Шлюз з'єднань використовують, якщо немає можливості встановити пряме з'єднання з Сервером адміністрування та клієнтським комп'ютером. Наприклад, сервер адміністрування знаходиться в корпоративній мережі, а клієнтський комп'ютер до неї не входить.

Як встановити

Щоб локально встановити Агент адміністрування у режимі шлюзу з'єднань:

1. Запустіть файл інсталяції на пристрої, який буде шлюзом з'єднань.

За промовчанням файл установки розташовується:
\\<Адрес сервера администрирования>\KLSHARE\Packages\NetAgent_10.4.343.

1. Ознайомтеся з умовами Ліцензійної угоди та встановіть прапорець Я приймаю умови Ліцензійної угоди.

1. Виберіть папку інсталяції.

1. Задайте Адреса Серверата зніміть прапорець Дозволити Агенту адміністрування відкрити UDP-порт.

1. Пропустіть крок Конфігурація проксі-сервера.
2. Виберіть Використовувати як шлюз з'єднань у демілітаризованій зоні.

1. Виберіть Отримати з Сервера адміністрування.

1. Вкажіть теги, якщо застосовуєте їх. Докладніше про використання тегів дивіться у статті Як і навіщо використовувати теги в Kaspersky Security Center 10 .

1. Пропустіть крок Додаткові параметри.
2. Встановіть прапорець Запустити програму в процесі встановлення.

1. Натисніть Встановити.

Як налаштувати

1. Відкрийте Kaspersky Security Center 10.
2. Відкрийте контекстне менювузла Керовані пристроїта натисніть Створити → Групу.

1. Задайте ім'я нової групи та натисніть ОК.

1. Відкрийте Властивостівузла Сервер адміністрування.
2. Перейдіть до розділу Агенти оновленьта зніміть прапорець Призначати агенти оновлень автоматично.Натисніть Додати.

1. У меню поля натисніть Додати шлюз з'єднань, що знаходиться в демілітаризованій зоні, за адресою.

1. Введіть адресу шлюзу з'єднань та натисніть ОК.

1. Виберіть набір пристроїв, пов'язаних з цим шлюзом. Натисніть ОК.

При черговому скануванні мережі Сервер адміністрування виявить доданий IP-адресою шлюз з'єднань і помістить його в Нерозподілені пристрої.

1. Додайте шлюз з'єднань до групи Зовнішні пристрої створену на кроці 3.
2. Відкрийте Властивостівузла Сервер адмініструваннята перейдіть до розділу Агенти оновлень. Натисніть Додати.
3. У меню поля Пристрій, який виконуватиме роль агента оновленьнатисніть Додати пристрій із групи.Додайте шлюз з'єднань із групи Зовнішніпристроїта натисніть ОК.Повторіть крок 8.
4. Виберіть доданий шлюз з'єднань та відкрийте його. Властивості.

1. Перейдіть до розділу Шлюз. Встановіть прапорець Шлюз з'єднаньі Ініціювати створення з'єднання зі шлюзом з боку Сервера адміністрування. Задайте Адреса шлюзу для віддалених пристроїв , наприклад, abc-lab.kaspersky.com. Натисніть OK.

Ви можете створити для шлюзу з'єднань політику Агента адміністрування. При створенні на кроці Мережазніміть прапорець Використовувати UDP-порт.

1. Перейдіть у вузол Сервер адміністрування.
2. Виберіть у меню Вид → Налаштування інтерфейсу.
3. Налаштуйте відображення елементів інтерфейсу за допомогою таких прапорців:

   Відображати Системне адміністрування.Якщо прапорець встановлено, у папці Віддалена установка Розгортання образів пристроїв, а в папці Сховищавідображається вкладена папка Устаткування. За замовчуванням прапорець знято.

   Відображати шифрування та захист даних.Якщо прапорець встановлено, доступне керування шифруванням даних на пристроях, що підключаються до мережі. Після перезапуску програми у дереві консолі з'явиться папка Шифрування та захист даних

   Відображення параметрів контролю робочого місця.Якщо прапорець встановлений, у розділі Контроль безпекивікна властивостей політики Kaspersky Endpoint Security для Windows відображаються такі підрозділи: Контроль програм, Моніторинг уразливостей, Контроль пристроїв, Веб-контроль. За замовчуванням прапорець знято.

   Відображати Керування мобільними пристроями.Якщо встановлено прапорець, доступна функція Управління мобільними пристроями. Після перезапуску програми у дереві консолі з'явиться папка Мобільні пристрої. За замовчуванням прапорець знято.

   Відображати підлеглі сервери адміністрування.Якщо прапорець встановлений, у дереві консолі відображаються вузли підлеглих та віртуальних серверівадміністрування у складі груп адміністрування. За промовчанням прапорець встановлено.

   Відображення розділів із параметрами безпеки.Якщо прапорець встановлено, у вікнах властивостей Сервера адміністрування, груп адміністрування та інших об'єктів буде відображено розділ Безпека. За промовчанням прапорець встановлено.

4. Натисніть ОК.

Для застосування деяких змін необхідно закрити та знову відкрити Консоль адміністрування.

Чим більше мережа, тим більше системний адміністратор(або IT-департамент) намагається автоматизувати управління програмними продуктами. Антивірусне програмне забезпечення у цьому плані не виняток.

Багато виробників антивірусів мають у своєму арсеналі засоби віддаленого адміністрування, сьогодні йтиметься про подібне рішення від Лабораторії Касперського.

Взагалі, Kaspersky Security Center - досить серйозна програма, описати яку в одній статті точно не вийде. Тому в цій статті розберемо лише його розгортання.

Завантажити Kaspersky Security Center можна. Сам продукт складається з сервера, який буде необхідно розгорнути, консолі адміністрування, яку можна поставити на інший комп'ютер для віддаленого адміністрування сервера, веб-консолі як альтернативи звичайної та адміністрування агента, який ставиться на клієнтські комп'ютери і відповідає за зв'язок антивірусного ПЗ з сервером.

Сам сервер необхідно розгортати лише на операційних системах сімейства Windows. Причому наявність серверної редакції необов'язково. Підтримуються системи від XP та вище, але тільки в редакціях Professional/Enterprise/Ultimate. З повним спискомпідтримуваних систем можна ознайомитись на сайті.

Крім цього, сервер для своєї роботи необхідний MS SQL або MySQL (можна і віддалений). Якщо готового сервераБаз даних під рукою немає, установник Kaspersky Security Center сам встановить MS SQL Express, якого цілком достатньо для більшості організацій.

Отже, для розгортання сервера завантажуємо та запускаємо інсталяційний файл(рекомендую качати повний дистрибутив). Як тестовий стенд у нас обраний комп'ютер з операційною системою Windows Server 2012 R2.

Ви побачите зручне меню, в якому нас зараз цікавить пункт "Встановити Kaspersky Security Center 10".

Після запуску установки Вам запропонують ухвалити ліцензійну угоду, а також вибрати тип установки. Для кращого контролю за процесом установки відзначимо вибіркову установку.

Якщо в мережі є мобільні пристрої, для керування їх захистом можна встановити окремий компонент.

Вкажіть розмір мережі. Втім, цей пункт не несе в собі якоїсь важливої ​​визначальної сили.

Далі програма установки запитає з-під якого користувача запускати службу адміністрування сервера. Ви можете вказати вже наявного користувача з адмінськими правами або дозволити програмі встановлення створити нового.

Наступним кроком буде вибір сервера бази даних. Як мовилося раніше, варіантів тут два — MS SQL чи MySQL. Якщо у Вас немає готового сервера, Kaspersky Security Center дбайливо розгорне MS SQL Express.

На цьому кроці в процесі встановлення на Вас може чекати невеликий сюрприз у тому випадку, якщо у Вашій системі не встановлено. NET Framework 3.5 SP 1.

У Windows Server .NET Framework 3.5 SP 1 вбудований як компонент, і його потрібно лише увімкнути. Якщо у Вас не серверна операційна система, Вам потрібно зайти на сайт Microsoft і завантажити установник.

Розглянемо варіант включення компонента у Windows Server. Для цього відкриваємо Диспетчер серверів та вибираємо пункт «Додати ролі та компоненти».

Запуститься майстер, у якому нам необхідно вказати, що ми збираємось встановлювати ролі чи компоненти.

Майстер додавання ролей та компонентів у Windows Server

Вибираємо наш сервер та пропускаємо вибір ролей. У списку компонентів знаходимо Функції.NET Framework 3.5 та відзначаємо їх галочкою.

Додавання компонента до Windows Server

Після цього повернемося до встановлення безпосередньо Kaspersky Security Center.

Нам необхідно вибрати режим SQL-автентифікації. Це може бути як окремий обліковий запис, так і поточний.

Серверу Kaspersky Security Center необхідна Загальна папка, до якої могли б звертатися клієнтські комп'ютери для отримання оновлень та інсталяційних пакетів. Можна створити нову папкучи вказати існуючу.

Вказуємо порти, якими будемо підключатися до сервера адміністрування.

Вказуємо адресу сервера у мережі. Якщо сервер має і буде статичну IP-адресу, можна їм і обмежитися. Але все-таки зручніше визначати сервер на ім'я.

Останній крок перед встановленням – вибираємо необхідні плагіни. Плагіни дозволяють керувати різними антивірусними продуктами Лабораторії Касперського. Це корисно, якщо у Вас є цілий «зоопарк» версій. Плагіни можна буде встановити потім додатково.

Тепер залишилося лише спостерігати процес встановлення. Іноді на плагіни потрібно ухвалити окрему ліцензійну угоду.

Установка Kaspersky Security Center завершено.

Тепер пробіжимося по початковому настроюванню сервера. Консоль адміністрування, що встановлюється разом із сервером, виглядає так:

Консоль адміністрування Kaspersky Security Center

Консоль можна встановити окремо. І навіть потрібно, щоб не заходити щоразу на сервер для рутинних дій.

У лівій колонці перераховані сервери. Поки що там тільки наш щойно створений сервер. Якщо Ви адмініструєте кілька серверів, просто натисніть Додати Сервер адміністрування.

Отже, клацніть по щойно створеному сервері, і запуститься Майстер початкового налаштування. Від Вас попросять активувати програму за допомогою коду чи ключа. Втім, зробити це можна і згодом.

Крім того, майстер запитає Вашої згоди на участь у програмі Kaspersky Security Network. По суті це ще один шпигун на Ваших комп'ютерах, який відправляє Лабораторії Касперського дані про те, на які ресурси Ви заходите і де чіпляєте заразу. Мотивують це створенням певної бази знань. На мій погляд, для кінцевого користувача сенс участі в такій програмі є сумнівним.

Також Вас попросять вказати поштові ящикидля повідомлень від сервера Kaspersky Security Center. Цей крок можна пропустити.

Після всіх цих кроків сервер почне завантажувати останні версіїоновлень із мережі. Надалі можна буде налаштувати як джерело оновлень не сервера Лабораторії Касперського в Інтернеті, а вищий сервер, якщо у Вашій мережі їх кілька.

Після завантаження оновлень та опитування мережі майстер видасть повідомлення про успішне завершення та запропонує запустити майстер розгортання захисту на робочих станціях.

Про розгортання захисту на робочих станціях ми поговоримо у .

Мета роботи.

Ця лабораторна робота присвячена встановленню сервера управління антивірусним захистом Security Center.

Попередні відомості.

До того, як приступити до встановлення, треба визначитися із загальним сценарієм розгортання антивірусного захисту. Два основні сценарії, які пропонують розробники Security Center:

• - розгортання антивірусного захисту всередині організації;
• - розгортання антивірусного захисту мережі організації- клієнта (використовується організаціями, що виступають у ролі сервіс-норвайдерів). Ця ж схема може використовуватися всередині організації, що має кілька віддалених підрозділів, комп'ютерні мережіадмініструються незалежно від мережі головного офісу.

У даних лабораторні роботиреалізовуватиметься перший сценарій. Якщо планується використовувати другий, то додатково знадобиться встановлення та налаштування компонента Web-Console. І тут слід сказати про архітектуру Security Center. Він включає наступні компоненти:

• 1. Сервер адміністрування,який здійснює функції централізованого зберігання інформації про встановлені в мережі організації програми ЛК та управління ними.
• 2. Агент адмініструванняздійснює взаємодію між Сервером адміністрування та програмами ЛК, встановленими на комп'ютері. Є версії Агента для різних операційних систем – Windows, Novell та Unix.
• 3. Консоль адмініструваннянадає користувальницький інтерфейсдля керування Сервером. Консоль адміністрування виконана у вигляді компонента розширення до Microsoft Management

Console (ММС). Вона дозволяє підключатися до Сервера адміністрування як локально, так і віддалено, локальної мережіабо через Інтернет.

4. Kaspersky Security Center Web-Consoleпризначена для контролю стану антивірусного захисту мережі організації-клієнта, яка перебуває під керуванням Kaspersky Security Center. Використання цього компонента в рамках цього лабораторного практикумувивчатися не буде.

• 1. Встановлення та налаштування Сервера та Консолі адміністрування.
• 2. Створення груп адміністрування та розподіл за ними клієнтських комп'ютерів.
• 3. Віддалена установка на клієнтські комп'ютери Агента адміністрування та антивірусних програм ЛК.
• 4. Оновлення сигнатурних баз програм ЛК на клієнтських комп'ютерах.
• 5. Налаштування повідомлень про події антивірусного захисту.
• 6. Запуск завдання перевірки на вимогу та перевірка роботи повідомлень про події на клієнтських комп'ютерах.
• 7. Аналіз звітів.
• 8. Налаштування автоматичної установкиантивірусних програм на нові комп'ютери у мережі.

У цій лабораторній роботі буде розглянуто виконання першого етапу. На рис. 5.35 представлена ​​схема лабораторного стенду, що імітує мережу, що захищається (він також був описаний раніше в табл. 5.4). Мета цієї лабораторної роботи – встановити сервер та консоль адміністрування Security Center на сервер AVServ.

Мал. 5.35.

Таблиця 5.5

Відмінності у версіях дистрибутива Kaspersky Security Center 9.0

Компонент	Повна
	версія	версія
Дистрибутив Сервера адміністрування
Дистрибутив Kaspersky Endpoint Security for Windows
Дистрибутив Агента адміністрування
Microsoft SQL 2005 Server Express Edition
Microsoft .NET Framework 2.0 SP1
Microsoft Data Access Component 2.8
Microsoft Windows Installer 3.1
Kaspersky Security Center System Health Validator

Дистрибутив Security Center можна завантажити за посиланням http://www.kaspersky.ru/downloads-security-center. При цьому можна вибрати версію дистрибутива, що скачується - Lite або повну. У табл. 5.5 перераховані відмінності версій дистрибутивів для версії 9.0, яка використовувалася для підготовки описів лабораторних робіт. Для виконання лабораторної потрібна буде повна версія, оскільки разом із встановленням сервера адміністрування встановлюватиметься СУБД MS SQL Server 2005 Express, яка використовується для зберігання даних про стан антивірусного захисту.

Опис роботи.

Після завершення підготовчих дій запускаємо на сервері AVServ програму інсталяції Security Center. Після вікна привітання буде запрошено шлях для збереження файлів, необхідних у процесі інсталяції, з'явиться ще одне вікно привітання та вікно з ліцензійною угодою, яку необхідно прийняти для продовження процесу інсталяції.

При виборі типу установки відзначимо пункт «Вибіркова», що дозволить детально ознайомитися з переліком встановлюваних компонентів та налаштувань.

Якщо вибрати варіант "Стандартна", то в результаті роботи майстра будуть встановлені Сервер адміністрування разом із серверною версією Агента адміністрування, Консоль адміністрування, доступні в дистрибутиві плагіни керування програмами та Microsoft SQL Server 2005 Express Edition (якщо його раніше не було встановлено).

Наступним кроком буде вибір установлюваних компонентів сервера (рис. 5.36). Нам потрібно встановити Сервер адміністрування і відмітку на цьому пункті залишаємо.

Технологія Cisco NAC, що дозволяє перевіряти безпеку мобільного пристрою або комп'ютера, що підключається до мережі, у нас використовуватися не буде.

Також у рамках лабораторного практикуму не планується розгортання антивірусного захисту на мобільних пристроях(таких як смартфони), тому зазначені компоненти зараз не встановлюємо.

Розмір мережі, що вибирається, впливає на встановлення значень ряду параметрів, що визначають роботу антивірусного захисту (вони перераховані в табл. 5.6). Ці установки можна за необхідності змінити і після встановлення сервера.

Також потрібно вказати обліковий запис, від імені якого запускатиметься сервер адміністрування, або погодитися зі створенням нового запису(Рис. 5.37).

У попередніх версіях Windows (наприклад, при інсталяції на Windows Server 2003) у цьому вікні може бути варіант « Обліковий записсистеми». В будь-якому випадку, цей записповинна мати права адміністратора, що потрібно як для створення бази даних, так і для подальшої роботи сервера.

Таблиця 5.6

Установки залежно від розміру мережі

Параметр/число комп'ютерів		100-1000	1000-5000	Більше
Відображення в дереві консолі вузла підлеглих та віртуальних Серверів адміністрування та всіх параметрів, пов'язаних з підлеглими та віртуальними Серверами	Відсутнє	Відсутнє	присутній	присутній
Відображення розділів Безпекау вікнах властивостей Сервера та груп адміністрування	Відсутнє	Відсутнє	присутній	присутній
Створення політики Агента адміністрування за допомогою майстра початкового налаштування	Відсутнє	Відсутнє	присутній	присутній
Розподіл часу запуску завдання оновлення на клієнтських комп'ютерах випадковим чином	Відсутнє	в інтервалі 5 хвилин	в інтервалі 10 хвилин	в інтервалі 10 хвилин

Мал. 5.37.

Наступний крок - вибір сервера баз даних, що використовується (рис. 5.38). Для зберігання даних Security Center 9.0 може використовувати Microsoft SQL Server (версії 2005, 2008, 2008 R2, у тому числі редакції Express 2005, 2008) або MySQL Enterprise. На рис. 5.38, апоказано вікно вибору типу СУБД. Якщо вибрано сервер MySQL, потрібно буде вказати ім'я та номер порту для підключення.

Якщо використовувати існуючий екземпляр MS SQL Server, потрібно вказати його ім'я та назву бази даних (за умовчанням вона називається KAV). У наших лабораторних роботах буде використовуватися рекомендована конфігурація, яка передбачає встановлення MS SQL Server 2005 Express разом із установкою Security Center (рис. 5.38, б).

Мал. 5.38.

Після вибору SQL Server як СУБД, що використовується, треба вказати режим аутентифікації, який буде використовуватися при роботі з ним. Тут залишаємо налаштування за замовчуванням - режим автентифікації Microsoft Windows(Рис. 5.39).

Для зберігання інсталяційних пакетів та розповсюдження оновлень сервер адміністрування буде використовувати папку, що надається в загальний доступ. Можна вказати існуючу папку або створити нову папку. Ім'я загального ресурсу за замовчуванням КЬ8НАК.

Мал. 5.39.

Також можна вказати номери портів, які використовуються для підключення до сервера Security Center. За промовчанням використовується ТСР-порт 14000, а для захищеного за допомогою протоколу SSL з'єднання - ТСР-порт 13000. Якщо після встановлення до сервера адміністрування нс вдається підключитися, варто перевірити, чи не блокуються ці порти міжмережевим екраном Windows. Крім згаданих вище, передачі на сервер інформації про вимкнення комп'ютерів використовується UDP-порт 13000.

Далі потрібно вказати спосіб ідентифікації сервера адміністрування. Це може бути ip-адреса, імена DNS або NetBIOS. У використовуваній для лабораторного практикуму віртуальної мережіорганізовано домен Windows і є DNS-сервер, тому будемо використовувати доменні імена (рис. 5.40).

Мал. 5.40.

Наступне вікно дозволяє вибрати встановлювані плагіни для керування антивірусними програмамиЛК. Забігаючи вперед, можна сказати, що буде розгортатися продукт Kaspersky Endpoint Security 8 for Windows, плагін для якого нам і знадобиться (рис. 5.41).

Мал. 5.41.

Після цього вибрані програми та компоненти будуть встановлені на сервер. По завершенні установки буде запущена консоль адміністрування або, якщо ви прибрали "галочку" в останньому вікні майстра установки, запустіть її з меню Пуск -> Програми-> Kaspersky Security Center.

Завдання 1.

Відповідно до опису виконайте встановлення сервера адміністрування на віртуальну машину AVServ.

Під час запуску консолі виконується початкове налаштування сервера. На першому кроці можна вказати коди активації чи файли ліцензійних ключівдля антивірусних продуктів ЛК. Якщо у вас є "корпоративний" ключ на кілька комп'ютерів, при налаштуваннях за замовчуванням ключ автоматично поширюватиметься сервером на клієнтські комп'ютери.

Мал. 5.42.

Також можна погодитись або відмовитися від використання Kaspersky Security Network (KSN), віддаленого сервісу з надання доступу до бази знань Лабораторії Касперського про репутацію файлів, Інтернет-ресурсів та програмного забезпечення.

Наступний крок - налаштування параметрів для оповіщення адміністратора антивірусного захисту електронній пошті. Потрібно вказати поштову адресу, smtp-ссрвср та, за потреби, параметри для авторизації на сервері (рис. 5.42). Якщо в лабораторії немає відповідного поштового сервера, можна пропустити цей крок і зробити налаштування пізніше.

Якщо доступ до Інтернету здійснюється через проксі-сервер, потрібно вказати його параметри. Після проходження цього етапу буде виконано автоматичне створення стандартних політик, групових завдань та завдань адміністрування. Вони будуть детальніше розглянуті у наступних лабораторних роботах.

Мал. 5.43.

Наступний крок – автоматичний запуск завантаження оновлень. Якщо завантаження почалося успішно, можна, не чекаючи на закінчення, натиснути кнопку «Далі» і після закінчення роботи майстра початкової настройки перейти в основне вікно Консолі адміністрування (рис. 5.43). Там має відобразитися, що в мережі є один керований комп'ютер (разом з сервером адміністрування па комп'ютер AVScrv був встановлений агент адміністрування), на якому відсутній антивірусний захист. Це розцінюється як критичне подія.

Завдання 2.

Виконайте початкове налаштування сервера.

Окремо можна встановити консоль адміністрування з папки Console дистрибутивного диска, запустивши програму Setup. Якщо використовується дистрибутив, завантажений з Інтернету, потрібно відкрити папку, вказану на початку установки, для збереження дистрибутивних файлів. За промовчанням це папка C:KSC9 ussianConsole.

Мал. 5.44.

Завдання 3.

Встановіть консоль адміністрування Security Center на віртуальну машину Stationl .labs.local. Перевірте можливість підключення до сервера AVServ.labs.local. Для цього у вікні консолі треба вказати адресу або ім'я (рис. 5.44), а також погодитися на отримання сертифіката сервера (рис. 5.45).

Мал. 5.45.

Мал. 5.46.

Якщо підключитися не вдалося, перевірте, чи не блокуються на сервері AVScrv порти, які використовуються для підключення до сервера Security Center (див. вище). Налаштування можна перевірити через Панель керування: Система та безпека -> Брандмауер Windows -> Дозволити запуск програми через брандмауер Windows. Відповідні роздільні настройки повинні бути присутніми, див. мал. 5.46 (назви правил залишилися як у попередньої версіїпродукту - Kaspersky Administration Kit).