Kaspersky lab ADMINISTRATION KIT 5.0 User Manual

ЛАБОРАТОРИЯ КАСПЕРСКОГО

Kaspersky® Administration Kit 5.0

Руководство администратора

KASPERSKY® ADMINISTRATION KIT 5.0

Руководство

администратора

© ЗАО "Лаборатория Касперского"

Тел., факс: +7 (495) 797-87-00

http://www.kaspersky.ru/

Дата редакции: декабрь 2005 г.

Содержание

ГЛАВА 1. KASPERSKY® ADMINISTRATION KIT ........................................................ 6

1.1. Назначение, состав и основные функции........................................................ 6

1.2. Что нового в версии 5.0 ...................................................................................... 8

1.3. Требования к аппаратному и программному обеспечению .......................... 9

1.4. Комплект поставки............................................................................................. 10

1.4.1. Лицензионное соглашение........................................................................ 11

1.4.2. Регистрационная карточка........................................................................ 11

1.5. Сервис для зарегистрированных пользователей......................................... 12

1.6. Назначение документа ..................................................................................... 12

1.7. Принятые обозначения..................................................................................... 13

ГЛАВА 2. КОНЦЕПЦИЯ РАБОТЫ KASPERSKY ADMINISTRATION KIT.............. 15

2.1. Логическая сеть ................................................................................................. 15

2.2. Политики, настройки, задачи ........................................................................... 18

2.3. Подключение клиентских компьютеров к Серверу администрирования .. 20

2.4. Защищенное подключение к Серверу администрирования ....................... 22

2.4.1. Сертификат Сервера администрирования............................................. 22

2.4.2. Аутентификация Сервера при подключении Консоли .......................... 22

2.4.3. Аутентификация Сервера при подключении клиентского

компьютера.................................................................................................. 23

2.5. Идентификация клиентских компьютеров в логической сети ..................... 24

2.6. Администраторы и операторы логической сети ........................................... 24

2.7. Схемы развертывания антивирусной защиты на компьютерах

логической сети................................................................................................ 27

2.8. Схема построения системы централизованного управления

антивирусной защитой.................................................................................... 28

2.9. Обслуживание логической сети ...................................................................... 29

2.10. Организация совместной работы администраторов.................................. 30

2.11. Концепция пользовательского интерфейса................................................ 30

2.11.1. Главное окно программы......................................................................... 30

2.11.2. Дерево консоли......................................................................................... 31

4 Kaspersky

®

Administration Kit

2.11.3. Контекстное меню..................................................................................... 36

ГЛАВА 3. УСТАНОВКА KASPERSKY ADMINISTRATION KIT ................................ 41

3.1. Установка MSDE с дистрибутива Kaspersky Administration Kit.................... 41

3.2. Установка Сервера администрирования и Консоли

администрирования......................................................................................... 43

3.3. Удаление программных компонентов Kaspersky Administration Kit ............ 53

3.4. Обновление версии приложения .................................................................... 53

ГЛАВА 4. РАБОТА С ПРИЛОЖЕНИЕМ..................................................................... 55

4.1. Запуск программы. Подключение к Серверу администрирования ............ 55

4.2. Предоставление прав....................................................................................... 56

4.3. Мастер первоначальной настройки................................................................ 57

4.4. Создание, просмотр и изменение структуры логической сети ................... 58

4.5. Иерархия серверов администрирования....................................................... 60

4.6. Установка и деинсталляция программного обеспечения на клиентских

компьютерах..................................................................................................... 62

4.6.1. Удаленная установка и деинсталляция программного обеспечения .63

4.6.1.1. Формирование инсталляционного пакета........................................ 65

4.6.1.2. Создание задачи удаленной установки............................................ 65

4.6.2. Мастер удаленной установки.................................................................... 67

4.6.3. Локальная установка программного обеспечения................................. 68

4.7. Управление политиками................................................................................... 69

4.8. Управление задачами....................................................................................... 70

4.9. Управление настройками приложения........................................................... 73

4.10. Обновление антивирусных баз и программных модулей ......................... 73

4.11. Работа с карантином ...................................................................................... 74

4.12. Журналы событий, отчеты и уведомления.................................................. 75

4.13. Управление лицензионными ключами......................................................... 78

4.14. Резервное копирование и восстановление данных Сервера

администрирования......................................................................................... 80

ПРИЛОЖЕНИЕ A. ЧАСТО ЗАДАВАЕМЫЕ ВОПРОСЫ.......................................... 82

ПРИЛОЖЕНИЕ B. ГЛОССАРИЙ................................................................................ 86

ПРИЛОЖЕНИЕ C. ЗАО "ЛАБОРАТОРИЯ КАСПЕРСКОГО".................................. 92

C.1. Другие разработки Лаборатории Касперского.............................................. 93

Содержание 5

C.2. Наши координаты ............................................................................................. 99

ГЛАВА 1. KASPERSKY®

ADMINISTRATION KIT

1.1. Назначение, состав и
основные функции

Приложение Kaspersky® Administration Kit предназначено для
централизованного решения основных административных задач по
управлению системой антивирусной безопасности компьютерной сети
предприятия, построенной на основе приложений, входящих в состав
продуктов компании Антивирус Касперского Business Optimal и Kaspersky
Corporate Suite. Kaspersky Administration Kit поддерживает работу во всех
сетевых конфигурациях, использующих протокол TCP/IP.

Приложение адресовано администраторам корпоративных компьютерных
сетей, а также сотрудникам, отвечающим за антивирусную защиту
компьютеров

Приложение предоставляет администратору следующие возможности:

• Удаленная централизованная установка приложений, входящих в

• Управление лицензиями. Данная возможность позволяет централи-

• Удаленное централизованное управление

в организациях.

состав продуктов Лаборатории Касперского, на компьютеры, рабо­тающие под управлением операционных систем семейства Windows.
Эта возможность позволяет администратору один раз скопировать
на выделенный компьютер необходимый набор приложений Лабора­тории Касперского, и после этого проводить удаленную установку на
компьютеры сети.

зованно устанавливать лицензионные ключи ко всем установленным
приложениям компании, отслеживать выполнение лицензионного со­глашения (соответствие числа лицензий количеству работающих
приложений в сети) и срок его окончания.

всеми приложениями,
входящими в состав продуктов Лаборатории Касперского, работаю­щими на компьютерах под управлением операционной системы Win­dows. Эта возможность позволяет создавать многоуровневую систе­му антивирусной защиты и управлять работой всех приложений с
единого рабочего места администратора. Последнее особенно акту-

Kaspersky® Administration Kit 7

ально для крупных организаций, в которых локальная сеть состоит из
большого количества компьютеров и может охватывать несколько
территориально разделенных зданий или помещений. Данная воз­можность включает в себя:

• объединение компьютеров в группы администрирования в
соответствии с выполняемыми функциями и набором уста­новленных на них приложений;

• централизованную настройку параметров

работы приложе-

ния путем создания и применения групповых политик;

• индивидуальную настройку параметров работы приложе­ния для отдельных компьютеров при помощи настроек

приложения;

• централизованное управление работой приложений путем
создания и запуска групповых и глобальных задач;

• построение индивидуальных схем работы приложений пу­тем создания и запуска задач для набора компьютеров из
различных групп администрирования.

• Автоматическое обновление антивирусных баз и модулей приложе­ния на компьютерах. Эта возможность позволяет проводить центра­лизованное обновление антивирусных баз для всех установленных
приложений компании без непосредственного обращения каждого
компьютера к интернет-серверу Лаборатории Касперского. Обновле­ние может происходить автоматически, по заданному администрато­ром графику. Администратор может отслеживать распространение
обновлений на клиентские компьютеры.

• Система получения отчетности

. Данная возможность позволяет осу-

ществлять централизованный сбор статистики о работе всех уста­новленных приложений компании, отслеживать корректность работы
этих приложений и создавать отчеты на основании полученной ин­формации. Администратор может создавать единый сетевой отчет о
работе приложения, отчеты о работе приложений на каждом компью­тере.

• Механизм оповещения о событиях в работе приложений. Механизм
рассылки почтовых уведомлений. Эта возможность позволяет адми­нистратору формировать список событий в работе приложений, при
возникновении которых к нему будут поступать уведомления. Напри­мер, в числе таких событий может быть обнаружение вируса или не­корректное завершение процедуры обновления антивирусных баз на
компьютере, обнаружение нового компьютера в сети.

8 Kaspersky

®

Administration Kit

Приложение Kaspersky Administration Kit состоит из трех основных
компонентов:

• Сервер администрирования осуществляет функции централизо­ванного хранения информации об установленных в сети предпри­ятия приложениях Лаборатории Касперского и управления ими.

• Агент администрирования осуществляет взаимодействие между
Сервером администрирования и приложениями Лаборатории Кас­перского, установленными на конкретном сетевом узле (рабочей
станции или сервере). Данный

компонент является единым для всех
приложений из состава продуктов компании Антивирус Касперского
Business Optimal и Kaspersky Corporate Suite.

• Консоль администрирования предоставляет пользовательский ин­терфейс к административным сервисам Сервера и Агента. Консоль
администрирования выполнена в виде компонента расширения к

Microsoft Management Console (MMC).

1.2. Что нового в версии 5.0

Версия 5.0 Kaspersky Administration Kit, описанная в настоящем
руководстве, имеет ряд отличий от предыдущих версий, в частности:

• позволяет управлять системой антивирусной защиты в компьютер­ных сетях с большим количеством компьютеров (до нескольких де­сятков тысяч машин);

• предоставляет стандартный для Microsoft Windows пользовательский
интерфейс, интегрированный в Microsoft Management Console (MMC);

• позволяет централизованно определять единые параметры работы
приложений для некоторого набора компьютеров, входящих в состав
одной группы администрирования;

• позволяет создавать однородную систему антивирусной защиты пу­тем создания и запуска групповых задач, а также отслеживать их вы­полнение;

• предоставляет развитые средства регистрации событий в работе
приложений и управления реакцией на них;

• система ведения журналов и составления отчетов позволяет
чать информацию о состоянии антивирусной защиты компьютерной
сети в целом и о работе каждого управляемого приложения на от­дельных компьютерах в составе сети;

полу-

Kaspersky® Administration Kit 9

• централизованная система управления лицензионными ключами по­зволяет контролировать соответствие числа действующих лицензий
количеству параллельно работающих в сети приложений Лаборато­рии Касперского и сроки окончания действия лицензий, своевремен­но проводить их продление.

1.3. Требования к аппаратному и
программному обеспечению

Сервер администрирования

• Программные требования:

• MSDE 2000 с установленным Service Pack 3 или Microsoft

SQL Server 2000 с установленным Service Pack 3

• Microsoft Windows 2000 с установленными Service Pack 1 и
выше; Microsoft Windows XP с установленным Service Pack

1 и выше; Microsoft Windows Server 2003; Microsoft Windows
NT4 с установленным Service Pack 6а.

• Аппаратные требования:

• процессор Intel Pentium III с частотой 800 МГц или выше;

• объем оперативной памяти 128 МБ;

• объем свободной (доступной) памяти на диске 400 МБ.

Консоль администрирования

1

;

• Программные требования:

• Microsoft Windows 2000 с установленным Service Pack 1 и

выше; Microsoft Windows XP с установленным Service Pack
1 и выше
тановленным Service Pack 6а;

• Microsoft Management Console версии 1.2 и выше.

• Аппаратные требования:

1

Для установки MSDE вы можете воспользоваться входящим в состав поставки

Kaspersky Administration Kit дистрибутивом.

; Microsoft Windows Server 2003; Windows NT4 с ус-

10 Kaspersky

®

Administration Kit

• процессор Intel Pentium II с частотой 400 МГц или выше;

• объем оперативной памяти 64 МБ;

• объем свободной (доступной) памяти на диске 10 МБ.

Агент администрирования

• Программные требования:

• Microsoft Windows 98; Microsoft Windows ME; Microsoft Win-

dows 2000 с установленным Service Pack 1 и выше;
Microsoft Windows NT4 с установленным Service Pack 6a;
Microsoft Windows XP с установленным Service Pack 1 и
выше; Microsoft Windows Server 2003.

• Аппаратные требования:

• процессор Intel Pentium с частотой 233 МГц или выше;

• объем оперативной

памяти 32 МБ;

• объем свободной (доступной) памяти на диске 10 МБ.

1.4. Комплект поставки

Программный продукт вы можете приобрести у наших дистрибьюторов
(коробочный вариант) только в составе Антивируса Касперского Business
Optimal и Kaspersky Corporate Suite для защиты рабочих станций и

серверов на базе платформы Microsoft Windows., а также в одном из
интернет-магазинов (например, www.kaspersky.ru

магазин).

Если вы приобретаете продукт в коробке, то в комплект поставки
программного продукта входят:

• запечатанный конверт с установочным компакт-диском, на котором
записаны файлы программного продукта;

• руководство пользователя;

• лицензионный ключ, записанный на установочный компакт-диск;

• регистрационная карточка для основного продукта (с указанием се-

рийного

номера продукта);

• лицензионное соглашение.

, раздел Электронный

Kaspersky® Administration Kit 11

Перед тем как распечатать конверт с компакт-диском, внимательно
ознакомьтесь с лицензионным соглашением.

При покупке продукта в интернет-магазине вы копируете продукт с веб­сайта "Лаборатории Касперского", в дистрибутив которого помимо самого
продукта включено также данное руководство. Лицензионный ключ либо
включен в дистрибутив, либо отправляется вам по электронной почте по
факту оплаты.

1.4.1. Лицензионное соглашение

Лицензионное соглашение – это юридическое соглашение между вами и
ЗАО "Лаборатория Касперского", в котором указано, на каких условиях вы
можете пользоваться приобретенным вами программным продуктом.

Внимательно прочитайте лицензионное соглашение!

Если вы не согласны с условиями лицензионного соглашения, вы можете
вернуть коробку с Антивирусом Касперского дистрибьютору, у которого она
была приобретена, и получить назад сумму, уплаченную за подписку. При
этом конверт с установочным компакт-диском должен оставаться
запечатанным.

Открывая запечатанный пакет с установочным компакт-диском или
устанавливая продукт на компьютер, вы тем самым принимаете все
условия лицензионного соглашения.

1.4.2. Регистрационная карточка

Пожалуйста, заполните отрывной корешок регистрационной карточки, по
возможности наиболее полно указав свои координаты: фамилию, имя,
отчество (полностью), телефон, адрес электронной почты (если она есть), и
отправьте ее дистрибьютору, у которого вы приобрели программный
продукт.

Если впоследствии у вас изменится почтовый/электронный адрес или
телефон, пожалуйста, сообщите об этом в организацию, куда
отправлен корешок регистрационной карточки.

Регистрационная карточка является документом, на основании которого вы
приобретаете статус зарегистрированного пользователя нашей компании.
Это дает вам право на техническую поддержку в течение срока подписки.

был

12 Kaspersky

Кроме того, зарегистрированным пользователям, подписавшимся на
рассылку новостей ЗАО "Лаборатория Касперского", высылается
информация о выходе новых программных продуктов.

®

Administration Kit

1.5. Сервис для
зарегистрированных
пользователей

ЗАО "Лаборатория Касперского" предлагает своим легальным
пользователям большой комплекс услуг, позволяющих увеличить
эффективность использования Антивируса Касперского .

Приобретя подписку, вы становитесь зарегистрированным пользователем
программы и в течение срока действия подписки получаете следующие
услуги:

• предоставление новых версий данного программного продукта;

• консультации по вопросам, связанным с установкой, настройкой и

эксплуатацией данного программного
лефону и электронной почте;

• оповещение о выходе новых программных продуктов Лаборатории
Касперского и о новых вирусах, появляющихся в мире (данная услуга
предоставляется пользователям, подписавшимся на рассылку ново­стей ЗАО "Лаборатория Касперского").

Консультации по вопросам функционирования и использования
операционных систем, а также работы различных технологий не
проводятся.

продукта, оказываемые по те-

1.6. Назначение документа

Данное руководство содержит назначение, основные понятия, функции и
общие схемы работы с приложением Kaspersky Administration Kit.
Пошаговое описание действий приводится в Справочном руководстве к
Kaspersky Administration Kit. Функции, описываемые в справочнике,
выделены в тексте подчеркиванием.

С вопросами, которые пользователи чаще всего задают специалистам
службы технической поддержки Лаборатории Касперского, вы можете
ознакомиться на нашем сайте в разделе Сервис Æ База знаний. Данный

Kaspersky® Administration Kit 13

раздел содержит информацию по установке, настройке и
функционированию программ "Лаборатории Касперского", а также по
удалению с компьютера наиболее распространенных вирусов и лечению
зараженных файлов.

1.6. Принятые обозначения

Текст документации выделяется различными элементами оформления в
зависимости от его смыслового назначения. В расположенной ниже
таблице приведены используемые условные обозначения.

Оформление Смысловое назначение

Жирный шрифт

Примечание.

Внимание!

Чтобы выполнить
действие,

1. Шаг 1.

2. …

Задача, пример

Решение

[ключ] – назначение ключа.

Названия меню, пунктов меню, окон,
элементов диалоговых окон и т. п.

Дополнительная информация, приме­чания.

Информация, на которую следует
обратить особое внимание.

Описание последовательности вы­полняемых пользователем шагов и
возможных действий.

Постановка задачи, примера для
реализации возможностей программ­ного продукта

Реализация поставленной задачи

Ключи командной строки.

14 Kaspersky

Оформление Смысловое назначение

®

Administration Kit

Текст информационных сооб­щений и командной строки

Текст конфигурационных файлов,
информационных сообщений про­граммы и командной строки.

ГЛАВА 2. КОНЦЕПЦИЯ РАБОТЫ

KASPERSKY
ADMINISTRATION KIT

2.1. Логическая сеть

Для создания структуры удаленного централизованного
администрирования компьютеры, входящие в состав сети предприятия,
должны быть организованы в группы администрирования в соответствии с
выполняемыми функциями и устанавливаемым на них набором
приложений Лаборатории Касперского. Группировка осуществляется для
удобства управления компьютерами группы как единым целым. Например,
одна группа компьютеров может включать в себя все рабочие станции,
другая – все файловые серверы и т.п.

Логической сетью будем называть иерархическую структуру групп
администрирования с входящими в их состав клиентскими компьютерами,
в которой управление приложениями компании Лаборатория Касперского
осуществляется при помощи Kaspersky Administration Kit.

Клиент Сервера администрирования (или просто клиентский
компьютер) – это компьютер, сервер или рабочая станция, который,

собственно, и
быть установлен Агент администрирования и управляемые приложения
Лаборатории Касперского.

Группа – именованная совокупность клиентов Сервера
администрирования. Для всех входящих в группу компьютеров возможно:

• определение и применение политик антивирусной защиты для каж-
дого из установленных в группе приложений;

• определение и выполнение групповых задач (функций приложения)
с заданным набором параметров, например: создание и установка
единого инсталляционного пакета, обновление антивирусных баз и
программных модулей, проверка компьютера по требованию и по­стоянная защита.

Администратор может создавать иерархию групп любой глубины
вложенности, если это облегчает ему выполнение задач по управлению

является объектом антивирусной защиты, на нем должен

16 Kaspersky

®

Administration Kit

приложениями. На одном уровне иерархии могут быть расположены как
группы, так и клиентские компьютеры. Клиентский компьютер может
входить в состав только одной группы.

Компьютер, входящий в состав сети предприятия, на котором установлен
компонент Сервер администрирования будем называть Сервером
администрирования. Сервер администрирования является объектом
логической сети.

Серверы администрирования могут образовывать иерархию вида «главный
сервер – подчиненный сервер». При этом главный Сервер
администрирования может иметь несколько подчиненных Серверов (см.
п. 4.5 на стр. 60).

Функции Сервера администрирования, а точнее установленного на нем
компонента Сервер администрирования, состоят в:

• хранении структуры логической сети (сетевой конфигурации);

• хранении копии конфигурационной информации клиентских компью-

теров;

• организации хранилищ дистрибутивов приложений Лаборатории
Касперского;

• удаленной установки и деинсталляции приложений на клиентские
компьютеры;

• обновлении антивирусных баз и программных модулей;

• управлении политиками и групповыми задачами на клиентских ком-

пьютерах;

• хранении информации о событиях, происходивших на клиентских
компьютерах;

• формировании отчетов о работе приложений в логической сети;

• распространении лицензионных

ключей на клиентские компьютеры,

хранении информации о лицензионных ключах;

• отправке уведомлений от функционирующих на клиентских компью­терах задач. Такие уведомления могут сообщать, например, об об­наружении на клиентском компьютере вирусов.

Взаимодействие между Сервером администрирования и клиентскими
компьютерами: доставку информации о текущем состоянии приложений,
отправку и получение команд управления, синхронизацию
конфигурационной

информации, а также отправку на Сервер информации о

событиях в работе приложений, осуществляет Агент администрирования.

Концепция работы Kaspersky Administration Kit 17

Компьютеры, входящие в состав сети предприятия, на которых установлен
компонент Консоль администрирования, будем называть рабочими
местами администраторов. С этих компьютеров администраторы могут
осуществлять удаленное централизованное управление конфигурацией
всех установленных на клиентских компьютерах логической сети
приложений Лаборатории Касперского.

Интерфейс для управления работой конкретного приложения
предоставляет специализированный компонент – плагин управления
приложением, входящий

в состав всех приложений Лаборатории
Касперского, управление которыми может осуществляться при помощи
Kaspersky Administration Kit. Плагин управления для каждого приложения
свой. Он устанавливается на рабочее место администратора и
обеспечивает:

• набор диалоговых окон (интерфейс) для создания и редактирования
политик приложения;

• набор диалоговых окон (интерфейс) для создания и редактирования

настроек приложения;

• набор

диалоговых окон (интерфейс) для создания и редактирования

настроек задач, реализуемых приложением;

• предоставление информации о задачах, реализуемых приложением;

• предоставление информации о событиях, генерируемых приложени-

ем;

• предоставление для Консоли администрирования функций отобра­жения информации, получаемой с клиентских компьютеров, о собы­тиях и статистике работы приложения.

Рабочее место администратора не является

объектом логической сети,
однако также может быть включено в ее состав в качестве клиентского
компьютера. На количество рабочих мест администратора никаких
ограничений не накладывается. Рабочие места администраторов для
разных логических сетей могут совпадать, с каждого из них может
осуществляться управление любой логической сетью в структуре сети
предприятия.

В одной логической

сети один и тот же компьютер может быть и клиентом
Сервера администрирования, и Сервером администрирования, и рабочим
местом администратора.

18 Kaspersky

®

Administration Kit

2.2. Политики, настройки, задачи

Именованное действие, выполняемое приложением Лаборатории
Касперского, называется задачей. В соответствии с выполняемыми
функциями задачи разделяют по типам. Каждой задаче соответствует
набор параметров работы приложения при ее выполнении.

Подробное описание типов задач для каждого приложения Лабора­тории Касперского приводится в Руководствах к ним.

Набор параметров работы приложения, общий для всех типов его задач,
составляет настройки приложения. Параметры работы приложения,
специфичные для каждого типа задач, образуют настройки задачи.
Настройки приложения и настройки задач не пересекаются.

Для того чтобы инициировать
провести установку настроек приложения, создать соответствующую
задачу, определить ее настройки и запустить на выполнение.

Централизованная настройка параметров работы приложений,
установленных на клиентских компьютерах логической сети,
осуществляется через определение политик. Политика – это набор
параметров работы приложения в группе. Для разных групп параметры
работы приложения могут быть различны.
определяется своя собственная политика.

Политика включает в себя параметры полной настройки всей
функциональности приложения. Таким образом, в политику входят и
настройки приложения и настройки общие для всех типов его задач.
Специфичные для конкретного типа задачи параметры настраиваются
индивидуально. Это означает, что политика, например, для клиентских
компьютеров с установленным
которого входят задачи постоянной защиты и проверки по требованию,
включает все необходимые параметры настройки обоих типов задач.

Политика включает в себя также атрибут, который показывает, можно ли
будет переопределять значение параметра, заданного политикой, в
настройках приложения или настройках задач, а также в политиках
вложенного уровня иерархии (для вложенных групп).

В группе для одного приложения может быть определено несколько
политик с различными значениями параметров. Однако действующая
политика для приложения может быть только одна. Предусмотрена
возможность активировать политику, не являющуюся действующей, по

выполнение необходимой функции, следует

Для каждого приложения

антивирусным приложением, в число задач

Концепция работы Kaspersky Administration Kit 19

событию, что позволяет, например, устанавливать более жесткие
параметры антивирусной защиты в периоды вирусных эпидемий.

В каждой группе может быть создана собственная политика для
приложения. Вложенная группа наследует политику группы более высокого
уровня иерархии, если собственная политика для группы не определена.

Таким образом, при помощи политик для всех компьютеров, входящих в
состав группы, могут быть централизованно установлены одинаковые
значения параметров работы приложения. Однако существует возможность
переопределить значения параметров работы приложения для отдельных
компьютеров в составе группы при помощи настроек приложения и для
конкретного экземпляра задачи при помощи настроек задачи. При этом
можно установить значения только тех параметров, изменение которых не
запрещено политикой.

Создание и настройка задач в логической сети осуществляется
централизованно. Задача может быть определена для группы
администрирования – групповая задача, для отдельного клиентского
компьютера – локальная задача, для набора клиентских компьютеров из
произвольных групп логической сети – глобальная задача.

Для группы может быть определена групповая задача даже в случае, когда
приложение установлено не на все клиентские компьютеры группы. В этом
случае групповая задача выполняется только для тех компьютеров, на
которых данное приложение установлено.

Вложенные группы наследуют задачи групп более высоких уровней
иерархии. Задача, определенная для группы, будет выполняться не только
на клиентских компьютерах, включенных в состав данной группы, но и на
клиентских компьютерах, включенных в

состав вложенных в нее групп, на

всех последующих уровнях иерархии.

Задачи, созданные для клиентского компьютера локально, будут
выполняться только для данного компьютера. При синхронизации
клиента с Сервером администрирования локальные задачи будут
добавлены в перечень сформированных задач для клиентского
компьютера.

Поскольку все параметры работы приложения входят в состав политики, в
настройках задачи могут быть переопределены те параметры, изменение
которых не запрещено

политикой, а также параметры, которые могут быть
установлены только для конкретного экземпляра задачи. Например, для
задачи проверки диска в настройки будет входить имя диска, маски
проверяемых файлов и т.п.

Информация о политиках, настройках приложения, задачах и настройках
задач сохраняется на Сервере и распространяется на клиентские

20 Kaspersky

компьютеры в ходе синхронизации. При этом в данные Сервера
администрирования, в свою очередь, вносятся локальные изменения,
проведенные на клиентских компьютерах и разрешенные политикой, а
также обновляется список приложений, функционирующих на клиенте, их
статус и перечень сформированных задач.

При выполнении задачи на клиентском компьютере параметры работы
приложения определяются:

• настройками задачи
ределены (при условии, что политикой не запрещена их модифика­ция);

• политикой группы, если параметры были запрещены к изменению в
настройках приложения и настройках задачи или не изменялись в
них;

• политикой группы более высокого уровня иерархии, если групповая
политика для приложения не создавалась

Задача может запускаться автоматически (по расписанию) либо вручную.
Результаты выполнения задач сохраняются на Сервере
администрирования, и администратор может получать уведомления о том,
как выполнилась та или иная задача, а также просматривать подробные
отчеты.

и настройками приложения, если они были оп-

.

®

Administration Kit

2.3. Подключение клиентских
компьютеров к Серверу
администрирования

Взаимодействие между клиентскими компьютерами и Сервером
администрирования осуществляется в процессе подключения клиентов к
Серверу (см. п. 2.1 на стр. 15). Эту функциональность обеспечивает Агент
администрирования, установленный на клиентских компьютерах.

Подключение производится для выполнения следующих операций:

• синхронизации списка приложений, установленных на клиентском
компьютере;

• синхронизации политик, настроек приложения, задач и настроек за-

;

дач

Концепция работы Kaspersky Administration Kit 21

• получение Сервером текущей информации о состоянии приложений
и выполнении задач;

• доставки на Сервер информации о событиях, которые он должен об-
работать.

Основным является способ подключения клиентских компьютеров к
Серверу, при котором клиент соединяется с Сервером. Данный вид
соединения выполняется при автоматической синхронизации данных
клиента и Сервера, а также

доставке на Сервер информации о событиях в

работе приложений.

Автоматическая синхронизация производится периодически, в соответствии
с настройками Агента администрирования (например, раз в 15 минут).
Интервал между соединениями задается администратором.

Информация о событии доставляется на Сервер сразу после того, как
событие произошло.

В настройках клиентского компьютера предусмотрен параметр (флажок Не

разрывать соединение с

Сервером администрирования), который

определяет, будет ли завершаться соединение клиента с Сервером по
окончании перечисленных выше операций. Непрерывное соединение
необходимо в случае, если требуется постоянный контроль за состоянием
приложений, а Сервер по тем или иным причинам не может устанавливать
соединение с клиентом (соединение защищено межсетевым экраном,
запрещено открывать порты на клиенте,

неизвестен IP-адрес клиента, и

т.д.).

Процесс синхронизации может быть также произведен администратором
вручную при помощи команды Синхронизировать контекстного меню
(см. п. 2.11.3 на стр. 36). В этом случае используется вспомогательный
способ подключения, при котором соединение инициирует Сервер. Для
этого на клиентском компьютере открывается UDP-порт. Сервер посылает
на UDP-порт запрос на соединение.

В ответ на него производится проверка
прав Сервера на подключение к клиенту (на основании цифровой подписи
Сервера администрирования) и в случае их наличия осуществляется
соединение.

Второй способ соединения используется также при обращении к данным
клиента на Сервере: для получения текущей информации о состоянии
приложений, задач и статистики работы приложений.

22 Kaspersky

®

Administration Kit

2.4. Защищенное подключение к

Серверу администрирования

Обмен информацией между клиентскими компьютерами и Сервером
администрирования, а также подключение Консоли к Серверу
администрирования может производиться с использованием протокола SSL
(Secure Socket Layer). Он позволяет идентифицировать
взаимодействующие стороны, осуществлять шифрование передаваемых
данных и обеспечивать их защиту от искажения при передаче. В основе
используемого при защищенном соединении SSL-протокола лежит
аутентификация взаимодействующих сторон и шифрование
методу закрытых ключей.

2.4.1. Сертификат Сервера

администрирования

Аутентификация Сервера администрирования при подключении к нему
Консоли администрирования и обмене информацией с клиентскими
компьютерами осуществляется на основании сертификата Сервера

администрирования.

Сертификат Сервера администрирования создается при установке
компонента Сервер администрирования и хранится на Сервере
администрирования в каталоге установки программы в каталоге Cert.

Сертификат Сервера администрирования создается только один раз, при
установке
для его восстановления необходимо провести переустановку компонента
Сервер администрирования и восстановление данных (см. п. 4.14 на
стр. 80).

. В случае если сертификат Сервера администрирования утерян,

данных по

2.4.2. Аутентификация Сервера при

подключении Консоли

При первом после установки подключении к Серверу Консоль
администрирования запрашивает сертификат Сервера администрирования
и сохраняет его локально на рабочем месте администратора. На основании
полученной копии сертификата при последующих подключениях к Серверу

Концепция работы Kaspersky Administration Kit 23

администрирования с данным именем осуществляться идентификация
Сервера.

Если сертификат Сервера администрирования не совпадает с копией
сертификата, хранящейся на рабочем месте администратора, выводится
запрос на подтверждение подключения к Серверу с заданным именем и
получение нового сертификата. В случае подтверждения подключения
Консоль администрирования сохраняет копию нового сертификата Сервера
администрирования, она будет использоваться
Сервера в дальнейшем.

для идентификации

2.4.3. Аутентификация Сервера при

подключении клиентского
компьютера

При первом подключении клиентского компьютера к Серверу Агент
администрирования получает сертификат Сервера администрирования и
сохраняет его локально.

Если установка Агента администрирования проводится локально,
сертификат Сервера администрирования может быть выбран ад­министратором вручную.

На основании полученной копии сертификата осуществляется проверка
прав и полномочий Сервера администрирования при следующих
соединениях.

В дальнейшем, при каждом подключении клиентского компьютера к
Серверу Агент администрирования запрашивает сертификат Сервера
администрирования и сравнивает его с локальной копией. Если они не
совпадают, доступ к Серверу администрирования не разрешается.

Если соединение инициирует Сервер администрирования, то аналогичным
образом сначала проверяется поступивший с Сервера администрирования
запрос на соединение через UDP-порт.

24 Kaspersky

®

Administration Kit

2.5. Идентификация клиентских

компьютеров в логической
сети

Идентификация клиентских компьютеров в логической сети осуществляется
на основании имен клиентских компьютеров. Имя клиентского
компьютера является уникальным среди всех имен компьютеров,
подключенных к Серверу администрирования.

Имя клиентского компьютера создает Сервер администрирования, либо при
опросе Windows-сети и обнаружении в ней нового компьютера, либо при
первом подключении установленного на клиентский компьютер Агента
администрирования
Windows-сети (NetBIOS-имя). Если на Сервере администрирования
клиентский компьютер с таким именем уже зарегистрирован, то к имени
нового клиентского компьютера будет добавлено окончание с порядковым
номером, например: <Имя>-1, <Имя>-2 и т. д. Под этим именем клиентский
компьютер включается в состав логической

Обращение Сервера администрирования к клиентским компьютерам
осуществляется по их IP-адресам. Если на компьютер установлен Агент
администрирования, IP-адрес клиентского компьютера доставляется на
Сервер автоматически при каждом подключении клиента к Серверу. Если
Агент администрирования не установлен, или еще не было ни одного
подключения клиентского компьютера к Серверу (например, при локальной
установке
определяет IP-адрес компьютера по NetBIOS либо DNS-имени.

Агента администрирования), Сервер администрирования

. По умолчанию имя совпадает с именем компьютера в

сети.

2.6. Администраторы и операторы

логической сети

По умолчанию доступ к функциональности приложения Kaspersky
Administration Kit предоставляется двум категориям пользователей:

администраторам логической сети и операторам логической сети.

Администратор логической сети – это пользователь, осуществляющий

установку, настройку и обслуживание Kaspersky Administration Kit, а также
удаленное управление приложениями Лаборатории Касперского на
компьютерах логической сети.

Концепция работы Kaspersky Administration Kit 25

Администратор логической сети имеет полные права на функциональность,
предоставляемую системой администрирования, он может:

• подключаться к Серверу администрирования;

• создавать логическую сеть, добавлять в нее группы и клиентские

компьютеры из числа компьютеров, входящих в состав сети пред­приятия;

• устанавливать на клиентские компьютеры компонент Агент админи-
стрирования;

• создавать, устанавливать

на клиентские компьютеры необходимые
инсталляционные пакеты антивирусных приложений компании и ли­цензионные ключи к ним;

• обновлять версии установленных на клиентских компьютерах прило-
жений;

• задавать политики, задачи для групп и отдельных компьютеров, из-
менять настройки приложения;

• централизованно управлять приложениями, установленными на кли­ентских компьютерах данной логической сети, получать отчет

об их
работе при помощи сервисов, предоставляемых компонентами Сер­вер, Агент и Консоль администрирования;

• предоставлять группам пользователей и отдельным пользователям
права доступа к функциональности приложения, как для всей логи­ческой сети, так и для отдельных групп администрирования.

Оператор логической сети – пользователь, который осуществляет
наблюдение за состоянием и работой системы

антивирусной защиты,

управляемой при помощи Kaspersky Administration Kit.

Оператор логической сети имеет ограниченный доступ к функциональности
системы администрирования, он может:

• подключаться к Серверу администрирования;

• посматривать структуру логической сети;

• просматривать значения параметров политик, задач и настроек при-

ложения;

• запускать и останавливать существующие групповые и глобальные
задачи;

• получать отчеты и

уведомления о работе системы антивирусной за-

щиты на компьютерах логической сети.

26 Kaspersky

®

Administration Kit

Права администратора логической сети предоставляются администраторам
домена, компьютеры которого входят в состав этой логической сети,
локальным администраторам компьютеров, на которых установлен Сервер
администрирования, и пользователям, включенным в группу прав

KLAdmins.

Права оператора логической сети предоставляются пользователям,
включенным в группу прав KLOperators.

Группы KLAdmins и KLOperators формируются при инсталляции
компонента Сервер

администрирования и создаются в зависимости от
выбора администратора либо и в домене, в который входит Сервер
администрирования, и на компьютере, являющемся Сервером
администрирования, либо непосредственно на компьютере Сервера
администрирования. Просмотр групп KLAdmins и KLOperators и внесение
необходимых изменений осуществляется при помощи стандартных средств
администрирования Windows – Управление / Локальные пользователи и

группы.

операции, которые будут инициировать администраторы логической

Все
сети, будут выполняться с правами учетной записи Сервера
администрирования. Для каждого Сервера администрирования может быть
сформирована своя группа KLAdmins, обладающая правами только внутри
этой логической сети.

Если компьютеры, относящиеся к одному домену, образуют несколько
логических сетей, администратор домена является администратором
логической сети в каждой из

них. При этом группа KLAdmins для этих
логических сетей едина и создается при установке первого Сервера
администрирования. Ее пополнение может быть проведено средствами
администрирования операционной системы. Операции, которые будут
инициировать администраторы логической сети, будут выполняться с
правами соответствующего Сервера администрирования.

Администратор домена может проводить настройку и управление
продуктами только на

компьютерах своего домена. Если в состав
логической сети входят компьютеры, приписанные к нескольким доменам,
то для того чтобы администратор одного из доменов мог выступать в
качестве полноценного администратора логической сети, необходимо:

• наличие доверительных отношений между доменами;

• администратор должен быть включен в группу администраторов на

каждом из доменов, компьютеры которого

входят в состав логиче-

ской сети.

Концепция работы Kaspersky Administration Kit 27

Права пользователей в приложении Kaspersky Administration Kit
устанавливаются на основании Windows-аутентификации пользователей в
сети.

После установки приложения администратор логической сети может внести
изменения в набор прав, предоставляемых группам KLAdmins и

KLOperators, предоставить права доступа
Kaspersky Administration Kit другим группам пользователей и отдельным

пользователям, зарегистрованным на компьютере где установлена Консоль
управления. Различные права доступа могут быть предоставлены для
работы в каждой группе администрирования (см. п. 4.2 на стр. 56).

к функциональности приложения

2.7. Схемы развертывания

антивирусной защиты на
компьютерах логической сети

Существует два варианта развертывания системы антивирусной защиты,
управляемой при помощи приложения Kaspersky Administration Kit:

• посредством удаленной централизованной установки приложений
компании на клиентские компьютеры логической сети. При этом ус­тановка приложений и подключение к системе централизованного
удаленного управления происходит автоматически, не требует како­го-либо вмешательства со стороны администратора и позволяет ус­танавливать антивирусное
личество клиентских компьютеров, работающих под управлением
операционной системы Windows.

• путем локальной установки приложений компании на каждый клиент­ский компьютер. В этом случае установка необходимых компонентов
на клиентские компьютеры и рабочее место администратора произ­водится вручную, параметры подключения клиентов к Серверу за­даются при установке Агента
вертывания можно порекомендовать, если невозможно провести
удаленную централизованную установку.

программное обеспечение на любое ко-

администрирования. Этот вариант раз-

28 Kaspersky

®

Administration Kit

2.8. Схема построения системы
централизованного
управления антивирусной
защитой

Первым этапом построения системы централизованного управления
антивирусной защитой сети предприятия при помощи программного
комплекса Kaspersky Administration Kit является проектирование логической
сети. На данном этапе необходимо принять следующие решения:

1. Какой вид развертывания системы антивирусной защиты будет
использоваться: удаленная или локальная установка.

2. Какие компьютеры в составе сети предприятия будут
выполнять функции Сервера администрирования, какие –
рабочих
Клиентскими компьютерами должны стать все компьютеры, на
которые предполагается установить приложения Лаборатории
Касперского.

3. По какому признаку будет осуществляться объединение
клиентских компьютеров в группы, и определить иерархию групп.

На следующем этапе администратор должен создать логическую сеть
путем установки соответствующих программных компонентов Kaspersky

Administration Kit на компьютеры сети, а

1. Установить Сервер администрирования на компьютере,
входящем в состав сети предприятия (см. п. 3.2 на стр. 43).

2. Установить Консоль администрирования на компьютере, с
которого будет осуществляться администрирование продуктов
(см. п. 3.2 на стр. 43).

После этого необходимо сформировать структуру логической сети, создать
иерархию групп администрирования и провести распределение
компьютеров в соответствующие группы.

На

следующем этапе осуществляется установка на клиентские компьютеры
компонента Агент администрирования, необходимых приложений
Лаборатории Касперского, а также на рабочее место администратора
соответствующих плагинов управления приложениями (см. Глава 3 на стр. 41).

мест администратора и клиентских компьютеров.

именно:

Концепция работы Kaspersky Administration Kit 29

На заключительном этапе производится настройка установленных
приложений посредством определения и применения групповых политик
(см. п. 4.7 на стр. 69) и создание необходимых задач (см. п. 4.8 на стр. 70).

Приложение предоставляет возможность создания системы
централизованного управления антивирусной защитой с минимальными
настройками с помощью мастера первоначальной настройки (см. п. 4.3 на
стр. 57). При этом предлагается создать
доменной структуре Windows-сети, и формируется система антивирусной
защиты с использованием Антивируса Касперского 5.0 для Windows

Workstations.

логическую сеть, идентичную

2.9. Обслуживание логической

сети

После создания логической сети, установки и настройки антивирусной
защиты администраторам рекомендуется регулярно выполнять следующие
операции:

• Периодически просматривать отчеты о работе приложений на кли-
ентских компьютерах.

• Просматривать свой почтовый ящик и читать уведомления, отправ-
ленные с клиентских компьютеров и Сервера администрирования.

Полный список уведомлений, посылаемых приложениями из со­става продуктов Лаборатории Касперского, приведен в Руково­дствах к ним.

• Если на одном из клиентских компьютеров возникла ситуация, в ко­торую администратор считает нужным вмешаться, он может сделать
это со своего рабочего места, например, провести лечение заражен­ных файлов на этом компьютере.

• Своевременно обновлять антивирусные базы на клиентских компью-
терах (см. п. 4.10 на стр. 73).

• Своевременно обновлять программные модули установленных на
клиентских компьютерах приложений (см. п. 4.10 на стр. 73).

• Следить за размерами базы данных для размещения поступающей с
клиентских компьютеров информации о работе приложений и нали­чием необходимого для ее размещения объема
го пространства на Сервере администрирования.

свободного дисково-

30 Kaspersky

• Своевременно добавлять в логическую сеть вновь установленные
или переустановленные в сети предприятия компьютеры и устанав­ливать на них необходимые антивирусные приложения.

• Регулярно выполнять резервное копирования данных системы адми-
нистрирования (см. п. 4.14 на стр. 80).

®

Administration Kit

2.10. Организация совместной
работы администраторов

Система допускает одновременную работу администраторов с одними и
теми же ресурсами. Действительными будут являться последние по
времени применения настройки. Поэтому следует четко согласовывать
действия при параллельной работе нескольких администраторов.

2.11. Концепция
пользовательского
интерфейса

Просмотр, создание, изменение и настройка логической сети,
централизованное управление работой всех установленных на клиентских
компьютерах приложений Лаборатории Касперского осуществляется с
рабочего места администратора. Интерфейс управления обеспечивает
компонент Консоль администрирования. Он представляет собой
специализированную автономную оснастку, интегрированную в Microsoft

Management Console (MMC), в связи с этим интерфейс Kaspersky
Administration Kit является стандартным для MMC.

Для локальной работы с клиентскими
предусмотрена возможность установить удаленное соединение с компьютером
через Консоль управления при помощи стандартного приложения Microsoft

Windows Подключение к удаленному рабочему столу.

компьютерами в приложении

2.11.1. Главное окно программы

Главное окно программы содержит меню, панель инструментов, панель
управления, панель обзора, панель результатов и панель задач. Меню
обеспечивает функции управления окнами, а также доступ к справочной