Kaspersky Administration Kit 8.0

Transkrypt

1 Kaspersky Administration Kit 8.0 PODRĘCZNIK ADMINISTRATORA WERSJA APLIKACJI: 8.0 CRITICAL FIX 2

2 Drogi Użytkowniku, dziękujemy za wybranie naszego produktu. Mamy nadzieję, że ten podręcznik będzie pomocny podczas pracy i odpowie na większość pytań. Ostrzeżenie! Dokumentacja ta jest własnością firmy Kaspersky Lab ZAO (zwanej dalej jako Kaspersky Lab): wszystkie prawa do tego dokumentu są chronione przez prawodawstwo Federacji Rosyjskiej i umowy międzynarodowe. Nielegalne kopiowanie i dystrybucja tego dokumentu, lub jego części, będzie skutkować odpowiedzialnością cywilną, administracyjną lub karną, zgodnie z obowiązującym prawem. Kopiowanie, rozpowszechnianie - również w formie przekładu dowolnych materiałów - możliwe jest tylko po uzyskaniu pisemnej zgody firmy Kaspersky Lab ZAO. Podręcznik wraz z zawartością graficzną może być wykorzystany tylko do celów informacyjnych, niekomercyjnych i indywidualnych użytkownika. Kaspersky Lab ZAO zastrzega sobie prawo do modyfikacji tego dokumentu bez powiadamiania o tym. Najnowsza wersja podręcznika jest zawsze dostępna na stronie Firma Kaspersky Lab ZAO nie ponosi odpowiedzialności za treść, jakość, aktualność i wiarygodność wykorzystywanych w dokumencie materiałów, prawa do których zastrzeżone są przez inne podmioty, oraz za możliwe szkody związane z wykorzystaniem tych materiałów. W dokumencie tym użyte zostały zastrzeżone znaki towarowe, do których prawa posiadają ich właściciele. Data korekty dokumentu: 10/14/ Kaspersky Lab ZAO. Wszelkie prawa zastrzeżone

3 UMOWA LICENCYJNA UŻYTKOWNIKA KOŃCOWEGO PRODUKTU FIRMY KASPERSKY LAB Firma Kaspersky Lab ZAO posiada wszelkie prawa ( posiadacz praw ), wyłączne lub inne, do oprogramowania Kaspersky Administration Kit ( oprogramowanie ). PRZEZ KLIKNIĘCIE PRZYCISKU AKCEPTUJĘ (ACCEPT) W OKNIE UMOWY LICENCYJNEJ WYRAŻAJĄ PAŃSTWO AKCEPTACJĘ WARUNKÓW TEJ UMOWY. CZYNNOŚĆ TAKA OZNACZA PAŃSTWA PODPIS ORAZ AKCEPTACJĘ WARUNKÓW UMOWY, OZNACZA, ŻE STAJĄ SIĘ PAŃSTWO STRONĄ TEJ UMOWY, ORAZ OZNACZA PAŃSTWA ZGODĘ NA EGZEKWOWANIE JEJ WARUNKÓW, JAK W PRZYPADKU KAŻDEJ INNEJ UMOWY PISEMNEJ, KTÓRĄ PAŃSTWO PODPISUJĄ. JEŚLI NIE ZGADZAJĄ SIĘ PAŃSTWO NA WSZYSTKIE WARUNKI TEJ UMOWY, NALEŻY PRZERWAĆ INSTALACJĘ OPROGRAMOWANIA I JEJ NIE UKOŃCZYĆ. Oprogramowanie może być bezpłatnie używane jedynie do zarządzania (w tym do zdalnej instalacji, zarządzania licencją, konfiguracji i monitoringu ochrony antywirusowej) innymi produktami Kaspersky Lab dla firm, opisanymi w Przewodnik wdrożenia (Implementation Guide), wyłącznie przez użytkowników produktów Kaspersky Lab dla firm, którzy zaakceptowali umowę licencyjną użytkownika końcowego dotyczącą produktów dla firm. Użytkownicy produktów Kaspersky Lab dla firm, którzy przyjęli warunki umowy licencyjnej użytkownika końcowego dotyczącej produktów dla firm, mogą korzystać z usług pomocy technicznej poprzez Internet lub telefonicznie. Pomoc techniczna jest dostępna na stronie: Użytkownik nie może emulować, klonować, wynajmować, wypożyczać, wydzierżawiać, sprzedawać, modyfikować, dekompilować ani odtwarzać kodu źródłowego oprogramowania, lub dezasemblować czy tworzyć oprogramowania pochodnego w oparciu o oprogramowanie lub jego część, z wyjątkiem niewyłącznego prawa nadanego użytkownikowi przez obowiązujące przepisy prawne. OPROGRAMOWANIE JEST DOSTARCZANE W AKTUALNEJ POSTACI I POSIADACZ PRAW NIE UDZIELA ŻADNEJ GWARANCJI NA UŻYTKOWANIE LUB FUNKCJONOWANIE OPROGRAMOWANIA. Z WYJĄTKIEM GWARANCJI, WARUNKU LUB ZAPEWNIENIA W TAKIM ZAKRESIE, KTÓRY NIE PODLEGA WYŁĄCZENIU LUB OGRANICZENIU W ŚWIETLE OBOWIĄZUJĄCEGO PRAWA, POSIADACZ PRAW ORAZ JEGO PARTNERZY NIE UDZIELAJĄ ŻADNEJ GWARANCJI (ZARÓWNO WYRAŻONEJ, DOROZUMIANEJ, USTAWOWEJ, W ŚWIETLE PRAWA ZWYCZAJOWEGO, SPOSOBU WYKORZYSTANIA LUB INNYCH), W TYM MIĘDZY INNYMI W ODNIESIENIU DO NIENARUSZALNOŚCI PRAW OSÓB TRZECICH, POKUPNOŚCI, ZADOWALAJĄCEJ JAKOŚCI, KOMPLETNOŚCI LUB PRZYDATNOŚCI DO OKREŚLONEGO ZASTOSOWANIA. UŻYTKOWNIK PRZYJMUJE ODPOWIEDZIALNOŚĆ ZA WSZELKIE WADY ORAZ WSZELKIE RYZYKO ZWIĄZANE Z KORZYSTANIEM I WYBOREM OPROGRAMOWANIA DO OSIĄGNIĘCIA ZAMIERZONYCH CELÓW ORAZ ZA INSTALACJĘ, KORZYSTANIE ORAZ REZULTATY WYNIKAJĄCE Z UŻYTKOWANIA OPROGRAMOWANIA. BEZ OGRANICZANIA POWYŻSZYCH WARUNKÓW, POSIADACZ PRAW NIE UDZIELA GWARANCJI, ŻE OPROGRAMOWANIE BĘDZIE FUNKCJONOWAŁO BEZ BŁĘDÓW, ZAKŁÓCEŃ LUB INNYCH WAD, ANI ŻE OPROGRAMOWANIE BĘDZIE SPEŁNIAĆ WSZELKIE WYMAGANIA UŻYTKOWNIKA, NIEZALEŻNIE CZY UJAWNIONE WŁAŚCICIELOWI PRAW CZY NIE Kaspersky Lab ZAO. Wszelkie prawa zastrzeżone. Oprogramowanie i związana z nim dokumentacja podlegają ochronie praw autorskich w świetle prawa i międzynarodowych umów o ochronie praw autorskich, jak również innych przepisów i umów dot. ochrony własności intelektualnej. 3

4 SPIS TREŚCI INFORMACJE O PODRĘCZNIKU... 7 W tym dokumencie... 7 Oznaczenia stosowane w dokumencie... 8 DODATKOWE ŹRÓDŁA INFORMACJI... 9 Źródła informacji dla dalszych badań... 9 Forum internetowe firmy Kaspersky Lab Kontakt z zespołem tworzącym dokumentację KASPERSKY ADMINISTRATION KIT Nowości Wymagania sprzętowe i programowe INTERFEJS APLIKACJI Konfigurowanie interfejsu Okno główne aplikacji Drzewo konsoli Panel zadań Panel wyników Menu kontekstowe URUCHAMIANIE I ZATRZYMYWANIE DZIAŁANIA APLIKACJI PODSTAWOWE POJĘCIA Serwer administracyjny. Grupy administracyjne Hierarchia Serwera administracyjnego Komputer kliencki. Grupa Stacja robocza administratora Wtyczka konfiguracji aplikacji Profile, ustawienia aplikacji i zadania Relacje między profilami a lokalnymi ustawieniami aplikacji ZASADY DZIAŁANIA PROGRAMU KASPERSKY ADMINISTRATION KIT Instalacja systemu ochrony antywirusowej Zgodność z Cisco Network Admission Control (NAC) Zgodność z Microsoft Network Access Protection (NAP) Tworzenie systemu scentralizowanego zarządzania ochroną antywirusową Połączenie komputerów klienckich z serwerem administracyjnym Nawiązywanie szyfrowanego połączenia z serwerem administracyjnym Certyfikat serwera administracyjnego Autoryzacja serwera administracyjnego podczas podłączania komputera klienckiego Autoryzacja serwera administracyjnego podczas połączenia z nim konsoli Autoryzacja komputerów klienckich na serwerze administracyjnym Uprawnienia dostępu do serwera administracyjnego i jego obiektów ZARZĄDZANIE KOMPUTERAMI SIECIOWYMI Nawiązywanie połączenia z serwerem administracyjnym Nadawanie uprawnień Przeglądanie informacji o sieci komputerów. Domeny, podsieci IP i grupy Active Directory Kreator automatycznej konfiguracji

5 S P I S T R E Ś C I Tworzenie, przeglądanie i modyfikowanie struktury grup administracyjnych Grupy Komputery klienckie Podrzędne serwery administracyjne ZDALNE ZARZĄDZANIE APLIKACJAMI Zarządzanie profilami Lokalne ustawienia aplikacji Zarządzanie działaniem aplikacji AKTUALIZOWANIE BAZY DANYCH I MODUŁÓW PROGRAMU Pobieranie uaktualnień do repozytorium serwera administracyjnego Rozsyłanie uaktualnień do komputerów klienckich Pobieranie uaktualnień dla serwerów podrzędnych i ich komputerów klienckich Rozsyłanie uaktualnień poprzez agenty aktualizacji ZARZĄDZANIE SIECIĄ Odnawianie licencji Kwarantanna i Kopia zapasowa Dziennik zdarzeń. Wybory zdarzeń Raporty Wykrywanie komputerów Wybory komputerów Rejestr aplikacji Kontrola epidemii wirusów Pliki nieprzetworzone Tworzenie kopii zapasowej i przywracanie danych serwera administracyjnego KONTAKT Z DZIAŁEM POMOCY TECHNICZNEJ SŁOWNIK KASPERSKY LAB ZAO INFORMACJE O KODZIE FIRM TRZECICH Kod programu BOOST GSOAP 2.7.0D LIBMSPACK MICROSOFT.NET FRAMEWORK VERSION 2.0 REDISTRIBUTABLE PACKAGE (X86) MICROSOFT CORE XML SERVICES (MSXML) MICROSOFT DATA ACCESS COMPONENTS (MDAC) MICROSOFT SQL SERVER 2005 EXPRESS EDITION SERVICE PACK MYSQL C API OPENSSL 0.9.8L STLPORT UNZIP VISUAL STUDIO 6.0 SERVICE PACK 6 WINDOWS INSTALLER MERGE MODULES WINDOWS INSTALLER 3.1 REDISTRIBUTABLE (V2) ZLIB Pozostałe informacje

6 INDEKS

7 INFORMACJE O PODRĘCZNIKU Dokument ten zawiera opis podstawowych pojęć i funkcji programu Kaspersky Administration Kit oraz ogólny zarys pracy z naszym produktem. Szczegółowy opis poszczególnych działań znajduje się w Dokumentacji dodatkowej programu Kaspersky Administration Kit. Funkcje, których opis można znaleźć w Dokumentacji, zostały podkreślone w niniejszym podręczniku. W TEJ SEKCJI W tym dokumencie...7 Oznaczenia stosowane w dokumencie...8 W TYM DOKUMENCIE Dokument zawiera następujące sekcje: Dodatkowe źródła informacji (patrz strona 9). W tej sekcji opisane są miejsca, w których można znaleźć informacje o aplikacji, łącznie z dokumentacją załączoną do pakietu dystrybucyjnego. Kaspersky Administration Kit (patrz strona 11). Znajdują się tu informacje o przeznaczeniu programu Kaspersky Administration Kit, jego funkcjach i modułach. Interfejs aplikacji (patrz strona 16). W sekcji opisane są główne zagadnienia związane z interfejsem Kaspersky Administration Kit. Uruchamianie i zatrzymywanie działania aplikacji (patrz strona 26). W tej sekcji opisane jest uruchamianie Kaspersky Administration Kit. Podstawowe pojęcia (patrz strona 27). Znaleźć tu można opis podstawowych pojęć związanych z Kaspersky Administration Kit. Zasady działania programu Kaspersky Administration Kit (patrz strona 33). Przedstawione są tu podstawowe zasady działania aplikacji oraz propozycje rozwiązywania poszczególnych problemów. Zarządzanie komputerami sieciowymi (patrz strona 40). Sekcja ta opisuje niektóre zalety pracy z Kaspersky Administration Kit w obrębie sieci korporacyjnej. Zdalne zarządzanie aplikacjami (patrz strona 53). Znaleźć tu można opis zarządzania aplikacją poprzez Kaspersky Administration Kit. Aktualizowanie baz danych i modułów programu (patrz sekcja 64). Z tej sekcji można się dowiedzieć jak wykonać aktualizację baz danych (które są używane podczas skanowania zainfekowanych obiektów) oraz wersji programu, a także jak zainstalować uaktualnienia modułów aplikacji. Zarządzanie siecią (patrz strona 71). W tym miejscu opisane są procedury związane z zarządzaniem siecią, które są zalecane jako część praktyki. Dodatkowo przedstawione są tu niektóre funkcje ułatwiające zarządzanie siecią. Kontakt z działem pomocy technicznej (patrz strona 92). Sekcja ta opisuje zasady rządzące kierowaniem pytań do działu pomocy technicznej. Słownik. Zawiera listę terminów z ich definicjami, które użyte zostały w niniejszym dokumencie. Kaspersky Lab ZAO (strona 98). Sekcja zawiera informacje o firmie Kaspersky Lab ZAO. 7

8 Informacje o korzystaniu z kodu firm trzecich. Z tej sekcji można się dowiedzieć o kodzie firm trzecich wykorzystanym w aplikacji. Indeks. Sekcja ta umożliwia szybkie i łatwe odnalezienie potrzebnych informacji w dokumencie. OZNACZENIA STOSOWANE W DOKUMENCIE Oznaczenia wykorzystywane w tym dokumencie zostały opisane w poniższej tabeli. Tabela 1. Oznaczenia stosowane w dokumencie PRZYKŁADOWY TEKST Pamiętaj, że... Zalecamy... Przykład: OPIS OZNACZEŃ STOSOWANYCH W DOKUMENCIE Ostrzeżenia są wyróżnione kolorem czerwonym i znajdują się w ramkach. Zawierają one ważne informacje, na przykład związane z działaniami zagrażającymi bezpieczeństwu komputera. Komentarze znajdują się w ramkach oznaczonych linią przerywaną. Zawierają one dodatkowe informacje. Przykłady umieszczone są na żółtym tle pod nagłówkiem "Przykład".... Aktualizuj oznacza... ALT+F4 Włącz pomoc W celu skonfigurowania terminarza zadania: <adres IP Twojego komputera> Nowe terminy są oznaczane kursywą. Nazwy klawiszy oznaczone są pogrubioną czcionką i wielkimi literami. Nazwa klawiszy z umieszczonym pomiędzy nimi znakiem "plusa" (+) oznacza użycie kombinacji klawiszy. Nazwy składników interfejsu, na przykład pól do wprowadzania danych, poleceń menu, przycisków itd. są oznaczone pogrubioną czcionką. Wstępne zdania w instrukcjach oznaczone są kursywą. Treści wprowadzane w wierszu poleceń lub treści komunikatów wyświetlanych na ekranie są oznaczone specjalną czcionką. Zmienne znajdują się w nawiasach ostrych. Zamiast zmiennych w każdym wypadku wstawiane są odpowiadające wartości, a nawiasy ostre są pomijane. 8

9 DODATKOWE ŹRÓDŁA INFORMACJI Jeżeli masz pytania dotyczące zakupu, instalacji lub korzystania z Kaspersky Administration Kit, możesz z łatwością uzyskać na nie odpowiedź. Firma Kaspersky Lab oferuje wiele źródeł, z których można uzyskać informacje. W zależności od tego, jak ważne i pilne jest Twoje pytanie, możesz wybrać odpowiednie źródło informacji. W TEJ SEKCJI Źródła informacji dla dalszych badań...9 Forum internetowe firmy Kaspersky Lab Kontakt z zespołem tworzącym dokumentację ŹRÓDŁA INFORMACJI DLA DALSZYCH BADAŃ Możesz skorzystać z następujących źródeł informacji o aplikacji: strona aplikacji na witrynie internetowej firmy Kaspersky Lab; Baza Wiedzy na stronie działu pomocy technicznej; system pomocy elektronicznej; dokumentacja. Strona aplikacji na witrynie internetowej firmy Kaspersky Lab Na tej stronie można znaleźć ogólne informacje dotyczące aplikacji, jej funkcji oraz opcji. Baza Wiedzy na stronie działu pomocy technicznej Niniejsza strona zawiera artykuły opublikowane przez specjalistów z działu pomocy technicznej. Zawierają one przydatne informacje, zalecenia i odpowiedzi na najczęściej zadawane pytania poświęcone zakupowi, instalacji i korzystaniu z Kaspersky Administration Kit. Artykuły są poukładane tematycznie, jak na przykład "Pracowanie z plikami kluczy", "Aktualizacja baz danych" i "Rozwiązywanie problemów". Ich treść pomaga rozwiązać problemy związane nie tylko z Kaspersky Administration Kit, ale także z innymi produktami firmy Kaspersky Lab. Mogą zawierać również nowości z działu Pomocy Technicznej. System pomocy elektronicznej Pakiet instalacyjny aplikacji zawiera pełne pliki pomocy, które zawierają szczegółowe opisy funkcji aplikacji. Aby otworzyć plik pomocy, z menu konsoli Pomoc wybierz System pomocy Kaspersky. Jeśli Twoje pytanie dotyczy określonego okna aplikacji, możesz skorzystać z pomocy kontekstowej. 9

10 W celu otwarcia pomocy kontekstowej w odpowiednim oknie kliknij przycisk Pomoc lub wciśnij klawisz <F1>. Dokumentacja Dokumentacja dołączona do aplikacji dostarczy Ci wszystkich informacji, których potrzebujesz. Składa się z następujących dokumentów: Podręcznik Administratora opisuje cele, funkcje oraz ogólne zastosowania dla Kaspersky Administration Kit. Przewodnik instalacji zawiera opis procedur instalacji dla komponentów Kaspersky Administration Kit oraz opis zdalnej instalacji aplikacji w sieciach komputerowych przy użyciu łatwej konfiguracji. Rozpoczęcie Pracy to szczegółowy poradnik zawierający informacje odnośnie rozpoczęcia pracy z Kaspersky Administration Kit oraz szybkiej instalacji oprogramowania antywirusowego w zarządzanej sieci. Dokumentacja dodatkowa zawiera omówienie produktu Kaspersky Administration Kit oraz szczegółowe opisy jego funkcji. Dokumenty w formacie.pdf znajdują się na płycie instalacyjnej Kaspersky Administration Kit. Pliki dokumentacji możesz pobrać ze strony aplikacji na witrynie Kaspersky Lab. Informacja na temat interfejsów programistycznych aplikacji (API) Kaspersky Administration Kit znajduje się w pliku klakaut.chm. Plik ten znajduje się w folderze instalacyjnym aplikacji. FORUM INTERNETOWE FIRMY KASPERSKY LAB Jeżeli zapytanie nie wymaga natychmiastowej odpowiedzi, można przedyskutować je ze specjalistami firmy Kaspersky Lab lub innymi użytkownikami jej oprogramowania na forum internetowym znajdującym się pod adresem Na forum możesz znaleźć także wcześniej opublikowane odpowiedzi, pozostawić swój komentarz, utworzyć nowy temat lub skorzystać z wyszukiwarki. KONTAKT Z ZESPOŁEM TWORZĄCYM DOKUMENTACJĘ Jeżeli masz jakieś pytania dotyczące tej dokumentacji, znalazłeś w niej błąd lub chciałbyś pozostawić komentarz, skontaktuj się z zespołem tworzącym dokumentację. Kliknij odnośnik Zgłoś opinię znajdujący się w prawej górnej części okna, aby otworzyć klienta pocztowego. W otwartym oknie automatycznie zostanie uzupełniony adres odbiorcy (dokumentacja@kaspersky.pl) oraz temat wiadomości ("Opinia o dokumentacji: Kaspersky Administration Kit"). Wpisz treść wiadomości i wyślij ją bez wprowadzania zmian w temacie. 10

11 KASPERSKY ADMINISTRATION KIT Produkt dostępny jest jako darmowy dodatek do wszystkich aplikacji firmy Kaspersky Lab z linii produktów Kaspersky Open Space Security. Można go również pobrać ze strony firmy Kaspersky Lab ( Kaspersky Administration Kit umożliwia scentralizowane zarządzanie systemem firmowej ochrony antywirusowej, opartym na aplikacjach Kaspersky Lab z linii produktów Kaspersky Open Space Security. Kaspersky Administration Kit obsługuje wszystkie sieciowe konfiguracje oparte na protokole TCP/IP. Aplikacja jest narzędziem przeznaczonym dla administratorów sieci korporacyjnej i administratorów ochrony antywirusowej. Za pomocą Administration Kit możesz: Tworzyć grupy administracyjne zapewniające antywirusową ochronę oraz pozwalające zarządzać podobnymi komputerami jako jednostką. Zdalnie instalować oraz odinstalowywać aplikacje antywirusowe firmy Kaspersky Lab. Zarządzać wszystkimi aplikacjami antywirusowymi poprzez sieć za pomocą jednego komputera. Otrzymywać i rozsyłać do komputerów połączonych w sieć uaktualnienia baz danych oraz modułów aplikacji w sposób scentralizowany. Otrzymywać powiadomienia na temat zdarzeń krytycznych występujących w oprogramowaniu antywirusowym. Otrzymywać statystyki i raporty dotyczące pracy aplikacji antywirusowych. Zarządzać licencjami dla wszystkich zainstalowanych aplikacji antywirusowych. Zdalnie zarządzać obiektami umieszczonymi w kwarantannie lub kopii zapasowej przez aplikacje antywirusowe, a także obiektami, których leczenie zostało odłożone. Zdalnie zarządzać aplikacjami firm trzecich zainstalowanymi w obrębie sieci. W skład Kaspersky Administration Kit wchodzą trzy główne moduły: Serwer administracyjny realizuje funkcje scentralizowanego przechowywania informacji na temat aplikacji firmy Kaspersky Lab zainstalowanych w sieci korporacyjnej oraz zarządzanie tymi aplikacjami. Agent sieciowy koordynuje współdziałanie serwera administracyjnego z aplikacjami firmy Kaspersky Lab zainstalowanymi na węzłach sieciowych (stacjach roboczych lub serwerze). Ten składnik obsługuje wszystkie aplikacje systemu Windows w obszarze Kaspersky Open Space Security. Oddzielne wersje agenta sieciowego dostępne są dla platform Novell i Unix. Konsola administracyjna jest interfejsem programu umożliwiającym zarządzanie usługami serwera administracyjnego i agenta sieciowego. Konsola administracyjna jest zaimplementowana jako rozszerzenie konsoli Microsoft Management Console (MMC). W TEJ SEKCJI Nowości Wymagania sprzętowe i programowe

12 NOWOŚCI Zmiany wprowadzone w Kaspersky Administration Kit 8.0 w porównaniu z Kaspersky Administration Kit 6.0: Uproszczono tryb instalacji aplikacji. W zadaniu zdalnej instalacji można określić kilka kont. Zestaw aplikacji zawiera teraz pakiet dystrybucyjny MS SQL 2005 Express: jest on instalowany automatycznie, jeżeli zaznaczona jest standardowa instalacja. Dodano obsługę monitorowania SNMP podstawowych parametrów ochrony antywirusowej w sieci korporacyjnej LAN. Dodano możliwość tworzenia oddzielnego pakietu instalacyjnego dla aplikacji Kaspersky Lab. Zmieniono interfejs produktu: panel wyników, układ raportów i panele informacyjne (patrz sekcja "Okno główne aplikacji" na stronie 17). Dodano możliwość gromadzenia informacji o aplikacjach zainstalowanych na komputerach klienckich (rejestr aplikacji). Rozszerzono i zmieniono system praw dostępu. Dodano obsługę Microsoft NAP. Dodano możliwość przełączania klientów mobilnych między serwerami administracyjnymi. Rozszerzono kryteria przełączania klientów między profilem mobilnym a standardowym. Rozszerzono możliwość automatycznego przenoszenia komputerów do grup administracyjnych. Dodano możliwość tworzenia grup administracyjnych na podstawie Active Directory. Dodano nowe raporty, możliwość tworzenia niestandardowego systemu raportowania oraz rozszerzono informacje wyświetlane w raportach. Dodano możliwość eksportowania raportów do formatu PDF i XML (Excel). Dodano możliwość gromadzenia szczegółowych danych podczas tworzenia raportów zbiorczych. Zastosowano pamięć podręczną danych, służącą do generowania raportów zbiorczych zawierających informacje z podrzędnych serwerów administracyjnych. Dodano obsługę dwóch zestawów kolumn w konsoli administracyjnej oraz zwiększono zestaw kolumn (patrz strona 23). Dodano nowe kolumny dla listy komputerów: "Uruchom ponownie", "Opis stanu", "Wersja agenta sieciowego", "Wersja ochrony", "Wersja bazy danych" i "Czas włączenia". Dodano nowe kryteria, według których do komputerów zostaną przypisane określone stany. Dodano nowe kryteria wyboru komputerów utworzone domyślnie oraz możliwość tworzenia takich kryteriów przy pomocy danych z podrzędnych serwerów administracyjnych. Dodano możliwość tworzenia listy komentarzy administratorów. Dodano możliwość przeglądania bieżących sesji użytkownika na komputerze oraz informacji kontaktowych użytkownika. 12

13 Dodano interfejs graficzny dla narzędzia klbackup. Pliki profili i zadań grupowych rozsyłane są przy pomocy funkcji dostarczania kilku adresów IP. Funkcja Wake On LAN jest dostępna dla komputerów klienckich należących do podsieci innych niż podsieć serwera administracyjnego oraz przy ręcznym uruchomieniu zadania. Ustawienia ponownego uruchamiania komputerów klienckich mogą zostać określone we właściwościach zadania zdalnej instalacji. Zmodyfikowano algorytm wykorzystywany do ograniczenia liczby powiadomień wysyłanych w określonym przedziale czasu; obecnie ograniczenia te są wyliczane niezależnie dla każdego typu zdarzenia. Dodano wyszukiwanie grup i podrzędnych serwerów administracyjnych według hierarchii. Rozszerzono statystyki agentów aktualizacji. Zadanie usuwania zewnętrznych aplikacji umożliwia obecnie równoczesne usuwanie kilku programów. Wprowadzono narzędzie do przygotowywania komputerów umieszczonych w grupie roboczej do zdalnej instalacji. Zastosowano funkcję pobierania uaktualnień niezbędnych dla aplikacji natychmiast po utworzeniu jej pakietu instalacyjnego. Podczas pobierania uaktualnień brane są pod uwagę te programy, które już są połączone z podrzędnymi serwerami administracyjnymi. Uproszczono klasyfikację możliwych błędów zwracanych przez podsystem rozsyłania aplikacji i dodano przewodnik rozwiązywania typowych problemów. Dodano funkcję automatycznej aktualizacji modułów składników systemu administracyjnego. WYMAGANIA SPRZĘTOWE I PROGRAMOWE Serwer administracyjny Wymagania programowe: Microsoft Data Access Components (MDAC) 2.8 lub nowszy lub Windows DAC 6.0. System zarządzania bazą: Microsoft SQL Express 2005, Microsoft SQL Express 2008, Microsoft SQL Express 2008 R2, Microsoft SQL Server 2005, Microsoft SQL Server 2008, Microsoft SQL Server 2008 R2 lub MySQL Enterprise. Microsoft Windows Server 2003 lub wyższy; Microsoft Windows Server 2003 x64 lub wyższy; Microsoft Windows Server 2008; Microsoft Windows Server 2008 zainstalowany w trybie Server Core; Microsoft Windows Server 2008 x64 z zainstalowanym Service Pack 1 i wszystkimi bieżącymi aktualizacjami (dla Microsoft Windows Server 2008 x64 powinien być zainstalowany Microsoft Windows Installer 4.5); Microsoft Windows Server 2008 R2; Microsoft Windows Server 2008 R2zainstalowany w trybie Server Core; Microsoft Windows XP Professional z zainstalowanym Service Pack 2 lub wyższym; Microsoft Windows XP Professional x64 lub wyższy; Microsoft Windows Vista z zainstalowanym Service Pack 1 lub wyższym, Microsoft Windows Vista x64 z zainstalowanym Service Pack 1 i wszystkimi bieżącymi aktualizacjami (dla Microsoft Windows Vista x64 powinien być zainstalowany Microsoft Windows Installer 4.5); Microsoft Windows 7. Wymagania sprzętowe: procesor o częstotliwości 1 GHz lub wyższej 13

14 pamięć RAM MB 1GB wolnego miejsca na dysku Konsola administracyjna Wymagania programowe: System operacyjny Windows. Obsługiwana wersja systemu operacyjnego jest określana przez wymagania serwera administracyjnego. Microsoft Management Console wersja 2.0 lub nowsza. Do pracy z Microsoft Windows XP, Windows Server 2003, Windows Server 2008, Windows Server 2008 R2 i Windows Vista wymagane jest zainstalowanie programu Microsoft Internet Explorer w wersji 7.0 lub nowszej. Do pracy z Microsoft Windows 7 wymagane jest zainstalowanie programu Microsoft Internet Explorer w wersji 8.0 lub nowszej. Wymagania sprzętowe: Do pracy z 32-bitowymi systemami operacyjnymi wymagane są: procesor o częstotliwości 1 GHz lub wyższej pamięć RAM MB 1GB wolnego miejsca na dysku Do pracy z 64-bitowymi systemami operacyjnymi wymagane są: procesor o częstotliwości 1,4 GHz lub wyższej pamięć RAM MB 1GB wolnego miejsca na dysku Agent sieciowy lub Agent aktualizacji Wymagania programowe: System operacyjny: Windows. Obsługiwana wersja systemu operacyjnego jest określana przez wymagania serwera administracyjnego. Linux. Mac OS. Wymagania sprzętowe: Do pracy z 32-bitowymi systemami operacyjnymi wymagane są: procesor o częstotliwości 1 GHz lub wyższej 14

15 pamięć RAM MB dostępne miejsce na dysku: 32 MB dla agenta sieciowego, 500 MB dla agenta aktualizacji Do pracy z 64-bitowymi systemami operacyjnymi wymagane są: procesor o częstotliwości 1,4 GHz lub wyższej pamięć RAM MB dostępne miejsce na dysku: 32 MB dla agenta sieciowego, 500 MB dla agenta aktualizacji 15

16 INTERFEJS APLIKACJI Przeglądanie, tworzenie, modyfikowanie i konfigurowanie grup administracyjnych, a także scentralizowane zarządzanie wszystkimi aplikacjami Kaspersky Lab zainstalowanymi na komputerze klienckim, wykonywane jest z poziomu stacji roboczej administratora. Interfejs zarządzania zapewniany jest przez Konsolę administracyjną. Jest to specjalne niezależne rozszerzenie konsoli Microsoft Management Console (MMC); Kaspersky Administration Kit jest standardowym ujednoliconym interfejsem konsoli MMC. Konsola administracyjna umożliwia zdalne łączenie z serwerem administracyjnym przez Internet. Aby umożliwić pracę lokalną z komputerami klienckimi, aplikacja obsługuje zdalne połączenie z komputerem przez konsolę administracyjną przy pomocy standardowej aplikacji Microsoft Windows Remote Desktop Connection. W celu użycia tej funkcji na komputerze klienckim należy zezwolić na połączenia zdalnego pulpitu. W TEJ SEKCJI Konfigurowanie interfejsu Okno główne aplikacji Drzewo konsoli Panel zadań Panel wyników Menu kontekstowe KONFIGUROWANIE INTERFEJSU Kaspersky Administration Kit umożliwia administratorowi skonfigurowanie interfejsu konsoli administracyjnej. W celu zmiany określonych ustawień interfejsu: 1. Z drzewa konsoli wybierz węzeł serwer administracyjny. 2. Przejdź do menu Widok Konfigurowanie interfejsu. Zostanie otwarte odpowiednie okno (patrz obrazek poniżej). 16

17 Rysunek 1. Przeglądanie właściwości grupy. Okno Konfigurowanie interfejsu 3. W oknie, które zostanie otwarte, określ następujące parametry: Wyświetl podrzędne serwery administracyjne. Wyświetl zakładki ustawień zabezpieczeń. Wyświetl rejestr aplikacji. Maksymalna liczba komputerów wyświetlanych w panelu wyników. Ustawienie to określa liczbę komputerów wyświetlanych w panelu wyników konsoli administracyjnej. Domyślną wartością jest Jeśli liczba komputerów w grupie przekroczy określoną wartość, wyświetlona zostanie odpowiednia informacja. Aby wyświetlić listę wszystkich komputerów, zwiększ wartość parametru. Parametr, który został zdefiniowany w ustawieniach grupy (lub domeny) a dotyczy maksymalnej liczby wyświetlanych komputerów, stosowany jest do wszystkich grup na wszystkich poziomach hierarchii oraz dla wszystkich domen. OKNO GŁÓWNE APLIKACJI Okno główne programu (zobacz poniższy obrazek) zawiera menu, pasek narzędzi, panel przeglądania oraz panel informacyjny, które mogą wyświetlać panel zadań oraz panel wyników. Menu umożliwia dostosowanie wyglądu okien oraz oferuje dostęp do systemu pomocy. Podmenu Akcje kopiuje polecenia menu kontekstowego dla obiektu z drzewa konsoli. Zestaw przycisków paska narzędzi umożliwia bezpośredni dostęp do niektórych elementów menu głównego. Elementy dostępne na pasku narzędzi zależą od wybranego węzła lub foldera drzewa konsoli. Panel przeglądania wyświetla obszar nazw Kaspersky Administration Kit w postaci drzewa konsoli (patrz sekcja "Drzewo konsoli" na stronie 18). Obszar informacyjny okna głównego może wyświetlać panel zadań, panel wyników lub ich kombinację. Dla niektórych folderów drzewa konsoli obszar informacyjny oferuje dwa tryby wyświetlania: rozszerzony i standardowy. Przełączanie się pomiędzy nimi wykonywane jest przy użyciu odpowiednich zakładek. Panel zadań (patrz strona 20) składa się z jednej lub kilku zakładek, które wyświetlają strony z odnośnikami do szybszego dostępu do podstawowych działań dostępnych dla obiektu wybranego z drzewa konsoli. 17

18 Panel wyników (patrz strona 23) wyświetla listę elementów obiektu wybranego z drzewa konsoli lub zestaw paneli informacyjnych. Na przykład może to być lista komputerów należących do grup, lista raportów, zdarzeń lub wybranych komputerów. Rysunek 2. Okno główne Kaspersky Administration Kit DRZEWO KONSOLI Drzewo konsoli (patrz poniższy rysunek) wyświetla hierarchię serwerów administracyjnych, które znajdują się w sieci firmowej, strukturę ich grup administracyjnych i inne obiekty aplikacji, takie jak repozytoria, wybory itp. Obszar nazw Kaspersky Administration Kit może zawierać kilka węzłów, włączając nazwy serwerów odpowiadające zainstalowanym serwerom administracyjnym będącym częścią hierarchii. 18

19 Rysunek 3. Drzewo konsoli Węzeł Serwer administracyjny <Nazwa komputera> jest kontenerem odzwierciedlającym strukturę folderów wybranego serwera administracyjnego. Kontener Serwer administracyjny <Nazwa komputera> zawiera następujące foldery: Zarządzane komputery. Raporty i powiadomienia. Zadania Kaspersky Administration Kit. Zadania dla wskazanych komputerów. Wybory zdarzeń i komputerów. Nieprzypisane komputery. Repozytoria. Folder Zarządzane komputery jest przeznaczony do przechowywania, wyświetlania, konfiguracji i modyfikacji struktury grup administracyjnych, profili grupy i zadań grupowych. Znajdują się w nim następujące podfoldery: Profile, Zadania grupowe, Komputery klienckie oraz Serwery administracyjne. Podobna struktura folderów tworzona jest w drzewie konsoli dla każdej grupy administracyjnej. 19

20 Folder Zadania Kaspersky Administration Kit zawiera zestaw zadań zdefiniowanych dla serwera administracyjnego. Istnieją trzy typy zadań serwera administracyjnego: wysyłanie raportów, tworzenie kopii zapasowej oraz pobieranie uaktualnień. Folder Zadania dla wskazanych komputerów zawiera zestaw zadań dla komputerów znajdujących się w grupach administracyjnych lub folderze Nieprzypisane komputery. Takie zadania są odpowiednie dla małych grup komputerów klienckich, które nie mogą utworzyć oddzielnej grupy administracyjnej. W folderze Raporty i powiadomienia znajduje się zestaw szablonów do generowania raportów o stanie ochrony antywirusowej na komputerach klienckich należących do grup administracyjnych.. Szablony te są dostępne na zakładce Statystyki, w folderze panelu zadań. Zakładka Powiadomienia umożliwia skonfigurowanie powiadomień o działaniu systemu. Jeśli szablon zostanie wybrany z drzewa konsoli, wówczas wygenerowany raport pojawi się w panelu wyników. W folderze Wybory zdarzeń i komputerów znajdują się następujące podfoldery: Folder Wybory komputerów jest przeznaczony do wyszukiwania komputerów na podstawie określonych kryteriów. Folder Zdarzenia zawiera wybrane zdarzenia, informacje o zdarzeniach aplikacji oraz o wynikach wykonanych zadań. W folderze Nieprzypisane komputery wyświetlana jest sieć, w której zainstalowany jest serwer administracyjny. Informacje na temat struktury sieci i komputerów znajdujących się w tej sieci są zbierane przez serwer administracyjny podczas przeszukiwania sieci Windows, podsieci IP i Active Directory w obrębie sieci korporacyjnej. Wyniki przeszukiwania wyświetlane są w panelu wyników odpowiednich podfolderów: Domeny, Podsieci IP oraz Active Directory. Folder Repozytoria jest przeznaczony do działania z obiektami wykorzystywanymi do monitorowania stanu komputerów klienckich i ich obsługiwania. Składa się z następujących folderów: W folderze Pakiety instalacyjne znajduje się lista pakietów instalacyjnych, które mogą być użyte do zdalnej instalacji aplikacji na komputerach klienckich. Folder Aktualizacje zawiera listę uaktualnień pobranych przez serwer administracyjny, które mogą być przesyłane do komputerów klienckich. Folder Licencje zawiera listę licencji zainstalowanych na komputerach klienckich. W folderze Kwarantanna dostępna jest lista obiektów znajdujących się na komputerach klienckich, które zostały poddane kwarantannie przez aplikacje antywirusowe. Folder Kopia zapasowa zawiera listę kopii zapasowej obiektów. Folder Nieprzetworzone pliki zawiera listę plików, których skanowanie zostało odroczone przez aplikacje antywirusowe. W folderze Rejestr aplikacji znajduje się lista aplikacji zainstalowanych na komputerach klienckich z zainstalowanym agentem sieciowym. PANEL ZADAŃ Panel zadań jest obszarem w oknie zawierającym grupę odnośników służących do działania z obiektami serwera administracyjnego oraz sam serwer administracyjny. Istnieją dwa sposoby wyświetlania panelu zadań: standardowy i rozszerzony. Rozszerzony panel zadań (patrz poniższy rysunek) jest dostępny dla większości folderów i folderów drzewa konsoli. Jest to strona HTML zawierająca odnośniki do różnych działań, umożliwiające nawigowanie do innych obiektów serwera administracyjnego oraz skrócone informacje o bieżącym obiekcie. 20

21 Pojedynczy węzeł lub folder może posiadać kilka paneli zadań, które są przedstawione w postaci zakładek z ich nazwami wyświetlonymi w górnej części panelu informacyjnego. Dla wygodnego przeglądania obiektów serwera administracyjnego w górnej części panelu zadań znajduje się łańcuch nawigowania: Rozpoczęcie pracy <Nazwa węzła>... <Nazwa foldera> <Nazwa obiektu>. Grupy odnośników można połączyć w bloki dla wygodniejszego rozmieszczenia ich w panelu. Rysunek 4. Panel zadań 21

22 Dla niektórych obiektów znajdujących się w drzewie konsoli panel zadań może wyświetlać podsumowujące informacje o obiekcie, na przykład dane statystyczne w przypadku wybrania folderu Raporty i powiadomienia (patrz rysunek poniżej). W tym przypadku panel zadań funkcjonuje również jako panel wyników (patrz strona 23). Rysunek 5. Panel zadań funkcjonujący jako panel wyników W sytuacji, gdy rozszerzony panel zadań nie jest dostępny dla jakichś folderów, wówczas jego miejsce zajmuje standardowy panel zadań, który jest reprezentowany przez dwie zakładki znajdujące się w dolnej części panelu: <Nazwa węzła> i Standardowy. Jeśli wybierzesz zakładkę <Nazwa węzła>, w lewej części panelu wyników wyświetlony zostanie zestaw odnośników (zobacz poniższy rysunek). Odnośniki standardowego panelu wyników (podobnie jak rozszerzonego panelu wyników) prowadzą do różnych działań, przeglądania lub modyfikowania właściwości folderu. Rysunek 6. Standardowy panel zadań dla foldera Komputery klienckie W dokumentacji programu Kaspersky Administration Kit termin "panel zadań" odnosi się do rozszerzonego panelu zadań. Natomiast w przypadku standardowego panelu zadań jego elementy opisywane są jako część panelu wyników. 22

23 PANEL WYNIKÓW Panel wyników jest obszarem okna wyświetlającym różne informacje, na przykład listę komputerów, profile i zadania utworzone przy pomocy określonych szablonów. Panel wyników może być wyświetlany na dwa sposoby: standardowy i rozszerzony, które są dostępne na zakładkach o takich nazwach. Wygenerowane raporty są wyświetlane na rozszerzonym panelu wyników. Zawiera on wykresy, podsumowania i szczegółowe informacje przedstawione w tabelach (patrz poniższy rysunek). Rysunek 7. Panel wyników. Raport o instalacji Rozszerzony panel wyników może zawierać różne strony (patrz poniższy rysunek), a każda z nich może zawierać zestaw paneli informacyjnych. Dane w panelach informacyjnych mogą być wyświetlone w postaci tabeli lub wykresu (słupkowy lub kołowy). Administratorzy mogą zmienić zestaw stron i paneli informacyjnych oraz dane i metody ich wyświetlania: Możesz zmodyfikować listę stron przy użyciu przycisku znajdującego się w prawym górnym rogu tej zakładki. 23

24 Aby skonfigurować stronę, kliknij przycisk znajdujący się obok nazwy strony i użyj wyświetlonego okna do zdefiniowania wymaganych ustawień. Aby zdefiniować ustawienia wyświetlania dla pojedynczego panelu informacyjnego, kliknij przycisk znajdujący się obok jego nazwy. Możesz zwijać i rozwijać panele przy pomocy przycisków i. Rysunek 8. Panel wyników zawierający panele informacyjne Standardowy panel wyników wyświetla dane w formie tabeli (patrz poniższy rysunek). Lista kolumn różnych obiektów drzewa konsoli znajduje się w Dokumentacji dodatkowej. 24

25 Rysunek 9. Widok standardowy panelu wyników Informacje w panelu wyników Kaspersky Administration Kit (np. stany komputerów, statystyki, raporty) nie są automatycznie odświeżane. Możesz odświeżyć informacje w panelu wyników przy użyciu jednej z trzech metod: wciskając na klawiaturze klawisz F5, wybierając z menu kontekstowego polecenie Odśwież lub klikając na pasku narzędzi przycisk. MENU KONTEKSTOWE W drzewie konsoli każda kategoria obiektów z obszaru nazw Kaspersky Administration Kit ma swoje menu kontekstowe. Polecenia standardowe menu kontekstowego konsoli Microsoft Management Console (MMC) uzupełniane są o polecenia używane do wykonywania działań na danym obiekcie. Obiekty oraz zestaw dostępnych dla nich poleceń menu kontekstowego przedstawione zostały w Dokumentacji dodatkowej. W panelu wyników każdy element obiektu wybrany z drzewa również posiada menu kontekstowe zawierające polecenia używane do pracy z tym elementem. W Dokumentacji dodatkowej dostępna jest lista głównych typów elementów oraz zestawu obsługiwanych poleceń. 25

26 URUCHAMIANIE I ZATRZYMYWANIE DZIAŁANIA APLIKACJI Program Kaspersky Administration Kit włącza się automatycznie podczas uruchamiania serwera administracyjnego. Program Kaspersky Administration Kit może zostać włączony przez wybranie Kaspersky Administration Kit z grupy programu Kaspersky Administration Kit dostępnej w menu Start Programy. Ta grupa programu tworzona jest tylko na stacji roboczej administratora podczas instalacji konsoli administracyjnej. Aby mieć dostęp do funkcji Kaspersky Administration Kit, należy uruchomić serwer administracyjny Kaspersky Administration Kit. 26

27 PODSTAWOWE POJĘCIA Znaleźć tu można opis podstawowych pojęć związanych z Kaspersky Administration Kit. Definicje tych pojęć oraz niektórych terminów można znaleźć w Słowniku. W TEJ SEKCJI Serwer administracyjny. Grupy administracyjne Hierarchia Serwera administracyjnego Komputer kliencki. Grupa Stacja robocza administratora Wtyczka konfiguracji aplikacji Profile, ustawienia aplikacji i zadania Relacje między profilami a lokalnymi ustawieniami aplikacji SERWER ADMINISTRACYJNY. GRUPY ADMINISTRACYJNE Komponenty programu Kaspersky Administration Kit umożliwiają zdalne zarządzanie aplikacjami firmy Kaspersky Lab w obrębie sieci korporacyjnej. Komputery z zainstalowanym składnikiem serwera administracyjnego będą zwane w dalszej części niniejszego dokumentu serwerami administracyjnymi. Wszystkie komputery należące do sieci korporacyjnej mogą zostać podzielone na grupy uformowane w określoną strukturę hierarchiczną. Grupy te będą zwane dalej grupami administracyjnymi. Struktura grup administracyjnych wyświetlana jest w drzewie konsoli w obrębie węzła serwera administracyjnego. Serwer administracyjny jest instalowany na komputerze jako usługa z następującym zestawem atrybutów: instalowany jest pod nazwą Kaspersky Administration Server; włącza się automatycznie podczas uruchamiania systemu operacyjnego; uruchamiany jest z poziomu Lokalnego konta systemowego lub konta użytkownika wybranego podczas instalacji składnika. Do funkcji wykonywanych przez serwer administracyjny lub przez składnik Serwera administracyjnego należą: przechowywanie struktury grup administracyjnych; przechowywanie kopii danych konfiguracyjnych dla komputerów klienckich; organizowanie repozytoriów dystrybucyjnych dla aplikacji firmy Kaspersky Lab; zdalna instalacja i dezinstalacja aplikacji; aktualizacja baz danych i modułów aplikacji; zarządzanie profilami i zadaniami na komputerach klienckich; 27

28 przechowywanie informacji o zdarzeniach; generowanie raportów o działaniu aplikacji; rozsyłanie licencji do komputerów klienckich oraz przechowywanie informacji o licencjach; dostarczanie powiadomień o wykonywaniu zadań. Takie powiadomienia mogą informować, np. o wykryciu wirusa. HIERARCHIA SERWERA ADMINISTRACYJNEGO Serwery administracyjne mogą być zorganizowane w hierarchię "serwer główny - serwer podrzędny". Każdy serwer administracyjny może posiadać kilka serwerów podrzędnych na tych samych lub różnych poziomach zagnieżdżenia w obrębie hierarchii. Poziom zagnieżdżenia serwerów podrzędnych nie jest ograniczony. Grupy administracyjne serwera głównego będą obejmować komputery klienckie wszystkich serwerów podrzędnych. Z tego powodu odizolowane i niezależne sekcje sieci komputerowej mogą być kontrolowane przez różne serwery administracyjne, które z kolei są zarządzane przez serwer główny. Możliwość tworzenia hierarchii serwerów może zostać wykorzystana w celu: zmniejszenia obciążenia na serwerze administracyjnym (w porównaniu do pojedynczego serwera działającego w całej sieci); zmniejszenia ruchu w intranecie i uproszczenia pracy ze zdalnymi komputerami biurowymi; nie jest konieczne ustanowienie połączenia między serwerem głównym a wszystkimi komputerami sieci, które mogą znajdować się, na przykład, w innych regionach. Wystarczy zainstalować w każdym segmencie sieci podrzędny serwer administracyjny, rozesłać komputery do grup administracyjnych serwerów podrzędnych i ustanowić połączenie między serwerami podrzędnymi a głównym na kanałach szybkiej komunikacji. dystrybucji bardziej precyzyjnych zadań między administratorami ochrony antywirusowej. Wszystkie możliwości scentralizowanego zarządzania i monitorowania ochrony antywirusowej w sieciach korporacyjnych pozostają dostępne. Każdy komputer zawarty w strukturze grup administracyjnych może być połączony tylko z jednym serwerem administracyjnym. Administratorzy muszą kontrolować stan połączenia komputerów z serwerami administracyjnymi przy pomocy funkcji wyszukiwania komputera w grupach administracyjnych różnych serwerów na podstawie atrybutów sieci. KOMPUTER KLIENCKI. GRUPA Interakcja pomiędzy serwerem administracyjnym a komputerami klienckimi jest realizowana poprzez agenta sieciowego. Interakcja wiąże się z: dostarczaniem informacji o bieżącym stanie aplikacji; wysyłaniem i otrzymywaniem poleceń związanych z zarządzaniem; synchronizacją danych konfiguracyjnych; dostarczaniem informacji o zdarzeniach aplikacji do serwera; działaniem Agenta aktualizacji. Agent sieciowy musi być zainstalowany na wszystkich komputerach, na których znajdują się aplikacje zarządzane poprzez Kaspersky Administration Kit. Składnik ten jest instalowany na komputerze jako usługa z następującym zestawem atrybutów: instalowany jest pod nazwą Kaspersky Network Agent; 28

29 włącza się automatycznie podczas uruchamiania systemu operacyjnego; uruchamiany jest z poziomu Lokalnego konta systemowego. Agent sieciowy jest instalowany wraz z wtyczką dla CiscoNAC. Ta wtyczka jest używana, gdy na komputerze jest zainstalowany Cisco Trust Agent. Aby możliwe było równoczesne działanie CiscoNAC, należy we właściwościach serwera administracyjnego skonfigurować odpowiednie ustawienia. Podczas integracji z Cisco NAC serwer administracyjny zachowuje się jak standardowy serwer Posture Validation Server (PVS), którego administrator może użyć w celu zezwolenia komputerowi na dostęp lub zablokowania mu dostępu do sieci (w zależności od stanu ochrony antywirusowej). Komputer (serwer lub stacja robocza) z zainstalowanym agentem sieciowym i zarządzanymi aplikacjami firmy Kaspersky Lab będzie zwany dalej klientem odpowiedniego serwera administracyjnego (lub po prostu komputerem klienckim). Komputery klienckie mogą być dystrybuowane do grup administracyjnych zgodnie z organizacyjną lub terytorialną strukturą firmy, wykonywanymi funkcjami oraz zestawem zainstalowanych aplikacji Kaspersky Lab. Ułatwia to zarządzanie pogrupowanymi komputerami jako pojedynczą jednostką. Przydzielanie komputerów jest wykonywane przy użyciu dowolnej kombinacji wspomnianych zasad oraz innych reguł zdefiniowanych przez administratora. Na przykład najwyższy poziom może składać się z grup odpowiadających różnym działom. Na następnym poziomie, w obrębie każdego działu komputery będą pogrupowane w zależności od wykonywanych przez nie funkcji: jedna grupa może zawierać wszystkie stacje robocze, inna - wszystkie serwery plików itd. Grupa administracyjna (zwana dalej również grupą) jest zestawem komputerów klienckich przydzielonych do niej na podstawie pewnych cech w celu zarządzania pogrupowanymi komputerami jako pojedynczą jednostką. Wszystkie komputery klienckie w danej grupie są tak skonfigurowane, aby: używać wspólnych ustawień aplikacji (definiowanych w zasadach grupy); używać wspólnego trybu działania aplikacji (ustalonego przy użyciu zadań grupowych, czyli funkcji aplikacji z określonym zestawem parametrów, np.: tworzenie i instalacja wspólnego pakietu instalacyjnego, aktualizacja baz danych i modułów aplikacji, skanowanie komputera na żądanie oraz ochrona w czasie rzeczywistym). Komputer kliencki może znajdować się tylko w jednej grupie. Administrator może utworzyć hierarchię serwerów i grup na dowolnym poziomie zagnieżdżenia w celu ułatwienia zarządzania zainstalowanymi aplikacjami. Pojedynczy poziom hierarchii może zawierać podrzędne serwery administracyjne, grupy i komputery klienckie. STACJA ROBOCZA ADMINISTRATORA Komputery z zainstalowaną konsolą administracyjną będą zwane dalej stacjami roboczymi administratora. Administratorzy mogą używać tych komputerów do zdalnego zarządzania w sposób scentralizowany wszystkimi aplikacjami Kaspersky Lab zainstalowanymi na komputerach klienckich. Po zakończeniu instalacji konsoli administracyjnej, w menu Start Programy Kaspersky Administration Kit pojawi się jej ikona, której będzie można użyć do uruchomienia konsoli. Stacja robocza administratora nie jest obiektem grupy administracyjnej, ale może być włączona do grupy jako komputer kliencki. Liczba stacji roboczych administratora jest nieograniczona. Stacje robocze administratora mogą być takie same dla różnych serwerów administracyjnych; każda stacja robocza może być użyta do zarządzania grupami administracyjnymi dowolnego serwera administracyjnego w obrębie sieci korporacyjnej. W obrębie grup administracyjnych dowolnego serwera ten sam komputer może funkcjonować jako klient serwera administracyjnego, serwer administracyjny lub stacja robocza administratora. 29

30 WTYCZKA KONFIGURACJI APLIKACJI Interfejs do zarządzania określoną aplikacją poprzez konsolę administracyjną jest dostarczony przez specjalny moduł - wtyczkę konfiguracji aplikacji. Wtyczka ta jest zawarta we wszystkich aplikacjach firmy Kaspersky Lab, które mogą być kontrolowane przy użyciu Kaspersky Administration Kit. Każda aplikacja, która może być zarządzana poprzez Kaspersky Administration Kit, ma swoją wtyczkę. Jest ona instalowana na stacji roboczej administratora i zawiera zestaw okien dialogowych (interfejs) używanych do tworzenia i modyfikowania: profili aplikacji; ustawień aplikacji; ustawień zadań wykonywanych przez aplikację. Wtyczki te dostarczają: informacje na temat zadań zaimplementowanych w aplikacji; informacje o zdarzeniach aplikacji; funkcję potrzebną do wyświetlania w konsoli administracyjnej informacji o działaniu aplikacji i statystykach otrzymanych z komputerów klienckich. PROFILE, USTAWIENIA APLIKACJI I ZADANIA Działanie posiadające nazwę i wykonywane przez aplikację firmy Kaspersky Lab nazywane jest zadaniem. Zadania dzielą się na typy według wykonywanych funkcji. Do każdego zadania można przypisać zestaw ustawień, który będzie używany podczas wykonywania tego zadania. Zestaw parametrów aplikacji, które są wspólne dla wszystkich typów jej zadań, tworzą ustawienia aplikacji. Ustawienia aplikacji charakterystyczne dla każdego typu zadań zwane są ustawieniami zadania. Ustawienia aplikacji oraz ustawienia zadania nie pokrywają się. Szczegółowe opisy typów zadań dla każdej aplikacji firmy Kaspersky Lab można znaleźć w odpowiedniej dokumentacji poświęconej każdej z tych aplikacji. Ustawienia aplikacji określane dla pojedynczego komputera klienckiego poprzez interfejs lokalny lub zdalnie poprzez konsolę administracyjną będą zwane dalej lokalnymi ustawieniami aplikacji. Ustawienia aplikacji na komputerach klienckich są konfigurowane centralnie poprzez definiowanie profili. Profil jest zestawem ustawień regulujących działanie aplikacji w grupie. Profil nie definiuje wszystkich ustawień aplikacji. Ustawienia aplikacji są definiowane przez ustawienia profilu oraz ustawienia zadania. Każdy parametr reprezentowany w profilu posiada atrybut "zablokuj", który pokazuje, czy ustawienie może być zmodyfikowane w profilach zagnieżdżonych poziomów hierarchii (dla grup zagnieżdżonych i podrzędnych serwerów administracyjnych), ustawieniach zadania i lokalnych ustawieniach aplikacji. Jeśli w profilu dany parametr jest "zablokowany", jego wartość nie będzie mogła być zmieniona (patrz sekcja "Relacje między profilami a lokalnymi ustawieniami aplikacji" na stronie 31). Usunięcie zaznaczenia z pola Dziedzicz ustawienia od profilu macierzystego wyłączy funkcję "blokowania" dla dziedziczonych profili. Dla każdej aplikacji z grupy określony jest specjalny profil. Dla jednej aplikacji można określić kilka profili z różnymi ustawieniami. Jednakże dana aplikacja może używać tylko jednego aktywnego profilu. Istnieje możliwość aktywowania wyłączonego profilu dla pewnego typu zdarzenia. Umożliwi to na przykład zwiększenie ochrony antywirusowej podczas epidemii wirusów. 30

31 Profile mogą być także tworzone dla użytkowników mobilnych. Profil taki będzie stosowany podczas odłączenia komputera od sieci korporacyjnej. Program może działać inaczej dla różnych grup ustawień. Każda grupa może posiadać swój własny profil dla aplikacji. Grupy potomne oraz podrzędne serwery administracyjne dziedziczą profile od grup znajdujących się na wyższym poziomie hierarchii. Zadania dla obiektów zarządzanych przez pojedynczy serwer administracyjny są tworzone i konfigurowane w sposób scentralizowany. Zdefiniować można następujące typy zadań: zadanie grupowe jest zadaniem określającym ustawienia dla aplikacji zainstalowanej na komputerach w obrębie grupy administracyjnej; zadanie lokalne jest zadaniem dla pojedynczego komputera; zadanie dla wskazanych komputerów jest zadaniem dla dowolnej grupy komputerów należących lub nie należących do grup administracyjnych; zadanie Kaspersky Administration Kit jest zadaniem zdefiniowanym bezpośrednio dla serwera administracyjnego. Zadanie grupowe może zostać zdefiniowane dla grupy nawet wtedy, gdy odpowiednia aplikacja firmy Kaspersky Lab jest zainstalowana tylko na niektórych komputerach klienckich do niej należących. W tym przypadku zadanie grupowe zostanie wykonane tylko na komputerach, na których zainstalowana jest aplikacja. Grupy potomne oraz podrzędne serwery administracyjne dziedziczą zadania od grup znajdujących się na wyższym poziomie hierarchii. Zadanie zdefiniowane dla grupy będzie wykonane nie tylko na komputerach klienckich należących do grupy, ale także na komputerach klienckich należących do jej grup potomnych oraz do serwerów podrzędnych znajdujących się na wszystkich niższych poziomach hierarchii. Zadania lokalne utworzone dla danego komputera klienckiego będą wykonane tylko na nim. Podczas synchronizacji klienta z serwerem administracyjnym zadania lokalne zostaną dodane do listy zadań utworzonych dla tego komputera klienckiego. Ponieważ ustawienia aplikacji są definiowane w profilu, ustawienia zadania mogą zmieniać te z nich, które nie są zablokowane w profilu oraz te parametry, które mogą być konfigurowane tylko dla określonych instancji zadania. Na przykład w przypadku zadania skanowania dysku będą one zawierać nazwę dysku, maski plików przeznaczonych do skanowania itd. Zadanie może być uruchamiane automatycznie (według terminarza) lub ręcznie. Wyniki zadania są przechowywane lokalnie oraz na serwerze administracyjnym. Administrator może otrzymać powiadomienia informujące o wykonaniu określonego zadania oraz przeglądać szczegółowe raporty. Informacje na temat profili, ustawień aplikacji, konfiguracji zadań dla grupy komputerów oraz zadań grupowych są przechowywane na serwerze administracyjnym i przesyłane są do komputerów klienckich podczas synchronizacji. W trakcie tej procedury aktualizowane są informacje na serwerze administracyjnym, włączając w to zmiany lokalne na komputerach klienckich dozwolone przez profil. Dodatkowo aktualizowana jest lista aplikacji działających na komputerze klienckim, ich stan oraz istniejące zadania. RELACJE MIĘDZY PROFILAMI A LOKALNYMI USTAWIENIAMI APLIKACJI Za pomocą profili możliwe jest ustawienie wspólnych wartości ustawień działania aplikacji dla wszystkich zarządzanych komputerów należących do grupy. Wartości ustawień określone w profilu mogą być zmieniane dla indywidualnych komputerów znajdujących się w grupie przy użyciu lokalnych ustawień aplikacji. Możliwe jest modyfikowanie tylko tych ustawień, na których modyfikację zezwolono w profilu, np. "niezablokowane" ustawienia. 31

32 Wartość ustawienia używana przez aplikację na komputerze klienckim (zobacz poniższy rysunek) jest wyznaczana przez pozycję "zablokuj" dla tego ustawienia w profilu: jeśli modyfikacja ustawienia jest "zablokowana", wówczas ta sama wartość określona w profilu używana jest na wszystkich komputerach klienckich; jeśli modyfikacja ustawienia jest "odblokowana", wówczas na każdym komputerze klienckim używana jest wartość lokalna zamiast wartości określonej w profilu. W takiej sytuacji wartość parametru może być zmieniona w lokalnych ustawieniach aplikacji. Rysunek 10. Profil oraz lokalne ustawienia aplikacji Dlatego też, gdy zadanie jest uruchamiane na komputerze klienckim, aplikacje używają parametrów określonych na dwa różne sposoby: w ustawieniach zadania i lokalnych ustawieniach aplikacji, jeżeli odpowiedni parametr nie jest zablokowany w profilu; w profilu grupy, jeżeli parametr jest zablokowany w profilu. Lokalne ustawienia aplikacji są zmieniane po pierwszym zastosowaniu profilu w zgodzie z jego ustawieniami. 32

33 ZASADY DZIAŁANIA PROGRAMU KASPERSKY ADMINISTRATION KIT Przedstawione są tu podstawowe zasady działania aplikacji, działania niektórych zadań oraz krótki opis interfejsu programu i metod pracy z nim. W TEJ SEKCJI Instalacja systemu ochrony antywirusowej Zgodność z Cisco Network Admission Control (NAC) Zgodność z Microsoft Network Access Protection (NAP) Tworzenie systemu scentralizowanego zarządzania ochroną antywirusową Połączenie komputerów klienckich z serwerem administracyjnym Nawiązywanie szyfrowanego połączenia z serwerem administracyjnym Autoryzacja komputerów klienckich na serwerze administracyjnym Uprawnienia dostępu do serwera administracyjnego i jego obiektów INSTALACJA SYSTEMU OCHRONY ANTYWIRUSOWEJ Istnieją dwa sposoby instalacji systemu ochrony antywirusowej zarządzanego poprzez Kaspersky Administration Kit: Zdalna instalacja aplikacji na komputerach klienckich w sposób scentralizowany. W tym przypadku instalacja aplikacji oraz połączenie ze scentralizowanym zdalnym systemem zarządzania są wykonywane automatycznie bez udziału administratora i umożliwiają instalację oprogramowania antywirusowego na dowolnej liczbie komputerów klienckich. Aplikacja instalowana jest lokalnie na każdym komputerze klienckim. W tym przypadku potrzebne moduły są instalowane ręcznie na komputerach klienckich i stacjach roboczych administratora, a ustawienia połączenia klienta z serwerem są definiowane podczas instalacji agenta sieciowego. Metoda ta jest wykorzystywana w przypadku, gdy zdalna instalacja w sposób scentralizowany nie jest możliwa. Instalacja zdalna może być zastosowana w celu zainstalowania dowolnej aplikacji zgodnie z wolą użytkownika. Jednakże należy pamiętać, że Kaspersky Administration Kit obsługuje zarządzanie tylko aplikacjami firmy Kaspersky Lab zainstalowanymi z pakietów dystrybucyjnych, które zawierają specjalny składnik - wtyczkę do zarządzania aplikacją. ZGODNOŚĆ Z CISCO NETWORK ADMISSION CONTROL (NAC) Kaspersky Administration Kit umożliwia administratorowi skojarzenie warunków ochrony antywirusowej oraz stanów ochrony przypisanych przez Cisco Network Admission Control (NAC). W tym celu należy utworzyć warunki, które zostaną użyte do przypisania do komputerów klienckich stanów ochrony Cisco Network Admission Control (NAC). Zdrowy, Sprawdzanie, Kwarantanna lub Zainfekowany. Jeżeli komputer 33

34 kliencki nie spełnia żadnego z powyższych warunków, zostanie do niego przypisany stan Nieznany. Stan Zdrowy jest przypisywany tylko wtedy, gdy spełnione są wszystkie wybrane warunki, natomiast stany Sprawdzanie, Kwarantanna i Zainfekowany są przypisywane w przypadku, gdy spełniony jest przynajmniej jeden wybrany warunek. ZGODNOŚĆ Z MICROSOFT NETWORK ACCESS PROTECTION (NAP) Kaspersky Administration Kit obsługuje integrację z Microsoft Network Access Protection (NAP). Microsoft NAP umożliwia zarządzanie dostępem komputera klienckiego do sieci. Do korzystania z Microsoft NAP wymagane jest, aby sieć zawierała serwer dedykowany z zainstalowanym Microsoft Windows Server 2008 z uruchomionym serwerem PVS (Posture Validation Server), a komputery klienckie miały zainstalowane systemy operacyjne kompatybilne z NAP: Microsoft Windows Vista, Microsoft Windows XP z Service Pack 3 lub Microsoft Windows 7. Integracja Kaspersky Administration Kit wymaga wykonania następujących czynności: 1. Instalacji Kaspersky Administration Kit w sieci w standardowy sposób. 2. Instalacji Kaspersky Lab System Health Validator (SHV) na serwerze PVS. W tym celu w trakcie instalacji Kaspersky Administration Kit, podczas wybierania składników do zainstalowania należy zaznaczyć pole Kaspersky Lab System Health Validator (SHV). Wówczas na komputerach klienckich produkt zainstaluje agenta sieciowego, który będzie pełnił funkcję Kaspersky Lab System Health Agent (SHA) i który dostarczy Microsoft NAP informacji o ustawieniach ochrony antywirusowej oraz zmianach, jakie zaszły w nich na komputerach klienckich. W wyniku tego Kaspersky Lab System Health Agent (SHV) pojawi się na liście dostępnych SHV, znajdującej się w konsoli PVS, gdzie można konfigurować reguły dla oszacowywania danych komputera klienckiego zebranych przez agenta sieciowego. TWORZENIE SYSTEMU SCENTRALIZOWANEGO ZARZĄDZANIA OCHRONĄ ANTYWIRUSOWĄ Pierwszym krokiem w tworzeniu scentralizowanego systemu zarządzania dla ochrony antywirusowej przy pomocy Kaspersky Administration Kit jest utworzenie struktury grup administracyjnych. W ten sposób mogą być rozwiązane następujące zadania: 1. Identyfikacja odizolowanych segmentów sieci oraz określenie, ile serwerów administracyjnych musi być zainstalowanych. 2. Definiowanie, które komputery sieciowe będą wykonywały funkcje głównego serwera administracyjnego oraz serwerów podrzędnych, a które będą funkcjonowały jako stacje robocze administratora oraz komputery klienckie. Komputery klienckie muszą zawierać wszystkie komputery, na których mają być zainstalowane aplikacje Kaspersky Lab. 3. Określenie kryterium, które będzie używane do łączenia komputerów klienckich w grupy oraz hierarchię grup. 4. Wybranie metody instalacji dla systemu ochrony antywirusowej: zdalna lub lokalna. W kolejnym kroku administrator musi utworzyć strukturę folderów serwera administracyjnego poprzez zainstalowanie odpowiednich modułów oprogramowania Kaspersky Administration Kit na firmowych komputerach znajdujących się w sieci, np.: 1. Zainstalowanie serwera administracyjnego na komputerach znajdujących się w sieci korporacyjnej. 2. Zainstalowanie konsoli administracyjnej Kaspersky Administration Kit na komputerach, którymi administrator będzie zarządzał. 34

35 3. Wskazanie administratorów Kaspersky Administration Kit, określenie innych kategorii użytkowników mogących pracować z systemem i przypisanie do każdej kategorii listy wykonywanych funkcji. System umożliwia wielu administratorom równoczesną pracę z tymi samymi zasobami. Ustawienia systemu powinny używać ostatnio zastosowanych wartości. W tym przypadku wszystkie działania wykonywane przez administratorów muszą być skoordynowane. 4. Utworzenie grupy użytkowników i nadanie każdej grupie praw dostępu potrzebnych użytkownikom do wykonywania wyznaczonych funkcji. Następnie należy utworzyć hierarchię serwerów administracyjnych, dla każdego serwera zbudować hierarchię grup administracyjnych oraz rozesłać komputery do odpowiednich grup. W trakcie kolejnego kroku należy zastosować do komputerów klienckich agenta sieciowego, żądane aplikacje Kaspersky Lab oraz zainstalować odpowiednie wtyczki zarządzania aplikacją na stacjach roboczych administratora. Instalacja zdalna na komputerach klienckich jest możliwa jedynie dla niektórych (nie wszystkich) aplikacji Kaspersky Lab, które mogą być zarządzane poprzez Kaspersky Administration Kit. Więcej informacji znajdziesz w przewodniku dla konkretnej aplikacji. Po wybraniu instalacji zdalnej agent sieciowy może być zainstalowany wraz z dowolną aplikacją. W tym przypadku, agent sieciowy nie musi być instalowany oddzielnie. W ostatnim etapie należy skonfigurować zainstalowane aplikacje przez określanie i stosowanie profili grupowych (patrz sekcja "Zarządzanie profilami" na stronie 53) oraz utworzenie potrzebnych zadań (patrz sekcja "Lokalne ustawienia aplikacji" na stronie 57). Aplikacja umożliwia utworzenie scentralizowanego systemu zarządzania ochroną antywirusową z minimalną liczbą potrzebnych parametrów przy użyciu Kreatora automatycznej konfiguracji (patrz sekcja "Kreator automatycznej konfiguracji" na stronie 44). Kreator tworzy strukturę grup administracyjnych podobną do struktury domen sieci Windows oraz buduje system ochrony antywirusowej przy pomocy programu Kaspersky Anti-Virus for Windows Workstations 6.0 MP4. Zalecamy, aby po utworzeniu struktury folderów serwera administracyjnego, zainstalowaniu i skonfigurowaniu ochrony antywirusowej administratorzy regularnie wykonywali czynności związane z zarządzaniem sieci (patrz sekcja "Zarządzanie siecią" na stronie 71). POŁĄCZENIE KOMPUTERÓW KLIENCKICH Z SERWEREM ADMINISTRACYJNYM Komputery klienckie oraz serwer administracyjny komunikują się podczas połączenia klientów z serwerem. Tę funkcjonalność zapewnia agent sieciowy zainstalowany na komputerach klienckich. Połączenie jest nawiązywane, aby można było wykonać następujące działania: zsynchronizować listę aplikacji zainstalowanych na komputerze klienckim; zsynchronizować profile, ustawienia aplikacji, zadania oraz ustawienia zadań; przesłać aktualne informacje o stanie aplikacji oraz istniejące zadania do serwera; dostarczyć informacje o zdarzeniach do serwera w celu ich przetworzenia. Główna metoda łączenia komputerów klienckich i serwera określa kierunek połączenia jako klient-serwer. Ten rodzaj połączenia jest wykorzystywany podczas automatycznej synchronizacji danych klienta i serwera oraz w trakcie dostarczenia informacji o zdarzeniach aplikacji do serwera. 35

36 Automatyczna synchronizacja przeprowadzana jest regularnie zgodnie z ustawieniami agenta sieciowego (przykładowo co piętnaście minut). Przedział czasu między połączeniami konfigurowany jest przez administratora. Informacja o zdarzeniu jest dostarczana do serwera natychmiast po jego wystąpieniu. Opcja Nie odłączaj od serwera administracyjnego określa, czy klient będzie odłączony od serwera po zakończeniu wyżej wymienionych działań. Stałe połączenie jest wymagane w przypadkach, gdy konieczna jest stała kontrola stanu aplikacji i serwer nie może połączyć się z klientem z jakiegoś powodu (połączenie jest chronione przez zaporę sieciową, otwieranie portów na kliencie nie jest dozwolone, adres IP klienta nie jest znany itp.). Synchronizacja może być także wykonana ręcznie przez administratora przy pomocy polecenia Synchronizuj wybranego z menu kontekstowego (patrz sekcja "Menu kontekstowe" na stronie 25) komputera klienckiego. W tym przypadku system korzysta z pomocniczej metody łączenia, gdzie połączenie jest inicjowane przez serwer. W tym celu na komputerze klienckim otwarty jest port UDP. Serwer wysyła do portu UDP żądanie połączenia. W odpowiedzi, podczas łączenia klienta sprawdzane są uprawnienia serwera (przy pomocy podpisu cyfrowego serwera administracyjnego) i jeśli istnieją, połączenie zostaje ustanowione. Druga metoda połączenia jest także wykonywana podczas uzyskiwania dostępu do danych klienta na serwerze: aby uzyskać bieżące informacje o stanie aplikacji, zadaniach i statystykach aplikacji. NAWIĄZYWANIE SZYFROWANEGO POŁĄCZENIA Z SERWEREM ADMINISTRACYJNYM Wymiana danych między komputerami klienckimi a serwerem administracyjnym, jak również połączenia konsoli z serwerem administracyjnym, może być przeprowadzana z użyciem protokołu SSL (Secure Socket Layer). Może identyfikować części współdziałające, szyfrować przesyłane dane oraz chronić je przed modyfikacją podczas transferu. Protokół SSL wykorzystywany w połączeniach bezpiecznych oparty jest na autoryzowaniu części współdziałających oraz szyfrowaniu danych przy pomocy kluczy publicznych. W TEJ SEKCJI Certyfikat serwera administracyjnego Autoryzacja serwera administracyjnego podczas podłączania komputera klienckiego Autoryzacja serwera administracyjnego podczas połączenia z nim konsoli CERTYFIKAT SERWERA ADMINISTRACYJNEGO Autoryzacja serwera administracyjnego podczas podłączania do niego konsoli administracyjnej oraz wymiana danych z komputerami klienckimi odbywa się przy użyciu Certyfikatu serwera administracyjnego. Certyfikat jest także używany do uwierzytelniania pomiędzy głównymi i podrzędnymi serwerami administracyjnymi. Certyfikat serwera administracyjnego jest tworzony podczas instalacji modułu tego serwera i jest przechowywany w podfolderze Cert. Certyfikat serwera administracyjnego jest tworzony raz podczas instalacji. Zalecamy używać kreatora instalacji, aby zachować go podczas instalacji serwera administracyjnego. Jeżeli certyfikat serwera administracyjnego zostanie utracony, jego przywrócenie wymagać będzie przeinstalowania składnika serwera administracyjnego oraz przywrócenia danych (patrz sekcja "Tworzenie kopii zapasowej i przywracanie danych serwera administracyjnego" na stronie 90). 36

37 AUTORYZACJA SERWERA ADMINISTRACYJNEGO PODCZAS PODŁĄCZANIA KOMPUTERA KLIENCKIEGO Podczas pierwszego łączenie komputera klienckiego z serwerem jego agent sieciowy pobiera certyfikat serwera administracyjnego i zapisuje go lokalnie. Jeżeli agent sieciowy jest zainstalowany lokalnie, administrator może ręcznie wybrać certyfikat serwera administracyjnego. Pobrana kopia certyfikatu jest używana do weryfikowania praw i przyzwoleń serwera administracyjnego podczas kolejnych połączeń. Wówczas, przy każdym łączeniu klienta z serwerem agent sieciowy będzie żądał certyfikatu serwera administracyjnego po czym będzie go porównywał z lokalną kopią. W przypadku, gdy obie kopie nie będą do siebie pasowały, komputer kliencki nie uzyska pozwolenia na dostęp do serwera administracyjnego. Jeśli połączenie jest inicjowane przez serwer administracyjny, wówczas żądanie serwera administracyjnego do nawiązania połączenia poprzez port UDP zostanie sprawdzone w ten sam sposób. AUTORYZACJA SERWERA ADMINISTRACYJNEGO PODCZAS POŁĄCZENIA Z NIM KONSOLI Podczas pierwszego połączenia z serwerem konsola administracyjna żąda certyfikatu serwera administracyjnego i zapisuje go lokalnie na stacji roboczej administratora. Pobrana kopia certyfikatu zostanie użyta podczas kolejnych połączeń z serwerem administracyjnym z tą nazwą dla autoryzacji serwera. Jeśli certyfikat serwera administracyjnego nie odpowiada kopii przechowywanej na stacji roboczej administratora, wyświetlone zostanie pytanie o potwierdzenie nawiązania połączenia z serwerem o określonej nazwie i pobranie nowego certyfikatu. Po pomyślnym podłączeniu konsola administracyjna zapisuje kopię certyfikatu serwera administracyjnego, która będzie wykorzystywana do identyfikowania serwera w przyszłości. AUTORYZACJA KOMPUTERÓW KLIENCKICH NA SERWERZE ADMINISTRACYJNYM Autoryzacja komputerów klienckich odbywa się na podstawie ich nazw. Nazwa komputera klienckiego musi być unikatowa w obrębie wszystkich komputerów połączonych z serwerem administracyjnym. Nazwa klienta jest przesyłana do serwera administracyjnego podczas przeszukiwania sieci Windows i wykryciu w niej nowego komputera lub podczas pierwszego połączenia agenta sieciowego zainstalowanego na komputerze klienckim. Domyślnie nazwa odpowiada nazwie komputera w sieci Windows (nazwa NetBIOS). Jeśli na serwerze administracyjnym jest już zarejestrowany komputer o tej nazwie, do nazwy nowego klienta dodany zostanie przyrostek z liczbą, na przykład: <Nazwa>-1, <Nazwa>-2 itd. Komputer kliencki zostanie dodany do grupy administracyjnej pod taką nazwą. UPRAWNIENIA DOSTĘPU DO SERWERA ADMINISTRACYJNEGO I JEGO OBIEKTÓW Kaspersky Administration Kit obsługuje następujące typy uprawnień dostępu do funkcji aplikacji: Wszystko zawiera wszystkie uprawnienia (zobacz poniżej). 37

38 Odczytywanie przeglądanie właściwości obiektów Kaspersky Administration Kit bez uprawnień do wykonywania działań, tworzenia nowych obiektów lub modyfikowania istniejących. Zapisywanie zmienianie właściwości obiektów Kaspersky Administration Kit oraz tworzenie nowych obiektów bez praw do wykonywania działań na obiektach. Uruchamianie wykonywanie działań na obiektach Kaspersky Administration Kit bez uprawnień do tworzenia nowych obiektów lub modyfikowania istniejących. Modyfikowanie uprawnień dostępu nadawanie użytkownikom i grupom użytkowników uprawnień dostępu do funkcji programu Kaspersky Administration Kit. Modyfikowanie ustawień dziennika zdarzeń. Modyfikowanie ustawień powiadomień. Zdalna instalacja aplikacji Kaspersky Lab. Zdalna instalacja zewnętrznych aplikacji: przygotowywanie pakietów instalacyjnych i zdalna instalacja aplikacji Kaspersky Lab oraz aplikacji innych dostawców na komputerach klienckich. Modyfikowanie ustawień hierarchii serwera administracyjnego. Zapisywanie zawartości listy sieci kopiowanie plików z kopii zapasowej, kwarantanny i nieprzetworzonych plików z komputerów klienckich na komputer z zainstalowaną konsolą administracyjną. Tworzenie połączenia tunelowego tworzenie połączenia tunelowego pomiędzy komputerem z zainstalowaną konsolą administracyjną a komputerem klienckim. Po zainstalowaniu serwera administracyjnego użytkownikom należącym do grup KLAdmins i KLOperators nadane zostaną uprawnienia do nawiązywania połączenia z serwerem i pracy z jego obiektami. Te grupy użytkowników są tworzone podczas instalacji składnika serwera administracyjnego. W zależności od tego, jakie konto zostało wybrane do uruchamiania usługi serwera administracyjnego: w domenie zawierającej serwer administracyjny oraz na komputerze klienckim serwera administracyjnego, jeśli serwer jest uruchamiany z poziomu konta należącego do domeny; tylko na komputerze z serwerem administracyjnym, jeżeli serwer ten jest uruchamiany z poziomu lokalnego konta systemowego. Grupa KLAdmins posiada wszystkie uprawnienia dostępu, natomiast grupa KLOperators posiada tylko uprawnienia do odczytu i wykonania. Zestaw uprawnień nadanych grupie KLAdmins nie może być modyfikowany. Użytkownicy należący do grupy KLAdmins będą nazywani Administratorami Kaspersky Administration Kit, a użytkownicy z grupy KLOperators będą nazywani Operatorami Kaspersky Administration Kit. Grupy KLAdmins i KLOperators oraz wprowadzenie koniecznych modyfikacji mogą być przeglądane w standardowych narzędziach do zarządzania systemu Windows Zarządzanie komputerem Lokalne grupy i użytkownicy. Oprócz użytkownikom grupy KLAdmins uprawnienia administratora są nadawane: administratorom domeny, włączając komputery z grupy administracyjnej przypisane do tego serwera; lokalnym administratorom komputerów, na których zainstalowany jest serwer administracyjny. Lokalny administrator może być wykluczony z listy użytkowników mogących zarządzać serwerem administracyjnym. 38

39 Wszystkie działania zainicjowane przez administratorów Kaspersky Administration Kit zostaną wykonane przy użyciu uprawnień konta serwera administracyjnego. Dla każdego serwera administracyjnego można utworzyć indywidualną grupę KLAdmins; będzie ona posiadać uprawnienia do pracy tylko z tym serwerem. Jeśli komputery należące do tej samej domeny znajdują się w grupach administracyjnych różnych serwerów, wówczas administrator domeny jest administratorem Kaspersky Administration Kit dla wszystkich grup. Grupa KLAdmins jest wspólna dla tych grup administracyjnych; tworzona jest podczas instalacji pierwszego serwera administracyjnego. Może być uzupełniana przy użyciu narzędzi do administracji systemu operacyjnego. Działania zainicjowane przez administratorów Kaspersky Administration Kit będą wykonane przy użyciu uprawnień konta serwera administracyjnego. Uprawnienia użytkownika (patrz sekcja "Nadawanie uprawnień" na stronie 41) w programie Kaspersky Administration Kit są określane w oparciu o autoryzację Windows użytkowników w sieci. Po zainstalowaniu aplikacji administrator Kaspersky Administration Kit może: modyfikować uprawnienia nadane grupom KLOperators; nadawać uprawnienia dostępu do funkcji Kaspersky Administration Kit innym grupom użytkowników oraz indywidualnym użytkownikom zarejestrowanym na komputerze, na którym zainstalowana jest konsola administracyjna; nadawać różne uprawnienia dostępu umożliwiające pracę w każdej grupie administracyjnej. 39

40 ZARZĄDZANIE KOMPUTERAMI SIECIOWYMI Zarządzanie komputerami w obrębie sieci korporacyjnej odbywa się w celu określenia: serwerów administracyjnych (patrz sekcja "Nawiązywanie połączenia z serwerem administracyjnym" na stronie 40) i ich hierarchii (patrz sekcja "Podrzędne serwery administracyjne" na stronie 50); uprawnień dostępu do serwera administracyjnego (patrz sekcja "Nadawanie uprawnień" na stronie 41); struktury i hierarchii grup administracyjnych (patrz sekcja "Tworzenie, przeglądanie i modyfikowanie struktury grup administracyjnych" na stronie 44). W TEJ SEKCJI Nawiązywanie połączenia z serwerem administracyjnym Nadawanie uprawnień Przeglądanie informacji o sieci komputerów. Domeny, podsieci IP i grupy Active Directory Kreator automatycznej konfiguracji Tworzenie, przeglądanie i modyfikowanie struktury grup administracyjnych NAWIĄZYWANIE POŁĄCZENIA Z SERWEREM ADMINISTRACYJNYM Konsola administracyjna umożliwia zdalne łączenie komputerów klienckich z serwerem administracyjnym poprzez Internet. Po uruchomieniu programu Kaspersky Administration Kit w jego oknie głównym wyświetlone zostanie drzewo konsoli odzwierciedlające górny poziom hierarchii istniejącej w obszarze nazw Kaspersky Administration Kit. W celu załadowania struktury folderów serwera administracyjnego, do drzewa konsoli dodaj odpowiedni obiekt - serwer i nawiąż połączenie z żądanym serwerem administracyjnym (zobacz poniższy rysunek). Komputery klienckie możesz połączyć z serwerem administracyjnym zdalnie przez Internet przy użyciu konsoli administracyjnej. Program uzyskuje z serwera administracyjnego informację o strukturze folderów i wyświetla ją w drzewie konsoli. 40

41 Rysunek 11. Nawiązywanie połączenia z serwerem administracyjnym Połączenia od użytkowników, którzy nie posiadają wystarczających uprawnień, zostaną odrzucone. Uprawnienia dostępu są weryfikowane przy użyciu procedury autoryzacji użytkownika systemu Windows. Jeśli w sieci korporacyjnej jest zainstalowanych kilka serwerów administracyjnych, możesz pracować z każdym z nich z poziomu tej samej stacji roboczej administratora. Aby przełączyć się do grup administracyjnych innego serwera, należy nawiązać połączenie z wymaganym serwerem lub dodać do drzewa konsoli kilka serwerów i nawiązać połączenie z każdym z nich. Możesz pracować równolegle z kilkoma serwerami administracyjnymi tylko wtedy, gdy jesteś operatorem lub administratorem Kaspersky Administration Kit dla każdego serwera lub gdy posiadasz odpowiednie uprawnienia na wszystkich serwerach. NADAWANIE UPRAWNIEŃ Po zainstalowaniu serwera administracyjnego użytkownikom należącym do grup KLAdmins i KLOperators nadawane są uprawnienia do nawiązania połączenia z serwerem oraz pracy z nim (patrz sekcja "Uprawnienia dostępu do serwera administracyjnego i jego obiektów" na stronie 37). Możesz zmienić uprawnienia dostępu dla grupy KLOperators, nadać uprawnienia do pracy z serwerem innym grupom użytkowników oraz użytkownikom indywidualnym zarejestrowanym na komputerze, na którym zainstalowana jest konsola administracyjna. Uprawnienia dostępu do wszystkich obiektów serwera administracyjnego są nadawane w oknie ustawień serwera administracyjnego, na zakładce Zabezpieczenia (zobacz poniższy rysunek). 41

42 Rysunek 12. Nadawanie uprawnień dostępu do serwera administracyjnego Uprawnienia dostępu mogą być nadane indywidualnie każdej grupie administracyjnej lub dla innych obiektów serwera administracyjnego, na przykład zadań serwera administracyjnego. Wykonywane jest to w oknie właściwości obiektu, na zakładce Zabezpieczenia. Administrator może śledzić działania użytkownika poprzez zdarzenia serwera administracyjnego zarejestrowane w dziennikach zdarzeń. Priorytetem tych zdarzeń jest Informacja; typy zdarzeń rozpoczynają się od Audyt. Wyświetlane są one w drzewie konsoli, w folderze Zdarzenia, w podfolderze Zdarzenia audytu. PRZEGLĄDANIE INFORMACJI O SIECI KOMPUTERÓW. DOMENY, PODSIECI IP I GRUPY ACTIVE DIRECTORY Informacje o strukturze sieci komputerów oraz komputerach, które się w niej znajdują, są wyświetlane w folderze Nieprzypisane komputery znajdującym się w drzewie konsoli. Folder Nieprzypisane komputery zawiera trzy podfoldery: Domeny. Active Directory. Podsieci IP. 42

43 Folder Domeny zawiera listę podfolderów odzwierciedlających strukturę domen i grup roboczych w firmowej sieci Windows LAN. Każdy z folderów znajdujący się na najniższym poziomie zawiera listę komputerów z odpowiedniej domeny lub grupy roboczej, które nie są zawarte w strukturze grup administracyjnych. W przypadku dodania komputera do dowolnej z grup, informacja na jego temat zostanie natychmiast usunięta z folderu. W przypadku wykluczenia komputera ze struktury grupy administracyjnej, informacja na ten temat zostanie ponownie umieszczona w odpowiednim folderze. Folder Active Directory wyświetla komputery odzwierciedlające strukturę Active Directory. Folder Podsieci IP wyświetla komputery odzwierciedlające strukturę podsieci IP utworzonych w sieci. Struktura folderu Podsieci IP może być określona przez administratora poprzez utworzenie nowych podsieci IP i zmodyfikowanie ustawień podsieci IP już istniejących. Domyślnie podsieci IP są używane do wyświetlania tylko tych podsieci IP, które zawierają serwer administracyjny. Panel zadań foldera Nieprzypisane komputery zawiera odnośniki do konfiguracji ustawień i przeglądania zawartości folderów zagnieżdżonych. Zawartość każdego folderu Domeny, Active Directory lub Podsieci IP jest wyświetlana w panelu wyników w postaci tabeli. Pełna lista kolumn panelu wyników dla każdego obiektu konsoli administracyjnej znajduje się w Dokumentacji dodatkowej. Jeśli struktura zawiera kilka poziomów, czyli podfolderów, to są one uwzględnione w drzewie konsoli. Elementy z najniższego poziomu hierarchii (komputery klienckie) nie są wyświetlane w drzewie konsoli. Grupa Nieprzypisane komputery jest tworzona i aktualizowana przez serwer administracyjny. Serwer administracyjny regularnie przeszukuje sieć korporacyjną z wykorzystaniem określonych ustawień w celu wykrycia nowo dodanych i odłączonych komputerów. Serwer administracyjny może wykorzystywać następujące rodzaje skanowania sieci: Przeszukiwanie sieci Windows. Istnieją dwa rodzaje przeszukiwania sieci: szybkie i pełne. Podczas szybkiego skanowania serwer zbiera tylko informacje o liście nazw NetBIOS komputerów znajdujących się we wszystkich domenach i grupach roboczych sieci. Podczas pełnego przeszukiwania sieci wymagane są dodatkowe informacje o komputerach: systemie operacyjnym, adresie IP, nazwie DNS itp. W celu przeglądania i modyfikowania ustawień przeszukiwania sieci Windows należy użyć odnośnika Modyfikuj ustawienia wykrywania znajdującego się w panelu wyników foldera Nieprzypisane komputery, w sekcji Wykrywanie Microsoft Network. Przeszukiwanie grup Active Directory. Dzięki temu, informacje na temat struktury Active Directory i nazw DNS komputerów są umieszczane w bazie danych serwera administracyjnego. W celu przeglądania i modyfikowania ustawień przeszukiwania grup Active Directory należy użyć odnośnika Modyfikuj ustawienia wykrywania znajdującego się w panelu wyników foldera Nieprzypisane komputery, w sekcji Wykrywanie Active Directory. Przeszukiwanie według podsieci IP. Serwer administracyjny będzie przeszukiwał określone zakresy IP przy użyciu pakietów ICMP i zbierał pełen zestaw danych na temat komputerów znajdujących się w danym zakresie. W celu przeglądania i modyfikowania ustawień przeszukiwania sieci Windows należy użyć odnośnika Modyfikuj ustawienia wykrywania znajdującego się w panelu wyników foldera Nieprzypisane komputery, w sekcji Wykrywanie po podsieciach IP. Serwer administracyjny używa zebranych informacji o strukturze sieci komputerów do aktualizacji zawartości podfolderów foldera Nieprzypisane komputery. W tym przypadku komputery wykryte w sieci mogą być automatycznie dodane do pewnych grup administracyjnych. Istnieje możliwość wyłączenia wyszukiwania komputerów wyświetlanych w podfolderach foldera Nieprzypisane komputery. Folder Nieprzypisane komputery głównego serwera administracyjnego wyświetla także komputery należące do sieci komputerów, która zawiera podrzędne serwery administracyjne. 43

44 KREATOR AUTOMATYCZNEJ KONFIGURACJI Kaspersky Administration Kit umożliwia skonfigurowanie minimalnej liczby potrzebnych parametrów, niezbędnych do utworzenia scentralizowanego systemu zarządzania ochroną antywirusową przy użyciu Kreatora automatycznej konfiguracji. Kreator utworzy: licencje, które mogą być automatycznie rozesłane do komputerów w obrębie grup administracyjnych, przez zaznaczenie odpowiedniego pola; ustawienia dostarczania za pośrednictwem poczty elektronicznej i przy użyciu usługi NET SEND powiadomień o zdarzeniach zarejestrowanych podczas działania serwera administracyjnego i wszystkich innych aplikacji firmy Kaspersky Lab. Aby wysyłanie powiadomień działało poprawnie, usługa powiadamiania musi być zainstalowana na serwerze administracyjnym oraz na wszystkich komputerach, na które mają być wysyłane powiadomienia. minimalny zestaw profili i zadań najwyższego poziomu hierarchii dla Kaspersky Anti-Virus for Windows Workstations i Windows Servers 6.0 MP4 oraz zadania serwera administracyjnego do pobierania uaktualnień i tworzenia kopii zapasowych danych. Profile dla Kaspersky Anti-Virus 6.0 MP4 for Windows Workstations nie są tworzone, jeżeli w folderze Zarządzane komputery już znajdują się profile dla tych aplikacji. Jeżeli zadania grupowe dla grupy Zarządzane komputery oraz zadania pobierania uaktualnień / tworzenia kopii zapasowych serwera administracyjnego już istnieją pod tymi nazwami, nie zostaną one utworzone na nowo. Propozycja uruchomienia Kreatora automatycznej konfiguracji pojawia się podczas pierwszego łączenia z serwerem administracyjnym po jego zainstalowaniu. Po zakończeniu pracy kreatora wyświetlone zostanie pytanie o uruchomienie Kreatora zdalnej instalacji. TWORZENIE, PRZEGLĄDANIE I MODYFIKOWANIE STRUKTURY GRUP ADMINISTRACYJNYCH Struktura grup administracyjnych: hierarchia podrzędnych serwerów administracyjnych, lista i struktura grup administracyjnych są określane na etapie tworzenia struktury. Grupy administracyjne są tworzone w oknie głównym aplikacji Kaspersky Administration Kit, w folderze Zarządzane komputery (zobacz poniższy rysunek) przez utworzenie hierarchii grup oraz dodanie do nich komputerów klienckich i podrzędnych serwerów administracyjnych. Zaraz po zainstalowaniu programu Kaspersky Administration folder Zarządzane komputery zawiera tylko puste podfoldery: Serwery administracyjne, Profile, Zadania grupowe i Komputery klienckie. Podczas tworzenia struktur grup administracyjnych administratorzy mogą dodać do folderu Zarządzane komputery komputery klienckie i grupy potomne. Grupy administracyjne są wyświetlane jako foldery. Każdy folder ma strukturę podobną do struktury foldera Zarządzane komputery: Podczas tworzenia każdej grupy system automatycznie tworzy podfoldery: Serwery administracyjne, Profile, Zadania grupowe i Komputery klienckie do przechowywania informacji o podrzędnych serwerach administracyjnych, profilach i zadaniach tej grupy oraz do pracy z nimi. Po dodaniu komputerów klienckich do grupy informacje o nich będą wyświetlane w tabeli na panelu wyników podfoldera Komputery klienckie. Po wybraniu z drzewa konsoli danego foldera jego zawartość będzie wyświetlana w panelu wyników. Pełna lista zakładek i kolumn panelu wyników dla każdego obiektu konsoli administracyjnej znajduje się w Dokumentacji dodatkowej. Działania na obiektach znajdujących się w folderze Zarządzane komputery są wykonywane przy użyciu poleceń menu kontekstowego (patrz sekcja "Menu kontekstowe" na stronie 25) oraz odnośników dostępnych w panelu zadań. 44

45 W przypadku grup administracyjnych o strukturze podobnej do struktury domen i grup roboczych istniejących w sieci Windows możliwe jest użycie Kreatora automatycznej konfiguracji (patrz sekcja "Kreator automatycznej konfiguracji" na stronie 44). W celu ręcznego utworzenia struktury: 1. Nawiąż połączenie z żądanym serwerem administracyjnym. 2. Zbuduj hierarchię, tworząc kolejno grupy potomne. 3. Dodaj komputery klienckie do grupy. 4. Dodaj podrzędne serwery administracyjne. Struktura grup administracyjnych jest wyświetlana w folderze Zarządzane komputery. Możesz przejrzeć informacje o każdym z jego obiektów: serwerach podrzędnych, grupach i komputerach klienckich. System dostarcza datę utworzenia obiektu oraz ostatniej modyfikacji jego ustawień (zobacz poniższy rysunek). Możliwe jest także przeglądanie i modyfikowanie ustawień interakcji obiektu (serwera podrzędnego, komputera klienckiego lub wszystkich komputerów klienckich w grupie) z serwerem administracyjnym. Rysunek 13. Przeglądanie właściwości grupy Aby odnaleźć informacje o wybranych komputerach klienckich, możesz skorzystać z funkcji wyszukiwania komputerów (patrz sekcja "Wykrywanie komputerów" na stronie 82) w sieci korporacyjnej według określonych kryteriów. Podczas wyszukiwania system może użyć informacji o podrzędnych serwerach administracyjnych. Aby odnaleźć, zapisać i wyświetlić informacje o komputerach znajdujących się w oddzielnym folderze drzewa konsoli, użyj funkcji tworzenia wyboru komputerów (patrz sekcja "Wybory komputerów" na stronie 84). W przypadku, gdy zmieniona zostanie konfiguracja korporacyjnej sieci komputerów, wymagane jest wprowadzenie 45

46 odpowiednich zmian w strukturze grup administracyjnych. Możesz: Dodać do wybranej grupy administracyjnej dowolną liczbę grup z jakiegokolwiek poziomu hierarchii (do grupy mogą być dodane podrzędne serwery administracyjne i grupy potomne tworzące kolejny poziom hierarchii). Określić, które aplikacje firmy Kaspersky Lab zostaną automatycznie zainstalowane na wszystkich komputerach klienckich niedawno dodanych do grupy. Dodać komputery klienckie do grup. Zmienić hierarchię grup administracyjnych przez przeniesienie pojedynczych komputerów klienckich i całych grup do innych grup. Usunąć grupy potomne i komputery klienckie z grup. Dodać podrzędne serwery administracyjne w celu zmniejszenia obciążenia serwera głównego, zminimalizowania ruchu sieciowego sieci lokalnej (intranet) oraz zwiększenia niezawodności systemu zdalnego zarządzania. Przenieś komputery klienckie z grup administracyjnych serwera administracyjnego do grup innego serwera. W TEJ SEKCJI Grupy Komputery klienckie Podrzędne serwery administracyjne GRUPY Kaspersky Administration Kit umożliwia utworzenie dowolnych grup. Aby dodać nową grupę, na panelu wyników kliknij odnośnik Utwórz podgrupę. Nowy podfolder o określonej nazwie pojawi się w drzewie konsoli, w folderze Zarządzane komputery (zobacz poniższy rysunek). W folderze system tworzy automatycznie następujące podfoldery: Profile. Zadania grupowe. Komputery klienckie. Serwery administracyjne. Folder ten jest wyświetlany lub ukrywany w zależności od ustawień interfejsu aplikacji. Aby folder ten był wyświetlany, przejdź do menu Widok Konfigurowanie interfejsu i włącz opcję Wyświetl podrzędne serwery administracyjne. 46

47 Ich zawartość zostanie uzupełniona podczas definiowania profili grupowych, tworzenia zadań grupowych oraz dodawania podrzędnych serwerów administracyjnych. Rysunek 14. Widok struktury folderów serwera administracyjnego Do grupy można dodać komputery klienckie i grupy potomne tworzące kolejny poziom hierarchii. Możliwe jest skonfigurowanie wyświetlania dziedziczonych profili i zadań grupowych w grupach potomnych. Możesz określić, które aplikacje firmy Kaspersky Lab zostaną automatycznie zainstalowane na wszystkich komputerach klienckich niedawno dodanych do grupy. Później będziesz mógł zmienić nazwę grupy, przenieść ją do innej grupy lub usunąć. Grupa jest przenoszona wraz z grupami potomnymi, podrzędnymi serwerami administracyjnymi, komputerami klienckimi, profilami grupy i zadaniami grupowymi. System zastosuje wszystkie ustawienia odpowiadające jego nowej pozycji w hierarchii grup administracyjnych. Grupy są przenoszone przy użyciu standardowych poleceń Wytnij i Wklej, dostępnych w menu kontekstowym, lub odpowiednich opcji z menu Akcja lub też myszy. Podczas przenoszenia grup należy pamiętać o tym, aby w obrębie danego poziomu hierarchii grupy posiadały unikalne nazwy. Aby uniknąć możliwych problemów wywołanych konfliktami nazw, należy przed przenoszeniem grup zmienić ich nazwy. W przypadku, gdy nazwa grupy nie jest unikalna, zostanie ona uzupełniona o przyrostek _1, _2 itd. Nie można zmienić nazwy foldera Zarządzane komputery, ponieważ jest on wbudowanym elementem konsoli administracyjnej. Grupa może być usunięta z folderu serwera administracyjnego, jeśli nie posiada żadnych podrzędnych serwerów administracyjnych, grup potomnych, komputerów klienckich oraz gdy nie ma skojarzonych z nią żadnych zadań grupowych i profili. Wybraną grupę można usunąć, klikając w menu kontekstowym polecenie Usuń lub wybierając z menu Akcja odpowiednią opcję. KOMPUTERY KLIENCKIE Dodanie komputerów klienckich do grupy umożliwia zastosowanie do nich profili i zadań, które zostały utworzone w tej grupie. Aby dodać komputery klienckie do grupy, użyj odnośnika Dodaj komputery znajdującego się w panelu zadań grupy, do której komputer ma być dodany. Zostanie uruchomiony kreator. Po zakończeniu pracy kreatora komputery zostaną dodane do grupy i będą wyświetlone w panelu wyników foldera Komputery klienckie pod nazwami 47

48 przydzielonymi im przez serwer administracyjny (zobacz poniższy rysunek). Jeśli z jakiegoś powodu serwer administracyjny nie wykrył komputera klienckiego, konieczne będzie zainstalowanie na tym komputerze agenta sieciowego i połączenie z serwerem administracyjnym. Serwer administracyjny przeniesie ten komputer do foldera Nieprzypisane komputery, z którego będzie możliwe przeniesienie go do żądanej grupy. Rysunek 15. Komputery klienckie znajdujące się w grupie Ikony odzwierciedlające stan komputerów klienckich wyświetlane są w panelu wyników obok ich nazw. Ikony oraz odpowiadające im stany można znaleźć w dodatku do Dokumentacji dodatkowej. Można skonfigurować dodawanie komputerów klienckich do grup administracyjnych tak, aby serwer administracyjny sam umieszczał w określonej grupie administracyjnej wszystkie nowe komputery wykryte w sieci. W tym celu we właściwościach serwera administracyjnego należy zdefiniować odpowiednie ustawienia (zobacz poniższy rysunek). 48

49 Komputer może być także dodany z poziomu okna głównego aplikacji Kaspersky Administration Kit poprzez przeniesienie go z foldera Nieprzypisane komputery do odpowiedniej grupy administracyjnej przy użyciu myszy. Rysunek 16. Konfigurowanie automatycznego przenoszenia nowych komputerów do grupy Możliwe jest przenoszenie komputerów klienckich z jednej grupy do drugiej przez wykluczenie ich z grup administracyjnych przy użyciu standardowych poleceń Wytnij, Wklej i Usuń dostępnych w menu kontekstowym lub odpowiednich opcji z menu Akcja. Komputery usunięte z grup administracyjnych zostaną przeniesione do foldera Nieprzypisane komputery. Przeniesienie można także wykonać przy użyciu myszy. Istnieje również możliwość przeniesienia komputerów klienckich z grup administracyjnych jednego serwera do grup innego serwera. Na przykład podczas dodawania podrzędnego serwera administracyjnego możesz przenieś komputery klienckie z grup administracyjnych serwera nadrzędnego do grup serwera podrzędnego. Aby to było możliwe, musi być nawiązane połączenie między komputerami klienckimi a serwerem administracyjnym. Możesz połączyć komputer kliencki z innym serwerem administracyjnym lokalnie z tego komputera klienckiego. Działanie to jest wykonywane za pomocą narzędzia klmover.exe znajdującego się w pakiecie dystrybucyjnym agenta sieciowego. Po zainstalowaniu agenta sieciowego narzędzie to będzie znajdowało się w katalogu instalacyjnym składnika. Połączenie między komputerem klienckim a innym serwerem administracyjnym może być nawiązane przez utworzenie i uruchomienie zadania Zmień serwer Kaspersky Administration Server. Możesz utworzyć zadanie dla wskazanych komputerów odpowiedzialne za przenoszenie poszczególnych komputerów lub użyć zadania grupowego, aby przenieść wszystkie komputery klienckie z określonej grupy administracyjnej. W wyniku zmiany serwerów komputery klienckie, które zakończyły wykonywanie zadania, zostaną odłączone od jednego serwera administracyjnego i pojawią się w folderze Nieprzypisane komputery innego serwera. Do ręcznego przeniesienia komputerów klienckich z grup administracyjnych starego serwera do grup nowego serwera można użyć konsoli administracyjnej. 49

50 PODRZĘDNE SERWERY ADMINISTRACYJNE Hierarchia serwerów może być wykorzystana do wykonania na wszystkich podrzędnych serwerach administracyjnych i ich komputerach klienckich następujących działań: tworzenia i rozsyłania profili aplikacji; tworzenia i rozsyłania zadań grupowych (włączając w to zadania instalacji); rozsyłania uaktualnień i pakietów instalacyjnych pobranych przez serwer główny; tworzenia raportów podsumowujących informacje otrzymane ze wszystkich podrzędnych serwerów administracyjnych. Profile i zadania otrzymane przez podrzędny serwer administracyjny z nadrzędnego serwera administracyjnego nie mogą być modyfikowane. W celu dodania serwera podrzędnego, użyj polecenia Nowy Serwer administracyjny na obiekcie Serwery administracyjne znajdującym się w żądanej grupie. Zostanie uruchomiony Kreator dodawania podrzędnego serwera administracyjnego. Jego etapy obejmują: dodawanie podrzędnego serwera administracyjnego; nawiązywanie połączenia Konsoli administracyjnej z serwerem podrzędnym; konfigurowanie ustawień połączenia z serwerem nadrzędnym; dodawanie do bazy danych głównego serwera administracyjnego informacji o serwerze podrzędnym. Można pominąć etapy związane z nawiązywaniem połączenia i konfiguracją. Wówczas będziesz musiał wykonać je ręcznie: użyj konsoli administracyjnej do nawiązania połączenia z serwerem podrzędnym i zdefiniuj ustawienia jego połączenia z serwerem nadrzędnym (zobacz poniższy rysunek). Po pomyślnym dodaniu podrzędnego serwera administracyjnego jego ikona oraz nazwa pojawią się w folderze Serwery administracyjne, w obrębie odpowiedniej grupy. 50

51 Rysunek 17. Konfigurowanie połączenia podrzędnego serwera administracyjnego z nadrzędnym serwerem administracyjnym Możesz pracować z grupami administracyjnymi podrzędnego serwera administracyjnego zarówno z poziomu węzła Serwery administracyjne serwera głównego, jak i bezpośrednio, przez dodanie serwera podrzędnego do drzewa konsoli jako nowego serwera administracyjnego. Serwer podrzędny jest prawowitym serwerem administracyjnym i wykonuje w obrębie swoich grup administracyjnych wszystkie funkcje serwera administracyjnego. Podrzędny serwer administracyjny dziedziczy od serwera nadrzędnego wszystkie zadania grupowe i profile grupy, w której się znajduje. Dziedziczone profile i zadania są oznaczone na serwerze podrzędnym w następujący sposób: Przy nazwach profili dziedziczonych z głównego serwera administracyjnego wyświetlana będzie ikona (standardową ikoną profilu jest ). Ustawienia profilu dziedziczonego nie będą mogły zostać zmienione na serwerze podrzędnym. Ustawienia, które są określone jako niemodyfikowalne w profilu dziedziczonym, są oznaczone "zablokowaną" ikoną we wszystkich profilach aplikacji serwera podrzędnego i używane są wartości określone w profilu dziedziczonym. Ustawienia, które nie są "zablokowane" w profilu dziedziczonym, mogą być zmieniane (patrz sekcja "Relacje między profilami a lokalnymi ustawieniami aplikacji" na stronie 31) w profilach serwera podrzędnego (ikona wygląda następująco ). Jeśli parametr nie jest "zablokowany" w profilu serwera podrzędnego, wówczas będzie można go zmienić także (patrz sekcja "Relacje między profilami a lokalnymi ustawieniami aplikacji" na stronie 31) w ustawieniach aplikacji i zadania. 51

52 Przy nazwach zadań grupowych dziedziczonych z nadrzędnego serwera administracyjnego wyświetlana będzie ikona (standardową ikoną zadania jest ). Zadania zdalnej instalacji utworzone dla wskazanych komputerów nie mogą być przesyłane na podrzędne serwery administracyjne. Przesyłanie zadań grupowych jest skonfigurowane we właściwościach zadania. Aktualizowanie komputerów klienckich połączonych z podrzędnym serwerem administracyjnym (patrz sekcja "Pobieranie uaktualnień dla serwerów podrzędnych i ich komputerów klienckich" na stronie 68) można skonfigurować tak, aby zadanie pobierania uaktualnień było uruchamiane automatycznie po otrzymaniu uaktualnień przez serwer główny. Pomyślne zakończenie aktualizacji spowoduje uruchomienie zadania aktualizacji aplikacji zainstalowanych na komputerach klienckich należących do serwera podrzędnego. 52

53 ZDALNE ZARZĄDZANIE APLIKACJAMI Kaspersky Administration Kit obsługuje zarządzanie tylko aplikacjami firmy Kaspersky Lab, które zawierają specjalny moduł - wtyczkę do zarządzania aplikacją. Zarządzanie aplikacjami odbywa się na dwa sposoby: przez zarządzanie ustawieniami aplikacji poprzez definiowanie profili (patrz sekcja "Zarządzanie profilami" na stronie 53) i modyfikowanie lokalnych ustawień aplikacji (patrz sekcja "Lokalne ustawienia aplikacji" na stronie 57) aplikacji; przez tworzenie i uruchamianie zadań (patrz sekcja "Zarządzanie działaniem aplikacji" na stronie 57). W TEJ SEKCJI Zarządzanie profilami Lokalne ustawienia aplikacji Zarządzanie działaniem aplikacji ZARZĄDZANIE PROFILAMI Profil aplikacji można utworzyć tylko wtedy, gdy wtyczka do zarządzania tą aplikacją jest zainstalowana na stacji roboczej administratora. Aby utworzyć profil, należy kliknąć odnośnik Utwórz profil znajdujący się na panelu zadań grupy, dla której tworzony jest profil. Podczas tworzenia profilu można skonfigurować tylko minimalny zestaw ustawień wymaganych do działania aplikacji. Wszystkie pozostałe ustawienia posiadają domyślne wartości i odpowiadają one domyślnym wartościom ustawień stosowanym podczas lokalnej instalacji aplikacji. Do szybkiego utworzenia profili dla pojedynczych aplikacji należy użyć odnośników Utwórz profil dla Kaspersky Anti-Virus for Windows Workstation i Utwórz profil dla Kaspersky Anti-Virus for Windows Server znajdujących się w panelu zadań. Profile utworzone dla aplikacji są wyświetlane w powiązanym folderze drzewa konsoli. Ikony odzwierciedlające stan profili wyświetlane są obok ich nazw. Ikony oraz stany, które one reprezentują, można znaleźć w Dokumentacji dodatkowej. W późniejszym czasie możesz zmodyfikować lub zablokować ustawienia profilu dla grup zagnieżdżonych lub ustawień aplikacji (zobacz poniższy rysunek). 53

54 Rysunek 18. Okno właściwości profilu Ustawienia profilu, które mogą zostać "zablokowane", oznaczone są ikoną. Aby zablokować ustawienia, kliknij ikonę, która zmieni się na. Nie jest możliwe modyfikowanie tego typu parametrów w ustawieniach aplikacji, ustawieniach zadania oraz profilach grup potomnych i podrzędnych serwerów administracyjnych. Istnieje możliwość odblokowania modyfikacji ustawień profili dziedziczonych. Profil posiada wyższy priorytet niż ustawienia lokalne tylko wtedy, gdy zabrania ich modyfikacji (są zablokowane ). Po utworzeniu profilu jest on dodawany do foldera Profile (zobacz poniższy rysunek) danej grupy; pojawia się w drzewie konsoli, a system stosuje go do wszystkich grup zagnieżdżonych oraz podrzędnych serwerów administracyjnych jako profil dziedziczony. 54

55 Rysunek 19. Przeglądanie listy profili Możesz usuwać, kopiować, eksportować oraz importować istniejące profile z jednej grupy do innej przy użyciu poleceń dostępnych w menu kontekstowym profilu wybranego w panelu wyników. W celu zaimportowania profilu z pliku zewnętrznego użyj odnośnika Importuj profil z pliku znajdującego się w panelu zadań foldera Profile. W wyświetlonym oknie określ ścieżkę dostępu do pliku z rozszerzeniem.klp, który zawiera ustawienia profilu. Dla jednej aplikacji może zostać utworzonych wiele różnych profili, ale tylko jeden z nich może być aktywny. W ustawieniach takiego profilu należy wybrać opcję Aktywuj profil. Profil może być aktywowany w przypadku wystąpienia Epidemii wirusów. Wówczas powrót do poprzedniego profilu musi być wykonany ręcznie. Możesz także utworzyć profil dla użytkowników mobilnych, który zostanie wymuszony zaraz po odłączeniu komputera od serwera administracyjnego. Możesz skonfigurować kryteria, według których aktywowany będzie profil dla użytkowników mobilnych używających profili agenta sieciowego. Domyślnie komputer jest uważany za odłączony od serwera administracyjnego po przeprowadzeniu trzech niepomyślnych prób nawiązania z nim połączenia. Odstęp czasu pomiędzy próbami jest określany w ustawieniach agenta sieciowego, w polu Okres synchronizacji (min) i domyślnie wynosi 15 minut. Wyniki wymuszenia profilu można przeglądać w oknie właściwości profilu. Parametry lokalne są modyfikowane automatycznie w oparciu o ustawienia używane podczas pierwszego zastosowania profilu do komputera klienckiego, czyli: podczas dodawania klientów do obszaru profilu; podczas aktywowania profilu; podczas instalowania na komputerze klienckim aplikacji antywirusowej kojarzonej z istniejącym profilem. Po usunięciu lub anulowaniu profilu aplikacja będzie kontynuowała działanie z ustawieniami określonymi w profilu. Ustawienia mogą być później modyfikowane ręcznie. Wymuszenie profilu odbywa się w następujący sposób: Jeśli na komputerze klienckim uruchomione są zadania rezydentne (zadania ochrony w czasie rzeczywistym), ich wykonywanie będzie kontynuowane bez przerywania z użyciem nowych ustawień. Regularne zadania wykonywane w tym momencie (skanowanie na żądanie, aktualizacja 55

56 baz danych aplikacji) będą kontynuowane z użyciem starych ustawień, a następnym razem, gdy zostaną uruchomione, będą używać nowych wartości parametrów. Wartości ustawień aplikacji zdefiniowane po wymuszeniu profilu można przeglądać we właściwościach pojedynczego komputera klienckiego w obrębie konsoli administracyjnej. W przypadku, gdy serwery administracyjne są ułożone hierarchicznie, serwery podrzędne otrzymają profile od głównego serwera administracyjnego, a następnie rozprowadzą je do komputerów klienckich. Jeżeli włączone jest dziedziczenie, ustawienia profilu mogą być modyfikowane na głównym serwerze administracyjnym. Wówczas, podrzędne serwery administracyjne będą odpowiednio modyfikować swoje profile, po czym roześlą je do połączonych komputerów klienckich. Po odłączeniu głównego serwera administracyjnego oraz serwerów podrzędnych profil na serwerze podrzędnym nadal będzie używał zastosowanych ustawień. Ustawienia profilu modyfikowane na nadrzędnym serwerze administracyjnym są rozsyłane do serwera podrzędnego po ponownym nawiązaniu z nim połączenia. Jeśli dziedziczenie jest wyłączone, ustawienia profilu mogą być modyfikowane na serwerze podrzędnym niezależnie do serwera głównego. W przypadku, gdy połączenie między serwerem administracyjnym i komputerem klienckim zostanie zerwane, komputer kliencki rozpocznie pracę z profilem dla użytkowników mobilnych (jeśli został określony) lub profil będzie dalej używał zastosowanych ustawień, aż do ponownego nawiązania połączenia. Wyniki przesłania profilu do podrzędnego serwera administracyjnego są wyświetlane w oknie właściwości profilu na głównym serwerze administracyjnym. Wyniki przesłania profilu do komputerów klienckich możesz również przeglądać w oknie właściwości odpowiedniego serwera administracyjnego po wcześniejszym nawiązaniu z nim połączenia. Aby uzyskać szczegółowe informacje na temat konfiguracji profili dla aplikacji firmy Kaspersky Lab, zajrzyj do odpowiednich dla nich dokumentacji. Konfiguracja profili dla agenta sieciowego i serwera administracyjnego została opisana w Dokumentacji dodatkowej programu Kaspersky Administration Kit. 56

57 LOKALNE USTAWIENIA APLIKACJI System Kaspersky Administration Kit umożliwia zdalne zarządzanie lokalnymi ustawieniami aplikacji na zdalnych komputerach poprzez konsolę administracyjną (zobacz poniższy rysunek). Możesz zdefiniować indywidualne ustawienia aplikacji dla każdego komputera klienckiego należącego do grupy. Możliwe jest modyfikowanie tylko tych ustawień, których modyfikacja jest dozwolona w profilu grupy dla tej aplikacji, czyli gdy ustawienie nie jest "zablokowane" w profilu. Rysunek 20. Przeglądanie właściwości komputera klienckiego. Zakładka Ogólne Ustawienia lokalne są konfigurowane indywidualnie dla każdego komputera klienckiego w oknie Ustawienia aplikacji <Nazwa aplikacji>. Okno to można otworzyć z poziomu zakładki Aplikacje dostępnej w oknie Właściwości <Nazwa komputera>, do którego można uzyskać dostęp z menu kontekstowego wybranego komputera klienckiego. Każda aplikacja firmy Kaspersky Lab posiada swój własny zestaw parametrów lokalnych. Ich szczegółowe opisy znajdują się w odpowiedniej dokumentacji dla każdej z tych aplikacji. Ustawienia agenta sieciowego i serwera administracyjnego są szczegółowo opisane w Dokumentacji dodatkowej Kaspersky Administration Kit. ZARZĄDZANIE DZIAŁANIEM APLIKACJI Zarządzanie aplikacjami zainstalowanymi na komputerach klienckich odbywa się przez utworzenie i uruchomienie zadań odpowiedzialnych za wykonanie wszystkich podstawowych funkcji: instalację aplikacji, instalację licencji, skanowanie plików, aktualizacje bazy danych i modułów aplikacji itd. 57

58 Utworzone zadania są wyświetlane w odpowiednim folderze drzewa konsoli. Ikony odzwierciedlające stan zadań wyświetlane są obok ich nazw. Ikony oraz stany, które one reprezentują, można znaleźć w Dokumentacji dodatkowej. Kaspersky Administration Kit umożliwia pracę ze wszystkimi typami zadań lokalnych przy użyciu aplikacji. Umożliwia on również zdalne uruchamianie i zatrzymywanie aplikacji przy użyciu odpowiednich zadań dla agenta sieciowego. Szczegółowe opisy typów zadań dla każdej aplikacji firmy Kaspersky Lab można znaleźć w odpowiedniej dokumentacji poświęconej każdej z tych aplikacji. W konsoli administracyjnej zdalne uruchamianie i zatrzymywanie aplikacji wykonywane jest przy pomocy odpowiednich zadań. Zadanie aplikacji może być utworzone tylko wtedy, gdy wtyczka do zarządzania tą aplikacją jest zainstalowana na stacji roboczej administratora. Aby zapewnić ochronę sieci na odpowiednim poziomie, administratorzy mogą utworzyć dowolną liczbę różnych zadań (za wyjątkiem zadań, które mogą istnieć tylko w jednej instancji) dla wszystkich aplikacji, których zarządzanie poprzez Kaspersky Administration Kit jest możliwe. Na przykład, aby możliwe było skanowanie komputerów klienckich funkcjonujących jako stacje robocze na obecność szkodliwego oprogramowania, należy utworzyć zadanie skanowania na żądanie dla Kaspersky Anti-Virus for Windows Workstations. Funkcje zarządzania aplikacjami oraz działania związane z ogólnymi usługami są zaimplementowane jako zadania serwera administracyjnego i komponenty agenta sieciowego programu Kaspersky Administration Kit. Dla tych komponentów zdefiniowane są następujące typy zadań: Zmień serwer Kaspersky Administration Server. Uruchamianie i zatrzymywanie działania aplikacji. Zdalna instalacja aplikacji. Zadanie dezinstalacji produktu. Zarządzanie komputerami klienckimi. Wiadomości dla użytkowników. Sprawdzanie uaktualnień. Zadanie ponownego przetwarzania pakietu. Dostarczanie raportów. Kopia zapasowa danych Serwera administracyjnego. Pobieranie uaktualnień do repozytorium. Tworzenie i uruchamianie powyższych zadań posiada wiele właściwości. Szczegółowy opis pracy z nimi można znaleźć w Dokumentacji dodatkowej programu Kaspersky Administration Kit. Możesz utworzyć zadania grupowe i lokalne, zadania dla określonych komputerów oraz zadania Kaspersky Administration Kit należące do tych typów zadań. Zadanie zdalnej instalacji umożliwia tworzenie zadań grupowych i zadań dla określonych komputerów. Zadania pobierania uaktualnień, tworzenia kopii zapasowej oraz dostarczania raportów umożliwiają tylko tworzenie zadań serwera administracyjnego. Zadanie pobierania uaktualnień oraz zadanie tworzenia kopii zapasowej danych serwera administracyjnego może być utworzone tylko w pojedynczej instancji i wykonane tylko dla jednego komputera - tego, na którym uruchomiony jest serwer administracyjny. 58

59 Zadania grupowe są przechowywane w podfolderach Zadania grupowe odpowiednich grup (zobacz poniższy rysunek). Aby utworzyć zadanie grupowe, w drzewie konsoli otwórz folder Zadania grupowe należący do grupy docelowej i kliknij odnośnik Utwórz zadanie dostępny na panelu zadań. Zadania dla określonych komputerów są przechowywane w drzewie konsoli, w folderze Zadania dla wskazanych komputerów. W celu utworzenia zadania tego typu należy z drzewa konsoli wybrać odpowiedni folder i użyć odnośnika Utwórz zadanie, który znajduje się na panelu zadań. Zadania serwera administracyjnego znajdują się w folderze Zadania Kaspersky Administration Kit dostępnym w drzewie konsoli. Aby utworzyć nowe zadanie serwera administracyjnego, w drzewie konsoli otwórz menu kontekstowe foldera Zadania Kaspersky Administration Kit i kliknij polecenie Nowy Zadanie. Rysunek 21. Zadania grupowe Listę zadań lokalnych można przeglądać na komputerze klienckim, w jego oknie właściwości. W celu przejrzenia listy zadań lokalnych: 1. W drzewie konsoli otwórz folder Komputery klienckie należący do grupy, w której znajduje się żądany komputer. 2. Wybierz komputer z listy znajdującej w panelu wyników. 3. Otwórz okno właściwości komputera na zakładce Zadania, która zawiera listę zadań lokalnych dla wybranego komputera. W tym celu kliknij odnośnik Przeglądanie właściwości komputera klienckiego znajdujący się na panelu wyników, na lewo od listy komputerów lub użyj polecenia Właściwości dostępnego w menu kontekstowym wybranego komputera. Wymiana informacji o zadaniach pomiędzy aplikacją lokalną a bazą danych Kaspersky Administration Kit odbywa się podczas nawiązywania połączenia agenta sieciowego z serwerem. Podczas tej wymiany informacje o zadaniach lokalnych zostają zapisane w bazie danych serwera administracyjnego. Możesz modyfikować ustawienia zadania, monitorować ich wykonanie, kopiować zadania, eksportować je oraz importować z jednej grupy do innej, a także usuwać je przy użyciu poleceń menu kontekstowego i odnośników panelu zadań. Ustawienia aplikacji używane podczas wykonywania zadań na każdym komputerze klienckim są definiowane zgodnie z profilem grupy (patrz sekcja "Relacje między profilami a lokalnymi ustawieniami aplikacji" na stronie 31), ustawieniami zadania oraz parametrami tej aplikacji na komputerze klienckim. 59

60 Większość ustawień jest określana przez profil aplikacji wykonującej określone zadanie. Jeśli w profilu zablokowane jest modyfikowanie niektórych wartości, wówczas nie będą one mogły być modyfikowane w ustawieniach zadania (zobacz poniższy rysunek). Rysunek 22. Ustawienia zadania zablokowane w profilu Jednakże niektóre ustawienia są indywidualne dla każdego zadania, na przykład: terminarz uruchamiania zadania, konto używane do uruchomienia zadania, obszar skanowania zadań skanowania na żądanie. Wartości tych ustawień są definiowane dla każdego zadania i mogą zostać zmienione po utworzeniu zadania (patrz rysunek poniżej). 60

61 Rysunek 23. Modyfikowanie właściwości zadania. Zakładka Terminarz Zadania są uruchamiane zgodnie z utworzonym dla nich terminarzem. Komputery, które są wyłączone w czasie określonym w terminarzu, mogą uruchomić się automatycznie przy użyciu funkcji Wake On LAN. W tym celu w otwartym oknie kliknij przycisk Zaawansowane znajdujący się na zakładce Terminarz (zobacz powyższy rysunek) i zaznacz odpowiednie pole (zobacz poniższy rysunek). Rysunek 24. Włączanie automatycznego uruchamiana systemu operacyjnego Możesz skonfigurować komputer tak, aby wyłączał się automatycznie po wykonaniu zaplanowanego zadania. Możesz ograniczyć czas trwania wykonywania zadania; w tej sytuacji zadanie zostanie zatrzymane po upłynięciu określonego czasu. Istnieje możliwość wyłączenia uruchamiania zaplanowanych zadań. W tym przypadku zadania nie są usuwane, lecz wstrzymane zostaje ich uruchamianie. 61

62 Zadanie może być ręcznie uruchamiane, przerywane, wstrzymywane oraz wznawiane. Wykonywane jest to w oknie ustawień zadania lub przy użyciu poleceń dostępnych w jego menu kontekstowym (zobacz poniższy rysunek). Do uruchomienia lub zatrzymania zadania mogą być również wykorzystywane odnośniki znajdujące się w sekcji Zarządzanie zadaniem panelu zadań. Zadania uruchamiane są na klientach tylko wtedy, gdy uruchomiona jest aplikacja, dla której zadanie zostało utworzone. Jeżeli aplikacja jest wyłączona, wszystkie uruchomione zadania są anulowane. Monitorowanie wykonywania zadania oraz przeglądanie jego wyników jest możliwe w oknie właściwości zadania (zobacz poniższy rysunek) lub w górnej części panelu zadań (w sekcji odpowiadającej nazwie zadania). Wyniki zadania są zapisywane w dziennikach zdarzeń systemu Windows i programu Kaspersky Administration Kit zgodnie z określonymi ustawieniami. Odbywa się to w sposób scentralizowany na serwerze administracyjnym oraz lokalnie na każdym komputerze klienckim. Zarówno administrator, jak i inni użytkownicy mogą być powiadamiani o wynikach, przy użyciu powiadomień i metod określonych w ustawieniach zadania. Rysunek 25. Modyfikowanie ustawień zadania. Zakładka Ogólne Wyniki zadań zarejestrowane w dzienniku zdarzeń programu Kaspersky Administration Kit mogą być przeglądane przy użyciu foldera Zdarzenia znajdującego się w drzewie konsoli. Natomiast wyniki zadania wykonanego dla każdego komputera klienckiego można przeglądać w oknie właściwości zadania. Podczas korzystania z hierarchicznej struktury serwerów administracyjnych serwery podrzędne otrzymują zadania grupowe od głównego serwera administracyjnego, a następnie rozsyłają je do komputerów klienckich pod warunkiem, że w ustawieniach zadania zostało zaznaczone pole Wyślij na podrzędne serwery administracyjne (patrz rysunek powyżej). Ustawienia zadania grupowego można modyfikować na głównym serwerze administracyjnym. Następnie podrzędne serwery administracyjne modyfikują odpowiednio zadania grupowe i rozsyłają je do połączonych komputerów klienckich. 62

63 Wyniki rozsyłania zadań grupowych do podrzędnych serwerów administracyjnych wyświetlane są w oknie Wyniki zadania. Okno to można otworzyć, klikając odnośnik Wyniki znajdujący się na zakładce Ogólne, która jest dostępna we właściwościach zadania grupowego serwera administracyjnego. Podobnie jest z wynikami dystrybucji zadania grupowego na komputery klienckie - można je przeglądać w oknie właściwości danego zadania grupowego podrzędnego serwera administracyjnego po wcześniejszym nawiązaniu z nim połączenia. 63

64 AKTUALIZOWANIE BAZY DANYCH I MODUŁÓW PROGRAMU Najnowsze uaktualnienia baz danych aplikacji, które są używane podczas skanowania zainfekowanych obiektów, instalacja łat krytycznych modułów aplikacji oraz ich regularna aktualizacja - to podstawowe czynniki wpływające na niezawodność systemu ochrony antywirusowej. Uaktualnienia baz danych aplikacji są publikowane na serwerach aktualizacji firmy Kaspersky Lab co godzinę. Zalecane jest aktualizowanie baz danych z taką samą częstotliwością oraz natychmiastowe instalowanie wszystkich uaktualnień krytycznych dla modułów programu. Aby zaktualizować bazy danych i moduły aplikacji zarządzanych przy użyciu Kaspersky Administration Kit, należy utworzyć zadanie pobierania uaktualnień do repozytorium. Po utworzeniu tego zadania serwer będzie wyszukiwał uaktualnienia dla baz danych i modułów programu w źródle uaktualnień według ustawień zadania. Pobrane dane są przechowywane na serwerze administracyjnym, w folderze udostępnionym Aktualizacje i mogą być rozesłane do komputerów klienckich i podrzędnego serwera administracyjnego automatycznie zaraz po zakończeniu aktualizacji. Folder współdzielony jest tworzony podczas instalacji serwera administracyjnego. Domyślnie folder współdzielony znajduje się w podfolderze KLShare folderu programu wybranym podczas instalacji składnika serwera administracyjnego (<Dysk>:\Program Files\Kaspersky Lab\ Kaspersky Administration Kit). Uaktualnienia są rozsyłane do komputerów klienckich przy pomocy zadań aktualizacji dla aplikacji. Serwery podrzędne są aktualizowane poprzez zadania pobierania uaktualnień serwerów administracyjnych. Zadania te mogą być uruchamiane automatycznie zaraz po tym, jak serwer główny pobierze uaktualnienia bez względu na terminarz w ustawieniach zadania. Przed rozesłaniem aktualizacji do komputerów klienckich można je przetestować pod względem prawidłowego funkcjonowania. Jest to możliwe dzięki funkcji testowania aktualizacji, która została zaimplementowana w aplikacji. W przypadku tej funkcji, uaktualnienia są najpierw przesyłane do grupy komputerów testujących i jeżeli nie zostaną wykryte żadne błędy, zostają przesłane do pozostałych komputerów klienckich. W TEJ SEKCJI Pobieranie uaktualnień do repozytorium serwera administracyjnego Rozsyłanie uaktualnień do komputerów klienckich Pobieranie uaktualnień dla serwerów podrzędnych i ich komputerów klienckich Rozsyłanie uaktualnień poprzez agenty aktualizacji POBIERANIE UAKTUALNIEŃ DO REPOZYTORIUM SERWERA ADMINISTRACYJNEGO Zadanie pobierania uaktualnień serwera administracyjnego jest zadaniem globalnym, co oznacza, że może istnieć tylko jedno zadanie tego typu. Zadanie jest tworzone i uruchamiane tylko dla jednego komputera - tego, na którym uruchomiony jest serwer administracyjny. Jeśli użyłeś Kreatora automatycznej konfiguracji, zadanie Pobieranie aktualizacji do repozytorium jest już utworzone i znajduje się w drzewie konsoli, w folderze Zadania Kaspersky Administration Kit. Aby utworzyć zadanie pobierania uaktualnień dla serwera administracyjnego, uruchom kreator tworzenia zadania dla folderu Zadania Kaspersky Administration Kit i jako typ zadania wybierz Pobieranie aktualizacji do repozytorium (zobacz poniższy rysunek). 64

65 Rysunek 26. Tworzenie zadania pobierania uaktualnień do repozytorium Jeśli w sieci komputerów została utworzona (lub jest planowana) hierarchia serwerów administracyjnych, wówczas w ustawieniach zadania serwera głównego, które dotyczy automatycznej dystrybucji uaktualnień do podrzędnych serwerów, należy włączyć opcję Wymuś aktualizację na serwerach podrzędnych (zobacz poniższy rysunek). W tej sytuacji, zaraz po zaktualizowaniu serwera głównego zostaną uruchomione zadania aktualizacji serwerów podrzędnych (jeśli zostały utworzone). Włączenie opcji Wymuś aktualizację na serwerach podrzędnych nie wiąże się z automatycznym utworzeniem zadań pobierania uaktualnień na podrzędnych serwerach administracyjnych. Powinny być one utworzone ręcznie, oddzielnie dla każdego serwera podrzędnego. 65

66 Rysunek 27. Konfigurowanie pozostałych ustawień zadania Podczas wykonywania zadania Pobieranie aktualizacji do repozytorium serwer administracyjny pobiera uaktualnienia baz danych i modułów programu ze źródła aktualizacji i przechowuje je w folderze udostępnionym. Uaktualnienia są następnie rozsyłane z foldera udostępnionego do komputerów klienckich (patrz sekcja "Rozsyłanie uaktualnień do komputerów klienckich" na stronie 67) i podrzędnych serwerów administracyjnych (patrz sekcja "Pobieranie uaktualnień dla serwerów podrzędnych i ich komputerów klienckich" na stronie 68). Jako źródła uaktualnień dla serwera administracyjnego można użyć następujących zasobów: serwerów aktualizacji Kaspersky Lab; nadrzędnego serwera administracyjnego; serwera HTTP, FTP lub foldera sieciowego, zawierającego uaktualnienia. Wybór źródła jest uzależniony od ustawień zadania. W przypadku aktualizacji z serwera FTP / HTTP lub foldera sieciowego, do przeprowadzenia prawidłowej aktualizacji serwera wymagane jest, aby źródło dostarczyło kopię właściwej struktury folderów zawierających uaktualnienia. Dodatkowo struktura ta musi być podobna do tej wygenerowanej podczas kopiowania uaktualnień przez oprogramowanie firmy Kaspersky Lab. Informacje o pobranych uaktualnieniach można przeglądać w drzewie konsoli, w obrębie foldera Repozytoria Aktualizacje. Uaktualnienia są wyświetlane na pasku wyników (zobacz poniższy rysunek). 66

67 Rysunek 28. Wyświetlanie pobranych uaktualnień ROZSYŁANIE UAKTUALNIEŃ DO KOMPUTERÓW KLIENCKICH W celu zwiększenia skuteczności ochrony antywirusowej należy utworzyć zadania grupowe odpowiedzialne za pobieranie uaktualnień dla wszystkich aplikacji antywirusowych tworzących system ochrony antywirusowej na komputerach klienckich. Aby na komputerach klienckich instalowane były te same wersje baz danych i modułów programu, jako źródło aktualizacji należy wybrać serwer administracyjny. Można to zrobić we właściwościach zadania pobierania uaktualnień dla aplikacji. Jeśli w zadaniu aktualizacji aplikacji jako źródło wybrano serwer administracyjny, wówczas w przypadku użycia hierarchicznej struktury serwerów komputery klienckie otrzymają uaktualnienia od serwera, z którym były połączone (czyli od serwera podrzędnego a nie serwera głównego). Tworzenie zadań aktualizacji dla aplikacji zostało szczegółowo opisane w odpowiedniej dokumentacji dostępnej dla tych aplikacji. W przypadku zadań aktualizacji można użyć zakładki Terminarz (zobacz poniższy rysunek), aby wybrać opcję uruchamiania Po pobraniu nowych uaktualnień do repozytorium. Umożliwia ona zmniejszenie ruchu sieciowego oraz liczby prób dostępu do serwera administracyjnego podejmowanych przez komputery klienckie, a także pozwala uniknąć błędów, jakie mogą wystąpić podczas tworzenia zadań aktualizacji dla grup administracyjnych i komputerów klienckich. 67

68 Rysunek 29. Tworzenie terminarza dla zadania aktualizacji W celu zmniejszenia obciążenia serwerów administracyjnych zalecamy użyć Agentów aktualizacji (patrz sekcja "Rozsyłanie uaktualnień poprzez agenty aktualizacji" na stronie 70), które mogą rozsyłać uaktualnienia w obrębie grupy administracyjnej. Po włączeniu opcji multicast IP agenty aktualizacji będą także rozsyłać ustawienia profili i zadań. POBIERANIE UAKTUALNIEŃ DLA SERWERÓW PODRZĘDNYCH I ICH KOMPUTERÓW KLIENCKICH Aplikacje pobiorą uaktualnienia z serwera administracyjnego, z którym połączony jest komputer, czyli z serwera podrzędnego a nie serwera głównego. Jeżeli w sieci komputerów utworzona jest hierarchiczna struktura serwerów administracyjnych, wówczas konfiguracja serwerów podrzędnych, aby pobierały uaktualnienia i rozsyłały je do swoich komputerów klienckich (które są z nimi połączone), będzie uwzględniała wykonanie następujących czynności: 1. Utworzenie zadania pobierania uaktualnień dla każdego podrzędnego serwera administracyjnego. 2. Wybranie w ustawieniach zadania pobierania uaktualnień dla serwerów podrzędnych jako źródła uaktualnień Głównego serwera administracyjnego (zobacz poniższy rysunek). 68

69 Rysunek 30. Aktualizowanie z nadrzędnego serwera administracyjnego 3. W ustawieniach zadania pobierania uaktualnień na głównym serwerze administracyjnym włącz automatyczną dystrybucję uaktualnień na serwery podrzędne. Służy do tego opcja Wymuś aktualizację na serwerach podrzędnych (zobacz poniższy rysunek). Rysunek 31. Konfigurowanie pozostałych ustawień zadania 4. Wybierz (jeśli to konieczne) Agentów aktualizacji (patrz sekcja "Rozsyłanie uaktualnień poprzez agenty aktualizacji" na stronie 70) w obrębie grup administracyjnych. 69

70 ROZSYŁANIE UAKTUALNIEŃ POPRZEZ AGENTY AKTUALIZACJI Do rozesłania uaktualnień do komputerów klienckich można użyć agentów aktualizacji, czyli komputerów pełniących rolę centrów pośredniczących w dystrybucji uaktualnień i pakietów instalacyjnych w obrębie danej grupy administracyjnej. Otrzymują one uaktualnienia od serwera administracyjnego i przechowują je w folderze docelowym określonym podczas instalacji aplikacji. Folder docelowy można zmienić we właściwościach agenta aktualizacji. W tym przypadku kopiowane są tylko te uaktualnienia, których wymaga dana grupa. Następnie komputery klienckie nawiązują połączenia z agentami w celu uzyskania uaktualnień. Tworzenie listy agentów aktualizacji oraz ich konfiguracja odbywa się w oknie właściwości grupy, na zakładce Agenty aktualizacji (zobacz poniższy rysunek). Oprócz pakietów aktualizacji, agenty rozsyłają także ustawienia zasad grupy i zadań grupowych. Rysunek 32. Tworzenie listy agentów aktualizacji 70

71 ZARZĄDZANIE SIECIĄ Jako część zarządzania grupami administracyjnymi zalecamy: Regularnie generować i przeglądać raporty o działaniu aplikacji na komputerach klienckich (patrz sekcja "Raporty" na stronie 79). Czytać powiadomienia wysyłane z komputerów klienckich i serwera administracyjnego. Pełna lista powiadomień tworzonych przez aplikacje firmy Kaspersky Lab znajduje się w odpowiedniej dokumentacji dostępnej dla tych produktów. Regularnie przeprowadzać aktualizację (patrz sekcja "Aktualizowanie bazy danych i modułów programu" na stronie 64) baz danych i modułów aplikacji zainstalowanych na komputerach klienckich. Regularnie sprawdzać rozmiar bazy danych i ilość wolnego miejsca na dysku potrzebnego do przechowywania tej bazy na serwerze administracyjnym. Na bieżąco dodawać nowe komputery w sieci do grup administracyjnych i instalować na nich potrzebne aplikacje antywirusowe. Regularnie tworzyć kopie zapasowe danych systemu administracyjnego (patrz sekcja "Tworzenie kopii zapasowej i przywracanie danych serwera administracyjnego" na stronie 90). Regularnie sprawdzać stan licencji dla aplikacji zainstalowanych w sieci oraz odnawiać te licencje, jeśli będzie to konieczne (patrz sekcja "Odnawianie licencji" na stronie 72). Przeglądać informacje o zdarzeniach, które wystąpiły na serwerze administracyjnym i podczas działania aplikacji, które ten serwer kontrolują (patrz sekcja "Dzienniki zdarzeń. Wybory zdarzeń" na stronie 75). Monitorować stan Kwarantanny (patrz sekcja "Kwarantanna i Kopia zapasowa" na stronie 73) i informacje o plikach nieprzetworzonych (patrz sekcja "Pliki nieprzetworzone" na stronie 90). Zarządzać obiektami na komputerach klienckich z poziomu stacji roboczej administratora (jeśli jest to konieczne). Na przykład leczyć zainfekowane pliki. Kaspersky Administration Kit posiada wbudowane funkcje, które ułatwiają zarządzanie siecią: wyszukiwanie komputerów, grup administracyjnych i podrzędnych serwerów administracyjnych według określonych parametrów (patrz sekcja "Wykrywanie komputerów" na stronie 82); zarządzanie rejestrem aplikacji (patrz sekcja "Rejestr aplikacji" na stronie 86); kontrolowanie epidemii wirusów (patrz strona 87). 71

72 W TEJ SEKCJI Odnawianie licencji Kwarantanna i Kopia zapasowa Dzienniki zdarzeń. Wybory zdarzeń Raporty Wykrywanie komputerów Wybory komputerów Rejestr aplikacji Kontrola epidemii wirusów Pliki nieprzetworzone Tworzenie kopii zapasowej i przywracanie danych serwera administracyjnego ODNAWIANIE LICENCJI Prawo do korzystania z oprogramowania firmy Kaspersky Lab jest nadawane zgodnie z Umową licencyjną w momencie zakupu. W okresie ważności licencji jesteś uprawniony do: korzystania z funkcji aplikacji antywirusowej; aktualizowania baz danych aplikacji; aktualizowania aplikacji; korzystania z pomocy technicznej w zakresie instalacji, konfiguracji i działania aplikacji za pośrednictwem telefonu lub formularza znajdującego się na stronie pomocy technicznej firmy Kaspersky Lab; wysyłania zainfekowanych i podejrzanych obiektów do analizy do firmy Kaspersky Lab. Do działania Kaspersky Administration Kit nie jest wymagana licencja! Podczas kontaktowania się z działem pomocy technicznej należy podać informacje o licencji na aplikacje firmy Kaspersky Lab, które są zarządzane poprzez Kaspersky Administration Kit. Kaspersky Administration Kit sprawdza obecność licencji, która jest ważną częścią każdego produktu firmy Kaspersky Lab, i identyfikuje jej okres ważności. Aplikacja może mieć tylko jedną bieżącą licencję. Nakłada ona pewne ograniczenia na korzystanie z oprogramowania, które mogą być zweryfikowane przez specjalne mechanizmy. Po wygaśnięciu licencji nie będą dostępne niektóre z wymienionych korzyści. Przez odnowienie licencji rozumie się zakup i instalację nowej licencji. Program Kaspersky Administration Kit daje możliwość scentralizowanego monitorowania stanu licencji zainstalowanych na komputerach klienckich oraz ich odnowy. Jeżeli licencja jest zainstalowana przy pomocy usługi Kaspersky Administration Kit, wszystkie informacje o niej są przechowywane na odpowiednim serwerze administracyjnym. Informacje są wykorzystywane do generowania raportów o stanie zainstalowanych licencji oraz do wyświetlania powiadomień o wygaśnięciu licencji lub o przekroczeniu 72

73 maksymalnej liczby aplikacji korzystających z licencji. Parametry powiadamiania o stanie kluczy licencyjnych mogą być modyfikowane w ustawieniach serwera administracyjnego. Do wygenerowania raportu o stanie licencji zainstalowanej na komputerach klienckich można użyć wewnętrznego szablonu Raport o użyciu licencji lub utworzyć nowy szablon tego samego typu. Raport utworzony przy pomocy szablonu Raport o użyciu licencji zawiera pełne informacje o wszystkich licencjach zainstalowanych na komputerach klienckich (zarówno o aktualnych licencjach, jak i zapasowych), wskazując, które komputery zawierają jakie klucze oraz ograniczenia licencji. Pełna lista licencji zainstalowanych na komputerach klienckich znajduje się w folderze Repozytoria Licencje (zobacz poniższy rysunek). W panelu wyników wyświetlane są pełne informacje dla każdej licencji. Pełną listę kolumn panelu wyników dla foldera Licencje można znaleźć w Dokumentacji dodatkowej. Rysunek 33. Licencje Podczas przeglądania okna konfiguracji właściwości aplikacji możliwe jest sprawdzenie, jakie klucze licencyjne są zainstalowane dla aplikacji na określonym komputerze klienckim. W celu zainstalowania klucza licencyjnego należy utworzyć i uruchomić zadanie instalacji licencji. Zadanie instalacji licencji może być utworzone jako zadanie grupowe lub lokalne lub nawet jako zadanie dla wskazanych komputerów. Do utworzenia tego zadania można użyć kreatora. Do zamiany lub aktywacji zainstalowanej licencji możesz użyć istniejącego zadania po uprzednim wprowadzeniu zmian w jego ustawieniach. KWARANTANNA I KOPIA ZAPASOWA Praca z folderami Kwarantanna i Kopia zapasowa jest możliwa w programach Kaspersky Anti-Virus for Windows Workstations i Kaspersky Anti-Virus for Windows Servers w wersjach 6.0 i nowszych. Aplikacje antywirusowe posiadają funkcje dające możliwość trzymania pewnych obiektów w specjalnych repozytoriach. Każdy komputer ma swoje własne foldery Kwarantanny i Kopii zapasowej. Kwarantanna jest miejscem służącym do przechowywania podejrzanych obiektów, natomiast Kopia zapasowa służy do przechowywania kopii zapasowych zainfekowanych obiektów, które zostały utworzone przed wyleczeniem lub usunięciem tych obiektów. Kaspersky Administration Kit umożliwia przechowywanie scentralizowanej listy obiektów umieszczonych przez aplikacje firmy Kaspersky Lab w ich repozytoriach. Agenty sieciowe wysyłają informacje z komputerów klienckich w celu zapisania ich w bazie danych na odpowiednim serwerze administracyjnym. Dzięki temu, przy użyciu konsoli administracyjnej możesz przeglądać właściwości obiektów umieszczonych w lokalnych repozytoriach, uruchamiać skanowanie antywirusowe tych repozytoriów i usuwać przechowywane obiekty. 73

74 W celu zezwolenia na zdalne zarządzanie obiektami w lokalnych miejscach przechowywania, W profilu aplikacji, w sekcji Powiadom serwer administracyjny zaznacz następujące pola (patrz rysunek poniżej): Informacje o obiektach poddanych kwarantannie. Informacje o kopiach zapasowych obiektów. Informacje o nieprzetworzonych obiektach. Ustawienia repozytoriów są konfigurowane indywidualnie dla każdej aplikacji: w ustawieniach profilu lub aplikacji. Rysunek 34. Konfigurowanie zdalnych repozytoriów Możesz przeglądać obiekty znajdujące się w repozytoriach komputerów klienckich należących do grup administracyjnych oraz pracować z nimi w folderze Repozytoria (zobacz poniższy rysunek). Kaspersky Administration Kit nie kopiuje obiektów na serwer administracyjny. Wszystkie obiekty są przechowywane na komputerach klienckich lokalnie. Obiekty są przywracane do foldera wskazanego przez administratora na komputerze z zainstalowaną aplikacja antywirusową, która umieściła ten obiekt w repozytorium. 74

75 Rysunek 35. Przeglądanie zawartości repozytorium DZIENNIK ZDARZEŃ. WYBORY ZDARZEŃ Kaspersky Administration Kit posiada funkcję szczegółowego monitorowania systemu ochrony antywirusowej. Istnieje możliwość prowadzenia dzienników zdarzeń, które wystąpiły podczas działania serwera administracyjnego oraz wszystkich aplikacji zarządzanych przy pomocy Kaspersky Administration Kit. Informacje mogą być zapisywane zarówno w raporcie systemu Microsoft Windows, jak i dzienniku zdarzeń Kaspersky Administration Kit. Dzienniki są używane do zapisywania zdarzeń, które wystąpiły w trakcie pracy aplikacji lub pojawiły się w wynikach zadań. Możesz zdefiniować listę zdarzeń, które mają być rejestrowane oraz określić procedurę powiadamiania administratorów i pozostałych użytkowników o tych zdarzeniach. Ustawienia te są określane w profilu grupy dla aplikacji. Znajdują się one na zakładce Zdarzenia (zobacz poniższy rysunek) znajdującej się w oknie właściwości profilu grupy. 75

76 Rysunek 36. Modyfikowanie profilu. Zakładka Zdarzenia W ustawieniach zadania można zdefiniować sposób zapisywania wyników zadania, format oraz metodę powiadamiania o nich. Powiadomienie może zostać dostarczone za pośrednictwem poczty elektronicznej, poprzez sieć lub przez uruchomienie określonego programu lub skryptu. Informacje o zarejestrowanych zdarzeniach oraz wynikach zadania mogą być przechowywane w sposób scentralizowany na serwerze administracyjnym oraz lokalnie na każdym komputerze klienckim. Informacje znajdujące się w dzienniku zdarzeń systemu Microsoft Windows można przeglądać za pomocą standardowego rozszerzenia konsoli Microsoft Management Console (MMC) - Podgląd zdarzeń. Informacje znajdujące się w dzienniku zdarzeń programu Kaspersky Administration Kit, który jest przechowywany na serwerze administracyjnym, można przeglądać w folderze Wybory zdarzeń i komputerów Zdarzenia dostępnym w drzewie konsoli (zobacz poniższy rysunek). 76

77 Rysunek 37. Przeglądanie dziennika zdarzeń programu Kaspersky Administration Kit Aby ułatwić przeglądanie i wyszukiwanie danych, informacje znajdujące się w folderze Zdarzenia dystrybuowane są w wyborach. Domyślnie dostępne są następujące kryteria wyboru: Ostatnie zdarzenia, Zdarzenia krytyczne, Błędy funkcjonalne, Ostrzeżenia, Zdarzenia audytu oraz Zdarzenia informacyjne. Kryteria umożliwiają wyszukiwanie i wyświetlanie posegregowanych informacji o zarejestrowanych zdarzeniach, gdyż po zastosowaniu wyszukiwania dostępne stają się tylko dane odpowiadające wybranym ustawieniom. Jest to bardzo ważne, gdyż na serwerze przechowywanych jest bardzo dużo informacji. Istnieje możliwość utworzenia większej ilości kryteriów wyboru, zmiany zestawu wyświetlanych kolumn oraz zapisania wyboru zdarzeń do pliku tekstowego. Aby utworzyć kryteria wyboru, użyj odnośnika Utwórz nowy wybór znajdującego się w panelu wyników, lub polecenia Nowy Nowy wybór dostępnego w menu kontekstowym foldera Zdarzenia. Po wykonaniu tej czynności folder z nazwą nadaną kryterium pojawi się w drzewie konsoli, w folderze Zdarzenia. Będzie on zawierał wszystkie zdarzenia i wyniki zadania. Aby zmienić wyświetlane dane, należy skonfigurować kryterium wyboru (zobacz poniższy rysunek). 77

78 Rysunek 38. Dostosowywanie wyboru zdarzeń. Zakładka Zdarzenia Zarejestrowane zdarzenia są usuwane automatycznie (po upłynięciu czasu przechowywania określonego w profilu) lub ręcznie przy użyciu polecenia Usuń dostępnego w menu kontekstowym. Możesz usunąć indywidualne zdarzenie wybrane w panelu wyników, wszystkie zdarzenia lub zdarzenia odpowiadające określonym warunkom. Lista zdarzeń zarejestrowanych podczas pracy aplikacji na każdym komputerze klienckim może być przeglądana w oknie Zdarzenia (zobacz poniższy rysunek). Dostęp do tego okna można uzyskać po kliknięciu polecenia Zdarzenia, znajdującego się w menu kontekstowym. W oknie wyświetlane są informacje z dziennika zdarzeń programu Kaspersky Administration Kit przechowywanego na serwerze administracyjnym. W celu wyszukania potrzebnych informacji możesz użyć filtra zdarzeń. 78

79 Rysunek 39. Przeglądanie zdarzeń przechowywanych na serwerze administracyjnym RAPORTY Możesz otrzymywać raporty o stanie ochrony antywirusowej utworzone na podstawie danych przechowywanych na serwerze administracyjnym. Możesz śledzić stan ochrony antywirusowej komputera klienckiego, korzystając z danych zapisanych w rejestrze systemowym za pomocą agenta sieciowego. Raporty mogą być generowane dla: całego systemu ochrony antywirusowej; komputerów określonej grupy administracyjnej; zestawu komputerów klienckich z różnych grup administracyjnych; systemu ochrony antywirusowej odpowiadającego podrzędnym serwerom administracyjnym. Obsługiwane są następujące typy raportów: Stan ochrony: Raport o stanie ochrony zawiera informacje o komputerach klienckich, które nie posiadają odpowiedniego poziomu ochrony antywirusowej. Raport o błędach zawiera informacje o błędach, które zostały zarejestrowane w funkcjonowaniu aplikacji zainstalowanych na komputerach klienckich. 79

80 Raport o zdarzeniach zawiera listę zdarzeń aplikacji dla wybranej grupy. System dodaje do listy tylko te zdarzenia, które zostały określone podczas tworzenia raportu. Raport o aktywności Agentów aktualizacji zawiera statystyki z działania agentów aktualizacji w wybranych grupach administracyjnych. Raport o podrzędnych serwerach administracyjnych zawiera informacje o podrzędnych serwerach administracyjnych znajdujących się w wybranych grupach administracyjnych. Instalacja: Raport o używanej licencji zawiera informacje o stanie licencji używanych przez aplikacje firmy Kaspersky Lab oraz o ograniczeniach tych licencji. Raport o wersjach oprogramowania Kaspersky Lab zawiera informacje o wersjach programów antywirusowych firmy Kaspersky Lab, które są zainstalowane na komputerach klienckich. Raport o niekompatybilnych aplikacjach zawiera informacje o aplikacjach antywirusowych innych producentów, które są zainstalowane na komputerach klienckich, lub programach firmy Kaspersky Lab, które nie mogą być zarządzane poprzez Kaspersky Administration Kit. Raport o obszarze ochrony zawiera listę komputerów w sieci oraz informacje o aplikacjach antywirusowych zainstalowanych na tych komputerach. Aktualizacja: Raport o używanych antywirusowych bazach danych zawiera informacje o wersjach baz danych używanych przez aplikacje. Raport o wersjach uaktualnień dla aplikacji Kaspersky Lab zawiera podsumowujące informacje o wersjach uaktualnień zainstalowanych dla modułów programu, liczbie zainstalowanych uaktualnień oraz liczbie komputerów i grup, w których zostały zainstalowane. Statystyki antywirusowe: Raport o wirusach dostarcza informacji o wynikach skanowania antywirusowego komputerów klienckich. Raport o najbardziej zainfekowanych komputerach zawiera informacje o komputerach klienckich, których skanowanie wykryło obecność największej liczby podejrzanych obiektów. Raport o atakach sieciowych dostarcza informacji o atakach sieciowych zarejestrowanych na komputerach klienckich. Raport zbiorczy o aplikacjach chroniących stacje robocze i serwery plików zawiera szczegółowe informacje o zainstalowanych aplikacjach zabezpieczających stacje robocze i serwery plików, a także informacje o zainfekowanych obiektach wykrytych przez aplikacje tego typu i odpowiednie działania. Raport zbiorczy o aplikacjach chroniących systemy pocztowe zawiera szczegółowe informacje o zainstalowanych aplikacjach antywirusowych zabezpieczających serwery pocztowe, a także informacje o zainfekowanych obiektach wykrytych przez aplikacje tego typu i odpowiednie działania. Raport zbiorczy o aplikacjach chroniących styk sieci z Internetem zawiera szczegółowe informacje o zainstalowanych aplikacjach antywirusowych zabezpieczających styk sieci z Internetem, a także informacje o zainfekowanych obiektach wykrytych przez aplikacje tego typu i odpowiednie działania. Raport zbiorczy o typach zainstalowanych aplikacji zawiera informacje o typach aplikacji antywirusowych zainstalowanych na komputerach klienckich oraz informacje o zainfekowanych obiektach wykrytych przez aplikacje tego typu i odpowiednie działania. Raport o użytkownikach zainfekowanych komputerów zawiera informacje o użytkownikach sieci, których komputery mają największą liczbę wykrywanych wirusów. 80

81 Pozostałe: Raport o rejestrze aplikacji zawiera informacje o wszystkich aplikacjach zainstalowanych na komputerach klienckich należących do grup administracyjnych. Raport o notatkach administratora wyświetla listę notatek administratora, które zostały zapisane w grupie w określonym przedziale czasu. Raporty można wygenerować przy pomocy dostępnych szablonów. Większość domyślnych szablonów znajduje się w folderze Raporty i powiadomienia drzewa konsoli (zobacz poniższy rysunek). W kreatorze tworzenia szablonów można wybrać dodatkowe szablony. Rysunek 40. Przeglądanie listy raportów Istnieje kilka standardowych szablonów odpowiadających typom raportów opisujących stan ochrony antywirusowej. Możesz tworzyć nowe szablony, usuwać istniejące, przeglądać oraz modyfikować ich ustawienia. Aby przeglądać raporty, użyj panelu wyników węzła odpowiadającego szablonowi, który jest potrzebny do utworzenia raportu lub domyślnej przeglądarki internetowej. Jeżeli wykorzystujesz hierarchiczną strukturę serwerów administracyjnych, możesz tworzyć raporty zbiorcze zawierające informacje z podrzędnych serwerów administracyjnych. Jeżeli jakieś serwery administracyjne są niedostępne, informacja na ten temat zostanie zawarta w raporcie. W celu zapisania raportu należy wybrać go w drzewie konsoli i otworzyć jego menu kontekstowe, a następnie kliknąć polecenie Zapisz. W oknie uruchomionego kreatora określ folder, w którym trzymane będą pliki raportu, a następnie z listy rozwijalnej wybierz format, w jakim te pliki będą zapisywane. Kliknij przycisk Zakończ. 81

82 WYKRYWANIE KOMPUTERÓW Aby przejrzeć informacje o pojedynczym komputerze lub o grupie komputerów, możesz użyć funkcji wyszukiwania komputerów według określonych kryteriów. Podczas wyszukiwania komputerów program może korzystać z informacji podrzędnych serwerów administracyjnych. Rezultaty wyszukiwania mogą być zapisane do pliku tekstowego. Funkcja wyszukiwania umożliwia znalezienie: komputerów klienckich w grupach administracyjnych serwera administracyjnego i jego serwerów podrzędnych; komputerów, które nie są dodane do grup administracyjnych, ale umieszczone w sieciach komputerów, w których zainstalowany jest serwer administracyjny i jego serwery podrzędne; wszystkich komputerów w sieciach, gdzie serwer administracyjny i jego serwery podrzędne są zainstalowane, bez względu na to, czy należą do grup administracyjnych. Aby wyszukać komputery, w drzewie konsoli użyj polecenia Wyszukaj znajdującego się w menu kontekstowym węzła Serwer administracyjny, foldera Nieprzypisane komputery, foldera Zarządzane komputery lub folderów zagnieżdżonych grup administracyjnych (zobacz poniższy rysunek). Do tego celu możesz także użyć odnośników znajdujących się na panelu zadań: Znajdź nieprzypisane komputery dla foldera Nieprzypisane komputery oraz Znajdź zarządzane komputery dla folderów dostępnych w folderze Zarządzane komputery. 82

83 Rysunek 41. Wykrywanie komputerów. Zakładka Sieć W zależności od wyszukiwanego węzła lub foldera, wyświetlone zostaną następujące wyniki: Folder Zarządzane komputery lub jakikolwiek z jego podfolderów wyszukiwanie komputerów klienckich połączonych serwerem administracyjnym, który zarządza wybrana grupą. Wyszukiwanie będzie się odbywać z wykorzystaniem informacji o strukturze folderów serwera administracyjnego i jego serwerów podrzędnych (jeśli w ustawieniach wyszukiwania zaznaczono opcję Uwzględnij dane z podrzędnych serwerów (do poziomu)). W folderze Nieprzypisane komputery wyszukiwanie komputerów nienależących do grup administracyjnych w obrębie sieci, w której zainstalowany jest serwer administracyjny. Wyszukiwanie będzie się odbywać z użyciem danych zgromadzonych przez serwer administracyjny i serwery podrzędne (jeśli w ustawieniach wyszukiwania zaznaczono opcję Uwzględnij dane z podrzędnych serwerów (do poziomu)) podczas przeszukiwania sieci komputerowej. 83

84 Wyszukiwanie wyświetli komputery znajdujące się w podfolderze foldera Nieprzypisane komputery wskazanego do przeszukania oraz w folderze Nieprzypisane komputery znajdującym się na wszystkich serwerach podrzędnych (jeśli w ustawieniach wyszukiwania zaznaczono opcję Uwzględnij dane z podrzędnych serwerów (do poziomu)). Serwer administracyjny <nazwa serwera> wyszukiwanie komputerów na całym obszarze. Wyszukiwanie odbędzie się w oparciu o informacje o strukturze grup administracyjnych oraz dane zgromadzone przez serwer administracyjny i serwery podrzędne (jeśli w ustawieniach wyszukiwania zaznaczono opcję Uwzględnij dane z podrzędnych serwerów (do poziomu)) podczas przeszukiwania sieci komputerowej. Wynikiem wyszukiwania będą: komputery klienckie zawarte w grupach administracyjnych wybranego serwera administracyjnego i jego wszystkich serwerów podrzędnych (jeśli w ustawieniach wyszukiwania zaznaczono opcję Uwzględnij dane z podrzędnych serwerów (do poziomu)). komputery należące do grupy Nieprzypisane komputery wybranego serwera administracyjnego oraz do grup Nieprzypisane komputery jego serwerów podrzędnych (jeśli w ustawieniach wyszukiwania zaznaczono opcję Uwzględnij dane z podrzędnych serwerów (do poziomu)). Aby wyszukać, zapisać i wyświetlić informacje o komputerach znajdujących się w danym folderze drzewa konsoli, użyj funkcji tworzenia kryterium wyboru komputerów. WYBORY KOMPUTERÓW W celu posiadania elastycznej kontroli nad stanem komputerów klienckich, informacje o nich (tworzone w oparciu o różne kryteria) wyświetlane są w oddzielnym folderze drzewa konsoli Wybory zdarzeń i komputerów Wybory komputerów (zobacz poniższy rysunek). Rysunek 42. Wybory komputerów 84

85 Diagnostyka stanu komputera klienckiego jest tworzona w oparciu o dane opisujące stan ochrony antywirusowej hosta i informacje o jego aktywności sieciowej. Ustawienia diagnostyczne można skonfigurować indywidualnie dla każdej grupy administracyjnej na zakładce Stan komputera (zobacz poniższy rysunek). Rysunek 43. Konfigurowanie diagnostyki stanu komputera klienckiego Informacja o nowych komputerach jest tworzona w oparciu o wyniki przeszukiwania sieci przez serwer administracyjny. Istnieje możliwość utworzenia większej ilości kryteriów wyboru, zmiany zestawu wyświetlanych kolumn oraz zapisania wyboru zdarzeń do pliku tekstowego. Aby dodać komputery do kryterium wyboru, skonfiguruj ustawienia wyboru (zobacz poniższy rysunek). Wybór może zostać użyty do wyszukania, a następnie do przeniesienia wyszukanych komputerów do grup administracyjnych. Do przenoszenia można użyć myszy. 85

86 Rysunek 44. Konfigurowanie kryteriów wyboru komputerów REJESTR APLIKACJI Folder ten jest wyświetlany lub ukrywany w zależności od ustawień interfejsu aplikacji. Aby folder ten był wyświetlany, przejdź do menu Widok Konfigurowanie interfejsu i włącz opcję Wyświetlaj rejestr aplikacji. W celu przeglądania rejestru aplikacji zainstalowanych na komputerach znajdujących się w sieci, otwórz folder Repozytoria Rejestr aplikacji. Informacje o aplikacjach są uzyskiwane z rejestru systemu komputerów klienckich, znajdujących się w sieci korporacyjnej LAN i są umieszczone w tabeli zawierającej następujące pola: Nazwa nazwa aplikacji; Wersja wersja aplikacji; Dostawca nazwa dostawcy; Liczba komputerów liczba hostów w sieci, na których aplikacja jest zainstalowana; Komentarze krótki opis aplikacji; Pomoc techniczna strona internetowa działu pomocy technicznej; 86

87 Telefon pomocy technicznej numer telefonu działu pomocy technicznej. Pola Komentarze, Pomoc techniczna oraz Telefon pomocy technicznej mogą być puste, jeśli dostawca aplikacji nie uwzględnił możliwości dodania tych informacji do rejestru systemu podczas instalacji aplikacji. Aby przejrzeć informacje o aplikacjach spełniających określone kryteria, możesz użyć filtra. System umożliwia przeglądanie listy komputerów, na których zainstalowane jest dane oprogramowanie. KONTROLA EPIDEMII WIRUSÓW Kaspersky Administration Kit umożliwia kontrolę aktywności wirusów na komputerach klienckich przy użyciu zdarzenia Epidemia wirusa zarejestrowanego podczas działania serwera administracyjnego. Funkcja ta jest bardzo przydatna podczas okresów epidemii wirusów, gdyż daje administratorom możliwość reagowania w odpowiedniej chwili na zagrożenia ataku wirusów. Kryteria, w oparciu o które rejestrowane jest zdarzenie Epidemia wirusa, są definiowane we właściwościach serwera administracyjnego, na zakładce Epidemia wirusa (zobacz poniższy rysunek). Zdarzenie może zostać zarejestrowane dla kilku typów aplikacji. W celu włączenia rozpoznawania epidemii wirusów, zaznacz pola obok żądanych typów aplikacji: Oprogramowanie antywirusowe dla stacji roboczych i serwerów plików. Oprogramowanie antywirusowe do ochrony styku sieci z Internetem. Ochrona antywirusowa systemów pocztowych. Dla każdego typu aplikacji należy określić próg aktywności wirusa, którego przekroczenie spowoduje wygenerowanie zdarzenia Epidemia wirusa: Pole Wirusy liczba wirusów znalezionych przez aplikacje tego typu. Pole w czasie (min) okres czasu, w którym wykryta została określona liczba wirusów. 87

88 Rysunek 45. Przeglądanie właściwości serwera administracyjnego. Zakładka Epidemia wirusa Zdarzenie Epidemia wirusa jest generowane w oparciu o zdarzenie Wykrycie zainfekowanych obiektów, które wystąpiło podczas działania oprogramowania antywirusowego. Dlatego, aby doszło do wykrycia epidemii wirusa, wszystkie informacje o tych zdarzeniach powinny być przechowywane na serwerze administracyjnym. W tym celu, w profilach wszystkich aplikacji antywirusowych wybierz odpowiednie ustawienia. W oknie właściwości zdarzenia Wykrycie zainfekowanych obiektów należy zaznaczyć pole Na serwerze administracyjnym przez (dni). 88

89 Rysunek 46. Konfigurowanie rejestrowania zdarzeń Powiadamianie o zdarzeniu Epidemia wirusa jest definiowane na serwerze administracyjnym, we właściwościach zdarzenia, w sekcji Powiadamianie o zdarzeniach (patrz rysunek poniżej). Automatyczna zmiana aktualnego profilu aplikacji może być skonfigurowana jako odpowiedź na epidemię wirusa. Zestaw profili dla każdego typu epidemii wirusa jest definiowany w oknie Aktywacja profilu, które zostanie otwarte po kliknięciu odnośnika Skonfiguruj profile aktywowane po wystąpieniu zdarzenia "Epidemia wirusa". Jest on dostępny w oknie właściwości serwera administracyjnego, na zakładce Epidemia wirusa. Podczas zliczania zdarzeń Wykrycie zainfekowanych obiektów pod uwagę brane są wyłącznie informacje z komputerów klienckich nadrzędnego serwera administracyjnego. Dla każdego serwera podrzędnego zdarzenie Epidemia wirusa jest konfigurowane indywidualnie. 89

90 Rysunek 47. Modyfikowanie ustawień powiadamiania pocztą elektroniczną PLIKI NIEPRZETWORZONE Informacje na temat plików, dla których zaplanowane skanowanie i leczenie zostało odroczone, znajdziesz w folderze Repozytoria Nieprzetworzone pliki. Folder ten zawiera informacje o wszystkich takich plikach na serwerach administracyjnych i komputerach klienckich. Odroczone przetwarzanie plików i ich leczenie wykonywane są na żądanie lub po określonym zdarzeniu. Możesz skonfigurować ustawienia dla odroczonego leczenia wybranych plików. TWORZENIE KOPII ZAPASOWEJ I PRZYWRACANIE DANYCH SERWERA ADMINISTRACYJNEGO Utworzenie kopii zapasowej umożliwi przeniesienie serwera administracyjnego z jednego komputera na drugi bez utraty danych oraz przywrócenie informacji w przypadku przeniesienia bazy danych serwera administracyjnego na inny komputer, a także wykonanie aktualizacji do nowszej wersji aplikacji Kaspersky Administration Kit. Podczas dezinstalacji serwera administracyjnego Kaspersky Administration Kit zawsze sugeruje utworzenie kopii zapasowej jego danych. 90