Где хранится база kaspersky security center

Обновлено: 06.07.2024

В нашей практике обслуживания серверов и ИТ-аутсорсинга мы активно применяем автоматический мониторинг состояния серверов и критичных для бизнеса наших клиентов узлов их ИТ-инфраструктуры на базе Zabbix. Мы дорабатываем его под задачи наших клиентов, чтобы качество оказываемого нами сервиса стало ещё лучше, а наши любимые клиенты ещё счастливее, работая с нами! На очереди встал вопрос мониторинга Kaspersky Security Center.

В Kaspersky Security Center доступен мониторинг состояния Сервера администрирования и управляемых им продуктов. Данные с серверов Kaspersky Security Center собираются посредством службы SNMP.

SNMP (англ. Simple Network Management Protocol — простой протокол сетевого управления) — стандартный интернет-протокол для управления устройствами в IP-сетях на основе архитектур TCP/UDP. К поддерживающим SNMP устройствам относятся маршрутизаторы, коммутаторы, серверы, рабочие станции, принтеры, модемные стойки и другие. Протокол обычно используется в системах сетевого управления для контроля подключённых к сети устройств на предмет условий, которые требуют внимания администратора.

Настройку мониторинга Kaspersky Security Center в Zabbix условно можно разделить на два этапа:

  1. Подготовка сервера Windows
  2. Настройка мониторинга в Zabbix.

На первом этапе необходимо предварительно подготовить сервер на котором планируется развертывание Kaspersky Security Center для настройки мониторинга событий Kaspersky Security Center в системе мониторинга Zabbix.

В первую очередь на сервере развертывания KSC необходимо установить и настроить службу SNMP. Сделать это можно перейдя в оснастку управления сервером, где выбрать пункт «добавить роли и компоненты». В меню выбора компонентов отметить службу SNMP и установить ее.

Рисунок 1

После установки службы SNMP, ее необходимо корректно настроить, открыв консоль управления компьютером и найдя в разделе «службы» службу SNMP. Далее необходимо открыть свойства службы SNMP и во вкладках «Ловушки» и «Безопасность» произвести настройку параметров.

Рисунок 2

В полях «Имя сообщества» и «Адрес назначения ловушки» вкладки «Ловушки» укажите public и IP-адрес компьютера, на котором установлен сервер Zabbix. В нашем примере IP-адрес сервера Zabbix - 192.168.43.140

Рисунок 3

В параметрах вкладки «Безопасность» установите флаг «Отправлять ловушку проверки подлинности» и добавьте определенное на вкладке «Ловушки» имя сообщества с правами READ ONLY. Далее установим флажок «Принимать пакеты SNMP только от этих узлов» и укажем IP-адрес компьютера, на котором развернут сервер Zabbix.

Далее следует установить Kaspersky Security Center в соответствии с официальным руководством по внедрению. При установке важно обязательно выбрать компонент «Агент SNMP», как это показано на скриншоте.

Рисунок 4

Если же Kaspersky Security Center был установлен до добавления службы SNMP на сервер, то Вам необходимо в разделе «Программы и компоненты» изменить Kaspersky Security Centr, выбрав установку SNMP агента.

Первый этап настройки мониторинга состояния Kaspersky Security Center в системе мониторинга Zabbix на этом завершен, и мы можем переходить ко второму этапу.

На втором этапе мы произведем непосредственную настройку мониторинга состояний Kaspersky Security Centr, которая будет заключаться в добавлении наблюдаемого узла сети в Zabbix, настройки источников данных и нескольких триггеров для интересующих нас событий.

Для добавления нового узла сети необходимо перейти в меню «Настройка» >> «Узлы сети» и нажать кнопку «Создать узел сети». На открывшейся странице указываем имя узла сети, группу в которую входит узел сети, IP-адрес узла сети с соответствующим интерфейсу портом. При необходимости добавляем описание узла сети, ставим флажок в поле «Активировано» и жмем на кнопку «Добавить». Узел сети готов!

Рисунок 5

Далее приступаем непосредственно к созданию шаблона для Kaspersky Security Center 11. Переходим в меню «Настройка» >> «Шаблоны», жмем «Создать шаблон». Вводим имя шаблона, в моем случае KSC11 SNMP, указываем группу которой принадлежит шаблон (создаем новую или выбираем из существующих) и жмем кнопку «Добавить».

После добавления находим наш новый шаблон в списке существующих и заходим в него. Во вкладке «Группа элементов данных» добавляем название группы которой будут принадлежать позднее созданные нами элементы данных.

Следует отметить, что по сравнению с KSC 10 список наблюдаемых событий в KSC 11 значительно расширился, и состоит из 30 контролируемых параметров вместо 14.

Вводная: Есть сервер с сервером администрирования Касперского + БД MS SQL 2005 на нём же. Задача перенести сервер на другую машину + БД перенести на выделенный под SQL сервер.

Делаем бэкап средствами каспера ("Утилита резервного копирования" - klbackup.exe).

Устанавливаем на новом серваке сервер администрирования, при установке помним, что если указали запуск сервиса от системной учётной записи, то БД может быть только локальной. Так что либо создаём учетку чисто под Касперский, либо используем имеющуюся сервисную учетку (ни в коем случае ни свою личную, так как можем и пароль себе сменить и сервер тогда упадет). Затем указываем SQL сервер, ИМЯ БД . ДОЛЖНО. быть таким же как на старом сервере. После установки начинаем разворачивать бэкап.

Создаём папку к примеру C:\Backups\ открываем ей общий доступ и даём на неё ПОЛНЫЕ права для всех (после разворачивания бекапа можно будет закрыть). Далее выполняем следующую команду (подразумевается, что бэкап касперского храниться в папке C:\Backups\KAV\klbackup, а имя сервера Kaspserv)

По абсолютным путям (вида C:\Backups\KAV\klbackup работать НЕ БУДЕТ. ) Обязательно, если сервера администрирования и SQL-сервер разнесены по рахным компьютерам нужно указывать UNC путь

c:\Program Files\Kaspersky Lab\Kaspersky Administration Kit>klbackup -logfile c:
\Backups\kavlog.txt -path \\Kaspserv\Backups\KAV\klbackup -restore -password ExamplePassword

Проверяем лог, успешно ли завершена операция. Подключаемся к новому серверу через консоль администрирования. Если подключение прошло нормально, то далее переходим на старый сервер и создаём задачу смены сервера администрирования. Дожидаемся когда перенесутся все машины и останавливаем старый сервер.

Если нужен перенос только SQL-сервера, то всё практически тоже самое за исключение двух вещей - после снятия бэкапа сервера, надо удалить сервер администрирования с компьютера (именно удалить, через Пуск-Панель Управление-Установка/Удаление программ), после удаления устанавливать, как на новый сервер с теми же параметрами (не забываем, что имя БД должно быть такое же) но указываем другой SQL-сервер. Второе отличие в том, что не требуется запускать задачу смены сервера администрирования

Kaspersky Endpoint Security можно поставить на обычный сервер, но нельзя ни на
кластер, ни на сервер в режиме Core, ни на терминальный сервер. У Kaspersky Endpoint Security больше компонентов и драйверов, и соответственно, возможных конфликтов. Kaspersky Endpoint Security может инициировать перезагрузку.

Итак, в небольших компаниях, где всего несколько администраторов, где
сервер не несет каких-то особо сложных функций и его можно периодически перезагружать, можно использовать Kaspersky Endpoint Security.
В больших компаниях, где у каждого администратора своя зона ответственности, где много серверов и каждый играет свою роль, если важным критерием является отказоустойчивость, то тут лучше всего использовать Kaspersky Security для Windows Server.

Чем Kaspersky Security 10.1 для Windows Server отличается по сравнению с Kaspersky Endpoint Security?

— Kaspersky Security для Windows Server обычно устанавливается без интерфейса, чтобы им управлять, можно использовать Консоль управления Kaspersky Security, Kaspersky Security Center или утилиту управления командной строки (kavshell.exe). Эта особенность позволяет устанавливать Kaspersky Security for Windows Server на сервера Windows в режиме ядра (Server Сore).

— Kaspersky Security для Windows Server имеет в составе компонент, который отслеживает активность шифрования в серверных папках общего доступа и системах хранения данных NetApp

— Kaspersky Security для Windows Server умеет блокировать удаленные компьютеры, которые пытаются поместить в общую папку сервера вредоносные файлы или зашифровать файлы в папке общего доступа

— Kaspersky Security для Windows Server умеет корректно распознавать режим терминальной сессии или сеанс удалённого рабочего стола, и при обнаружении угрозы уведомлять только конкретного пользователя, который работает в сессии

— Kaspersky Security для Windows Server при работе на отказоустойчивом кластере умеет корректно воспринимать смену активного узла и применять те же параметры проверки к общим кластерным ресурсам, которые перемещаются при смене узла

— Kaspersky Security для Windows Server умеет защищать системы хранения данных, речь идет о NAS-хранилищах, которые в основном используют собственную операционную систему и подключаются к серверу по специфическим протоколам. То есть проверка стандартными средствами в этом случае работать не будет.

eсли вы используете РЕД ОС версии 7.3 и старше:

Теперь необходимо настроить разрешающие правила в системе SELinux.

1. Автоматизированный вариант:

Загрузите скрипт для настройки SELinux.

2. Ручная настройка:

Запустите скрипт настройки Kaspersky Endpoint Security:

Далее установщик Касперского выполнит интерактивную установку. Если будут использоваться параметры антивируса не по умолчанию (например, если используется прокси-сервер), их можно задать в процессе интерактивной установки.

Запустите следующие задачи:
задачу Защита от файловых угроз:

задачу Проверка загрузочных секторов:

задачу Проверка памяти ядра и процессов:

Рекомендуется запустить все задачи, которые вы планируете запускать при использовании Kaspersky Endpoint Security.
Убедитесь, что в файле audit.log нет ошибок:

Создайте модуль правил на основе блокирующих записей:

Убедитесь, что созданный список содержит только правила, относящиеся к Kaspersky Endpoint Security.

Загрузите полученный модуль правил:

Переведите SELinux в принудительный режим:

Скачайте файл RPM (x64): klnagent64-11.0.0-29.x86_64.rpm

Перейдите в каталог со скачанным файлом дистрибутива.
В консоли выполните команды:
для РЕД ОС версии 7.1 или 7.2:

для РЕД ОС версии 7.3 и старше:

Чтобы удалить Kaspersky Endpoint Security, установленный из пакета формата RPM, выполните следующую команду:
для РЕД ОС версии 7.1 или 7.2:

для РЕД ОС версии 7.3 и старше:

eсли вы используете РЕД ОС версии 7.1 или 7.2:

eсли вы используете РЕД ОС версии 7.3 и старше:

Теперь необходимо настроить разрешающие правила в системе SELinux.

Загрузите скрипт для настройки SELinux.

1. Автоматизированный вариант:

2. Ручная настройка:

Запустите скрипт настройки Kaspersky Endpoint Security:

Далее установщик Касперского выполнит интерактивную установку. Если будут использоваться параметры антивируса не по умолчанию (например, если используется прокси-сервер), их можно задать в процессе интерактивной установки.

Запустите следующие задачи:
задачу Защита от файловых угроз:

задачу Проверка загрузочных секторов:

задачу Проверка памяти ядра и процессов:

Рекомендуется запустить все задачи, которые вы планируете запускать при использовании Kaspersky Endpoint Security.
Убедитесь, что в файле audit.log нет ошибок:

Переведите SELinux в принудительный режим:

Запуск и остановка Kaspersky Endpoint Security

Чтобы остановить Kaspersky Endpoint Security в systemd-системе, выполните следующую команду:

Чтобы перезапустить Kaspersky Endpoint Security в systemd-системе, выполните следующую команду:

Чтобы вывести статус Kaspersky Endpoint Security в systemd-системе, выполните следующую команду:

Если вы нашли ошибку, пожалуйста, выделите текст и нажмите Ctrl+Enter.

Читайте также: