Настройка сервера mariadb x64 для работы с kaspersky security center 13 linux

Обновлено: 03.07.2024

Kaspersky Security Center позволяет максимально упростить управление системой безопасности вашей IT-инфраструктуры. Полностью масштабируемая единая консоль поддерживает рост вашего бизнеса и меняющиеся требования к системе безопасности, обеспечивая всестороннее управление защитой ваших ресурсов и четкое разделение обязанностей администраторов.

Преимущества Kaspersky Security Center:

  • Оптимальная эффективность: простое развертывание и управление с помощью единых политик
  • Управление из единого окна: одна консоль администрирования для мониторинга и управления безопасностью всех корпоративных ресурсов – облачных систем, физических и виртуальных машин, а также мобильных устройств
  • Готовое к установке приложение с оптимальными настройками по умолчанию

Kaspersky Security Center позволяет легко установить, настроить и затем администрировать комплексные защитные решения «Лаборатории Касперского», независимо от количества управляемых рабочих станций и типа вашей IT-инфраструктуры (централизованная, распределенная или смешанная). Сделайте масштабирование и запуск новых инструментов и функций максимально простым и удобным, в полном соответствии с развивающимися требованиями вашего бизнеса.

Возможности

Полный контроль и укрепление системы безопасности

Использование в рамках одной корпоративной сети различных платформ, устройств, программ и приложений усложняет работу IT-администраторов. Избыточная сложность снижает уровень безопасности, ведь если вам трудно управлять своими ресурсами, обеспечение их защиты становится проблемой. Обнаружение аппаратных средств, учет установленного ПО и своевременная установка исправлений безопасности для закрытия уязвимостей требуют значительных усилий и затрат времени ваших IT-специалистов.

Kaspersky Security Center помогает упростить их работу. Ваши физические, виртуальные и облачные ресурсы управляются из единой консоли, что позволяет повысить эффективность и снижает общую стоимость владения (TCO).

  • Удобное управление всеми ресурсами
  • Поиск и устранение уязвимостей
  • Автоматическая минимизация рисков

Оптимизация выполнения повседневных задач

В Kaspersky Security Center представлен широкий набор функций для системного администрирования, которые позволяют оптимизировать выполнение повседневных задач управления в смешанных сетях.

Расширяемая архитектура Kaspersky Security Center включает плагины для управления защитными решениями для всех платформ. При обновлении или выпуске нового решения соответствующее расширение может быть встроено в Kaspersky Security Center без необходимости переустанавливать консоль или устанавливать патчи.

Возможности администрирования клиентских компьютеров в составе Kaspersky Security Center позволяют легко распространять и развертывать ПО на конечных устройствах в составе вашей сети. Функционал централизованного управления дополняют интегрированные информационные панели и доступ на основе ролей, благодаря чему каждый администратор имеет возможность использовать только те инструменты и данные, которые необходимы для выполнения его рабочих задач.

  • Простое масштабирование
  • Защита целостности данных
  • Оптимизация удаленной поддержки
  • Простое развертывание в удаленных офисах
  • Управление мобильными устройствами на базе различных платформ
  • Безопасность мобильных устройств
  • Поддержка работы сотрудников на личных устройствах
  • Снижение нагрузки на администраторов с помощью Портала самообслуживания

Мониторинг и управление

Kaspersky Security Center обеспечивает простое и удобное управление безопасностью всех ваших устройств – физических, виртуальных и мобильных – из единого окна.

  • Интеграциям с системами SIEM и EDR
  • Поддержка целостности системы
  • Простое управление безопасностью всех устройств
  • Защита от атак в публичных сетях
  • Простое управление сетевым экраном
  • Минимизация рисков и повышение продуктивности сотрудников
  • Мгновенное подключение защиты для облачных сред
  • Широкие возможности аудита

Системные требования

Примечание: ниже приведены минимальные требования к оперативной памяти и процессору для Сервера администрирования, Консоли администрирования и Агента администрирования. Перед развертыванием каждого продукта ознакомьтесь с полными системными требованиями в прилагаемой пользовательской документации.

Сервер администрирования

Аппаратные требования

  • Процессор Intel Pentium® 1 ГГц и выше (минимум 1.4 ГГц для ОС x64)
  • Оперативная память 4 Гб
  • Свободное место на жестком диске 10 Гб (при использовании функционала Системного администрирования - не менее 100 Гб)

Программные требования

  • Microsoft Data Access Components (MDAC) 2.8 и выше
  • Windows DAC 6.0.
  • Microsoft Windows Installer 4.5

Поддерживаемые операционные системы

  • Microsoft Windows 10 Pro
  • Microsoft Windows 10 Enterprise
  • Microsoft Windows 10 Education
  • Microsoft Windows 10 Pro RS1
  • Microsoft Windows 10 Enterprise RS1 (с поддержкой Enterprise 2016 LTSB)
  • Microsoft Windows 10 Education RS1
  • Microsoft Windows 10 Pro RS2
  • Microsoft Windows 10 Enterprise RS2
  • Microsoft Windows 10 Education RS2
  • Microsoft Windows 10 Pro RS3
  • Microsoft Windows 10 Enterprise RS3
  • Microsoft Windows 10 Education RS3
  • Microsoft Windows 8.1 Pro
  • Microsoft Windows 8.1 Enterprise
  • Microsoft Windows 8 Pro
  • Microsoft Windows 8 Enterprise
  • Microsoft Windows 7 Professional с SP1 и выше
  • Microsoft Windows 7 Enterprise/Ultimate с SP1 и выше
  • Microsoft Small Business Server 2008 Standard/Premium
  • Microsoft Small Business Server 2011 Essentials
  • Microsoft Small Business Server 2011 Premium Add-on
  • Microsoft Small Business Server 2011 Standard
  • Microsoft Windows Server 2008 Datacenter SP1 и выше
  • Microsoft Windows Server 2008 Enterprise SP1 и выше
  • Microsoft Windows Server 2008 Foundation с SP2 и выше
  • Microsoft Windows Server 2008 SP1 и выше Server Core
  • Microsoft Windows Server 2008 Standard SP1 и выше
  • Microsoft Windows Server 2008 Standard/Enterprise/DataCenter
  • Microsoft Windows Server 2008 R2 Server Core
  • Microsoft Windows Server 2008 R2 Datacenter
  • Microsoft Windows Server 2008 R2 Datacenter SP1 и выше
  • Microsoft Windows Server 2008 R2 Enterprise
  • Microsoft Windows Server 2008 R2 Enterprise SP1 и выше
  • Microsoft Windows Server 2008 R2 Foundation
  • Microsoft Windows Server 2008 R2 Foundation с SP1 и выше
  • Microsoft Windows Server 2008 R2 SP1 и выше Core Mode
  • Microsoft Windows Server 2008 R2 Standard
  • Microsoft Windows Server 2008 R2 Standard SP1 и выше
  • Microsoft Windows Server 2012 Server Core
  • Microsoft Windows Server 2012 Datacenter
  • Microsoft Windows Server 2012 Essentials
  • Microsoft Windows Server 2012 Foundation
  • Microsoft Windows Server 2012 Standard
  • Microsoft Windows Server 2012 R2 Server Core
  • Microsoft Windows Server 2012 R2 Datacenter
  • Microsoft Windows Server 2012 R2 Essentials
  • Microsoft Windows Server 2012 R2 Foundation
  • Microsoft Windows Server 2012 R2 Standard
  • Microsoft Windows Server 2016 Datacenter Edition
  • Microsoft Windows Server 2016 Standard Edition
  • Microsoft Windows Storage Server 2008 R2
  • Microsoft Windows Storage Server 2012
  • Microsoft Windows Storage Server 2012 R2

Поддерживаемые платформы виртуализации

  • VMware vSphere 5.5
  • VMware vSphere 6
  • Vmware Workstation 12.x Pro
  • Microsoft Hyper-V Server 2008
  • Microsoft Hyper-V Server 2008 R2
  • Microsoft Hyper-V Server 2008 R2 SP1 и выше
  • Microsoft Hyper-V Server 2012
  • Microsoft Hyper-V Server 2012 R2
  • Microsoft Virtual PC 2007 (6.0.156.0)
  • Citrix XenServer 6.2
  • Citrix XenServer 6.5
  • Citrix XenServer 7
  • Parallels Desktop 11 и выше
  • Oracle VM VirtualBox 4.0.4-70112 (поддерживаются только гостевые операционные системы Windows)

Поддерживаемые базы данных

  • Microsoft SQL Server 2008 Express
  • Microsoft SQL 2008 R2 Express
  • Microsoft SQL 2012 Express
  • Microsoft SQL 2014 Express
  • Microsoft SQL Server 2008 (все редакции)
  • Microsoft SQL Server 2008 R2 (все редакции)
  • Microsoft SQL Server 2008 R2 Service Pack 2 (все редакции)
  • Microsoft SQL Server 2012 (все редакции)
  • Microsoft SQL Server 2014 (все редакции)
  • Microsoft SQL Server 2016 (все редакции)
  • Microsoft Azure SQL Database
  • MySQL Standard Edition 5.5
  • MySQL Enterprise Edition 5.5
  • MySQL Standard Edition 5.6
  • MySQL Enterprise Edition 5.6
  • MySQL Standard Edition 5.7
  • MySQL Enterprise Edition 5.7

Сервер администрирования для веб-консоли Kaspersky Security Center

Аппаратные требования

  • Процессор 1.4 ГГц и выше
  • Оперативная память 512 Мб
  • Свободное место на жестком диске 1 Гб

Программные требования

  • Apache 2.4.23 (для Windows)
  • Apache 2.4.23 (для Linux)

Поддерживаемые операционные системы

  • Microsoft Windows 10 Pro
  • Microsoft Windows 10 Enterprise
  • Microsoft Windows 10 Education
  • Microsoft Windows 10 Pro RS1
  • Microsoft Windows 10 Enterprise RS1 (с поддержкой Enterprise 2016 LTSB)
  • Microsoft Windows 10 Education RS1
  • Microsoft Windows 10 Pro RS2
  • Microsoft Windows 10 Enterprise RS2
  • Microsoft Windows 10 Education RS2
  • Microsoft Windows 10 Pro RS3
  • Microsoft Windows 10 Enterprise RS3
  • Microsoft Windows 10 Education RS3
  • Microsoft Windows 8.1 Pro
  • Microsoft Windows 8.1 Enterprise
  • Microsoft Windows 8 Pro
  • Microsoft Windows 8 Enterprise
  • Microsoft Windows 7 Professional с SP1 и выше
  • Microsoft Windows 7 Enterprise/Ultimate с SP1 и выше
  • Microsoft Small Business Server 2008 Standard/Premium
  • Microsoft Small Business Server 2011 Essentials
  • Microsoft Small Business Server 2011 Premium Add-on
  • Microsoft Small Business Server 2011 Standard
  • Microsoft Windows Server 2008 Datacenter SP1 и выше
  • Microsoft Windows Server 2008 Enterprise SP1 и выше
  • Microsoft Windows Server 2008 Foundation с SP2 и выше
  • Microsoft Windows Server 2008 SP1 и выше Server Core
  • Microsoft Windows Server 2008 Standard SP1 и выше
  • Microsoft Windows Server 2008 Standard/Enterprise/DataCenter
  • Microsoft Windows Server 2008 R2 Server Core
  • Microsoft Windows Server 2008 R2 Datacenter
  • Microsoft Windows Server 2008 R2 Datacenter SP1 и выше
  • Microsoft Windows Server 2008 R2 Enterprise
  • Microsoft Windows Server 2008 R2 Enterprise SP1 и выше
  • Microsoft Windows Server 2008 R2 Foundation
  • Microsoft Windows Server 2008 R2 Foundation с SP1 и выше
  • Microsoft Windows Server 2008 R2 SP1 и выше Core Mode
  • Microsoft Windows Server 2008 R2 Standard
  • Microsoft Windows Server 2008 R2 Standard SP1 и выше
  • Microsoft Windows Server 2012 Server Core
  • Microsoft Windows Server 2012 Datacenter
  • Microsoft Windows Server 2012 Essentials
  • Microsoft Windows Server 2012 Foundation
  • Microsoft Windows Server 2012 Standard
  • Microsoft Windows Server 2012 R2 Server Core
  • Microsoft Windows Server 2012 R2 Datacenter
  • Microsoft Windows Server 2012 R2 Essentials
  • Microsoft Windows Server 2012 R2 Foundation
  • Microsoft Windows Server 2012 R2 Standard
  • Microsoft Windows Server 2016 Datacenter Edition
  • Microsoft Windows Server 2016 Standard Edition
  • Microsoft Windows Storage Server 2008 R2
  • Microsoft Windows Storage Server 2012
  • Microsoft Windows Storage Server 2012 R2
  • Debian GNU/Linux 7.х (до 7.8) x32
  • Debian GNU/Linux 7.х (до 7.8) x64
  • Ubuntu Server 14.04 LTS x32
  • Ubuntu Server 14.04 LTS x64
  • CentOS 6.х (до 6.6) x64

Веб-консоль Kaspersky Security Center

Поддерживаемые браузеры

Microsoft Internet Explorer 9.0:

  • Microsoft Windows Server 2008,
  • Microsoft Windows Server 2008 R2,
  • Microsoft Windows Server 2012,
  • Microsoft Windows Server 2012 R2,
  • Microsoft Windows Vista,
  • Microsoft Windows 7.

Microsoft Internet Explorer 10.0 на:

  • Microsoft Windows 7 SP1,
  • Microsoft Windows Server 2008 R2 SP1,
  • Microsoft Windows Server 2012,
  • Microsoft Windows Server 2012 R2,
  • Microsoft Windows 8, 8.1
  • Microsoft Windows 10

Microsoft Edge на:

Microsoft Internet Explorer 11.0 на:

  • Microsoft Windows 7 SP1,
  • Microsoft Windows 8.1,
  • Microsoft Windows Server 2012 R2,
  • Microsoft Windows Server 2012 R2 SP1,
  • Microsoft Windows 10.

Firefox 47 и выше

Safari 8 с Mac OS X 10.10 (Yosemite)

Safari 9 с Mac OS X 10.11 (El Capitan)

Google Chrome 53 и выше

Агент администрирования

Минимальные требования для компьютеров, на которых установлен Агент администрирования:

23 марта 2021 года Лаборатория Касперского представила Kaspersky Security Center 13 (KSC), используемую для локального решения на платформах Windows и Linux. KSC устанавливается на Сервер администрирования для соответствующей OS.

Основной особенностью новой версии KSC является поддержка Linux. Администратор может развернуть и управлять защитой устройств с помощью сервера администрирования на базе Linux.

Компонент программы позволит администратору устанавливать программы безопасности Лаборатории Касперского на устройства корпоративной сети. Администратору доступны функции удаленного запуска обновлений и управления политиками безопасности программ.

Тем не менее, по сравнению с Kaspersky Security Center на базе Windows, Kaspersky Security Center 13 Linux имеет другой набор функций.

Рассмотрим таблицу сравнения основных возможностей KSC для Windows и Linux:

KSC для Windows KSC для Linux
Расположение Сервера администрирования Локально Локально
Операционная система для установки Сервера администрирования Windows Linux
Расположение системы управления базами данных (СУБД) Локально Локально (только MariaDB)
Тип Консоли администрирования Локальная и web-интерфейс Web-интерфейс
OS для установки Консоли администрирования с web-интерфейсом Windows / Linux Windows / Linux
Иерархия Сервера администрирования + +
Иерархия групп администрирования + +
Опрос сети + +
(только по IP-диапазонам)
Максимальное количество управляемых устройств 100 000 20 000
Защита устройств под управлением Windows. macOS и Linux + -
(только защита с Linux OS)
Защита мобильных устройств + -
Защита виртуальных машин + +
Защита публичной облачной инфраструктуры + -
Управление безопасностью устройств + +
Управление безопасностью, ориентированной на пользователя + +
Политики программ + +
Задачи для программ "Лаборатории Касперского" + +
Kaspersky Security Network + -
Прокси-сервер KSN + -
Kaspersky Private Security Network + -
Централизованное распространение лицензионных ключей
программ "Лаборатории Касперского"
+ +
Поддержка виртуальных Серверов администрирования + +
Установка обновлений программ сторонних производителей и поиск
уязвимостей в программа сторонних производителей
+ -
(только с помощью задачи удаленной установки)
Уведомления о событиях, произошедших на управляемых устройствах + +
Управление шифрованием + -
Создание учетных записей пользователей, контроль учетных записей + +
Интеграция с SIEM-системами + +
(только с использованием Syslog)
Мониторинг состояния политик и задач + +

Принцип работы KSC 13

Подключитесь к Kaspersky Security Center 13 Web Console c помощью браузера, в окне которого отображаются страницы веб-портала программы.

С помощью элементов управления веб-портала выбирите команду, которую хотите выполнить. Kaspersky Security Center 13 Web Console выполняет следующие действия:

  • Если вы выбрали команду, связанную с получением информации (например, просмотр списка устройств), Kaspersky Security Center 13 Web Console формирует запрос на получение информации к Серверу администрирования, затем получает от него необходимые данные и передает их браузеру в удобном для отображения виде.
  • Если вы выбрали команду управления (например, удаленная установка программы), Kaspersky Security Center 13 Web Console получает команду от браузера и передает ее Серверу администрирования. Затем программа получает результат выполнения команды от Сервера администрирования и передает результат браузеру в удобном для отображения виде.

Обращаем Ваше внимание!

Kaspersky Security Center 13 входит в семейство продуктов Kaspersky Security для бизнеса, на которые распространяются акции:

Если у Вас остались вопросы, Вы можете задать их в диалоговое окно онлайн-консультанта или позвонив по бесплатному номеру 8 (800) 250-16-03.

Перенос Kasperscy Security Center 10.2.434e с одного сервера на другой вместе со всеми данными и настройками и обновление его до версии 11

В этой статье я хочу рассказать о трудностях, возникших при осуществлении процедуры, указанной в заголовке. Изначально стояла простая задача: Установить KSC 11 вместо 10 версии. Но, поскольку вместе с KSC на сервере работают еще и другие программы, а также он является по совместительству еще и файловым сервером, решено было организовать отдельный виртуальный сервер для KSC. Также, еще захотелось перенести все настройки и данные, полученные KSC за время своей работы со старого сервера на новый, чтобы не вносить эти данные потом вручную.

Предстоящую задачу можно разделить на несколько этапов:

1. Создание нового виртуального сервера

Был создан виртуальный сервер со следующими параметрами: 4 ядерный процессора, 16 Гб RAM,

Сразу скажу, что установка KSC версии 11 на новом сервере и импорт на него всех настроек с версии 10.2.434e не увенчались успехом. Поэтому было решено на новом сервере установить все необходимые для работы KSC программы тех же версий, что и на старом сервере. Собственно, была поставлена MySQL 2008, как и на старом сервере, чтобы исключить возможные ошибки при импорте данных в БД.

2. Установка Microsoft SQL Server 2008

Сразу скажу, что установку MySQL Server лучше начинать после того, как вы уже создали всех необходимых локальных пользователей на сервере и ввели его в домен (в том случае, если в сети у вас работает доменная структура и особенно, если одна из ее политик удаляет локальные учетные записи администраторов и добавляет доменную(ые) учетную(ые) запись(и)). Почему? Потому, что в первый раз я сделал иначе, чем написал и возникла проблема при установке KSC на этапе проверке соединения с базой данных. Появлялась ошибка, говорящая о недостаточных полномочиях пользователя для доступа к БД . Хотя были перепробованы все возможные пользователи с правами администратора и настройки авторизации, но соединиться с БД так и не удалось. В итоге пришлось удалить Microsoft SQL Server 2008 и поставить его заново, с теми же настройками, с какими я устанавливал его в первый раз. В итоге, при установке KSC соединение с БД прошло успешно.

Во время установки Microsoft SQL Server 2008 необходимо использовать те же настройки (название БД, пути), как и в Microsoft SQL Server 2008 на старом сервере, иначе возникнут проблемы при импорте данных.

3. Установка KSC 10.2.434c с пререквизитами, обновление до 10.2.434e

Для работы KSC также потребуется компонент MSXML для работы с XML-данными. Его необходимо поставить до установки KSC, учитывая также разрядность ОС (32 или 64 бита). Дистрибутив можно найти на сайте Microsoft. После этого можно приступать к установке KSC 10.2.434.

И здесь будут поджидать две неприятности:

- не удалось обнаружить инсталляционный пакет Microsoft SQL Server 2008 R2 Express S2
- не удалось обнаружить инсталляционный пакет MSXML 4.0

Это независимо от того, установлены эти программы у вас в системе, или нет. KSC нужны их дистрибутивы, чтобы все равно предложить их установку.

Перенос Kasperscy Security Center 10.2.434e с одного сервера на другой вместе со всеми данными и настройками и обновление его до версии 11

Перенос Kasperscy Security Center 10.2.434e с одного сервера на другой вместе со всеми данными и настройками и обновление его до версии 11

Первая неприятность поджидает, если выбрать тип установки «полная» или «обычная», поэтому необходимо выбрать тип установки «выборочная», тогда KSC не затребует дистрибутив MsSQL Server.

Чтобы победить вторую, нужно создать папку msxml в общей папке дистрибутива KSC 10.2.434 - KSC_10.2.434c и поместить туда файл msxml4-KB973685-enu. Именно по пути ..\KSC_10.2.434c\MSXML\msxml4-KB973685-enu KSC ищет дистрибутив MSXML. Путь, названия папок, версия MSXML актуальны для KSC_10.2.434c. После этой манипуляции установка пройдет успешно.

Обновление установленной KSC 10.2.434c до 10.2.434e.

Очень важно, чтобы и на старом сервере и на новом версии KSC ПОЛНОСТЬЮ совпадали. Просмотр информации о версии в «Справка -> о программе» не дает всей полноты информации о версии. О том, что что-то не так я узнал тогда, когда пытался восстановить данные на новом сервере и их восстановление не происходило из-за такой ошибки, говорящей о том, что версия ПО на которое я импортирую сохраненные данные старше чем версия ПО, с которого эти данные были экспортированы. Информация о версия на новом и старом сервере говорила о версии 10.2.434 в обоих случаях. Мое внимание привлек некий патч, находившийся в папке с именем patch_10_2_434_server_e, который я поспешил поставить. После чего импортирование данных прошло успешно. Стало очевидно, что этот патч стоял на и старом сервере.

Но, прежде чем начать импортирование данных, важно сделать еще одну вещь:

4. Сохранение новых сертификатов, сгенерированных KSC 10.2.434 после его установки

Дело в том, что функция экспорта данных и настроек сохраняет в резервной копии много разнообразных файлов, в т.ч. и сертификаты, которые генерирует KSC во время своей установки. И нет никакой возможности сделать выборочное экспортирование данных. Можно лишь экспортировать отдельно сертификаты, либо все данные, включая и сертификаты.

После того, как вы начнете восстанавливать (импортировать) данные со старого сервера, функция импорта затрет новые сгенерированные KSC сертифкаты старыми (со старого сервера). KSC в таком случае перестанет подключаться к своему серверу, где он установлен, сигнализируя об ошибке соединения . Чтобы этого не произошло, нужно сохранить сертификаты KSC на новом сервере, для того, чтобы их потом восстановить уже после восстановления данных со старого сервера. Необходимо воспользоваться утилитой резервного копирования, входящей в комплект KSC:

Перенос Kasperscy Security Center 10.2.434e с одного сервера на другой вместе со всеми данными и настройками и обновление его до версии 11

5. Резервирование информации на старом сервере и восстановлениее ее на новом

После сохранения сертификатов на новом KSC-сервере можно заняться сохранением данных на старом KSC-сервере и восстановлением ее на новом. Делается это все при помощи той же утилиты.

После импортирования данных KSC на новом сервере делаем импортирование сертификатов, которые мы сохраняли на предыдущем шаге. Пробуем запустить KSC. Если все хорошо, то переходим к его обновлению.

6. Обновление KSC 10.2.434e на новом сервере до 11 версии

Обновление проводим, запустив дистрибутив 11-версии. Обновление проходит без ошибок. Отмечу, что у меня и на этом шаге случилась проблема. После обновления KSC категорически отказался соединяться со своим сервером (127.0.0.1). Она решилась, но весьма странным образом и быстро.

Вот такая история! Если есть вопросы, замечания, прошу излагать их в комментариях. Обсудим.

Все мы знаем истории, когда вирусы парализовывали работу огромных компаний. Итог - большие финансовые потери, урон репутации. «Лаборатория Касперского» разработала свой многоступенчатый подход к организации защиты с помощью широкой линейки своих продуктов. Далее я более подробно расскажу об этом подходе и покажу пример установки и настройки одного из базовых продуктов кибербезопасности - Kaspersky EDR Optimum.

Комплексный подход к безопасности

Информационной безопасности сейчас необходимо уделять максимум внимания, с этим нельзя не согласиться. Число атак на бизнес постоянно растет. Когда я начинал свою деятельность в системном администрировании, наиболее страшные вирусы просто выводили из строя операционные системы. Это создавало проблемы, но не критичные. Как правило, систему можно было оперативно восстановить. В других атаках злоумышленники воровали пароли и рассылали зловредные письма, используя украденные учетные данные от почтовых серверов.

Я сам лично наблюдал последствия атак шифровальщиков. У меня цикл статей на сайте есть по этой теме, вынесенный в отдельный раздел. Когда тебя зашифровали, поздно что-то делать. Так что на первое место выходит предотвращение атак всеми доступными способами. И это не просто установка антивируса на рабочие станции. Сейчас приходится более детально разбираться в этом вопросе и использовать комплекс защитных мер.

Для удобного подбора комплексной защиты «Лаборатория Касперского» сгруппировала все свои продукты кибербезопасности в 3 уровня для того, чтобы вы смогли подобрать себе линейку продуктов под свои задачи и ресурсы.

3 уровня защиты от «Лаборатории Касперского»

Как я уже сказал, «Лаборатория Касперского» представила ступенчатый подход к кибербезопасности. В его рамках все корпоративные продукты, технологии и сервисы разделены на три уровня. Необходимый конкретной компании уровень защиты зависит от размера организации и степени зрелости её службы информационной безопасности.


  1. Kaspersky Security Foundations. Этот уровень обеспечивает базовую защиту от широкого спектра угроз для компаний любого размера. Продукты из этого уровня могут быть установлены и настроены, даже если у вас нет IT отдела и постоянных сотрудников в нём. . Продукты этого уровня дают расширенные инструменты противодействия угрозам. Вы можете не только защищаться от атак, но и проводить расследование инцидентов. А также использовать накопленную информацию об атаках на вашу инфраструктуру для их предотвращения, даже если это совершенно новый вирус. Данный уровень приложений будет актуален для компаний, где есть IT отдел, в том числе люди, которые занимаются именно безопасностью.
  2. Kaspersky Expert Security. Самый продвинутый уровень защиты для организации экосистемы средств обеспечения безопасности. Данный уровень ориентирован на корпорации и крупные промышленные предприятия, где есть отдел IT-безопасности.

Далее я рассмотрю продукты уровня Kaspersky Optimum Security и покажу на конкретном примере, как их устанавливать и использовать.

Kaspersky Optimum Security


Данный уровень защиты состоит из следующих компонентов:

    . Это расширение функционала Kaspersky Endpoint Security, который устанавливается в качестве антивируса на рабочие станции. С его помощью можно будет не только предотвращать угрозы, но и расследовать инциденты, анализировать первопричины заражений, автоматически формировать защиту на основе уже полученных данных, строить отчеты и многое другое. Ниже я буду устанавливать и настраивать этот продукт. . Сервис с круглосуточной автоматической защитой на основе моделей машинного обучения и аналитических данных об угрозах и расследований атак, подготовленных специалистами компании Kaspersky. На основе событий безопасности в вашей системе могут быть запущены те или иные сценарии противодействия угрозам. То есть это система, которая автоматически реагирует на инциденты без вашего участия. . Готовый продукт для организации песочницы, который интегрируется в существующую инфраструктуру защиты для дополнительных возможностей проверки и ограничения работы подозрительных приложений. . Портал с базой данных опасных приложений, сайтов, IP-адресов, всего того, что связано с угрозами. Платформа позволяет проверять подозрительные файлы, хеши файлов, IP-адреса или веб-адреса на наличие связанных с ними киберугроз для дальнейшего своевременного реагирования на них. . Онлайн-платформа, с помощью которой можно повышать осведомленность сотрудников любых отделов, даже ИТ-персонала, в вопросах информационной безопасности. Включает в себя интерактивные уроки, тесты, повторение пройденного, в том числе закрепление знаний на примере симулированных фишинговых атак.

Далее я покажу, как установить и настроить базу для построения защиты уровня Optimum Security с помощью Kaspersky EDR для бизнеса Оптимальный.

Установка Kaspersky EDR для бизнеса Оптимальный

Kaspersky EDR Оптимальный устанавливается поверх существующей инфраструктуры Kaspersky на базе Kaspersky Security Center + Kaspersky Endpoint Security. Сначала нужно установить сервер администрирования Kaspersky SC (KSC), затем на рабочие станции развернуть антивирус Kaspersky ES (KES).


В процессе установки сервера управления, вам будет предложено установить одну из бесплатных баз данных mssql express или mysql. Если у вас уже есть один из этих серверов, можно воспользоваться им.

В целом, в установке Kaspersky Security Center нет каких-то сложностей, так что я не буду на этом останавливаться. У продукта хорошая документация на русском языке, так что можно без проблем разобраться. Но я все установил и без инструкции. После установки заходить в консоль управления можно под учетной записью администратора компьютера, под которым выполнялась установка.

Дальнейшая логика установки EDR следующая. Если вы ранее работали с Security Center, то особых проблем у вас не возникнет. Я несколько лет управлял системой безопасности на базе Kaspersky, причем не в одной организации. Хотя это было несколько лет назад, логика работы продукта осталась примерно такой же, только интерфейс поменялся. Так что я быстро во всём разобрался.

Сначала вам надо загрузить установочные пакеты для дистрибутива клиентского антивируса - Kaspersky Endpoint Security. Делается это в разделе Обнаружение устройств и развертывание -> Развертывание и назначение -> Инсталляционные пакеты.


Затем в разделе Параметры консоли -> Веб-плагины установить два плагина - для Kaspersky Endpoint Agent и Kaspersky Endpoint Security.


Далее идём в Устройства -> Политики и профили и создаем политику для Kaspersky Endpoint Agent. В разделе Параметры программы -> Интерфейс и управление обязательно выбрать Endpoint Detection and Response Optimum.


В завершении развертывания необходимо создать три задачи:

  1. Перед развертыванием KES необходимо добавить компонент Endpoint Agent (или Endpoint Sensor) в свойствах установочного пакета KES в KSC.
  2. Задача для удаленной установки дистрибутива KES.
  3. Задача по распространению лицензионного ключа с лицензией на Kaspersky Endpoint Detection and Response Optimum.

Продукт активно развивается, так что какие-то пункты из данной инструкции могут поменяться. Но общая логика установки, думаю, такой же и останется. Теперь можно переходить к тестированию возможностей KES с лицензией EDR Optimum.

Имитация заражения и противодействие с помощью EDR

Давайте посмотрим, как на практике реализуется защита с помощью установленных ранее компонентов. Для теста я запустил на защищенной рабочей станции образец вируса. Локальный антивирус заблокировал его работу. Перемещаемся в KSC и смотрим информацию об инциденте.

Идём в раздел Мониторинг и отчёты -> Отчёты, открываем Отчёт об угрозах. Переходим на вкладку Подробнее.


Мы видим общую информацию о событии. Далее мы можем посмотреть подробности инцидента в отдельной карточке. Перемещаемся туда.


Здесь наглядно со всеми подробностями представлена информация, связанная с событием. Я скачал вирус в запароленном архиве через браузер. Распаковал его и запустил. Сверху показана цепочка процессов, связанных с запуском вируса. Сначала это был системный процесс svchost.exe, потом скачанная программа sw_test.exe и в конце сам запущенный вирус yhtbz.exe.

Через карточку инцидента вы можете изолировать устройство от сети, чтобы далее спокойно разобраться в произошедшем событии, не опасаясь, что прямо сейчас будет распространяться заражение.

Вы наглядно можете проследить за всеми действиями вируса. Для этого нужно выбирать соответствующие разделы под информацией о вирусе и смотреть внесенные им изменения.


  • какие файлы создавал вирус;
  • откуда и кем он был запущен;
  • к каким ip-адресам он обращался;
  • что изменил в реестре.

Наглядно всё это можно посмотреть в отдельной вкладке - Все события инцидента.


На основе данных из карточки вы сможете сразу же проверить файл по его хэшу на Kaspersky Threat Intelligence Portal и получить подробную аналитику. Также с помощью информации о файле вируса можно создать задачу по поиску этого файла на других машинах и настроить какое-то действие, если этот файл будет найден. Например, изолировать хост от сети или удалить файл и поместить на карантин.

Смотрите, какая получается картина. Вы видите не только конечный файл с вирусом, который был запущен в директории temp, но и источник заражения - исходный файл, который антивирусом не детектился, так как не проявлял никаких явно вредоносных активностей, но именно он являлся источником заражения. На основе функционала, представленного Kaspersky EDR Оптимальный, вы видите полную картину происходящего. С помощью информации в карточке инцидента у вас есть возможность сразу же изолировать заражённый хост, посмотреть аналитику по исходному файлу, запускающему вирус. Затем заблокировать на всех компьютерах запуск исходного файла по представленному хэшу, определить ip адреса, к которым обращается вирус и заблокировать их на шлюзе.

Когда атака будет локализована и остановлена, сможете спокойно посмотреть все изменения, что делал вирус, и откатить их на пострадавших системах. Таким образом реализуется часть комплексного подхода к защите. Не только блокировка вируса, но и полная аналитика по нему и превентивная защита.

Когда атака будет локализована и остановлена, сможете спокойно посмотреть все изменения, что делал вирус, и откатить их на пострадавших системах. Таким образом реализуется часть комплексного подхода к защите. Не только блокировка вируса, но и полная аналитика по нему и превентивная защита.

Более наглядно посмотреть все возможности Kaspersky EDR Optimum вы можете в видео:

Функционал очень крутой. Я лично ничего подобного ранее не видел. Расследования после вирусных атак приходилось проводить вручную, выискивая следы в системе и используя поисковики, чтобы находить подробности.

Заключение

Я рассказал, как организован подход «Лаборатории Касперского» к обеспечению комплексной защиты, а также наглядно показал, как он реализуется на практике на примере использования Kaspersky EDR для бизнеса Оптимальный. В целом мне нравятся защитные продукты этого бренда. Я постоянно использую их на почтовых серверах Linux в качестве антиспама и антивируса.

В офисах мне приходилось использовать 3 современных антивируса - от «Лаборатории Касперского» и других известных антивирусных производителей. Лично мне бренд Kaspersky и его Security Center нравится больше всего. Но нужно учитывать, что он в сумме и стоит немного дороже. Хотя линейки продуктов, как и функционал, у всех разные, и в лоб не всегда получится адекватно сравнить цены. Тут уже каждый сам выбирает, на чем остановиться исходя из задач и бюджета.

Читайте также: