目录
策略和策略配置文件
在 Kaspersky Security Center 云控制台中,可以为 Kaspersky 应用程序创建策略。该部分描述了策略和策略配置文件,并提供创建和修改它们的说明。
关于策略
策略是应用于一个管理组和其子组的 Kaspersky 应用程序设置集。您可以在管理组的设备上安装多个 Kaspersky 应用程序。Kaspersky Security Center 云控制台为管理组中的每个 Kaspersky 应用程序提供一个策略。策略具有以下状态之一(请参见下表):
策略的状态
状态 |
描述 |
---|---|
活动 |
应用于设备的当前策略。对于每个管理组中的 Kaspersky 应用程序,只能有一个策略处于活动状态。设备对 Kaspersky 应用程序应用活动策略的设置值。 |
非活动 |
当前未应用于设备的策略。 |
漫游 |
如果选择该选项,策略将在设备离开企业网络时变为活动状态。 |
策略根据以下规则发挥作用:
- 您可以为单个应用程序配置拥有不同值的多个策略。
- 对于当前应用程序,只能有一个策略处于活动状态。
- 您可以在发生特定事件时激活处于非活动状态的策略。例如,您可以在病毒爆发时强制执行更严格的反病毒保护设置。
- 策略可以有子策略。
通常,您可以将策略用作对紧急情况(如病毒攻击)的准备。例如,如果存在通过闪存驱动器进行的攻击,您可以激活相应策略来阻止访问闪存驱动器。在这种情况下,当前的活动策略将自动变为非活动状态。
为了防止维护多个策略,例如,在不同的场合下只是更改几个设置时,可以使用策略配置文件。
策略配置文件是策略设置值的命名子集,用于替换策略的设置值。策略配置文件影响受管理设备上有效设置的形成。有效设置是当前应用于设备的一组策略设置、策略配置文件设置和本地应用程序设置。
策略配置文件根据以下规则发挥作用:
- 当出现特定的激活情况时,策略配置文件生效。
- 策略配置文件包含的设置值与策略设置不同。
- 激活策略配置文件会更改受管理设备的有效设置。
- 一个策略可以包含最多 100 个策略配置文件。
您无法创建管理服务器策略。
关于“锁定”和锁定的设置
每个策略设置都有一个锁定按钮图标 ()。下表显示了锁定按钮的状态:
锁定按钮状态
状态 |
描述 |
---|---|
如果设置旁边显示打开的锁,并且禁用了切换按钮,则策略中未指定该设置。用户可以在受管理应用程序界面中更改这些设置。这些设置的类型称为“未锁定”。 |
|
如果设置旁边显示关闭的锁,并且启用了切换按钮,则该设置应用于实施策略的设备。用户无法在受管理应用程序界面中修改这些设置的值。这些设置的类型称为“已锁定”。 |
我们强烈建议您关闭要在受管理设备上应用的策略设置的锁定。解锁的策略设置可以由卡巴斯基应用程序设置在受管理设备上重新分配。
您可以使用锁定按钮执行以下操作:
- 锁定管理子组策略的设置
- 在受管理设备上锁定本地 Kaspersky 应用程序的设置
因此,已锁定设置用于在受管理设备上实施有效设置。
有效设置实施的过程包括以下操作:
- 受管理设备将应用 Kaspersky 应用程序的设置值。
- 受管理设备应用策略的锁定设置值。
策略和受管理卡巴斯基应用程序包含相同的一组设置。配置策略设置时,受管理设备上的 Kaspersky 应用程序设置会更改值。您无法调整受管理设备上的已锁定设置(请参见下图):
锁定和 Kaspersky 应用程序设置
策略层级
如果不同的设备需要不同的设置,则可以将设备组织到管理组中。
您可以为单个管理组指定策略。策略设置可以被继承。继承意味着子组中的策略设置值接收自更高级别的(父)管理组的策略。
因此,父组策略也叫父策略。子组策略也称为子策略。
默认情况下,管理服务器上存在至少一个受管理设备组。如果要创建自定义组,它们将创建为受管理设备组内的子组。
根据管理组的层级,同一应用程序的策略会互相作用。更高级别(父)管理组的策略中的锁定设置将重新分配子组的策略设置值(请参见下图)。
策略层级
页顶策略层级中的策略配置文件
策略配置文件具有以下优先级分配条件:
- 配置文件在策略配置文件列表中的位置指示了其优先级。您可以更改策略配置文件优先级。列表中的最高位置指示最高优先级(请参见下图)。
策略配置文件的优先级定义
- 策略配置文件的激活条件互不依赖。可以同时激活多个策略配置文件。如果多个策略配置文件影响同一设置,则设备将采用策略配置文件中具有最高优先级的设置值(请参见下图)。
受管理设备配置满足多个策略配置文件的激活条件
继承层级中的策略配置文件
来自不同层次结构级别策略的策略配置文件符合以下条件:
- 较低级别的策略继承较高级别的策略的策略配置文件。从较高级别策略继承的策略配置文件比原始策略配置文件的级别具有更高的优先级。
- 您不能更改继承的策略配置文件的优先级(请参见下图)。
继承策略配置文件
具有相同名称的策略配置文件
如果在不同的层次结构级别中有两个名称相同的策略,则这两个策略按照以下规则起作用:
- 较高级别的策略配置文件的锁定设置和配置文件激活条件将更改较低级别的策略配置文件的设置和配置文件激活条件(请参见下图)。
子配置文件继承父策略配置文件的设置值
- 较高级别的策略配置文件的未锁定设置和配置文件激活条件不会更改较低级别的策略配置文件的设置和配置文件激活条件。
如何在受管理设备上实施设置
在受管理设备上有效设置的实现可以描述如下:
- 所有未锁定的设置的值均取自策略。
- 然后,它们将被受管理应用程序设置的值覆盖。
- 然后,将应用有效策略中的锁定设置值。锁定的设置值会更改解锁的有效设置的值。
查看策略列表
您可以查看为管理服务器或任何管理组创建的策略列表。
要查看策略列表,请执行以下操作:
- 在主菜单中,转到“资产(设备)”→“组层级”。
- 在管理组结构中,选择您要查看其策略列表的管理组。
策略列表以表格格式出现。如果没有策略,表格为空。您可以显示或隐藏表格的列,更改它们的顺序,仅查看包含指定值的行,或者使用查找。
创建策略
您可以创建策略;您也可以修改和删除现有策略。
您无法创建管理服务器策略。
要创建策略:
- 在主菜单中,转到“资产(设备)”→“策略和配置文件”。
- 单击添加。
“选择应用程序”窗口将打开。
- 选择您要为其创建策略的应用程序。
- 单击“下一步”。
新策略设置窗口打开,在其中已选择“常规”选项卡。
- 如果您需要,更改策略的默认名称、默认状态和默认继承设置。
- 单击“应用程序设置”选项卡。
或者,您可以单击“保存”并退出。策略将出现在策略列表,且您可以稍后编辑其设置。
- 在“应用程序设置”选项卡的左侧窗格中选择您需要的类别,并在右侧的结果窗格中编辑策略设置。您可以在每个类别中(区域)编辑策略设置。
应用程序设置取决于您创建策略的应用程序。有关详细信息,请参阅以下内容:
有关其他安全应用程序设置的详细信息,请参阅相应应用程序的文档。
当编辑设置时,您可以单击“取消”以取消上一次操作。
- 单击“保存”保存策略。
该策略显示在策略列表中。
修改策略
要修改策略:
- 在主菜单中,转到“ 资产(设备)” → “策略和配置文件”。
- 点击您要修改的策略。
策略设置窗口打开。
- 指定“通用设置”和为其创建策略的应用程序的设置。有关详细信息,请参阅以下内容:
有关其他安全应用程序设置的详细信息,请参阅该应用程序的文档。
- 点击“保存”。
对策略所做的更改将保存在策略属性中,并将显示在“修订历史”区域中。
常规策略设置
常规
在“常规”选项卡中,可以修改策略状态并指定策略设置的继承:
- 在“策略状态”块,您可以选择策略的模式:
- 在“设置继承”设置组中,您可以配置策略继承:
事件配置
“事件配置”区域可让您配置事件记录和事件通知。事件根据重要级别用下面的标签分布:
- 严重
“严重”区域不显示在网络代理策略属性中。
- 功能失败
- 警告
- 信息
在每个区域,列表显示在管理服务器上事件类型和默认事件存储的期限(天)。点击事件类型允许您指定以下设置:
- 事件注册
您可以指定存储事件的天数和选择存储事件的位置:
- 存储在管理服务器数据库上(天)
- 存储在设备的 OS 事件日志中
- 事件通知
您可以选择是否希望通过电子邮件收到有关活动的通知。
默认下,使用在管理服务器属性选项卡中指定的通知设置(例如收件人地址)。如果需要,您可以在电子邮件选项卡上更改这些设置。
修订历史
“修订历史”选项卡可让您查看策略修订列表和回滚策略更改(如有必要)。
启用和禁用策略继承选项
要在策略中启用或禁用继承选项:
- 打开所需策略。
- 打开“常规”选项卡。
- 启用或禁用策略继承:
- 如果您在子策略中启用“从父策略继承设置”,并且管理员在父策略中锁定了一些设置,那么您无法在子组策略中更改这些设置。
- 如果您在子策略中禁用“从父策略继承设置”,那么您可以在子策略中更改所有设置,即便一些设置在父策略中是锁定的。
- 如果在父组中启用“在子策略中强制继承设置”,这将为每个子策略启用“从父策略继承设置”选项。此种情况下,您无法为任何子策略禁用该选项。所有在父策略中被锁定的设置被强制继承到子组,且您无法在子组中更改这些设置。
- 单击“保存”按钮保存更改,或单击“取消”按钮拒绝更改。
默认情况下,为新策略启用“从父策略继承设置”选项。
如果一个策略具有配置文件,所有子策略都继承这些配置文件。
复制策略
您可以从一个管理组复制策略到另一个。
要复制策略到其他管理组:
- 在主菜单中,转到“ 资产(设备)” → “策略和配置文件”。
- 选择您要复制的策略旁边的复选框。
- 单击“复制”按钮。
在屏幕的右侧,管理组树被显示。
- 在树中,选择目标组,即,要将策略复制到的组。
- 单击屏幕底部的“复制”按钮。
- 单击“确定”以确认操作。
策略将连带其所有配置文件被复制到目标组。目标组中每个复制的策略的状态将是“不活动”。您可以随时将状态更改为“活动”。
如果目标组中已包含名称与新移动策略的名称一致的策略,那么会在新移动策略的名称后附加一个 (<下一个序列号>) 的索引,例如:(1)。
移动策略
您可以从一个管理组移动策略到另一个。例如,您要删除一个组,但您要为其他组使用其策略。此种情况下,您最好在删除旧组之前将策略从旧组移动到新组。
要移动策略到其他管理组:
- 在主菜单中,转到“资产(设备)”→“策略和配置文件”。
- 选择您要移动的策略旁边的复选框。
- 单击“移动”按钮。
在屏幕的右侧,管理组树被显示。
- 在树中,选择目标组,即,要将策略移动到的组。
- 单击屏幕底部的“移动”按钮。
- 单击“确定”以确认操作。
如果策略不是从资源组继承的,它连带所有配置文件被移动到目标组。目标组中的策略状态为“不活动”。您可以随时将状态更改为“活动”。
如果策略是从资源组继承的,它保持在资源组。它连带所有其配置文件被复制到目标组。目标组中的策略状态为“不活动”。您可以随时将状态更改为“活动”。
如果目标组中已包含名称与新移动策略的名称一致的策略,那么会在新移动策略的名称后附加一个 (<下一个序列号>) 的索引,例如:(1)。
导出策略
Kaspersky Security Center 云控制台允许您将策略、其设置和策略配置文件保存到 KLP 文件中。您可以使用此 KLP 文件将保存的策略导入到 Kaspersky Security Center Windows 和 Kaspersky Security Center Linux。
要导出策略,请执行以下操作:
- 在主菜单中,转到“ 资产(设备)” → “策略和配置文件”。
- 选中要导出的策略旁边的复选框。
您不能同时导出多个策略。如果您选择了多个策略,导出按钮将被禁用。
- 单击“导出”按钮。
- 在打开的“另存为”窗口中,指定策略文件的名称和路径。单击“保存”按钮。
仅当您使用 Google Chrome、Microsoft Edge 或 Opera 时,才会显示“另存为”窗口。如果您使用其他浏览器,则策略文件会自动保存在“下载”文件夹。
导入策略
Kaspersky Security Center 云控制台允许您从 KLP 文件导入策略。KLP 文件包含导出的策略、其设置和策略配置文件。
要导入策略,请执行以下操作:
- 在主菜单中,转到“ 资产(设备)” → “策略和配置文件”。
- 单击“导入”按钮。
- 单击浏览按钮选择要导入的策略文件。
- 在打开的窗口中,指定 KLP 策略文件的路径,然后单击“打开”按钮。请注意,您仅可选择一个策略文件。
策略处理启动。
- 策略成功处理后,选择要向其应用策略的管理组。
- 单击完成按钮以完成策略导入。
出现包含导入结果的通知。如果策略成功导入,可以单击“详细资料”链接以查看策略属性。
成功导入后,策略会显示在策略列表中。策略的设置和配置文件也将会导入。无论导出期间选择的策略处于什么状态,导入的策略均处于非活动状态。您可以在策略属性中更改策略状态。
如果新导入的策略与现有策略有相同的名称,则导入的策略在名称后会附加一个(<下一个序列号>)索引,例如:(1)、(2)。
页顶查看策略分发状态图
在 Kaspersky Security Center 云控制台中,您可以在策略分发状态图中查看每个设备上的策略应用程序状态。
要查看每个设备上的策略分发状态:
- 在主菜单中,转到“资产(设备)”→“策略和配置文件”。
- 选中要针对其查看设备上的分发状态的策略名称旁边的复选框。
- 在出现的菜单中,单击“分发”链接。
将打开“<策略名称> 分发结果”窗口。
- 在打开的“<策略名称> 分发结果”窗口中,将显示策略的状态描述(如果可用)。
您可以更改列表中显示的策略分发结果数量。最大设备数量为 100,000。
要更改带有策略分发结果的列表中显示的设备数量:
- 在主菜单中,转到您的账户设置,然后选择“界面选项”。
- 在在策略分发结果中显示设备的最大数量中,输入设备数量(最多 100,000)。
默认情况下,该数字为 5000。
- 点击“保存”。
设置已保存并应用。
在出现病毒爆发事件时自动激活策略
要使策略在出现病毒爆发事件时自动激活,请执行以下操作:
- 在主菜单,单击所需的管理服务器名称旁边的“设置”图标 (
)。
管理服务器属性窗口打开,常规选项卡被选中。
- 选择病毒爆发区域。
- 在右侧窗格中,单击“配置在病毒爆发事件发生时要激活的策略”链接。
“策略激活”窗口将开启。
- 在与检测病毒爆发的组件有关的区域中—用于工作站和文件服务器的反病毒、用于邮件系统的反病毒或用于周边防护的反病毒—选择所需条目旁边的选项按钮,然后单击“添加”。
将打开含有“受管理设备”管理组的窗口。
- 单击“受管理设备”旁边的 V 形图标 (
)。
管理组层级和它们的策略被显示。
- 在管理组层级和它们的策略中,点击策略名称或检测到病毒爆发时激活的策略的名称。
要在列表或组中选择所有策略,选择所需名称旁边的复选框。
- 单击“保存”按钮。
管理组层级和它们的策略的窗口被关闭。
所选的策略被添加到检测到病毒爆发时激活的策略列表。所选策略在病毒爆发中被激活,无论它们是活动的还是非活动的。
如果策略在病毒爆发事件中激活,您仅可以使用手动模式返回到先前策略。
强制同步
尽管 Kaspersky Security Center 云控制台自动为受管理设备同步状态、设置、任务和策略,但在某些情况下,您需要确切知道在某一给定时刻是否已为指定设备执行同步。
同步单个设备
要强制同步管理服务器和受管理设备:
- 在主菜单中,转到“资产(设备)”→“受管理设备”。
- 点击要与管理服务器同步的设备名称。
属性窗口打开,在其中已选择“常规”区域。
- 单击强制同步按钮。
应用程序将所选设备与管理服务器同步。
同步多个设备
要在管理服务器和多台受管理设备之间强制同步:
- 打开管理组的设备列表或设备分类:
- 在主菜单中,转到“资产(设备)”→“受管理设备”→“组”,然后选择包含要同步的设备的管理组。
- 运行设备分类以查看设备列表。
- 选中要与管理服务器同步的设备旁边的复选框。
- 单击强制同步按钮。
应用程序将所选设备与管理服务器同步。
- 在设备列表中,检查所选设备与管理服务器的上次连接时间是否已更改为当前时间。如果时间未更改,则单击“刷新”按钮更新页面内容。
所选设备即与管理服务器同步。
查看策略传送时间
在管理服务器上更改 Kaspersky 应用程序策略后,您可以检查是否被更改的策略被传输到了特定受管理设备。策略可以在定期同步或者强制同步中传输。
要查看应用程序策略被传输到受管理设备的日期和时间:
- 在主菜单中,转到 “资产(设备)” → “受管理设备”。
- 点击要与管理服务器同步的设备名称。
属性窗口打开,在其中已选择“常规”区域。
- 选择“应用程序”选项卡。
- 选择您要查看策略同步日期的应用程序。
应用程序策略窗口打开,在其中已选择“常规”区域并显示策略传送日期和时间。
删除策略
如果您不再需要一个策略,您可以删除它。您仅可以删除一个在指定管理组中继承的策略。如果一个策略是继承的,您仅可以在其被创建的上级组删除它。
要删除策略,请执行以下操作:
- 在主菜单中,转到“ 资产(设备)” → “策略和配置文件”。
- 选中您要删除的策略旁边的复选框,然后单击“删除”。
如果选择继承的策略,“删除”按钮变为不可用(变暗)。
- 单击“确定”以确认操作。
策略连带其所有配置文件被删除。
管理策略配置文件
本节介绍管理策略配置文件并提供有关查看策略配置文件、更改策略配置文件优先级、创建策略配置文件、修改策略配置文件、复制策略配置文件、创建策略配置文件激活规则以及删除策略配置文件的信息。
查看策略配置文件
要查看策略配置文件:
- 在主菜单中,转到“资产(设备)” → “策略和配置文件。
- 点击您要查看其配置文件的策略名称。
策略属性窗口打开,在其中已选择“常规”选项卡。
- 打开“策略配置文件”选项卡。
策略配置文件列表以表格格式出现。如果策略没有配置文件,将显示空表。
更改策略配置文件优先级
要更改策略配置文件优先级:
- 转到您要的策略的配置文件列表。
将出现策略配置文件列表。
- 在“策略配置文件”选项卡上,选中您要更改其优先级的策略配置文件旁边的复选框。
- 通过单击“提高优先级”或“降低优先级”来设置策略配置文件在列表中的新位置。
策略配置文件在列表中的位置越高,其优先级越高。
- 单击“保存”按钮。
所选策略配置文件的优先级被更改并应用。
创建策略配置文件
要创建策略配置文件:
- 转到您要的策略的配置文件列表。
将出现策略配置文件列表。如果策略没有配置文件,将显示空表。
- 单击添加。
- 如果您需要,更改配置文件的默认名称和默认继承设置。
- 选择“应用程序设置”选项卡。
或者,您可以单击“保存”并退出。您创建的配置文件会出现在策略配置文件列表中,您可以稍后编辑其设置。
- 在“应用程序设置”选项卡的左侧窗格中选择您需要的类别,并在右侧的结果窗格中编辑策略设置。您可以在每个类别中(区域)编辑策略配置文件设置。
当编辑设置时,您可以单击“取消”以取消上一次操作。
- 单击“保存”保存配置文件。
该配置文件显示在策略配置文件列表中。
修改策略配置文件
只有 Kaspersky Endpoint Security for Windows 的策略才支持编辑策略配置文件。
修改策略配置文件:
- 转到您要的策略的配置文件列表。
将出现策略配置文件列表。
- 在“策略配置文件”选项卡上,单击要修改的策略配置文件。
“策略配置文件”窗口打开。
- 在属性窗口中配置配置文件:
- 如果必要,在“常规”选项卡上,更改配置文件名称并启用或禁用配置文件。
- 编辑配置文件激活规则。
- 编辑应用程序设置。
有关安全应用程序设置的详细信息,请参阅相应应用程序的文档。
- 点击“保存”。
您已修改的设置将在设备与管理服务器同步之后生效(如果策略配置文件处于活动状态),或在激活规则触发之后生效(如果策略配置文件处于非活动状态)。
复制策略配置文件
您可以复制策略配置文件到当前策略或其他策略,例如,如果您要对不同策略拥有相同配置文件。您也可以使用复制,如果您想拥有两个或更多仅在少数设置不同的配置文件。
要复制策略配置文件:
- 转到您要的策略的配置文件列表。
将出现策略配置文件列表。如果策略没有配置文件,将显示空表。
- 在“策略配置文件”选项卡上,选择要复制的策略配置文件。
- 单击复制。
- 在打开的窗口中,选择您要复制配置文件的策略。
您可以复制策略配置文件到相同策略或您指定的策略。
- 单击复制。
策略配置文件被复制到您选择的策略。新复制的配置文件具有最低优先级。如果您复制配置文件到相同策略,新复制的配置文件名称将附加 () 索引,例如:(1)、(2)。
稍后,您可以更改配置文件设置,包括它的名称和属性;原始策略配置文件此种情况下将不被更改。
创建策略配置文件激活规则
要创建策略配置文件激活规则:
- 转到您要的策略的配置文件列表。
将出现策略配置文件列表。
- 在“策略配置文件”选项卡上,单击需要为其创建激活规则的策略配置文件。
如果策略配置文件列表为空,您可以创建策略配置文件。
- 在“激活规则”选项卡上,单击“添加”按钮。
策略配置文件激活规则窗口打开。
- 指定规则名称。
- 选择影响您当前创建的策略配置文件的激活的条件的复选框:
- 策略配置文件激活常规规则
对于该选项,在下一步指定:
- 特别设备所有者规则
对于该选项,在下一步指定:
- 硬件说明书规则
对于该选项,在下一步指定:
- 角色分配规则
对于该选项,在下一步指定:
- 标签使用规则
对于该选项,在下一步指定:
- 活动目录使用规则
对于该选项,在下一步指定:
向导的附加页面数量取决于您在第一步选择的设置。您可以稍后修改策略配置文件激活规则。
- 策略配置文件激活常规规则
- 检查所配置参数的列表。如果列表正确,请单击“创建”。
配置文件将被保存。当触发激活规则时,将在设备上激活该配置文件。
为配置文件创建的策略配置文件激活规则显示在“激活规则”选项卡上的策略配置文件属性中。您可以修改或删除任何策略配置文件激活规则。
多个激活规则可以被一起触发。
删除策略配置文件
要删除策略配置文件:
- 转到您要的策略的配置文件列表。
将出现策略配置文件列表。
- 在“策略配置文件”选项卡上,选中要删除的策略配置文件旁边的复选框,然后单击“删除”。
- 在打开的窗口中,单击“删除”。
策略配置文件即被删除。如果策略从低级别组继承,配置文件会保留在该组,但变成该组的策略配置文件。这可以消除低级别组设备上安装的受管理应用程序的设置的显著修改。