Добавление подчиненного Сервера администрирования
При выборе в контекстном меню контейнера Серверы одной из групп пунктов Создать и Сервер администрирования запускается мастер добавления Сервера администрирования. Следующим после приветствия окном мастера является окно выбора имени Сервера администрирования.
В окне Адрес Сервера администрирования можно указать адрес подчиненного Сервера, но можно этого и не делать. Во втором случае изменения будут внесены только в настройки главного Сервера администрирования и для завершения подключения потребуется менять также настройки подчиненного Сервера администрирования. Если же указать адрес, то добавление можно завершить в рамках работы мастера.
При указании адреса следует руководствоваться теми же правилами, что и при подключении консоли администрирования к Серверу администрирования: если на подключаемом Сервере администрирования используются нестандартные порты, порт для подключения следует прописать через двоеточие после адреса.
Для взаимной аутентификации главного и подчиненного Серверов администрирования необходимо, чтобы на каждом из них хранился сертификат другого. Поэтому при добавлении Сервера администрирования требуется указать путь к его сертификату.
Если ранее был задан адрес подчиненного Сервера администрирования, то следующим шагом является настройка параметров главного Сервера администрирования, которые будут переданы подчиненному
При подключении подчиненного Сервера администрирования выполняются следующие действия:
- Подключение подчиненного Сервера администрирования к главному - внесение в базу данных главного Сервера администрирования информации об имени, адресе (если задан) и сертификате подчиненного Сервера администрированияПодключение к подчиненному Серверу администрирования - выполнение соединения с подчиненным Сервером администрирования используя заданные параметрыНастройка информации о главном Сервере администрирования для подчиненного - передача подчиненному Серверу администрирования информации об адресе, параметрах подключения и сертификате главного Сервера администрирования
Последние два действия будут выполнены, только если был указан адрес подчиненного Сервера администрирования. В противном случае их придется выполнять вручную на подключаемом Сервере.
На этапе подключения к подчиненному Серверу администрирования может оказаться, что Консоль администрирования запущена из-под учетной записи с недостаточными правами для доступа к подчиненному Серверу администрирования. В этом случае мастер добавления Сервера администрирования выведет окно с сообщением об ошибке подключения, после чего можно будет задать другие имя пользователя и пароль.
По окончании всех действий мастер выводит окно, сигнализирующее о завершении добавления.
Добавленный Сервер администрирования отображается в контейнере Серверы со статусом Не подключен.
Если на этапе добавления не был указан адрес подчиненного Сервера администрирования, или уже в процессе добавления не удалось осуществить подключение, потребуется задать настройки главного Сервера администрирования непосредственно в свойствах подчиненного. Для этого нужно будет подключиться Консолью администрирования непосредственно к подчиненному Серверу администрирования и изменить параметры иерархии в его свойствах.
Иерархическое действие групповых задач
Если созданная задача проверки по требованию является групповой и в этой группе имеются подчиненные Сервера администрирования, то в сферу действия задачи целиком попадают подсети этих Серверов администрирования. Относятся ли подчиненные Сервера администрирования непосредственно к этой группе или к одной из ее подгрупп значения не имеет.
Унаследованная групповая задача отображается в контейнере Задачи уровня контейнера Группы на подчиненных Серверах администрирования. Иконка унаследованной задачи отличается от иконки обычной групповой задачи наличием на заднем плане изображения сервера.
При запуске на выполнение групповой задачи она выполняется на всех клиентах группы, ее подгрупп, подчиненных Серверов администрирования и т. д. на всю глубину иерархии.
Стоит отметить, что наследование групповой задачи ее подгруппами никак не отражается в контейнерах Задачи этих подгрупп. А в интерфейсе клиентского компьютера все нелокальные задачи обозначаются одинаково (значок задачи на фоне значка папки), независимо от того, на каком уровне иерархии эта задача была создана.
Если открыть окно результатов групповой задачи, то можно убедиться, что она запланирована для клиентов подгрупп и для подчиненных Серверов администрирования.
Контрольные вопросы
- В процессе подключения подчиненного Сервера администрирования была допущена ошибка в имени подчиненного Сервера администрирования. Каким образом это отразится на подключении подчиненного Сервера администрирования?Каким образом можно изменять настройки унаследованной политики?Отображаются ли события подчиненного Сервера администрирования в контейнере Событий главного Сервера администрирования?Какие способы применения политик на клиентских компьютерах существуют в Kaspersky Administration Kit? В чем различие этих способов?Перечислите, какие уровни важности могут иметь события в Kaspersky Administration Kit?Какие задачи не наследуются подчиненным Сервером администрирования?Каким образом можно внести изменения в настройки унаследованной задачи?В каких качествах может использоваться лицензионный ключ в приложениях Лаборатории Касперского?
Методические указания к лабораторной работе
Сервера администрирования можно подключать друг к другу.
Подключаемый Сервер администрирования называется подчиненным, а тот, к которому производится подключение - главным
У одного Сервера администрирования может быть несколько подчиненных Серверов администрирования, но только один главный. Сервер администрирования нельзя подключить к самому себе или к его подчиненному Серверу администрирования.
Два Сервера администрирования считаются относящимися к одной логической сети, если либо один из них прямо или опосредованно (через цепочку последовательно подключенных друг другу Серверов администрирования) подключен к другому, либо если оба этих Сервера администрирования прямо или опосредованно подключены к одному Серверу администрирования. Все Сервера в логической сети, кроме одного, таким образом являются подчиненными Серверами администрирования.
Сервер администрирования, стоящий во главе иерархии, называется Главным Сервером администрирования
Структурированная совокупность всех компьютеров, прямо или опосредованно подключенных к произвольному Серверу администрирования в логической сети (не обязательно Главному) будет называться логической подсетью Сервера администрирования .
Совокупность всех компьютеров, непосредственно подключенных к произвольному Серверу администрирования, будет называться собственной логической подсетью Сервера администрирования.
Наследование политик
Политики также подчинены иерархии логической сети. И точно так же, как групповые задачи, групповые политики оказывают влияние на действующие настройки клиентов и задач не только на уровне группы, но и на уровне ее подгрупп, и на уровне логических подсетей Серверов администрирования, входящих в группу, и т. д. на всю глубину иерархии.
Рассматривая действие политик с учетом иерархии логической сети следует различать собственно иерархическое действие политик, т. е. то, как политика группы применяется на уровне подгрупп и подчиненных Серверов администрирования, и наследование политик, т. е. то как настройки политики группы более высокого уровня влияют на настройки политики подгруппы.
Иерархическое действие политик следует рассматривать только в отношении тех подгрупп, для которых не задана собственная политика. В этом случае для клиентов и задач подгруппы без каких-либо изменений будет действовать политика ближайшей вышестоящей группы. То же верно и в отношении подчиненного Сервера администрирования - в его логической подсети будет действовать политика группы, в которую он входит, либо политика ближайшей вышестоящей группы. Если же ни в одной из вышестоящих групп до самого верха иерархии, т.е. до уровня логической сети Главного Сервера администрирования политика не задана, значит в данной подгруппе или логической подсети никакая политика не действует.
В случае, когда на уровне подгруппы задана собственная политика, речь может идти только о воздействии вышестоящей политики на настройки политики подгруппы. Здесь как и везде раньше, имеет смысл говорить настройках вышестоящей политики, настройках политики подгруппы и действующих настройках политики подгруппы. В отношении клиентов подгруппы (и ниже по иерархии в смысле иерархического действия) политика подгруппы оказывает влияние на основе своих действующих настроек.
При каждом применении вышестоящей политики значения обязательных параметров (заданных обязательными в вышестоящей политике) на уровне политики подгруппы перезаписываются значениями из вышестоящей политики.
Значения необязательных параметров вышестоящей политики никак не влияют на значения параметров политики подгруппы. Действующими значениями на уровне политики подгруппы являются значения обязательных параметров вышестоящей группы и значения необязательных параметров (не заданных обязательными в вышестоящей политике) политики подгруппы. В том числе это касается и атрибута обязательности: параметры, заданные обязательными в вышестоящей политике будут автоматически заданы обязательными и в политике подгруппы, но кроме этих унаследованных обязательных параметров, в политике подгруппы могут быть заданы обязательными и другие, дополнительные параметры, которые будут действовать как обязательные в пределах подгруппы.
Необходимо отметить, что режим применения политики хотя и настраивается в рамках политики, не может (в отличие от всех остальных параметров политики) быть задан в качестве обязательного параметра, а значит, режим применения вышестоящей политики не накладывает ограничений на выбор режима применения политики подгруппы.
Настройка уровня защиты для задач постоянной защиты объектов
При создании политики Антивируса Касперского мастер создания политики в зависимости от приложения, для которого создается политика, предлагает настроить ряд параметров антивирусной защиты и обновления или взаимодействия с Сервером администрирования.
В первую очередь потребуется указать, какие компоненты защиты будут затронуты политикой.
Параметры антивирусной защиты задаются раздельно для задач постоянной защиты объектов и для задач проверки по требованию. В первом случае на выбор предлагаются только стандартные уровни защиты:
Максимальная защитаРекомендуемыйМаксимальная скорость
Дополнительно возможно задание пользовательских настроек, отличающихся от предустановленных уровней.
Чтобы придать выбранным параметрам статус обязательных следует закрыть замок в правом верхнем углу группы параметров.
Примечание. Настройки политики будут применены к задачам постоянной защиты немедленно, независимо от того выполняются они или нет. При применении политики к выполняющейся задаче постоянной защиты происходит автоматический перезапуск задачи с новыми настройками
Политики Антивируса Касперского
Kaspersky Administration Kit позволяет контролировать настройки продуктов Лаборатории Касперского, установленных на клиентах, при помощи механизма политик.
Политика - это набор параметров работы продуктов, который задается на уровне группы и относится ко всем клиентам группы
В силу того, что политика распространяется на клиенты группы, имеется возможность задавать политики только тех продуктов и компонентов, которые могут быть установлены на клиенте, а это:
Агент администрированияСервер администрирования (Kaspersky Administration Kit)Антивирус Касперского для Windows WorkstationsАнтивирус Касперского для Windows File Servers
Политика для клиентского АПО может находиться в одном из следующих состояний:
АктивнаяПассивнаяПолитика для мобильных пользователей
В каждой группе может быть создана только одна активная политика для каждого продукта. Кроме этого, политика может создаваться и на уровне логической сети в целом, поскольку, как уже было отмечено, логическая сеть обладает всеми свойствами группы и в большинстве случаев может рассматриваться как группа верхнего уровня.
Действие политик необходимо рассматривать в трех аспектах:
Влияние настроек политики на настройки клиентов группы (клиентов, непосредственно входящих в группу)Влияние настроек политики на создание и выполнение групповых и глобальных задачДействие политики на более низких уровнях иерархии: подгруппах и Серверах администрирования, иначе называемое наследованием политик
К настройкам клиентов относятся настройки локальных задач, а также настройки, непосредственно к задачам не относящиеся, например, настройки хранилищ, настройки запуска антивируса и настройки интерфейса.
Получение сведений о лицензионных ключах
Способность Антивируса Касперского выполнять свою основную функцию напрямую зависит от наличия лицензионного ключевого файла. Если лицензионный ключ на клиенте отсутствует или закончился срок действия ключа, Антивирус Касперского будет работать с ограниченной функциональностью.
В связи с этим администратору важно иметь достоверную оперативную информацию обо всех лицензионных ключах, а также возможность удаленно устанавливать и обновлять лицензионные ключи на клиентах.
Перечень всех используемых в организации ключей представлен в контейнере Лицензионные ключи. О каждом ключе в панели результатов приведена следующая информация:
Серийный номер - уникальный серийный номер лицензионного ключаТип ключа - коммерческий или пробныйОграничение по узлам - максимальное количество компьютеров, на которые может быть установлен этот ключСрок действия - срок действия лицензионного ключа
Если лицензионный ключ не используется ни одним из клиентов логической сети, его можно удалить из контейнера Лицензионные ключи, воспользовавшись командой Удалить из контекстного меню. Ошибочно удаленный ключ будет автоматически добавлен Сервером администрирования после плановой синхронизации с клиентом, на котором используется этот ключ.
Рекомендуемая литература
Kaspersky Administration Kit. Руководство Администратора.
Резервное копирование базы Сервера администрирования
Для сохранения и восстановления резервных копий базы данных и настроек Сервера администрирования предназначена штатная утилита klbackup.exe, которая находится в каталоге установки.
Утилита позволяет сохранить или восстановить следующую информацию:
базу данных Сервера администрированияинформацию о структуре логической сетиинсталляционные пакеты, перечисленные в контейнере Удаленная установкасертификат Сервера администрирования
Синтаксис утилиты
При использовании утилиты резервного копирования klbackup.exe используется следующий синтаксис:
klbackup.exe [-logfile LOGFILE] -path BACKUP_PATH [-use_ts]|[-restore][-savecert PASSWORD]
| -logfile | необязательный параметр, указывающий утилите записывать информацию о процессе сохранения или восстановления резервной копии в файл отчета, если не задан, информация направляется в стандартный поток вывода |
| LOGFILE | имя файла отчета |
| -path | обязательный параметр для задания каталога хранения резервной копии |
| BACKUP_PATH | имя каталога хранения резервной копии |
| -use_ts | необязательный параметр, предписывающий сохранять резервную копию не в сам каталог BACKUP_PATH, а в его подкаталог с именем в формате klbackup YYYY-MM-DD # HH-MM-SS, включающем время и дату выполнения операции; использование этого параметра позволяет одной и той же командой резервного копирования создавать много последовательных копий, не затирая новыми копиями предыдущие |
| -restore | параметр, предназначенный для восстановления данных из резервной копии |
| -savecert | параметр, указывающий на необходимость сохранить или восстановить также и сертификат, используемый Сервером администрирования; при использовании этого параметра обязательно нужно указывать пароль |
| PASSWORD | пароль шифрования сертификата |
Если в режиме сохранения резервной копии без использования параметра -use_ts указать каталог, в котором уже есть файлы другой резервной копии, сохранения не будет произведено, а вместо этого будет отображено сообщение об ошибке
В интерфейсе Kaspersky Administration Kit также существует возможность создания резервных копий данных Сервера администрирования. Для создания такой задачи следует в контейнере Глобальные задачи указать Имя приложения - Kaspersky Administration Kit, Тип - Создание резервной копии данных Сервера администрирования
Создание политик
Создание политик в Kaspersky Administration Kit позволяет унифицировать настройки, как самих приложений, так и выполняемых ими задач для всех клиентов выбранной группы, включая клиенты подгрупп и подчиненных Серверов администрирования, если для них не определена собственная политика.
Для создания политики Антивируса Касперского нужно в мастере создания политики указать соответствующее приложение. Политики Антивируса Касперского для Windows Workstations и Антивируса Касперского для Windows File Servers отличаются незначительно, и все эти отличия будут упомянуты по ходу изложения.
Необходимо помнить о том, что в группе для каждого продукта может быть создана только одна политика. И если политика для какого-то продукта уже существует, этот продукт из вариантов выбора в поле Имя приложения исключается.
Наличие унаследованных политик не препятствует созданию собственных.
Установка лицензионного ключа
Для удаленной установки нового лицензионного ключа следует воспользоваться мастером создания задачи либо выбрать в контекстном меню контейнера Лицензионные ключи пункт Добавить лицензионный ключ. В последнем случае запустится специальный мастер создания задачи установки лицензионного ключа.
После стандартных окон приветствия и выбора имени задачи потребуется указать продукт, которому эта задача будет соответствовать. В случае использования обычного мастера в окне Приложение кроме продукта нужно будет выбрать также и тип задачи - Установка лицензионного ключа. У специального мастера тип задачи предопределен, и нужно выбрать только приложение - Антивирус Касперского для Windows Workstations или Антивирус Касперского для Windows File Servers.
Узел Сервера администрирования
В панели обзора Консоли администрирования на верхнем уровне расположен элемент Kaspersky Administration Kit, который включает в себя все объекты, относящиеся к управлению логической сетью.
На первом уровне расположены узлы Серверов администрирования, а также узел Локальный компьютер, предназначенный для управления Антивирусом Касперского, установленным локально. В качестве имени каждого узла фигурирует адрес соответствующего Сервера администрирования. Если соединение с Сервером администрирования не установлено, напротив имени узла Сервера администрирования указывается статус Не подключен. Отсутствие статуса означает, что Консоль администрирования подключена к этому серверу.
По отношению к узлу Сервера администрирования доступны следующие действия (через контекстное меню или подменю Действие системного меню):
Подключиться к Серверу администрирования - открывает окно ввода адреса Сервера администрирования, к которому требуется подключиться, полностью аналогичное тому, что отображается при добавлении нового Сервера администрирования. Если ввести адрес отличный от адреса текущего узла, и подключение пройдет успешно, то узел будет переименован в соответствии с новым адресомОтключиться от Сервера администрирования - прервать соединение с этим Сервером администрированияМастер первоначальной настройки - запуск мастера первоначальной настройки на выбранном Сервере администрированияМастер удаленной установки - запуск мастера удаленной установки продуктов Лаборатории Касперского на компьютеры в сети организацииНайти компьютер - поиск компьютера с заданными свойствами в базе данных Сервера администрированияВид - аналог подменю Вид в системном меню, содержит те же пункты (в меню Действие отсутствует)Удалить - удалить данный узел из панели обзораЭкспортировать список - сохранить в формате txt или csv (Coma Separated Values - значения, разделенные запятыми) содержимое панели результатовСвойства - открыть окно настроек Сервера администрированияСправка - вызов справочной системы
Влияние политик на глобальные и групповые задачи
Влияние политик на групповые задачи имеет смысл рассматривать на одном уровне, т.е. на уровне одной группы. Влияние политик на задачи подгрупп, или же влияние политики подгруппы на выполнение в данной подгруппе групповой задачи более высокого уровня несложно определить исходя из правил наследования политик и групповых задач.
Здесь, как и в случае влияния политик на локальные значения параметров клиентского АПО, имеет смысл говорить о значениях политики, значениях задачи и действующих значениях. В этом смысле влияние настроек политики на настройки групповой задачи выражается очень просто: применение политики никак не влияет на значения параметров в задаче, действующими будут настройки политики для обязательных параметров и настройки задачи для необязательных.
При создании задачи всегда можно задать произвольные значения параметров (в рамках допустимых значений, конечно), даже если политика существует и часть параметров фиксирует как обязательные. Ограничения политики вступают в силу при выполнении задачи (согласно описанному выше правилу) и при попытке изменить настройки задачи: значения обязательных параметров на уровне групповой задачи изменить нельзя.
Влияние политик на групповые задачи более высокого уровня или же на глобальные задачи выражается все той же формулой: действующими являются настройки политики для обязательных параметров и настройки задачи для необязательных. Ограничений на изменение настроек задачи политика более низкого уровня не накладывает.
Влияние политики на настройки клиентов
Для простоты удобно считать, что в политике и на клиенте параметры одни и те же, но их значения могут быть разными. Например, значением параметра Источник обновления на клиенте может быть Сервер обновлений Лаборатории Касперского, а в политике - Сервер администрирования. Точно так же и другие параметры.
В связи с тем, что у одного параметра может быть несколько значений, возникает вопрос о том, какие именно значения будут использоваться, скажем, при обновлении, как в приведенном выше примере. Для этого необходимо ввести понятие действующих значений параметров.
В политике кроме значений параметров задается также такой их атрибут как обязательность. Обязательные параметры обладают тем свойством, что не могут быть изменены нигде в области действия политики. В частности, изменение значений обязательных параметров в локальном интерфейсе Антивируса Касперского будет недоступно.
Общим правилом применения политик на клиентах является следующее: действующими значениями обязательных параметров являются значения политики, а необязательных - локальные значения, установленные на клиенте.
Кроме общего правила, применение политики может выражаться в изменении локальных значений параметров. Порядок внесения изменений определяется одним из трех доступных для выбора режимов:
- При применении политики локальные значения не меняются. Это означает, что установка какого-либо параметра обязательным приводит к использованию в качестве действующего значения из политики и к невозможности изменить локальное значение. Само локальное значение при этом не теряется и после снятия с параметра атрибута обязательности или после удаления политики снова становится действующим и доступным для изменения на стороне клиентаПри первом применении политики на клиенте (например, при создании политики, при включении клиента в группу, при переключении в этот режим применения) локальные значения обязательных параметров перезаписываются значениями из политики. В этом случае после снятия атрибута обязательности или после удаления политики локальные значения обязательных параметров останутся такими же, какими были в политикеПри первом применении политики на клиенте все локальные значения параметров переписываются значениями из политики: и обязательные и необязательные. В дальнейшем необязательные параметры могут быть изменены пользователем. Последующие применения политики не влияют на локальные значения параметров
Во втором и третьем режимах администратор логической сети имеет возможность повторить эффект первого применения политики, т. е. в любой момент времени принудительно переписать локальные значения обязательных параметров (второй режим) или всех параметров (третий режим) значениями из политики.
с настройками по умолчанию на
- Установите MSDE 2000 с настройками по умолчанию на Ваши компьютеры. Место расположения дистрибутива MSDE 2000 уточните у преподавателя.Установите Сервер администрирования с настройками по умолчанию на Ваши компьютеры. Место расположения дистрибутива Kaspersky Administration Kit уточните преподавателя.Запустите Консоль администрирования на одном из компьютеров и подключитесь к Серверу Администрирования. В дальнейшем этот Сервер администрирования будем считать главным Сервером администрирования. Создайте группу с названием 1. Переместите из контейнера Сеть компьютер Сервера администрирования в группу 1.Создайте инсталляционный пакет Антивируса Касперского для Windows Workstations.Создайте и выполните групповую задачу Установка Антивируса Касперского для Windows Workstations для группы 1.Подключите к главному Серверу администрирования в контейнер Серверы группы 1, подчиненный Сервер администрирования.Создайте группу с названием 2 в логической подсети подчиненного Сервера администрирования. Переместите из контейнера Сеть подчиненного Сервера администрирования компьютер, на котором установлен подчиненный Сервер администрирования, в группу 2.Создайте инсталляционный пакет Антивируса Касперского для Windows Workstations для подсети подчиненного Сервера администрирования.Создайте и выполните групповую задачу Установка Антивируса Касперского для Windows Workstations для группы 2 подчиненного Сервера администрирования.Создайте в группе 1 политику для Антивируса Касперского для Windows Workstations с названием Политика Workstations. Перейдите в групповой контейнер Политики на подчиненном Сервере администрирования и убедитесь, что политика группы 1 для Антивируса Касперского для Windows Workstations унаследована, т. е. присутствует в контейнере групповых политик подчиненного Сервера администрирования.Создайте в корне диска С: на главном и подчиненном Серверах администрирования папку с названием virus_test6. Внесите изменения в политику группы 1 для Антивируса Касперского для Windows Workstations, позволяющие скопировать все содержимое папки test_virus2 в папки virus_test6, расположенные на главном и подчиненном Серверах администрирования, без остановки задачи Постоянная защита файлов.
