Kaspersky lab ADMINISTRATION KIT 8.0 User Manual [ru]

Download

РУКОВОДСТВО

АДМИНИСТРАТОРА

В Е РС И Я П РО Г Р АМ М Ы : 8 . 0 К Р И Т И Ч Е СК О Е И С П Р А В Л Е Н И Е 1

Kaspersky Administration

Kit 8.0

Уважаемый пользователь!

Спасибо за то, что выбрали наш продукт. Мы надеемся, что эта документация поможет вам в работе и ответит на большинство возникающих вопросов.

Внимание! Права на этот документ являются собственностью ЗАО «Лаборатория Касперского» и защищены законодательством Российской Федерации об авторском праве и международными договорами. За незаконное копирование и распространение документа и его отдельных частей нарушитель несет гражданскую, административную или уголовную ответственность в соответствии с законодательством Российской Федерации.

Копирование в любой форме, распространение, в том числе в переводе, любых материалов возможны только с письменного разрешения ЗАО «Лаборатория Касперского».

Документ и связанные с ним графические изображения могут быть использованы только в информационных, некоммерческих или личных целях.

Документ может быть изменен без предварительного уведомления. Последнюю версию документа вы можете найти на сайте «Лаборатории Касперского» по адресу http://www.kaspersky.ru/docs.

За содержание, качество, актуальность и достоверность используемых в документе материалов, права на которые принадлежат другим правообладателям, а также за возможный ущерб, связанный с использованием этих материалов, ЗАО «Лаборатория Касперского» ответственности не несет.

В этом документе используются зарегистрированные товарные знаки и знаки обслуживания, которые являются собственностью соответствующих правообладателей.

Дата редакции документа: 02.02.2010

http://www.kaspersky.ru

http://support.kaspersky.ru

СОДЕРЖАНИЕ

KASPERSKY ADMINISTRATION KIT ........................................................................................................................... 5

Комплект поставки ................................................................................................................................................. 5

Сервис для зарегистрированных пользователей ................................................................................................ 5

Получение информации о программе .................................................................................................................. 6

Источники информации для самостоятельного поиска ................................................................................. 6

Обращение в Службу технической поддержки .............................................................................................. 7

Обсуждение программ «Лаборатории Касперского» на веб-форуме ........................................................... 8

Возможности программы ................................................................................................ ....................................... 8

Назначение документа .......................................................................................................................................... 9

Состав программы ................................................................................................................................................. 9

Требования к аппаратному и программному обеспечению .............................................................................. 10

Что нового............................................................................................................................................................. 12

ОСНОВНЫЕ ПОНЯТИЯ ............................................................................................................................................ 14

Сервер администрирования. Группы администрирования ............................................................................... 14

Иерархия Серверов администрирования........................................................................................................... 15

Клиентский компьютер. Группа ........................................................................................................................... 15

Рабочее место администратора ......................................................................................................................... 16

Плагин управления программой ......................................................................................................................... 17

Политики, параметры программы и задачи ....................................................................................................... 17

Взаимосвязь политики и локальных параметров программы ........................................................................... 19

КОНЦЕПЦИЯ РАБОТЫ KASPERSKY ADMINISTRATION KIT ................................................................................ 21

Развертывание системы антивирусной защиты ................................ ................................................................ 21

Совместимость с Cisco Network Admission Control (NAC) ................................................................................. 22

Совместимость с Microsoft Network Access Protection (NAP) ............................................................................ 22

Создание системы централизованного управления антивирусной защитой .................................................. 22

Подключение клиентских компьютеров к Серверу администрирования ......................................................... 23

Защищенное подключение к Серверу администрирования ............................................................................. 24

Сертификат Сервера администрирования ................................................................................................... 24

Аутентификация Сервера при подключении клиентского компьютера ...................................................... 25

Аутентификация Сервера при подключении Консоли ................................................................................. 25

Идентификация клиентских компьютеров на Сервере администрирования ................................................... 25

Права доступа к Серверу администрирования и его объектам........................................................................ 26

Концепция пользовательского интерфейса ....................................................................................................... 27

Настройка интерфейса .................................................................................................................................. 28

Запуск программы .......................................................................................................................................... 28

Главное окно программы ............................................................................................................................... 29

Дерево консоли .............................................................................................................................................. 30

Панель задач .................................................................................................................................................. 31

Панель результатов ....................................................................................................................................... 34

Контекстное меню .......................................................................................................................................... 34

УПРАВЛЕНИЕ КОМПЬЮТЕРАМИ СЕТИ ................................................................................................................. 36

Подключение к Серверу администрирования ................................................................................................... 36

Предоставление прав .......................................................................................................................................... 37

Просмотр информации о компьютерной сети. Домены, IP-диапазоны и группы Active Directory .................. 38

Р У К О В О Д С Т В О А Д М И Н И С Т Р А Т О Р А

Мастер первоначальной настройки .................................................................................................................... 40

Создание, просмотр и изменение структуры групп администрирования ........................................................ 40

Группы ............................................................................................................................................................. 43

Клиентские компьютеры ................................................................................................................................ 44

Подчиненные Серверы администрирования ............................................................................................... 46

УДАЛЕННОЕ УПРАВЛЕНИЕ ПРОГРАММАМИ ........................................................................................................ 49

Управление политиками ...................................................................................................................................... 49

Локальные параметры программы ..................................................................................................................... 53

Управление работой программы ........................................................................................................................ 53

ОБНОВЛЕНИЕ БАЗ И ПРОГРАММНЫХ МОДУЛЕЙ................................................................................................ 60

Загрузка обновлений в хранилище Сервера администрирования ................................................................... 60

Распространение обновлений на клиентские компьютеры .............................................................................. 63

Обновление подчиненных Серверов и их клиентских компьютеров ............................................................... 64

Распространение обновлений с помощью агентов обновлений ................................ ...................................... 66

ОБСЛУЖИВАНИЕ ................................ ................................ ...................................................................................... 67

Продление срока действия лицензии ................................................................................................................. 68

Карантин и резервное хранилище ...................................................................................................................... 69

Журналы событий. Выборки событий ................................................................................................................ 71

Отчеты .................................................................................................................................................................. 75

Поиск компьютеров .............................................................................................................................................. 78

Выборки компьютеров ......................................................................................................................................... 80

Реестр программ ................................ ................................ .................................................................................. 82

Контроль возникновения вирусных эпидемий ................................................................................................... 83

Файлы с отложенной обработкой ....................................................................................................................... 86

Резервное копирование и восстановление данных Сервера администрирования ........................................ 86

ГЛОССАРИЙ ТЕРМИНОВ ......................................................................................................................................... 88

ЗАО «ЛАБОРАТОРИЯ КАСПЕРСКОГО» ................................................................................................................. 93

ПРЕДМЕТНЫЙ УКАЗАТЕЛЬ ..................................................................................................................................... 94

В ЭТОМ РАЗДЕЛЕ

Комплект поставки ........................................................................................................................................................... 5

Сервис для зарегистрированных пользователей ......................................................................................................... 5

Получение информации о программе ............................................................................................................................ 6

Возможности программы ................................................................................................................................................ 8

Назначение документа .................................................................................................................................................... 9

Состав программы ........................................................................................................................................................... 9

Требования к аппаратному и программному обеспечению ........................................................................................ 10

Что нового ...................................................................................................................................................................... 12

KASPERSKY ADMINISTRATION KIT

Программа Kaspersky Administration Kit предназначена для централизованного решения основных административных задач по управлению системой антивирусной безопасности компьютерной сети предприятия, построенной на основе программ, входящих в состав продуктов Kaspersky Open Space Security. Kaspersky Administration Kit поддерживает работу во всех сетевых конфигурациях, использующих протокол TCP/IP.

Программа адресована администраторам корпоративных компьютерных сетей, а также сотрудникам, отвечающим за антивирусную защиту компьютеров в организациях.

КОМПЛЕКТ ПОСТАВКИ

Программный продукт бесплатно поставляется со всеми приложениями «Лаборатории Касперского», входящими в состав Kaspersky Open Space Security (коробочный вариант). Кроме того, он доступен для загрузки с веб-сайта «Лаборатории Касперского» (http://www.kaspersky.ru).

СЕРВИС ДЛЯ ЗАРЕГИСТРИРОВАННЫХ ПОЛЬЗОВАТЕЛЕЙ

ЗАО «Лаборатория Касперского» предлагает своим легальным пользователям целый комплекс услуг, позволяющих повысить эффективность использования приложения.

Приобретая лицензии на какой-либо из продуктов «Лаборатории Касперского», входящих в состав Kaspersky Open Space Security, вы становитесь зарегистрированным пользователем Kaspersky Administration Kit. В течение срока действия лицензии вам предоставляются следующие услуги:

 ежечасное обновление баз приложения и предоставление новых версий данного программного продукта;

 консультации по вопросам, связанным с установкой, настройкой и эксплуатацией программного

продукта, оказываемые по телефону и электронной почте;

При обращении в Службу технической поддержки укажите информацию о лицензии приложения «Лаборатории Касперского», совместно с которым используется Kaspersky Administration Kit.

 оповещение о выходе новых программных продуктов «Лаборатории Касперского» и о новых вирусах,

появляющихся в мире. Данная услуга предоставляется пользователям, подписавшимся на рассылку

Р У К О В О Д С Т В О А Д М И Н И С Т Р А Т О Р А

В ЭТОМ РАЗДЕЛЕ

Источники информации для самостоятельного поиска ................................................................................................ 6

Обращение в Службу технической поддержки ............................................................................................................. 7

Обсуждение программ «Лаборатории Касперского» на веб-форуме .......................................................................... 8

новостей ЗАО «Лаборатория Касперского» на веб-сайте Службы технической поддержки

(http://support.kaspersky.ru/subscribe/).

Консультации по вопросам функционирования и использования операционных систем, а также работы различных технологий не проводятся.

ПОЛУЧЕНИЕ ИНФОРМАЦИИ О ПРОГРАММЕ

Если у вас возникли вопросы по выбору, приобретению, установке или использованию Kaspersky Administration Kit, вы можете быстро получить ответы на них.

«Лаборатория Касперского» предоставляет различные источники информации о программе. Среди них вы можете выбрать наиболее удобный для вас в зависимости от важности и срочности вопроса.

ИСТОЧНИКИ ИНФОРМАЦИИ ДЛЯ САМОСТОЯТЕЛЬНОГО ПОИСКА

Вы можете обратиться к следующим источникам информации о программе:

 странице программы на веб-сайте «Лаборатории Касперского»;

 странице программы на веб-сайте Службы технической поддержки (в Базе знаний);

 электронной справочной системе;

 документации.

Страница на веб-сайте «Лаборатории Касперского»

http://www.kaspersky.ru/administration_kit

На этой странице вы получите общую информацию о программе, ее возможностях и особенностях.

Страница на веб-сайте Службы технической поддержки (База знаний)

http://support.kaspersky.ru/remote_adm

На этой странице вы найдете статьи, опубликованные специалистами Службы технической поддержки.

Эти статьи содержат полезную информацию, рекомендации и ответы на часто задаваемые вопросы, связанные с приобретением, установкой и использованием программы. Они сгруппированы по темам, например, «Управление лицензиями», «Организация обновления антивирусных баз» или «Устранение сбоев в работе». Статьи могут отвечать на вопросы, относящиеся не только к этой программе, но и к другим продуктам «Лаборатории Касперского», а также содержать новости Службы технической поддержки в целом.

Электронная справочная система

В комплект поставки программы входит файл полной справки.

K A S P E R S K Y A D M I N I S T R A T I O N K IT

Полная справка содержит пошаговое описание предоставляемых программой функций.

Чтобы открыть полную справку, выберите команду Вызов справки в меню Справка консоли.

Если у вас возникнет вопрос, связанный с отдельным окном программы, вы можете обратиться к контекстной справке.

Чтобы открыть контекстную справку, нажмите на кнопку Справка в интересующем вас окне или на клавишу

F1.

Документация

Комплект документации к программе содержит большую часть информации, необходимой для работы с ней. В его состав входят следующие документы:

 Руководство администратора – содержит назначение, основные понятия, функции и общие схемы

работы с программой Kaspersky Administration Kit.

 Руководство по развертыванию – содержит описание установки компонентов Kaspersky Administration

Kit, а также удаленной установки программ в компьютерной сети простой конфигурации.

 Начало работы – содержит описание шагов, с помощью которых администратор антивирусной

безопасности предприятия может быстро начать работу с программой Kaspersky Administration Kit и развернуть в своей сети антивирусную защиту на базе программ «Лаборатории Касперского».

 Справочное руководство – содержит назначение программы Kaspersky Administration Kit и пошаговое

описание предоставляемых ею функций.

Файлы с этими документами в формате PDF входят в комплект поставки Kaspersky Administration Kit (установочный компакт-диск).

Загрузить файлы документов можно со страницы программы на сайте «Лаборатории Касперского».

ОБРАЩЕНИЕ В СЛУЖБУ ТЕХНИЧЕСКОЙ ПОДДЕРЖКИ

Вы можете получить информацию о программе от специалистов Службы технической поддержки по телефону или через интернет. При обращении в Службу технической поддержки указывайте информацию о лицензии продукта «Лаборатории Касперского», совместно с которым используется программа.

Специалисты Службы технической поддержки ответят на ваши вопросы об установке и использовании программы, не отраженные в справке. Если ваш компьютер был заражен, они помогут преодолеть последствия работы вредоносных программ.

Прежде чем обращаться в Службу технической поддержки, пожалуйста, ознакомьтесь с правилами ее предоставления (http://support.kaspersky.ru/support/rules).

Электронный запрос в Службу технической поддержки

Вы можете задать вопрос специалистам Службы технической поддержки, заполнив веб-форму системы обработки клиентских запросов Helpdesk (http://support.kaspersky.ru/helpdesk.html).

Запрос можно отправить на русском, английском, немецком, французском или испанском языках.

Чтобы отправить электронный запрос, укажите в нем номер клиента, полученный при регистрации на вебсайте Службы технической поддержки, и пароль.

Если вы еще не являетесь зарегистрированным пользователем программ «Лаборатории Касперского», заполните регистрационную форму (https://support.kaspersky.com/ru/personalcabinet/registration/form/). При регистрации укажите код активации программы или файл ключа.

Р У К О В О Д С Т В О А Д М И Н И С Т Р А Т О Р А

Вы получите ответ на свой запрос от специалиста Службы технической поддержки в своем Персональном кабинете (https://support.kaspersky.com/ru/PersonalCabinet) и по электронному адресу, который вы указали в запросе.

В веб-форме запроса как можно подробнее опишите возникшую проблему. В обязательных для заполнения полях укажите:

 Тип запроса. Вопросы, которые пользователи задают наиболее часто, выделены в отдельные темы,

например, «Проблема установки / удаления продукта» или «Проблема поиска/удаления вирусов». Если вы не найдете подходящей темы, выберите «Общий вопрос».

 Название и номер версии программы.

 Текст запроса. Опишите как можно подробнее возникшую проблему.

 Номер клиента и пароль. Введите номер клиента и пароль, которые вы получили при регистрации на

веб-сайте Службы технической поддержки.

 Электронный адрес. По этому адресу специалисты Службы технической поддержки перешлют ответ на

ваш запрос.

Техническая поддержка по телефону

Если возникла неотложная проблема, вы всегда можете позвонить в Службу технической поддержки в вашем городе. Перед обращением к специалистам русскоязычной (http://support.kaspersky.ru/support/support_local) или интернациональной (http://support.kaspersky.ru/support/international) технической поддержки, пожалуйста, соберите информацию (http://support.kaspersky.ru/support/details) о своем компьютере. Это поможет нашим специалистам быстрее помочь вам.

ОБСУЖДЕНИЕ ПРОГРАММ «ЛАБОРАТОРИИ КАСПЕРСКОГО» НА

ВЕБ-ФОРУМЕ

Если ваш вопрос не требует срочного ответа, его можно обсудить со специалистами «Лаборатории Касперского» и другими пользователями на нашем форуме по адресу http://forum.kaspersky.com.

На форуме вы можете просматривать опубликованные темы, оставлять свои комментарии, создавать новые темы, пользоваться поиском.

ВОЗМОЖНОСТИ ПРОГРАММЫ

Программа предоставляет администратору сети предприятия возможности:

 Удаленная централизованная установка и удаление программ, входящих в состав продуктов

«Лаборатории Касперского», на компьютеры сети. Эта возможность позволяет администратору, один раз скопировав необходимый набор программ «Лаборатории Касперского» на выделенный компьютер, в дальнейшем проводить их удаленную установку на компьютеры сети.

 Удаленное централизованное управление программами, входящими в состав продуктов «Лаборатории

Касперского». Эта возможность позволяет создавать многоуровневую систему антивирусной защиты и управлять работой всех программ с единого рабочего места администратора. Последнее особенно актуально для крупных организаций, локальная сеть которых состоит из большого количества компьютеров и может охватывать несколько территориально разделенных зданий или помещений. Данная возможность включает:

 формирование иерархии Серверов администрирования;

 объединение компьютеров в группы администрирования в соответствии с выполняемыми

функциями и набором установленных на них программ;

K A S P E R S K Y A D M I N I S T R A T I O N K IT

 централизованную настройку параметров работы программ путем создания и применения политик;

 индивидуальную настройку параметров работы программ для отдельных компьютеров;

 централизованное управление работой программ путем создания и запуска групповых и задач для

наборов компьютеров и Сервера администрирования;

 построение индивидуальных схем работы программ путем создания и запуска задач для набора

компьютеров из различных групп администрирования.

 Автоматическое обновление баз и модулей программ на компьютерах. Эта возможность позволяет

централизованно обновлять базы для всех установленных программ компании без непосредственного обращения каждого компьютера к интернет-серверу «Лаборатории Касперского». Обновление может происходить автоматически, по заданному администратором графику. Администратор может отслеживать распространение обновлений на клиентские компьютеры.

 Система получения отчетности. Данная возможность позволяет централизованно собирать статистику о

работе всех установленных программ компании, отслеживать корректность работы этих программ и создавать отчеты на основании полученной информации. Администратор может создавать единый сетевой отчет о работе программы, отчеты о работе программ на каждом компьютере.

 Механизм оповещения о событиях в работе программ. Механизм рассылки уведомлений. Эта

возможность позволяет администратору формировать список событий в работе программ, при возникновении которых к нему будут поступать уведомления. В числе таких событий может быть, например, обнаружение вируса или некорректное завершение процедуры обновления баз программ на компьютере, а также обнаружение нового компьютера в сети.

 Управление лицензиями. Данная возможность позволяет централизованно устанавливать лицензии для

всех используемых программ компании, отслеживать выполнение лицензионного соглашения (соответствие числа лицензий количеству работающих программ в сети) и срок его окончания.

НАЗНАЧЕНИЕ ДОКУМЕНТА

Данное руководство содержит описание основных понятий и функций программы Kaspersky Administration Kit, а также общие схемы работы с ним. Пошаговое описание действий приводится в Справочном руководстве к Kaspersky Administration Kit. Функции, описываемые в Справочном руководстве, выделены в тексте подчеркиванием.

СОСТАВ ПРОГРАММЫ

Программа Kaspersky Administration Kit включает три основных компонента:

 Сервер администрирования (далее также Сервер) осуществляет функции централизованного хранения

информации об установленных в сети предприятия программах «Лаборатории Касперского» и управления ими.

 Агент администрирования (далее также Агент) осуществляет взаимодействие между Сервером

администрирования и программами «Лаборатории Касперского», установленными на конкретном сетевом узле (рабочей станции или сервере). Данный компонент является единым для всех Windowsпрограмм, входящих в состав продуктов Kaspersky Open Space Security. Для Novell- и Unix-программ «Лаборатории Касперского» существуют отдельные версии Агента администрирования.

 Консоль администрирования (далее также Консоль) предоставляет пользовательский интерфейс к

административным службам Сервера и Агента. Консоль администрирования выполнена в виде компонента расширения к Microsoft Management Console (MMC). Консоль администрирования позволяет подключаться к удаленному Серверу администрирования через интернет.

Р У К О В О Д С Т В О А Д М И Н И С Т Р А Т О Р А

ТРЕБОВАНИЯ К АППАРАТНОМУ И ПРОГРАММНОМУ

ОБЕСПЕЧЕНИЮ

Сервер администрирования

 Программные требования:

 Microsoft Data Access Components (MDAC) версии 2.8 и выше.

 MSDE 2000 с установленным Пакетом обновлений 3, или Microsoft SQL Server 2000 с установленным

Пакетом обновлений 3 и выше, или MySQL Enterprise версий 5.0.32 и 5.0.70, или Microsoft SQL 2005 и выше; или Microsoft SQL Express 2005 и выше, Microsoft SQL Express 2008, Microsoft SQL 2008.

Рекомендуется использовать Microsoft SQL 2005 с Пакетом обновлений 2, Microsoft SQL Express 2005 с Пакетом обновлений 2 и более поздние версии.

 Microsoft Windows 2000 с установленным Пакетом обновлений 4 и выше; Microsoft Windows XP

Professional с установленным Пакетом обновлений 2 и выше; Microsoft Windows XP Professional x64 и выше; Microsoft Windows Server 2003 и выше; Microsoft Windows Server 2003 x64 и выше; Microsoft Windows Vista с установленным Пакетом обновлений 1 и выше; Microsoft Windows Vista x64 c установленным Пакетом обновлений 1 и всеми текущими обновлениями, для Microsoft Windows Vista x64 должен быть установлен Microsoft Windows Installer 4.5; Microsoft Windows Server 2008; Microsoft Windows Server 2008, развернутая в режиме Server Core; Microsoft Windows Server 2008 x64 c установленным Пакетом обновлений 1 и всеми текущими обновлениями, для Microsoft Windows Server 2008 x64 должен быть установлен Microsoft Windows Installer 4.5; Microsoft Windows 7.

При работе с операционной системой Microsoft Windows 2000 с установленным Пакетом обновлений 4 необходимо до начала развертывания Сервера администрирования установить следующие обновления Microsoft Windows: накопительный Пакет обновлений 1 для Windows 2000 с Пакетом обновлений 4 (KB891861); обновление системы безопасности для Windows 2000

(KB835732).

 Аппаратные требования:

 процессор Intel Pentium III с частотой 800 МГц или выше;

 объем оперативной памяти 256 МБ;

 объем свободного места на диске 1 ГБ.

Консоль администрирования

 Программные требования:

 Microsoft Windows 2000 с установленным Пакетом обновлений 4 и выше; Microsoft Windows XP

Professional с установленным Пакетом обновлений 2 и выше; Microsoft Windows XP Home Edition с установленным Пакетом обновлений 2 и выше; Microsoft Windows XP Professional x64 и выше; Microsoft Windows Server 2003 и выше; Microsoft Windows Server 2003 x64 и выше; Microsoft Windows Vista с установленным Пакетом обновлений 1 и выше; Microsoft Windows Vista x64 c установленным Пакетом обновлений 1 и всеми текущими обновлениями, для Microsoft Windows Vista x64 должен быть установлен Microsoft Windows Installer 4.5; Microsoft Windows Server 2008; Microsoft Windows Server 2008 x64 c установленным Пакетом обновлений 1 и всеми текущими обновлениями, для Microsoft Windows Server 2008 x64 должен быть установлен Microsoft Windows Installer 4.5; Microsoft

Windows 7.

 Microsoft Management Console версии 1.2 и выше.

K A S P E R S K Y A D M I N I S T R A T I O N K IT

 При работе c Microsoft Windows 2000: наличие установленного браузера Microsoft Internet Explorer

6.0.

 При работе c Microsoft Windows 7 E Edition и Microsoft Windows 7 N Edition: наличие установленного

браузера Microsoft Internet Explorer 8.0 и выше.

 Аппаратные требования:

 процессор Intel Pentium III с частотой 800 МГц или выше;

 объем оперативной памяти 256 МБ;

 объем свободного места на диске 70 МБ.

Агент администрирования

 Программные требования:

 Для Windows-систем:

Microsoft Windows 2000 с установленным Пакетом обновлений 4 и выше; Microsoft Windows XP Professional с установленным Пакетом обновлений 2 и выше; Microsoft Windows XP Professional x64 и выше; Microsoft Windows Server 2003 и выше; Microsoft Windows Server 2003 x64 и выше; Microsoft Windows Vista с установленным Пакетом обновлений 1 и выше; Microsoft Windows Vista x64 c установленным Пакетом обновлений 1 и всеми текущими обновлениями, для Microsoft Windows Vista x64 должен быть установлен Microsoft Windows Installer 4.5; Microsoft Windows Server 2008; Microsoft Windows Server 2008, развернутая в режиме Server Core; Microsoft Windows Server 2008 x64 c установленным Пакетом обновлений 1 и всеми текущими обновлениями, для Microsoft Windows Server 2008 x64 должен быть установлен Microsoft Windows Installer 4.5; Microsoft Windows 7.

 Для Novell-систем:

Novell NetWare 6 SP5 и выше; Novell NetWare 6.5 SP7 и выше.

 Для Linux-систем:

Версия поддерживаемой операционной системы определяется требованием совместимой программы «Лаборатории Касперского» на клиентском компьютере.

 Аппаратные требования:

 Для Windows-систем:

 процессор Intel Pentium с частотой 233 МГц или выше;

 объем оперативной памяти 32 МБ;

 объем свободного места на диске 20 МБ.

 Для Novell-систем:

 процессор Intel Pentium с частотой 233 МГц или выше;

 объем оперативной памяти 32 МБ;

 объем свободного места на диске 32 МБ.

 Для Linux-систем:

 процессор Intel Pentium 133 МГц или выше;

Р У К О В О Д С Т В О А Д М И Н И С Т Р А Т О Р А

 64 МБ оперативной памяти;

 объем свободного места на диске 100 МБ.

Агент обновлений

 Программные требования для Windows-систем:

Microsoft Windows 2000 с установленным Пакетом обновлений 4 и выше; Microsoft Windows XP Professional с установленным Пакетом обновлений 2 и выше; Microsoft Windows XP Professional x64 и выше; Microsoft Windows Server 2003 и выше; Microsoft Windows Server 2003 x64 и выше; Microsoft Windows Vista с установленным Пакетом обновлений 1 и выше; Microsoft Windows Vista x64 c установленным Пакетом обновлений 1 и всеми текущими обновлениями, для Microsoft Windows Vista x64 должен быть установлен Microsoft Windows Installer 4.5; Microsoft Windows Server 2008; Microsoft Windows Server 2008 x64 c установленным Пакетом обновлений 1 и всеми текущими обновлениями, для Microsoft Windows Server 2008 x64 должен быть установлен Microsoft Windows Installer 4.5; Microsoft Windows 7.

 Аппаратные требования для Windows-систем:

 процессор Intel Pentium III с частотой 800 МГц или выше;

 объем оперативной памяти 256 МБ;

 объем свободного места на диске 500 МБ.

ЧТО НОВОГО

Изменения, внесенные в программу Kaspersky Administration Kit 8.0. по сравнению с версией Kaspersky

Administration Kit 6.0:

 Введен режим упрощенной установки программы.

 В задаче удаленной установки можно задавать несколько учетных записей.

 В состав программы включен дистрибутив Microsoft SQL Express 2005: его установка происходит

автоматически при выборе стандартной установки.

 Добавлена возможность SNMP-мониторинга за основными параметрами антивирусной защиты

корпоративной сети.

 Добавлена возможность создания автономного пакета установки для программ «Лаборатории

Касперского».

 Значительно переработан пользовательский интерфейс программы: панель результатов, вид отчетов,

информационные панели (см. раздел «Главное окно программы» на стр. 29).

 Добавлен механизм сбора информации об установленных на клиентских компьютерах программах

(реестр программ).

 Переработана и расширена система прав доступа.

 Добавлена поддержка технологии Microsoft NAP.

 Добавлена возможность переключения мобильных клиентов между Серверами администрирования.

 Расширены критерии переключения клиентов между мобильной и обычной политиками.

 Расширены возможности автоматического перемещения компьютеров в группы администрирования.

 Добавлена возможность создания групп администрирования на основе структуры Active Directory.

K A S P E R S K Y A D M I N I S T R A T I O N K IT

 Добавлены новые отчеты, появилась возможность добавлять собственные системы отчетности,

расширена отображаемая в отчетах информация.

 Добавлена возможность экспорта отчетов в файлы форматов PDF и XML (Microsoft Excel).

 Добавлена возможность сбора детализированных данных при построении общих отчетов.

 Реализован механизм кеширования информации для построения общих отчетов, включающих данные с

подчиненных Серверов администрирования.

 Добавлена поддержка двух наборов граф в Консоли администрирования, а также расширен набор граф

(см. раздел «Панель результатов» на стр. 34).

 Добавлены новые графы для списка компьютеров: «Перезагрузка», «Описание статуса», «Версия Агента

администрирования», «Версия защиты», «Версия баз», «Время включения».

 Добавлены новые критерии, по которым формируются статусы компьютеров.

 Добавлены новые выборки компьютеров, сформированные по умолчанию, добавлена возможность

создания выборок компьютеров с учетом данных подчиненных Серверов администрирования.

 Добавлена возможность ведения списка примечаний администратора.

 Добавлена возможность просмотра имеющихся на компьютере пользовательских сессий и контактной

информации пользователей.

 Добавлен графический интерфейс для утилиты резервного копирования и восстановления данных.

 Файлы политик и групповых задач распространяются при помощи многоадресной IP-рассылки.

 Параметр Wake On Lan доступен для клиентов, расположенных в подсетях, отличающихся от подсети

Сервера администрирования, и в случае запуска задачи вручную.

 Параметры перезагрузки для клиентских компьютеров можно установить в свойствах задачи удаленной

установки.

 Изменен механизм ограничения количества отправляемых в единицу времени уведомлений – теперь

ограничения считаются независимо для каждого типа событий.

 Добавлена возможность поиска групп и подчиненных Серверов администрирования по иерархии

Серверов.

 Расширена статистика агентов обновлений.

 Задача удаления сторонних программ теперь позволяет удалять сразу несколько программ.

 Разработана утилита подготовки компьютеров к удаленной установке.

 Реализован механизм получения необходимых для программы обновлений непосредственно после

создания ее инсталляционного пакета.

 При получении обновлений учитываются программы, уже подключенные к подчиненным Серверам

администрирования.

 Введена классификация возможных ошибок подсистемы удаленной установки программ и даны

рекомендации по решению типичных проблем.

 Добавлен механизм автоматического применения обновлений модулей для компонентов системы

администрирования.

В ЭТОМ РАЗДЕЛЕ

Сервер администрирования. Группы администрирования ........................................................................................ 14

Иерархия Серверов администрирования ................................ .................................................................................... 15

Клиентский компьютер. Группа ..................................................................................................................................... 15

Рабочее место администратора ................................................................................................................................... 16

Плагин управления программой ................................................................................................................................... 17

Политики, параметры программы и задачи ................................................................................................................. 17

Взаимосвязь политики и локальных параметров программы .................................................................................... 19

ОСНОВНЫЕ ПОНЯТИЯ

Данный раздел содержит развернутые определения основных понятий, относящихся к программе Kaspersky Administration Kit. Определения этих понятий, а также некоторых терминов представлены в разделе Глоссарий

терминов.

СЕРВЕР АДМИНИСТРИРОВАНИЯ. ГРУППЫ

АДМИНИСТРИРОВАНИЯ

Компоненты Kaspersky Administration Kit позволяют осуществлять удаленное управление программами «Лаборатории Касперского» в рамках сети предприятия.

Компьютеры, на которых установлен компонент Сервер администрирования, будем называть Серверами администрирования.

Множество компьютеров сети предприятия может быть разбито на группы, организующие некую иерархическую структуру. Такие группы будем называть группами администрирования. Структура групп администрирования отображается в дереве консоли в узле Сервера администрирования.

Сервер администрирования устанавливается на компьютер в качестве службы со следующим набором атрибутов:

 под именем Kaspersky Administration Server;

 с автоматическим типом запуска при старте операционной системы;

 с учетной записью Локальная система, либо учетной записью пользователя в соответствии с выбором,

сделанным при установке компонента.

В число функций Сервера администрирования, а именно установленного на нем компонента Сервер администрирования, входят следующие:

 хранение структуры групп администрирования;

 хранение копии конфигурационной информации клиентских компьютеров;

 организация хранилищ дистрибутивов программ «Лаборатории Касперского»;

О С Н О В Н Ы Е П О Н Я Т И Я

 удаленная установка и деинсталляция программ на компьютеры;

 обновление баз и модулей программ;

 управление политиками и задачами на клиентских компьютерах;

 хранение информации о событиях;

 формирование отчетов о работе программ;

 распространение лицензий на клиентские компьютеры, хранение информации о лицензиях;

 отправка уведомлений о ходе выполнения задач. Такие уведомления могут сообщать, например, об

обнаружении на компьютере вирусов.

ИЕРАРХИЯ СЕРВЕРОВ АДМИНИСТРИРОВАНИЯ

Серверы администрирования могут образовывать иерархию вида «главный сервер – подчиненный сервер». Каждый Сервер администрирования может иметь несколько подчиненных Серверов как на одном, так и на вложенных уровнях иерархии. Уровень вложенности подчиненных серверов не ограничен. При этом в состав групп администрирования главного Сервера будут входить клиентские компьютеры всех подчиненных Серверов. Таким образом, независимые участки компьютерной сети могут управляться различными Серверами администрирования, которые, в свою очередь, управляются главным Сервером.

Возможность построения иерархии Серверов может быть использована для следующих целей:

 Ограничение нагрузки на Сервер администрирования (по сравнению с одним установленным в сети

Сервером).

 Сокращение трафика внутри сети и упрощение работы с удаленными офисами. Нет необходимости

устанавливать соединение между главным Сервером и всеми компьютерами сети, которые могут находиться, например, в других регионах. Достаточно установить в каждом сегменте сети подчиненный Сервер администрирования, распределить компьютеры в группах администрирования подчиненных Серверов и обеспечить подчиненным Серверам соединение с главным Сервером по быстрым каналам связи.

 Более четкое разделение ответственности между администраторами антивирусной безопасности. При

этом сохраняются все возможности централизованного управления и мониторинга состояния антивирусной безопасности корпоративной сети.

Каждый компьютер, включенный в структуру групп администрирования, может быть подключен только к одному Серверу администрирования. Администратор должен самостоятельно контролировать корректность подключения компьютеров к Серверам администрирования, используя функцию поиска компьютеров по сетевым атрибутам в группах администрирования различных Серверов.

КЛИЕНТСКИЙ КОМПЬЮТЕР. ГРУППА

Взаимодействие между Сервером администрирования и компьютерами осуществляет Агент администрирования. Под таким взаимодействием подразумевается:

 доставка информации о текущем состоянии программ;

 отправка и получение команд управления;

 синхронизация конфигурационной информации;

 отправка на Сервер информации о событиях в работе программ;

Р У К О В О Д С Т В О А Д М И Н И С Т Р А Т О Р А

 функционирование агента обновлений.

Агент администрирования должен быть установлен на все компьютеры, где управление работой программ «Лаборатории Касперского» выполняется с помощью Kaspersky Administration Kit.

Данный компонент устанавливается на компьютере в качестве службы со следующим набором атрибутов:

 под именем Kaspersky Network Agent;

 с автоматическим типом запуска, при старте операционной системы;

 с учетной записью Локальная система.

Совместно с Агентом администрирования на компьютер устанавливается плагин для работы с Cisco NAC. Этот плагин работает в том случае, когда на компьютере установлена программа Cisco Trust Agent. Параметры совместной работы с Cisco NAC указываются в свойствах Сервера администрирования.

При работе с Cisco NAC Сервер администрирования играет роль стандартного сервера политик (Posture Validation Server), который администратор может использовать для разрешения или запрета доступа компьютера к сети (в зависимости от состояния антивирусной защиты).

Компьютер, сервер или рабочая станция, на которых установлен Агент администрирования и управляемые программы «Лаборатории Касперского», будем называть клиентом Сервера администрирования (или просто

клиентским компьютером).

В соответствии с организационной или территориальной структурой предприятия, выполняемыми функциями и устанавливаемым на них набором программ «Лаборатории Касперского» клиентские компьютеры могут быть организованы в группы администрирования. Это делается для удобства управления компьютерами группы как единым целым. При объединении клиентских компьютеров может использоваться любое сочетание указанных принципов, а также другие признаки по выбору администратора. Например, верхний уровень могут составлять группы, соответствующие отделам. На следующем уровне внутри каждого отдела компьютеры объединяются в зависимости от выполняемых ими функций: одна группа компьютеров может включать в себя все рабочие станции, другая – все файловые серверы и т. п.

Группа администрирования (далее также группа) – это набор клиентских компьютеров, объединенных по какомулибо признаку, с целью управления компьютерами группы как единым целым. Для всех клиентских компьютеров в группе устанавливаются:

 единые параметры работы программ – с помощью групповых политик;

 единый режим работы программ – путем создания групповых задач (функций программы) с заданным

набором параметров (например, создание и установка единого инсталляционного пакета, обновление баз и модулей программ, проверка компьютера по требованию и постоянная защита).

Клиентский компьютер может входить в состав только одной группы администрирования.

Администратор может создавать иерархию Серверов и групп любой глубины вложенности, если это облегчает ему выполнение задач по управлению программами. На одном уровне иерархии могут располагаться подчиненные Серверы администрирования, группы и клиентские компьютеры.

РАБОЧЕЕ МЕСТО АДМИНИСТРАТОРА

Компьютеры, на которых установлен компонент Консоль администрирования, будем называть рабочими местами администраторов. С этих компьютеров администраторы могут осуществлять удаленное

централизованное управление конфигурацией всех программ «Лаборатории Касперского», установленных на клиентских компьютерах.

После установки Консоли администрирования на компьютере в меню Пуск  Программы  Kaspersky Administration Kit появляется значок для ее запуска.

О С Н О В Н Ы Е П О Н Я Т И Я

Рабочее место администратора не является объектом группы администрирования, однако также может быть включено в ее состав в качестве клиентского компьютера. Количество рабочих мест администратора ничем не ограничивается. Рабочие места администраторов для разных Серверов администрирования могут совпадать: с каждого из них может осуществляться управление группами администрирования любого Сервера администрирования в структуре сети предприятия.

В пределах групп администрирования любого Сервера один и тот же компьютер может быть и клиентом Сервера администрирования, и Сервером администрирования, и рабочим местом администратора.

ПЛАГИН УПРАВЛЕНИЯ ПРОГРАММОЙ

Интерфейс для управления работой конкретной программы через Консоль администрирования предоставляет специализированный компонент – плагин управления программой. Он входит в состав всех программ «Лаборатории Касперского», управление которыми может осуществляться при помощи Kaspersky Administration Kit. Плагин управления для каждой программы свой. Он устанавливается на рабочее место администратора и представляет собой набор диалоговых окон (интерфейс) для создания и редактирования:

 политик программы;

 параметров программы;

 параметров задач, реализуемых программой.

Плагин управления обеспечивает:

 предоставление информации о задачах, реализуемых программой;

 предоставление информации о событиях, генерируемых программой;

 предоставление Консоли администрирования функций отображения информации о событиях и

статистике работы программы, получаемой с клиентских компьютеров.

ПОЛИТИКИ, ПАРАМЕТРЫ ПРОГРАММЫ И ЗАДАЧИ

Именованное действие, выполняемое программой «Лаборатории Касперского», называется задачей. В соответствии с выполняемыми функциями задачи разделяют по типам.

Каждой задаче соответствует набор параметров работы программы при ее выполнении. Набор параметров работы программы, общий для всех типов его задач, составляет параметры программы. Параметры работы программы, специфичные для каждого типа задач, образуют параметры задачи. Параметры программы и параметры задач не пересекаются.

Подробное описание типов задач для каждой программы «Лаборатории Касперского» приводится в Руководствах к ним.

Чтобы инициировать выполнение необходимой функции, следует настроить параметры работы программы, создать и настроить соответствующую задачу и запустить ее на выполнение.

Параметры программы, которые определяются для отдельного клиентского компьютера через локальный интерфейс или удаленно через Консоль администрирования, будем называть локальными параметрами

программы.

Централизованная настройка параметров работы программ, установленных на клиентских компьютерах, осуществляется через определение политик.

Политика – это набор параметров работы программы в группе. Политика определяет не все параметры программы.

Р У К О В О Д С Т В О А Д М И Н И С Т Р А Т О Р А

Параметры программы определяются параметрами политик и задач.

Каждый параметр, представленный в политике, имеет атрибут – «замок», который показывает, наложен ли запрет на изменение параметра в политиках вложенного уровня иерархии (для вложенных групп и подчиненных Серверов администрирования), в параметрах задач и локальных параметрах программы. Если в политике для параметра установлен «замок», переопределить значение будет невозможно (см. раздел «Взаимосвязь политики и локальных параметров программы» на стр. 19). Снятый флажок Наследовать параметры из политики верхнего уровня отменяет действие «замка» для унаследованных политик.

В группе для каждой программы определяется своя собственная политика. Для одной программы может быть определено несколько политик с различными значениями параметров, но действующая политика для программы может быть только одна.

Предусмотрена возможность активировать политику, не являющуюся действующей, при наступлении события, что позволяет, например, устанавливать более жесткие параметры антивирусной защиты в периоды вирусных эпидемий.

Также можно сформировать политику для мобильных пользователей. Она будет вступать в силу при отключении компьютера от сети предприятия.

Для разных групп параметры работы программы могут быть различными. В каждой группе может быть создана собственная политика для программы.

Вложенные группы и подчиненные Серверы администрирования наследуют политики группы более высокого уровня иерархии.

Создание и настройка задач для объектов, находящихся под управлением одного Сервера администрирования, осуществляется централизованно. Могут быть определены задачи следующих типов:

 групповая задача – задача, определяющая параметры работы программ, установленных на

компьютерах, включенных в группу администрирования;

 локальная задача – задача для отдельного компьютера;

 задача для набора компьютеров – задача для произвольного набора компьютеров, как входящих, так и

не входящих в группы администрирования;

 задача Kaspersky Administration Kit – задача, определяемая непосредственно для Сервера

администрирования.

Для группы может быть определена групповая задача, даже если программа «Лаборатории Касперского» установлена не на все клиентские компьютеры группы. В этом случае групповая задача выполняется только для тех компьютеров, на которых данная программа установлена.

Вложенные группы и подчиненные Серверы администрирования наследуют задачи групп более высоких уровней иерархии. Задача, определенная для группы, будет выполняться не только на клиентских компьютерах, включенных в состав данной группы, но и на клиентских компьютерах, включенных в состав вложенных в нее групп и подчиненных Серверов, на всех последующих уровнях иерархии.

Задачи, созданные для клиентского компьютера локально, будут выполняться только для данного компьютера. При синхронизации клиента с Сервером администрирования локальные задачи будут добавлены в перечень сформированных задач для клиентского компьютера.

Поскольку параметры работы программы определяются политикой, в параметрах задачи могут быть переопределены те из них, на которые в политике не наложен запрет на изменение, а также параметры, которые могут быть установлены только для конкретного экземпляра задачи. Например, для задачи проверки диска это имя диска, маски проверяемых файлов и т. п.

Задача может запускаться автоматически (по расписанию) или вручную. Результаты выполнения задач сохраняются на Сервере администрирования и локально. Администратор может получать уведомления о том, как выполнена та или иная задача, а также просматривать подробные отчеты.

О С Н О В Н Ы Е П О Н Я Т И Я

Информация о политиках, параметрах программы, задач для наборов компьютеров и групповых задачах сохраняется на Сервере и распространяется на клиентские компьютеры в ходе синхронизации. При этом в данные Сервера администрирования, в свою очередь, вносятся локальные изменения, проведенные на клиентских компьютерах и разрешенные политикой. Кроме того, обновляется список программ, функционирующих на клиентском компьютере, их статус и перечень сформированных задач.

ВЗАИМОСВЯЗЬ ПОЛИТИКИ И ЛОКАЛЬНЫХ ПАРАМЕТРОВ

ПРОГРАММЫ

При помощи политик могут быть установлены одинаковые значения параметров работы программы для всех компьютеров, входящих в состав группы.

Переопределить значения параметров, заданные политикой, для отдельных компьютеров в группе можно при помощи локальных параметров программы. При этом можно установить значения только тех параметров, изменение которых не запрещено политикой (параметр не закрыт «замком»).

Значение, которое использует программа на клиентском компьютере (см. рис. ниже), определяется наличием «замка» у параметра в политике:

 Если на изменение параметра наложен запрет, на всех клиентских компьютерах используется одно и то

же значение – заданное политикой.

 Если запрет не наложен, то на каждом клиентском компьютере программа использует локальное

значение параметра, а не то, которое указано в политике. При этом значение параметра может изменяться через локальные параметры программы.

Рисунок 1. Политика и локальные параметры программы

Таким образом, при выполнении задачи на клиентском компьютере программа использует параметры, заданные двумя разными способами:

 параметрами задачи и локальными параметрами программы, если в политике не был установлен запрет

на изменение параметра;

 политикой группы, если в политике был установлен запрет на изменение параметра.

Локальные параметры программы изменяются после первого применения политики в соответствии с параметрами политики.

Р У К О В О Д С Т В О А Д М И Н И С Т Р А Т О Р А

В ЭТОМ РАЗДЕЛЕ

Развертывание системы антивирусной защиты ......................................................................................................... 21

Совместимость с Cisco Network Admission Control (NAC) ........................................................................................... 22

Совместимость с Microsoft Network Access Protection (NAP) ...................................................................................... 22

Создание системы централизованного управления антивирусной защитой ............................................................ 22

Подключение клиентских компьютеров к Серверу администрирования ................................................................... 23

Защищенное подключение к Серверу администрирования ....................................................................................... 24

Идентификация клиентских компьютеров на Сервере администрирования ............................................................ 25

Права доступа к Серверу администрирования и его объектам ................................................................................. 26

Концепция пользовательского интерфейса ................................................................................................................ 27

КОНЦЕПЦИЯ РАБОТЫ KASPERSKY ADMINISTRATION KIT

В этом разделе описываются основные принципы работы программы, способы решения отдельных задач, а также дается краткий обзор пользовательского интерфейса и приемов работы с ним.

РАЗВЕРТЫВАНИЕ СИСТЕМЫ АНТИВИРУСНОЙ ЗАЩИТЫ

Существует два варианта развертывания системы антивирусной защиты, управляемой при помощи программы

Kaspersky Administration Kit:

 Посредством удаленной централизованной установки программ на клиентские компьютеры. При этом

установка программ и подключение к системе централизованного удаленного управления происходит автоматически, не требует какого-либо вмешательства со стороны администратора и позволяет устанавливать антивирусное программное обеспечение на любое количество клиентских компьютеров.

 Путем локальной установки программ на каждый клиентский компьютер. В этом случае установка

необходимых компонентов на клиентские компьютеры и рабочее место администратора производится вручную, параметры подключения клиентов к Серверу задаются при установке Агента администрирования. Этот вариант развертывания используется в том случае, когда невозможно провести удаленную централизованную установку.

Удаленная установка может быть использована для инсталляции любых программ по выбору пользователя. Однако следует помнить, что Kaspersky Administration Kit поддерживает управление только программами «Лаборатории Касперского», в дистрибутив которых входит специализированный компонент – плагин управления программой.

Р У К О В О Д С Т В О А Д М И Н И С Т Р А Т О Р А

СОВМЕСТИМОСТЬ С CISCO NETWORK ADMISSION CONTROL (NAC)

Kaspersky Administration Kit предоставляет возможность задать соответствие между условиями антивирусной защиты компьютера и статусами безопасности Cisco Network Admission Control (NAC).

Для этого необходимо сформировать условия, при которых клиентскому компьютеру будут присваиваться статусы безопасности Cisco Network Admission Control (NAC): Healthy, Checkup, Quarantine или Infected. Если клиентский компьютер не подпадает ни под одно из условий, ему будет присвоен статус Unknown. Статус Healthy присваивается только при выполнении всех условий, статусы Checkup, Quarantine или Infected – при выполнении хотя бы одного из них.

СОВМЕСТИМОСТЬ С MICROSOFT NETWORK ACCESS PROTECTION (NAP)

Kaspersky Administration Kit предоставляет возможность интеграции в платформу Microsoft Network Access Protection (NAP). Microsoft NAP позволяет регулировать доступ клиентских компьютеров в сеть. Microsoft NAP

предполагает, что в сети выделен сервер с установленной операционной системой Microsoft Windows Server 2008, на который установлена служба PVS (Posture Validation Server), а на клиентских компьютерах установлены NAP-совместимые операционные системы: Microsoft Windows Vista, Microsoft Windows XP с установленным Пакетом обновлений 3, Microsoft Windows 7.

Для интеграции Kaspersky Administration Kit нужно выполнить следующие действия:

1. Развернуть Kaspersky Administration Kit в сети обычным образом.

2. Установить на PVS Kaspersky Lab System Health Validator (SHV). Для этого при установке Kaspersky

Administration Kit на этапе выбора компонентов программы установите флажок напротив средства проверки работоспособности системы Kaspersky Lab System Health Validator (SHV).

При этом на клиентские компьютеры будет установлен Агент администрирования, который в Microsoft NAP играет роль агента работоспособности системы Kaspersky Lab System Health Agent (SHA), передавая Microsoft NAP-агенту информацию о параметрах антивирусной защиты и их изменениях на клиентском компьютере.

В результате Kaspersky Lab System Health Validator (SHV) появится в списке доступных SHV в консоли PVS, где можно будет настроить правила проверки данных клиентских компьютеров, собираемых Агентом администрирования.

СОЗДАНИЕ СИСТЕМЫ ЦЕНТРАЛИЗОВАННОГО

УПРАВЛЕНИЯ АНТИВИРУСНОЙ ЗАЩИТОЙ

Первый этап построения системы централизованного управления антивирусной защитой сети предприятия при помощи программного комплекса Kaspersky Administration Kit – проектирование структуры групп администрирования. На данном этапе необходимо решить следующие задачи:

1. Выделить в сети изолированные участки и определить, какое количество Серверов администрирования потребуется установить.

2. Определить, какие компьютеры в составе сети предприятия будут выполнять функции главного Сервера администрирования и подчиненных Серверов, какие – рабочих мест администратора и клиентских компьютеров. Клиентскими должны стать все компьютеры, на которые предполагается установить программы «Лаборатории Касперского».

К О Н Ц Е П Ц И Я Р А Б О Т Ы K A S P E R S K Y A D M I N I S T R A T I O N K IT

3. Решить, по какому признаку будет осуществляться объединение клиентских компьютеров в группы, и определить иерархию групп.

4. Выбрать, какой вид развертывания системы антивирусной защиты будет использоваться: удаленная или локальная установка.

На следующем этапе администратор должен создать структуру папок Сервера администрирования путем установки соответствующих программных компонентов Kaspersky Administration Kit на компьютеры сети предприятия, а именно:

1. Установить Сервер администрирования на компьютеры, входящие в состав сети предприятия.

2. Установить Консоль администрирования на компьютеры, с которых будет осуществляться управление.

3. Принять решение о назначении администраторов Kaspersky Administration Kit, определить, какие еще

категории пользователей будут работать с системой, и закрепить за каждой категорией перечень выполняемых функций.

Система допускает одновременную работу администраторов с одними и теми же ресурсами. Действительными будут последние по времени применения параметры. В этом случае все действия, осуществляемые администраторами, должны быть согласованы.

4. Сформировать группы пользователей и предоставить каждой из них права доступа, необходимые для выполнения функций, возложенных на ее пользователей.

После этого необходимо создать иерархию Серверов администрирования, для каждого Сервера построить иерархию групп администрирования и провести распределение компьютеров в соответствующие группы.

На следующем этапе осуществляется установка на клиентские компьютеры компонента Агент администрирования, необходимых программ «Лаборатории Касперского», а также соответствующих плагинов управления программами – на рабочее место администратора.

Не все программы «Лаборатории Касперского», управление которыми доступно через Kaspersky Administration Kit, могут быть установлены на клиентские компьютеры удаленно. Подробную информацию об этом см. в Руководствах к соответствующим программам.

При использовании удаленной установки Агент администрирования может быть установлен совместно с любой программой. В этом случае отдельная установка Агента администрирования не требуется.

На заключительном этапе производится настройка установленных программ посредством определения и применения групповых политик (см. раздел «Управление политиками» на стр. 49) и создание необходимых задач (см. раздел «Локальные параметры программы» на стр. 53).

Программа предоставляет возможность создать систему централизованного управления антивирусной защитой с минимальными параметрами с помощью мастера первоначальной настройки (см. раздел «Мастер первоначальной настройки» на стр. 40). При этом организуется структура групп администрирования, идентичная доменной структуре Windows-сети, и формируется система антивирусной защиты с использованием Антивируса Касперского для Windows Workstations версии 6.0 MP4.

После создания структуры папок Сервера администрирования, установки и настройки антивирусной защиты администраторам рекомендуется регулярно выполнять мероприятия по обслуживанию сети (см. раздел «Обслуживание» на стр. 67).

ПОДКЛЮЧЕНИЕ КЛИЕНТСКИХ КОМПЬЮТЕРОВ К СЕРВЕРУ АДМИНИСТРИРОВАНИЯ

Взаимодействие между клиентскими компьютерами и Сервером администрирования осуществляется в процессе подключения клиентов к Серверу. Эту функциональность обеспечивает Агент администрирования, установленный на клиентских компьютерах.

Р У К О В О Д С Т В О А Д М И Н И С Т Р А Т О Р А

Подключение производится для выполнения следующих операций:

 синхронизации списка программ, установленных на клиентском компьютере;

 синхронизации политик, параметров программы, задач и параметров задач;

 получения Сервером текущей информации о состоянии программ и выполнении задач;

 доставки на Сервер информации о событиях, которые он должен обработать.

Основной способ подключения клиентских компьютеров к Серверу состоит в том, что клиент соединяется с Сервером. Данный вид соединения выполняется при автоматической синхронизации данных клиента и Сервера, а также доставке на Сервер информации о событиях в работе программ.

Автоматическая синхронизация производится периодически, в соответствии с параметрами Агента администрирования (например, раз в 15 минут). Интервал между соединениями задается администратором.

Информация о событии доставляется на Сервер сразу после того, как оно произошло.

Для клиентского компьютера предусмотрен параметр Не разрывать соединение с Сервером администрирования, который определяет, будет ли завершаться соединение клиента с Сервером по окончании перечисленных выше операций. Непрерывное соединение необходимо в том случае, если требуется постоянный контроль состояния программ, а Сервер по тем или иным причинам не может устанавливать соединение с клиентом (соединение защищено межсетевым экраном, запрещено открывать порты на клиентском компьютере, неизвестен IP-адрес клиента, и т. д.).

Процесс синхронизации может быть также произведен администратором вручную при помощи команды Синхронизировать контекстного меню (см. раздел «Контекстное меню» на стр. 34) клиентского компьютера. В этом случае используется вспомогательный способ подключения, при котором соединение инициирует Сервер. Для этого на клиентском компьютере открывается UDP-порт. Сервер посылает на UDP-порт запрос на соединение. В ответ на него производится проверка прав Сервера на подключение к клиенту (на основании цифровой подписи Сервера администрирования), и, если они наличествуют, осуществляется соединение.

Второй способ соединения используется также при обращении к данным клиента на Сервере: для получения текущей информации о состоянии программ, задач и статистики работы программ.

ЗАЩИЩЕННОЕ ПОДКЛЮЧЕНИЕ К СЕРВЕРУ

АДМИНИСТРИРОВАНИЯ

Обмен информацией между клиентскими компьютерами и Сервером администрирования, а также подключение Консоли к Серверу администрирования может производиться с использованием протокола SSL (Secure Socket Layer). Он позволяет идентифицировать взаимодействующие стороны, осуществлять шифрование передаваемых данных и обеспечивать их защиту от изменения при передаче. В основе используемого при защищенном соединении SSL-протокола лежит аутентификация взаимодействующих сторон и шифрование данных по методу открытых ключей.

СЕРТИФИКАТ СЕРВЕРА АДМИНИСТРИРОВАНИЯ

Аутентификация Сервера администрирования при подключении к нему Консоли администрирования и обмене информацией с клиентскими компьютерами осуществляется на основании сертификата Сервера администрирования. Сертификат используется также для аутентификации между главными и подчиненными Серверами администрирования.

Сертификат Сервера администрирования создается при установке компонента Сервер администрирования и хранится на Сервере администрирования в папке установки программы во вложенной папке Cert.

Сертификат Сервера администрирования создается только один раз, при установке. Его рекомендуется сохранять средствами мастера установки. В случае если сертификат Сервера администрирования утерян, для его восстановления необходимо провести переустановку компонента Сервер администрирования и

К О Н Ц Е П Ц И Я Р А Б О Т Ы K A S P E R S K Y A D M I N I S T R A T I O N K IT

восстановление данных (см. раздел «Резервное копирование и восстановление данных Сервера администрирования» на стр. 86).

АУТЕНТИФИКАЦИЯ СЕРВЕРА ПРИ ПОДКЛЮЧЕНИИ КЛИЕНТСКОГО

КОМПЬЮТЕРА

При первом подключении клиентского компьютера к Серверу Агент администрирования получает сертификат Сервера администрирования и сохраняет его локально.

Если установка Агента администрирования проводится локально, сертификат Сервера администрирования может быть выбран администратором вручную.

На основании полученной копии сертификата осуществляется проверка прав и полномочий Сервера администрирования при следующих соединениях.

В дальнейшем, при каждом подключении клиентского компьютера к Серверу Агент администрирования запрашивает сертификат Сервера администрирования и сравнивает его с локальной копией. Если они не совпадают, доступ Сервера администрирования к клиентскому компьютеру не разрешается.

Если соединение инициирует Сервер администрирования, аналогичным образом сначала проверяется поступивший с Сервера администрирования запрос на соединение через UDP-порт.

АУТЕНТИФИКАЦИЯ СЕРВЕРА ПРИ ПОДКЛЮЧЕНИИ КОНСОЛИ

При первом после установки подключении к Серверу Консоль администрирования запрашивает сертификат Сервера администрирования и сохраняет его локально на рабочем месте администратора. На основании полученной копии сертификата при последующих подключениях к Серверу администрирования с данным именем будет осуществляться идентификация Сервера.

Если сертификат Сервера администрирования не совпадает с копией сертификата, хранящейся на рабочем месте администратора, выводится запрос на подтверждение подключения к Серверу с заданным именем и получение нового сертификата. При удачном подключении Консоль администрирования сохраняет копию нового сертификата Сервера администрирования, она будет использоваться для идентификации Сервера в дальнейшем.

ИДЕНТИФИКАЦИЯ КЛИЕНТСКИХ КОМПЬЮТЕРОВ НА СЕРВЕРЕ АДМИНИСТРИРОВАНИЯ

Идентификация клиентских компьютеров осуществляется на основании имен клиентских компьютеров. Имя клиентского компьютера является уникальным среди всех имен компьютеров, подключенных к Серверу администрирования.

Имя клиентского компьютера передается на Сервер администрирования либо при опросе Windows-сети и обнаружении в ней нового компьютера, либо при первом подключении установленного на клиентский компьютер Агента администрирования. По умолчанию имя совпадает с именем компьютера в Windows-сети (NetBIOS-имя). Если на Сервере администрирования клиентский компьютер с таким именем уже зарегистрирован, то к имени нового клиентского компьютера будет добавлено окончание с порядковым номером, например: <Имя>-1, <Имя>- 2 и т. д. Под этим именем клиентский компьютер включается в состав группы администрирования.

Р У К О В О Д С Т В О А Д М И Н И С Т Р А Т О Р А

ПРАВА ДОСТУПА К СЕРВЕРУ АДМИНИСТРИРОВАНИЯ И

ЕГО ОБЪЕКТАМ

В Kaspersky Administration Kit предусмотрены следующие типы разрешений на доступ к функциональности программы:

 Чтение:

 подключение к Серверу администрирования;

 просмотр структуры папок Сервера администрирования;

 просмотр значения параметров политик, задач и параметров программы.

 Запись:

 создание групп администрирования, добавление в них вложенных групп и клиентских компьютеров;

 установка на клиентские компьютеры компонента Агент администрирования;

 обновление версии установленных на клиентских компьютерах программ;

 создание политик, задач для групп и отдельных компьютеров, изменение параметров программы;

 централизованное управление программами, получение отчетов об их работе при помощи служб,

предоставляемых компонентами Сервер, Агент и Консоль администрирования.

 Выполнение: запуск и остановка существующих групповых задач и задач для наборов компьютеров;

формирование отчетов.

 Изменение прав доступа: предоставление пользователям и группам пользователей прав доступа к

функциональности Kaspersky Administration Kit.

 Изменение параметров регистрации событий.

 Изменение параметров отправки уведомлений.

 Удаленная установка программ «Лаборатории Касперского».

 Удаленная установка сторонних программ: подготовка инсталляционных пакетов и удаленная

установка на клиентские компьютеры программ сторонних производителей.

 Изменение параметров иерархии Cерверов администрирования.

После установки Сервера администрирования права на подключение к Серверу и работе с его объектами по умолчанию предоставляются пользователям, входящим в группы KLAdmins и KLOperators.

Данные группы формируются при инсталляции компонента Сервер администрирования. В зависимости от того, какая учетная запись была выбрана для запуска службы Сервера администрирования, они создаются:

 в домене, в который входит Сервер администрирования, и на компьютере Сервера администрирования,

если Сервер администрирования запускается под учетной записью пользователя, входящего в домен;

 только на компьютере Сервера администрирования, если Сервер запускается под учетной записью

системы.

Группе KLAdmins предоставлены все права, группе KLOperators – права на чтение и выполнение. Изменить набор прав, предоставленных группе KLAdmins, невозможно.

К О Н Ц Е П Ц И Я Р А Б О Т Ы K A S P E R S K Y A D M I N I S T R A T I O N K IT

Пользователей, входящих в группу KLAdmins, будем называть администраторами Kaspersky Administration Kit, пользователей из группы KLOperators – операторами Kaspersky Administration Kit.

Просмотр групп KLAdmins и KLOperators и внесение необходимых изменений осуществляется при помощи стандартных средств администрирования Windows – Управление  Локальные пользователи и группы.

Помимо пользователей, входящих в группу KLAdmins, права администратора предоставляются:

 администраторам домена, компьютеры которого входят в состав этой группы администрирования

данного Сервера;

 локальным администраторам компьютеров, на которых установлен Сервер администрирования.

Локальные администраторы могут быть исключены из списка пользователей, имеющих права на администрирование Сервера.

Все операции, инициированные администраторами Kaspersky Administration Kit, будут выполняться с правами учетной записи Сервера администрирования. Для каждого Сервера администрирования может быть сформирована своя группа KLAdmins, обладающая правами только в рамках работы с этим Сервером.

Если компьютеры, относящиеся к одному домену, образуют группы администрирования разных Серверов, то администратор домена является администратором Kaspersky Administration Kit в рамках всех групп. При этом группа KLAdmins для этих групп администрирования едина и создается при установке первого Сервера администрирования. Ее пополнение может быть проведено средствами администрирования операционной системы. Операции, инициированные администраторами Kaspersky Administration Kit, будут выполняться с правами соответствующего Сервера администрирования.

Права пользователей (см. раздел «Предоставление прав» на стр. 37) в программе Kaspersky Administration Kit устанавливаются на основании Windows-аутентификации пользователей в сети.

После установки программы администратор Kaspersky Administration Kit может:

 изменить права, предоставляемые группам KLOperators;

 предоставить права доступа к функциональности программы Kaspersky Administration Kit другим группам

пользователей и отдельным пользователям, зарегистрированным на компьютере, где установлена Консоль администрирования;

 предоставить различные права доступа для работы в каждой группе администрирования.

КОНЦЕПЦИЯ ПОЛЬЗОВАТЕЛЬСКОГО ИНТЕРФЕЙСА

Просмотр, создание, изменение и настройка групп администрирования, централизованное управление работой всех установленных на клиентских компьютерах программ «Лаборатории Касперского» осуществляется с рабочего места администратора. Интерфейс управления обеспечивает компонент Консоль администрирования. Он представляет собой специализированную автономную оснастку, интегрированную в Microsoft Management Console (MMC), поэтому интерфейс Kaspersky Administration Kit является стандартным для MMC.

Консоль администрирования позволяет подключаться к удаленному Серверу администрирования через интернет.

Для локальной работы с клиентскими компьютерами программа предусматривает возможность установки удаленного соединения с компьютером через Консоль администрирования с помощью стандартной программы

Microsoft Windows Подключение к удаленному рабочему столу.

Чтобы использовать эту возможность, на клиентском компьютере необходимо разрешить удаленное подключение к рабочему столу.

Р У К О В О Д С Т В О А Д М И Н И С Т Р А Т О Р А

НАСТРОЙКА ИНТЕРФЕЙСА

Kaspersky Administration Kit позволяет администратору настроить интерфейс Консоли администрирования.

Чтобы изменить уже установленные параметры интерфейса, выполните следующие действия:

1. Пройдите в меню Вид  Настройка интерфейса. В результате откроется одноименное окно (см. рис. ниже).

Рисунок 2. Просмотр свойств группы. Окно Настройка интерфейса

2. В открывшемся окне можно задать следующие параметры:

 Отображать подчиненные Серверы администрирования.

 Отображать закладки с параметрами безопасности.

 Отображать реестр программ.

 Максимальное количество компьютеров, отображаемых в узлах консоли. Данный параметр

определяет количество компьютеров, отображаемых в панели результатов Консоли администрирования. По умолчанию значение параметра составляет 2000.

Если количество компьютеров в группе превышает установленное значение, на экран выводится соответствующее предупреждение. Чтобы просмотреть список всех компьютеров, следует увеличить значение параметра.

Установленное в параметрах какой-либо группы (или домена) значение максимального количества отображаемых компьютеров вступает в силу для всех групп всех уровней иерархии, а так же для всех доменов.

ЗАПУСК ПРОГРАММЫ

Запуск программы Kaspersky Administration Kit производится путем выбора пункта Kaspersky Administration Kit в программной группе Kaspersky Administration Kit стандартного меню Пуск  Программы. Данная программная группа создается только на рабочих местах администраторов при установке компонента Консоль администрирования.

Для доступа к функциональности программы Kaspersky Administration Kit необходимо, чтобы был запущен Сервер администрирования Kaspersky Administration Kit.

К О Н Ц Е П Ц И Я Р А Б О Т Ы K A S P E R S K Y A D M I N I S T R A T I O N K IT

ГЛАВНОЕ ОКНО ПРОГРАММЫ

Главное окно программы (см. рис. ниже) содержит меню, панель инструментов, панель обзора и информационную область, которая может быть представлена панелью задач или панелью результатов.

Меню обеспечивает управление окнами и предоставляет доступ к справочной системе. Пункт меню Действие дублирует команды контекстного меню для текущего объекта дерева консоли.

Набор кнопок панели инструментов обеспечивает прямой доступ к некоторым пунктам главного меню. Состав панели инструментов изменяется в зависимости от текущего узла или папки дерева консоли.

Панель обзора отображает пространство имен Kaspersky Administration Kit в виде дерева консоли (см. раздел «Дерево консоли» на стр. 30).

Информационная область главного окна может быть представлена панелью задач, панелью результатов или их комбинацией. Для ряда папок дерева консоли информационная область имеет два вида представления: расширенный и стандартный. Переход между ними доступен по одноименным закладкам.

Панель задач содержит одну или несколько закладок со ссылками быстрого доступа к основным операциям, предусмотренным для выбранного в дереве консоли объекта. Подробнее о работе с панелью задач см. в разделе Панель задач (на стр. 31).

Панель результатов представляет собой список элементов выбранного в дереве консоли объекта или набор информационных панелей. Это может быть список компьютеров в группах, перечень отчетов, выборок событий или компьютеров и т. д. Подробнее о работе с панелью результатов см. в разделе Панель результатов (на стр. 34).

Рисунок 3. Главное окно программы Антивируса Касперского

+ 66 hidden pages

Kaspersky lab ADMINISTRATION KIT 8.0 User Manual [ru]

Specifications and Main Features

Frequently Asked Questions

User Manual

KASPERSKY ADMINISTRATION KIT

КОМПЛЕКТ ПОСТАВКИ

СЕРВИС ДЛЯ ЗАРЕГИСТРИРОВАННЫХ ПОЛЬЗОВАТЕЛЕЙ

ПОЛУЧЕНИЕ ИНФОРМАЦИИ О ПРОГРАММЕ

ИСТОЧНИКИ ИНФОРМАЦИИ ДЛЯ САМОСТОЯТЕЛЬНОГО ПОИСКА

ОБРАЩЕНИЕ В СЛУЖБУ ТЕХНИЧЕСКОЙ ПОДДЕРЖКИ

ВОЗМОЖНОСТИ ПРОГРАММЫ

НАЗНАЧЕНИЕ ДОКУМЕНТА

СОСТАВ ПРОГРАММЫ

ЧТО НОВОГО

ОСНОВНЫЕ ПОНЯТИЯ

ИЕРАРХИЯ СЕРВЕРОВ АДМИНИСТРИРОВАНИЯ

КЛИЕНТСКИЙ КОМПЬЮТЕР. ГРУППА

РАБОЧЕЕ МЕСТО АДМИНИСТРАТОРА

ПЛАГИН УПРАВЛЕНИЯ ПРОГРАММОЙ

ПОЛИТИКИ, ПАРАМЕТРЫ ПРОГРАММЫ И ЗАДАЧИ

КОНЦЕПЦИЯ РАБОТЫ KASPERSKY ADMINISTRATION KIT

РАЗВЕРТЫВАНИЕ СИСТЕМЫ АНТИВИРУСНОЙ ЗАЩИТЫ

СОВМЕСТИМОСТЬ С CISCO NETWORK ADMISSION CONTROL (NAC)

СОВМЕСТИМОСТЬ С MICROSOFT NETWORK ACCESS PROTECTION (NAP)

ПОДКЛЮЧЕНИЕ КЛИЕНТСКИХ КОМПЬЮТЕРОВ К СЕРВЕРУ АДМИНИСТРИРОВАНИЯ

СЕРТИФИКАТ СЕРВЕРА АДМИНИСТРИРОВАНИЯ

АУТЕНТИФИКАЦИЯ СЕРВЕРА ПРИ ПОДКЛЮЧЕНИИ КОНСОЛИ

ИДЕНТИФИКАЦИЯ КЛИЕНТСКИХ КОМПЬЮТЕРОВ НА СЕРВЕРЕ АДМИНИСТРИРОВАНИЯ

КОНЦЕПЦИЯ ПОЛЬЗОВАТЕЛЬСКОГО ИНТЕРФЕЙСА

НАСТРОЙКА ИНТЕРФЕЙСА

ЗАПУСК ПРОГРАММЫ

ГЛАВНОЕ ОКНО ПРОГРАММЫ