Kaspersky security center 10 установка. Удаленная установка программ с использованием Kaspersky Security Center. Параметры тихой установки

Цель работы.

Данная лабораторная работа посвящена установке сервера управления антивирусной защитой Security Center.

Предварительные сведения.

До того, как приступить к установке, надо определиться с общим сценарием развертывания антивирусной защиты. Два основных сценария, предлагаемых разработчиками Security Center:

• - развертывание антивирусной защиты вну три организации;
• - развертывание антивирусной защиты сети организации- клиента (используется организациями, выступающими в роли ссрвис- нровайдеров). Эта же схема может использоваться внугри организации, имеющей несколько удаленных подразделений, компьютерные сети которых администрируются независимо от сети головного офиса.

В данных лабораторных работах будет реализовываться первый сценарий. Если планируется использовать второй, то дополнительно потребуется установка и настройка компонента Web-Console. И здесь нужно сказать об архитектуре Security Center. Он включает в себя следующие компоненты:

• 1. Сервер администрирования, который осуществляет функции централизованного хранения информации об установленных в сети организации программах ЛК и управления ими.
• 2. Агент администрирования осуществляет взаимодействие между Сервером администрирования и программами ЛК, установленными на компьютере. Есть версии Агента для разных операционных систем - Windows, Novell и Unix.
• 3. Консоль администрирования предоставляет пользовательский интерфейс для управления Сервером. Консоль администрирования выполнена в виде компонента расширения к Microsoft Management

Console (ММС). Она позволяет подключаться к Серверу администрирования как локально, так и удаленно, по локальной сети или через Интернет.

4. Kaspersky Security Center Web-Console предназначена для контроля состояния антивирусной защиты сети организации-клиента, находящейся под управлением Kaspersky Security Center. Использование этого компонента в рамках данного лабораторного практикума изучаться не будет.

• 1. Установка и настройка Сервера и Консоли администрирования.
• 2. Создание групп администрирования и распределение по ним клиентских компьютеров.
• 3. Удаленная установка на клиентские компьютеры Агента администрирования и антивирусных программ ЛК.
• 4. Обновление сигнатурных баз программ ЛК на клиентских компьютерах.
• 5. Настройка уведомлений о событиях антивирусной защиты.
• 6. Запуск задачи проверки по требованию и проверка работы уведомлений о событиях на клиентских компьютерах.
• 7. Анализ отчетов.
• 8. Настройка автоматической установки антивирусных программ на новые компьютеры в сети.

В данной лабораторной работе будет рассмотрено выполнение первого этапа. На рис. 5.35 представлена схема лабораторного стенда, имитирующего защищаемую сеть (он также был описан ранее в табл. 5.4). Цель этой лабораторной работы - установить сервер и консоль администрирования Security Center на сервер AVServ.

Рис. 5.35.

Таблица 5.5

Различия в версиях дистрибутива Kaspersky Security Center 9.0

Дистрибутив Security Center можно загрузить по ссылке http://www.kaspersky.ru/downloads-security-center. При этом можно выбрать версию скачиваемого дистрибутива - Lite или полную. В табл. 5.5 перечислены различия версий дистрибутивов для версии 9.0, которая использовалась при подготовке описаний лабораторных работ. Для выполнения лабораторной нужна будет полная версия, так как вместе с установкой сервера администрирования будет устанавливаться СУБД MS SQL Server 2005 Express, которая используется для хранения данных о состоянии антивирусной защиты.

Описание работы.

После завершения подготовительных действий запускаем на сервере AVServ программу инсталляции Security Center. После окна приветствия будет запрошен путь для сохранения файлов, необходимых в процессе инсталляции, появится еще одно окно приветствия и окно с лицензионным соглашением, которое необходимо принять для продолжения процесса установки.

При выборе типа установки отметим пункт «Выборочная», что позволит подробно ознакомиться с перечнем устанавливаемых компонент и применяемых настроек.

Если выбрать вариант «Стандартная», то в результате работы мастера будут установлены Сервер администрирования вместе с серверной версией Агента администрирования, Консоль администрирования, доступные в дистрибутиве плагины управления программами и Microsoft SQL Server 2005 Express Edition (если он ранее не был установлен).

Следующим шагом будет выбор устанавливаемых компонент сервера (рис. 5.36). Нам нужно установить Сервер администрирования, и отметку на этом пункте оставляем.

Технология Cisco NAC, позволяющая проверять безопасность подключающегося к сети мобильного устройства или компьютера, у нас использоваться не будет.

Также в рамках лабораторного практикума не планируется развертывание антивирусной защиты на мобильных устройствах (таких как смартфоны), поэтому указанные компоненты сейчас нс устанавливаем.

Выбираемый размер сети влияет на установку значений ряда параметров, определяющих работу антивирусной защиты (они перечислены в табл. 5.6). Данные настройки можно при необходимости поменять и после установки сервера.

Также потребуется указать учетную запись, от имени которой будет запускаться сервер администрирования, или согласиться с созданием новой записи (рис. 5.37).

В предыдущих версиях ОС Windows (например, при установке на Windows Server 2003) в этом окне может присутствовать вариант «Учетная запись системы». В любом случае, данная запись должна обладать правами администратора, что потребуется как для создания базы данных, гак и для последующей работы сервера.

Таблица 5.6

Параметры, устанавливаемые в зависимости от размера сети

Рис. 5.37.

Следующий шаг - выбор используемого сервера баз данных (рис. 5.38). Для хранения данных Security Center 9.0 может использовать Microsoft SQL Server (версии 2005, 2008, 2008 R2, в том числе и редакции Express 2005, 2008) или MySQL Enterprise. На рис. 5.38, а показано окно выбора типа СУБД. Если выбран сервер MySQL, то потребуется указать имя и номер порта для подключения.

Если использовать существующий экземпляр MS SQL Server, потребуется указать его имя и название базы данных (по умолчанию, она называется KAV). В наших лабораторных работах будет использоваться рекомендуемая конфигурация, подразумевающая установку MS SQL Server 2005 Express вместе с установкой Security Center (рис. 5.38, б).

Рис. 5.38.

После выбора SQL Server в качестве используемой СУБД надо указать режим аутентификации, который будет использоваться при работе с ним. Здесь оставляем настройку по умолчанию - режим аутентификации Microsoft Windows (рис. 5.39).

Для хранения инсталляционных пакетов и распространения обновлений сервер администрирования будет использовать папку, предоставляемую в общий доступ. Можно указать существующую папку или создать новую. Имя общего ресурса по умолчанию КЬ8НАКЕ.

Рис. 5.39.

Также предоставляется возможность указания номеров портов, используемых для подключения к серверу Security Center. По умолчанию используется ТСР-порт 14000, а для защищенного с помощью протокола SSL соединения - ТСР-порт 13000. Если после установки к серверу администрирования нс удается подключиться, стоит проверить, не блокируются ли эти порты межсетевым экраном Windows. Кроме упомянутых выше, для передачи на сервер информации о выключении компьютеров используется UDP-порт 13000.

Далее потребуется указать способ идентификации сервера администрирования. Это может быть ip-адрес, имена DNS или NetBIOS. В используемой для лабораторного практикума виртуальной сети организован домен Windows и присутствует DNS-сервер, поэтому будем использовать доменные имена (рис. 5.40).

Рис. 5.40.

Следующее окно позволяет выбрать устанавливаемые плагины для управления антивирусными программами ЛК. Забегая вперед, можно сказать, что развертываться будет продукт Kaspersky Endpoint Security 8 for Windows, плагин для которого нам и понадобится (рис. 5.41).

Рис. 5.41.

После этого выбранные программы и компоненты будут установлены на сервер. По завершении установки будет запущена консоль администрирования или, если вы убрали «галочку» в последнем окне мастера установки, запустите ее из меню Пуск -> Программы-> Kaspersky Security Center.

Задание 1.

В соответствии с описанием выполните установку сервера администрирования на виртуальную машину AVServ.

При запуске консоли выполняется начальная настройка сервера. На первом шаге можно указать коды активации или файлы лицензионных ключей для антивирусных продуктов ЛК. Если у вас есть «корпоративный» ключ на несколько компьютеров, при настройках по умолчанию ключ будет автоматически распространяться сервером на клиентские компьютеры.

Рис. 5.42.

Также можно согласиться или отказаться от использования Kaspersky Security Network (KSN), удаленного сервиса по предоставлению доступа к базе знаний Лаборатории Касперского о репутации файлов, Интернет-ресурсов и программного обеспечения.

Следующий шаг - настройка параметров для оповещения администратора антивирусной защиты по электронной почте. Надо указать почтовый адрес, smtp-ссрвср и, при необходимости, параметры для авторизации на сервере (рис. 5.42). Если в лаборатории нет подходящего почтового сервера, можно этот шаг пропустить и сделать настройки позже.

Если доступ в Интернет осуществляется через прокси-сервер, понадобится указать его параметры. После прохождения этого этапа будет выполнено автоматическое создание стандартных политик, групповых задач и задач администрирования. Они будут более подробно рассмотрены в следующих лабораторных работах.

Рис. 5.43.

Следующий шаг - автоматический запуск загрузки обновлений. Если загрузка началась успешно, можно, не дожидаясь сс окончания, нажать кнопку «Далее» и после окончания работы мастера начальной настройки перейти в основное окно Консоли администрирования (рис. 5.43). Там должно отобразиться, что в сети есть один управляемый компьютер (вместе с сервером администрирования па компьютер AVScrv был установлен и агент администрирования), на котором отсутствует антивирусная защита. Это расценивается как критическое событие.

Задание 2.

Выполните начальную настройку сервера.

Отдельно консоль администрирования можно установить из папки Console дистрибутивного диска, запустив программу Setup. Если используется дистрибутив, скачанный из Интернет, то надо отрыть указанную в начале установки папку для сохранения дистрибутивных файлов. По умолчанию это папка C:KSC9 ussianConsole.

Рис. 5.44.

Задание 3.

На виртуальную машину Stationl .labs.local установите консоль администрирования Security Center. Проверьте возможность подключения к серверу AVServ.labs.local. Для этого в окне консоли надо указать его адрес или имя (рис. 5.44), а также согласиться на получение сертификата сервера (рис. 5.45).

Рис. 5.45.

Рис. 5.46.

Если подключиться не удалось, проверьте, не блокируются ли на сервере AVScrv порты, используемые для подключения к серверу Security Center (см. выше). Настройку можно проверить через Панель управления: Система и безопасность -> Брандмауэр Windows -> Разрешить запуск программы через брандмауэр Windows. Соответствующие разрешающие настройки должны присутствовать, см. рис. 5.46 (названия правил остались как в предыдущей версии продукта - Kaspersky Administration Kit).

Большое количество статей описывает — как удаленно установить приложение на несколько компьютеров в доменной сети (AD). Но многие сталкиваются с проблемой поиска или создания подходящих пакетов установки Windows Installer (MSI).

Действительно. Для того что бы установить всем пользователям группы, например, FireFox — необходимо или собрать MSI-пакет самостоятельно (), или скачать на соответствующем сайте подходящий. Единственное, в первом случае — на самом-то деле — задача, весьма не тривиальная, а во втором — мы получаем пакет настроенные таким образом, как захотелось его создателю, да еще и по факту модифицированный (сомнительный, но минус).

Если в вашей организации в качестве антивирусной защиты используются продукты компании «Лаборатория Касперского» — и вы используете сервер администрирования — вы можете устанавливать удаленно программы даже из *.exe пакетов, используя ключи — для управления параметрами установки.

Параметры тихой установки

Таким образом нам нужно:

• Скачать стандартный дистрибутив нужной нам программы с сайта разработчика (или откуда вы их обычно берете)
• Найти в интернете какие ключи «тихой» установки поддерживает используемая программа
• Установить программу на пользовательский ПК, используя Kaspersky Security Center

Если вы будете назначать установку программ вручную, или у вас все пользователи используют одинаковый набор программ — то можете пропустить этот раздел, но если же у вас в организации разным отделам устанавливается разное ПО — этим отделам можно назначить разные группы, для которых будут использоваться разные задачи.

Группы пользователей в KSC разделяются — аналогично структуре используемой в AD — каталоги и под каталоги. Задачи и политики используемые в родительских группах применяются всем дочерним группам.

Таким образом можно, например, всем пользователям компании установить FireFox и Chrome, и только дизайнерам Photoshop.

Итак приступим:

Новый инсталляционный пакет создается просто: вы указываете его имя (то как он будет отображаться в KSC), выбираете «ИП для программы, указанной пользователем», указываете пусть к программе (exe, bat, cmd, msi) и указываете параметры запуска (ключи тихой установки).

Затем указанный пакет можно будет использовать для установки на удаленные компьютеры.

2) Теперь нам нужно создать задачу для установки созданного пакета. Если вы раньше работали с KSC, или с его предыдущим аналогом Adminkit. То сам процесс создания задачи — для вас не составит труда.

Можно либо создать задачу перейдя в папку соответствующей группы, и перейдя на вкладку «Задачи» — создать новую задачу. Либо Перейдя в Раздел «Задачи для наборов компьютеров» — создать новую задачу.
Задаем имя созданной задачи, и выбираем тип задачи «Удаленная установка программы».

Выбираем программу которую мы хотим устанавливать, каким группам пользователей будет назначена эта задача, и указываем пользователя которому позволено устанавливать ПО на все из используемых компьютеров (обычно — администратор домена).

Единственное, в плане настроек — мы ограничиваемся только теми параметрами, которые разрешает передавать разработчик при установки программы, и настроить прокси-сервер в браузере через командную строку нам вряд ли удастся. Но тут нам на помощь идут уже стандартные групповые политики AD. Ведь обычно у альтернативных браузеров -используются системные настройки прокси, а их мы можем назначить нужным пользователям через AD. ;)

Уважаемые коллеги! Сегодня я хочу вам поведать о Системе администрирования Антивируса Касперского. Вещь, я вам скажу, очень занятная.

С помощью неё вы можете взять под свой контроль все компьютеры своей организации в плане разрешения/запрета открытия сайтов, разрешения/запрета запуска программ, в том числе по определенным категориям (например, можно запретить запуск всех браузеров, кроме определенных), разрешения/запрета подключения какого-либо оборудования – флэшек, жестких дисков и прочее (например, чтобы исключить слив информации пользователями), также автоматизировать обновление ключей для антивируса Касперского, минимизировать расход трафика при обновлении антивирусов (после установки KSC и настройки на него антивирусов, установленных на рабочих станциях, они будут обновляться именно с этого сервера, а не из сети Интернет). Для установки KSC 10 версии, со слов технического консультанта лаборатории Касперского в Приволжском федеральном округе – Павла Александрова, подходит ОС Windows (не обязательно серверная) хотя бы с 2-4 Гб оперативной памяти. Недавно компания “Умные решения” проводила Практический мастер-класс на ноутбуках , где ваш покорный слуга смог воочию ознакомиться с этим творением лаборатории Касперского. Kaspersky Security Center 10, как сказал Павел, предоставляется бесплатно для тех, кто владеет корпоративной лицензией для KES (Kaspersky Endpoint Security) 10. К счастью, нам, коллеги – программисты/системные администраторы бюджетных учреждений Республики Татарстан, не нужно ничего покупать – весь необходимый инструментарий доступен из сети ГИСТ по адресу kav.tatar.ru . А также, для вашего удобства, коллеги, я размещаю видеоуроки любезно предоставленные Игорем Александровичем, специалистом компании НоваИнТех -> Ссылка на видеоуроки на сайте Youtube . Если после просмотра видео у вас останутся какие-то вопросы, то я, с радостью, помогу вам в скайпе (lisischko).

P.S. Вы можете сделать свой сервер управления Антивирусом Касперского подчиненным ЦИТовскому KSC, какие это даёт преимущества не скажу – сам этого делать не стал, но это описано на сайте kav.tatar.ru

Примечание1: Список исполняемых файлов не пополнялся на сервере, даже созданной вновь задачей “Инвентаризация”, пока не была поставлена галочка в разделе “Дополнительные параметры” – “Отчёты и хранилища” – Информировать сервер администрирования “О запускаемых программах” в политике Антивируса.

Примечание4: Время от времени на компьютерах подвластных KSC всё начинает зависать. Диспетчер задач показал, что систему грузит процесс “Kaspersky Security Center Vulnerability Assessment & Patch Management Component” (исполняемый файл vapm.exe). Анализ проблемы показал, что в момент тормозов системы выполнялась задача “Поиск уязвимостей и требуемых обновлений”, перевод этой задачи в ручной запуск и остановка решил проблему. Также, есть вариант со снятием галочки “запускать пропущенные задачи” в расписании задачи (без перевода запуска в ручной режим), но испытывать этот вариант я не стал, в виду решения о ненадобности для нас этой функции. UPD: не прошло и получаса после остановки задачи и перевода режима её запуска в ручной, как её, снова, запустил какой-то триггер. Разбираться нет времени. Удалил задачу “Поиск уязвимостей и требуемых обновлений”, добавить её всегда можно впоследствии.

В мы остановились на том, что мастер первоначальной настройки сервера Kaspersky Security Center предложил нам сразу же развернуть антивирусную защиту на компьютерах в сети. Разберем этот процесс подробнее.

Первым шагом при развертывании антивирусной защиты будет выбор инсталляционного пакета. Kaspersky Security Center 10.3 уже содержит в себе Kaspersky Endpoint Security 10.2, так что скачивать его отдельно не придется.

Поддерживайте антивирусные базы в дистрибутивах , и тогда их не придётся докачивать после установки.

Обратите внимание, что при установке Kaspersky Endpoint Security (KES) сразу же ставится и Агент администрирования, обеспечивающий связь KES сервером KSC.

Нужно выбрать компьютеры, на которых необходимо развернуть антивирусную защиту. В нашем примере это сам сервер, на котором установлен KSC. В настоящей сети можно сразу выбрать все компьютеры, на которых необходимо развернуть защиту.

Далее идут параметры задачи удаленной установки. Их можно оставить по умолчанию. Самый интересный параметр здесь, пожалуй, «Не устанавливать программу, если она уже установлена». Если Вы будете устанавливать программу повторно, и Вам обязательно нужно, чтобы установка прошла (допустим, программа уже стоит, но работает некорректно, и Вы решили её переустановить), то эту галочку нужно снять.

Укажите код и файл ключа для KES, после этого программа спросит как ей себя вести при необходимости перезагрузки.

Установка KES требует перезагрузки, установка Агента администрирования нет. Поэтому в том случае, когда устанавливаете только агент, этот пункт в мастере фактически бессмысленный и ни на что не влияет.

В нашем же случае, так как мы ставим и KES, и агент, выбор будет иметь последствия. Гуманным выбором будет спросить у пользователя, можно ли перезагрузить компьютер. Ведь пользователь может выполнять там свои задачи, и принудительная перезагрузка в таком случае не есть хорошо.

Если Вы никуда не торопитесь, можно вообще не перезагружать компьютер. Установка KES завершится при следующем включении клиентского компьютера. Ну и, если Вы уверены, что никаких важных задач на компьютере не выполняется, можно включить принудительную перезагрузку.

Общеизвестно, что антивирусное ПО разных фирм не уживается на одном компьютере. Kaspersky Security Center владеет целым списком такого ПО и способен удалять его самостоятельно.

Если есть необходимость, после завершения установки компьютеры можно переместить в отдельную группу.

Запустится процесс установки, ход которого можно наблюдать в разделе Задачи.