Kaspersky lab ADMINISTRATION KIT 6.0 User Manual [ru]

ЛАБОРАТОРИЯ КАСПЕРСКОГО

Kaspersky® Administration Kit 6.0

РУКОВОДСТВО
АДМИНИСТРАТОРА

KASPERSKY® ADMINISTRATION KIT 6.0

Руководство

администратора

© ЗАО «Лаборатория Касперского»

Тел., факс: +7 (495) 797-8700, +7 (495) 645-7939, +7 (495) 956-7000

http://www.kaspersky.ru/

Дата редакции: сентябрь 2007 г.

Содержание

ГЛАВА 1. KASPERSKY® ADMINISTRATION KIT ........................................................ 6

1.1. Назначение, состав и основные функции........................................................ 6

1.2. Требования к аппаратному и программному обеспечению .......................... 8

1.3. Комплект поставки............................................................................................. 10

1.4. Сервис для зарегистрированных пользователей......................................... 10

1.5. Назначение документа ..................................................................................... 11

1.6. Принятые обозначения..................................................................................... 12

ГЛАВА 2. КОНЦЕПЦИЯ РАБОТЫ KASPERSKY ADMINISTRATION KIT.............. 13

2.1. Основные понятия............................................................................................. 13

2.1.1. Логическая сеть. Сервер администрирования....................................... 13

2.1.2. Иерархия Серверов администрирования ............................................... 14

2.1.3. Клиентский компьютер. Гру ппа................................................................. 15

2.1.4. Рабочее место администратора............................................................... 16

2.1.5. Плагин управления приложением............................................................ 17

2.1.6. Политики, настройки и задачи .................................................................. 17

2.1.7. Взаимосвязь политики и ло кальных настроек приложения ................. 20

2.2. Подключение клиентских компьютеров к Серверу администрирования .. 22

2.3. Защищенное подключение к Серверу администрирования ....................... 23

2.3.1. Сертификат Сервера администрирования............................................. 23

2.3.2. Аутентификация Сервера при подключении Консоли .......................... 24

2.3.3. Аутентификация Сервера при подключении клиентского

компьютера.................................................................................................. 24

2.4. Идентификация клиентских компьютеров в логичес кой сети ..................... 25

2.5. Права доступа в логической сети.................................................................... 25

2.6. Схемы развертывания антивирусной защиты на компьютерах

логической сети................................................................................................ 28

2.7. Схема построения системы централизованного управления

антивирусной защитой.................................................................................... 28

2.8. Обслуживание логиче ской сети ...................................................................... 30

2.9. Организация совместной работы администраторов.................................... 31

4 Kaspersky® Administration Kit

2.10. Концепция пользовательского интерф ейса................................................ 31

2.10.1. Запуск программы .................................................................................... 32

2.10.2. Главное окно программы......................................................................... 32

2.10.3. Дерево консоли......................................................................................... 33

2.10.4. Контекстное меню..................................................................................... 35

ГЛАВА 3. УПРАВЛЕНИЕ ЛОГИЧЕСКОЙ СЕТЬЮ.................................................... 42

3.1. Подключение к Серверу администрирования............................................... 42

3.2. Предоставление прав....................................................................................... 43

3.3. Просмотр информации о компьютерной сети. Домены, IP-подсети и

группы Active Directory..................................................................................... 44

3.4. Мастер первоначальной настройки................................................................ 47

3.5. Создание, просмотр и и зменение структуры логической сети ................... 48

3.5.1. Группы.......................................................................................................... 51

3.5.2. Клиентские компьютеры............................................................................ 53

3.5.3. Подчиненные Серверы администрирования ......................................... 55

ГЛАВА 4. УДАЛЕННОЕ УПРАВЛЕНИЕ ПРИЛОЖЕН ИЯМИ................................... 58

4.1. Настройка параметров приложения............................................................... 58

4.1.1. Управление политиками............................................................................ 58

4.1.2. Локальные настройки приложения .......................................................... 63

4.2. Управление работой приложения................................................................... 64

ГЛАВА 5. ОБНОВЛЕНИЕ АНТИВИРУСНЫХ БАЗ И ПРОГРАММНЫХ

МОДУЛЕЙ.................................................................................................................. 70

5.1. Получение обновлений Сервером администрирования ............................. 71

5.2. Распространение обновлений на клиентские компьютеры......................... 73

5.3. Обновление подчиненных Серверов и их клиентских компьютеров......... 74

5.4. Распространение обновлений с помощью агентов обновления................ 75

ГЛАВА 6. ОБСЛУЖИВАНИЕ....................................................................................... 77

6.1. Продление лицензии ........................................................................................ 77

6.2. Карантин и резервное хранилище.................................................................. 79

6.3. Журналы событий. Выборки событий............................................................ 81

6.4. Отчеты ................................................................................................................ 84

6.5. Поиск компьютеров........................................................................................... 87

6.6. Выборки компьютеров ...................................................................................... 89

Содержание 5

6.7. Контроль возникновения вирусных эпидемий............................................... 91

6.8. Резервное копирование и восстановление данных Сервера

администрирования......................................................................................... 94

ПРИЛОЖЕНИЕ A. ГЛОССАРИЙ................................................................................ 96

ПРИЛОЖЕНИЕ B. ЗАО «ЛАБОРАТОРИЯ КАСПЕРСКОГО »............................... 103

B.1. Другие разработки «Лаборатории Касперского»........................................ 104

B.2. Наши координаты ........................................................................................... 117

ГЛАВА 1. KASPERSKY®

ADMINISTRATION KIT

1.1. Назначение, состав и
основные функции

Приложение Kaspersky® Administration Kit предназначено для
централизованного решения основных административных задач по
управлению системой антивирусной безопасности компьютерной сети
предприятия, построенной на основе приложений, входящих в состав
продуктов компании Антивирус Касперского Business Optimal и Kaspersky
Corporate Suite. Kaspersky Administration Kit поддерживает работу во всех
сетевых конфигурациях, использующих протокол TCP/IP.

Приложение адресовано администраторам корпоративных компьютерных
сетей, а также сотрудникам, отвечающим за антивирусную защиту
компьютеров

Приложение предоставляет администратору следующие возможности:

в организациях.

• Удаленная централизованная установка и удаление приложений,
входящих в состав продуктов «Лаборатории Касперского», на компь­ютеры сети. Эта возможность позволяет администратору один раз
скопировать на выделенный компьютер необходимый набор прило­жений «Лаборатории Касперского», и после этого проводить удален­ную установку на компьютеры сети.

• Управление лицензиями. Данная возможность позволяет централи­зованно устанавливать лицензионные ключи ко всем установленным
приложениям компании, отслеживать выполнение лицензионного со­глашения (соответствие числа лицензий количеству работающих
приложений в сети) и срок его окончания.

• Удаленное централизованное управление приложениями,
входящими в состав продуктов «Лаборатории Касперского». Эта
возможность позволяет создавать многоуровневую систему
антивирусной защиты и управлять работой всех приложений с
единого рабочего места администратора. Последнее особенно
актуально для крупных организаций, в которых локальная сеть

Kaspersky® Administration Kit 7

состоит из большого количества компьютеров и может охватывать
несколько территориально разделенных зданий или помещений.
Данная возможность включает в себя:

• объединение компьютеров в группы администрирования в
соответствии с выполняемыми функциями и набором уста­новленных на них приложений;

• централизованную настройку параметров работы приложе­ния путем создания и применения групповых политик;

• индивидуальную настройку параметров работы приложе­ния для отдельных компьютеров при помощи настроек

приложения;

• централизованное управление работой приложений путем
создания и запуска групповых и глобальных задач;

• построение индивидуальных схем работы приложений пу­тем создания и запуска задач для набора компьютеров из
различных групп администрирования.

• Автоматическое обновление антивирусных баз и модулей приложе­ния на компьютерах. Эта возможность позволяет проводить центра­лизованное обновление антивирусных баз для всех установленных
приложений компании без непосредственного обращения каждого
компьютера к интернет-серверу «Лаборатории Касперского». Обнов­ление может происходить автоматически, по заданному администра­тором графику. Администратор может отслеживать распростр анение
обновлений на клиентские компьютеры.

• Система получения отчетности

. Данная возможность позволяет осу-

ществлять централизованный сбор статистики о работе всех уста­новленных приложений компании, отслеживать корректность работы
этих приложений и создавать отчеты на основании полученной ин­формации. Администратор может создавать единый сетевой отчет о
работе приложения, отчеты о работе приложений на каждом компью­тере.

• Механизм оповещения о событиях

в работе приложений. Механизм
рассылки уведомлений. Эта возможность позволяет администратору
формировать список событий в работе приложений, при возникнове­нии которых к нему будут поступать уведомления. Например, в числе
таких событий может быть обнаружение вируса или некорректное
завершение процедуры обновления антивирусных баз на компьюте­ре, обнаружение нового компьютера в сети.

• Совместная работа с Cisco Network Admission Control (NAC). Эта
возможность позволяет задать соответствие между условиями анти­вирусной защиты компьютера и статусами Cisco NAC.

8 Kaspersky® Administration Kit

Приложение Kaspersky Administration Kit состоит из трех основных
компонентов:

• Сервер администрирования осуществляет функции централизо­ванного хранения информации об установленных в сети предпри­ятия приложениях «Лаборатории Касперского» и управления ими.

• Агент администрирования осуществляет взаимодействие между
Сервером администрирования и приложениями «Лаборатории Кас­перского», установленными на конкретном сетевом узле (рабочей
станции или сервере). Данный
Windows-приложений из состава продуктов компании Антивирус Кас­перского Business Optimal и Kaspersky Corporate Suite. Для Novell- и
Unix-приложений «Лаборатории Касперского» существуют отдельные
версии Агента администрирования.

• Консоль администрирования предоставляет пользовательский ин­терфейс к административным сервисам Сервера и Агента. Консоль
администрирования выполнена в виде компонента расширения к

Microsoft Management Console (MMC).

компонент является единым для всех

1.2. Требования к аппаратному и
программному обеспечению

Сервер администрирования

• Программные требования:

• Microsoft Data Access Components (MDAC) версии 2.8 и вы-

ше;

• MSDE 2000 с установленным Service Pack 3, или Microsoft
SQL Server 2000 с установленным Service Pack 3

или MySQL версии 5.0.32, или Microsoft SQL 2005 и выше;
или Microsoft SQL 2005 Express и выше;

• Microsoft Windows 2000 с установленными Service Pack 1 и
выше; Microsoft Windows XP Professional с установленным

Service Pack 1 и выше; Microsoft Windows XP Professional
x64 и выше; Microsoft Windows Server 2003 и выше; Microsoft

1

Для установки MSDE вы можете воспользоваться входящим в состав поставки

Kaspersky Administration Kit дистрибутивом.

1

и выше,

Kaspersky® Administration Kit 9

Windows Server 2003 x64 и выше; Microsoft Windows NT4 с
установленным Service Pack 6а и выше; Microsoft Windows

Vista, Microsoft Windows Vista x64.

• Аппаратные требования:

• процессор Intel Pentium III с частотой 800 МГц или выше;

• объем оперативной памяти 128 МБ;

• объем свободного места на диске 400 МБ.

Консоль администрирования

• Программные требования:

• Microsoft Windows 2000 с установленным Service Pack 1 и

выше; Microsoft Windows XP Professional с установленным
Service Pack 1 и выше; Microsoft Windows XP Home Edition с
установленным Service Pack 1 и выше; Microsoft Windows
XP Professional x64 и

выше; Microsoft Windows Server 2003 и

выше; Microsoft Windows Server 2003 x64 и выше; Microsoft

Windows NT4 с установленным Service Pack 6а и выше; Mi­crosoft Windows Vista, Microsoft Windows Vista x64;

• Microsoft Management Console версии 1.2 и выше;

• при работе c Microsoft Windows NT4 требуется наличие ус-

тановленного браузера Microsoft Internet Explorer 6.0.

• Аппаратные требования:

• процессор Intel Pentium II с частотой 400 МГц или выше;

• объем оперативной памяти 64 МБ;

• объем свободного места на диске 10 МБ.

Агент администрирования

• Программные требования:

Для Windows-систем:

•

Microsoft Windows 98; Microsoft Windows ME; Microsoft Win­dows 2000 с установленным Service Pack 1 и выше;
Microsoft Windows NT4 с установленным Service Pack 6a и
выше; Microsoft Windows XP Professional с установленным
Service Pack 1 и выше; Microsoft Windows XP Professional
x64 и выше; Microsoft Windows Server 2003 и выше;
Microsoft Windows Server 2003 x64 и выше; Microsoft Win­dows Vista, Microsoft Windows Vista x64.

10 Kaspersky® Administration Kit

• Для Novell-систем:

Novell NetWare 6 SP3 и выше; Novell NetWare 6.5 SP3
и выше.

• Аппаратные требования:

• Для Windows-систем:

o процессор Intel Pentium с частотой 233 МГц или выше;

o объем оперативной памяти 32 МБ;

o объем свободного места на диске 10 МБ.

• Для Novell-систем:

o процессор Intel Pentium с частотой 233 МГц или выше;
o объем оперативной памяти 12 МБ;
o объем свободного места на диске 32 МБ.

1.3. Комплект поставки

Программный продукт бесплатно поставляется со всеми приложениями
«Лаборатории Касперского», входящими в состав Антивируса Касперского
Business Optimal и Kaspersky Corporate Suite (коробочный вариант), а также
доступен для загрузки на веб-сайте «Лаборатории Касперского»
(www.kaspersky.ru).

1.4. Сервис для
зарегистрированных
пользователей

ЗАО «Лаборатория Касперского» предлагает своим легальным
пользователям большой комплекс услуг, позволяющих увеличить
эффективность использования продуктов компании.

При приобретении лицензии на какой-либо из продуктов «Лаборатории
Касперского», входящий в состав Антивируса Касперского Business Optimal
и Kaspersky Corporate Suite, вы становитесь зарегистриров анным

Kaspersky® Administration Kit 11

пользователей Kaspersky Administration Kit. После этого в течение срока
действия лицензии вы получаете следующие услуги:

• предоставление новых версий программного продукта;

• консультации по вопросам, связанным с установкой, настройкой и

эксплуатацией данного программного продукта, оказываемые по те­лефону и с помощью веб-формы;

При обращении в Службу технической поддержки указывайте ин­формацию о
совместно с которым используется Kaspersky Administration Kit.

• оповещение о выходе новых программных продуктов «Лаборатории
Касперского» и о новых вирусах, появляющихся в мире (данная услу­га предоставляется пользователям, подписавшимся на рассылку но­востей ЗАО «Лаборатория Касперского»).

Консультации по вопросам функционирования и использования операци­онных систем, а также работы различных технологий не проводятся.

лицензии приложения «Лаборатории Касперского»,

1.5. Назначение документа

Данное руководство содержит назначение, основные понятия, функции и
общие схемы работы с приложением Kaspersky Administration Kit.
Пошаговое описание действий приводится в Справочном руководстве к
Kaspersky Administration Kit. Функции, описываемые в Справочном
руководстве, выделены в тексте подчеркиванием.

С вопросами, которые пользователи чаще всего задают специалистам
службы технической поддержки «Лаборатории Касперского», вы можете
ознакомиться на нашем сайте в разделе Сервис ! Сайт технической
поддержки. Данный раздел содержит информацию по установке,
настройке и функционированию программ «Лаборатории Касперского», а
также по удалению с компьютера наиболее распространенных вирусов и
лечению зараженных

файлов.

12 Kaspersky® Administration Kit

1.6. Принятые обозначения

Текст документации выделяется различными элементами оформления в
зависимости от его смыслового назначения. В расположенной ниже
таблице приведены используемые условные обозначения.

Оформление Смысловое назначение

Жирный шрифт

Примечание.

Внимание!

Чтобы выполнить действие,

1. Шаг 1.

2. …

[ключ] – назначение ключа.

Текст информационных сооб­щений и командной строки

Названия меню, пунктов меню, окон,
элементов диалоговых окон и т. п.

Дополнительная информация, приме­чания.

Информация, на которую следует
обратить особое внимание.

Описание последовательности вы­полняемых пользователем шагов и
возможных действий.

Ключи командной строки.

Текст конфигурационных файлов,
информационных сообщений про­граммы и командной строки.

ГЛАВА 2. КОНЦЕПЦИЯ РАБОТЫ

KASPERSKY
ADMINISTRATION KIT

2.1. Основные понятия

2.1.1. Логическая сеть. Сервер
администрирования

Логическая сеть – это множество компьютеров, составляющих единую
сеть, объединенных с помощью компонентов Kaspersky Administration Kit
для удаленного централизованного управления приложениями компании
«Лаборатория Касперского».

Компьютер, на котором установлен компонент Сервер администрирования
будем называть Сервером администрирования.

Сервер администрирования устанавливается на компьютер в качестве
службы со следующим набором атрибутов:

• под именем Kaspersky Administration Server;

• с автоматическим

• учетной записью Локальная система либо учетной записью пользо-

вателя в соответствии с выбором, сделанным при установке компо­нента.

Функции Сервера администрирования, а точнее установленного на нем
компонента Сервер администрирования, состоят в:

• хранении структуры логической сети (сетевой конфигурации);

• хранении копии конфигурационной информации компьютеров

ческой сети;

• организации хранилищ дистрибутивов приложений «Лаборатории
Касперского»;

• удаленной установки и деинсталляции приложений на компьютеры;

• обновлении антивирусных баз и программных модулей;

типом запуска при старте операционной системы;

логи-

14 Kaspersky® Administration Kit

• управлении политиками и задачами на компьютерах логической се-
ти;

• хранении информации о событиях, происходивших на компьютерах
логической сети;

• формировании отчетов о работе приложений в логической сети;

• распространении лицензионных ключей на компьютеры логической

сети, хранении информации о лицензионных ключах;

• отправке уведомлений от функционирующих на компьютерах логиче­ской сети задач. Такие уведомления могут сообщать, например, об
обнаружении на компьютере вирусов.

2.1.2. Иерархия Серверов
администрирования

Серверы администрирования могут образовывать иерархию вида
«главный сервер – подчиненный сервер». Каждый Сервер

администрирования может иметь несколько подчиненных Серверов как на
одном, так и на вложенных уровнях иерархии. Уровень вложенности
подчиненных серверов не ограничен. При этом в состав логической сети
главного Сервера будут входить логические сети всех подчиненных
Серверов. Таким образом, обособленные, независимые друг от друга
участки компьютерной сети могут управляться различными Серверами
администрирования, которые, в свою очередь, управляются главным
Сервером (подробнее см. п. 3.5.1 на стр. 51).

Возможность построения иерархии Серверов может быть использована
для:

• ограничения нагрузки на Сервер администрирования (по сравнению
с одним установленным в сети Сервером);

• сокращения трафика внутри
офисами. Нет необходимости устанавливать соединение между
главным Сервером и всеми компьютерами сети, которые могут нахо­диться, например, в других регионах. Достаточно установить в каж­дом сегменте сети подчиненный Сервер администрирования, рас­пределить компьютеры в логические сети подчиненных Серверов и
обеспечить подчиненным Серверам соединение с главным Серве­ром по быстрым каналам связи;

• более четкого разделения ответственности между администратора­ми антивирусной безопасности. При этом сохраняются все возмож­ности централизованного управления и мониторинга состояния ан­тивирусной безопасности корпоративной сети.

сети и упрощения работы с удаленными

Концепция работы Kaspersky Administration Kit 15

Каждый компьютер, включенный в структуру логической сети, может быть
подключен только к одному Серверу администрирования.

Администратор должен самостоятельно контролировать корректность
подключения компьютеров к Серверам администрирования, используя
функцию поиска компьютеров по сетевым атрибутам в логических сетях
различных Серверов.

2.1.3. Клиентский компьютер. Группа

Взаимодействие между Сервером администрирования и компьютерами:

• доставку информации о текущем состоянии приложений;

• отправку и получение команд управления;

• синхронизацию конфигурационной информации;

• отправку на Сервер информации о событиях в работе приложений;

• функционирование агента обновлений;

осуществляет Агент администрирования. Данный компонент должен быть
установлен на все компьютеры, где управление работой

«Лаборатории Касперского» выполняется с помощью Kaspersky
Administration Kit.

Агент администрирования устанавливается на компьютере в качестве
службы со следующим набором атрибутов:

• с именем Kaspersky Network Agent;

• с автоматическим типом запуска, при старте операционной системы;

• с учетной записью Локальная система.

Совместно с Агентом администрирования на компьютер устанавливается
плагин для работы с Cisco NAC. Этот
на компьютере установлено приложение Cisco Trust Agent. Параметры
совместной работы с Cisco NAC задаются в свойствах Сервера
администрирования.

Компьютер, сервер или рабочая станция на котором установлен Агент
администрирования и управляемые приложения «Лаборатории
Касперского», будем называть – клиент Сервера администрирования
(или просто клиентский компьютер).

В соответствии с организационной или территориальной структурой
предприятия, выполняемыми функциями и устанавливаемым на них
набором приложений «Лаборатории Касперского» клиентские компьютеры

плагин работает в том случае, когда

приложений

16 Kaspersky® Administration Kit

могут быть организованы в группы администрирования. Объединение
осуществляется для удобства управления компьютерами группы как
единым целым, и при его выполнении может использоваться любое
сочетание указанных принципов, а также другие признаки по выбору
администратора. Например, верхний уровень могут составлять группы,
соответствующие отделам. На следующем уровне внутри каждого отдела
компьютеры объединяются в зависимости от выполняемых ими функций:
одна группа компьютеров может включать в себя все рабочие станции,
другая – все файловые серверы и т. п.

Группа – это набор клиентских компьютеров, объединенных по какому-либо
признаку, с целью управления компьютерами группы как единым целым.
Для всех клиентских компьютеров в группе устанавливаются:

• единые параметры

литик;

• единый режим работы приложений – путем создания групповых за-
дач (функций приложения) с заданным набором параметров (напри-

мер: создание и установка единого инсталляционного пакета, об­новление антивирусных баз и программных модулей, проверка ком­пьютера по требованию и постоянная защита).

Клиентский компьютер может входить в состав только одной группы.

Администратор может создавать иерархию Серверов и групп любой
глубины вложенности, если это облегчает ему выполнение задач по
управлению приложениями. На одном уровне иерархии могут
располагаться подчиненные Серверы администрирования, группы и
клиентские компьютеры.

работы приложений – с помощью групповых по-

2.1.4. Рабочее место администратора

Компьютеры, на которых установлен компонент Консоль
администрирования, будем называть рабочими местами
администраторов. С этих компьютеров администраторы могут
осуществлять удаленное централизованное управление конфигурацией
всех установленных на клиентских компьютерах логической сети
приложений «Лаборатории Касперского».

После установки Консоли администрирования на компьютере в меню
Пуск / Программы / Kaspersky Administration Kit появляется значок для
ее запуска.

Рабочее место администратора
однако также может быть включено в ее состав в качестве клиентского

не является объектом логической сети,

Концепция работы Kaspersky Administration Kit 17

компьютера. На количество рабочих мест администратора никаких
ограничений не накладывается. Рабочие места администраторов для
разных логических сетей могут совпад ать, с каждого из них может
осуществляться управление любой логической сетью в структуре сети
предприятия.

В одной логической сети один и тот же компьютер может быть и клиентом
Сервера администрирования, и Сервером
местом администратора.

администрирования, и рабочим

2.1.5. Плагин управления приложением

Интерфейс для управления работой конкретного приложения через
Консоль администрирования предоставляет специализированный
компонент – плагин управления приложением, входящий в состав всех
приложений «Лаборатории Касперского», управление которыми может
осуществляться при помощи Kaspersky Administration Kit. Плагин
управления для каждого приложения свой. Он устанавливается на рабочее
место администратора и обеспечивает:

• набор диалоговых окон (интерфейс) для создания и редактирования
политик приложения;

• набор диалоговых окон (интерфейс) для создания и редактирования

настроек приложения;

• набор диалоговых окон (интерфейс) для создания и редактирования

настроек задач, реализуемых приложением;

• предоставление информации о задачах, реализуемых приложением;

• предоставление информации о событиях, генерируемых приложени-

ем;

• предоставление для Консоли администрирования функций отобра-
жения информации,
тиях и статистике работы приложения.

получаемой с клиентских компьютеров, о собы-

2.1.6. Политики, настройки и задачи

Именованное действие, выполняемое приложением «Лаборатории
Касперского», называется задачей. В соответствии с выполняемыми
функциями задачи разделяют по типам.

18 Kaspersky® Administration Kit

Каждой задаче соответствует набор параметров работы приложения при ее
выполнении. Набор параметров работы приложения, общий для всех типов
его задач, составляет настройки приложения. Параметры работы
приложения, специфичные для каждого типа задач, образуют настройки
задачи. Настройки приложения и настройки задач не пересекаются.

Подробное описание типов задач для каждого приложения «Лаборато-

Касперского» приводится в Руководствах к ним.

рии

Для того чтобы инициировать выполнение необходимой функции, следует
настроить параметры работы приложения, создать и настроить
соответствующую задачу и запустить ее на выполнение.

Настройки приложения, которые определяются для отдельного клиентского
компьютера через локальный интерфейс или удаленно через Консоль
администрирования будем называть локальными настройками

приложения.

Централизованная настройка параметров работы приложений,
установленных на клиентских

компьютерах логической сети,

осуществляется через определение политик.

Политика – это набор параметров работы приложения в группе. Политика
включает в себя параметры полной настройки всей функциональности
приложения, за исключением параметров, индивидуальных для конкретных
экземпляров задач. Примером таких параметров являются параметры
расписания.

Таким образом, в политику входят параметры:

• общие для всех типов

задач – настройки приложения;

• общие для всех экземпляров задач каждого типа – большая часть
настроек задач.

Это означает, что политика для антивирусного приложения (см. рис. 1), в
число задач которого входят задачи постоянной защиты и проверки по
требованию, включает все необходимые параметры настройки приложения
при выполнении обоих типов задач, но не включает, например

, расписание

запуска этих задач, параметры, определяющие область проверки.

Концепция работы Kaspersky Administration Kit 19

Рисунок 1. Политика

Каждый параметр, представленный в политике, имеет атрибут – «замок»,
который показывает, наложен ли запрет на изменение параметра в
политиках вложенного уровня иерархии (для вложенных групп и
подчиненных Серверов администрирования), в настройках задач и
локальных настройках приложения. Если в политике для параметра
установлен «замок», переопределить значение будет невозможно (см. п.

2.1.7 на стр. 20).

В группе для каждого приложения определяется своя собственная
политика. Для одного приложения может быть определено несколько
политик с различными значениями параметров. Однако действующая
политика для приложения может быть только одна.

Предусмотрена возможность активировать политику, не являющуюся
действующей, по событию, что позволяет, например, устанавливать более
жесткие параметры антивирусной защиты в периоды вирусных

эпидемий.

Также можно сформировать политику для мобильных пользователей. Она
будет вступать в силу при отключении компьютера от логической сети
предприятия.

Для разных групп параметры работы приложения могут быть различны. В
каждой группе может быть создана собственная политика для приложения.

Вложенные группы и подчиненные Серверы администрирования наследует
политики группы более высокого

уровня иерархии.

Создание и настройка задач в логической сети осуществляется
централизованно. Задача может быть определена для группы
администрирования – групповая задача, для отдельного клиентского
компьютера – локальная задача, для набора клиентских компьютеров из
произвольных групп логической сети – глобальная задача.

20 Kaspersky® Administration Kit

Для группы может быть определена групповая задача даже в случае, когда
приложение «Лаборатории Касперского» установлено не на все клиентские
компьютеры группы. В этом случае групповая задача выполняется только
для тех компьютеров, на которых данное приложение установлено.

Вложенные группы и подчиненные Серверы администрирования наследуют
задачи групп более высоких уровней иерархии. Задача,
группы, будет выполняться не только на клиентских компьютерах,
включенных в состав данной группы, но и на клиентских компьютерах,
включенных в состав вложенных в нее групп и подчиненных Серверов, на
всех последующих уровнях иерархии.

Задачи, созданные для клиентского компьютера локально, будут выпол­няться только для данного компьютера. При синхронизации клиента
Сервером администрирования локальные задачи будут добавлены в пе­речень сформированных задач для клиентского компьютера.

Поскольку параметры работы приложения определяются политикой, в
настройках задачи могут быть переопределены параметры, на которые в
политике не наложен запрет на изменение, а также параметры, которые
могут быть установлены только для конкретного экземпляра задачи.
Например, для задачи проверки диска это имя диска, маски проверяемых
файлов и т. п.

Задача может запускаться
Результаты выполнения задач сохраняются на Сервере
администрирования и локально, и администратор может получать
уведомления о том, как выполнилась та или иная задача, а также
просматривать подробные отчеты.

Информация о политиках, настройках приложения, глобальных и групповых
задачах сохраняется на Сервере и распространяется на клиентские
компьютеры в
администрирования, в свою очередь, вносятся локальные изменения,
проведенные на клиентских компьютерах и разрешенные политикой, а
также обновляется список приложений, функционирующих на клиенте, их
статус и перечень сформированных задач.

ходе синхронизации. При этом в данные Сервера

автоматически (по расписанию) или вручную.

определенная для

с

2.1.7. Взаимосвязь политики и
локальных настроек приложения

При помощи политик для всех компьютеров, входящих в состав группы,
могут быть установлены одинаковые значения параметров работы
приложения.

Концепция работы Kaspersky Administration Kit 21

Переопределить значения параметров, заданные политикой, для
отдельных компьютеров в группе можно при помощи локальных настроек
приложения. При этом можно установить значения только тех параметров,
изменение которых не запрещено политикой: параметр не закрыт «замком».

Какое значение использует приложение на клиентском компьютере (см.
рис. 2), определяется наличием «замка» у параметра в политике:

если на изменение параметра наложен запрет, на всех клиентских

•

компьютерах используется одно и то же значение – заданное поли­тикой;

• если запрет не наложен, то на каждом клиентском компьютере при­ложение использует локальное значение параметра, а не значение,
указанное в политике. При этом значение параметра может изме­няться через локальные настройки приложения.

Рисунок 2. Политика и локальные настройки приложения

Таким образом, при выполнении задачи на клиентском компьютере
приложение использует параметры заданные:

• настройками задачи и локальными настройками приложения, если в
политике не был установлен запрет на изменение параметра;

• политикой группы, если в политике был установлен запрет на изме-
нение параметра.

Как изменятся локальные настройки приложения после первого применения
политики

, определяется в политике приложения в окне Дополнительно

(см. рис. 14).

22 Kaspersky® Administration Kit

2.2. Подключение клиентских
компьютеров к Серверу
администрирования

Взаимодействие между клиентскими компьютерами и Сервером
администрирования осуществляется в процессе подключения клиентов к
Серверу. Эту функциональность обеспечивает Агент администрирования,
установленный на клиентских компьютерах.

Подключение производится для выполнения следующих операций:

• синхронизации списка приложений, установленных на клиентском
компьютере;

• синхронизации политик, настроек приложения, задач и настроек задач;

• получение Сервером текущей информации

и выполнении задач;

• доставки на Сервер информации о событиях, которые он должен об-
работать.

Основным является способ подключения клиентских компьютеров к
Серверу, при котором клиент соединяется с Сервером. Данный вид
соединения выполняется при автоматической синхронизации данных
клиента и Сервера, а также доставке на Сервер информации о
работе приложений.

Автоматическая синхронизация производится периодически, в соответствии
с настройками Агента администрирования (например, раз в 15 минут).
Интервал между соединениями задается администратором.

Информация о событии доставляется на Сервер сразу после того, как оно
произошло.

В настройках клиентского компьютера предусмотрен параметр Не
разрывать соединение с Сервером администрирования, который
определяет, будет ли
окончании перечисленных выше операций. Непрерывное соед инение
необходимо в случае, если требуется постоянный контроль за состоянием
приложений, а Сервер по тем или иным причинам не может устанавливать
соединение с клиентом (соединение защищено межсетевым экраном,
запрещено открывать порты на клиенте, неизвестен IP-адрес клиента, и т.д.).

завершаться соединение клиента с Сервером по

о состоянии приложений

событиях в

Концепция работы Kaspersky Administration Kit 23

Процесс синхронизации может быть также произведен администратором
вручную при помощи команды Синхронизировать контекстного меню
клиентского компьютера (см. п. 2.10.4 на стр. 35). В этом случае
используется вспомогательный способ подключения, при котором
соединение инициирует Сервер. Для этого на клиентском компьютере
открывается UDP-порт. Сервер посылает на UDP-порт запрос на
соединение. В ответ на него производится проверка прав Сервера на
подключение к клиенту (на основании цифровой подписи Сервера
администрирования) и в случае их наличия осуществляется соединение.

Второй способ соединения используется также при обращении к данным
клиента на Сервере: для получения текущей информации о состоянии
приложений, задач и статистики работы приложений.

2.3. Защищенное подключение к
Серверу администрирования

Обмен информацией между клиентскими компьютерами и Сервером
администрирования, а также подключение Консоли к Серверу
администрирования может производиться с использованием протокола SSL
(Secure Socket Layer). Он позволяет идентифицировать
взаимодействующие стороны, осуществлять шифрование передаваемых
данных и обеспечивать их защиту от изменения при передаче. В основе
используемого при защищенном соединении SSL-протокола лежит
аутентификация взаимодействующих сторон и шифрование
методу открытых ключей.

данных по

2.3.1. Сертификат Сервера

администрирования

Аутентификация Сервера администрирования при подключении к нему
Консоли администрирования и обмене информацией с клиентскими
компьютерами осуществляется на основании сертификата Сервера
администрирования. Также сертификат используется для аутентификации
между главными и подчиненными Серверами администрирования.

Сертификат Сервера администрирования создается при установке
компонента Сервер администрирования и хранится на Сервере
администрирования в каталоге установки программы в каталоге Cert.

Сертификат Сервера администрирования создается только один раз, при
установке. Его рекомендуется сохранять средствами мастера установки во

24 Kaspersky® Administration Kit

время установки Сервера администрирования. В случае если сертификат
Сервера администрирования утерян, для его восстановления необходимо
провести переустановку компонента Сервер администрирования и
восстановление данных (см. п. 6.5 на стр. 87).

2.3.2. Аутентификация Сервера при

подключении Консоли

При первом после установки подключении к Серверу Консоль
администрирования запрашивает сертификат Сервера администрирования
и сохраняет его локально на рабочем месте администратора. На основании
полученной копии сертификата при последующих подключениях к Серверу
администрирования с данным именем осуществляться идентификация
Сервера.

Если сертификат Сервера администрирования не совпадает с копией
сертификата, хранящейся на рабочем месте
запрос на подтверждение подключения к Серверу с заданным именем и
получение нового сертификата. При удачном подключении Консоль
администрирования сохраняет копию нового сертификата Сервера
администрирования, она будет использоваться для идентификации
Сервера в дальнейшем.

администратора, выводится

2.3.3. Аутентификация Сервера при

подключении клиентского
компьютера

При первом подключении клиентского компьютера к Серверу Агент
администрирования получает сертификат Сервера администрирования и
сохраняет его локально.

Если установка Агента администрирования проводится локально, серти­фикат Сервера администрирования может быть выбран администратором
вручную.

На основании полученной копии сертификата осуществляется проверка
прав и полномочий Сервера администрирования при следующих
соединениях.

В дальнейшем, при каждом подключении клиентского компьютера к
Серверу Агент администрирования запрашивает сертификат Сервера
администрирования и сравнивает его с локальной копией. Если они не

Концепция работы Kaspersky Administration Kit 25

совпадают, доступ Сервера администрирования к клиентскому компьютеру
не разрешается.

Если соединение инициирует Сервер администрирования, то аналогичным
образом сначала проверяется поступивший с Сервера администрирования
запрос на соединение через UDP-порт.

2.4. Идентификация клиентских
компьютеров в логической
сети

Идентификация клиентских компьютеров в логической сети осуществляется
на основании имен клиентских компьютеров. Имя клиентского
компьютера является уникальным среди всех имен компьютеров,
подключенных к Серверу администрирования.

Имя клиентского компьютера передается на Сервер администрирования
либо при опросе Windows-сети и обнаружении в ней нового компьютера,
либо при первом подключении установленного на клиентский компьютер
Агента

администрирования. По умолчанию имя совпадает с именем
компьютера в Windows-сети (NetBIOS-имя). Если на Сервере
администрирования клиентский компьютер с таким именем уже
зарегистрирован, то к имени нового клиентского компьютера будет
добавлено окончание с порядковым номером, например: <Имя>-1, <Имя>-2
и т. д. Под этим именем клиентский компьютер включается в состав
логической сети.

2.5. Права доступа в логической

сети

В Kaspersky Administration Kit предусмотрены следующие типы разрешений
на доступ к функциональности приложения:

• Чтение:

• подключение к Серверу администрирования;

• просмотр структуры логической сети (или группы админи-

стрирования);

• просмотр значения параметров политик, задач и настроек
приложения.

26 Kaspersky® Administration Kit

• Выполнение: запуск и остановка существующих групповых и гло­бальных задач; получение отчетов о работе установленных на кли­ентских компьютерах приложений.

• Запись:

• создание логической сети, добавление в нее групп и кли-

ентских компьютеров (или в группу администрирования);

• установка на клиентские компьютеры компонента Агент
администрирования;

• создание и установка на клиентские компьютеры необхо­димых инсталляционных пакетов для антивирусных прило­жений компании, а также лицензионных ключей к ним;

• обновление версии установленных на клиентских компью­терах приложений;

• создание политик, задач для групп и отдельных компьюте­ров, изменение настроек приложения;

• централизованное управление приложениями при помощи
сервисов, предоставляемых компонентами Сервер

, Агент и

Консоль администрирования;

• предоставление пользователям и группам пользователей
прав доступа к функциональности Kaspersky Administration Kit.

После установки Сервера администрирования по умолчанию правами на
подключение к Серверу и работе с логической сетью обладают
пользователи, входящие в группы KLAdmins и KLOperators.

Данные группы формируются при инсталляции компонента Сервер
администрирования и создаются в зависимости

от того, какая учетная

запись была выбрана для запуска службы Сервера администрирования:

• в домене, в который входит Сервер администрирования, и на компь­ютере Сервера администрирования, если Сервер администрирова­ния запускается под учетной записью пользователя, входящего в
домен;

• только на компьютере Сервера администрирования, если Сервер за-
пускается под учетной записью

системы.

Группе KLAdmins предоставлены все права: Чтение, Выполнение,
Запись. Группе KLOperators право Чтение. Изменить набор прав,
предоставленных группе KLAdmins, невозможно.

Концепция работы Kaspersky Administration Kit 27

Пользователей, входящих в группу KLAdmins будем называть

администраторами логической сети, пользователей из группы
KLOperators – операторами логической сети.

Просмотр групп KLAdmins и KLOperators и внесение необходимых
изменений осуществляется при помощи стандартных средств
администрирования Windows – Управление / Локальные пользователи и

группы.

Помимо пользователей, входящий в группу KLAdmins, права
администратора логической сети предоставляются:

• администраторам

домена, компьютеры которого входят в состав

этой логической сети;

• локальным администраторам компьютеров, на которых установлен
Сервер администрирования.

Все операции, которые будут инициировать администраторы логической
сети, будут выполняться с правами учетной записи Сервера
администрирования. Для каждого Сервера администрирования может быть
сформирована своя группа KLAdmins, обладающая правами только внутри
этой логической сети.

Если компьютеры, относящиеся к одному домену, образуют несколько
логических сетей, администратор домена является администратором
логической сети в каждой из них. При этом группа KLAdmins для этих
логических сетей едина и создается при установке первого Сервера
администрирования. Ее пополнение может быть проведено средствами
администрирования операционной системы. Операции, которые будут
инициировать администраторы логической сети, будут выполняться с
правами соответствующего Сервера администрирования.

Права пользователей в приложении Kaspersky Administration Kit
устанавливаются на основании Windows-аутентификации пользователей в
сети.

После установки приложения администратор логической сети может (см.
п. 3.2 на стр. 43):

• изменить права

, предоставляемые группам KLOperators;

• предоставить права доступа

к функциональности приложения

Kaspersky Administration Kit другим группам пользователей и отдель-

ным пользователям, зарегистрированным на компьютере, где уста­новлена Консоль администрирования;

• предоставить различные права доступа для работы в каждой группе
администрирования.

28 Kaspersky® Administration Kit

2.6. Схемы развертывания
антивирусной защиты на
компьютерах логической сети

Существует два варианта развертывания системы антивирусной защиты,
управляемой при помощи приложения Kaspersky Administration Kit:

• посредством удаленной централизованной установки приложений на
клиентские компьютеры логической сети. При этом установка прило­жений и подключение к системе централизованного удаленного
управления происходит автоматически, не требует какого-либо вме­шательства со стороны администратора и позволяет устанавливать
антивирусное программное обеспечение
ентских компьютеров.

• путем локальной установки приложений на каждый клиентский ком­пьютер. В этом случае установка необходимых компонентов на кли­ентские компьютеры и рабочее место администратора производится
вручную, параметры подключения клиентов к Серверу задаются при
установке Агента администрирования. Этот вариант развертывания
используется в том случае, когда
централизованную установку.

Удаленная установка может быть использована для инсталляции любых
приложений по выбору пользователя.
Однако следует помнить, что Kaspersky Administration Kit поддерживает
управление только приложениями «Лаборатории Касперского», в дистри­бутив которых входит специализированный компонент – плагин управле­ния приложением.

на любое количество кли-

невозможно провести удаленную

2.7. Схема построения системы
централизованного
управления антивирусной
защитой

Первым этапом построения системы централизованного управления
антивирусной защитой сети предприятия при помощи программного

Концепция работы Kaspersky Administration Kit 29

комплекса Kaspersky Administration Kit является проектирование логической
сети. На данном этапе необходимо принять следующие решения:

1. Выделить в сети изолированные участки и определить, какое
количество Серверов администрирования потребуется
установить.

2. Какие компьютеры в составе сети предприятия будут
выполнять функции главного Сервера администрирования и
подчиненных Серверов, какие – рабочих мест администратора
и клиентских компьютеров. Клиентскими компьютерами

должны
стать все компьютеры, на которые предполагается установить
приложения «Лаборатории Касперского».

3. По какому признаку будет осуществляться объединение
клиентских компьютеров в группы, и определить иерархию групп.

4. Какой вид развертывания системы антивирусной защиты будет
использоваться: удаленная или локальная установка.

На следующем этапе администратор должен создать логическую сеть
путем установки соответствующих программных компонентов

Kaspersky

Administration Kit на компьютеры сети, а именно:

1. Установить Сервер администрирования на компьютеры,
входящие в состав сети предприятия.

2. Установить Консоль администрирования на компьютеры, с
которых будет осуществляться управление.

3. Принять решение о назначении администраторов логической

сети, определить, какие еще категории пользователей будут
работать с системой, и закрепить за каждой категорией
перечень выполняемых

функций.

4. Сформировать группы пользователей и предоставить каждой
группе необходимые для выполнения возложенных на ее
пользователей функций права доступа.

После этого необходимо создать иерархию Серверов администрирования и
для каждого Сервера сформировать структуру логической сети: построить
иерархию групп администрирования и провести распределение
компьютеров в соответствующие группы.

На следующем этапе осуществляется установка на

клиентские компьютеры
компонента Агент администрирования, необходимых приложений
«Лаборатории Касперского», а также на рабочее место администратора
соответствующих плагинов управления приложениями.

30 Kaspersky® Administration Kit

Не все приложения «Лаборатории Касперского», управление которыми
доступно через Kaspersky Administration Kit, могут быть установлены на
клиентские компьютеры удаленно. Подробную информацию об этом см. в
Руководствах к соответствующим приложениям.

При использовании удаленной установки Агент администрирования может
быть установлен совместно с любым приложением, в этом случае отдельная
установка Агента администрирования не требуется.

На заключительном этапе производится настройка установленных
приложений посредством определения и применения групповых политик
(см. п. 4.1 на стр. 58) и создание необходимых задач (см. п. 4.1.2 на стр. 63).

Приложение предоставляет возможность
централизованного управления антивирусной защитой с минимальными
настройками с помощью мастера первоначальной настройки (см. п. 3.3 на
стр. 44). При этом создается логическая сеть, идентичная доменной
структуре Windows-сети, и формируется система антивирусной защиты с
использованием Антивируса Касперского для Windows Workstations версий

5.0 и 6.0.

создания системы

2.8. Обслуживание логической

сети

После создания логической сети, установки и настройки антивирусной
защиты администраторам рекомендуется регулярно выполнять следующие
операции:

• Периодически просматривать отчеты о работе приложений на кли-
ентских компьютерах.

• Читать уведомления, отправленные с клиентских компьютеров и
Сервера администрирования.

Полный список уведомлений, посылаемых приложениями из со­става продуктов «Лаборатории Касперского», приведен в Руково-

к ним.

дствах

• Если на одном из клиентских компьютеров возникла ситуация, в ко­торую администратор считает нужным вмешаться, он может сделать
это со своего рабочего места, например, провести лечение заражен­ных файлов на этом компьютере.