Hoe groter het netwerk, hoe meer de systeembeheerder (of IT-afdeling) het beheer van softwareproducten probeert te automatiseren. Antivirussoftware is in dit opzicht geen uitzondering.
Veel antivirusleveranciers hebben tools voor extern beheer in hun arsenaal; vandaag zullen we het hebben over een vergelijkbare oplossing van Kaspersky Lab.
Over het algemeen is Kaspersky Security Center een nogal serieuze applicatie, die niet met zekerheid in één artikel kan worden beschreven. Daarom zullen we in dit artikel alleen de implementatie ervan analyseren.
U kunt Kaspersky Security Center downloaden. Het product zelf bestaat uit een server die moet worden ingezet, een beheerconsole die op een andere computer kan worden geïnstalleerd voor extern serverbeheer, een webconsole als alternatief voor de gebruikelijke en een beheeragent die op clientcomputers wordt geïnstalleerd en is verantwoordelijk voor de communicatie tussen de antivirussoftware en de server.
De server zelf hoeft alleen te worden geïmplementeerd op besturingssystemen van de Windows-familie. Bovendien is de aanwezigheid van een servereditie optioneel. Systemen vanaf XP en hoger worden ondersteund, maar alleen in de Professional / Enterprise / Ultimate-edities. Een volledige lijst van ondersteunde systemen is te vinden op de website.
Daarnaast heeft de server MS SQL of MySQL nodig voor zijn werk (dat kan ook op afstand). Als er geen kant-en-klare databaseserver bij de hand is, zal het installatieprogramma van Kaspersky Security Center MS SQL Express zelf installeren, wat voor de meeste organisaties voldoende is.
Dus, om de server te implementeren, download en voer het installatiebestand uit (ik raad aan om de volledige distributie te downloaden). Als testbank hebben we gekozen voor een computer met het besturingssysteem Windows Server 2012 R2.
U ziet een handig menu waarin we momenteel geïnteresseerd zijn in het item "Kaspersky Security Center 10 installeren".
Nadat de installatie is gestart, wordt u gevraagd de licentieovereenkomst te accepteren en het type installatie te selecteren. Voor een betere controle over het installatieproces, laten we eens kijken naar de aangepaste installatie.
Als er mobiele apparaten op het netwerk zijn, kunt u een afzonderlijk onderdeel installeren om hun bescherming te beheren.
Geef de grootte van uw netwerk aan. Dit punt heeft echter geen belangrijke bepalende kracht.
Vervolgens vraagt het installatieprogramma vanaf welke gebruiker de Administration Server-service moet worden uitgevoerd. U kunt een bestaande gebruiker met beheerdersrechten opgeven, of u kunt het installatieprogramma een nieuwe laten maken.
De volgende stap is het kiezen van een databaseserver. Zoals reeds vermeld, zijn er twee opties - MS SQL of MySQL. Als u geen kant-en-klare server heeft, zal Kaspersky Security Center MS SQL Express zorgvuldig implementeren.
Bij deze stap tijdens het installatieproces kunt u voor een kleine verrassing komen te staan als .NET Framework 3.5 SP 1 niet op uw systeem is geïnstalleerd.
In Windows Server is .NET Framework 3.5 SP 1 als onderdeel ingebouwd en hoeft alleen te worden ingeschakeld. Als u geen serverbesturingssysteem heeft, moet u naar de Microsoft-website gaan en het installatieprogramma downloaden.
Laten we eens kijken naar de optie om het onderdeel op te nemen in Windows Server. Open hiervoor de Server Manager en selecteer het item "Rollen en functies toevoegen".
Er start een wizard, waarin we moeten aangeven dat we rollen of componenten gaan installeren.
Wizard Rollen en onderdelen toevoegen in Windows Server We selecteren onze server en slaan de selectie van rollen over. In de lijst met componenten vinden we Functies van het .NET Framework 3.5 en markeren deze met een vinkje.
Een component toevoegen aan Windows Server Daarna gaan we direct terug naar de installatie van Kaspersky Security Center.
We moeten de SQL-authenticatiemodus selecteren. Het kan een aparte rekening zijn of een huidige.
De Kaspersky Security Center-server heeft een gedeelde map nodig waartoe clientcomputers toegang hebben om updates en installatiepakketten te ontvangen. U kunt een nieuwe map maken of een bestaande opgeven.
We geven de poorten aan waarmee we verbinding zullen maken met de beheerserver.
We geven het adres van de server op het netwerk aan. Als de server een statisch IP-adres heeft en zal hebben, kunt u dit beperken. Maar het is nog steeds handiger om de server op naam te definiëren.
De laatste stap voor de installatie is het kiezen van de vereiste plug-ins. Met plug-ins kunt u verschillende antivirusproducten van Kaspersky Lab beheren. Dit is handig als je een hele dierentuin aan versies hebt. Plug-ins kunnen ook later worden geïnstalleerd.
Nu hoeft u alleen nog maar het installatieproces te observeren. Soms zijn plug-ins vereist om een afzonderlijke licentieovereenkomst te accepteren.
De installatie van Kaspersky Security Center is nu voltooid.
Laten we nu de initiële serverconfiguratie doornemen. De beheerconsole die met de server is geïnstalleerd, ziet er als volgt uit:
Beheerconsole van Kaspersky Security Center De console kan afzonderlijk worden geïnstalleerd. En u hoeft zelfs niet elke keer in te loggen op de server voor routinematige acties.
Servers worden vermeld in de linkerkolom. Tot nu toe is daar alleen onze nieuw gecreëerde server. Als u meerdere servers beheert, klikt u op Beheerserver toevoegen.
Klik dus op de server die u zojuist hebt gemaakt en de Quick Start Wizard zal starten. U wordt gevraagd om het programma te activeren met een code of sleutel. Dit kan echter later worden gedaan.
Bovendien zal de wizard uw toestemming vragen om deel te nemen aan het Kaspersky Security Network-programma. In feite is dit een andere spion op uw computers, die gegevens naar Kaspersky Lab stuurt over welke bronnen u bezoekt en waar u de infectie oploopt. Dit wordt gemotiveerd door het creëren van een bepaalde kennisbasis. Naar mijn mening is de betekenis van deelname aan een dergelijk programma voor de eindgebruiker twijfelachtig.
U wordt ook gevraagd om mailboxen op te geven voor meldingen van de Kaspersky Security Center-server. U kunt deze stap overslaan.
Na al deze stappen begint de server met het downloaden van de nieuwste updates van het netwerk. In de toekomst zal het mogelijk zijn om als updatebron geen Kaspersky Lab-server op internet te configureren, maar een upstream-server, als er meerdere op uw netwerk zijn.
Na het downloaden van de updates en polling van het netwerk, zal de wizard een succesbericht weergeven en aanbieden om de Protection Deployment Wizard op werkstations te starten.
We zullen het hebben over het implementeren van bescherming op werkstations in.
Doel van het werk.
Dit lab richt zich op het installeren van de Security Center Antivirus Management Server.
Voorlopige informatie.
Voordat u doorgaat met de installatie, moet u beslissen over het algemene scenario voor het implementeren van antivirusbescherming. Er zijn twee hoofdscenario's die worden voorgesteld door de ontwikkelaars van Security Center:
- - implementatie van antivirusbescherming binnen drie organisaties;
- - implementatie van antivirusbescherming voor het netwerk van de klantorganisatie (gebruikt door organisaties die optreden als ssrvisnroviders). Dezelfde regeling kan worden toegepast binnen een organisatie met meerdere onderafdelingen op afstand, waarvan de computernetwerken onafhankelijk van het netwerk van het hoofdkantoor worden beheerd.
In deze labs wordt het eerste scenario uitgevoerd. Als u van plan bent de tweede te gebruiken, moet u bovendien de component Web-Console installeren en configureren. En hier is het nodig om te zeggen over de architectuur van het Security Center. Het bevat de volgende componenten:
- 1. Beheerserver, die de functies vervult van gecentraliseerde opslag van informatie over de LAN-programma's die in het netwerk van de organisatie zijn geïnstalleerd en het beheer ervan.
- 2. Administratief agent interageert tussen de Administration Server en de LC-programma's die op de computer zijn geïnstalleerd. Er zijn versies van de Agent voor verschillende besturingssystemen - Windows, Novell en Unix.
- 3. Beheerconsole biedt een gebruikersinterface voor het beheren van de server. Administration Console is gemaakt als onderdeel van een uitbreiding op Microsoft Management
Console (MMS). Hiermee kunt u zowel lokaal als op afstand verbinding maken met de Administration Server, via een lokaal netwerk of via internet.
4. Kaspersky Security Center-webconsole is ontworpen om de status van antivirusbescherming te bewaken in het netwerk van een klantorganisatie die wordt beheerd door Kaspersky Security Center. Het gebruik van dit onderdeel wordt in dit lab niet onderzocht.
- 1. Beheerserver en console installeren en configureren.
- 2. Aanmaken van beheergroepen en distributie van clientcomputers daartussen.
- 3. Installatie op afstand op clientcomputers van de Network Agent en antivirusprogramma's van de LC.
- 4. Bijwerken van handtekeningdatabases van LC-programma's op clientcomputers.
- 5. Meldingen over antconfigureren.
- 6. De scantaak op aanvraag starten en de werking van gebeurtenismeldingen op clientcomputers controleren.
- 7. Analyse van rapporten.
- 8. Configureren van automatische installatie van antivirusprogramma's op nieuwe computers in het netwerk.
Dit lab zal de implementatie van de eerste fase evalueren. In afb. Figuur 5.35 toont een diagram van een laboratoriumbank die een beveiligd netwerk simuleert (het werd ook eerder beschreven in Tabel 5.4). Het doel van dit lab is om de Security Center Server en Administration Console op de AVServ te installeren.
Rijst. 5.35.
Tabel 5.5
Verschillen in versies van de distributiekit van Kaspersky Security Center 9.0
|
onderdeel |
Vol |
|
|
versie |
versie |
|
|
Beheerserver-distributiekit |
||
|
Kaspersky Endpoint Security for Windows-distributiekit |
||
|
Network Agent-distributiekit |
||
|
Microsoft SQL 2005 Server Express-editie |
||
|
Microsoft .NET Framework 2.0 SP1 |
||
|
Microsoft Data Access Component 2.8 |
||
|
Microsoft Windows Installer 3.1 |
||
|
Kaspersky Security Center System Health Validator |
De distributiekit van Security Center kan worden gedownload via de link http://www.kaspersky.com/downloads-security-center. In dit geval kunt u de versie van de gedownloade distributie kiezen - Lite of volledig. Tafel 5.5 geeft een overzicht van de verschillen in distributieversies voor versie 9.0, die werd gebruikt bij het opstellen van de beschrijvingen van de laboratoriumwerkzaamheden. Om het laboratorium te laten werken, hebt u de volledige versie nodig, aangezien naast de installatie van de beheerserver ook de MS SQL Server 2005 Express DBMS wordt geïnstalleerd, die wordt gebruikt om gegevens op te slaan over de status van antivirusbescherming.
Werkomschrijving.
Start na het voltooien van de voorbereidende stappen het installatieprogramma van Security Center op de AVServ-server. Na het welkomstvenster wordt u gevraagd naar het pad om de bestanden op te slaan die nodig zijn tijdens het installatieproces, een ander welkomstvenster en een venster met een licentieovereenkomst, die moet worden geaccepteerd om door te gaan met het installatieproces.
Markeer bij het kiezen van het type installatie het item "Aangepast", waarmee u in detail vertrouwd raakt met de lijst met geïnstalleerde componenten en toegepaste instellingen.
Als u de optie "Standaard" selecteert, installeert de wizard de Administration Server samen met de serverversie van Network Agent, de Administration Console, de plug-ins voor toepassingsbeheer die beschikbaar zijn in de distributiekit en Microsoft SQL Server 2005 Express Edition (indien het is niet eerder geïnstalleerd).
De volgende stap is het selecteren van de te installeren servercomponenten (Fig. 5.36). We moeten de Administration Server installeren en dit item aanvinken.
Cisco NAC-technologie, waarmee we de beveiliging kunnen controleren van een mobiel apparaat of computer die verbinding maakt met het netwerk, wordt niet door ons gebruikt.
Als onderdeel van de laboratoriumworkshop is het ook niet de bedoeling om antivirusbescherming op mobiele apparaten (zoals smartphones) in te zetten, dus we installeren deze componenten nu niet.
De geselecteerde netwerkgrootte is van invloed op de instelling van waarden voor een aantal parameters die de werking van antivirusbescherming bepalen (ze staan vermeld in tabel 5.6). Deze instellingen kunnen, indien nodig, worden gewijzigd na installatie van de server.
U moet ook het account specificeren waaronder de beheerserver zal draaien, of akkoord gaan om een nieuw record aan te maken (Fig. 5.37).
In eerdere versies van Windows (bijvoorbeeld bij installatie op Windows Server 2003) kan de optie Systeemaccount in dit venster verschijnen. In elk geval moet deze invoer beheerdersrechten hebben, die zowel nodig zijn voor het maken van een database als voor de daaropvolgende werking van de server.
Tabel 5.6
Parameters ingesteld afhankelijk van de grootte van het netwerk
|
Parameter / aantal computers |
100-1000 |
1000-5000 |
Meer |
|
|
Weergave in de consolestructuur van het knooppunt van slave- en virtuele beheerservers en alle parameters die zijn gekoppeld aan slave- en virtuele servers |
afwezig |
afwezig |
is aanwezig |
is aanwezig |
|
Secties weergeven Veiligheid in de eigenschappenvensters van de Server- en beheergroepen |
afwezig |
afwezig |
is aanwezig |
is aanwezig |
|
Een netwerkagentbeleid maken met behulp van de wizard Snel aan de slag |
afwezig |
afwezig |
is aanwezig |
is aanwezig |
|
Willekeurige verdeling van de starttijd van de updatetaak op clientcomputers |
afwezig |
binnen 5 minuten |
in het interval van 10 minuten |
in het interval van 10 minuten |
Rijst. 5.37.
De volgende stap is het selecteren van de te gebruiken databaseserver (Fig. 5.38). Voor het opslaan van gegevens kan Security Center 9.0 gebruikmaken van Microsoft SQL Server (versies 2005, 2008, 2008 R2, inclusief Express 2005, 2008) of MySQL Enterprise. In afb. 5.38, een het venster voor het selecteren van het type DBMS wordt weergegeven. Als u een MySQL-server hebt geselecteerd, moet u de naam en het poortnummer voor de verbinding opgeven.
Als u een bestaand exemplaar van MS SQL Server gebruikt, moet u de naam en de naam van de database opgeven (standaard wordt deze KAV genoemd). In ons laboratoriumwerk zullen we de aanbevolen configuratie gebruiken, wat de installatie van MS SQL Server 2005 Express impliceert samen met de installatie van het Security Center (Fig.5.38, B).
Rijst. 5.38.
Nadat u SQL Server hebt geselecteerd als het gebruikte DBMS, moet u de authenticatiemodus opgeven die zal worden gebruikt wanneer u ermee werkt. Hier laten we de standaardinstelling - Microsoft Windows authenticatiemodus (Fig. 5.39).
Om installatiepakketten op te slaan en updates te distribueren, gebruikt de beheerserver een gedeelde map. U kunt een bestaande map opgeven of een nieuwe maken. De standaard sharenaam is KL8NAKE.
Rijst. 5.39.
U kunt ook de poortnummers opgeven die worden gebruikt om verbinding te maken met de Security Center-server. Standaard wordt TCP-poort 14000 gebruikt en voor SSL-beveiligde verbindingen TCP-poort 13000. Als u na installatie geen verbinding kunt maken met de beheerserver, moet u controleren of deze poorten worden geblokkeerd door de Windows-firewall. Naast de hierboven genoemde, wordt UDP-poort 13000 gebruikt om informatie over het afsluiten van computers naar de server te verzenden.
Vervolgens moet u een methode opgeven om de beheerserver te identificeren. Dit kunnen IP-adressen, DNS-namen of NetBIOS-namen zijn. In het virtuele netwerk dat wordt gebruikt voor de laboratoriumworkshop is een Windows-domein ingericht en is een DNS-server aanwezig, dus zullen we domeinnamen gebruiken (Figuur 5.40).
Rijst. 5.40.
In het volgende venster kunt u de plug-ins selecteren die moeten worden geïnstalleerd om de antivirusprogramma's van de pc te beheren. Vooruitkijkend kunnen we zeggen dat het product Kaspersky Endpoint Security 8 voor Windows zal gebruiken, de plug-in die we nodig hebben (Fig. 5.41).
Rijst. 5.41.
Daarna worden de geselecteerde programma's en componenten op de server geïnstalleerd. Nadat de installatie is voltooid, wordt de Beheerconsole gestart of, als u het selectievakje in het laatste venster van de installatiewizard hebt uitgeschakeld, start u deze vanuit het menu Start -> Programma's -> Kaspersky Security Center.
Oefening 1.
Volg de beschrijving om de Administration Server op de virtuele AVServ-machine te installeren.
De initiële serverconfiguratie wordt uitgevoerd wanneer de console wordt gestart. Bij de eerste stap kunt u activeringscodes of licentiesleutelbestanden voor LC-antivirusproducten specificeren. Als u een "bedrijfssleutel" voor meerdere computers heeft, met de standaardinstellingen, wordt de sleutel automatisch door de server naar clientcomputers gedistribueerd.
Rijst. 5.42.
U kunt ook akkoord gaan met het gebruik van Kaspersky Security Network (KSN), een externe service voor het verlenen van toegang tot de kennisbank van Kaspersky Lab over de reputatie van bestanden, internetbronnen en software.
De volgende stap is het configureren van de instellingen om de antivirusbeveiligingsbeheerder per e-mail op de hoogte te stellen. U moet het postadres, smtp-ssrvsr en, indien nodig, parameters voor autorisatie op de server specificeren (Fig. 5.42). Als het lab geen geschikte mailserver heeft, kunt u deze stap overslaan en later de instellingen maken.
Als internet wordt benaderd via een proxyserver, moet u de parameters ervan opgeven. Na het passeren van deze fase wordt het automatisch aanmaken van standaardbeleid, groepstaken en beheertaken uitgevoerd. Ze zullen in het volgende laboratoriumwerk in meer detail worden besproken.
Rijst. 5.43.
De volgende stap is om automatisch updates te downloaden. Als de download met succes is gestart, kunt u, zonder te wachten op het einde van het bericht, op de knop "Volgende" klikken en na het voltooien van de initiële configuratiewizard naar het hoofdvenster van de Beheerconsole gaan (Fig. 5.43). Het zou moeten aantonen dat er één beheerde computer op het netwerk is (samen met de Administration Server is de Administration Agent geïnstalleerd op de AVScrv-computer), waarop geen antivirusbescherming aanwezig is. Dit wordt beschouwd als een kritieke gebeurtenis.
Taak 2.
Voltooi de initiële serverconfiguratie.
Afzonderlijk kan de beheerconsole worden geïnstalleerd vanuit de map Console op de distributieschijf door het installatieprogramma uit te voeren. Als u een distributiekit gebruikt die van internet is gedownload, moet u de map openen die aan het begin van de installatie is opgegeven om de distributiebestanden op te slaan. Standaard is dit de map C: KSC9 ussianConsole.
Rijst. 5.44.
Taak 3.
Installeer de Security Center Administration Console op de Stationl .labs.local virtuele machine. Controleer de verbinding met de AVServ.labs.local-server. Om dit te doen, moet u in het consolevenster het adres of de naam opgeven (Fig. 5.44) en ook akkoord gaan met het ontvangen van een servercertificaat (Fig. 5.45).
Rijst. 5.45.
Rijst. 5.46.
Als de verbinding mislukt, controleer dan of de poorten die worden gebruikt om verbinding te maken met de Security Center-server zijn geblokkeerd op de AVScrv-server (zie hierboven). De instelling kan worden gecontroleerd via het Configuratiescherm: Systeem en beveiliging -> Windows Firewall -> Laat het programma door Windows Firewall lopen. De bijbehorende permissieve instellingen moeten aanwezig zijn, zie afb. 5.46 (de namen van de regels blijven hetzelfde als in de vorige versie van het product - Kaspersky Administration Kit).
Beste collega's! Vandaag wil ik u vertellen over het beheersysteem van Kaspersky Anti-Virus. Het ding, kan ik je vertellen, is erg interessant.
Hiermee kunt u de controle over alle computers van uw organisatie overnemen in termen van het toestaan / verbieden van het openen van sites, het toestaan / verbieden van het starten van programma's, inclusief in bepaalde categorieën (u kunt bijvoorbeeld het starten van alle browsers verbieden, behalve bepaalde), verbindingen met alle apparatuur toestaan / weigeren - flashdrives, harde schijven, enz. (bijvoorbeeld om te voorkomen dat gebruikers informatie lekken), automatiseer ook belangrijke updates voor Kaspersky Anti-Virus, minimaliseer het verkeersverbruik bij het bijwerken van anti- virussen (na installatie van KSC en configuratie van antivirusprogramma's die op werkstations zijn geïnstalleerd, worden ze bijgewerkt vanaf deze server, niet vanaf internet). Om de KSC 10-versie te installeren, volgens de technische adviseur van het Kaspersky Lab in het Federaal District Wolga - Pavel Aleksandrov, is Windows OS geschikt (niet noodzakelijkerwijs een server) met minimaal 2-4 GB RAM. Onlangs hield het bedrijf Smart Solutions een Praktische Workshop over laptops, waar uw nederige dienaar persoonlijk kennis kon maken met deze creatie van het Kaspersky Lab. Kaspersky Security Center 10, zoals Pavel zei, wordt gratis verstrekt aan degenen die een volumelicentie hebben voor KES (Kaspersky Endpoint Security) 10. Gelukkig doen onze collega's, programmeurs / systeembeheerders van budgettaire instellingen van de Republiek Tatarstan, dat niet moet iets kopen - al het nodige de toolkit is beschikbaar via het GIST-netwerk op kav.tatar.ru. En ook, voor uw gemak, collega's, plaats ik video-tutorials die vriendelijk zijn verstrekt door Igor Alexandrovich, een specialist van het bedrijf NovaInTech -> Link naar instructievideo's op Youtube... Mocht je na het bekijken van de video nog vragen hebben, dan help ik je graag op Skype (lisischko).
PS U kunt uw Kaspersky Anti-Virus-beheerserver ondergeschikt maken aan de CIT KSC, ik zal niet zeggen welke voordelen dit biedt - ik heb dit niet zelf gedaan, maar dit staat beschreven op de website kav.tatar.ru
Opmerking 1: De lijst met uitvoerbare bestanden werd niet aangevuld op de server, zelfs niet met de nieuw aangemaakte inventaristaak, totdat het selectievakje was aangevinkt in de sectie "Aanvullende parameters" - "Rapporten en opslag" - Informeer de beheerserver "Over het uitvoeren van programma's" in het antivirusbeleid.
Opmerking 4: Van tijd tot tijd begint op computers die door KSC worden bestuurd, alles vast te lopen. De taakbeheerder toonde aan dat het systeem werd geladen door het proces "Kaspersky Security Center Vulnerability Assessment & Patch Management Component" (uitvoerbaar bestand vapm.exe). De analyse van het probleem toonde aan dat op het moment van de remmen van het systeem de taak "Zoeken naar kwetsbaarheden en vereiste updates" werd uitgevoerd, waardoor het probleem werd opgelost door deze taak over te zetten naar handmatig starten en stoppen. Er is ook een optie om het selectievakje "gemiste taken starten" in het taakschema uit te schakelen (zonder de lancering naar handmatige modus te schakelen), maar ik heb deze optie niet geprobeerd, gezien de beslissing dat deze functie voor ons niet nodig was. UPD: minder dan een half uur nadat de taak was gestopt en de modus van lancering werd overgeschakeld naar handmatig, omdat het opnieuw een soort trigger startte. Er is geen tijd om het op te lossen. De taak "Zoeken naar kwetsbaarheden en vereiste updates" is verwijderd, u kunt deze later altijd toevoegen.
