Externe verbinding met Kaspersky Security Center. Hoe gegevens over geïnstalleerde software worden verzameld in het programmaregister van Kaspersky Security Center

Het artikel is van toepassing op Kaspersky Security Center 10 Service Pack 2 (versie 10.3.407) en hoger.

Door het netwerk te pollen, kunt u informatie verkrijgen over de structuur en apparaten van het netwerk. De Administration Server voert de volgende soorten onderzoeken uit:

• Windows netwerk polling;
• polling Active Directory-groepen;
• polling IP-bereiken.

Windows netwerk polling

Windows netwerk polling kan snel en volledig zijn. Tijdens een snelle peiling ontvangt de Beheerserver alleen informatie over de lijst met NetBIOS-apparaatnamen voor alle domeinen en netwerkwerkgroepen. Tijdens een volledige peiling wordt elk clientapparaat gevraagd naar de naam van het besturingssysteem, het IP-adres, de DNS-naam en de NetBIOS-naam.

Als de Administration Server is geïnstalleerd op het Microsoft Windows Server 2008-besturingssysteem en de Administration Server-service is gestart onder de Local System-account, werkt Windows Network Fast Polling niet.

Instellingen voor netwerkpolling van Windows configureren

1. Ga naar aanvullend → Netwerk polling → Domeinen.
2. Klik Poll-opties aanpassen.

1. Ga naar sectie Algemeen.
2. Configureer de instellingen voor netwerkpolling van Windows. Klik Oke.

Een Windows-netwerkpeiling uitvoeren

Om een ​​Windows-netwerkpeiling te starten, in de host Domeinen Klik Nu pollen.

Nadat de polling is voltooid, worden in het venster gedetecteerde netwerkapparaten, werkgroepen en domeinen weergegeven.

Active Directory-groepen pollen

Active Directory-groepen worden ondervraagd om de OU-structuur en de lijst met apparaten in elke OU te krijgen. De Administration Server-database slaat informatie op over de structuur van Active Directory-groepen en DNS-namen van apparaten.

Polling-opties voor Active Directory-groepen configureren

1. Open Kaspersky Security Center 10.
2. Navigeren aanvullend → Netwerk polling → Active Directory.
3. Klik Poll-opties aanpassen.

1. Klik aanvullend.

1. Kies een van de opties:
   • Het huidige Active Directory-domein opvragen. Om het domein te pollen waarin de Administration Server is geïnstalleerd.
   • Query uitvoeren op het Active Directory-domeinforest. Om de hele domeinstructuur te pollen.
   • Vraag de opgegeven Active Directory-domeinen op. Om het toegevoegde domein te pollen. Om een ​​domein aan de lijst toe te voegen, geeft u het adres van de domeincontroller, een account met rechten op het toegevoegde domein en een wachtwoord op.
2. Klik Oke.

Hoe te beginnen met het pollen van Active Directory-groepen

Om te beginnen met het pollen van Active Directory-groepen, in het knooppunt Active Directory Klik Nu pollen.

Wanneer de enquête is afgelopen, worden in het venster de domeinen en organisatie-eenheden weergegeven.

Polling IP-bereiken

Het pollen van IP-bereiken wordt uitgevoerd om een ​​lijst met apparaten in het netwerksegment te verkrijgen. De Administration Server pollt de gegenereerde IP-bereiken met behulp van ICMP-pakketten.

Tijdens de installatie van de Administration Server wordt bepaald in welke IP-bereiken de Administration Server zich bevindt. Als u andere IP-bereiken wilt opvragen, voegt u deze handmatig toe.

Een nieuw IP-bereik toevoegen

1. Open Kaspersky Security Center 10.
2. Navigeren aanvullend → Netwerk polling → IP-bereiken.
3. Klik Subnet toevoegen.

1. Configureer de instellingen voor het nieuwe IP-bereik. Klik Oke.

Een enquête starten IP-bereiken

Om te beginnen met het pollen van IP-bereiken, in het knooppunt IP-bereiken Klik Nu pollen.

Na het einde van de peiling wordt in het venster een lijst met apparaten weergegeven, gegroepeerd op de opgegeven IP-bereiken.

Op de virtuele beheerserver kunt u de instellingen voor polling-IP-bereiken bekijken en wijzigen in het venster Update Agent-eigenschappen in de sectie Netwerk polling. Clientapparaten die zijn gevonden als resultaat van polling IP-bereiken worden weergegeven in de map Domeinen virtuele beheerserver.

Polling IP-bereik is standaard uitgeschakeld.

Taak: Op de sleutelcomputer van de organisatie is het noodzakelijk om het beleid te configureren voor het starten van applicaties volgens de witte lijst, d.w.z. de lancering van alle programma's is verboden, behalve de "witte lijst".
Ik moet meteen zeggen dat het niet mogelijk was om het probleem op te lossen zonder te dansen met een tamboerijn. Ja, en in principe tot het einde en durfde niet.
In dit stadium zie ik twee nadelen:
De eerste is aan het ladenramenKaspersky laadt niet onmiddellijk en er is een interval waarin u software kunt uitvoeren die niet op de "witte lijst" staat.
De tweede is het toevoegen van software aan de "witte lijst". Het toevoegen gebeurt door middel van de hash van het bestand of simpelweg de toegestane map wordt gespecificeerd. Alleen op bestandsnaam werkt het niet, ik weet niet waarom. Op dit moment ben ik hierover aan het praten met de Kaspersky TP, er is nog geen oplossing.
Dus laten we beginnen
We hebben op de client-machine:Kaspersky eindpunt beveiliging 10.
1. Start Kaspersky Security Center op de server, ga naar de aangemaakte groep "Applicatie Opstartbeheer", ga naar het tabblad Beleid
2. Het beleid openen
3. Selecteer Workplace Control - Application Startup Control. Vink aan de rechterkant het vakje aan naast Application Startup Control

4. Sluit vervolgens het beleid
5. Ga naar de sectie "Programmabeheer" - Programmacategorieën

6. Boven "Categorie maken" - Categorietype (handmatig aangevulde categorie)
7. Voer de naam van de categorie in
8. Toevoegen - Van bestandseigenschap
9. Gegevens ophalen - uit bestand10. Kies een bestandexe(Ik nam als voorbeeldexcelleren. exe)
11. We zetten de schakelaar op de hash van het bestand en OK.
PS Als je het op metadata laat staan ​​en alleen de bestandsnaam schrijft, werkt het niet. Het probleem is nog niet opgelost.12. Onze categorie zal verschijnen in de sectie Programmacategorieëntest
13. Ga vervolgens naar de aangemaakte groep "Applicatie Opstartbeheer", ga naar het tabblad beleid
14. Het beleid openen
15. Selecteer Workplace Control - Application Startup Control
16. Alles toestaan ​​ingesteld op UIT
17. Klik op +Toevoegen en voeg onze categorie toetest, Gebruikers - Iedereen, selectievakje - Vertrouwde updaters enOke.
18. Het is raadzaam om de client-pc opnieuw op te starten, zodat het beleid wordt geactiveerd. Je kunt niet overbelasten, dan moet je wachten. Maar om 100% zeker te zijn, heb ik overbelast.

Conclusies: In principe is dat alles. U kunt dit probleem oplossen door middel van groepsbeleid.ADVERTENTIE, wat waarschijnlijk redelijker is. filteren opexebestand in Kaspersky werkt nog niet. En als u uitsluit door de hash van het bestand, gebruik dan Kaspersky. Nou, ik moest Kaspersky op de clientcomputer updaten naar de nieuwste versie, zodat de besturing op de een of andere manier zou werken. Zonder de update werkte het helemaal niet.

PS na het updaten op de clientcomputer, moet u het hulpprogramma uitvoeren

Vandaag heb ik mezelf een interessante taak gesteld - om het op afstand te installeren op alle computers in het domein via Kaspersky Security Center. Deze tool is gekozen als de handigste die er is. De keuze was tussen:

actieve map;
psexec;
opnieuw installeren;

Er zijn zeker veel andere manieren om applicaties op afstand te installeren, als u een van die lezers bent die van deze methoden op de hoogte is, vertel het me dan alstublieft in de opmerkingen.

Het belangrijkste doel is dus om de Bitrix24-desktoptoepassing te installeren op alle computers in mijn verantwoordelijkheidsgebied. Eerder geprobeerd op afstand te installeren via active directory - zonder resultaat. Installeren op afstand via psexec is op de een of andere manier niet erg snel in termen van uitvoeringssnelheid in de toekomst. Rinstall is ook een nogal verwarrende applicatie en wekt op het eerste gezicht geen vertrouwen. Kaspersky Security Center versie: 10.4.343 werd gekozen als de belangrijkste kandidaat voor deze taak, aangezien het op het eerste gezicht het aantrekkelijkste hulpmiddel is.

Installatie vereist een sql-server, tijdens het installatieproces biedt het installatieprogramma aan om zijn eigen databasebeheersysteem te installeren, maar aangezien ik al een sql-server heb geïmplementeerd, had het geen zin om extra software te installeren. De installatie zelf duurde ongeveer 20-30 minuten. Als resultaat krijgen we het volgende menu:

Zoals u in de afbeelding kunt zien, bevat het menu het item "Installatie op afstand", het heeft een subsectie "Installatiepakketten". Op de pagina die opent zien we:

Zoals u kunt zien, kunnen we op dit tabblad de standaardpakketten "Administration Agent ..." en "Kaspersky Endpoint Security ..." gebruiken. Zoals ik het begrijp, is het eerste pakket nodig als monitoringsysteem en operationele toegang op afstand, ook voor eenvoudige installatie. Over het algemeen is dit een vrij krachtig administratiesysteem. De tweede van deze pakketten is de antivirus zelf + een heleboel dingen voor afstandsbediening van de computer (controle van USB-poorten, controle van toegang tot sociale netwerken, antivirusbescherming, gebruikers informeren over aankomend onderhoud, enz.). Het is ook mogelijk om uw eigen pakket, elke msi, exe-toepassing voor installatie toe te voegen, bij het maken van een pakket is het mogelijk om installatieparameters op te geven, bijvoorbeeld in de stille modus met de parameter "/S".

U kunt programma's op afstand installeren zonder een agent, maar het zal er in de toekomst veel gemakkelijker mee zijn. Daarom is het in eerste instantie gemakkelijker om de Network Agent te installeren, en pas daarna de rest van de programma's. Om te installeren, moet u beheerdersrechten hebben op alle externe computers, deze kunnen respectievelijk zijn:

1. computers in het domein, terwijl u domeinbeheerdersrechten heeft.
2. computers in een peer-to-peer netwerk (werkgroep), waarbij op elke computer een lokale beheerder met identieke authenticatiegegevens (login-password pair) moet worden ingesteld.

Na het installeren van de agent zal de lijst met uw mogelijkheden aanzienlijk toenemen, maar we hebben ons hoofddoel bereikt: installatie op afstand van applicaties op een grote groep computers in het lokale netwerk (inclusief VPN). Dat was alles voor vandaag, ik ben niet in details gegaan, omdat je zelf kunt uitzoeken wat wat is, maar als je vragen hebt, kun je ze stellen in het onderstaande reactieformulier, ik zal proberen te helpen.