Удаленная установка программ с использованием Kaspersky Security Center

Чем больше сеть, тем больше системный администратор (или IT-департамент) старается автоматизировать управление программными продуктами. Антивирусное ПО в этом плане не исключение.

Многие производители антивирусов имеют в своем арсенале средства удаленного администрирования, сегодня речь пойдет о подобном решении от Лаборатории Касперского.

Скачать Kaspersky Security Center можно здесь. Сам продукт состоит из сервера, который будет необходимо развернуть, консоли администрирования, которую можно поставить на другой компьютер для удаленного администрирования сервера, веб-консоли как альтернативы обычной и агента администрирования, который ставится на клиентские компьютеры и отвечает за связь антивирусного ПО с сервером.

Сам сервер необходимо разворачивать только на операционных системах семейства Windows. Причем наличие серверной редакции необязательно. Поддерживаются системы от XP и выше, но только в редакциях Professional/Enterprise/Ultimate. С полным списком поддерживаемых систем можно ознакомиться на сайте.

Помимо этого, серверу для своей работы необходим MS SQL или MySQL (можно и удаленный). Если готового сервера баз данный под рукой нет, установщик Kaspersky Security Center сам установит MS SQL Express, которого вполне достаточно для большинства организаций.

Итак, для развертывания сервера скачиваем и запускаем установочный файл (рекомендую качать полный дистрибутив). В качестве тестового стенда у нас выбран компьютер с операционной системой Windows Server 2012 R2.

Вы увидите удобное меню, в котором нас сейчас интересует пункт «Установить Kaspersky Security Center 10».

После запуска установки Вам предложат принять лицензионное соглашение, а также выбрать тип установки. Для лучшего контроля над процессом установки отметим выборочную установку.

Если в сети есть мобильные устройства, для управления их защитой можно установить отдельный компонент.

Укажите размер своей сети. Данный пункт, впрочем, не несет в себе какой-то важной определяющей силы.

Далее программа установки спросит из-под какого пользователя запускать службу сервера администрирования. Вы можете указать уже имеющегося пользователя с админскими правами или же позволить программе установки создать нового.

Далее нужно указать учетную запись для запуска прочих служб Kaspersky Security Center.

Следующим шагом будет выбор сервера базы данных. Как уже говорилось, вариантов тут два — MS SQL или MySQL. Если у Вас нет готового сервера, Kaspersky Security Center заботливо развернет MS SQL Express.

На этом шаге в процессе установки Вас может ждать небольшой сюрприз в том случае, если в Вашей системе не установлен .NET Framework 3.5 SP 1.

В Windows Server .NET Framework 3.5 SP 1 встроен как компонент, и его необходимо лишь включить. Если у Вас не серверная операционная система, то Вам нужно зайти на сайт Microsoft и скачать установщик.

Рассмотрим вариант включения компонента в Windows Server. Для этого открываем Диспетчер серверов и выбираем пункт «Добавить роли и компоненты».

Запустится мастер, в котором нам необходимо указать, что мы собираемся устанавливать роли или компоненты.

Выбираем наш сервер и пропускаем выбор ролей. В списке компонентов находим Функции .NET Framework 3.5 и отмечаем их галочкой.

После этого нажимаем Далее и Установить. Запустится процесс установки.

После этого вернемся к установке непосредственно Kaspersky Security Center.

Нам необходимо выбрать режим SQL-аутентификации. Это может быть как отдельная учетная запись, так и текущая.

Серверу Kaspersky Security Center необходима общая папка, к которой могли бы обращаться клиентские компьютеры для получения обновлений и инсталляционных пакетов. Можно создать новую папку или указать существующую.

Указываем порты, по которым будем подключаться к серверу администрирования.

Указываем адрес сервера в сети. Если у сервера есть и будет статический IP-адрес, можно им и ограничиться. Но всё-таки удобнее определять сервер по имени.

Последний шаг перед установкой — выбираем необходимые плагины. Плагины позволяют управлять различными антивирусными продуктами Лаборатории Касперского. Это полезно, если у Вас целый «зоопарк» версий. Плагины можно будет также установить потом дополнительно.

Теперь осталось лишь наблюдать процесс установки. Иногда на плагины требуется принять отдельное лицензионное соглашение.

Установка Kaspersky Security Center завершена.

Теперь пробежимся по первоначальной настройке сервера. Консоль администрирования, устанавливаемая вместе с сервером, выглядит следующим образом:

Консоль можно установить и отдельно. И даже нужно, чтобы не заходить каждый раз на сервер для рутинных действий.

В левой колонке перечислены сервера. Пока там только наш только что созданный сервер. Если Вы администрируете несколько серверов, то просто нажмите Добавить Сервер администрирования.

Итак, щелкните по только что созданному серверу, и запустится Мастер первоначальной настройки. От Вас попросят активировать программу с помощью кода или ключа. Впрочем, сделать это можно и позднее.

Кроме того мастер спросит Вашего согласия на участие в программе Kaspersky Security Network. По сути, это еще один шпион на Ваших компьютерах, который отправляет Лаборатории Касперского данные о том, на какие ресурсы Вы заходите и где цепляете заразу. Мотивируют это созданием некой базы знаний. На мой взгляд, для конечного пользователя смысл участия в такой программе сомнителен.

Также Вас попросят указать почтовые ящики для уведомлений от сервера Kaspersky Security Center. Этот шаг можно пропустить.

После всех этих шагов сервер начнет загружать последние версии обновлений из сети. В дальнейшем можно будет настроить в качестве источника обновлений не сервера Лаборатории Касперского в сети Интернет, а вышестоящий сервер, если в Вашей сети их несколько.

После закачки обновлений и опроса сети мастер выдаст сообщение об успешном завершении и предложит запустить мастер развертывания защиты на рабочих станциях.

О развертывании защиты на рабочих станциях мы поговорим в следующей статье.

Большое количество статей описывает  — как удаленно установить приложение на несколько компьютеров в доменной сети (AD). Но многие сталкиваются с проблемой поиска или создания подходящих пакетов установки Windows Installer (MSI). Действительно. Для того что бы установить всем пользователям группы, например, FireFox — необходимо или собрать MSI-пакет самостоятельно (довольно подробно описано в данной статье), или скачать на соответствующем сайте подходящий. Единственное, в первом случае — на самом-то деле — задача, весьма не тривиальная, а во втором — мы получаем пакет настроенные таким образом, как захотелось его создателю, да еще и по факту модифицированный (сомнительный, но минус). Если в вашей организации в качестве антивирусной защиты используются продукты компании «Лаборатория Касперского» — и вы используете сервер администрирования — вы можете устанавливать удаленно программы даже из *.exe пакетов, используя ключи — для управления параметрами установки.

Параметры тихой установки

Большинство программ можно установить в «тихом» режиме, например тут есть таблица с большим количеством часто используемых программ, и поддерживаемые передаваемые параметры — при установке. Так же здесь можно найти большое количество передаваемых параметров установки.

Таким образом нам нужно:

• Скачать стандартный дистрибутив нужной нам программы с сайта разработчика (или откуда вы их обычно берете)
• Найти в интернете какие ключи «тихой» установки поддерживает используемая программа
• Установить программу на пользовательский ПК, используя Kaspersky Security Center

Для этого нужно подготовить пакет установки в Kaspersky Administration Kit (KSC). И задачей или вручную установить на нужные компьютеры. Панель администрирования — дает полную управляемость (при установке) сравнимую с администрированием через групповые политики Win-server’а, а для меня даже удобнее — меньше всяких фокусов — меньше шансов ошибиться 😉 Если вы будете назначать установку программ вручную, или у вас все пользователи используют одинаковый набор программ — то можете пропустить этот раздел, но если же у вас в организации разным отделам устанавливается разное ПО — этим отделам можно назначить разные группы, для которых будут использоваться разные задачи. Группы пользователей в KSC разделяются — аналогично структуре используемой в AD — каталоги и под каталоги. Задачи и политики используемые в родительских группах применяются всем дочерним группам. Таким образом можно, например, всем пользователям компании установить FireFox и Chrome, и только дизайнерам Photoshop.

Итак приступим:

1) Для создания инсталляционного пакета необходимо перейти в подраздел «Инсталляционные пакеты» раздела «Хранилища» в панели управления KSC. Там мы увидим список созданных ИП, возможность создать новый, а так же редактировать или удалить существующий. Новый инсталляционный пакет создается просто: вы указываете его имя (то как он будет отображаться в KSC), выбираете «ИП для программы, указанной пользователем», указываете пусть к программе (exe, bat, cmd, msi) и указываете параметры запуска (ключи тихой установки). Затем указанный пакет можно будет использовать для установки на удаленные компьютеры. 2) Теперь нам нужно создать задачу для установки созданного пакета. Если вы раньше работали с KSC, или с его предыдущим аналогом Adminkit. То сам процесс создания задачи — для вас не составит труда. Можно либо создать задачу перейдя в папку соответствующей группы, и перейдя на вкладку «Задачи» — создать новую задачу. Либо Перейдя в Раздел «Задачи для наборов компьютеров» — создать новую задачу. Задаем имя созданной задачи, и выбираем тип задачи «Удаленная установка программы». Выбираем программу которую мы хотим устанавливать, каким группам пользователей будет назначена эта задача, и указываем пользователя которому позволено устанавливать ПО на все из используемых компьютеров (обычно — администратор домена).Единственное, в плане настроек — мы ограничиваемся только теми параметрами, которые разрешает передавать разработчик при установки программы, и настроить прокси-сервер в браузере через командную строку нам вряд ли удастся. Но тут нам на помощь идут уже стандартные групповые политики AD. Ведь обычно у альтернативных браузеров -используются системные настройки прокси, а их мы можем назначить нужным пользователям через AD. 😉

Новая Web Console

Основные преимущества Web Console по сравнению c MMC:

— Не требует установки на стороне клиента, нужен только веб-браузер

— Раз нужен только браузер, то неважно какая операционная система

— Если работаете на мобильном устройстве, то можно прямо с пляжа просматривать отчеты

Web Console поддерживает User-Centric модель, то есть администратор назначает политику не устройству, а юзеру. User-Centric модель управления работает, если в AD устройствам назначены владельцы. KSC сможет получить эту информацию и назначать профили политик не устройствам, а владельцам устройств. Старая модеь управления Device-Centric, когда профили политик назначались устройствам, остается доступной и применяется по умолчанию.

Web Console это отдельный дистрибутив. Ее можно установить как на компьютер с KSC, так и на отдельный компьютер.

Схема взаимодействия:

Web Console представляет собой веб-сервер на платформе Node.js.

Серверная часть Web Console подключается к KSC по новому протоколу KSC Open API на базе HTTPs. Клиентская часть представляет собой SPA (Single Page Application).

В простейшем варианте SPA это веб-приложение, компоненты которого загружаются один раз на странице, а контент подгружается по необходимости. Т.е. когда мы кликаем в Web Console на какой-либо элемент интерфейса, запускается JavaScript, который подгружает модули и визуализирует то, что мы запросили. И все будет выглядеть так, как будто мы перешли на другую страницу.

Изменение в интерфейсе ММС-консоли администрирования

В дереве консоли появилось несколько новых узлов:

— Multitenant applications – сюда могут попасть приложения ЛК, в которых есть функционал поддержки Multitenancy, например, KSV.

— Deleted objects – сюда попадают удаленные сущности, такие как задачи, политики, инсталляционные пакеты

— Triggering of rules in Smart Training mode – сюда попадает информация о срабатывании правил в обучающем режиме для нового компонента AAC

— Active threats (предыдущее название Unprocessed files)

Итак, что может попасть в узел Deleted objects. Все сущности, в свойствах которых есть раздел Revisions, попадают в узел Deleted objects после удаления.

А именно: — Policies — Tasks — Installation packages — Virtual Administration Servers — Users — Security groups — Administration groups

Можно сказать, что это аналог Корзины в Windows.

Общий и сквозной для KSC список подсетей

В KSC подсети могут использоваться в нескольких местах. Например, в свойствах KSC, когда мы хотим ограничить передачу трафика по времени. В политике Агента, когда настраиваем профили подключений.

В KSC 10 приходилось в каждом из этих мест отдельно задавать параметры подсетей, что было не очень удобно.

В KSC 11 в свойствах Сервера администрирования появился новый раздел, где можно один раз задать список подсетей внутри организации и этот список будет доступен в любом месте KSC, где в качестве параметра необходимо выбирать подсеть.

Инсталляционный пакет: индикатор уровня защиты

У инсталляционного пакета KES 11.1 в KSC 11 больше нет вариантов установки.

Зато добавили индикатор защиты в свойства инсталляционного пакета, раньше такой индикатор был только в политике. Если администратор решит отключить установку важного компонента KES 11.1, то индикатор изменит цвет. Так же можно посмотреть, что повлияло на изменение уровня защиты.

KSC 11: поддержка diff – файлов обновлений

На серверах обновлений хранится несколько наборов баз, полные и так называемые diffфайлы (разница (дельта) между текущим и предыдущим обновлением). Диффы могут быть суточными, а могут быть недельными. KSC 10 умел скачивать только полный набор баз, теперь он может скачивать оба набора, полный и диффы.

Парадокс в том, что KES давно умеет работать с диффами, но только при обновлении из Интернета, теперь KES может использовать диффы и при обновлении с KSC. Это позволит существенно уменьшить внутренний трафик во много раз.

Агенты администрирования: поддержка diff – файлов обновлений

Параметр загружать обновления заранее (offline режим обновления) включен в политике Агента по умолчанию

Ретрансляция Diffфайлов не работае при включенном offline режиме обновления

Diffфайлы не будут передавать на старые версии Агентов

НО! В свойствах Network Agent есть опция «Download updates from KSC in advance». Так вот если эта опция включена, а она включена по умолчанию, то KES будет обновляться по старинке без использования диффов.

KSC 11: агенты обновлений

Update Agents теперь тоже умеют раздавать DIFF-файлы обновлений.

Кроме того, они теперь могут выступать в роли KSN Proxy и могут перенаправлять KSN-запросы от защищаемых устройств к Серверу администрирования или непосредственно к глобальным KSNсерверам.

Update Agent: поддержка 10 000 узлов

По умолчанию KSC назначает Update Agents автоматически.

В KSC 10 если администратор хотел назначать Update Agent вручную, то в крупных сетях это вызывало неудобства. Почему? Потому что раньше один Update Agent мог поддерживать до 500 хостов. И если в сети несколько тысяч хостов, то приходилось назначать много Update Agent, чтобы покрыть всю сеть. К тому же не любой компьютер может стать Update Agent, он должен удовлетворять определенным системным требованиям.

В общем раньше ручное назначение Update Agent в крупных сетях становилось непростой задачей.

Сейчас такая проблема исчезла, т.к. теперь один Update Agent поддерживает до 10 000 хостов.

Так как увеличилось количество поддерживаемых хостов, то соответственно увеличились системные требования к компьютеру, которого можно назначить Update Agent (процессор частота 3,6Ггц или выше, ОП от 8ГБ, Объем свободного места на диске от 120ГБ)

Папка KLSHARE переехала: C:ProgramDataKasperskyLabadminkit1093.workingshare

KSC 11: Обратная совместимость плагинов KES

В KSC11 появилась обратная совместимость плагинов KES.

Раньше если в сети использовались разные версии KES, то администратору приходилось поддерживать отдельные наборы политик и задач для каждой версии. Теперь же политики и задачи KES 11.1 будут распространяться и на KES 11.

KSC 11: удаленная установка

В мастере удаленной установки появилась новая секция – Behavior for devices managed through other Administration Servers.

Если в сети несколько серверов KSC, они могут видеть одни и те же устройства. Опция позволяет избежать установки на устройство, которое подключено к другому KSC.

KSC 11: улучшения в RBAC

Во-первых, на RBAC больше не нужна лицензия для Сервера администрирования.

Во-вторых, появились новые роли: — Auditor — Security Officer – Supervisor. По умолчанию они никому не назначены.

В-третьих, появилась возможность рестрансляции списка ролей на подчиненные Сервера администрирования. Раньше приходилось работать с ролями отдельно на каждом Сервере, это было не очень удобно. Теперь можно создавать и настраивать роли в одном месте на Главном Сервере администрирования и спускать их вниз по иерархии.

KSC 11: новые отчеты

Report on the status of application components – позволяет администратору наглядно понять, где какие компоненты установлены и их текущий статус. Это важная информация, т.к. установленный, но незапущенный компонент снижает эффективность защиты конечного узла. Раньше у администратора не было возможности посмотреть статус компонентов KES в одном месте сразу на всех устройствах. Чтобы узнать какие компоненты установлены и запущены, приходилось смотреть каждый хост отдельно, что было неудобно и занимало много времени.

При необходимости на базе этого отчета можно строить детальные отчеты по отдельным компонентам, например, посмотреть где установлен Endpoint Sensor.

Report on threat detection distributed by component and detection technology — информация о том, какой именно компонент защиты обнаружил угрозу и с помощью какой технологии. Это позволяет наглядно показать работу детектирующих технологий и полезность компонентов защиты.

Интеграция с SIEM через syslog

Чтобы отправлять события из KSC в SIEM-систему по протоколу syslog больше не нужна лицензия.

Но это распространяется только на Syslog, для интеграции с ArcSight, QRadar и Splunk по-прежнему нужна лицензия!

Диагностика установки обновлений Windows

Опция автоматически включает трассировку Network Agent. Файлы трассировки хранятся в папке — %WINDIR%Temp

ИТОГО KSC 11:

—          Появилась полноценная KSC Web Console

—          Реализована поддержка DIFF-файлов обновлений

—          Реализована поддержка обратной совместимости плагинов KES

—          Агенты обновлений могут выступать в роли KSN-прокси и поддерживают до 10000 узлов

—          Добавление новых ролей в RBAC не требует лицензии KSC

—          Добавлены новые отчеты

—          Интеграция с SIEM-системами через syslog больше не требует лицензии

—          Расширена диагностика установки обновлений Windows

Используемые источники:

• https://webistore.ru/prikladnoe-po/ustanovka-kaspersky-security-center/
• https://habr.com/post/139420/
• https://qpsoft.ru/info/articles/chto_novogo_kaspersky_security_center_11/