Kaspersky не применяется профиль политики

Обновлено: 02.07.2024

Применение политик к устройствам, исходя только из иерархии групп администрирования, во многих случаях неудобно. Может возникнуть необходимость создать несколько копий политики для разных групп администрирования и в дальнейшем вручную синхронизировать содержимое этих политик.

Во избежание подобных проблем в Kaspersky Security Center, начиная с версии 10 Service Pack 1, поддерживаются профили политики. Профиль политики представляет собой именованное подмножество параметров политики. Это подмножество параметров политики распространяется на устройства вместе с политикой и дополняет политику при выполнении некоторого условия – условия активации профиля. Профили содержат только те параметры, которые отличаются от "базовой" политики, действующей на клиентском устройстве (компьютере, мобильном устройстве). При активации профиля изменяются параметры политики, действовавшие на устройстве до активации профиля. Эти параметры принимают значения, указанные в профиле.

Профили политик сейчас имеют следующие ограничения:

• в политике может быть не более 100 профилей;
• профиль политики не может содержать другие профили;
• профиль политики не может содержать параметры уведомлений.

Профиль политики содержит следующие составные части:

• Имя. Профили с одинаковыми именами действуют друг на друга по иерархии групп администрирования с общим правилами.
• Подмножество параметров политики. В отличие от политики, где содержатся все параметры, в профиле присутствуют лишь те параметры, которые действительно нужны (на которых установлен замок).
• Условие активации – логическое выражение над свойствами устройства. Профиль активен (дополняет политику), только когда условие активации профиля становится истинным. В остальных случаях профиль неактивен и игнорируется. В логическом выражении могут участвовать следующие свойства устройства:
  • состояние автономного режима;
  • свойства сетевого окружения – имя активного правила подключения Агента администрирования;
  • наличие или отсутствие у устройства указанных тегов;
  • местоположение устройства в подразделении Active Directory: явное (устройство находится непосредственно в указанном подразделении) или неявное (устройство находится в подразделении, которое находится внутри указанного подразделения на любом уровне вложенности);
  • членство устройства в группе безопасности Active Directory (явное или неявное);
  • членство владельца устройства в группе безопасности Active Directory (явное или неявное).

  Поведение профилей при действии политик друг на друга по иерархии

  Одноименные профили объединяются согласно правилам объединения политик. Профили верхней политики приоритетнее профилей нижней политики. Если в "верхней" политике запрещено изменение параметров (кнопка замок нажата), в "нижней" политике используются условия активации профиля из "верхней" политики. Если в "верхней" политике разрешено изменение параметров, то используются условия активации профиля из "нижней" политики.

  Поскольку профиль политики может в условии активации содержать свойство Устройство в автономном режиме , профили полностью заменяют функциональность политик для автономных пользователей, которая в дальнейшем не будет поддерживаться.

  Политика для автономных пользователей может содержать профили, но активация ее профилей может произойти не ранее, чем устройство перейдет в автономный режим.

  После завершения этого сценария программы будут настроены на всех управляемых устройствах в соответствии с политиками программ и профилями политики, которые вы определяете.

  Убедитесь, что вы успешно установили Сервер администрирования Kaspersky Security Center и Kaspersky Security Center 12 Web Console (если требуется). Если вы установили Kaspersky Security Center 12 Web Console, вам может быть интересно также управление безопасностью, ориентированное на пользователей, в качестве альтернативы или дополнения к управлению безопасностью, ориентированному на устройства.

  Сценарий управления программами "Лаборатории Касперского", ориентированный на устройства, содержит следующие шаги:

  Настройка политик программ

  Настройте параметры установленных программ "Лаборатории Касперского" на управляемых устройствах с помощью создания политики для каждой программы. Этот набор политик будет применен к клиентским устройствам.

  Когда вы настраиваете защиту сети с помощью мастера первоначальной настройки, Kaspersky Security Center создает политику по умолчанию для Kaspersky Endpoint Security для Windows. Если вы завершили процесс настройки с помощью этого мастера, вам не нужно создавать новую политику для этой программы. Перейдите к настройке политики Kaspersky Endpoint Security вручную.

  Если у вас иерархическая структура нескольких Серверов администрирования и/или групп администрирования, подчиненные Серверы администрирования и дочерние группы администрирования наследуют политики от главного Сервера администрирования по умолчанию. Вы можете принудительно наследовать параметры дочерними группами и подчиненными Серверами администрирования, чтобы запретить любые изменения параметров политик вниз по иерархии. Если вы хотите разрешить наследовать только часть параметров, вы можете заблокировать их в вышележащей политике. Остальные незаблокированные параметры будут доступны для изменения в политике ниже по иерархии. Созданная иерархия политик позволяет эффективно управлять устройствами в группах администрирования.

  Если вы хотите, чтобы к устройствам из одной группы администрирования применялись разные параметры политики, создайте профили политики для этих устройств. Профиль политики представляет собой именованное подмножество параметров политики. Это подмножество параметров распространяется на устройства вместе с политикой и дополняет политику при выполнении определенного условия – условия активации профиля. Профили содержат только те параметры, которые отличаются от "базовой" политики, действующей на управляемом устройстве.

  Используя условия активации профиля, вы можете применять различные профили политики, например, к устройствам, расположенным в определенном подразделении или группе безопасности Active Directory, имеющим определенную конфигурацию программного обеспечения или имеющим заданные теги. Используйте теги для фильтрации устройств, соответствующих определенным критериям. Например, вы можете создать тег Windows, назначить его всем устройствам под управлением операционной системы Windows, а затем указать этот тег в правилах активации профиля политики. В результате на устройствах под управлением операционной системы Windows установленные программы "Лаборатории Касперского" будут управляться своим профилем политики.

  По умолчанию синхронизация управляемых устройств с Сервером администрирования происходит раз в 15 минут. Во время синхронизации новые или измененные политики и профили политик применяются к управляемым устройствам. Вы можете пропустить автоматическую синхронизацию и запустить синхронизацию вручную с помощью команды Синхронизировать принудительно. После завершения синхронизации политики и профили политик доставляются и применяются к установленным программам "Лаборатории Касперского".

  Если вы используете Kaspersky Security Center 12 Web Console, можно проверить, доставлены ли политики и профили политик на устройства. Kaspersky Security Center определяет дату и время доставки в свойствах устройства.

  После завершения сценария, ориентированного на устройства, программы "Лаборатории Касперского" будут настроены в соответствии с параметрами, указанными и распространенными через иерархию политик.

  Политики программ и профили политик будут автоматически применяться к новым устройствам, добавленным в группы администрирования.

  Для управления программой вы можете использовать политику для одного кластера KSC и политику для всех кластеров KSC:

  • Политика для одного кластера KSC создается в группе администрирования, содержащей кластер KSC, и применяется на всех SVM этого кластера KSC. Политика определяет параметры защиты всех виртуальных машин в составе защищаемой инфраструктуры этого кластера KSC, то есть всех виртуальных машин под управлением сервера VMware vCenter, соответствующего кластеру KSC.
  • Политика для всех кластеров KSC создается в группе администрирования Управляемые устройства и применяется на всех SVM всех кластеров KSC. Политика определяет параметры защиты всех виртуальных машин в составе защищаемой инфраструктуры всех кластеров KSC, то есть всех виртуальных машин под управлением всех серверов VMware vCenter.

  Параметры защиты виртуальных машин в политике определяются профилем защиты (далее также "профиль"). Во время создания политики формируется основной профиль защиты.

  В политике для всех кластеров KSC основной профиль по умолчанию не назначается никакому объекту.

  Основной профиль защиты недоступен для удаления, однако вы можете изменять значения параметров основного профиля.

  После создания политики вы можете создать дополнительные профили защиты. Благодаря дополнительным профилям защиты вы можете гибко настроить разные параметры защиты для разных виртуальных машин.

  Политика может включать один основной и несколько дополнительных профилей защиты. Профиль защиты назначается объектам управления VMware в составе защищаемой инфраструктуры кластера KSC. Одному объекту управления VMware может быть назначен только один профиль защиты (см. рис. ниже).

  
  

  Kaspersky Security защищает виртуальную машину с теми параметрами, которые указаны в назначенном виртуальной машине профиле защиты.

  В профиле защиты вы можете настроить следующие параметры:

  • Уровень безопасности. Вы можете выбрать один из предустановленных уровней безопасности ( Высокий , Рекомендуемый , Низкий ) или настроить уровень безопасности самостоятельно ( Пользовательский ). Уровень безопасности определяет следующие параметры проверки:
    • проверка архивов, самораспаковывающихся архивов, вложенных OLE-объектов, составных файлов;
    • ограничение проверки файлов по времени;
    • список объектов для обнаружения.

    В свойствах ранее созданной политики вы можете настроить следующие параметры работы программы:

    • параметры обнаружения сетевых атак и подозрительной сетевой активности;
    • параметры проверки веб-адресов;
    • параметры резервного хранилища;
    • параметры использования KSN.

    
    

    Параметры и блоки параметров политики имеют атрибут "замок", который показывает, наложен ли запрет на изменение параметров в политиках вложенного уровня иерархии (для вложенных групп администрирования и подчиненных Серверов администрирования). Если в политике для параметра или блока параметров "замок" закрыт (), переопределить значение этих параметров в политиках вложенного уровня иерархии невозможно (см. в документации Kaspersky Security Center).

    Kaspersky Security Center позволяет задавать сложную иерархию групп администрирования и политик (подробнее см. в документации Kaspersky Security Center). В программе Kaspersky Security каждая политика получает сведения о виртуальной инфраструктуре от Сервера интеграции, который подключается к определенному серверу VMware vCenter. Если вы используете сложную иерархию групп администрирования и политик, политика нижнего уровня наследует некорректные параметры получения сведений о виртуальной инфраструктуре. Поэтому во время настройки параметров Kaspersky Security рекомендуется не задавать сложную иерархию групп администрирования и политик, а создавать отдельную политику для группы администрирования, которая содержит кластер KSC.

    Применение политик к устройствам, исходя только из иерархии групп администрирования, во многих случаях неудобно. Может возникнуть необходимость создать несколько копий политики для разных групп администрирования и в дальнейшем вручную синхронизировать содержимое этих политик.

    Во избежание подобных проблем в Kaspersky Security Center, начиная с версии 10 Service Pack 1, поддерживаются профили политики. Профиль политики представляет собой именованное подмножество параметров политики. Это подмножество параметров политики распространяется на устройства вместе с политикой и дополняет политику при выполнении некоторого условия – условия активации профиля. Профили содержат только те параметры, которые отличаются от "базовой" политики, действующей на клиентском устройстве (компьютере, мобильном устройстве). При активации профиля изменяются параметры политики, действовавшие на устройстве до активации профиля. Эти параметры принимают значения, указанные в профиле.

    Профили политик сейчас имеют следующие ограничения:

    • в политике может быть не более 100 профилей;
    • профиль политики не может содержать другие профили;
    • профиль политики не может содержать параметры уведомлений.

    Профиль политики содержит следующие составные части:

    • Имя. Профили с одинаковыми именами действуют друг на друга по иерархии групп администрирования с общим правилами.
    • Подмножество параметров политики. В отличие от политики, где содержатся все параметры, в профиле присутствуют лишь те параметры, которые действительно нужны (на которых установлен замок).
    • Условие активации – логическое выражение над свойствами устройства. Профиль активен (дополняет политику), только когда условие активации профиля становится истинным. В остальных случаях профиль неактивен и игнорируется. В логическом выражении могут участвовать следующие свойства устройства:
      • состояние автономного режима;
      • свойства сетевого окружения – имя активного правила подключения Агента администрирования;
      • наличие или отсутствие у устройства указанных тегов;
      • местоположение устройства в подразделении Active Directory: явное (устройство находится непосредственно в указанном подразделении) или неявное (устройство находится в подразделении, которое находится внутри указанного подразделения на любом уровне вложенности);
      • членство устройства в группе безопасности Active Directory (явное или неявное);
      • членство владельца устройства в группе безопасности Active Directory (явное или неявное).

      Поведение профилей при действии политик друг на друга по иерархии

      Одноименные профили объединяются согласно правилам объединения политик. Профили верхней политики приоритетнее профилей нижней политики. Если в "верхней" политике запрещено изменение параметров (кнопка замок нажата), в "нижней" политике используются условия активации профиля из "верхней" политики. Если в "верхней" политике разрешено изменение параметров, то используются условия активации профиля из "нижней" политики.

      Поскольку профиль политики может в условии активации содержать свойство Устройство в автономном режиме , профили полностью заменяют функциональность политик для автономных пользователей, которая в дальнейшем не будет поддерживаться.

      Политика для автономных пользователей может содержать профили, но активация ее профилей может произойти не ранее, чем устройство перейдет в автономный режим.

      Читайте также:

        
      • Rigid model v2 чем открыть
        
      • Выполнить очистку прикрепленных файлов или перенести их из информационной базы во внешнее хранилище
        
      • Как найти моды на компьютере
        
      • Как запустить управление компьютером от имени администратора
        
      • Чаще всего вирусы поражают файлы с расширениями exe com sys