30.09.2020
Процесс установки Kaspersky Security Center сильно отличается от обычной установки простых программ. Со всеми этапами установки, Вы можете ознакомиться по ссылке.
Разберемся, что требуется от системного администратора для подготовки рабочих станций к началу развёртывания KSC.
Перед началом установки убедитесь, что аппаратное обеспечение устройства соответствует требованиям, предъявляемым к Серверу администрирования и Консоли администрирования. Настоятельно рекомендуем использовать Сервер администрирования на выделенный сервер, а не на контроллер домена.
Kaspersky Security Center хранит информацию в базе данных SQL-сервера. Для этого необходимо самостоятельно установить базу данных SQL-сервера (подробнее о выборе СУБД). Для хранения информации можно использовать и другие SQL-серверы. Они должны быть установлены в сети до начала установки Kaspersky Security Center. Для установки Kaspersky Security Center необходимо наличие прав локального администратора на устройстве, где осуществляется установка.
- В папках, в которых включен учет регистра, установите Сервер администрирования, Агент администрирования и Консоль администрирования. Отключите учет регистра для общей папки Сервера администрирования и скрытой папки Kaspersky Security Center (%ALLUSERSPROFILE%KasperskyLabadminkit).
- Вместе с компонентом Сервер администрирования на устройство будет установлена серверная версия Агента администрирования. Его совместная установка с обычной версией Агента администрирования невозможна. Если серверная версия Агента администрирования уже установлена на вашем устройстве, требуется удалить ее и запустить установку Сервера администрирования повторно.
Начиная с версии KSC 10 SP3, осуществляется поддержка управляемых учетных записей службы, а также управляемых групповых учетных записей службы. Если данные типы учетных записей используются в Вашем домене и Вы хотите указать одну из них в качестве учетной записи для службы Сервера администрирования, то установите учетную запись на том же устройстве, на котором должен располагаться Сервер администрирования. Подробнее об установке управляемых учетных записей на локальном устройстве смотрите по ссылке.
Возврат к списку
Чем больше сеть, тем больше системный администратор (или IT-департамент) старается автоматизировать управление программными продуктами. Антивирусное ПО в этом плане не исключение.
Многие производители антивирусов имеют в своем арсенале средства удаленного администрирования, сегодня речь пойдет о подобном решении от Лаборатории Касперского.
Вообще, Kaspersky Security Center — довольно серьезное приложение, описать который в одной статье точно не получится. Поэтому в данной статье разберем только его развертывание.
Скачать Kaspersky Security Center можно здесь. Сам продукт состоит из сервера, который будет необходимо развернуть, консоли администрирования, которую можно поставить на другой компьютер для удаленного администрирования сервера, веб-консоли как альтернативы обычной и агента администрирования, который ставится на клиентские компьютеры и отвечает за связь антивирусного ПО с сервером.
Сам сервер необходимо разворачивать только на операционных системах семейства Windows. Причем наличие серверной редакции необязательно. Поддерживаются системы от XP и выше, но только в редакциях Professional/Enterprise/Ultimate. С полным списком поддерживаемых систем можно ознакомиться на сайте.
Помимо этого, серверу для своей работы необходим MS SQL или MySQL (можно и удаленный). Если готового сервера баз данный под рукой нет, установщик Kaspersky Security Center сам установит MS SQL Express, которого вполне достаточно для большинства организаций.
Итак, для развертывания сервера скачиваем и запускаем установочный файл (рекомендую качать полный дистрибутив). В качестве тестового стенда у нас выбран компьютер с операционной системой Windows Server 2012 R2.
Вы увидите удобное меню, в котором нас сейчас интересует пункт «Установить Kaspersky Security Center 10».
После запуска установки Вам предложат принять лицензионное соглашение, а также выбрать тип установки. Для лучшего контроля над процессом установки отметим выборочную установку.
Если в сети есть мобильные устройства, для управления их защитой можно установить отдельный компонент.
Укажите размер своей сети. Данный пункт, впрочем, не несет в себе какой-то важной определяющей силы.
Далее программа установки спросит из-под какого пользователя запускать службу сервера администрирования. Вы можете указать уже имеющегося пользователя с админскими правами или же позволить программе установки создать нового.
Далее нужно указать учетную запись для запуска прочих служб Kaspersky Security Center.
Следующим шагом будет выбор сервера базы данных. Как уже говорилось, вариантов тут два — MS SQL или MySQL. Если у Вас нет готового сервера, Kaspersky Security Center заботливо развернет MS SQL Express.
На этом шаге в процессе установки Вас может ждать небольшой сюрприз в том случае, если в Вашей системе не установлен .NET Framework 3.5 SP 1.
В Windows Server .NET Framework 3.5 SP 1 встроен как компонент, и его необходимо лишь включить. Если у Вас не серверная операционная система, то Вам нужно зайти на сайт Microsoft и скачать установщик.
Рассмотрим вариант включения компонента в Windows Server. Для этого открываем Диспетчер серверов и выбираем пункт «Добавить роли и компоненты».
Запустится мастер, в котором нам необходимо указать, что мы собираемся устанавливать роли или компоненты.
Выбираем наш сервер и пропускаем выбор ролей. В списке компонентов находим Функции .NET Framework 3.5 и отмечаем их галочкой.
После этого нажимаем Далее и Установить. Запустится процесс установки.
После этого вернемся к установке непосредственно Kaspersky Security Center.
Нам необходимо выбрать режим SQL-аутентификации. Это может быть как отдельная учетная запись, так и текущая.
Серверу Kaspersky Security Center необходима общая папка, к которой могли бы обращаться клиентские компьютеры для получения обновлений и инсталляционных пакетов. Можно создать новую папку или указать существующую.
Указываем порты, по которым будем подключаться к серверу администрирования.
Указываем адрес сервера в сети. Если у сервера есть и будет статический IP-адрес, можно им и ограничиться. Но всё-таки удобнее определять сервер по имени.
Последний шаг перед установкой — выбираем необходимые плагины. Плагины позволяют управлять различными антивирусными продуктами Лаборатории Касперского. Это полезно, если у Вас целый «зоопарк» версий. Плагины можно будет также установить потом дополнительно.
Теперь осталось лишь наблюдать процесс установки. Иногда на плагины требуется принять отдельное лицензионное соглашение.
Установка Kaspersky Security Center завершена.
Теперь пробежимся по первоначальной настройке сервера. Консоль администрирования, устанавливаемая вместе с сервером, выглядит следующим образом:
Консоль можно установить и отдельно. И даже нужно, чтобы не заходить каждый раз на сервер для рутинных действий.
В левой колонке перечислены сервера. Пока там только наш только что созданный сервер. Если Вы администрируете несколько серверов, то просто нажмите Добавить Сервер администрирования.
Итак, щелкните по только что созданному серверу, и запустится Мастер первоначальной настройки. От Вас попросят активировать программу с помощью кода или ключа. Впрочем, сделать это можно и позднее.
Кроме того мастер спросит Вашего согласия на участие в программе Kaspersky Security Network. По сути, это еще один шпион на Ваших компьютерах, который отправляет Лаборатории Касперского данные о том, на какие ресурсы Вы заходите и где цепляете заразу. Мотивируют это созданием некой базы знаний. На мой взгляд, для конечного пользователя смысл участия в такой программе сомнителен.
Также Вас попросят указать почтовые ящики для уведомлений от сервера Kaspersky Security Center. Этот шаг можно пропустить.
После всех этих шагов сервер начнет загружать последние версии обновлений из сети. В дальнейшем можно будет настроить в качестве источника обновлений не сервера Лаборатории Касперского в сети Интернет, а вышестоящий сервер, если в Вашей сети их несколько.
После закачки обновлений и опроса сети мастер выдаст сообщение об успешном завершении и предложит запустить мастер развертывания защиты на рабочих станциях.
О развертывании защиты на рабочих станциях мы поговорим в следующей статье.
Содержание статьи
- Развертывание ОС Astra Linux Special Edition 1.7.2
- Установка и настройка PostgreSQL 14
- Установка Kaspersky Security Center 14.2
- Установка веб-консоли KSC Web Console
- Сравнение KSC на базе Linux и Windows
В контексте современных угроз и тенденции перехода организаций на отечественные операционные системы всё чаще у системных администраторов возникают вопросы о сложности такой миграции, о возможностях, которые будут доступны или недоступны, и множестве прочих нюансов. В связи с этим одной из немаловажных тем становится миграция средств защиты узлов сети и несомненно одним из лидеров рынка в этой области является Лаборатория Касперского.
Основные направления деятельности:
– Аудит, соответствие требованиям регуляторов, категорирование объектов КИИ.
– Полный спектр работ по построению системы ИБ.
– Проектирование и внедрение инфраструктурных решений, серверные технологии и системы хранения данных.
– Работы требующие аттестации ФСТЭК и ФСБ.
– Предоставление 1-й и 2-й линии технической поддержки и полное техническое сопровождение проектов.
– Проведение авторизованных и авторских курсов и программ обучения.
Линейка продуктов Kaspersky Security для бизнеса защищает вашу организацию от угроз всех типов, в том числе от шифровальщиков и бесфайловых атак. Благодаря большому числу продуктов, входящих в линейку, каждая организация может выбрать подходящий для себя уровень защиты и легко перейти на следующий уровень по мере роста и развития компании и процессов информационной безопасности
Центральным компонентом, с помощью которого осуществляется управление целым набором программных продуктов, является Kaspersky Security Center. Kaspersky Security Center упрощает управление безопасностью и администрирование IT-систем, а также удовлетворяет потребности в защите, которые изменяются вместе с вашей компанией. Единая универсальная консоль позволяет управлять всеми IT-системами, а также облегчает разделение обязанностей между администраторами.
В рамках этой статьи мы поговорим о развертывании Kaspersky Security Center 14.2 на Astra Linux Special Edition 1.7.2. В качестве базы данных будет использоваться последняя версия PostgreSQL 14, поддерживаемая операционной системой, и Kaspersky Security Center на данный момент.
Для установки потребуются базовые навыки работы с консолью и редактором текста nano.
Развертывание ОС Astra Linux Special Edition 1.7.2
Kaspersky Security Center 14 Linux поддерживает большое количество различных дистрибутивов Linux:
- Debian GNU/Linux 9.х (Stretch) 32-разрядная/64-разрядная;
- Debian GNU/Linux 10.х (Buster) 32-разрядная/64-разрядная;
- Debian GNU/Linux 11.х (Bullseye) 32-разрядная/64-разрядная;
- Ubuntu Server 18.04 LTS (Bionic Beaver) 64-разрядная;
- Ubuntu Server 20.04 LTS (Focal Fossa) 64-разрядная;
- Ubuntu Server 22.04 LTS (Jammy Jellyfish) 64-разрядная;
- CentOS 7.x 64-разрядная;
- Red Hat Enterprise Linux Server 7.x 64-разрядная;
- Red Hat Enterprise Linux Server 8.x 64-разрядная;
- Red Hat Enterprise Linux Server 9.x 64-разрядная;
- SUSE Linux Enterprise Server 12 (все пакеты обновлений) 64-разрядная;
- SUSE Linux Enterprise Server 15 (все пакеты обновлений) 64-разрядная;
- Astra Linux Special Edition, версия 1.6 (включая режим замкнутой программной среды и обязательный режим) 64-разрядная;
- Astra Linux Special Edition 1.7.2 (включая режим замкнутой программной среды и мандатный режим) 64-разрядная;
- Astra Linux Common Edition 2.12 64-разрядная;
- Альт Сервер 9.2 64-разрядная;
- Альт Сервер 10 64-разрядная;
- Альт 8 СП Сервер (ЛКНВ.11100-01) 64-разрядная;
- Альт 8 СП Сервер (ЛКНВ.11100-02) 64-разрядная;
- Альт 8 СП Сервер (ЛКНВ.11100-03) 64-разрядная;
- Oracle Linux 7 64-разрядная;
- Oracle Linux 8 64-разрядная;
- Oracle Linux 9 64-разрядная;
- РЕД ОС 7.3 Сервер 64-разрядная;
- РЕД ОС 7.3 Сертифицированная редакция 64-разрядная.
В качестве базовой операционной системы для Kaspersky Security Center 14 мы рассмотрим один из наиболее популярных отечественных дистрибутивов Linux – Astra Linux Special Edition 1.7 от компании «РусБИТех-Астра».
Мы будем использовать поддерживаемую технической поддержкой Kaspersky Astra Linux Special Edition 1.7.2 с максимальным уровнем защищенности «Смоленск». Однако возможно использование и других уровней защищенности – «Орел» или «Воронеж». Параметры дополнительных настроек безопасности соответствуют редакции «Орел».
Выполните установку ОС Astra Linux согласно требованиям вашей организации.
Используя графический интерфейс, зададим параметры для сетевого интерфейса на сервере. Мы будем использовать внутренний IP-адрес 10.10.30.232/24.
Далее для удобства все команды будут выполняться в командной строке через SSH подключение программой PuTTY.
Внимание! При установке KSC 14 необходимо использовать компонент astra-ce расширенного репозитория для установки СУБД PostgreSQL 14. В данной редакции СУБД PostgreSQL не поддерживает МРД. Редакция СУБД PostgreSQL 11 (с поддержкой МРД) не поддерживается KSC 14.
Пакеты, содержащиеся в расширенном репозитории, не дорабатываются для применения в Astra Linux Special Edition и не проходят сертификационные испытания, но технически могут обновлять (заменять) пакеты, находящиеся в базовом репозитории, и доработанные для применения с КСЗ Astra Linux Special Edition.
Работа ПО, установленного из расширенного репозитория, как и любого другого ПО, контролируется общими правилами МРД и МКЦ, действующими в ОС. При этом ОС может работать в любом режиме защиты, однако взаимодействие КСЗ и ПО может быть ограничено. При замене пакета PostgreSQL отключается возможность использования мандатного управления доступом для записей базы данных PostgreSQL. Для обозначения того, что Astra Linux Special Edition работает с использованием таких заменяющих пакетов, используется технический термин «состояние совместимости с Astra Linux Common Edition». Пакеты с таким заменяющим ПО объединены в специальном компоненте расширенного репозитория — компоненте astra-ce.
Файл с указанием адресов репозиториев в качестве источников хранится в разделе /etc/apt/sources.list. Для его редактирования необходимо выполнить команду, а затем внести адреса репозиториев
sudo nano /etc/apt/sources.list
Внимание! Для использования репозиториев по протоколу HTTPS, установить пакеты apt-transport-https и ca-certificates. Проверьте корректность установленного времени на ПК. Если установить пакеты невозможно, измените адрес репозиториев с https на http
# Основной репозиторий (установочный диск)
deb
https://dl.astralinux.ru/astra/stable/1.7_x86-64/repository-main/
1.7_x86-64 main contrib non-free
# Актуальное обновление основного репозитория
deb
https://dl.astralinux.ru/astra/stable/1.7_x86-64/repository-update/
1.7_x86-64 main contrib non-free
# Базовый репозиторий
deb
https://dl.astralinux.ru/astra/stable/1.7_x86-64/repository-base/
1.7_x86-64 main contrib non-free
# Расширенный репозиторий
deb
https://dl.astralinux.ru/astra/stable/1.7_x86-64/repository-extended/
1.7_x86-64 main contrib non-free
# astra-ce
deb
https://dl.astralinux.ru/astra/stable/1.7_x86-64/repository-extended/
1.7_x86-64 astra-ce
Интернет-репозитории являются актуальными для Astra Linux Special Edition x.7 на момент написания статьи. Актуальные репозитории можно узнать из
Wiki
.
Включение компoнента astra-ce:
sudo astra-ce
https://dl.astralinux.ru/astra/stable/1.7_x86-64/repository-extended/
sudo astra-update -A -r
Установка и настройка PostgreSQL 14
После добавления всех необходимых репозиториев можно приступать к установке СУБД. Для начала проверим какие версии PostgreSQL нам доступны:
sudo apt policy postgresql
Доступны версии 11 с поддержкой МРД и версия 14 без поддержки МРД, но только PostgreSQL 14 подходит под требования к Kaspersky Security Center, поэтому её и установим.
sudo apt install postgresql-14
Установка не занимает много времени. После установки нам необходимо изменить параметры в конфигурационном файле postgres.conf для того, чтобы они соответствовали рекомендованным Лабораторией Касперского. Откроем файл на редактирование:
sudo nano /etc/postgresql/14/main/postgresql.conf
Параметры выставляются в соответствии со следующими рекомендациями:
- shared_buffers = 25% от объема оперативной памяти устройства, на котором установлена СУБД
- Если оперативной памяти меньше 1 ГБ, то оставьте значение по умолчанию.
- huge_pages = try
- temp_buffers = 24MB
- max_prepared_transactions = 0
- work_mem = 16MB
- temp_file_limit = -1
- max_connections = 151
- fsync = on
Сохраняем файл и закрываем.
Следующим этапом нам необходимо отредактировать конфигурационный файл pg_hba.conf, который отвечает за безопасность доступа к СУБД. Мы будем использовать для доступа к БД специально созданную учетную запись с именем kscdbowner, её нам и необходимо задать в файле. Вы можете выбрать другое имя учетной записи, но тогда измените имя при создании УЗ на следующем этапе.
Откроем файл на редактирование:
sudo nano /etc/postgresql/14/main/pg_hba.conf
Добавим следующую строку в раздел “Database administrative login by Unix domain socket”
local all kscdbowner md5
Сохраняем файл и закрываем.
Перезапускаем службу postgresql:
sudo systemctl restart postgresql
Войдем под пользователем postgres в консоли:
sudo su — postgres
Создадим пользователя базы данных kscdbowner и базу данных kscdb. Владельцем базы будет созданный нами пользователь. Установим пользователю пароль для доступа в базу, пароль необходимо использовать более надежный, но мы для примера возьмем «P@SSWORD».
createuser kscdbowner
createdb kscdb -O kscdbowner
psql -c «alter user kscdbowner with password «P@SSW0RD»
Проверим возможность входа в базу под новым пользователем:
psql -U kscdbowner -d kscdb
Если вход выполнен успешно, то у нас откроется консоль для работы с базой.
Выйдем из консоли базы данных:
exit
И выйдем из консоли пользователя postgres:
exit
Теперь, когда база данных подготовлена, можно приступать к этапам развертывания KSC.
Установка Kaspersky Security Center 14.2
Подготовка пользователей и групп
Для корректной работы служб KSC необходимо создать пользователя в операционной системе. Назовем его ksc.
sudo adduser ksc
Та же создадим группу для администраторов будущей KSC, называться она будет kladmins. Добавим пользователя ksc в новую группу и позволим ему управлять членством:
sudo groupadd kladmins
sudo gpasswd -a ksc kladmins
sudo usermod -g kladmins ksc
При создании пользователя система запросит различные данные о нем, все они необязательные. В нашем случае, так как запись служебная, просто нажмем Enter несколько раз и оставим все поля пустыми.
Скачивание и установка дистрибутива
Вы можете использовать графический интерфейс Astra Linux или программу для доступа к файловой системе по SSH, если такой способ был разрешен при установке. Для загрузки файлов дистрибутивов KSC и веб-консоли на сервер возможно использование приложений с поддержкой протоколов FTP/SFTP, например, WinSCP или MobaXterm. Файлы доступны публично на сайте Лаборатории Касперского. Для Astra Linux, установленной на процессор x64-86, мы используем пакеты deb 64-разрядной версии.
Перейдем в каталог загрузок и запустим установку дистрибутива:
sudo dpkg –i ksc64_14.2.0-23324_amd64.deb
В конце нас извещают об успешной установке и просят запустить скрипт для корректной настройки сервера перед началом использования.
Выполнение скрипта настройки
После выполнения установки нам необходимо задать некоторые параметры. Для этого мы должны запустить скрипт, который в интерактивном режиме внесет необходимые изменения.
Выполним команду:
sudo /opt/kaspersky/ksc64/lib/bin/setup/postinstall.pl
В начале нас попросят принять два соглашения, а далее по порядку будут уточняться вид сервера, адрес сервера, номер порта SSL для подключения агентов, планируемое количество устройств, группа безопасности для служб, имя служебной записи для запуска служб, вид базы данных, адрес и порт для доступа к базе, а также учетные данные для доступа. Заполните это в соответствии с данными по вашей инфраструктуре. Так как СУБД располагается на этом же сервере, то его адрес будет 127.0.0.1. Важно отметить, что здесь не принимается localhost в качестве корректного значения.
После ввода пароля для доступа к базе данных, скрипт начнет производить необходимые изменения с базой данных и службами. Дождемся окончания. В конце скрипт попросит вас указать имя главного администратора системы и пароль, позже он понадобится для доступа в веб-консоль. Мы укажем имя Administrator.
Регистрируйтесь и читайте статью до конца на
TS University
.
✔Никогда не забывайте о цифровой безопасности — подписывайтесь на наш канал и получайте необходимые знания!