;
— Mobile Device Management.
t
No
5
Где узнать больше (другие курсы Лаборатории Касперского)
ed
ut
r ib
st
di
re
or
Все, что не вошло в этот курс, доступно в других курсах по отдельным продуктам и технологиям:
d
Защита рабочих станций Linux KL 013 1 день

e
Шифрование KL 008 1 день

1 день
pi
Systems Management KL 009

Управление и защита мобильных устройств KL 010 1 день
Kaspersky Security Center. Масштабирование 2 дня
co
KL 302
Защита виртуальных сред. Защита без агента KL 014 1 день
Защита виртуальных сред. Легкий агент KL 031 1 день
Защита серверов Windows KL 005 2 дня
be
Защита встраиваемых систем KL 037 1 день

Kaspersky Hybrid Cloud Security KL 020 1 день
t to
No
6
Из чего состоит курс
ed
ut
r ib
st
di
re
or
Курс состоит из презентации и лабораторных работ, которые сменяют друг друга. Каждую новую
тему инструктор сначала объясняет на слайдах, а потом слушатели закрепляют тему на практике в
d
лабораторной работе.
e
Учебник содержит все слайды из презентации с подробным описанием.

pi
Что и зачем делать в лабораторных работах, подробно описано в пошаговом руководстве.
Слушатели делают лабораторные работы на виртуальных машинах. Виртуальная среда зависит

от класса: это может быть VMware Workstation, VMware vSphere, Microsoft Hyper-V или что-то еще.
co
В лабораторных работах слушатели используют пять виртуальных машин с фиксированными

ролями:
Контроллер домена ABC.LAB, на котором развернуты службы AD, DNS,

be
DC
доступа к файлам
Сервер, на котором установлен Kaspersky Security Center, чтобы

KSC
централизовано управлять средствами защиты
to
Admin-Laptop Олицетворяет ноутбук администратора, откуда он управляет защитой
Alex-Desktop Олицетворяет пользовательские компьютеры в сети компании
Kali Предоставляет инструменты для атаки на компьютеры организации

t
No
7
1.2 Kaspersky Endpoint Security для бизнеса
ed
Kaspersky Security Center
ut
r ib
st
di
re
or
e d
Несмотря на то, что в состав Kaspersky Endpoint Security для бизнеса входит множество
приложений, в этом курсе мы будем говорить только о двух основных:
pi
— Kaspersky Security Center — средство централизованного управления.

— Kaspersky Endpoint Security для Windows — средство защиты конечных узлов.
co
В этом разделе мы посмотрим из чего состоят эти приложения, как они взаимодействуют друг с
другом и как лицензируются.
Kaspersky Security Center состоит из нескольких компонентов:

— Сервер администрирования Kaspersky Security Center — хранит все настройки,
be
собирает события, составляет отчеты, устанавливает и удаляет программы. Именно

Сервер администрирования управляет защитой по команде администратора.
В качестве синонимов далее могут использоваться следующие формулировки:

Сервер администрирования, сервер KSC или просто Сервер, а также Kaspersky Security Center.
to
— Сервер баз данных — обслуживает базу данных, в которой Kaspersky Security Center
хранит события и некоторые настройки. Остальные настройки Kaspersky Security Center
хранит в файлах на диске.
— Консоль администрирования Kaspersky Security Center — это интерфейс системы
управления для администратора. В Консоли администратор настраивает параметры,
t
смотрит на отчеты и события и вообще управляет защитой. Существует два варианта

No
Консоли:
— На базе MMC,
— Веб-консоль.
8
Kaspersky Endpoint Security для Windows
ed
ut
r ib
st
di
re
or
Для управления защитой рабочих станций и серверов, на каждом устройстве должно быть
d
установлено две программы:

— Kaspersky Endpoint Security — это отдельное приложение, которое защищает не только
e
от вредоносных программ и активности злоумышленников, но также контролирует

действия пользователей и обеспечивает шифрование файлов и дисков.
pi
— Агент администрирования Kaspersky Security Center — устанавливается на каждое

устройство и связывает Kaspersky Endpoint Security с Сервером администрирования. Агент
получает с Сервера настройки для Kaspersky Endpoint Security, а в обратном направлении
co
посылает события Kaspersky Endpoint Security.
В качестве синонимов далее могут использоваться следующие формулировки:

Агент администрирования, сетевой Агент, Агент KSC или просто Агент.
Также Агент администрирования может управлять уязвимостями и обновлениями сторонних

be
программ, независимо от того, установлен Kaspersky Endpoint Security или нет. Этот функционал
относится к Systems Management и рассматривается в отдельном курсе.
t to
No
9
ed
ut
r ib
st
di
re
or
Kaspersky Endpoint Security для Windows — это одна программа, которая включает много разных
компонентов.
Kaspersky Endpoint Security для Windows обеспечивает эшелонированную защиту, когда одна и та
же угроза может быть обнаружена и обезврежена разными компонентами, т.е. отключение или
d
сбой одного компонента не повлияет на работу средства защиты.

e
Все компоненты разбиты на несколько групп:

— Базовая защита
pi
— Защита от файловых угроз — проверяет файлы, когда их создает, изменяет, копирует

или запускает пользователь или программа. Блокирует операции с вредоносными
co
файлами, а файлы помещает в резервное хранилище.

— Защита от веб-угроз — проверяет веб-страницы и файлы, которые пользователь или
программы загружают из Интернета. Блокирует опасные и фишинговые веб-сайты, не
дает загрузить вредоносные файлы.
— Защита от почтовых угроз — перехватывает почтовые сообщения, проверяет тело
be
письма и вложенные файлы, удаляет вредоносные файлы из письма.

— Сетевой экран — контролирует соединения, которые устанавливают программы на
компьютере, и пакеты, которые они посылают или отправляют. Блокирует пакеты
согласно правилам. Не дает устанавливать соединения программам с плохой или
неизвестной репутацией.
to
— Защита от сетевых угроз — проверяет сетевые пакеты, которые получает компьютер.

Блокирует соединения, в которых находит признаки сетевых атак.
— Защита от атак BadUSB — не дает подключать к компьютеру новые устройства ввода
(клавиатуры и т.п.) без разрешения пользователя. Защищает от USB-устройств,
t
которые выдают себя за клавиатуру, и дают компьютеру вредоносные команды.

No
— Поставщик AMSI-защиты — отвечает за интеграцию с Antimalware Scan Interface

(AMSI) в Windows 10, Windows Server 2016 и выше. AMSI — это компонент Windows,
который выполняет роль промежуточного звена между приложениями и антивирусным
10
решением, и позволяет приложению отсылать на проверку файлы, ссылки, скрипты,
ed
даже если они не сохраняются на диск, а выполняются в памяти.
— Продвинутая защита
— Kaspersky Security Network — запрашивает с серверов Лаборатории Касперского
репутацию программ и веб-страниц, предоставляет самую свежую информацию об
ut
угрозах, защищает от атак нулевого дня и ложных срабатываний.
— Анализ поведения — следит за тем, что делают программы, но анализирует не
отдельные действия, а что делают программы в целом. Останавливает программы,
ib
которые ведут себя как вредоносные. В частности, останавливает программы, которые
пытаются шифровать файлы.
— Защита от эксплойтов — следит за тем, какие файлы запускают уязвимые программы
r
и блокирует попытки запуска исполняемых файлов, если попытка запуска не была
st
инициирована пользователем.
— Предотвращение вторжений — следит за тем, что делают программы на компьютере.
Не дает программам с плохой или неизвестной репутацией менять системные
di
настройки и файлы пользователя, также не дает им вмешиваться в работу
операционной системы и других программ.
— Откат вредоносных действий — ведет журнал изменений в операционной системе и
re
выполняет откат действий, совершенных подозрительными программами, если они
обнаружены компонентами: Анализ поведения, Защита от эксплойтов, Защита от
файловых угроз.
— Контроль безопасности
or
— Контроль программ — блокирует запуск программ согласно правилам. Позволяет
зафиксировать состояние компьютера и блокировать запуск любых новых программ.
— Контроль устройств — блокирует доступ к устройствам согласно правилам.
Администратор может запретить доступ ко всем или некоторым сменным носителям,
Wi-Fi адаптерам или модемам.
d
— Веб-Контроль — блокирует доступ к веб-страницам согласно правилам.

e
Администратор может запретить доступ к сайтам социальных сетей, поиска работы,

онлайн-развлечений и другим.
pi
— Адаптивный контроль аномалий — содержит набор эвристик для отслеживания

опасного поведения, которое обычно характерно для вредоносных программ.
Позволяет блокировать подозрительные действия, если они нетипичны для
конкретного компьютера. По умолчанию компонент включается в режиме
co
двухнедельного обучения, за это время он отслеживает активность, информирует об

этом администратора и уже администратор принимает решение, характерна
определенная активность для компьютера или нет.
— Шифрование данных
be
— Шифрование файлов (FLE) — шифрует отдельные файлы и папки согласно правилам.

Защищает файлы на ноутбуках, которые потеряли или украли.
— Полнодисковое шифрование (FDE) — шифрует все содержимое дисков. Защищает
файлы на ноутбуках, которые потеряли или украли.
— Шифрование съемных дисков — шифрует данные на съемных дисках одним из
to
указанных выше методов.

— Detection and Response
— Endpoint Detection and Response Optimum — встроенный агент для работы решения
Kaspersky Endpoint Detection and Response Optimum (EDR Optimum), сочетает
t
автоматическое обнаружение угроз с возможностью реагирования на эти угрозы для

No
противодействия сложным атакам.

— Задачи
11
— Поиск вредоносного ПО — проверяет файлы по расписанию. Делает это более
ed
тщательно, чем файловый антивирус.
— Обновление — загружает описания угроз и репутации файлов на компьютеры,
обеспечивает защиту, когда нет доступа к Kaspersky Security Network.
— Откат последнего обновления — отменяет последнее обновление баз и модулей
ut
приложения, например, если новое обновление приводит к ложному срабатыванию.
— Проверка целостности — проверяет, что никто не менял файлы Kaspersky Endpoint
Security.
ib
— Проверка доступности KSN — проверяет доступность служб KSN с конечных узлов.
Подробно о компонентах и их настройках рассказывают части 2 и 3.
r
st
Как Kaspersky Security Center управляет защитой
di
re
or
e d
pi
co
be
Посмотрим, как различные приложения Лаборатории Касперского взаимодействуют друг с другом.
Подразумевается, что в защищенной сети развернут Сервер администрирования Kaspersky

Security Center, также на каждом компьютере установлены две программы:
— Kaspersky Endpoint Security для защиты,
to
— Агент администрирования Kaspersky Security Center для управления.
Агент администрирования связывается с Сервером администрирования по расписанию, а также по

мере необходимости. Такой процесс называется синхронизацией, по умолчанию происходит раз в
15 минут.
t
No
12
Что Сервер получает с компьютеров
ed
Чтобы администратор видел, что происходит в сети, Агент администрирования посылает на
Сервер следующие данные:
— События — отправляются по мере регистрации, когда Kaspersky Endpoint Security находит
ut
вредоносную программу, не может загрузить обновления, не может запустить компоненты
и т.д.
— Статусы — отправляются по мере регистрации, например:
ib
— Kaspersky Endpoint Security не запущен;
— Базы устарели;
— KSN не доступен;
r
— Есть необработанные опасные объекты и т.д.
st
— Списки — отправляются 1 раз в интервал синхронизации, например:
— Список установленных программ;
— Список оборудования;
di
— Список уязвимых программ;
— Список необработанных угроз;
— Список вредоносных объектов в резервном хранилище;
— Список известных исполняемых файлов.
re
— Настройки Kaspersky Endpoint Security.
В ходе обычной работы Агенты посылают на Сервер только изменения в списках. Но раз в
несколько часов Сервер полностью синхронизирует списки с компьютером (3 часа для одних
or
списков, 12 часов для других).
Сервер администрирования принимает соединения от Агентов администрирования на TCP-порт

13000. Агенты сжимают данные и шифруют их по протоколу SSL/TLS с помощью сертификата
Сервера администрирования.
e d
Что компьютеры получают с Сервера

pi
Чтобы Kaspersky Endpoint Security защищал компьютер так, как хочет администратор, Агенты
администрирования получают с Сервера настройки в виде политик и задач для Kaspersky Endpoint
Security.
co
Во время синхронизации Агент администрирования сравнивает задачи и политики на компьютере

и на Сервере администрирования, и, если администратор что-то изменил на Сервере, Агент
загружает новые задачи и политики.
Как правило, компьютеры получают задачи и политики раньше, чем при плановой синхронизации.
be
Агенты администрирования принимают пакеты на UDP-порт 15000. Если Сервер хочет, чтобы
Агент срочно связался с Сервером, он посылает на этот порт специальный сигнал. Когда
администратор меняет задачу или политику, Сервер администрирования просит выйти на связь
Агентов на всех компьютерах, к которым относится эта задача или политика. Во время
синхронизации политики загружают только те компьютеры, которые не получили сигнал от
Сервера.
to
Запрос на синхронизацию администратор может послать и вручную, через контекстное меню

компьютера в Консоли администрирования.
Еще Агенты связываются с Сервером, чтобы загрузить обновления для Kaspersky Endpoint
t
Security. Для этого они тоже подключаются на TCP-порт 13000 по зашифрованному каналу.
No
13
ed
ut
r ib
st
di
re
or
События и статусы, которые посылают Агенты администрирования, помогают администратору
понять, что происходит в сети. Сервер администрирования обобщает статусы отдельных
компьютеров и показывает их в разделе Панель мониторинга (Dashboard).
Чтобы лучше понять, что происходит, администратор может генерировать отчеты, которые Сервер
d
администрирования строит на основе событий. В консоли есть много инструментов для поиска и
фильтрации событий и компьютеров по различным параметрам.
e
Чтобы задать настройки для защиты компьютеров, администратор создает в консоли задачи и
pi
политики:
— Задачи — для операций, у которых есть логическое окончание. Например, обновление
завершается, когда Kaspersky Endpoint Security получил все новые описания угроз, или
co
поиск вирусов завершается, когда в области поиска больше нет файлов. Поэтому
обновление и поиск вирусов — это задачи, и у них есть расписание.
— Политики — для централизованной настройки Kaspersky Endpoint Security, какие
компоненты должны быть включены, как проверять файлы, которые пользователь
загружает из сети Интернет или получает по почте, как проверять файлы, которые
be
открывают программы, какие сетевые соединения разрешать, а какие запрещать. Эти

настройки должны применяться постоянно, чтобы постоянно защищать компьютер, и
поэтому они в политике.
Если разным компьютерам нужны разные настройки, администратор разделяет компьютеры на

группы и создает отдельные политики или задачи в каждой группе. Например, чтобы выполнять
to
поиск вирусов на серверах по выходным, а на рабочих станциях в фоновом режиме во время

рабочего дня, администратор может разделить серверы и рабочие станции на две группы и
сделать для них задачи поиска вирусов с разным расписанием.
t
No
14
Политики
ed
ut
r ib
st
di
re
or
Политика содержит те же параметры, что и локальные настройки Kaspersky Endpoint Security.

Когда администратор настраивает и применяет политику, она меняет локальные настройки
d
защиты.
e
В политике у каждого параметра или группы параметров есть кнопка с замком.

pi
Если кнопка нажата и замок закрыт, параметры применяются к компьютерам, на которые

действует политика. Пользователь не может изменить значения этих параметров в локальном
интерфейсе Kaspersky Endpoint Security.
co
Если кнопка не нажата и замок открыт, компьютер считает, что этот параметр в политике не задан.
Эти параметры пользователь может менять в локальном интерфейсе.
Настройки с закрытым замком называются обязательными.

be
t to
No
15
ed
ut
r ib
st
di
re
or
Политики применяются к группам компьютеров.
Даже если пользователь не создавал никаких групп, на Сервере администрирования есть

корневая группа, которая называется Управляемые устройства. Если пользователь хочет создать
свои группы, он их создает как подгруппы в группе Управляемые устройства.
d
Политики подчиняются некоторым правилам:

e
— В одной группе могут быть политики разных программ, например, политика Агента
администрирования, политика Kaspersky Endpoint Security для Windows и политика
pi
Kaspersky Endpoint Security для Linux.

— В одной группе может быть несколько политик одной программы, но только одна из них
co
может быть активной.
Активная политика это та, которую Сервер администрирования посылает на компьютеры.

Неактивная политика ни на что не влияет, но администратор может сделать ее активной и
быстро изменить настройки для всех компьютеров.
Если администратор делает политику активной, политика, которая была активной до
be
этого, автоматически становится неактивной.
— Если в группе есть политика Kaspersky Endpoint Security, и в этой же группе есть
подгруппа, в которой нет политики Kaspersky Endpoint Security, политика группы
применяется к компьютерам подгруппы, т.е. наследуется.
t to
No
16
ed
ut
r ib
st
di
re
or
Если политика Kaspersky Endpoint Security есть и в родительской, и в дочерней группах, то
применяется политика дочерней группы, исходя из следующих условий:
— Обязательные параметры из политики родительской группы применяются к политике
дочерней группы, и администратор не может их изменить.
d
— В политике дочерней группы администратор может менять только те параметры, которые

не закрыты замком в политике родительской группы.
e
— Администратор может не применять политику родительской группы к дочерним. Для этого

нужно в дочерней политике отключить опцию Наследовать параметры из политики
pi
родительской группы. После этого администратор может менять все параметры в

политике дочерней подгруппы.
co
be
t to
No
17
Задачи
ed
ut
r ib
st
di
re
or
Настройками обновления и поиска вирусов администратор управляет не через политику, а через

задачи.
d
Если политика для Kaspersky Endpoint Security одна, то разных задач для Kaspersky Endpoint
e
Security много:
— Поиск вирусов,
pi
— Обновление,
— Откат обновления,
— Инвентаризация,
co
— Добавление ключа,
— Проверка целостности,
— Изменение состава компонентов программы,
— Проверка доступности KSN,
— Управление учетными записями агента аутентификации.
be
У задач каждого типа свои характерные настройки. У задачи поиска вирусов это область поиска и
параметры проверки файлов, у задачи обновления — это источник обновления и какие
обновления загружать.
Во всех задачах есть настройки расписания.

to
В отличие от политик, замков в задачах нет. Все настройки задачи применяются к компьютерам, и
пользователь их менять не может.
Задачи может создавать не только администратор на Сервере администрирования, но и

t
пользователь в локальном интерфейсе. Но если на компьютер применяется политика с Сервера

администрирования, на нем выполняются только задачи с Сервера администрирования.
No
Локальные задачи отключаются и не показываются в интерфейсе. И новые локальные задачи

пользователь создавать не может.
18
ed
ut
r ib
st
di
re
or
Для регулярных действий, таких как поиск вирусов или обновление, администратор создает задачи
в группах.
Как и групповые политики, групповые задачи следуют определенным правилам:

d
— Если в группе есть подгруппа, то задача группы применяется и к компьютерам подгруппы.

— В группе может быть несколько задач одного типа, например, несколько задач поиска
e
вирусов. Они могут отличаться областью поиска и расписанием, например, одна задача
может проверять весь компьютер раз в неделю, а другая только критические области, но
pi
каждый день.
— Если нужно выполнять поиск вирусов в одной и той же области с разным расписанием на
разных компьютерах, разделите компьютеры на группы и создайте отдельные задачи в
co
каждой группе. Например, чтобы выполнять полную проверку компьютера на серверах по

выходным, а на рабочих станциях в рабочее время в фоновом режиме.
be
t to
No
19
ed
ut
r ib
st
di
re
or
— Если в группе есть задача, и у группы есть подгруппа с задачей такого же типа, к
компьютерам подгруппы применяются обе задачи. Как правило, это значит, что
администратор не слишком хорошо продумал, какие задачи ему нужны.
Особенно осторожным нужно быть, если это задачи обновления. Чтобы обновить
d
Kaspersky Endpoint Security на компьютере, нужна одна задача обновления. Если задача
обновления есть и в группе, и в подгруппе, на компьютерах подгруппы получается по две
e
задачи обновления. Если одна задача обновления выполняется, вторая завершается с

ошибкой. В результате администратор будет получать ошибки обновления при том, что по
pi
факту обновление работает, но есть ошибка в конфигурации групп и задач.
— Подгруппы можно исключить из области действия задачи. Тогда к компьютерам подгруппы

будет применяться только задача подгруппы, а задача родительской группы применяться
co
не будет.
В отличие от политик, задачи можно создавать не только для групп. Администратор может создать
задачу для любого списка компьютеров, от одного компьютера до произвольного набора
компьютеров из разных групп.
be
t to
No
20
Лицензирование
ed
ut
r ib
st
di
re
or
Лицензия Kaspersky Endpoint Security для бизнеса (KESB) бывает нескольких уровней:
d
— Стандартный,
— Расширенный,
e
— Total.
pi
Эти лицензии предназначены не только для on-premise продуктов, которые мы будем

рассматривать в этом курсе. В конце этой части мы поговорим о Kaspersky Security Center Cloud
Console — это Сервер администрирования Kaspersky Security Center в облаке, который любой
заказчик может использовать фактически бесплатно (в рамках лицензии KESB) по модели
co
Software-as-a-Service.
Лицензии разного уровня дают право пользоваться разными продуктами Лаборатории Касперского
и разными функциями в этих продуктах.
be
Чтобы использовать Kaspersky Security Center, его не обязательно активировать. Все, что нужно,
чтобы управлять защитой рабочих станций, можно использовать без лицензии.
KESB Стандартный позволяет защищать рабочие станции, сервера и мобильные устройства.
Из функций Kaspersky Endpoint Security лицензия KESB Стандартный активирует:

to
— Все компоненты защиты и контроля (кроме Адаптивного контроля аномалий) на рабочих

станциях.
— Некоторые компоненты защиты (кроме защиты от почтовых и веб-угроз) на серверных
операционных системах.
t
No
В Kaspersky Security Center лицензия KESB Стандартный активирует только функционал для
управления мобильными устройствами.
21
Чтобы управлять только защитой и контролем рабочих станций и серверов, Kaspersky Security
ed
Center активировать не обязательно.
KESB Расширенный позволяет защищать те же типы узлов: рабочие станции, сервера и

мобильные устройства, но активирует больше функций.
ut
В Kaspersky Endpoint Security лицензия KESB Расширенный позволяет использовать:
— Шифрование,
ib
— Адаптивный контроль аномалий,
— Компоненты контроля на серверных операционных системах,
— Защиту от почтовых и веб-угроз на серверных операционных системах.
r
В Kaspersky Security Center лицензия KESB Расширенный позволяет использовать функции
st
Systems Management, в частности управлять уязвимостями, автоматически загружать и
устанавливать обновления программ, создавать и разворачивать образы дисков с операционной
системой и др.
di
Кроме функций, лицензии ограничены количеством устройств, которые можно защитить.
Например, покупатель приобретает лицензию на 100 устройств, а если со временем хочет
защитить больше устройств, покупает новую лицензию, допустим на 150 или 200.
re
Все перечисленные лицензии, как правило, действуют в течение года. После этого клиент
продлевает лицензию еще на год и так далее.
or
Лицензии по подписке
Кроме этого, Лаборатория Касперского поддерживает лицензии по подписке. Эти лицензии нужно
покупать через специальных партнеров, и покупатель оплачивает их ежемесячно. Покупатель
может приостановить подписку и продолжить ее позже.
d
С лицензией по подписке покупатель может менять уровень функций и количество узлов хоть
e
каждый месяц: расширять или сокращать лицензию в зависимости от того, что ему нужно.
pi
co
be
t to
No
22
KL 002.12.1: Kaspersky Endpoint Security and Management. 2. Установка Kaspersky Security Center
2. Установка Kaspersky Security Center
ed
ut
2.1 Что и в каком порядке устанавливать
r ib
st
di
re
or
e d
pi
В этом разделе мы рассмотрим процесс установки Kaspersky Security Center и его компонентов,
пройдем Мастер первоначальной настройки и разберемся, какие возможности для усиления
защиты от компрометации Сервера администрирования можно предпринять.
co
В результате внедрения должна получиться сеть, все компьютеры которой защищены, а

администратор имеет возможность управлять защитой централизованно. Для этого нужно
установить на компьютеры компоненты Kaspersky Security Center и Kaspersky Endpoint Security для
Windows.
be
Сначала установите Сервер администрирования Kaspersky Security Center. Сервер

администрирования централизованно управляет защитой и помогает устанавливать остальные
компоненты.
Консоль администрирования на базе MMC может автоматически устанавливаться вместе с

Сервером администрирования. Чтобы управлять сервером удаленно, используйте Remote Desktop
to
Protocol (RDP), или установите Консоль администрирования Kaspersky Security Center на

компьютер администратора.
Kaspersky Security Center Web Console также может устанавливаться автоматически вместе с
Сервером администрирования, поэтому по окончании установки у администратора будет выбор,
t
какую консоль управления использовать.

No
Для защиты сети на каждый компьютер нужно установить Kaspersky Endpoint Security. Сам по себе
Kaspersky Endpoint Security не взаимодействует с Kaspersky Security Center, поэтому для
23
централизованного управления на каждый компьютер также нужно установить Агент
ed
администрирования.
Если нужно дать разным компьютерам разные настройки, разделите компьютеры на группы.
Старайтесь не создавать лишние группы. Чтобы легко находить компьютеры, импортируйте
структуру из Active Directory.
ut
Подводя итоги, внедряйте защиту в такой последовательности:
1. Установите Сервер администрирования Kaspersky Security Center.
ib
2. Установите Агенты Kaspersky Security Center и Kaspersky Endpoint Security.
3. Разделите компьютеры на группы.
r
Как организовать процесс
st
Чтобы просто установить все компоненты Kaspersky Security Center, много времени не нужно.
Время уходит на то, чтобы найти и решить проблемы.
di
Чтобы сэкономить время, подготовьтесь. Попробуйте то, что вы хотите сделать, в тестовой среде.
Если возникнут проблемы, подумайте, как их обойти. Или найдите решение, которое сможете
быстро использовать, если проблема возникнет на компьютерах сети.
re
Вряд ли вы обнаружите все потенциальные проблемы в тестовой среде. Поэтому в рабочей сети
начните с небольшого количества компьютеров: 10–20. Постарайтесь выбрать разные
компьютеры, чтобы обнаружить как можно больше потенциальных проблем. Если найдете новые
проблемы, вернитесь в тестовую среду, воспроизведите их и придумайте, как решить или обойти.
or
Внедряйте поэтапно, например, по 100 компьютеров за раз. Так вы будете находить новые
проблемы постепенно, и количество проблемных компьютеров всегда будет небольшим.
Примерный алгоритм при внедрении будет такой:

d
Установите программы в тестовой среде.

e
Установите программы на 10-20 характерных компьютеров.

Установите программы на все компьютеры, поэтапно, по 100 компьютеров за раз.
pi
На каждом шаге дайте себе время на то, чтобы найти и решить проблемы. Не переходите к
следующему шагу, пока не придумаете, как решить или обойти все проблемы. Ищите решения
проблем в тестовой среде, а не на рабочих компьютерах.
co
Сейчас тестовая среда — это, обычно, виртуальные машины в отделе ИТ. Если нет возможности
использовать виртуальные машины, используйте для тестов компьютеры администраторов.
be
2.2 Требования для установки Сервера администрирования

Чтобы установить Сервер администрирования Kaspersky Security Center, подготовьте компьютер,
который удовлетворяет системным требованиям.
to
Если узлов в сети меньше 1000, Сервер администрирования и сервер баз данных легко уживутся
на одном компьютере. Если узлов больше, используйте более производительный или даже
отдельный компьютер для сервера баз данных.
t
Компьютер для Сервера администрирования может быть физический или виртуальный. Если
No
используете виртуальный Сервер, проверьте, что виртуальная среда также удовлетворяет

системным требованиям.
24
Операционные системы
ed
ut
r ib
st
di
re
or
Kaspersky Security Center, начиная с версии 14.2, официально поддерживает только серверные
операционные системы.
d
Примерный список поддерживаемых операционных систем выглядит так:

e
— Microsoft Windows Server 2008 R2 Standard SP1;

— Microsoft Windows Server 2012 Server Core | Foundation | Essentials | Standard | Datacenter;
pi
— Microsoft Windows Server 2012 R2 Server Core | Foundation | Essentials | Standard |

Datacenter;
— Microsoft Windows Server 2016 Server Core | Standard | Datacenter;
co

— Windows Storage Server 2012 | 2012 R2 | 2016 | 2019.
Полные и наиболее актуальные системные требования доступны в официальной документации:

https://support.kaspersky.com/help/KSC/14.2/ru-RU/96255.htm
be
t to
No
25
Минимальные аппаратные требования
ed
ut
r ib
st
di
re
or
Минимальные требования к аппаратной конфигурации:

d
— Процессор с частотой не менее 1 ГГц (1.4 ГГц для 64-битных систем);

— 4 ГБ оперативной памяти;
e
— 10 ГБ свободного места на диске (для использования функционала Patch Management

потребуется не меньше 100 ГБ свободного места).
pi
Для обслуживания большого числа клиентов потребуется более производительный сервер.

Рекомендации можно найти в руководстве администратора.
co
Обсуждение практического опыта использования Сервера администрирования в крупных сетях

отражено в курсе KL 302. Kaspersky Endpoint Security and Management. Масштабирование
Платформы виртуализации
be
Чтобы установить Сервер администрирования на виртуальную машину, используйте одну из

следующих платформ виртуализации:
— VMware vSphere 6.7 | 7.1,
— VMware Workstation 16 Pro,
to
— Microsoft Hyper-V Server 2012 | 2012 R2 | 2016 | 2019 | 2022,

— Citrix XenServer 7.1 | 8.x,
— Parallels Desktop 17,
— Oracle VM VirtualBox 6.х.
t
Виртуальная машина должна соответствовать требованиям к программному и аппаратному

No
обеспечению.
26
Дополнительные программное обеспечение
ed
Помимо требований к операционной системе, на компьютере также должны быть установлены:
— Microsoft .NET Framework 4 (установите, как компонент Windows),
— Microsoft Data Access Components (MDAC) 2.8,
ut
— Windows Data Access Components (DAC) 6.0,
— Windows Installer 4.5.
Выделите для Сервера администрирования новый компьютер. Если это невозможно, проверьте,
ib
что на компьютере нет Агента администрирования Kaspersky Security Center. Программа установки
автоматически обнаруживает установленный Агент и просит администратора удалить его.
r
Серверы баз данных
st
di
re
or
e d
pi
co
Сервер администрирования в работе использует базу данных на основе SQL. Поддерживаются

примерно следующие серверы баз данных:
—
be
Microsoft SQL Server Express x64:

— 2012 | 2014 | 2016 | 2017 | 2019.
— Microsoft SQL Server x64:
— 2014 | 2016 | 2017 | 2019 для Windows,
to
— 2017 | 2019 для Linux.

— Microsoft Azure SQL Database;
— Microsoft Azure RDS (все версии SQL-серверов, доступные в Azure);
t
— Amazon RDS (все версии SQL-серверов, доступные в AWS);

No
— MySQL 5.7 Community x86 | x64;

— MySQL Standard Edition x86 | x64 версия 8.0.20 и выше;
— MySQL Enterprise Edition x86 | x64 версия 8.0.20 и выше;
27
— MariaDB x86 | x64:
ed
— 10.1.30+ | 10.3.22+ | 10.4.26+ | 10.5.17+.
— MariaDB Server 10.3 x86 | x64 с подсистемой хранилища InnoDB;
— MariaDB Galera Cluster 10.3 x86 | x64 с подсистемой хранилища InnoDB;
ut
— PostgreSQL x64:
— 13.x | 14.x
ib
— Postgres Pro x64:
— Standard 13.x | 14.x,
— Certified 14.x
r
st
Полный и наиболее актуальный список поддерживаемых серверов баз данных доступен в
официальной документации:
di
Помните, что Express-редакции имеют ограничения и не должны использоваться для управления
большим числом компьютеров (больше 5000).
2.3 Установка Сервера администрирования re

or
Начало установки
e d
pi
co
be
t to
No
Прежде чем приступать к установке Kaspersky Security Center, необходимо предварительно

установить и настроить сервер баз данных. Он не входит в дистрибутив Kaspersky Security Center,
его необходимо устанавливать самостоятельно.
28
SQL-сервер может быть установлен на том же компьютере, что и Сервер администрирования, или
ed
на любом другом компьютере в сети. Важно, чтобы Сервер администрирования имел доступ с
правами чтения и записи в базу, расположенную на SQL-сервере. При установке Сервера
администрирования и SQL-сервера на одном компьютере, проблем с доступом нет в принципе.
Тип SQL-сервера после установки изменить уже нельзя. Если выбрать Microsoft SQL, то потом
ut
перейти на PostgreSQL без потери данных нельзя.
Выбрать другой SQL-сервер того же типа без потери данных можно, но непросто. Нужно создать
ib
резервную копию данных Сервера администрирования. Переустановить Сервер
администрирования и выбрать другой SQL-сервер. И после этого восстановить данные из
резервной копии
r
Чтобы установить Kaspersky Security Center, запустите программу установки.
st
Программу установки Kaspersky Security Center можно скачать с веб-сайта Лаборатории
Касперского:
https://www.kaspersky.ru/small-to-medium-business-security/downloads/endpoint
di
ksc_14_14.2.0.26967_full_ru.exe — полный дистрибутив Kaspersky Security Center, включающий
все собственные компоненты, инсталляционный пакет Агента администрирования и дистрибутивы
re
обеих консолей управления. Размер составляет около 500 MB.
Оболочка инсталлятора Kaspersky Security Center

or
При открытии исполняемого файла запускается оболочка программы установки. Из окна оболочки
можно запустить установку отдельных компонентов, например, Сервера администрирования или
Консоли администрирования. Также можно извлечь инсталляционные файлы для выбранных
компонентов в папку, указанную администратором.
d
Из программы-оболочки можно извлечь или установить такие продукты:

— Сервер администрирования Kaspersky Security Center;
e
— Консоль администрирования Kaspersky Security Center;

— Kaspersky Security Center Web Console;
pi
— Агент администрирования Kaspersky Security Center.

co
be
t to
No
29
Мастер установки
ed
Запуск Мастера установки
ut
r ib
st
di
re
or
d
На первом шаге установки Kaspersky Security Center инсталлятор проверяет наличие на

e
компьютере .NET Framework. Затем от администратора требуется принять лицензионное

соглашение и политику конфиденциальности.
pi
co
be
t to
No
30
Тип установки на кластер
ed
ut
r ib
st
di
re
or
На следующем шаге предлагается выбрать тип установки на кластер. Кластер можно организовать
средствами Kaspersky или Microsoft.
d
Так как в этом курсе установка на кластер не рассматривается, этот шаг можно пропустить.
e
pi
co
be
t to
No
31
Тип установки
ed
ut
r ib
st
di
re
or
Установку Сервера администрирования можно выполнить в стандартном или выборочном режиме.

d
Стандартная установка скрывает некоторые шаги и оставляет значения по умолчанию. Шаги,

которые пропускаются в стандартной установке:
e
— Выбор компонентов;
— Учетные записи для вспомогательных служб Сервера администрирования;
pi
— Путь к общей папке;

— Порты и длина ключа для шифрования сертификата;
— Адрес Сервера администрирования.
co
При установке на Windows Server в режиме Core всегда выполняется выборочная установка.
be
t to
No
32
Компоненты и размещение программных файлов
ed
ut
r ib
st
di
re
or
Вместе с Сервером администрирования можно установить два дополнительных компонента:

d
— Агент SNMP — для отправки уведомлений по SNMP, требует наличия на компьютере

службы SNMP (компонент Windows).
e
— Управление мобильными устройствами — необходим для управления мобильными

устройствами через Kaspersky Security Center. Об этом рассказывает отдельный курс
pi
KL 010 Kaspersky Secure Mobility Management
Здесь же под списком компонентов можно изменить размещение программных файлов Сервера
администрирования. Если вы хотите перенести файлы, например, из-за того, что на диске C мало
co
места, подумайте о том, чтобы перенести только общую папку Сервера администрирования. Ее
можно перенести независимо от программных файлов, и она занимает значительно больше места,
чем все программные файлы. Путь к общей папке задается дальше в Мастере установки.
Помните, что резервные копии Сервера администрирования хранятся в

be
папке %ProgramData%\KasperskySC. Резервные копии также имеют значительный объем: до

нескольких гигабайт, в зависимости от количества узлов и инсталляционных пакетов.
t to
No
33
Консоль управления
ed
ut
r ib
st
di
re
or
Напомним, что есть две консоли управления Kaspersky Security Center. Обе консоли представляют
собой отдельные приложения, но входят в состав Kaspersky Security Center:
d
— MMC — традиционная Old School консоль, которую предпочитают пользователи со

стажем. Должна быть установлена на каждом компьютере, с которого администратор
e
собирается подключаться к Серверу администрирования.

pi
— Web Console — предоставляет альтернативный интерфейс через веб-браузер. Чтобы ее

использовать, достаточно иметь один экземпляр консоли в сети. Можно установить как на
компьютер с Kaspersky Security Center, так и на отдельный компьютер.
co
По умолчанию устанавливаются обе консоли, менять эти настройки не рекомендуется.

be
t to
No
34
Размер сети
ed
ut
r ib
st
di
re
or
Можно выбрать один из четырех вариантов размера сети:

d
— Менее 100 компьютеров в сети;

— От 101 до 1000 компьютеров в сети;
— От 1001 до 5000 компьютеров в сети;
e
— Более 5000 компьютеров в сети.

pi
От ответа администратора зависят следующие параметры Сервера администрирования:
Менее От 100 От 1000 Более

co
Количество компьютеров в сети

100 до 1000 до 5000 5000
Автоматически определять период задержки
– + + +
запуска задач
Отображать подчиненные Серверы
– –
be
+ +
администрирования
Отображать разделы с параметрами
– – + +
безопасности
Автоматическое определение периода задержки при запуске задач относится к расписанию

to
групповых задач поиска вирусов, обновления, поиска уязвимостей и прочих.
При одновременном запуске задачи на большом количестве компьютеров резко возрастает

загрузка сети и нагрузка на Сервер администрирования. Чтобы сгладить скачок, задача может
запускаться на компьютерах не строго в указанное время, а после случайной задержки.
t
No
Администратор может включить случайный разброс времени запуска и затем выбрать интервал
задержки вручную или положиться на автоматическое определение интервала. На каждом
35
компьютере независимо выбирается случайное значение задержки в пределах заданного или
ed
автоматически выбранного интервала.
При автоматическом определении периода задержки его величина зависит от количества

компьютеров, на которых запускается задача:
ut
Количество компьютеров Период задержки
0–200 0 минут
ib
200–500 5 минут
500–1000 10 минут
r
1000–2000 15 минут
st
2000–5000 20 минут
5000–10000 30 минут
di
10000–20000 1 час
20000–50000 2 часа
re
50000+ 3 часа
Отображение подчиненных Серверов администрирования и параметров безопасности

настраивается только в MMC-консоли.
or
Об этом функционале рассказывает курс KL 302. Kaspersky Endpoint Security and Management.
Масштабирование. В небольших и средних сетях эти функции используются редко.
Независимо от выбранного размера сети, все настройки доступны для изменения после установки.
d
Тип SQL-сервера
e
pi
co
be
t to
No
36
Сервер администрирования хранит события, информацию о компьютерах и часть настроек в базе
ed
данных SQL.
Хранить базу данных Сервер администрирования может в одном из трех типов SQL-серверов:
— Microsoft SQL Server,
ut
— MySQL или MariaDB,
— PostgreSQL.
Что выбрать, зависит от предпочтений компании и администратора.
ib
Microsoft SQL Server является индустриальным стандартом и рекомендуется для больших сетей от
5000 узлов и выше.
r
MySQL-сервер и PostgreSQL имеют открытый исходный код и могут работать на операционной
st
системе Linux. Поэтому их иногда выбирают государственные структуры.
Администратору необходимо самостоятельно установить и настроить SQL-сервер. Желательно
di
сделать это до начала установки Kaspersky Security Center.
re
Подключение к SQL-серверу or
e d
pi
co
be
to
Если на предыдущем шаге был выбран MySQL или PostgreSQL, то нужно указать адрес сервера
баз данных, порт (как правило, 3306 для MySQL и 5432 для PostgreSQL) и имя базы данных.
В окне настройки параметров нет ссылки на страницу загрузки сервера баз данных. Чтобы
загрузить дистрибутив, используйте веб-сайт разработчика.
t
No
37
Аутентификация на SQL-сервере
ed
ut
r ib
st
di
re
or
Также нужно указать имя пользователя и пароль для аутентификации на SQL-сервере. Эти имя и
пароль будут использовать и инсталлятор, чтобы создать базу, и Сервер администрирования,
d
чтобы в нее писать.

e
При нажатии кнопки Next, Мастер пытается подключиться к указанному серверу от имени этой
учетной записи. Если подключиться не удастся, то Мастер выдаст ошибку с описанием причины.
pi
co
be
t to
No
38
Учетные записи
ed
ut
r ib
st
di
re
or
В процессе установки Мастер автоматически генерирует локальную учетную запись KL-AK-*, под
которой будет запускаться служба Сервера администрирования kladminserver.
d
Если в дальнейшем понадобится изменить учетную запись Сервера администрирования, можно

e
воспользоваться утилитой klsrvswch.exe, которая находится в папке установки Kaspersky Security

Center.
pi
На следующем шаге Мастер автоматически генерирует локальную учетную запись KlScSvc, под
которой будут запускаться вспомогательные службы Kaspersky Security Center:
co
— Прокси-сервер KSN (ksnproxy);

— Прокси-сервер активации "Лаборатории Касперского" (klactprx);
— Веб-сервер "Лаборатории Касперского" (klwebsrv).
be
t to
No
39
Папка общего доступа
ed
ut
r ib
st
di
re
or
В папке общего доступа хранятся:

d
— Файлы, необходимые для удаленной установки программ, копируются на Сервер

администрирования при создании инсталляционных пакетов.
e
— Обновления баз и модулей.

pi
По умолчанию в папке с программными файлами Kaspersky Security Center создается папка share.
Для этого ресурса будет открыт общий доступ на чтение для всех пользователей и UNC-путь
будет \\<Адрес или имя сервера>\KLSHARE.
co
Впоследствии путь к общей папке можно изменить в свойствах Сервера администрирования.

be
t to
No
40
Порты подключения
ed
ut
r ib
st
di
re
or
Сервер администрирования использует два порта для подключения Агентов администрирования:

d
— TCP 14000 (по умолчанию отключено),

— TCP 13000 с использованием SSL.
e
Номера портов можно изменить в свойствах Сервера администрирования. При изменении не

забудьте также изменить порты в инсталляционном пакете Агента администрирования.
pi
Тут же задается длина ключа шифрования для сертификата Сервера администрирования.

co
be
t to
No
41
Адрес Сервера администрирования
ed
ut
r ib
st
di
re
or
Адрес Сервера администрирования можно указать несколькими способами: DNS имя, NetBIOS
имя и IP-адрес. Это адрес будет указан в инсталляционном пакете Агента администрирования, и к
d
нему будут подключаться Агенты.

e
pi
co
be
t to
No
42
Запуск установки
ed
ut
r ib
st
di
re
or
В предпоследнем окне Мастер предлагает начать установку. Установка может занять от 5 до 15

минут в зависимости от вычислительных мощностей аппаратных средств.
d
После того как установка Kaspersky Security Center завершится автоматически, запустится Мастер
e
установки Kaspersky Security Center Web Console.

pi
Как правило, Серверу администрирования нужно несколько минут, чтобы начать работать и
принимать соединения. При этом MMC-консоль устанавливается автоматически.
co
be
t to
No
43
2.4 Установка Kaspersky Security Center Web Console
ed
Требования для установки Kaspersky Security Center Web Console
ut
r ib
st
di
re
or
e d
Kaspersky Security Center Web Console, начиная с версии 14.2, официально поддерживает только
серверные операционные системы, точно такие же как и в требованиях для установки Сервера
pi
Однако Kaspersky Security Center Web Console можно установить на операционную систему под
управлением Linux x64 и удаленно управлять Kaspersky Security Center.
co

— 4-х ядерный процессор,
— 8 ГБ оперативной памяти,
— 40 ГБ свободного места на диске.
be
Поддерживаются следующие браузеры:

— Google Chrome 100 и выше,
— Mozilla Firefox ESR 91.8 и выше,
— Microsoft Edge 100 и выше,
to
— Safari 15 для macOS.

t
No
44
Мастер установки
ed
ut
r ib
st
di
re
or
Kaspersky Security Center Web Console не обязательно устанавливать вместе с Kaspersky Security
d
Center, она вполне может существовать на отдельном компьютере, для этого нужно установить
Web Console как обычную программу. Дистрибутив Web Console находится в распакованной папке
Сервера администрирования — Server\Packages\WebConsole.
e
Если администратор не отключил Web Console в Мастере установки Kaspersky Security Center, то
pi
после установки Сервера администрирования автоматически запустится Мастер установки

Kaspersky Security Center Web Console.
co
На первом шаге можно выбрать язык, на котором продолжится Мастер установки.

be
t to
No
45
ed
ut
r ib
st
di
re
or
Затем нужно принять лицензионное соглашение.
Путь установки рекомендуется оставить по умолчанию.

e d
pi
co
be
t to
No
Порт для подключения к Web Console можно изменить. Сейчас по умолчанию используется порт
8080.
46
Web Console устанавливает в систему несколько служб, на этом шаге предлагается выбрать
ed
учетные записи, из-под которых будут запускаться службы. Мы рекомендуем оставить значение по
умолчанию, в таком случае службы Web Console будут запускаться под Local System и Network
Service.
ut
r ib
st
di
re
or
d
Теперь нужно разобраться с сертификатом. Мастер установки может сгенерировать

e
самоподписанный сертификат автоматически, или можно использовать уже существующий.
Самый важный шаг — это добавление доверенных Серверов администрирования. Тут

pi
администратор указывает, с каким Сервером Kaspersky Security Center сможет взаимодействовать

Web Console.
co
Если Web Console устанавливается на компьютер, на котором уже установлен Kaspersky Security
Center, то этот Сервер администрирования автоматически появится в списке доверенных. Если
нет, то нужно ручками добавить сервер — указать адрес, порт и обязательно путь к сертификату
Сервера администрирования. Этот сертификат потом скопируется в папку установки Web Console.
Web Console по умолчанию использует порт 13299 для подключения к Kaspersky Security Center,
be
но при необходимости его можно изменить в свойствах Сервера администрирования.

t to
No
47
ed
ut
r ib
st
di
re
or
Компонент Identity and Access Manager (IAM) позволяет использовать Single Sign-on (SSO) между
Web Console и Kaspersky Industrial CyberSecurity for Networks. Рассматривается в
соответствующем курсе KL 038 Kaspersky Industrial CyberSecurity.
Запускаем установку и ждем 5-7 минут, пока установится Web Console.

e d
pi
co
be
t to
No
48
Теперь можно либо завершить Мастер, либо запустить Web Console по ссылке. Чтобы
ed
подключиться с рабочего места администратора или любой другой удаленной машины, нужно
ввести в браузере — https://<IP-адрес или имя>:8080 или другой порт, если он менялся во время
установки.
В последнем окне Мастер предлагает сразу запустить локальную ММС-консоль
ut
администрирования или Web Console и продолжить настройку в Мастере первоначальной
настройки Сервера администрирования. По умолчанию запустится Web Console, если она была
установлена.
ib
Результаты установки
r
st
di
re
or
e d
pi
co
В результате установки Kaspersky Security Center и Kaspersky Security Center Web Console в
системе происходят следующие изменения:
— Компоненты:
be
— Kaspersky Security Center Administration Server,

— Kaspersky Security Center Network Agent,
— Kaspersky Security Center Administration Console (MMC),
— Kaspersky Security Center Web Console.
— Пути установки:
to
— %ProgramFiles(x86)%\Kaspersky Lab\Kaspersky Security Center — программные файлы,

— %ProgramFiles%\Kaspersky Lab\Kaspersky Security Center Web Console — программные
файлы,
— %ProgramData%\KasperskyLab\adminkit — настройки,
— %ProgramData%\KasperskySC\SC_Backup — папка для резервных копий.
t
— Службы:
No

— Kaspersky Security Center automation object,
49
— Kaspersky Security Network proxy server,
ed
— Kaspersky Web Server,
— Kaspersky activation proxy server,
— Kaspersky Security Center Web Console Management Service,
— Kaspersky Security Center Web Console,
— Kaspersky Security Center Web Console Message Queue,
ut
— Kaspersky Security Center Service Web Console,
— Kaspersky Security Center Product Plugins Server.
— Общая папка :
ib
— KLSHARE — локальный путь
%ProgramData%\KasperskyLab\adminkit\1093\.working\share.
r
st
di
re
or
e d
pi
co
— Группы:
— KLAdmins,
— KLOperators.
be
Зачем они нужны, рассказывает курс KL 302.

— Учетные записи:
— KL-AK-<*> — запускает службу Сервер администрирования Kaspersky Security Center.
— KlScSvc — запускает службы:
to
— Прокси-сервер активации «Лаборатории Касперского»,

— Прокси-сервер Kaspersky Security Network,
— Веб-сервер «Лаборатории Касперского».
Записи KL-AK-<*> и KlScSvc имеют права, эквивалентные правам локального

администратора, хотя и не входят во встроенную группу администраторов.
t
No
— KlPxeUser — служебный пользователь для PXE-сервера (см. курс KL 009).

— Порты для подключений:
50
— 8060 — http-порт Веб-сервера «Лаборатории Касперского»,
ed
— 8061 — https-порт Веб-сервера «Лаборатории Касперского»,
— 8080 — https-порт Веб-сервера Kaspersky Security Center Web Console,
— 13000 — для SSL-подключений Агентов,
— 14000 — для обычных подключений Агентов и Консолей администрирования,
— 13291 — для SSL-подключений Консолей администрирования,
ut
— 13111 — порт службы Kaspersky Security Network proxy server,
— 17000 — порт прокси-сервера активации,
— 13299 — для SSL-подключений Kaspersky Security Center Web Console.
ib
— Плагины:
r
— Kaspersky Endpoint Detection and Response Optimum.
st
— Инсталляционные пакеты:
— Kaspersky Security Center 13 Network Agent,
— Microsoft Exchange Mobile Devices Server,
di
— iOS MDM Server.
Взаимодействие Web Console с Kaspersky Security Center
re
or
e d
pi
co
be
Архитектура Web Console состоит из множества компонентов и процессов, которые скрыты от

to
пользователя и не имеет смысла их подробно разбирать. Можно сказать, что основным

компонентом является Сервер Веб-Консоли на базе Node.js, запускается в отдельном процессе
node.exe. Также есть другие компоненты, которые запускаются в отдельных процессах node.exe,
например, для каждого плагина выделяется отдельный процесс.
t
Отдельные процессы используются для подсистемы обработки очереди сообщений (nsqd.exe) и

логирования (nsq_to_file.exe).
No
Для мониторинга и управления процессами используется стандартный для среды Node.js

менеджер процессов. Из-за ограничений операционной системы, менеджер процессов запускает
51
процессы под той учетной записью, под которой запущен он сам. По этой причине запускается два
ed
менеджера процессов, один под системной (Local System), другой под сетевой (Network Service)
учетной записью. Для большинства процессов достаточно ограниченных прав, но бывают
сценарии, для которых нужны расширенные права.
Теперь посмотрим, какие службы устанавливает в систему Web Сonsole:
ut
— Kaspersky Security Center 13 Web Console Management Service — SrvLauncher.exe —
служба используется исключительно для обеспечения автозапуска менеджера процессов
под учетной записью Local System.
ib
— Kaspersky Security Center 13 Web Console — SrvLauncher.exe — служба используется
исключительно для обеспечения автозапуска менеджера процессов под учетной записью
Network Service.
r
— Kaspersky Security Center 13 Web Console Message Queue — nsqd.exe — платформа для
st
обработки очереди сообщений на базе NSQ.
Web Console представляет собой веб-сервер на платформе Node.js. Серверная часть Web Console
di
подключается к Kaspersky Security Center по протоколу KSC Open API на базе HTTPs.
Клиентская часть представляет собой SPA (Single Page Application). В простейшем варианте SPA
это веб-приложение, компоненты которого загружаются один раз на странице, а контент
re
подгружается по необходимости. Т.е. когда мы кликаем в Web Console на какой-либо элемент
интерфейса, запускается JavaScript, который подгружает модули и визуализирует то, что мы
запросили. Для пользователя все будет выглядеть так, как будто мы перешли на другую страницу.
or
2.5 Мастер первоначальной настройки
d
Усиление защиты
e
pi
co
be
t to
No
52
При первой аутентификации каждого пользователя в любой консоли управления Kaspersky
ed
Security Center, первым делом всплывает окно с Руководством по усилению защиты.
В нем собраны рекомендации по настройке Kaspersky Security Center для снижения рисков
компрометации. Необходимо подтвердить, что пользователь ознакомился с этим руководством.
ut
Ссылка на руководство в официальной документации:
https://support.kaspersky.com/KSC/14.2/ru-RU/245736.htm
ib
Приветствие
r
st
di
re
or
e d
pi
На следующем шаге запускается Мастер первоначальной настройки.

co
Основная задача Мастера первоначальной настройки — подготовить Сервер к работе:

— Настроить подключение к Интернету;
— Выбрать тип защищаемых устройств;
— Загрузить плагины;
be
— Загрузить инсталляционные пакеты;

— Принять соглашение Kaspersky Security Network;
— Добавить лицензию;
— Выбрать, как управлять обновлениями и уязвимостями;
— Создать задачи и политики;
— Настроить подключение к почтовому серверу для получения уведомлений и отчетов;
to
— Выполнить сканирование сети.

t
No
53
Доступ в интернет и получение актуальной информации
ed
ut
r ib
st
di
re
or
На первом шаге нужно настроить параметры доступа в Интернет. Серверу администрирования
нужен выход в Интернет для загрузки обновлений и для связи с KSN-серверами Лаборатории
d
Касперского. Обе функции будут использовать общие параметры, прямой выход в Интернет или
через прокси-сервер.
e
Сами параметры прокси-сервера вполне стандартны: адрес и порт сервера, опциональные имя и
пароль пользователя для аутентификации, возможность отключить использование прокси для
pi
локальных адресов.
Затем Мастер подключается к серверам Лаборатории Касперского и загружает информацию об

co
актуальных версиях продуктов.

be
t to
No
54
Области защиты
ed
ut
r ib
st
di
re
or
После этого необходимо выбрать типы защищаемых устройств и операционных систем. В
зависимости от выбранных типов устройств, Kaspersky Security Center предложит администратору
d
плагины управления для Web Console и инсталляционные пакеты для загрузки. По умолчанию
Kaspersky Security Center предлагает защищать рабочие станции под управлением Windows.
e
Если по какой-то причине Администратор решил защищать другие устройства, то проще всего
заново запустить Мастер первоначальной настройки и выбрать необходимые активы. Мастер
pi
установит нужные плагины, создаст инсталляционные пакеты, политики и задачи.
Можно обойтись и без Мастера, но тогда все придется создавать вручную.

co
be
t to
No
55
Шифрование
ed
ut
r ib
st
di
re
or
Следующий шаг — выбор длины ключа шифрования. Kaspersky Endpoint Security использует
алгоритм шифрования Advanced Encryption Standard (AES) и позволяет шифровать файлы и папки,
d
хранящиеся на локальных дисках компьютера и съемных дисках, съемные и жесткие диски

целиком.
e
Необходимо выбрать один из следующих типов шифрования:

pi
— Упрощенное шифрование. Для этого типа шифрования используется 56-разрядный ключ.

— Стойкое шифрование. Для этого типа шифрования используется 256-разрядный ключ.
При выборе длины ключа шифрования ознакомьтесь с местными законами и требованиями

co
регуляторов. В ряде стран использовать стойкое шифрование (256-бит) запрещено законом.

be
t to
No
56
Выбор плагинов
ed
ut
r ib
st
di
re
or
В зависимости от типов защищаемых устройств и операционных систем, на следующем шаге

d
Мастер отображает список доступных плагинов для управляемых программ.
По умолчанию Web Console устанавливается с несколькими плагинами:

e
— для Сервера администрирования,

pi
— для Агента администрирования,

— Endpoint Detection and Response Optimum.
Мастер первоначальной настройки проверяет актуальный список плагинов, расположенных на

co
серверах "Лаборатории Касперского". Список отфильтрован в соответствии с выбранными

устройствами и операционными системами, указанными на одном из предыдущих шагов Мастера.
После выбора плагинов, их установка начинается автоматически в фоновом режиме. Для

установки некоторых плагинов администратор должен принять условия Лицензионного соглашения
be
и Политики конфиденциальности.
.
t to
No
57
Установка плагинов
ed
ut
r ib
st
di
re
or
После выбора плагинов, их установка начинается автоматически в фоновом режиме. Для

d
установки некоторых плагинов администратор должен принять условия Лицензионного соглашения

и Политики конфиденциальности.
e
Процесс занимает несколько минут, но без индикатора процесса установки.

pi
co
be
t to
No
58
Выбор инсталляционных пакетов
ed
ut
r ib
st
di
re
or
Следующий шаг — загрузка инсталляционных пакетов управляемых программ Лаборатории

d
Касперского.
Мастер первоначальной настройки отображает информацию о доступных версиях дистрибутивов,

e
соответствующих ранее выбранным типам защищаемых устройств и операционных систем.

Обычно в списке программ присутствуют только те приложения, которые официально
pi
поддерживаются. Устаревшие или неподдерживаемые программы Мастер первоначальной

настройки не скачивает. После того, как администратор выбрал дистрибутивы (к примеру,
Kaspersky Endpoint Security для Windows), начинается загрузка в фоновом режиме.
co
Чтобы завершить загрузку дистрибутивов, администратор должен принять Лицензионное

соглашение и Политику конфиденциальности, но сделать это можно после окончания Мастера.
После завершения работы Мастера первоначальной настройки, инсталляционные пакеты Агента

администрирования и управляемых программ Лаборатории Касперского можно обнаружить в
be
соответствующем разделе — Инсталляционные пакеты.

t to
No
59
Kaspersky Security Network
ed
ut
r ib
st
di
re
or
Мастер предлагает администратору принять соглашение Kaspersky Security Network (далее KSN).
d
KSN — это название облачных (in-the-cloud) защитных технологий Лаборатории Касперского.
Участие в KSN позволяет использовать для защиты компьютеров оперативную информацию о

e
новых угрозах, не дожидаясь появления этой информации в традиционных антивирусных базах.

Взамен на это согласие, Лаборатория Касперского будет получать обезличенную информацию о
pi
файлах и URL-адресах, обработанных на компьютерах клиента. Подробнее о службе KSN

рассказывается в Части 2. Управление защитой.
co
Согласие на участие в KSN активирует в политике опции использования KSN и KSN-прокси. Если
отказаться от участия в KSN, использование KSN в политике Kaspersky Endpoint Security будет
отключено, но использование KSN-прокси останется включенным.
Использование KSN-прокси в политике связано с функцией KSN-прокси в Сервере

администрирования. Эта функция реализована в виде дополнительной службы — Прокси-сервер
be
Kaspersky Security Network. По умолчанию в свойствах Сервера администрирования

использование KSN-прокси включено.
t to
No
60
Активация
ed
ut
r ib
st
di
re
or
Следующий шаг — активация продукта. Большинство продуктов Лаборатории Касперского требует

d
активации, а некоторые, в частности, Kaspersky Security Center и Kaspersky Endpoint Security, могут
быть активированы до разного уровня функциональности. То есть, в зависимости от лицензии,
некоторые возможности могут быть недоступны.
e
pi
Ключи и коды активации
Чтобы активировать продукт, нужен ключ или код. Оба могут олицетворять лицензию покупателя
co
со всеми ее ограничениями.
Ключ — это специальный файл с параметрами лицензии, подлинность которого продукт может
установить локально. Код — это просто строка, и для выяснения ее подлинности и параметров
соответствующей лицензии продукт должен подключиться к Серверам активации Лаборатории
Касперского в Интернет.
be
Старые версии продуктов Лаборатории Касперского можно активировать только ключом. Все
актуальные версии можно активировать и ключом, и кодом.
Коды удобнее, потому что один код активирует все продукты по лицензии. Чтобы активировать эти
же продукты ключом, часто в лицензию входит несколько разных ключевых файлов. Ключом для
to
Kaspersky Security Center нельзя активировать Kaspersky Endpoint Security, и наоборот. А код у них
один.
Ключи нужны, когда нужно активировать продукт на компьютере без доступа в Интернет. Если у
вас есть только код, но нет ключа, добавьте код в хранилище ключей на Сервере
t
администрирования, раздел Операции | Лицензирование | Лицензии Лаборатории Касперского

No
в Web Console. Сервер автоматически загрузит соответствующие ключи.
61
Если у компьютеров нет доступа в Интернет, но они подключены к Серверу администрирования, у
ed
которого доступ есть, продукты на компьютерах можно будет активировать кодом. Продукты
верифицируют код через службу Сервера администрирования — Прокси-сервер активации
«Лаборатории Касперского».
ut
Активация кодом
В Мастере первоначальной настройки можно указать либо ключ, либо код. Если у покупателя есть
только код, все просто, нужно выбрать подходящий способ активации, ввести код и дождаться его
ib
верификации. На этом этапе Серверу администрирования требуется доступ в Интернет.
r
Активация ключом
st
Если у покупателя вместо кода есть ключ, то, как правило, он есть не один и нужно решить, какой
ключ указать в Мастере.
di
Узнать, какой ключ для чего можно из файла CompatibilityList.txt, который обычно поставляется
вместе с ключом или кодом. Остальные ключи можно добавить позже в хранилище ключей на
Сервере администрирования.
re
И ключ, и код можно назначить для автоматической установки на клиентские компьютеры. Для
этого отметьте флаг Автоматически распространять ключ на управляемые устройства. Если
Сервер администрирования обнаружит управляемый компьютер, на котором Kaspersky Endpoint
Security не активирован, он автоматически пошлет туда ключ, выбранный для автоматической
установки.
or
Управление уязвимостями и обновлениями программ
e d
pi
co
be
t to
No
После активации нужно настроить параметры управления обновлениями и уязвимостями.
62
Этот функционал не имеет отношения к антивирусной защите и к Kaspersky Endpoint Security, а
ed
касается управления компьютерами силами Агента администрирования. Для использования
функционала Systems Management достаточно установленного на клиентских компьютерах Агента
администрирования. Подробнее о возможностях управления уязвимостями и обновления
рассказывается в курсе KL 009.
ut
В зависимости от указанной лицензии на предыдущем шаге, Мастер первоначальной настройки
Kaspersky Security Center предлагает выбрать, в каких режимах будет работать функционал Patch
Management на Сервере администрирования:
ib
— Поиск уязвимостей и доступных обновлений — используя базу уязвимостей Лаборатории
Касперского, Агент администрирования в рамках одноименной задачи ищет уязвимости и
доступные обновления на клиентских компьютерах.
r
— Исправление уязвимостей и установка обновлений — Kaspersky Security Center позволяет
st
автоматически исправлять уязвимости и устанавливать обновления программ с помощью
специальной задачи. Задача работает на основе правил, в которых необходимо задать
условия, что и где исправлять.
di
— Использовать настройки обновлений, определяемые доменной политикой — Kaspersky
Security Center никак не влияет на работу Windows Update Agent (WUA).
— Использовать Сервер администрирования в роли WSUS-сервера — Kaspersky Security
re
Center может выступать в роли локального WSUS-сервера, т.е. клиентские компьютеры
будут скачивать обновления Windows не из Интернет, а с Сервера администрирования.
Создание политик и задач

or
e d
pi
co
be
to
На этом этапе мастер первоначальной настройки создает политики и задачи, необходимые для
t
защиты узлов. Следующие задачи и политики создаются всегда:

No
— Загрузка обновлений в хранилище:

— Расписание запуска — Каждый час.
— Источник — Сервера обновлений Лаборатории Касперского.
63
— Обслуживание базы данных — оптимизирует базу данных, работает только при
ed
использовании Microsoft SQL Server.
— Расписание запуска — Каждую субботу в 1:00 ночи.
— Резервное копирование данных Сервера администрирования:
ut
— Расписание запуска — Раз в два дня в 2:00 утра.
— Хранит 3 последние копии, пароль не задан.
— Kaspersky Endpoint Security for Windows (политика):
ib
— Область действия — группа Управляемые устройства.
— Агент администрирования Kaspersky Security Center (политика):
r
st
— Поиск уязвимостей и требуемых обновлений:
— Установка обновлений:
di
— Расписание запуска — Каждый час.
— Источник — Сервера обновлений Лаборатории Касперского.
re
Обратите внимание, что групповая задача Поиска вирусов не создается по умолчанию. Вместо нее
включается Фоновая проверка, которая сканирует системные области во время простоя
компьютера. Опция находится в политике на вкладке Параметры программы | Локальные
задачи.
or
Если администратор хочет полноценно управлять проверкой по требованию, ему нужно будет
самому создать групповую задачу проверки с необходимыми настройками.
d
Подключение к SMTP-серверу
e
pi
co
be
t to
No
64
Предпоследний шаг — настройка почтовых уведомлений и доставки отчетов. Чтобы получать
ed
уведомления о важных событиях в почтовый ящик, нужно указать адрес получателя и параметры
SMTP-сервера: адрес, порт и, если требуется, данные для авторизации. Заданные здесь
параметры будут использоваться для отправки уведомлений и отчетов.
По умолчанию отправка уведомлений о событиях не включена. Чтобы действительно получать
ut
информацию о событиях в почтовый ящик, нужно включить отправку уведомлений в свойствах
событий. События Kaspersky Security Center доступны через свойства Сервера
администрирования. События Kaspersky Endpoint Security — через политику Kaspersky Endpoint
ib
Security.
Мастер не проверяет корректность настроек, но позволяет сделать это администратору с

помощью кнопки Отправить пробное сообщение. Администратор может воспользоваться ей для
r
отправки тестового сообщения. Если Мастеру не удастся подключиться к почтовому серверу или
st
пройти аутентификацию, будет сообщение об ошибке. Для завершения проверки администратору
рекомендуется убедиться, что сообщение пришло в почтовый ящик.
di
Сканирование сети
re
or
e d
pi
co
be
Последний шаг — сканирование сети средствами Windows. Этот тип сканирования работает через
сетевое окружение в проводнике Windows, которое по умолчанию выключено в операционной
системе. Если сканирование успело завершиться, то можно сразу просмотреть список
to
обнаруженных устройств. Либо можно пропустить этот шаг, сканирование все равно будет
выполняться в фоновом режиме.
t
No
65
Завершение Мастера
ed
ut
r ib
st
di
re
or
В финальном окне Мастера первоначальной настройки есть возможность немедленно перейти к

d
Мастеру удаленной установки для внедрения Kaspersky Endpoint Security на компьютеры сети. По
умолчанию эта опция включена, но лучше с внедрением не спешить, а действовать по плану:
e
Дать Серверу время обнаружить компьютеры в сети.

Проверить настройки инсталляционных пакетов, чтобы установить именно то, что нужно.
pi
Попробовать разные методы установки в тестовой среде.

co
be
t to
No
66
2.6 Усиление защиты Сервера администрирования
ed
Создание внутреннего пользователя
ut
r ib
st
di
re
or
e d
В Kaspersky Security Center есть два типа пользователей:

— Windows (локальные, доменные),
pi
— Внутренние.
Также в Kaspersky Security Center есть своя система ролей, которые могут быть назначены
co
пользователям. Каждая роль имеет свой предустановленный набор прав. Администратор может
модифицировать права существующих ролей или создавать новые роли. Модифицировать права
существующих ролей не рекомендуется.
Рекомендуется создать внутреннего пользователя, например, kscadmin, и назначить ему роль

Главного администратора Kaspersky Security Center.
be
t to
No
67
Включение 2FA
ed
ut
r ib
st
di
re
or
Риск компрометации учетных записей можно уменьшить, если включить двухфакторную
аутентификацию в Kaspersky Security Center. Делается это в свойствах учетной записи на вкладке
d
Authentication security.
Чтобы использовать двухфакторную аутентификацию, необходимо стороннее приложение,

e
которое поддерживает Time-based One-time Password Algorithm (TOTP), самые популярные

подобные приложения — Microsoft Authenticator или Google Authenticator.
pi
Для каждой учетной записи Kaspersky Security Center генерирует секретный ключ или QR-код,
который нужно добавить в стороннее приложение.
co
Если вы потеряете мобильное устройство с приложением, вы не сможете пройти аутентификацию.

Чтобы этого избежать, сохраните секретный ключ и QR-код в надежном месте, тогда вы сможете
восстановить двухфакторную аутентификацию на другом устройстве.
be
t to
No
68
ed
ut
r ib
st
di
re
or
После того как вы добавите секретный ключ или QR-код в приложение, оно сгенерирует 6-ти
значный код, который нужно ввести в Kaspersky Security Center для подтверждения. Если все
прошло успешно, то для этой учетной записи включится двухфакторная аутентификация, и при
следующем подключении к Серверу администрирования кроме логина нужно будет ввести 6-ти
значный код, который генерируется каждые 30 секунд.
d
Важно, чтобы время на Сервере администрирования и мобильном устройстве было

e
синхронизировано в пределах 30 секунд.

pi
co
be
t to
No
69
Включение 2FA для всех пользователей
ed
ut
r ib
st
di
re
or
Также в Kaspersky Security Center можно принудительно включить двухфакторную

d
аутентификацию для всех пользователей. Делается это в свойствах Сервера администрирования

на вкладке Authentication security.
e
Там же можно добавить исключения, если для каких-то пользователей нужно оставить обычную
аутентификацию.
pi
Если для пользователя включена двухфакторная аутентификация, то при следующем

подключении к Серверу администрирования ему отобразится секретный код и QR-код, которые
co
нужно будет добавить в приложение и выполнить верификацию.

be
t to
No
70
Запрет Windows-аутентификации
ed
ut
r ib
st
di
re
or
В Kaspersky Security Center есть возможность запретить удаленную аутентификацию для учетных
записей Windows.
d
Запрет включается специальным флагом LP_RestrictRemoteOsAuth с помощью утилиты

klscflag.exe, которая находится в папке установки Kaspersky Security Center
e
Полностью команда выглядит следующим образом:

pi
klscflag.exe -fset -pv .core/.independent -s KLLIM -n LP_RestrictRemoteOsAuth

-t d -v 1
co
Для каждого изменения флага нужно перезапустить службу Сервера администрирования —

kladminserver.
Отключить флаг можно с помощью команды:

klscflag.exe -fset -pv .core/.independent -s KLLIM -n LP_RestrictRemoteOsAuth
be
-t d -v 0
Флаг не работает, если аутентификация происходит через консоль управления, установленную на

этом же сервере.
to
Есть еще один способ запретить аутентификацию с учетными записями Windows, в том числе
локальную. Подробнее об этом в документации в разделе Запрет аутентификации с учетными
записями Windows
https://support.kaspersky.com/KSC/14.2/ru-RU/245774.htm
t
Перед тем как полностью отключать аутентификацию с учетными записями Windows, убедитесь,
No
что создан хотя бы один внутренний пользователь с ролью Главный администратор.
71
Список разрешенных IP-адресов для подключения к KSC
ed
ut
r ib
st
di
re
or
По умолчанию пользователи могут войти в Kaspersky Security Center c любого устройства, через
d
Web Console или MMC-консоль. Однако можно разрешить подключения к Kaspersky Security Center
только с определенных IP-адресов.
e
Включается специальным флагом KLSRV_FLAG_ALLOWED_IP_ADDRESSES_FOR_GUI с

помощью утилиты klscflag.exe, которая находится в папке установки Kaspersky Security Center
pi
Команда будет выглядеть следующим образом:

klscflag.exe -fset -pv klserver -n KLSRV_FLAG_ALLOWED_IP_ADDRESSES_FOR_GUI
co
-v "127.0.0.1, 10.28.0.100" -t s
Для каждого изменения флага нужно перезапустить службу Сервера администрирования —

kladminserver.
be
Флаг работает даже при локальном подключении, т.е. если в явном виде не передать IP-адрес
127.0.0.1, то подключиться к Серверу администрирования не получится даже локально.
Важно! Проверка IP-адреса происходит не только при аутентификации через MMC-консоль, но и

при использовании любых интеграций через klakaut или OpenAPI:
to
— Kaspersky Security Center Web Console,

— Kaspersky Unified Monitoring and Analysis Platform,
— Kaspersky Anti Targeted Attack Platform, и другие.
t
No
72
KL 002.12.1: Kaspersky Endpoint Security and Management. 3. Установка Kaspersky Endpoint Security
3. Установка Kaspersky Endpoint Security
ed
ut
3.1 Требования для установки Сервера администрирования
r ib
st
di
re
or
e d
pi
В этом разделе мы поговорим про инсталляционные пакеты, из чего они состоят и как создаются.
Затем рассмотрим процесс установки Агента администрирования и Kaspersky Endpoint Security.
Примерный список поддерживаемых клиентских операционных систем выглядит так:

co
— Microsoft Windows Server 2008 R2 Standard SP1,

— Windows 7 SP1 x86 | x64 Home | Professional | Enterprise | Ultimate.
— Windows 8 x86 | x64 Pro | Enterprise,
be
— Windows 8.1 x86 | x64 Pro | Enterprise,

— Windows 10 x86 | x64 Home | Pro | Education | Enterprise,
— Windows 11 Home | Pro | Education | Enterprise.

to
https://support.kaspersky.com/KESWin/12.1/ru-RU/127972.htm
t
No
73
ed
ut
r ib
st
di
re
or
Примерный список поддерживаемых серверных операционных систем выглядит так:
— Windows Small Business Server 2011 x64 Essentials | Standard,
— Windows MultiPoint Server 2011 x64,
d
— Windows Server 2008 R2 SP1 Foundation | Standard | Enterprise | Datacenter,

— Windows Server 2012 Server Core | Foundation | Essentials | Standard | Datacenter,
e
— Windows Server 2012 R2 Server Core | Foundation | Essentials | Standard | Datacenter,

pi
— Windows Server 2016 Server Core | Essentials | Standard | Datacenter,

— Windows Server 2019 Server Core | Essentials | Standard | Datacenter,
co
— Windows Server 2022 Server Core | Standard | Datacenter.

be
t to
No
74
ed
ut
r ib
st
di
re
or
Поддерживаются следующие терминальные серверы Microsoft Remote Desktop Services:
— Windows Server 2008 R2 SP1,
— Windows Server 2012,
d
— Windows Server 2012 R2,

e

pi
— Windows Server 2022.
И платформы виртуализации:
co
— VMware Workstation 17.0 Pro,

— VMware ESXi 8.0a,
— Microsoft Hyper-V Server 2019,
— Citrix Virtual Apps and Desktops 7 2212,
be
— Citrix Provisioning 2212,

— Citrix Hypervisor 8.2 Cumulative Update 1.
Для корректной работы с Citrix PVS нужно устанавливать Kaspersky Endpoint Security c
параметром /pCITRIXCOMPATIBILITY=1. В Kaspersky Endpoint Security для Windows этот
to
параметр можно включить в свойствах инсталляционного пакета.
Чтобы установить Kaspersky Endpoint Security, нужны права администратора.

t

No
— Процессор с частотой не менее 1 ГГц (1.4 ГГц для 64-битных систем),

— Оперативная память (RAM):
— 1 GB для x86,
75
— 2 GB для x64,
ed
— 2 GB для серверов.
ut
https://support.kaspersky.com/KESWin/12.1/ru-RU/127972.htm
ib
3.2 Требования для установки Агента администрирования
r
st
di
re
or
e d
pi
co
Агент администрирования Kaspersky Security Center поддерживает установку на все системы,

начиная с Windows XP.
Чтобы установить Агент администрирования, нужны права администратора.

be

— Процессор с частотой не менее 1 ГГц (1.4 ГГц для 64-битных систем);
— 512 МБ оперативной памяти;
to

t
No
76
3.3 Инсталляционные пакеты
ed
ut
r ib
st
di
re
or
Инсталляционные пакеты в Kaspersky Security Center — это готовые к установке продукты. В

d
пакете объединяются инсталляционные файлы, параметры установки и некоторые параметры

работы продукта. Параметры инсталляционного пакета призваны заменить Мастера установки и
e
Мастера первоначальной настройки продукта. У каждого продукта свои настройки.

Инсталляционные пакеты используются в Мастере и задачах удаленной установки, а также при
создании автономных пакетов установки.
pi
Основные необходимые пакеты для внедрения системы защиты:

— Пакет Агента администрирования — создается автоматически.
co
— Пакет Kaspersky Endpoint Security для Windows — создается Мастером первоначальной

настройки.
Список имеющихся пакетов доступен в разделе Операции | Хранилища | Инсталляционные

пакеты. Кроме названия и версии устанавливаемого приложения, у каждого пакета есть
be
уникальное имя. Эти данные, а также язык пакета отображаются в виде таблицы. Если открыть
свойства пакета, то можно увидеть его размер — суммарный размер всех файлов.
Пакеты можно создавать, изменять и удалять. Если пакет используется в задаче установки,
удалить его нельзя. Сначала удалите все задачи, которые используют пакет, затем удаляйте
пакет.
to
В Kaspersky Security Center можно создавать и использовать инсталляционные пакеты разных

видов и назначения. С помощью инсталляционных пакетов можно устанавливать операционные
системы, сторонние программы, обновления и исправления к сторонним программам. С помощью
инсталляционных пакетов можно также запускать на компьютерах скрипты и утилиты. Об
t
использовании этих видов инсталляционных пакетов больше говорится в курсе KL 009 Systems
No
Management.
77
Свойства инсталляционного пакета Kaspersky Endpoint Security
ed
Общие свойства
ut
r ib
st
di
re
or
d
У каждого пакета есть общие свойства и настройки, которые зависят от программы, для которой
e
создан пакет. Чтобы увидеть настройки пакета, нужно чтобы в консоли был установлен плагин
программы. Плагин можно загрузить прямо из интерфейса Web Console, раздел Параметры
pi
консоли | Веб-плагины.
В общих свойствах пакета повторяется информация о версии программы и размере файлов, а

co
также приводится путь к файлам пакета в общей папке Сервера администрирования. При
необходимости, сотрудник ИТ–департамента может загрузить инсталляционные файлы по сети и
выполнить локальную установку программы.
be
t to
No
78
ed
ut
r ib
st
di
re
or
В общих свойствах пакета Kaspersky Endpoint Security есть кнопка Обновить базы. Она обновляет
базы сигнатур внутри пакета.
Чтобы Kaspersky Endpoint Security мог работать сразу после установки, в состав инсталляционных
файлов входят базы. Со временем они устаревают. Это не является большой проблемой,
d
поскольку сразу после установки Kaspersky Endpoint Security запустится задача обновления и
загрузит новые базы.
e
Но в некоторых случая целесообразно, чтобы установка выполнялась с максимально свежими

pi
базами. Например, сотрудник ИТ может взять с собой автономный пакет установки для внедрения
на компьютерах небольшого офиса с плохим доступом в Интернет. В этом случае не столь важен
размер пакета, который сотрудник принесет с собой на сменном носителе. Важнее уменьшить
co
трафик задачи обновления, который может составить несколько десятков мегабайт, если базы в
пакете старые.
Для таких случаев предусмотрена возможность обновить базы в самом пакете перед установкой.
Дата последнего такого обновления, к сожалению, не видна в Web Console, но это можно
посмотреть в MMC-консоли, в общих свойствах пакета.
be
Кнопка Обновить базы копирует в пакет полный набор баз для Kaspersky Endpoint Security из
хранилища Сервера администрирования. В исходной версии пакета базы представлены архивом
bases.cab. После обновления баз кнопкой Обновить базы, архив заменяется папкой bases.
Суммарный объем папки сравним с размером архива, поскольку файлы баз зашифрованы и не
поддаются сжатию.
to
Kaspersky Security Center автоматически обновляет базы в пакетах после загрузки новых
обновлений в хранилище. Но делает это только один раз для каждого пакета. Если базы в пакете
уже однажды были обновлены автоматически, при последующей загрузке обновлений в
хранилище базы они больше автоматически не обновляются.
t
No
79
Компоненты Kaspersky Endpoint Security
ed
ut
r ib
st
di
re
or
Параметры пакета Kaspersky Endpoint Security дублируют параметры интерактивной установки.

Это в первую очередь список компонентов и папка размещения программных файлов.
d
Компоненты, доступные для установки:

e
— Продвинутая защита:
pi
— Анализ поведения;
— Защита от эксплойтов;
— Откат вредоносных действий;
— Предотвращение вторжений (только для рабочих станций).
co
— Базовая защита:
— Защита от файловых угроз;
— Защита от почтовых угроз;
— Защита от веб-угроз;
be
— Защита от сетевых угроз;

— Сетевой экран;
— Защита от атак BadUSB;
— Поставщик AMSI-защиты.
— Контроль безопасности:
to
— Веб-Контроль;
— Контроль программ;
— Контроль устройств;
— Адаптивный контроль аномалий (только для рабочих станций);
— Анализ журналов (только для серверов);
t
— Мониторинг файловых операций (только для серверов).

No
— Шифрование данных:
— Шифрование файлов (только для рабочих станций);
— Полнодисковое шифрование;
80
— Шифрование съемных дисков (только для рабочих станций).
ed
— Detection and Response:
— Endpoint Detection and Response Optimum.
По умолчанию выбраны компоненты, соответствующие Стандартной установке. При этом нужно
ut
помнить, что, хотя пакет может быть установлен на любую поддерживаемую операционную
систему, многие компоненты работают только на рабочих станциях или только на серверах.
ib
Несмотря на то, что настройки компонента Предотвращение вторжений отображаются в
интерфейсе Kaspersky Endpoint Security на серверах, компонент на самом деле не
устанавливается. Kaspersky Endpoint Security на серверах не контролирует активность программ,
и, в частности, не блокирует запуск программ, имеющих статус Недоверенные. Настройки
r
Предотвращения вторжений отображаются на серверах потому, что часть этих настроек
st
относится к работе компонента Сетевой экран. Подробнее о компонентах Предотвращение
вторжений и Сетевой экран рассказывается в Части 2 этого курса.
Кроме компонентов устанавливаются также локальные задачи. Они недоступны для выбора в
di
свойствах пакета и устанавливаются на любые операционные системы:
— Обновление,
re
— Откат обновления,
— Проверка целостности,
— Задачи поиска вирусов:
— Полная проверка;
— Проверка важных областей;
or
— Выборочная проверка;
— Проверка из контекстного меню.
e d
pi
co
be
t to
No
У инсталляционного пакета есть свой статус, он показывает важность выбранных для установки
компонентов Kaspersky Endpoint Security. Какие компоненты важны, а какие нет, определяют
специалисты Лаборатории Касперского.
81
Если какие-то важные компоненты случайно будут отключены в инсталляционном пакете, он
ed
изменит статус и выдаст предупреждение.
Конечно, администратор может сознательно отключить установку любых компонентов, в таком

случае ему просто не нужно обращать внимание на статус инсталляционного пакета.
ut
Параметры установки Kaspersky Endpoint Security
r ib
st
di
re
or
e d
pi
По умолчанию Kaspersky Endpoint Security устанавливается в

папку %ProgramFiles(x86)%\Kaspersky Lab\Kaspersky Endpoint Security for Windows.
co
При желании администратор может изменить этот путь на любой другой.
Администраторы, часто использующие интерфейс командной строки, могут включить флаг

автоматического добавления папки установки в переменную среды %PATH%. Тогда они смогут
вызывать команды управления продуктом просто через avp.com, без необходимости указывать
полный путь.
be
В пакете есть два дополнительных параметра, имеющих статус настроек совместимости. Один из
них — Не защищать процесс установки программы — отключает самозащиту в процессе
установки. Самозащита не дает менять инсталляционные файлы сторонним программам, в
первую очередь вредоносным. Она также блокирует доступ к папке, куда устанавливаются файлы
to
Kaspersky Endpoint Security, и к разделу реестра с ключами программ Лаборатории Касперского.

Иногда самозащита конфликтует со сторонними программами, например, с агентами резервного
копирования, тогда ее приходится отключать.
Второй параметр — Обеспечить совместимость с Citrix Provisioning Services. Если вы хотите

t
установить Kaspersky Endpoint Security на образ для виртуальных машин в среде Citrix PVS,
включите эту опцию.
No
82
ed
ut
r ib
st
di
re
or
Еще одним параметром является Конфигурационный файл. Этот файл задает параметры
работы Kaspersky Endpoint Security сразу после установки.
Конфигурационный файл заменяет собой Мастер первоначальной настройки Kaspersky Endpoint

Security. Если конфигурационный файл не задан, продукт будет работать с заводскими
d
настройками. Впрочем, при первом же соединении Агента с Сервером будет загружена политика
Kaspersky Endpoint Security, которая переопределит настройки защиты. Так что конфигурационный
e
файл нужен, если политика форсирует не все настройки продукта, или для использования на
компьютерах, которые не подключены к Серверу администрирования.
pi
Чтобы создать конфигурационный файл, установите Kaspersky Endpoint Security на компьютер, но

не подключайте его к Серверу администрирования, иначе групповая политика не даст вам менять
co
локальные настройки.
Настройте Kaspersky Endpoint Security через локальный интерфейс, как вам нужно, и сохраните
эти настройки в файл: в окне Настройка перейдите в раздел Управление параметрами.
Затем этот файл можно импортировать в инсталляционный пакет.

be
t to
No
83
Ключ Kaspersky Endpoint Security
ed
ut
r ib
st
di
re
or
Kaspersky Endpoint Security не работает без активации. При интерактивной установке ключ
задается в ходе выполнения Мастера первоначальной настройки. При удаленной установке есть
d
несколько способов активировать приложение. Один из них — указать файл ключа в свойствах
инсталляционного пакета.
e
В свойствах пакета можно добавить только ключ, код добавить нельзя.

pi
Кроме этого, ключ или код можно распространить специальной задачей на выбранные
компьютеры.
co
Третий вариант — наиболее оптимальный и рекомендуемый — включить опцию Автоматически

распространяемый ключ в свойствах ключа или кода.
В крайнем случае код или ключ можно добавить через локальный интерфейс Kaspersky Endpoint
be
Security.
t to
No
84
Удаление несовместимых программ
ed
ut
r ib
st
di
re
or
По умолчанию инсталлятор Kaspersky Endpoint Security ищет и удаляет несовместимые

программы: сторонние антивирусы и сетевые экраны.
d
Список программ, которые может удалить Kaspersky Endpoint Security, довольно большой, но не
e
исчерпывающий. В нем, как правило, нет самых свежих версий сторонних средств защиты, а также
нет программ, которые не слишком широко распространены.
pi
Если Kaspersky Endpoint Security некорректно удаляет несовместимую программу, отключите

автоматическое удаление, и удалите программу самостоятельно.
co
be
t to
No
85
Свойства пакета Агента администрирования
ed
Параметры установки Агента администрирования
ut
r ib
st
di
re
or
d
Общие сведения о пакете Агента администрирования такие же, как и у Kaspersky Endpoint Security,
e
но без кнопки Обновить базы. У Агента администрирования нет баз.

pi
В разделе Параметры можно изменить каталог установки, а также задать пароль на

деинсталляцию. Если каталог не указан в явном виде, используется стандартное значение
— %ProgramFiles%\Kaspersky Lab\NetworkAgent
co
В свойствах пакета можно включить защиту Агента от деинсталляции и указать пароль. В этом
случае даже пользователь с правами администратора не сможет удалить Агент штатными
средствами, не зная пароля. Впрочем, при большом желании пользователь с правами
администратора всегда может привести Агент в неработоспособное состояние.
be
Если вы не включили защиту паролем в инсталляционном пакете Агента, включите ее в политике

Агента, где она тоже есть.
Опция Защитить службу Агента администрирования от неавторизованного удаления,

остановки или изменения параметров работы позволяет отключить возможность управлять
службой на локальном компьютере.
to
В Kaspersky Security Center все обновления по умолчанию имеют статус Не определено и по

умолчанию не устанавливаются. Если включить опцию Автоматически устанавливать
применимые обновления и патчи для компонентов со статусом "Не определено", то все
загруженные обновления для компонентов Сервера администрирования, будут установливаться
t
автоматически.
No
86
Параметры подключения Агента к Серверу
ed
ut
r ib
st
di
re
or
В разделе Подключение в свойствах инсталляционного пакета Агента администрирования

расположены параметры подключения к Серверу администрирования. Эти же настройки
d
спрашивает Мастер установки Агента при выполнении локальной инсталляции в интерактивном

режиме.
e
Основные параметры подключения — это адрес и порты Сервера администрирования. По

pi
умолчанию используются те, которые задавались при установке Сервера администрирования.

Если между клиентскими компьютерами и Сервером администрирования есть прокси-сервер, его
параметры тоже можно задать в свойствах инсталляционного пакета. Эти стандартные параметры
включают адрес и порт прокси-сервера, а также имя и пароль для аутентификации. Следует иметь
co
в виду, что эти параметры будут использованы Агентами при подключении к Серверу, а не
наоборот.
be
t to
No
87
ed
ut
r ib
st
di
re
or
Когда соединение с клиентским компьютером инициируется Сервером, например, для экстренного
применения политики, Сервер обращается к Агенту администрирования через UDP-порт. Чтобы
брандмауэр Windows не блокировал поступающие на этот порт запросы, Агент может
автоматически создать необходимые исключения. Такое поведение Агента регулируется опцией
Открывать порты Агента администрирования в брандмауэре Microsoft Windows. По
d
умолчанию Агент принимает соединения на UDP-порт 15000. Значение можно поменять как в
свойствах пакета, так и позже в политике Агента.
e
Как и Консоль администрирования, Агенты могут связываться с Сервером по шифрованному (SSL)

pi
или нешифрованному каналу. По умолчанию используется только SSL-подключение. При этом

Агенты автоматически загружают и используют сертификат Сервера администрирования.
Возможность задать сертификат вручную может использоваться в сетях с повышенными
требованиями к безопасности, чтобы исключить вариант подмены Сервера администрирования.
co
Дополнительные параметры в инсталляционном пакете Агента востребованы скорее в сетях со

сложной инфраструктурой. Они рассмотрены в курсах KL 009. Systems Management и KL 302.
Kaspersky Endpoint Security and Management. Масштабирование.
be
t to
No
88
Создание инсталляционных пакетов
ed
ut
r ib
st
di
re
or
Инсталляционных пакетов, входящих в стандартную поставку Kaspersky Security Center, вполне

d
достаточно для организации защиты в большинстве сетей. Создание дополнительных пакетов

может потребоваться в следующих случаях:
e
— Вышла новая версия Kaspersky Endpoint Security. Для обновления версии, как и для
первоначальной установки, нужен инсталляционный пакет. Администратор может создать
pi
пакет самостоятельно или загрузить новую версию Kaspersky Security Center, включающую
обновленную версию пакета, и переустановить Сервер администрирования поверх
существующего (все настройки сохранятся).
co
— Нужно выполнить удаленную установку продукта Лаборатории Касперского, не входящего

в стандартную поставку Kaspersky Security Center, например, Kaspersky Security для
Windows Server. Такой пакет нужно создавать вручную.
— В разных частях сети установку нужно выполнять с разными параметрами. Например,
согласно плану внедрения, часть компьютеров может не нуждаться в компонентах Защита
be
от веб-угроз и Защита от почтовых угроз. Чтобы иметь возможность выполнять

внедрение параллельно на обе категории компьютеров, нужно создать дополнительный
инсталляционный пакет с нестандартными настройками.
— Если нужно установить стороннее приложение из базы Лаборатории Касперского,
например, последнюю версию браузера.
to
— Также можно создать инсталляционный пакет для любого исполняемого файла, чтобы
запускать его на управляемых компьютерах.
Чтобы создать инсталляционный пакет, нажмите кнопку Добавить в разделе Операции |

Хранилища | Инсталляционные пакеты. После этого открывается список доступных
t
дистрибутивов различных версий и локализаций.

No
89
ed
ut
r ib
st
di
re
or
Администратору не нужно самому искать и загружать инсталляционные файлы. Kaspersky Security
Center отслеживает текущие версии приложений Лаборатории Касперского и некоторые сторонние
приложения, и позволяет администратору создавать инсталляционные пакеты прямо из
дистрибутивов, доступных на серверах Лаборатории Касперского.
e d
pi
co
be
t to
No
90
Для поиска нужного приложения среди огромного количества лучше всего воспользоваться
ed
фильтром, в котором указать хотя бы название и язык.
Kaspersky Security Center управляет многими программами Лаборатории Касперского. А список

обновлений содержит не только новые версии программ, но и обновления к ним, новые версии
плагинов, разные локализации одной и той же программы. В итоге список получается длинный.
ut
Чтобы найти то, что нужно, используйте фильтр. В фильтре можно выбрать, например:
— Тип программы:
ib
— Инструменты управления — компоненты Kaspersky Security Center.
— Рабочие станции — программы для защиты рабочих станций. Сюда относится
r
Kaspersky Endpoint Security для Windows.
st
— Файловые сервера и системы хранения данных — программы для защиты серверов и
хранилищ. Сюда относится, например, Kaspersky Security для Windows Server.
— Виртуальные среды — разные версии Kaspersky Security для виртуальных сред.
di
— Мобильные устройства — программы Лаборатории Касперского для смартфонов и
планшетов Android и iOS.
— Банкоматы и POS-системы — Kaspersky Embedded Systems Security.
re
— Тип обновления:
— Полный дистрибутив;
— Плагин для управления;
— Обновление программы.
or
— Язык
После того, как вы примените фильтр, в окне останутся только обновления, которые
удовлетворяют условиям. Вы также можете сортировать результаты по имени, типу, языку и
d
другим параметрам.
e
pi
co
be
t to
No
91
Надо кликнуть на нужный дистрибутив и нажать кнопку Загрузить и создать пакет — все
ed
остальное Сервер администрирования выполнит автоматически: загрузит файлы и создаст из них
инсталляционный пакет.
Индикатор выполнения остановится примерно на 85% и будет ждать, пока администратор примет
лицензионное соглашение.
ut
Что делать перед установкой
r ib
st
di
re
or
e d
pi
Перед тем, как устанавливать Kaspersky Endpoint Security на компьютеры, подготовьтесь:

co
— Дайте серверу время обнаружить компьютеры — тогда не придется искать и вводить

имена или адреса.
— Подготовьте независимый список компьютеров — Сервер может обнаружить не все
компьютеры, лучше иметь под рукой эталонный список, чтобы отмечать в нем прогресс.
— Узнайте адреса компьютеров — если Сервер администрирования не обнаружил
be
компьютер, но вы знаете его адрес, вы все равно сможете запустить удаленную установку.
— Узнайте имена и пароли администраторов — если компьютеры в домене, достаточно
знать пароль администратора домена. На компьютерах вне домена все равно нужно знать
пароль администратора и для удаленной, и для локальной установки.
to
— Выясните, есть ли на компьютерах сторонние антивирусы, и какие — Kaspersky Endpoint

Security может не обнаружить и не удалить сторонние антивирусы, и тогда вам придется
удалить их самостоятельно.
— Если компьютеров много, разбейте их на этапы установки — чем больше компьютеров,
тем с большим количеством проблем вы столкнетесь, тем дольше вы будете их решать, и
t
тем дольше отдельные пользователи будут простаивать.

No
— Попробуйте разные методы установки в тестовой среде — сможете обнаружить как

минимум часть из тех проблем, которые потом возникнут в сети, и сможете решить, как их
92
быстро устранить или вообще обойти. Выберите методы установки, которые создают
ed
меньше проблем.
Методы установки и их особенности
ut
r ib
st
di
re
or
e d
Есть разные способы установить Kaspersky Endpoint Security, каждый со своими особенностями и
преимуществами.
pi
— Удаленная установка с помощью Kaspersky Security Center.
Не нужно ходить к каждому компьютеру, можно устанавливать на много компьютеров

co
одновременно, что экономит время. Установку можно начать в любой момент и получить первые
результаты уже через считанные минуты. Однако нужно знать пароль администратора на
компьютерах, и нужно, чтобы общие папки компьютеров были доступны по сети. Часто сетевые
экраны или настройки безопасности Windows блокируют доступ к общим папкам.
be
— Установка через Active Directory.
Также не нужно ходить к компьютерам и можно устанавливать на много сразу. Более того, не
нужен доступ к общим папкам компьютеров и пароли администратора на компьютерах.
Компьютеры сами загружают и устанавливают программы.
to
С другой стороны, компьютеры должны быть в домене и администратору нужны права в домене,
чтобы опубликовать пакет. Компьютеры начинают установку не сразу, а только при следующем
входе в домен, т.е. при следующей перезагрузке.
— Установка сторонними средствами.

t
No
Администраторы устанавливают не только Kaspersky Endpoint Security, и у них вполне могут быть
сторонние средства для установки и управления программами. Особенности зависят от
конкретного средства, но как правило администратор может установить программы удаленно на
много компьютеров сразу.
93
— Локальная установка из автономного пакета.
ed
Ни один из методов удаленной установки не гарантирует успех на 100% компьютеров.
Компьютеры могут быть не в домене, их общие папки могут быть закрыты сетевым экраном и у
администратора может не быть сторонних средств управления компьютерами. Иногда проще
прийти к компьютеру и установить программу локально, чем добиться того, чтобы сработала
ut
удаленная установка.
Автономные пакеты в Kaspersky Security Center экономят время при локальной установке:
ib
администратору не нужно проходить Мастер установки и настраивать параметры, нужно просто
запустить инсталлятор и подождать.
Выполняйте установку удаленно тем методом, который лучше подходит для вашей сети.
r
st
На тех компьютерах, где удаленная установка не удалась, устанавливайте локально с помощью
автономных пакетов.
di
Мастер удаленной установки
re
or
e d
pi
co
be
В Kaspersky Security Center есть много способов запустить удаленную установку. Они все
используют один и тот же базовый механизм. Разница между способами заключается в количестве
настроек и в том, где в консоли ими можно воспользоваться.
to
Запустить Мастер удаленной установки можно разными способами:

— Из списка инсталляционных пакетов — выбрать нужный пакет и нажать Развернуть.
— Из списка устройств — выбрать нужные устройства, нажать Новая задача и выбрать тип
t
задачи Удаленная установка программы.

— Из списка задач — нажать Добавить и выбрать тип задачи Удаленная установка
No
программы.
— Отдельный Мастер — раздел Обнаружение устройств и развертывание |
Развертывание и назначение | Мастер развертывания защиты.
94
Кроме Мастера можно воспользоваться режимом автоматической установки в группах
ed
Выбор метода удаленной установки
ut
r ib
st
di
re
or
e d
На первом шаге Мастер предлагает выбрать метод установки, хотя метод тут один — С помощью
задачи удаленной установки.
pi
Вторая опция позволяет создать автономный пакет, который нужно будет устанавливать вручную
на каждом компьютере.
co
be
t to
No
95
ed
ut
r ib
st
di
re
or
Даже если нужно установить только Kaspersky Endpoint Security, Мастер все равно попросит
указать пакет Агента администрирования, этот шаг обязательный и пропустить его нельзя.
Однако если Агент уже установлен, то повторно он не переустановится.

d
Выбор компьютеров
e
pi
co
be
t to
No
96
Затем нужно выбрать, на какие компьютеры устанавливать инсталляционный пакет.
ed
В Мастере можно выбрать управляемые компьютеры, группы компьютеров или отдельные
компьютеры.
Если вы запустили Мастер сразу после того, как установили Сервер администрирования, в группах
ut
у вас есть только один компьютер — сам Сервер администрирования. Все остальные компьютеры,
которые обнаружил Сервер администрирования, находятся в разделе Обнаружение устройств |
Нераспределенные устройства. Еще могут быть компьютеры, которые Сервер
ib
администрирования не обнаружил: их нет нигде в консоли.
Зачем тогда Мастер предлагает выбирать группы, если в них нет компьютеров? Например, если
перед установкой защиты вы импортировали структуру компьютеров из Active Directory. Тогда у
r
вас уже есть группы, наполненные компьютерами, и вы можете устанавливать Kaspersky Endpoint
st
Security по группе за раз. Как импортировать группы и компьютеры из Active Directory, читайте в
Главе 4 этой части.
Вернемся к сценарию, когда у вас нет групп. Чтобы выбрать компьютеры из списка
di
Нераспределенные устройства или указать адреса необнаруженных компьютеров,
переключитесь на опцию Выбор устройств для установки.
re
Как будет видно чуть позже, Мастер удаленной установки в результате собранных сведений
создает задачу удаленной установки. Если на этом шаге выбрать группу, мастер создаст
групповую задачу, если выбрать компьютеры, мастер создаст задачу для наборов компьютеров.
Если выбрать опцию Выбор устройств для установки | Устройства, мастер показывает все
or
обнаруженные компьютеры: и те, которые уже в группах в узле Управляемые устройства, и те,
которые еще в узле Нераспределенные устройства. В узле Нераспределенные устройства
компьютеры сгруппированы в домены и рабочие группы.
Чтобы выбрать компьютеры, поставьте возле них отметки. Если поставить отметку на группе,
d
домене или узле верхнего уровня, вы выберете сразу все компьютеры в группе, домене или узле.
e
Чтобы установить Kaspersky Endpoint Security на компьютеры, которые Сервер

администрирования не обнаружил, их нужно добавить вручную по IP-адресу или имени
компьютера. Чтобы ввести сразу много адресов, укажите диапазон адресов.
pi
co
be
t to
No
97
Способ установки
ed
ut
r ib
st
di
re
or
На следующем шаге Мастер спрашивает, как выполнять удаленную установку. Есть два способа:
d
— С помощью Агента администрирования.

e
Агент администрирования уже должен быть на компьютере и должен быть подключен к этому
Серверу. Сервер посылает команду Агенту, Агент загружает файлы пакетов во временную папку и
pi
выполняет установку от имени локальной системы.
Имя и пароль администратора указывать не нужно, доступ к общим папкам на компьютере не

нужен.
co
— Средствами операционной системы.
Нужен доступ к общим папкам компьютера по сети. Сервер администрирования копирует файлы
пакетов в системную общую папку \\<имя компьютера>\admin$.
be
Затем Сервер использует протокол Remote Procedure Call (RPC), чтобы удаленно запустить
служебный процесс, который выполнит установку и сообщит результат на Сервер.
Чтобы скопировать файлы и запустить установку, нужно указать имя и пароль администратора
компьютера.
to
Мастер всегда пытается выполнить установку с помощью Агента администрирования. Если Агент
на компьютере еще не установлен, применяется установка средствами Windows.
При установке на компьютер Kaspersky Endpoint Security и Агента администрирования, Мастер

t
сначала устанавливает Агент средствами Windows, а затем устанавливает Kaspersky Endpoint

No
Security с помощью Агента.
98
Перезагрузка компьютера
ed
ut
r ib
st
di
re
or
Мастер предлагает выбрать параметры перезагрузки, однако в большинстве случаев при

установке Агента и Kaspersky Endpoint Security перезагрузка не нужна. При установке Агента она
d
не нужна никогда. При установке Kaspersky Endpoint Security необходимость в перезагрузке

возникает, если на компьютере до этого была установлена другая защитная программа.
e
Выбор по умолчанию — Спросить у пользователя — годится для установки на рабочие станции.

pi
При установке на сервера лучше выбрать Не перезагружать. За сервером, как правило, нет
пользователя, и ответить на запрос будет некому.
Чтобы пользователь не тянул с перезагрузкой, по умолчанию задача показывает предупреждение

co
каждые 5 минут. И через 30 минут принудительно перезагружает компьютер. Администратор

может изменить эти интервалы и текст предупреждения.
be
t to
No
99
Удаление несовместимых программ
ed
ut
r ib
st
di
re
or
Одной из возможностей программы установки Kaspersky Endpoint Security является обнаружение и

удаление с компьютера несовместимых программ. Имеются в виду средства защиты —
d
антивирусы, сетевые экраны и т.п. — совместное использование которых с Kaspersky Endpoint

Security крайне не рекомендуется, т.к. может привести к серьезным проблемам в работе
e
пользователей и компьютеров.
pi
В общем случае администратор должен сам знать, какие потенциально несовместимые средства
защиты имеются в сети, и должен заранее побеспокоиться об их удалении. Деинсталляцию
рекомендуется выполнять штатными средствами соответствующих программ или средствами
Windows. Возможности инсталлятора Kaspersky Endpoint Security стоит рассматривать лишь как
co
защиту от непредвиденных ситуаций.
Обнаружение несовместимых программ отключить нельзя, т.к. оно призвано защитить от

конфликтных ситуаций.
be
t to
No
100
Перемещение нераспределенных компьютеров
ed
ut
r ib
st
di
re
or
Установка Агента и средств защиты предполагает, что компьютеры после установки должны быть
управляемыми, т.е. использовать настройки политик и задач с Сервера администрирования. Для
d
этого компьютеры должны быть в списке Управляемые устройства, а не в списке

Нераспределенные устройства.
e
Если на компьютере есть Агент администрирования, но компьютер не входит в группу

pi
администрирования, такой компьютер не пересылает свои события на Сервер

администрирования, не отображается в отчетах и не использует заданные администратором
централизованные настройки. Он является управляемым только номинально, но не фактически.
co
Если администратор выбирает компьютеры не группами, а по отдельности, Мастер установки

дополнительно запрашивает, нужно ли перемещать компьютеры после установки в группу
администрирования, и если да, то в какую.
Выбор влияет только на нераспределенные компьютеры. Если в список установки попали и

be
нераспределенные, и управляемые компьютеры, управляемые останутся на своих местах.

t to
No
101
Выбор учетной записи
ed
ut
r ib
st
di
re
or
Первоначальная установка Агента выполняется средствами Windows и нуждается в учетной

записи для доступа к компьютерам. Мастер установки позволяет задать несколько учетных
d
записей, на случай если пароли администратора на компьютерах не совпадают. Попытки доступа

от имени разных учетных записей выполняются в порядке перечисления. Если одна учетная
e
запись не подходит, используется следующая и так до конца списка.

pi
Перед использованием явно заданных учетных записей всегда выполняется попытка установки от
имени учетной записи Сервера администрирования. Можно считать, что она незримо присутствует
в самом начале списка. Впрочем, если при инсталляции Сервера администратор использовал
co
настройки по умолчанию, учетная запись службы Сервера для удаленной установки не подойдет.
В результате установки с настройками по умолчанию служба Сервера запускается от имени
учетной записи KL-AK-*, которая создается автоматически и наделяется правами локального
администратора. На удаленных компьютерах она прав не имеет.
Таким образом, в большинстве случаев учетную запись для доступа к компьютерам задавать
be
нужно. В доменной среде для использования при удаленной установке удобно использовать
учетную запись администратора домена. В крупных компаниях, как правило, есть специальная
учетная запись для выполнения удаленной установки, либо необходимые права есть у учетных
записей персонала ИТ.
t to
No
102
Завершение Мастера
ed
ut
r ib
st
di
re
or
На последнем шаге Мастер позволяет запустить задачу немедленно. Часто это именно то, что вы
и так собираетесь сделать. Чтобы запустить задачу, отметьте опцию Запустить задачу после
d
завершения работы мастера.

e
pi
co
be
t to
No
103
Задача удаленной установки
ed
ut
r ib
st
di
re
or
Мастер установки, исходя из заданных администратором настроек, создает и немедленно

d
запускает задачу удаленной установки Kaspersky Endpoint Security и Агента администрирования на

выбранные компьютеры. Отслеживать выполнение задачи можно в разделе Устройства | Задачи.
e
Установка может ожидать выполнения, выполняться, ожидать перезагрузки, завершиться успешно

или с ошибкой. Количество компьютеров в каждом из состояний показывается в виде секторной
pi
диаграммы и таблицы.
co
be
t to
No
104
ed
ut
r ib
st
di
re
or
Чтобы посмотреть ход выполнения на каждом отдельном компьютере, нужно отметить компьютер
и выполнить команду История устройства.
Журнал выполнения представляет собой историю изменения статуса задачи на компьютере. При
этом общий статус может оставаться таким же, а меняться только его описание. Так в задаче
d
установки журнал может содержать несколько записей со статусом Выполняется, где первая
будет говорить о начале копирования файлов на удаленный компьютер, вторая о запуске
e
программы установки, третья о выполнении установки.

pi
Характерная история выполнения установки на отдельном компьютере показывает, что сначала

устанавливается Агент, а потом Kaspersky Endpoint Security. При этом для установки Агента
файлы копируются в общую папку admin$ на компьютере, а для установки Kaspersky Endpoint
co
Security Сервер администрирования ожидает соединения с установленным Агентом.
Журналы установки сохраняются в \Windows\Temp:

— $klnagent-< дата и время >.log
— $klnagent-setup-< дата и время >.log
— kl-install-<дата и время>.log
be
— kl-setup-<дата и время>.log
— ucaevents.log
t to
No
105
ed
ut
r ib
st
di
re
or
Хотя пакет Kaspersky Endpoint Security один для всех версий Windows, результаты установки на
серверы и рабочие станции отличаются.
Компоненты, которые устанавливаются только на рабочие станции:

d
— Предотвращение вторжений;
— Адаптивный контроль аномалий;
e
— Шифрование файлов;
— Шифрование съемных дисков.
pi
Компоненты, которые устанавливаются только на серверы:

— Анализ журналов;
co
— Мониторинг файловых операций.

be
t to
No
106
3.4 Автономный пакет
ed
ut
r ib
st
di
re
or
Если на компьютеры не получается установить программы удаленно, часто проще не пытаться

d
устранить препятствия, а прийти к компьютеру и установить программы локально. Особенно если

таких компьютеров сравнительно мало.
e
Если устанавливать обычными программами установки, нужно проходить Мастер установки. Это
хоть и не слишком долго, но быстро надоедает, и легко опечататься, указывая адрес Сервера
pi
администрирования. Проще подготовить на Сервере администрирования автономный пакет со

всеми настройками, и устанавливать из него.
co
Автономный пакет в Kaspersky Security Center — это один файл installer.exe, который включает в
себя инсталляционные файлы и параметры установки продукта, например, Kaspersky Endpoint
Security. Автономный пакет может дополнительно включать инсталляционные файлы Агента
администрирования и параметры соединения с Сервером администрирования.
Такой пакет предназначен для локальной установки администраторами и сотрудниками IT, а также
be
пользователями, у которых есть достаточные для этого права с целью экономии времени и
снижения количества ошибок.
Очевидным преимуществом автономных пакетов является очень простая процедура установки. Во

время установки не нужно настраивать никакие параметры, все они уже включены в пакет. Это
to
экономит время и исключает ошибки, например, при указании адреса Сервера для подключения
Агента администрирования.
Кроме того, поскольку автономный пакет — это всего лишь один файл, с ним проще обращаться,
чем со стандартным дистрибутивом.
t
No
107
Создание автономного пакета
ed
ut
r ib
st
di
re
or
Автономные пакеты создаются из обычных инсталляционных пакетов, доступных на Сервере

d
администрирования в разделе Инсталляционные пакеты. Это делает специальный Мастер,

который перед созданием автономного пакета уточняет некоторые параметры установки.
e
pi
co
be
t to
No
108
Если создается автономный инсталляционный пакет Kaspersky Endpoint Security, Мастер
ed
предлагает включить в пакет установку Агента администрирования, чтобы защищенный компьютер
был немедленно подключен к Серверу администрирования.
Как и при удаленной установке, компьютеры после установки можно сразу переместить в
категорию управляемых. Оставлять защищенные компьютеры в категории нераспределенных
ut
смысла не имеет.
Этот шаг появляется в Мастере при выборке установки Агента администрирования совместно с
ib
основным пакетом.
Если кроме указанных параметров нужно изменить исходные параметры работы Kaspersky
Endpoint Security или состав устанавливаемых компонентов, это нужно сделать предварительно в
r
свойствах инсталляционного пакета, перед тем как запускать для него Мастер создания
st
автономного пакета установки. Параметры инсталляционных пакетов описаны раньше в этой
главе.
di
re
or
e d
pi
co
После уточнения параметров Мастер формирует файл installer.exe и помещает его в

be
специальный каталог PkgInst общей папки Сервера администрирования. Имя папки с файлом
installer.exe совпадает с именем пакета. Позже вы легко найдете пакет по сетевому пути:
\\<Имя Сервера>\KLSHARE\PkgInst\<Имя автономного пакета>\installer.exe
По умолчанию Сервер администрирования подписывает автономные пакеты своим сертификатом.

to
Это самоподписанный сертификат и Windows при запуске пакета покажет предупреждение.
При этом администратору предлагается три варианта дальнейших действий:

— Отправить ссылку на автономный пакет по электронной почте — Сервер
администрирования запускает почтовый клиент по умолчанию и автоматически
t
формирует тему и текст приглашения со ссылкой на расположение пакета в общей папке,

No
адреса получателей администратору нужно заполнить самостоятельно.
109
— Скопировать пример HTML-кода для размещения ссылки на веб-сайте — в буфер
ed
копируется фрагмент HTML-кода, который можно добавить на веб-страницу, чтобы на ней
отображалась ссылка на пакет.
— Загрузить автономный пакет.
ut
r ib
st
di
re
or
d
Впоследствии список созданных автономных пакетов можно открыть по кнопке Просмотреть

e
список автономных пакетов на странице Инсталляционные пакеты. В окне списка можно

удалить ненужные пакеты или повторить рассылку письма пользователям.
pi
Предлагаемая Мастером создания пакета ссылка для отправки по почте содержит путь к сетевой
папке Сервера администрирования. Если по ссылке попытается пойти пользователь, не входящий
co
в домен и не зарегистрированный на Сервере администрирования, он может не получить доступа.
Вместо ссылки на сетевую папку лучше использовать http-ссылку на инсталляционный пакет,

которую можно скопировать из свойств пакета. На Сервере администрирования имеется
встроенный веб-сервер, через который любой пользователь может скачать пакет. Каждый
автономный пакет получает уникальную ссылку, основанную на идентификаторе пакета.
be
Администратор может найти эту ссылку в свойствах пакета в общем списке автономных пакетов.
При повторном запуске Мастера создания автономного пакета из обычного пакета, для которого
автономный пакет ранее уже создавался, у администратора есть выбор: пересоздать автономный
пакет или создать отдельный новый автономный пакет.
t to
No
110
KL 002.12.1: Kaspersky Endpoint Security and Management. 4. Работа с группами управляемых устройств
4. Работа с группами управляемых устройств
ed
Теперь вы знаете все, что нужно, чтобы установить защиту на всех компьютерах сети:
ut
— Как выбрать компоненты и параметры установки Kaspersky Endpoint Security.
— Как установить Kaspersky Endpoint Security и Агент администрирования удаленно.
— Как создать автономный пакет для локальной установки.
— Как создать несколько разных пакетов с разными параметрами.
ib
— Как установить на обнаруженные и необнаруженные компьютеры.
В этом разделе мы поговорим про инструменты мониторинга:
r
— Как понять, какие программы установлены на каких компьютерах.
st
— Как понять, что установка в сети закончилась.
Для этого можно использовать результаты задач установки, а также отчеты, выборки компьютеров
di
и выборки событий.
Также посмотрим, как работает обнаружение компьютеров Сервером администрирования и как

можно организовать компьютеры в группы, чтобы упростить управление защитой.
4.1 Средства мониторинга внедрения

re
or
e d
pi
co
be
to
Результаты задачи или просмотр группы Управляемые устройства не обязательно дают полную
t
информацию о развертывании защиты в сети. Внедрение одной задачей на все компьютеры

No
характерно только для небольших сетей, как и управление всеми компьютерами, без разделения
на группы.
111
Для составления полной картины, естественным источником информации являются отчеты. На
ed
стадии внедрения полезны отчеты:
— Отчет о несовместимых программах — отчет имеет смысл запускать после развертывания
на компьютерах Агентов администрирования;
— Отчет о версиях программ Лаборатории Касперского;
ut
— Отчет о развертывании защиты.
Кроме того, полезными инструментами на этапе внедрения являются выборки:
ib
— Новые устройства в сети;
— Не установлена программа защиты;
— Нераспределенные устройства с Агентом администрирования.
r
Информация на экране Мониторинг в MMC-консоли
st
di
re
or
e d
pi
co
В MMC-консоли информация о развертывании защиты доступна сразу на главной вкладке

be
Мониторинг Сервера администрирования. В секции Развертывание приводится количество

управляемых компьютеров, не оснащенных Kaspersky Endpoint Security. Если их больше нуля,
отображается ссылка на выборку всех таких компьютеров.
Если в узле Нераспределенные устройства есть компьютеры с установленным Агентом

администрирования, это отражается в области Структура управления, со ссылкой на
to
соответствующую выборку компьютеров.
Компьютеры с Агентом администрирования должны быть в узле Управляемые устройства. Если

они находятся в узле Нераспределенные устройства, они не посылают события на Сервер
администрирования и не получают с Сервера задачи и политики.
t
No
Поэтому Сервер администрирования показывает такие компьютеры на экране мониторинг MMC-

консоли и в соответствующей выборке.
112
Информация на главном экране Web Console
ed
ut
r ib
st
di
re
or
Если говорить о Web Console, то, к сожалению, информация на главном окне довольно скудная.
d
Определить, на каких управляемых устройствах установлен Kaspersky Endpoint Security, а на каких

нет, так просто нельзя.
e
Приводится только список управляемых устройств, распределенных по статусу. Но статус

Критический может быть у устройства, на котором вообще не установлен Kaspersky Endpoint
pi
Security, а может быть у устройства, где Kaspersky Endpoint Security установлен, но по какой-то
причине не запущен.
co
Единственный плюс — возможность сразу попасть на список устройств, статус которых отличается
от OK, и изучить состояние этих устройств.
Отчеты
be
Отчеты доступны в разделе Мониторинг и отчеты на соответствующей вкладке — Отчеты.

t to
No
113
Отчет о версиях программ Лаборатории Касперского
ed
ut
r ib
st
di
re
or
Отчет о версиях установленных программ показывает количество установленных экземпляров

программ Лаборатории Касперского на управляемых компьютерах. В частности, количество
d
установленных Агентов администрирования, Серверов администрирования и экземпляров

Kaspersky Endpoint Security.
e
Различные версии (сборки) продуктов учитываются отдельно, что удобно при переходе на новую
pi
версию. В отчете хорошо видно, сколько компьютеров уже используют актуальные версии
программ, а сколько — еще старые.
Графическая часть отчета является визуализацией таблицы статистики, которая перечисляет

co
разные версии управляемых продуктов и количество установок каждой из них.
Таблица детализации приводит информацию по каждому компьютеру: какие продукты

установлены, каких версий и т.д.
be
t to
No
114
Отчет о развертывании защиты
ed
ut
r ib
st
di
re
or
Этот отчет делит компьютеры на три категории:

d
— Компьютеры с Агентом и средствами защиты;

— Компьютеры с Агентом, но без средств защиты;
— Компьютеры без Агента.
e
Компьютеры со средствами защиты, но без Агента попадают в последнюю категорию. Если Агент
pi
не установлен, Сервер администрирования не знает, есть ли на компьютере средства защиты. В

эту же категорию попадают компьютеры, на которых Агент установлен, но не подключен к Серверу
администрирования. Например, компьютеры, где Агенты используют неправильный адрес
co
Сервера.
Диаграмма и статистическая таблица приводят число компьютеров в каждой из категорий.

Таблица детализации на вкладке Подробнее, как и в отчете о версиях установленных программ,
приводит версию Агента и Kaspersky Endpoint Security на каждом из компьютеров.
be
Этот отчет особенно удобен, если для внедрения администратор сначала перенес все
компьютеры в группу управляемых, а потом начал внедрение с использованием задач. В этом
случае отчет явно показывает, сколько еще управляемых компьютеров не подключено к Серверу,
и сколько из подключенных еще не защищены Kaspersky Endpoint Security.
to
Если для внедрения администратор использует Мастер удаленной установки, и каждый раз
выбирает компьютеры из нераспределенных, этот отчет оказывается менее полезным.
Информация о нераспределенных компьютерах в отчет не включена.
t
No
115
4.2 Обнаружение компьютеров
ed
Как Kaspersky Security Center ищет компьютеры
ut
r ib
st
di
re
or
e d
В ходе работы Мастера удаленной установки или при создании задачи установки администратор
имеет возможность выбирать компьютеры из некоторого списка. Этот список формируется
pi
Сервером администрирования путем опроса сети. Опрос осуществляется периодически

несколькими разными способами:
— Опросом сети Microsoft;
co
— Опросом Active Directory;

— Опросом IP-подсетей.
Сеть опрашивает не служба Сервера администрирования, а служба Агента администрирования,

установленная на Сервере администрирования. Агенты администрирования на обычных
компьютерах сеть не опрашивают.
be
Результаты опроса отображаются на вкладке Обнаружение устройств и развертывание |

Обнаружение устройств отдельно для каждого метода обнаружения:
— IP-диапазоны — папками представлены IP-подсети.
to
— Windows-домены — компьютеры, обнаруженные в ходе опроса сети Windows. Рабочие

группы и домены представлены папками, в которых содержатся компьютеры.
— Active Directory — домены и организационные подразделения представлены папками, в
которых содержатся компьютеры.
t
В упрощенном виде найденные компьютеры отображаются на вкладке Обнаружение устройств и

No
развертывание | Нераспределенные устройства.
116
Один компьютер может отображаться в нескольких представлениях. Если компьютер обнаружен в
ed
домене HQ и его адрес 192.168.0.1, его будет видно и в узле Домены, и в узле IP-диапазоны в
соответствующих папках.
Администратор может изменить параметры опроса для каждого из методов. Для этого нужно
перейти на вкладку Обнаружение устройств и развертывание | Обнаружение устройств,
ut
выбрать нужный способ и воспользоваться командой Свойства. На этом же экране он может
запустить любой из опросов вручную
ib
Опрос сети Windows
r
st
di
re
or
e d
pi
co
Быстрый опрос
Сервер администрирования собирает списки компьютеров сети Windows точно так же, как это
делает сама операционная система. Когда пользователь открывает на компьютере сетевое
окружение, он видит список соседних компьютеров, сгруппированных в домены и рабочие группы.
be
Точно такой же список может получать и Сервер администрирования.
Этот способ опроса называется быстрым опросом сети Windows. В ходе такого сканирования
Сервер практически не создает нагрузки на сеть. За составление и предоставление списка
компьютеров отвечает служба Computer Browser. В каждом сегменте сети есть главный
компьютер, хранящий общий список и предоставляющий его по запросу. Чтобы получить список,
to
Серверу администрирования достаточно послать один запрос.
В последних версиях Windows служба Computer Browser по умолчанию отключена или вообще не
установлена. Если Сервер администрирования не может получить список компьютеров от службы
t
Computer Browser, он выполняет запрос в Active Directory и пытается получить список компьютеров
оттуда. Конечно, при условии, что Сервер администрирования входит в домен Active Directory.
No
Быстрый опрос выполняется раз в 15 минут. В результате быстрого опроса Сервер получает
список NetBIOS-имен компьютеров, доменов и рабочих групп.
117
Полный опрос
ed
При полном опросе Сервер администрирования пытает получить как можно больше информации о
каждом компьютере из результатов быстрого опроса.
ut
Для каждого имени, Сервер выполняет разрешение имени в IP-адрес, используя протоколы
NetBIOS, DNS и LLMNR. Для полученных адресов сервер выполняет обратное разрешение в имя,
и, если имя не совпадает с исходным, получает IP-адрес для нового имени.
Сервер проверяет, доступны ли IP-адреса, с помощью ICMP-запросов, и в конце пытается
ib
соединиться с компьютерами по протоколам SMB и RPC, чтобы выяснить операционную систему.
Все эти многочисленные запросы нужны, чтобы учесть, что имена и адреса компьютеров могут
r
меняться. С помощью прямых и обратных проверок имен и IP-адресов Сервер администрирования
st
отличает новые компьютеры в сети от старых компьютеров, которые просто поменяли имя или IP-
адрес.
Поскольку количество запросов пропорционально количеству компьютеров, сетевая активность
di
при полном опросе заметно выше, чем при быстром. Как следствие период такого опроса по
умолчанию составляет 60 минут.
re
В результатах опроса Сервер показывает все, что смог выяснить о компьютере: его имя, адрес,
операционную систему и т.д.
Параметры опроса сети Windows

or
e d
pi
co
be
to
Для каждого типа опроса администратор может:

t
— Включить или выключить опрос вообще;

No
— Выбрать расписание опроса;

— Выбрать, когда данные опроса устаревают.
118
Расписание опроса определяется временем начала и интервалом. Интервал можно задать в
ed
минутах, часах, днях и даже неделях. Также можно включить запуск пропущенных опросов. При
частом опросе это вряд ли потребуется, но не будет лишним, если опрос выполняется раз в
неделю или раз в месяц.
ut
Время хранения информации о компьютерах
r ib
st
di
re
or
e d
Кроме того, для опроса сети Windows администратор может указать время жизни информации о
pi
найденных компьютерах. По умолчанию этот период составляет 7 дней. Если в течение семи дней
найденный ранее компьютер не обнаруживается при опросе сети Windows, информация о нем
удаляется из базы данных Сервера.
co
Этот интервал можно задать независимо для каждого домена или рабочей группы. Или же можно
задать общее время жизни и использовать его для всей сети Windows.
Кроме того, в свойствах домена или рабочей группы можно отключить опрос только для этого
участка сети.
be
t to
No
119
Опрос Active Directory
ed
ut
r ib
st
di
re
or
Сервер администрирования запрашивает в Active Directory структуру контейнеров (подразделений)

d
и списки компьютеров в каждом из них.

e
Кроме этого, Сервер администрирования запрашивает список пользователей и групп

безопасности.
pi
В большой сети общий объем всех списков (компьютеров, пользователей, групп) может быть
большим, поэтому по умолчанию опрос Active Directory выполняется раз в 60 минут
co
be
t to
No
120
Параметры опроса Active Directory
ed
ut
r ib
st
di
re
or
Параметры опроса для Active Directory похожи на параметры опроса сети Windows. Есть
возможность полностью отключить этот метод опроса, и есть настройки расписания опроса, если
d
опрос включен.
e
Явно заданного времени жизни у полученных данных нет. Каждый следующий опрос заменяет
результаты предыдущего:
pi
— Добавляет недостающие подразделения и компьютеры;

— Удаляет компьютеры и подразделения, которых больше нет в Active Directory.
co
В дополнительных параметрах опроса администратор может выбрать область сканирования:

— Домен, куда входит Сервер администрирования (выбрано по умолчанию);
— Весь лес доменов, куда входит Сервер администрирования;
— Явно заданный список доменов.
be
Чтобы добавить домен для опроса, нужно указать адрес контроллера домена, а также имя и
пароль учетной записи для доступа к нему.
Опрос отдельных подразделений можно отключить в свойствах этих подразделений.
После того, как администратор меняет область опроса, после следующего опроса Сервер
to
показывает только содержимое новой области. Например, если администратор отключил

сканирование подразделения, после очередного опроса Сервер администрирования удалит всю
информацию о содержимом этого подразделения из своей базы данных. Точно так же, если ранее
Сервер сканировал несколько доменов и администратор удалил один из доменов из списка, после
следующего опроса Сервер удалит все данные этого домена из базы.
t
No
121
Опрос IP-диапазонов
ed
ut
r ib
st
di
re
or
Опрос IP-диапазонов работает почти так же, как полный опрос сети Windows. Но исходный список
d
компьютеров — это не результаты быстрого опроса, а список IP-адресов из заданных

администратором IP-диапазонов.
e
Каждый адрес сервер пытается разрешить в имя, имя опять в адрес, проверяет, отвечает ли адрес
на запросы ICMP ECHO REQUEST и т.д.
pi
Чтобы выяснить тип устройства, Сервер также отправляет SNMP-запросы.

co
В результаты опроса попадают только те компьютеры, которые ответили на ICMP-запрос.

be
t to
No
122
Параметры опроса IP-диапазонов
ed
ut
r ib
st
di
re
or
IP-диапазоны для опроса Сервер администрирования берет из сетевых настроек компьютера, на

котором установлен. Если адрес компьютера 192.168.0.1 и маска подсети 255.255.255.0, Сервер
d
администрирования автоматически включит сеть 192.168.0.0/24 в список сканируемых и проведет

опрос всех адресов от 192.168.0.1 до 192.168.0.254.
e
Параметры опроса IP-диапазонов включают список опрашиваемых IP-подсетей, разрешающий

pi
флаг и расписание. Если включить этот тип опроса, интервалом по умолчанию будет 420 минут (7
часов).
co
be
t to
No
123
ed
ut
r ib
st
di
re
or
Чтобы опрашивать подсети, в которые Сервер администрирования не входит, их нужно добавить в
список вручную. Задать подсеть можно либо ее адресом и маской, либо начальным и конечным IP-
адресом, как IP-диапазон. Кроме этого, нужно указать имя создаваемой подсети.
Время жизни результатов опроса по умолчанию составляет 24 часа. Если IP-адрес не

d
подтверждается опросами в течение суток, он удаляется из базы. Такой короткий период жизни
пытается учесть динамические IP-адреса (полученные по протоколу DHCP), которые могут
e
меняться часто. При изменении настроек главное, чтобы время хранения информации не было
меньше интервала опроса.
pi
co
be
t to
No
124
Опрос отдельных доменов, подразделений или диапазонов
ed
ut
r ib
st
di
re
or
Под одним именем можно объединить несколько разных IP-диапазонов. Дополнительные

диапазоны настраиваются в свойствах подсети. Именованные подсети не могут пересекаться друг
d
с другом. Диапазоны внутри одной подсети пересекаться могут.

e
Разрешать и отключать сканирование можно независимо для каждой подсети.

pi
co
be
t to
No
125
Информация о выполнении опроса сети
ed
ut
r ib
st
di
re
or
Если администратор хочет следить за ходом опроса, то сделать это можно только в MMC-консоли.
d
При выполнении опроса сети на экране узла Дополнительно | Опрос сети отображается
прогресс опроса. Более подробная информация доступна в свойствах Сервера
администрирования — Дополнительно | Статистика работы Сервера администрирования. Из
e
статистики можно узнать время последнего опроса каждым из методов, прогресс выполнения
опроса в процентах и имя опрашиваемого домена при опросе сети Microsoft.
pi
co
be
t to
No
126
Уведомления о новых компьютерах
ed
ut
r ib
st
di
re
or
Администратор может настроить уведомление о событии обнаружения новых компьютеров в сети.

d
Событие находится в свойствах Сервера администрирования, и администратору нужно просто

включить в его свойствах уведомление по почте.
e
Чтобы получать уведомления о новых компьютерах, перейдите на вкладку Настройка событий в

свойствах Сервера администрирования. Найдите событие Найдено новое устройство в разделе
pi
Информационное сообщение. Откройте свойства события и включите опцию Уведомлять по

электронной почте.
co
Для доставки уведомлений Сервер использует параметры, которые были заданы в Мастере
первоначальной настройки Сервера администрирования. Если вы не уверены, что указали верные
параметры, проверьте их на вкладке Общие в разделе Параметры доставки уведомлений в
окне свойств Сервера.
be
t to
No
127
4.3 Организация компьютеров в группы
ed
Зачем создавать группы
ut
r ib
st
di
re
or
e d
После установки на Сервере администрирования есть только одна группа — Управляемые

устройства. При такой организации администратор вынужден использовать одну политику
pi
защиты и общее расписание задач для всех компьютеров, что не всегда удобно.
Даже в небольших сетях бывает удобно или даже необходимо использовать разные настройки
защиты для серверов и пользовательских компьютеров. А в крупных сетях, где разные группы
co
пользователей используют разные специализированные программы, возможность создавать

политики с разными исключениями для разных пользователей очень удобна. А для того, чтобы
применять разные политики, нужно поместить компьютеры в разные группы.
С практической точки зрения бывает удобно, когда компьютеры в Kaspersky Security Center
be
организованы в такие же группы, как и в Active Directory, или в группы, соответствующие IP-
подсетям, используемым в организации. Так администратору проще понимать, где расположен
компьютер, чтобы послать к нему сотрудника IT-департамента.
Есть и другие примеры использования групп. Нередко, особенно в больших сетях,

администраторы создают группы для организации процесса внедрения. Компьютеры без Агента и
to
средств защиты помещают в группу Deploy Agent, где создана задача автоматической установки
Агента администрирования. Компьютеры с установленным Агентом перемещают в группу Remove
Incompatible Apps, где созданы задачи удаления несовместимых программ. Компьютеры без
несовместимых программ перемещают в группу Deploy KES, где создана задача автоматической
установки Kaspersky Endpoint Security. Наконец, полностью защищенные компьютеры перемещают
t
в постоянную структуру управления.

No
128
Создание групп
ed
ut
r ib
st
di
re
or
В отличие от MMC-консоли, где группы создаются так же просто, как папки в Проводнике Windows,
d
в Web Console придется некоторое время привыкать к тому, как создавать группы. Первые группы
создаются прямо в узле Управляемые устройства. Последующие группы можно создавать там
же или в созданных ранее группах.
e
Чтобы создать новую группу в Web Console перейдите на вкладку Устройства | Иерархия групп.
pi
Затем нужно выбрать, на каком уровне вы хотите создать группу, и нажать Добавить.
В открывшемся окне нужно ввести имя группы, после чего она появится в виде подпапки в
co
структуре управляемых компьютеров.
Если созданная ранее группа больше не нужна, ее можно удалить. Для этого должно выполняться
одно требование — в группе, с учетом возможных подгрупп, не должно быть компьютеров. Это
обычно и означает, что группа не нужна.
be
Группы можно перемещать внутри структуры управляемых компьютеров. Например, если

структура групп отражает территориальное расположение компьютеров и отдел кадров переехал
из корпуса 1 в корпус 2, подгруппу отдела кадров вместе со всеми компьютерами можно легко
переместить из группы корпуса 1 в группу корпуса 2. Для этого нужно выбрать группу, которую
хотите переместить, нажать Переместить и указать группу, в которую надо переместить.
t to
No
129
ed
ut
r ib
st
di
re
or
Еще один способ создания подгруппы — непосредственно в свойствах родительской группы. Если
открыть свойства любой группы, то на вкладке Общие есть кнопка Добавить, которая создает
подгруппу.
d
Добавление компьютеров в группу

e
pi
co
be
t to
No
130
В Web Console перемещать компьютеры можно только одним способом, это касается и
ed
распределенных, и нераспределенных устройств. Нужно выделить один или несколько
компьютеров и выбрать команду Переместить в группу, после чего указать нужную группу.
Импорт структуры групп
ut
r ib
st
di
re
or
e d
Если сеть большая и планируемая структура управляемых компьютеров предполагает большое

pi
количество групп, создание такой структуры вышеописанными методами может оказаться весьма
трудоемкой задачей. Иногда проще импортировать структуру групп из результатов опроса сети
или из тестового файла.
co
Нередко бывает, что администратор хочет организовать управляемые компьютеры точно так же,
как организована его сеть — чтобы компьютеры были разбиты на такие же рабочие группы или
домены и подразделения. Для этого администратор может воспользоваться функцией импорта
структуры.
be
Импортировать можно структуру Windows-сети, структуру Active Directory и структуру, заданную

текстовым файлом. В первых двух случаях импортировать можно или структуру целиком — группы
с компьютерами, или только группы. При импорте структуры из текстового файла создаются
только группы.
Импорт компьютеров затрагивает только нераспределенные компьютеры. Если часть компьютеров

to
импортируемой рабочей группы или подразделения Active Directory уже находится в одной из групп
управляемых компьютеров, в результате работы Мастера они свое расположение не изменят.
Чтобы запустить мастер, нужно выбрать группу Управляемые устройства и выполнить команду
Импортировать. В Мастере нужно последовательно указать, какую структуру импортировать и в
t
какую группу. При импорте структуры Windows-сети или Active Directory можно отказаться от
No
импорта компьютеров.
131
Импорт структуры Windows-сети
ed
ut
r ib
st
di
re
or
Структура Windows-сети и структура, заданная текстовым файлом, импортируются целиком. При

импорте структуры Active Directory можно выбрать, какой домен или какое подразделение
d
импортировать. Соседние домены и подразделения будут проигнорированы.

e
pi
co
be
t to
No
132
Импорт структуры Active Directory
ed
ut
r ib
st
di
re
or
Мастер предназначен для облегчения первоначального создания структуры управляемых

компьютеров. Он не предназначен для регулярной синхронизации структуры в Kaspersky Security
d
Center, например, с Active Directory. Если стоит задача синхронизации, ее можно решить при
помощи правил переноса компьютеров.
e
pi
co
be
t to
No
133
Импорт структуры групп из файла
ed
ut
r ib
st
di
re
or
Текстовый файл для импорта нужно готовить вручную. Каждая группа или подгруппа задается
отдельной строкой. Подгруппы задаются полным путем через «\», например:
d
— Офис1\Подразделение1\Отдел1
— Офис1\Подразделение1\Отдел2
e
— Офис2
— Офис3\Подразделение1
pi
Если в полном пути подгруппы есть еще не созданные группы, они автоматически создаются.
co
Созданные при импорте группы ничем не отличаются от созданных вручную. Их можно

переименовывать, перемещать, удалять и т.д.
be
t to
No
134
Правила перемещения компьютеров
ed
ut
r ib
st
di
re
or
Если группы в Kaspersky Security Center соответствуют IP-подсетям или подразделениям Active
d
Directory, администратор может легко автоматизировать распределение компьютеров по группам.

Для этого существуют правила перемещения компьютеров.
e
Список правил перемещения доступен на вкладке Устройства | Правила перемещения.

pi
co
be
t to
No
135
Правила перемещения, созданные автоматически
ed
ut
r ib
st
di
re
or
В ряде сценариев Kaspersky Security Center автоматически создает правила перемещения

компьютеров. Например, когда администратор в Мастере удаленной установки или при создании
d
автономного пакета выбирает перемещать нераспределенные компьютеры в группу, Сервер

администрирования для выполнения этой операции создает правило перемещения. Эти правила
e
можно увидеть в списке и можно отключить, но нельзя удалить или отредактировать. Сервер
удаляет их автоматически при удалении породившей их задачи или автономного пакета.
pi
co
be
t to
No
136
Параметры правил перемещения
ed
ut
r ib
st
di
re
or
Правило перемещения состоит из следующих настроек:

d
— Что перемещать — набор условий, который применяется к компьютерам, чтобы решить,

нужно их перемещать или нет.
e
— Куда перемещать — имя группы в структуре управляемых компьютеров, куда будут

перемещаться компьютеры, удовлетворяющие условиям правила.
pi
— Когда перемещать — при каких условиях правило будет применено автоматически.
При создании правила нужно выбрать ему имя. Лучше, чтобы оно отражало суть правила,
co
поскольку в списке видны только имена. Также нужно выбрать группу назначения — куда
перемещать.
Когда применяются правила

be
После этого нужно решить, когда применять правило к компьютерам. Есть три возможности:
— Один раз для каждого устройства — в момент включения такое правило применяется ко
всем компьютерам в базе Сервера, после чего применяется к каждому новому компьютеру
при его обнаружении.
— Один раз для каждого устройства и после каждой переустановки Агента — отличается от
to
предыдущего тем, что если на каком-то компьютере Агент был переустановлен, правило
применяется к нему повторно.
— Постоянно — правило действует перманентно, если удовлетворяющий правилу
компьютер переместить в другую группу, Сервер администрирования тут же вернет его на
t
место согласно правилу. Или если атрибуты компьютера изменились, постоянно

действующее правило на это отреагируют, а однократное — нет.
No
137
Правила, которые Сервер администрирования создает автоматически для задач установки и
ed
автономных пакетов, применяются в режиме Один раз для каждого устройства и после каждой
переустановки Агента.
На практике постоянно действующие правила могут быть удобнее, но сопряжены с постоянной

загрузкой вычислительных ресурсов Сервера администрирования.
ut
Условия в правилах перемещения
ib
Перемещать управляемые компьютеры
Остальные настройки правила задают условия, которым должен удовлетворять компьютер, чтобы
r
правило на него подействовало. Первое такое условие находится в разделе Общие и называется
st
Перемещать только устройства, не размещенные в группах администрирования.
С этой опцией правило — даже постоянного действия — не будет мешать администратору

вручную перемещать компьютеры между группами. Оно затронет только нераспределенные
di
компьютеры. Чтобы применить такое правило к отдельному компьютеру, уже находящемуся в
группе, достаточно компьютер из группы удалить. При удалении из структуры управляемых
компьютеров компьютер снова становится нераспределенным и попадает под действие правила.
re
Без опции Перемещать только устройства, не размещенные в группах администрирования
правило действует на все компьютеры в базе и намертво привязывает компьютеры к назначенной
им группе. Впрочем, намертво только в том смысле, что их нельзя переместить в другую группу.
Удалить их из базы Сервера администрирования можно без препятствий.
or
Остальные условия расположены в дополнительных секциях в свойствах правила.
Расположение в сети
e d
pi
co
be
t to
No
138
Многие условия для перемещения касаются сетевых атрибутов компьютера:
ed
— NetBIOS-имя,
— Имя домена или рабочей группы,
— DNS-имя,
— DNS-домен,
ut
— IP-адрес,
— IP-адрес подключения к Серверу (если компьютер находится за NAT-шлюзом, адресом
подключения будет адрес шлюза).
ib
Чтобы охватить правилом не один компьютер, а несколько, для IP-адресов можно указать
интервал, а в именах можно использовать маски: «*» и «?». Если этих параметров недостаточно,
можно создать несколько правил с разными условиями, которые будут помещать компьютеры в
r
одну группу.
st
Программное обеспечение
di
re
or
e d
pi
co
Условия для устройств могут включать версию операционной системы, а также ее архитектуру и
be
номер пакета обновлений (Service Pack). В одном правиле можно указать несколько операционных
систем. Если администратор хочет автоматически перемещать все сервера в группу Servers, ему
будет достаточно одного правила для всех серверных версий Windows, используемых в сети.
Например, для Windows Server 2008 R2 и Windows Server 2012 R2.
Также условия для компьютеров могут включать наличие работающего Агента

to
администрирования. Этим условием можно отделить компьютеры, уже подключенные к Серверу

администрирования, от компьютеров, ожидающих подключения.
Остальные условия
t
В правиле перемещения есть условия для виртуальных машин. Виртуальные машины на разных
No
платформах виртуализации можно переместить в разные группы. О защите виртуальных машин

рассказывает курс KL 031. Kaspersky Security для виртуальных сред. Легкий агент.
139
Если этих условий не хватает, компьютеры можно пометить тегами и настроить условия по тегам.
ed
Расположение в Active Directory
ut
r ib
st
di
re
or
d
Есть аналогичные условия и для расположения компьютеров в структуре Active Directory:

— Имя подразделения Active Directory,
e
— Имя группы в Active Directory.

pi
Правила перемещения позволяют организовать полную синхронизацию с Active Directory. Для

этого нужно включить дополнительные опции, относящиеся к условию Применить правило к
подразделению Active Directory:
co
— Включая дочерние подразделения — если в выбранном подразделении есть дочерние

подразделения, компьютеры из них будут перемещены в группу назначения.
— Перемещать компьютеры из дочерних организационных единиц в соответствующие
подгруппы — если в выбранном подразделении есть дочернее подразделение, а в группе
назначения есть одноименная подгруппа, компьютеры из дочернего подразделения будут
be
перемещены в одноименную подгруппу.

— Создавать отсутствующие подгруппы — если в выбранном подразделении есть
дочернее подразделение, а в группе назначения нет одноименной подгруппы, Сервер
администрирования создаст такую подгруппу и переместит в нее компьютеры дочернего
подразделения.
to
— Удалять подгруппы, отсутствующие в Active Directory — антипод предыдущей опции.

Когда подразделение удаляется из Active Directory, эта опция удалит соответствующую
группу из Kaspersky Security Center.
Если включить все четыре этих опции, в группе назначения будет создана постоянно обновляемая
t
копия структуры Active Directory. Если в Active Directory будут появляться или исчезать
No
подразделения, или компьютеры будут перемещаться из одного подразделения в другое,

Kaspersky Security Center автоматически отразит эти изменения в структуре группы назначения.
140
Кроме подразделений в Active Directory есть группы, куда могут входить учетные записи
ed
компьютеров. Чтобы перенести в группы компьютеры, которые входят в доменную группу,
отметьте условие Устройство является членом группы Active Directory и выберите имя группы.
Теги
ut
r ib
st
di
re
or
e d
Теги — это дополнительный атрибут, который администратор может назначить устройствам и

использовать для более гибкой настройки правил перемещения. Администратор может назначать
pi
теги вручную одному или сразу нескольким выбранным устройствам, а может настроить правила
автоматического назначения тегов. Одному устройству может быть назначено несколько тегов.
Правила перемещения могут применяться к устройствам без выбранных тегов или к устройствам,
co
у которых есть хотя бы один из выбранных тегов.
Чтобы назначить теги, выберите одно или несколько устройств, откройте окно свойств и перейдите
во вкладку Теги. В этой же вкладке есть ссылка Настроить правила автоматического
назначения тегов. Правила автоматического назначения тегов можно настроить в разделе
Устройства | Теги | Правила автоматического назначения тегов.
be
В ряде случаев теги имеет смысл назначать сразу при развертывании средств защиты. Сделать
это можно в свойствах пакета Агента администрирования. Чтобы при установке назначить
компьютерам разные теги, сделайте несколько пакетов установки Агента администрирования,
включите в каждом пакете нужный тег, и используйте пакеты с разными тегами для установки на
to
разные компьютеры.
Вне зависимости, на каком устройстве и как был добавлен тег, он будет доступен для выбора в
свойствах любого устройства
t
Другие условия
No
В правиле перемещения есть условия для виртуальных машин. Виртуальные машины на разных
платформах виртуализации можно переместить в разные группы. О защите виртуальных машин
рассказывает курс KL 031. Kaspersky Security для виртуальных сред. Легкий агент.
141
Порядок применения правил
ed
ut
r ib
st
di
re
or
Созданные правила организованы в список, и порядок правил имеет значение. Постоянно

действующие правила, очевидно, имеют приоритет над остальными. Среди правил одного типа
d
применяется верхнее из подходящих. Иными словами, если компьютер удовлетворяет условиям

нескольких правил, сработает только самое верхнее.
e
Порядок правил можно менять стрелками. Кроме этого правила можно применять вручную с
pi
помощью кнопки Принудительно. Это позволяет повторно применить непостоянное правило.

Постоянным правилам эта кнопка ничего не дает, поскольку постоянные правила и так непрерывно
форсируются.
co
Мастер форсирования просит выбрать группу, в которой нужно применить правило, и переместит
компьютеры, которые удовлетворяют условиям правила из выбранной группы в группу, заданную в
правиле. Есть возможность пропускать компьютеры, к которым правило уже было применено, и
применять его только к новым компьютерам.
be
t to
No
142
KL 002.12.1: Kaspersky Endpoint Security and Management. 5. Kaspersky Security Center Cloud Console
5. Kaspersky Security Center Cloud Console
ed
В этом разделе мы рассмотрим продукт Kaspersky Security Center Cloud Console, облачный
ut
Kaspersky Security Center и особенности развертывания защиты в этом сценарии.
ib
5.1 Особенности развертывания защиты
r
Архитектура
st
di
re
or
e d
pi
co
Kaspersky Security Center Cloud Console — это Сервер администрирования Kaspersky Security
Center в облаке; по сути, это модель Software-as-a-Service.
be
Kaspersky Security Center Cloud Console использует ресурсы в инфраструктуре Microsoft Azure и не
требует дополнительных вложений от компании. Администратор подключается к Серверу
администрирования через веб-браузер.
За развертывание, обновление, доступность и масштабируемость отвечает Лаборатория

to
Касперского. Администратор отвечает только за установку средств защиты на конечных

устройствах и управление ими.
Администратору не нужно устанавливать Kaspersky Security Center Cloud Console на свой

t
компьютер или сервер, достаточно только зарегистрироваться на портале https://ksc.kaspersky.com

и создать рабочую область своей компании.
No
143
Kaspersky Security Center Cloud Console позволяет администратору устанавливать и управлять
ed
следующими программами "Лаборатории Касперского":
— Kaspersky Security для Windows Server,
— Kaspersky Endpoint Security для Windows,
— Kaspersky Endpoint Security для Linux,
ut
— Kaspersky Endpoint Security для Mac,
— Kaspersky Endpoint Agent.
r ib
st
di
re
or
e d
pi
Администратор с помощью веб-браузера может подключиться к своей рабочей области в

облачной консоли Kaspersky Security Center, на устройствах компании установлены средства
защиты и агент администрирования.
co
В облаке MS Azure развернуты виртуальные машины — Azure VM, на которых созданы рабочие
области компаний. Каждая рабочая область представляет собой специальный сервер
администрирования Kaspersky Security Center, у которого есть своя база данных в Azure SQL
Elastic Pool.
be
Сервер администрирования и база данных для него создаются автоматически после того, как
пользователь прошел Мастер создания рабочей области.
В дальнейшем мы будем использовать термин "рабочая область", когда будем говорить о Сервере
администрирования и сервере баз данных Kaspersky Security Center Cloud Console.
to
Всем, кто работал с локальным Kaspersky Security Center, известно, что для того, чтобы связаться
с Cервером администрирования, Агент администрирования должен знать его адрес и порт
подключения. И эти данные практически никогда не меняются, если в этом нет необходимости у
администратора.
t
В случае с Kaspersky Security Center Cloud Console это не так. Агент администрирования не знает
No
адрес и порт своей рабочей области. Он знает только идентификатор своей рабочей области.
Чтобы узнать адрес и порт своей рабочей области, агент обращается по 443 порту к специальной
службе Hosted Discovery Service (HDS).
144
Hosted Discovery Service — это специальная служба, развернутая в каждом вычислительном
ed
центре Microsoft. Она периодически опрашивает рабочие области и ведет список "идентификатор
— адрес — порт рабочей области".
Служба Hosted Discovery Service возвращает Агенту адрес и порт рабочей области, после чего
Агент подключается непосредственно к своей рабочей области. Для того, чтобы агент смог
ut
успешно подключиться к своей рабочей области, необходимо, чтобы в брандмауэре были открыты
порты 23100-23199 и 27200-27900 для исходящих TCP-соединений на адрес *ksc.kaspersky.com.
ib
Использование Агентом идентификатора обусловлено тем, что рабочая область не привязана
жестко к виртуальной машине. Адрес и порт рабочей области могут меняться, например, при
миграции на другую виртуальную машину в MS Azure. Миграция рабочей области может быть
связана с обслуживанием или балансировкой нагрузки.
r
st
Начало работы
di
re
or
e d
pi
co
be
Для создания рабочей области необходима учетная запись на Kaspersky Account — это общая
система, которая используется для авторизации в различных сервисах Лаборатории Касперского,
в том числе и на портале Kaspersky Security Center Cloud Console.
Для создания Kaspersky Account нужна всего лишь действующая почта.

to
После этого необходимо зайти на сайт ksc.kaspersky.com и создать рабочую область:

Ознакомиться и принять условия Лицензионного соглашения, Политик
конфиденциальности и Соглашения об обработке данных Kaspersky Security Center Cloud
Console.
t
Ввести имя компании.

No
Задать имя рабочей области.

Kaspersky Security Center Cloud Console поддерживает работу только с одной рабочей
областью на компанию.
145
Выбрать страну, где расположена компания заказчика.
ed
От выбора страны зависит территориальное расположение вычислительного центра
Microsoft, в котором будут храниться и обрабатываться данные компании.
Указать примерное количество устройств, которое планируется защищать.
ut
Вести код активации или заказать пробную рабочую область.
Если вы заказываете пробную рабочую область, учтите, что миграция из пробной рабочей
области в коммерческую не поддерживается.
ib
Создание рабочей области обычно занимает 10—15 минут, после этого на почту должно прийти
уведомление. Если в течение часа область так и не создалась, необходимо обратиться в службу
поддержки.
r
st
К особенностям использования облачной консоли Kaspersky Security Center Cloud Console можно
отнести:
— Одна рабочая область для компании.
di
Если вы создали учетную запись в Kaspersky Security Center Cloud Console и планируете
управлять сразу несколькими компаниями, то на данный момент такой сценарий не
поддерживается. У одной рабочей области может быть только один главный
re
администратор.
— Активация кодом.
Активировать рабочую область файлом ключа нельзя.
— Миграция пробной рабочей области в постоянную не поддерживается.
or
Лаборатория Касперского предоставляет тридцатидневный ознакомительный период
использования Kaspersky Security Center Cloud Console. После того как ознакомительный
период закончится, преобразовать пробную рабочую область в коммерческую нельзя.
Чтобы продолжить использование Kaspersky Security Center Cloud Console после
d
истечения срока действия пробной лицензии, необходимо удалить пробную рабочую

область и создать другую с коммерческой лицензией.
e
pi
co
be
t to
No
146
Точка распространения
ed
ut
r ib
st
di
re
or
Централизованное развертывание защиты затрудняется тем, что Kaspersky Security Center Cloud
d
Console не имеет прямого доступа к компьютерам внутри сети. Для решения задачи
рекомендуется использовать Точки распространения.
e
pi
co
be
t to
No
147
Точка распространения — это специальная роль Агента администрирования Kaspersky Security
ed
Center, чаще всего используется в качестве дополнительного источника обновлений. За счет точек
распространения можно и уменьшить количество соединений с Сервером администрирования, и
более равномерно распределить трафик внутри сети.
Точкой распространения может быть любой компьютер с Агентом администрирования.
ut
Точки распространения могут:
— Опрашивать сеть — то, что нужно в нашем сценарии;
ib
— Распространять пакеты установки для задач установки;
— Выполнять удаленную установку от имени Сервера администрирования;
— Распространять политики и задачи;
r
— Выступать в роли источника обновлений;
— Выступать в роли прокси-сервера для обращений в Kaspersky Security Network — KSN
st
Proxy.
Подробнее о Точках распространения можно узнать в курсе KL 302.
di
Подключение первого устройства
Автономный пакет Агента

re
or
e d
pi
co
be
to
Чтобы использовать возможности Точки распространения, нужно подключить хотя бы один

компьютер к Kaspersky Security Center Cloud Console.
Рекомендуем заранее выбрать компьютер на роль Точки распространения и первым подключить

t
его к Kaspersky Security Center Cloud Console с помощью автономного пакета Агента
No
148
Идеальным вариантам будет сервер, так как компьютер должен быть включен постоянно или
ed
почти постоянно, и на нем должно быть достаточно свободного места на диске.
Загрузите автономный пакет на выбранный компьютер и запустите его.
ut
Проверка подключения
r ib
st
di
re
or
e d
После установки Агента рекомендуется убедиться, что он успешно подключился к Серверу

pi
Для этого можно использовать утилиту анализа параметров соединения Агента

co
администрирования — klnagchk.exe, которая находится в папке установки Агента.
Агент устанавливает соединения с Hosted Discovery Service на порт 443, узнает адрес и порт
своего Сервера и затем подключается к Серверу администрирования на порт из диапазонов
23000–23199, 27200–27299.
be
Если Агент администрирования не смог связаться с Сервером администрирования, проверьте, что

из вашей сети есть доступ к облачной инфраструктуре. Убедитесь, что из сети открыт доступ к
этим портам для адресов по маске *.ksc.kaspersky.com.
При использовании Kaspersky Security Center Cloud Console период синхронизации Агента с
to
Сервером — каждые 15 минут и изменить его нельзя.

t
No
149
ed
ut
r ib
st
di
re
or
Чтобы между Точкой распространения и Сервером администрирования было постоянное
соединение, нужно включить опцию Не разрывать соединение с Сервером
администрирования в свойствах устройства.
d
Назначение Точки распространения

e
pi
co
be
t to
No
150
Точки распространения назначаются в свойствах Сервера администрирования в соответствующей
ed
секции.
После назначения необходимо включить опросы доменов Windows, Active Directory и, возможно,
IP-диапазонов.
ut
Обнаружение устройств
r ib
st
di
re
or
e d
pi
Спустя некоторое время Точка распространения обнаружит компьютеры в сети, и они появятся в
разделе Обнаруженные устройства | Нераспределенные устройства.
co
Обнаружение компьютеров может занять от 30 до 60 минут.
Теперь на обнаруженные компьютеры можно установить Kaspersky Endpoint Security и Агент

администрирования задачей удаленной установки.
be
t to
No
151
Удаленная установка через Точку распространения
ed
ut
r ib
st
di
re
or
Чтобы удаленная установка проходила через Точку распространения, нужно отметить в задаче
d
опцию Средствами операционной системы с помощью точек распространения.
Задача передаст инсталляционный пакет на Точку распространения, которая выполнит удаленную

e
установку внутри сети.

pi
co
be
t to
No
152

KL 002.12.1 KSC Kes Student Guide Unit1 Ru v1.1 WM

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

KL 002.12.1 KSC Kes Student Guide Unit1 Ru v1.1 WM

Загружено:

Авторское право:

Доступные форматы

KL 002.12.1: Kaspersky Endpoint Security and Management.

2. Установка Kaspersky Security Center ...............................................................................23

Установка плагинов ....................................................................................................................58

Kaspersky Security Network...........................................................................................................60

Создание политик и задач ..........................................................................................................63

Создание внутреннего пользователя ......................................................................................67

3. Установка Kaspersky Endpoint Security ...........................................................................73

Свойства инсталляционного пакета Kaspersky Endpoint Security ........................................78

Свойства пакета Агента администрирования ......................................................................86

Методы установки и их особенности ......................................................................................93

5. Kaspersky Security Center Cloud Console .......................................................................143

5.1 Особенности развертывания защиты .......................................................................................143

Начало работы ..........................................................................................................................145

Подключение первого устройства ..........................................................................................148

Удаленная установка через Точку распространения ...........................................................152

EPS Events Per Second

KES Kaspersky Endpoint Security

KSWS Kaspersky Security для Windows Servers

SIEM Security Information and Event Management

WMI Windows Management Instrumentation

Сервер администрирования Сервер администрирования KSC

СУБД Система управления базами данных

Под устройствами мы понимаем серверы и рабочие станции под управлением Windows.

Что есть и чего нет в этом курсе

компьютеров с операционной системой Windows.

В курсе используются только два приложения:

— Kaspersky Security Center — средство централизованного управления.

Курс не касается следующих приложений и функционала:

— Kaspersky Endpoint Security для Mac;

Где узнать больше (другие курсы Лаборатории Касперского)

Защита рабочих станций Linux KL 013 1 день

Шифрование KL 008 1 день

Systems Management KL 009

Защита встраиваемых систем KL 037 1 день

Из чего состоит курс

Учебник содержит все слайды из презентации с подробным описанием.

Что и зачем делать в лабораторных работах, подробно описано в пошаговом руководстве.

Слушатели делают лабораторные работы на виртуальных машинах. Виртуальная среда зависит

В лабораторных работах слушатели используют пять виртуальных машин с фиксированными

Контроллер домена ABC.LAB, на котором развернуты службы AD, DNS,

Сервер, на котором установлен Kaspersky Security Center, чтобы

Admin-Laptop Олицетворяет ноутбук администратора, откуда он управляет защитой

Alex-Desktop Олицетворяет пользовательские компьютеры в сети компании

Kali Предоставляет инструменты для атаки на компьютеры организации

1.2 Kaspersky Endpoint Security для бизнеса

— Kaspersky Security Center — средство централизованного управления.

Kaspersky Security Center состоит из нескольких компонентов:

собирает события, составляет отчеты, устанавливает и удаляет программы. Именно

В качестве синонимов далее могут использоваться следующие формулировки:

смотрит на отчеты и события и вообще управляет защитой. Существует два варианта

Kaspersky Endpoint Security для Windows

установлено две программы:

от вредоносных программ и активности злоумышленников, но также контролирует

— Агент администрирования Kaspersky Security Center — устанавливается на каждое

посылает события Kaspersky Endpoint Security.

В качестве синонимов далее могут использоваться следующие формулировки:

Также Агент администрирования может управлять уязвимостями и обновлениями сторонних

сбой одного компонента не повлияет на работу средства защиты.

Все компоненты разбиты на несколько групп:

— Защита от файловых угроз — проверяет файлы, когда их создает, изменяет, копирует

файлами, а файлы помещает в резервное хранилище.

письма и вложенные файлы, удаляет вредоносные файлы из письма.

— Защита от сетевых угроз — проверяет сетевые пакеты, которые получает компьютер.