Kaspersky security center инструкция администратора

Руководство по масштабированию Kaspersky Security Center 14 (далее также Kaspersky Security Center) адресовано специалистам, которые осуществляют установку и администрирование Kaspersky Security Center, и специалистам, которые осуществляют техническую поддержку организаций, использующих Kaspersky Security Center.

Все рекомендации и расчеты приведены для сетей, в которых Kaspersky Security Center управляет защитой устройств (в том числе мобильных) с установленным программным обеспечением «Лаборатории Касперского». Если мобильные (или любые другие) управляемые устройства, необходимо рассматривать отдельно, это специально оговаривается.

Для достижения и сохранения оптимальной производительности при различных условиях работы вам нужно учитывать количество устройств в сети, топологию сети и необходимый вам набор функций Kaspersky Security Center.

В руководстве приведена следующая информация:

• Ограничения Kaspersky Security Center
• о расчетах для ключевых узлов Kaspersky Security Center – Серверов администрирования и точек распространения:
  • об аппаратных требованиях к Серверам администрирования и к точкам распространения;
  • о расчете количества и иерархии Серверов администрирования;
  • о расчетах количества и конфигурации точек распространения;
• о настройке параметров сохранения событий в базе данных в зависимости от числа устройств в сети;
• общепринятые лучшие практики для оптимизации производительности;
• о настройке параметров некоторых задач для обеспечения оптимальной производительности Kaspersky Security Center;
• о потреблении трафика (нагрузке на сеть) между Сервером администрирования Kaspersky Security Center и каждым защищаемым устройством.

Рекомендуется обращаться к этому руководству в следующих ситуациях:

• при планировании ресурсов перед установкой Kaspersky Security Center;
• при планировании существенных изменений размеров сети, в которой развернут Kaspersky Security Center;
• при переходе от использования Kaspersky Security Center в ограниченном сегменте сети (тестовая среда) к полномасштабному развертыванию Kaspersky Security Center в корпоративной сети;
• при изменениях в наборе используемых функций Kaspersky Security Center.

Картинка с сайта: store-kaspersky.ru

Вы развернули Kaspersky Security Center на сервере администрирования и Kaspersky Security на устройствах сети. Что дальше?

Здесь Вы узнаете о том, какие задачи рекомендуется выполнять каждый день, а какие периодически, а также какие действия нужно выполнить при обнаружении угроз.

Картинка с сайта: store-kaspersky.ru

В качестве ежедневных процедур следует просматривать следующие отчеты:

—   Отчет об использовании лицензионных ключей;

—   Отчет о сетевых атаках;

—   Отчет о состоянии защиты;

—   Отчет об используемых антивирусных базах;

—   Отчет об угрозах.

Можно настроить отправку соответствующих отчетов по почте. Рекомендуем настроить отправку ежедневных отчетов с данными за 2 дня.

Глубина отчета в 2 дня помогает не пропустить события от устройств, которые, например, вчера были не в сети, т. е. события сохранялись локально, а сегодня, после появления в сети, события ушли на Сервер администрирования, но в отчет с диапазоном 1 день они не попадут.

Советуем вывести на панель мониторинга следующие виджеты:

—   Типы обнаруженных вирусов и результаты лечения;

—   История сетевых атак;

—   Распространение антивирусных баз;

—   Состояние защиты;

—   Используемые лицензионные ключи.

В зависимости от использования того или иного функционала в Kaspersky Security Center и Kaspersky Endpoint Security могут оказаться полезными следующие ежедневные проверки:

—  При использовании Контроля устройств необходим ежедневный анализ его событий для    реагирования на ложные срабатывания и корректировка списка доверенных устройств.

—  Отчет и виджет по наличию уязвимостей на управляемых устройствах.

—  При использовании Адаптивного контроля аномалий необходима ежедневная проверка его срабатываний, которые ожидают действий администратора.

—  При использовании Patch Management необходима постоянная проверка свободного места на диске, иначе загрузка патчей может забить диск и нарушить работу Kaspersky Security Center.

—  Также стоит ежедневно просматривать Карантин на предмет ложных срабатываний, в таких случаях Kaspersky Security Center умеет восстанавливать файлы.

Состояние защиты

Картинка с сайта: store-kaspersky.ru

Если защита не работает, то об этом могут говорить следующие статусы компьютера:

—   Программа защиты не установлена;

—   Программа защиты не запущена;

—   Защита выключена.

Для поиска компьютеров с такими статусами удобно использовать предустановленные выборки.

Если защита не работает, то убедитесь, что:

·   На компьютере есть Агент администрирования — пользователь мог удалить Агент администрирования и тогда Консоль управления показывает последние сведения, которые Агент отправил на Сервер. Установите Агент заново и защитите его от пользователя: задайте пароль на деинсталляцию.

·   На компьютере есть Kaspersky Endpoint Security— пользователь мог удалить Kaspersky Endpoint Security. Установите защиту заново и защитите ее от пользователя: задайте пароль.

·   Настройки политики закрыты замком — если замки не закрыты, пользователь может менять значения параметров и потенциально может выключить компоненты или автозапуск Kaspersky Endpoint Security. Закройте замки для всех важных параметров в политике.

·   К компьютеру применяется политика — устройство может быть в группе без политики, или на компьютере может быть версия Kaspersky Endpoint Security, для которой на Сервере нет политики. Создайте политики во всех группах и для всех версий Kaspersky Endpoint Security.

·   Включена защита паролем — Если защита паролем не включена, пользователь может выгрузить Kaspersky Endpoint Security, даже без прав администратора.

Статус Программа защиты не запущена всегда сопровождается статусом Защита выключена.
Но не наоборот. Если Kaspersky Endpoint Security работает, но все компоненты защиты выключены, у компьютера будет статус Защита выключена без статуса Программа защиты не запущена. Защита в Kaspersky Endpoint Security считается включенной, если работает хотя бы один компонент защиты. Даже если это только Защита от почтовых угроз.

Как удаленно включить защиту

Картинка с сайта: store-kaspersky.ru

Одним из наиболее критичных статусов защиты является статус Программа защиты не запущена. Чтобы исправить этот статус нужно отдать команду Агенту администрирования, чтобы он запустил Kaspersky Endpoint Security. Отдать такую команду можно в свойствах компьютера на вкладке Программы.

Если не запущены отдельные компоненты, их можно запустить на вкладке Задачи.

Второй способ запустить Kaspersky Endpoint Security— с помощью задачи Запуск и остановка программы. Эта задача относится к дополнительным задачам Kaspersky Security Center и может быть как групповой, так и для наборов компьютеров.

Групповую задачу удобно использовать при регистрации события Вирусная атака — с ее помощью можно запустить защиту на всех компьютерах сети, на случай если защита где-нибудь остановлена.

Задача для наборов компьютеров лучше подходит для исправления статуса Программа защиты не запущена.

Чтобы создать задачу, которая запускает Kaspersky Endpoint Security:

1.  Запустите Мастер создания задачи на странице Устройства | Задачи.

2.  Выберите программу Kaspersky Security Center и тип задачи Запуск и остановка программы.

3.  Выберите устройства, которым будет назначена задача — Выборка.

4.  Укажите выборку компьютеров Программа защиты не запущена.

Как отличить выключенные компьютеры

Картинка с сайта: store-kaspersky.ru

В большой сети все компьютеры почти никогда не бывают включены. Какие-то обязательно выключены.

В консоли их легко отличить по значку — у выключенных компьютеров в графе Видим в сети появится значок с красным восклицательным знаком. Смотрите также на статусы и записи в колонках Агент администрирования установлен, Агент администрирования запущен и Последнее подключение к Серверу администрирования.

 Если Агент не работает, а последнее соединение было давно, не обращайте внимания на статусы защиты компьютера, они могут быть неточными.

Что если компьютер виден, но Агент не выходит на связь

Картинка с сайта: store-kaspersky.ru

Если компьютер виден в сети, но Агент не соединяется с Сервером администрирования, то Сервер назначает ему один из двух статусов:

·  Давно не подключался — по умолчанию компьютеры получают этот статус через 14 дней. Период можно изменить в свойствах группы Управляемые устройства. Статус означает, что все это время Агент администрирования не связывался с Сервером, и Сервер не мог соединиться с компьютером во время полного опроса сети.

·  Устройство стало неуправляемым — этот статус означает, что Агент не соединяется с Сервером, но Сервер соединялся с компьютером во время полного опроса сети.

Если у компьютера статус Давно не подключался, надо выяснить, что случилось с компьютером. Если этого компьютера больше нет, удалите его из группы и затем еще раз из списка Обнаружение устройств и развертывание | Нераспределенные устройства. Если сотрудник болеет или в отпуске, то ничего не делайте.

Если сотрудники подолгу (месяцами) не бывают в сети, увеличьте период, после которого Сервер администрирования автоматически удаляет компьютеры из группы. По умолчанию это 60 дней. Откройте свойства группы Управляемые устройства, перейдите на вкладку Параметры выберите раздел Активность устройств и измените значение параметра Удалять устройство из группы, если оно неактивно больше (сут). Или отключите этот параметр совсем, если сотрудники могут работать вне офиса неограниченно долго.

Как заставить компьютер связаться с Сервером

Картинка с сайта: store-kaspersky.ru

Если у компьютера статус Давно не подключался, проверьте, что

—     Агент администрирования установлен.

—     Агент администрирования запущен.

Если пользователь удалил Агент администрирования, включите защиту паролем в политике Агента, а затем переустановите.

Если Агент установлен и запущен, проверьте его настройки. Используйте утилиту klnagchk.exe из папки Агента администрирования %ProgramFiles(x86)%\Kaspersky Lab\NetworkAgent;

1.      Запустите интерфейс командной строки (cmd.ехе) с правами администратора.

2.      Перейдите в папку Агента администрирования.

3.      Запустите утилиту klnagchk.exe.

Без параметров утилита выводит настройки Агента администрирования, пробует подключиться к Серверу администрирования с этими настройками, публикует результат, и в конце выводит статистику подключений.

Во время тестового подключения Агент не проверяет, есть ли на Сервере новые настройки и не посылает на Сервер свои данные.

 Чтобы заставить Агент синхронизироваться с Сервером, выполните команду klnagchck.exe -sendhb

—   Проверить доступность устройства (только в ММС) — проверяет статус компьютера Видим в сети по базе Сервера администрирования. Связываться с компьютером не пытается, поэтому ничего не добавляется к тому, что и так показывает иконка устройства.

—   Синхронизировать принудительно — посылает сигнал на порт UDP 15000 компьютера.

Как изменить адрес подключения к Серверу администрирования

Картинка с сайта: store-kaspersky.ru

Если у Агента администрирования неправильные параметры подключения к Серверу, исправьте их утилитой klmover.exe из той же папки Агента администрирования:

1.   Запустите интерфейс командной строки cmd.exe с правами администратора.

2.   Перейдите в папку Агента администрирования.

3.   Запустите утилиту klmover.exe с параметром -address и адресом Сервера: klmover.exe –address 10.28.0.20

 Если у Сервера нестандартный порт, добавьте параметр -рs и номер порта.

Чтобы исправить неправильные параметры подключения удаленно, переустановите Агент администрирования. Перед этим проверьте настройки пакета Агента администрирования. Если у установленного Агента неправильные параметры, не исключено, что они были неправильными в пакете.

Как узнать, что лицензия истекает

Картинка с сайта: store-kaspersky.ru

Если лицензия на компьютере заканчивается или закончилась, это повод для администратора обратить внимание.

Дату окончания лицензии можно увидеть в свойствах лицензий на странице Операции | Лицензирование | Лицензии Лаборатории Касперского.

Также внимание администратора могут привлекать статусы компьютеров, настраиваемые в свойствах групп администрирования. К лицензиям имеют отношение два условия для назначения статуса:

—   Срок действия лицензии истек — присваивает компьютеру статус Критический. Может срабатывать не сразу, а спустя заданное количество дней после истечения лицензии — чтобы дать возможность отработать механизмам автоматического обновления лицензии и не беспокоить администратора понапрасну. По умолчанию все же условие срабатывает через 0 дней, т.е. сразу после истечения лицензии.

—   Срок действия лицензии скоро истечет — присваивает компьютеру статус Предупреждение. По умолчанию начинает отображаться за 7 дней до срока истечения, но этот параметр можно изменить в любую сторону

 Отчет об использовании ключей

Картинка с сайта: store-kaspersky.ru

Практически вся информация о ключах, которая может понадобиться администратору, доступна на вкладке Операции | Лицензирование | Лицензии Лаборатории Касперского. В том числе, какое у лицензии ограничение по узлам, и сколько компьютеров уже использует лицензию.

События Сервера администрирования сообщают о превышении ограничения по узлам:

—   Лицензионное ограничение превышено — есть два события с таким именем, одно из которых является критическим, а второе — предупреждением. Критическое событие генерируется при превышении 110% от заданного в лицензии ограничения по узлам. Предупреждение сообщает о превышении 100% от заданного ограничения.

—   Ключ использован более чем на 90% — информационное сообщение, смысл которого полностью передается названием.

Никаких технических ограничений в связи с превышением 100% или 110% от лицензионного ограничения, Сервер администрирования не вводит. Если для активации используются ключи, а не коды, администратор может беспрепятственно распространить их задачей установки ключа на неограниченное количество компьютеров. С точки зрения лицензионного соглашения, лицензия дает вам право использовать программное обеспечение на том количестве устройств, которое приобретено и обозначено в лицензионном сертификате. Если в свойствах ключа включить параметр Распространять ключ автоматически, Сервер администрирования будет не только распространять его на компьютеры, но и отзывать с «лишних» компьютеров.

При использовании кодов активации технические ограничения могут вводить сервера активации Лаборатории Касперского. Каждому экземпляру у Kaspersky Endpoint Security который приходит за активацией Сервера активации выдают разрешение (ticket) на использование продукта. Если одновременно выданных разрешений намного больше, чем ограничение лицензии (в полтора-два раза), Сервера активации прекращает их выдавать.

Задача распространения ключа

Картинка с сайта: store-kaspersky.ru

Когда приближается срок истечения лицензии, компания приобретает новую. Возникает вопрос, как переключиться с одной лицензии на другую без временного разрыва, но и не уменьшая эффективный срок использования ни одной из лицензий. С одной стороны, не хотелось бы заменять старую лицензию пока у нее еще есть несколько дней до истечения. Но и новую лицензию нужно активировать до того, как старая окончательно перестанет работать.

Чтобы не терять лицензионный период ни старой, ни новой лицензии, используйте один из двух подходов:

—    Заранее распространите новый ключ на компьютеры задачей установки ключа. В настройках задачи укажите, что это дополнительный (резервный) ключ.

Резервные ключи и коды можно добавлять практически во всех продуктах Лаборатории Касперского. Как только лицензия, указанная в активном ключе, перестает действовать, продукт автоматически активируется с использованием резервного ключа или кода.

—    Добавьте новую лицензию на Сервер администрирования и включите в ее свойствах параметр Распространять ключ автоматически.

Когда на компьютерах истечет предыдущий ключ, они получат от Сервера администрирования новый ключ с установленным флагом автоматического распространения.

 Автоматически распространяемые ключи поступают на все компьютеры. Если у компьютера нет активной лицензии, автоматически распространяемый ключ станет активным. Если активная лицензия уже есть, автоматически распространяемый ключ станет резервным. Если есть и активная, и резервная лицензии, автоматически распространяемый ключ не установится.

Иногда бывает нужно установить конкретный ключ на конкретный компьютер или группу компьютеров. Автоматическое распространение для этого не подходит. Вместо этого нужно создать задачу Добавление ключа.

Периодический чеклист

Картинка с сайта: store-kaspersky.ru

Действия, которые рекомендуется выполнять периодически:

—     Проверять восстановление из бекапа, пока он не удалился в результате ротации.

Например, если бэкап делается каждый день и хранится 3 копии, то проверять надо раз в 3 дня, если бэкап делается каждые 2 дня и хранится 5 копий, то проверять раз в 10 дней.

—     Каждую неделю выполнять задачу Обслуживание Сервера администрирования.

—     Каждую неделю проверять размер базы Сервера администрирования и при необходимости чистить ее от слишком «шумных» событий.

—     Каждые 2 недели следить за статусом Давно не выполнялся поиск вредоносного ПО.

—     Каждый месяц проверять несуществующие устройства, удалять их из базы.

—     Каждые 3 месяца следить за обновлениями продуктов ЛК, при необходимости планировать и тестировать перед установкой на боевые сервера.

Также имеет смысл выполнять проверки для защиты самого сервера:

—     Какие учетные записи имеют доступ к KSC— например, администратор ушел из компании, а учетная запись все еще активна. Достаточно проверять раз в месяц.

—     Журналы СУБД проверять на наличие ошибок, следов сторонних подключений или «левых» учетных записей.

—     Настройки и Firewall, чтобы не было лишних открытых портов, а только те, которые регламентированы для работы Kaspersky Security Center.

—     Журнал Security проверять на наличие попыток компрометации Сервера администрирования — ошибки подключения, неуспешная аутентификация.

—     Журналы СУБД проверять на наличие ошибок, следов сторонних подключений или «левых» учетных записей.

—     Настройки Firewall, чтобы не было лишних открытых портов, а только те, которые регламентированы для работы Kaspersky Security Center.

Чеклист при возникновении инцидента

Картинка с сайта: store-kaspersky.ru

Однозначно ответить на вопрос, что делать при возникновении инцидента, невозможно. В каждой организации свой подход, свои критерии, свои политики информационной безопасности.

В контексте Kaspersky Security Center за инцидент, как минимум, можно принять статус устройства Обнаружены активные угрозы.

Хотя и обезвреженные угрозы могут представлять интерес для анализа, все зависит от различных данных, которые связаны с детектом. Например, тип детекта, компонент, который обнаружил угрозу, уровень критичности самого устройства или пользователя, время обнаружения и другие. Все эти данные могут влиять на итоговую оценку и необходимость дальнейшего расследования.

Даже если Kaspersky Endpoint Security не смог справиться с угрозой нужно все равно проанализировать информацию, возможно он обнаружил вредоносный файл на сетевом диске, а обезвредить не смог потому, что нет прав на запись. В такой ситуации вряд ли стоит считать угрозой то, чего нет на этом устройстве.

Если действительно на устройстве обнаружены активные угрозы, администратор может создать и запустить для этой выборки задачу Поиск вредоносного ПО с включенной опцией Лечение активного заражения (подробнее про эту опцию ниже).

После успешного завершения задачи и удаления вредоносного ПО рекомендуется привести антивирусные базы на устройстве в актуальное состояние.

Также при работе с инцидентами хорошей практикой является сбор данных с зараженного устройства. Kaspersky Security Center умеет удаленно собирать журналы Windows, журналы Kaspersky Endpoint Security и GetSystemInfo, делается это через Агента и может быть выполнено даже при сбое в работе продукта. Если впоследствии окажется, что инцидент важный и будет расследование, то копии всех журналов для анализа у нас уже будут гарантированно. Также журналы понадобятся в случае предоставления данных в НКЦКИ и правоохранительные органы. Кроме того, часто в журнале Kaspersky Endpoint Security данных больше, чем в отчете Kaspersky Security Center, например, там видны атакованные порты, а в отчете их нет.

По окончании работы над инцидентом рекомендуется сбросить счетчик вирусов, чтобы он не влиял на статус устройства, если, конечно, такой статус включен.

Активные угрозы

Картинка с сайта: store-kaspersky.ru

О том, что на компьютере есть активные угрозы говорит соответствующий статус — Обнаружены активные угрозы.

Для поиска устройств с такими статусами удобно использовать предустановленную выборку.

Лечение активного заражения

Картинка с сайта: store-kaspersky.ru

Как правило, даже если вредоносная программа выполняется, Kaspersky Endpoint Security может ее завершить. За это отвечают компоненты Предотвращение вторжений, Анализ поведения и Защита от эксплойтов. Защита от файловых угроз программы в памяти не проверяет.

Но если компьютер заражен и Kaspersky Endpoint Security не может остановить вредоносную программу, можно применить технологию лечения активного заражения.

По умолчанию эта технология выключена, так как она блокирует запуск любых программ и перезагружает компьютер, что помешает пользователю компьютера. Пользователь может согласиться выполнить процедуру и рискует потерять данные, или пользователь может отказаться выполнить процедуру и компьютер останется зараженным. В любом случае лучше, если решать будет администратор, а не пользователь.

Чтобы запустить эту технологию на устройстве нужно обязательно включить опцию Применять технологию лечения активного заражения в политике Kaspersky Endpoint Security. Это делается в разделе Параметры программы | Общие настройки | Настройки приложения

Опция Применять технологию лечения активного заражения работает по разному на рабочих станциях и серверах. Если Kaspersky Endpoint Security находит угрозу и просит выполнить лечение активного заражения, то на рабочих станциях появляется уведомление и пользователь должен согласиться на эту процедуру.

На серверах пользователей обычно не, поэтому уведомление просто не поднимается, и процедура не выполняется. Чтобы лечение активного заражения работало на серверах, нужно в задаче Поиск вредоносного ПО включить опцию Выполнять лечение активного заражения немедленно, она позволяет избежать интерактивного взаимодействия с пользователем.

Для работы технологии на рабочих станциях опцию в задаче включать необязательно, но если включить, то это также позволит избежать интерактивного взаимодействия с пользователем.

При лечении активного заражения Kaspersky Endpoint Security не дает запускаться новым программам, сканирует память, применяет более агрессивные методы завершения процессов, пробует удалить вредоносные файлы на перезагрузке.

По завершению задачи, когда все угрозы обезврежены, сбросьте счетчик вирусов на компьютерах.

Без внешнего вмешательства счетчик вирусов может только увеличиваться, единственный способ привести этот статус в нормальное состояние — сбросить значение счетчика вручную. Для этого откройте свойства компьютера, на вкладке Общие в разделе Защита есть кнопка Обнулить счетчик вирусов.

store—kaspersky.ru
8-800-250-16-03
info@store-kaspersky.ru

Уровень сложностиПростой

Время на прочтение11 мин

Количество просмотров5.5K

Рано или поздно каждому администратору безопасности Kaspersky Security Center придётся столкнуться с радостями и трудностями переезда сервера администрирования, в связи с абсолютно различными причинами, начиная от миграции локальных мощностей в ЦОД, и заканчивая невозможностью обновления старого ПО.

И многие, подозреваю, хотели бы знать различные подводные камни, возникавшие в аналогичных ситуациях, детали о тонкостях планирования инфраструктуры серверов администрирования и узнать каким бэйзлайнам (стандартам) развёртывания следовать.

Немного о себе — меня зовут Григорий, являюсь сертифицированным специалистом Kaspersky по направлению Kaspersky Endpoint Security and Management (Медленно но верно двигаюсь к статусу Kaspersky Certified Systems Engineer), имею опыт работы с различными продуктами Kaspersky (и не только) около трёх лет.

Подготовка

Анализ текущей инфраструктуры

Для грамотного построения новой инфраструктуры антивирусной защиты организации требуется с умом подойти к анализу уже построенной.

Вопросы которые следует изучить в первую очередь:

• Тип развёртывания. Kaspersky Labs сформировало типовые конфигурации, которые следует использовать в сети организации (Которые в целом встречаются на практике чаще всего): Один офис (Подробнее в справке Kaspersky Security Center); Несколько крупных географически распределенных офисов (Подробнее в справке Kaspersky Security Center); Множество небольших географически распределенных офисов (Подробнее в справке Kaspersky Security Center); Если ваша конфигурация развёртывания отличается от всех вышеописанных (исключая случаи гибридного развёртывания, при наличии одновременно и крупных и малых филиалов в Организации) — настоятельно рекомендую в новом развёртывании присмотреться к вышеописанным схемам, или их аналогам в зависимости от типа IT-инфраструктуры (Например, если сотрудники работают удалённо в приватном облаке Организации, и только через VDI — имеет смысл организовать в нём единый сервер администрирования, т.к. защищаемые сервисы и рабочие станции будут находится в единой сетевой среде; Это в свою очередь будет аналогом типа развёртывания Один офис в облачном исполнении).

• Производительность. По моему опыту — все вопросы связанные с мониторингом производительности серверов замечательно перекрываются с использованием интеграции между собой Zabbix и Grafana, например при помощи плагина. Item’ы Zabbix, которые лично я использую для мониторинга производительности сервера администрирования это:

  • CPU utilization (Утилизация CPU);

  • Memory utilization (Утилизация RAM);

  • FS [(<Буква диска>)]: Space: Available (Динамика свободного места на диске);

  • FS [(<Буква диска>)]: Space: Used (Динамика использованного места на диске);

  • 0 [(<Буква диска>)]: Disk utilization by idle time (Время простоя диска); Уверен что многие Хабрчане, более погруженные в дебри сбора и анализа различных метрик производительности серверов смогут подсказать и более изощрённые или простые решения в комментариях :^) Если после проведения анализа производительности, по каким-либо критериям её не хватает текущему развёртыванию — в первую очередь обратите внимание на соответствие типа развёртывание текущей структуре сети организации (Не следует развёртывать один-единственный сервер администрирования на БД SQL-express на 30 крупных филиалов Организации, в которой находится более 15000 устройств); На более поздних этапах, после оптимизации типа развёртывания — следует чуть более щепетильно подойти к вопросу конфигурации как самого сервера администрирования и его БД, так и к конфигурации конечных политик/задач и параметрам хранения событий;

Определение требований к новой инфраструктуре

Насчёт определения самой структуры защиты Организации существует весьма прозрачная статья в справке Kaspersky Security Center, но помимо этого следует обратить внимание на:

• Имеющийся ИТ-ландшафт предприятия Поскольку при новом развёртывании Kaspersky Security Center его необходимо изолировать от основной доменной сети предприятия, для предотвращения его компрометации в случае захвата контроля над доменом. Это является прямой рекомендацией вендора (см. пункт «Исключение Сервера администрирования из домена») Обращу внимание так же на две вещи: — При изоляции необходимо не забыть про порты, используемые Kaspersky Security Center в ходе работы. — А так же вспомнить про наличие удалённых сотрудников Организации, которых тоже нужно защищать. Организовать их подключение в контур предприятия можно через шлюз соединений

• Аппаратные и программные требования Настоятельно рекомендую обратить пристальное внимание на корректный выбор базы данных (причём обязательно с запасом на будущее; подробнее про ограничения БД тут; подробнее про требования к «железу» для сервера администрирования и СУБД здесь) а так же, по возможности, разнести компоненты Kaspersky Security Center (СУБД, Сервер администрирования, Веб-консоль, Файловое хранилище) на разные сервера (Для совокупного повышения производительности каждого из компонентов по отдельности)

Резервное копирование

Настоятельно рекомендую, если вы желаете сохранить текущие настройки и конфигурацию сервера администрирования — при воссоздании сервера администрирования использовать утилиту klbackup и резервную копию сервера администрирования.

По умолчанию задача резервного копирования сервера администрирования сохраняет их в следующих директориях:
C:\ProgramData\KasperskyLab\adminkit\1093\Backup — для версий 13.2 и младше
C:\ProgramData\KasperskySC\SC_Backup (или же %ALLUSERSPROFILE%\Application Data\KasperskySC\SC_Backup) — для версий 14 и старше

Так же важная деталь — если вы хотите восстановить сервер администрирования из резервной копии, то в обязательном порядке:

• Если будете менять базу данных с SQL Server на MySQL или MariaDB — запускайте утилиту klbackup в интерактивном режиме и включите «Перенос данных в формате MySQL/MariaDB». Аналогично применимо и к переносу SQL Server на Azure SQL — выбирайте «Перенести в формат Azure»;

• Если в качестве СУБД будет так же использоваться SQL Server — её версия на новом сервере должна быть такой же, или выше, чем та, которая установлена на старом.

Настройка нового сервера администрирования

После установки СУБД и сервера администрирования (в выбранной вами конфигурации) — можете приступать к его восстановлению, если не хотите настраивать всё с нуля:

1. Запустите утилиту klbackup, находящуюся в папке установки сервера администрирования, в интерактивном режиме;

2. В открывшемся окне выберите пункт «Выполнить восстановление данных Сервера администрирования»;

3. В параметрах восстановления укажите папку, содержащую резервную копию сервера администрирования, и пароль от архива с резервной копией;

4. После указания параметров — нажимайте Далее и ждите окончание работы мастера восстановления.

О том, как восстановить сервер администрирования в тихом режиме, при помощи командной строки — читайте в справке KSC.

Если вы решили, что восстановление сервера администрирования по какой либо причине вам не подходит, то после установки СУБД и сервера администрирования и прохождения мастера первоначальной настройки можно приступать к конфигурированию необходимых для работы параметров.

Иерархия групп администрирования

Честно скажу по своему опыту, что неавтоматизированное создание групп администрирования — вещь достаточно нудная и абсолютно не оптимизированная по временным затратам, особенно если вам необходимо создание достаточно большого количества групп.

Для создания большого количества групп администрирования — рекомендую использовать встроенный функционал создания структуры групп.

Её можно воссоздать из иерархии групп Active Directory, структуры сетевых доменов или из текстового файла (в моей практике, в большинстве случаев, использовался последний вариант).

Например для того, чтобы создать в группе Управляемые устройства подгруппы филиала А и филиала Б необходимо использовать текстовый файл со следующим содержанием:
Управляемые устройства
-Филиал А
-Филиал Б

Политики и профили политик

В зависимости от используемых средств защиты конечных точек необходимо настроить для необходимых вам групп администрирования соответствующие политики (Kaspesky Endpoint Security для Windows, для Linux, Лёгкий агент и т.д.)

В случае KES для Windows — рекомендую обращать особое внимание на:

• Конфигурацию событий В большом масштабе это влияет на производительность БД (отключением отправки некритических событий на сервер администрирования), а так же на возможность мониторинга настоящих критических событий для администраторов безопасности (обнаружено много вирусов, программа безопасности не запущена, и т.д.); Во многих случаях наиболее удобно осуществлять мониторинг и обработку таких событий через email-нотификации, так как многие ServiceDesk-системы достаточно просто интегрируются именно с почтой. Конфигурация находится в разделе Event Configuration во вкладках, соответствующих типу события.

• Конфигурация модулей Анализ поведения и Защита от сетевых угроз Поскольку, в некоторых случаях, данные модули могут привести в том числе к блокировке самого хоста, где работает средство защиты информации (От себя упомяну такой случай при генерации отчётов в Microsoft PowerBI в связке с Microsoft SQL); Настоятельно рекомендую сначала тестировать их в режиме информирования перед тем, как начинать блокировать соединения на «боевых» сервисах (Разделы Advanced Threat Protection -> Behavior Detection и Essential Threat Protection -> Network Threat Protection).

• Конфигурацию модулей DR (Detection and Response) Если в вашей Организации используется MDR или KATA в составе KEDR Expert (В ином случае DR работать не будет). Конфигурация находится в разделе Detection and Response -> Managed Detection and Response/Endpoint Detection and Response (KATA)

• Конфигурацию модуля Анализ журналов Может быть достаточно полезной, поскольку можно создать собственные правила обнаружений нетипичной активности в системных журналах, а так же дополнительно сохранять такие действия в журнал событий антивируса (Security Control -> Log Inspection).

• Конфигурацию Адаптивного контроля аномалий Поскольку иногда может воспринять легитимные утилиты или скрипты IT-администраторов как угрозу и заблокировать их выполнение (Security Control -> Adaptive Anomaly Control).

• Конфигурацию Локальных задач В своих инсталляциях всегда оставляю возможность запускать локальные задачи непосредственно из локального интерфейса пользователей (Поскольку это удобно, и в экстренных ситуациях требуется быстрее чем за 15 минут произвести антивирусную проверку устройства «на месте») Так же для задачи сканирования из контекстного меню выставляю параметр «Максимальной защиты», поскольку данный тип проверки используется, в моей практике крайне редко, и не для плановых проверок. Сканирование съёмных накопителей произвожу в режиме «Детальное сканирование» поскольку достаточно часто встречал ситуации, когда некоторые «продвинутые» сотрудники пытались самолично произвести оценку защищённости активов компании при помощи redteam-инструментария. Режим фонового сканирования оставляю включённым, поскольку она не является настолько же ресурсоёмкой, как задача полного сканирования, но при этом проверяет достаточно чувствительные места в ОС (автозапуск, загрузочный сектор, системная память, системный раздел) Конфигурации находятся в разделах Local Tasks -> Task management/Scan from Context Menu/ Removable Drives Scan/Background Scan

• Конфигурацию Исключений и доверенных приложений Если вы используете различные продукты Microsoft (SCCM, Exchange Server и т.д.) — рекомендую проверить наличие всех исключений для данных продуктов. Так же если вы используете сторонние приложения, которые конфликтуют со средствами антивирусной защиты — лучше не забывать добавлять их в исключения перед началом эксплуатации САВЗ. Конфигурация находится в разделах General settings -> Exclusions and object types -> Scan exclusions/Trusted applications

• Конфигурацию Парольной защиты Настоятельно рекомендую включать парольную защиту во всех политиках KES для Windows (думаю, что объяснять причины этому не стоит) не забыв ввести пару логин-пароль для администратора антивирусной защиты (на практике ставлю разные, случайно-сгенерированные логины и пароли на каждую политику в разделе General settings -> Interface -> Password protection), а так же не забыть во всех параметрах политики «закрыть замки», чтобы обычный пользователь не мог изменить ни один из параметров политики. В случае с KES для Linux:

• Конфигурация областей защиты от файловых угроз Поскольку сканирование всей файловой подсистемы существенно повышает нагрузку на ОС (Essential Theat Protection -> File Threat Protection -> Scan)

• Конфигурация исключений (папки, маски файлов, процессы, названия угрозы) Если вы хотите, чтобы все сервисы продолжали работать в штатном режиме (например инсталляции Jira или Confluence) Essential Theat Protection -> File Threat Protection exclusions Essential Theat Protection -> Network Threat Protection -> Exclusions Advanced Threat Protection -> Anti-Cryptor -> Exclusions by mask Advanced Threat Protection -> Behavior Detection -> Exclusions by proccess Security Controls -> System Integrity Monitoring -> Monitoring exclusions/Exclusions by mask

• Конфигурацию сканирования контейнеров Для того, чтобы чувствительный сервис внезапно упал, без попытки дезинфекции контейнера (General settings -> Container Scan settings)

• Конфигурацию производительности В обязательном порядке настройте ограничения по использованию CPU и RAM для задач сканирования и самого антивируса, для предупреждения ситуации отказа в обслуживании сервиса, из-за отсутствия свободных ресурсов (General settings -> Application settings) Для агента администрирования:

• Настройте защиту агента от неавторизованного удаления или выключения, а так же параметры парольной защиты (вкладка Settings)

• Если в Организации есть удалённые сотрудники — не забудьте про профили соединений (Connectivity -> Connection profiles)

Задачи

Следующие типы задач должны быть на каждом сервере администрирования, вне зависимости от типа лицензии, которую вы используете для управляемых устройств:

• Поиск вредоносного ПО
  Стоит запускать не реже трёх раз в неделю, лучше в вечернее время, с учётом того, что пропущенные задачи будут запускаться автоматически, если устройство было недоступно в определённое время (Но вы можете использовать Wake-On-Lan, если вам это позволяет делать сетевая инфраструктура Организации и конфигурация конечных точек)

• Инвентаризация
  При различных реализациях становиться достаточно ресурсоёмкой задачей как на конечных устройствах, так и для базы данных сервера администрирования. Без серьёзной необходимости не рекомендую включать инвентаризацию DLL-файлов, а так же запускать задачу только на эталонных устройствах.

• Обновление баз
  Рекомендую запускать на регулярной основе, не реже двух раз в неделю. Если желаете уменьшить нагрузку от задачи — в качестве серверов обновлений можно поставить только сервера обновления Лаборатории Касперского (Kaspersky Update Servers)

• (Если лицензия распространяется через задачу) Добавление ключа

Лицензии и их распространение

Есть несколько способов распространять лицензии на программы безопасности:

• При помощи групповых задач

• В составе инсталляционного пакета

• Автоматически

Наиболее удобным способом является автоматическое распространение лицензии, но оно является наименее контролируемым, поскольку лицензии выдаются даже на те устройства, которые не входят ни в одну из управляемых групп администрирования.

Задачи, к сожалению, не представляется возможным настроить достаточно гибко, чтобы активировались только те устройства, у которых отсутствует действующая лицензия (В выборках это настроить не представляется возможным, поскольку не существует соответствующего статуса устройства).

В составе инсталляционного пакета распространение лицензии является приемлемым, но в случае утечки пакета вы так же предоставите злоумышленнику лишнюю корпоративную лицензию на антивирус.

По своему опыту могу рекомендовать использовать последний способ распространения лицензий, при этом грамотно закрыв доступ до инсталляционных пакетов с лицензиями.

Параметры сервера администрирования

Лично я практически на каждой инсталляции сервера администрирования делаю следующие вещи:

• Удаляю у группы BUILTIN\Administrators права в Kaspersky Security Center (Перед этим не забыв предоставить своей учётной записи все необходимые привилегии и роли);

• Отключаю ручное назначение точек распространения (можете оставить, если конечно хотите, чтобы внезапно ваш почтовый сервер или рабочая станция сотрудника с еле живым Pentium’ом стала точкой распространения :^));

• Заранее настраиваю нужные правила перемещения для неуправляемых устройств, чтобы не испытывать боль от их ручного перемещения;

• Формирую точечные профили политик для чувствительных сервисов, и для сетевой изоляции по тегам управляемых устройств.

Смена сервера администрирования для агентов

Настоятельно рекомендую производить смену сервера администрирования для выделенной тестовой группы управляемых активов.

Если для подключения к серверу используется шлюз соединения в демилитаризованной зоне — так же необходимо работает ли подключение через него, при помощи установки специально сформированного пакета с указанным шлюзом соединения.

А так же важная деталь — если в вашей инфраструктуре используется дисковое или файловое шифрование с использованием Kaspersky Security Center — предварительно, перед переносом данных устройств на новый сервер администрирования, необходимо при помощи параметров политики настроить их расшифровку.

Для того, чтобы сменить сервер администрирования необходимо создать задачу «Смена сервера администрирования», далее в поле «Сервер администрирования» вводим DNS-имя или IP-адрес нового сервера администрирования. Далее выбираем группу/выборку/устройства, которую вы выбрали для тестирования переезда и корректируем последующие параметры задачи.

Для любителей всё делать при помощи скриптов — смену сервера администрирования можно реализовать через встроенную в агент утилиту klmover.

Пример команды смены сервера администрирования через данную утилиту:
«C:\Program Files (x86)\Kaspersky Lab\NetworkAgent\klmover.exe» -address ksc.domain.local

Уже её запуск на конечных хостах можно реализовать при помощи powershell и winrm.

Заключение

Если у кого-то остались вопросы относительно статьи, предложения, дополнительные темы, которые хотелось бы раскрыть более подробно — буду рад об этом услышать в комментариях.

Подводя итоги могу лишь сказать, что документация по продуктам играет ключевую роль в успешном внедрении и эксплуатации ПО. Она служит не только источником знаний для разработчиков, но и является важным инструментом для комьюнити, помогая ему эффективно использовать различные решения.

Всем хорошей документации, и спасибо за прочтение :^)