目录
架构
该部分提供了对 Kaspersky Security Center 云控制台组件和其交互的描述。
Kaspersky Security Center 云控制台架构
通过基于云的控制台进行管理的 Kaspersky Security Center 云控制台包括两个主要组件: Kaspersky Security Center 云控制台基础架构和客户的基础架构。
Kaspersky Security Center 云控制台基础架构由以下部分组成:
- 基于云的管理控制台。提供 Web 界面以创建和维护由 Kaspersky Security Center 云控制台管理的客户端组织网络的保护系统。
- 云服务。包括更新服务器和激活服务器。
- 卡巴斯基安全网络 (KSN)。包含 Kaspersky 数据库的服务器,该数据库中包含连续更新的文件、网络资源和软件信誉信息。卡巴斯基安全网络确保在遇到新型威胁时 Kaspersky 程序能够做出更快速的响应,提高某些保护组件的性能并降低误报的可能性。
客户的基础架构可能包括以下内容:
- 分发点。安装了网络代理并用于更新发布、网络轮询、远程安装应用程序、获取管理组(广播域)中计算机信息的计算机。管理员可选择适当的设备并手动为其分配分发点。
- 受管理设备。通过 Kaspersky Security Center 云控制台保护的客户网络的计算机。每个受管理设备上必须安装网络代理和卡巴斯基安全应用程序。
- 在本地运行的从属管理服务器(可选)。您可以使用本地管理服务器来创建管理服务器的层次结构。
Kaspersky Security Center 云控制台使用的端口
要使用 Kaspersky Security Center 云控制台(它是卡巴斯基基础架构的一部分),您必须在客户端设备上打开以下端口以允许互联网连接(请参见下表):
必须在客户端设备上打开以允许互联网连接的端口
端口(或端口范围) |
协议 |
端口(或端口范围)的用途 |
|---|---|---|
23100-23199 |
TCP (TLS) |
从 Kaspersky Security Center 云控制台管理服务器 (*.ksc.kaspersky.com) 上的网络代理和从属管理服务器接收连接。 卡巴斯基基础架构可以使用此范围内的任何端口以及此掩码内的任何网址。端口和网址可能会不时更改。 |
23700-23799 (仅当管理移动设备时) |
TCP (TLS) |
接收来自移动设备的连接。 连接到 Kaspersky Security Center 云控制台管理服务器(位于 *.ksc.kaspersky.com)。 卡巴斯基基础架构可以使用此范围内的任何端口以及此掩码内的任何网址。端口和网址可能会不时更改。 |
27200-27299 |
TCP (TLS) |
接收从受管理设备的应用程序激活连接(除了从移动设备)。 连接到 Kaspersky Security Center 云控制台管理服务器(位于 *.ksc.kaspersky.com)。 卡巴斯基基础架构可以使用此范围内的任何端口以及此掩码内的任何网址。端口和网址可能会不时更改。 |
29200-29299 |
TCP (TLS) |
使用 klsctunnel 实用程序通过 Kaspersky Security Center 云控制台管理服务器 (*.ksc.kaspersky.com) 建立与受管理设备的隧道连接。 卡巴斯基基础架构可以使用此范围内的任何端口以及此掩码内的任何网址。端口和网址可能会不时更改。 |
443 |
HTTPS |
连接到 Kaspersky Security Center 云控制台发现服务(位于 *.ksc.kaspersky.com)。 卡巴斯基基础架构可以使用此掩码内的任何网址。 |
1443 |
TCP |
连接到卡巴斯基安全网络 |
80 |
TCP |
连接用于检查 *.digicert.com 上 Kaspersky Security Center 证书的有效性。 卡巴斯基基础架构可以使用此掩码内的任何网址。 |
下表列出了安装网络代理的客户端设备上必须开放的端口。
客户端设备上必须开放的端口
端口号 |
协议 |
端口目的 |
范围 |
|---|---|---|---|
15000
|
UDP |
从连接网关接收数据(如果正在使用) |
管理客户端设备 |
15000 |
UDP 广播 |
获取同一广播域内其他网络代理的数据 |
传送更新和安装包 |
15001 |
UDP |
接收来自分发点的组播请求(如果正在使用) |
从分发点接收更新和安装包 |
请注意,klnagent 进程也可以从端点操作系统的动态端口范围请求空闲端口。这些端口是由操作系统自动分配给 klnagent 进程的,所以 klnagent 进程可以使用一些已经被其他软件使用的端口。如果 klnagent 进程影响软件操作,请更改此软件中的端口设置,或更改操作系统中的默认动态端口范围以排除受影响的软件使用的端口。
另请注意,有关 Kaspersky Security Center 云控制台与第三方软件的兼容性的建议仅供参考,可能不适用于新版本的第三方软件。所描述的端口配置建议基于技术支持人员的经验和我们的最佳实践。
下表列出了在安装网络代理作为分发点的客户端设备上必须打开的其他端口。
用作分发点的网络代理使用的端口
端口号 |
协议 |
端口目的 |
范围 |
|---|---|---|---|
13000 |
TCP (TLS) |
接收从网络代理的连接 |
管理客户端设备、传送更新和安装包 |
13111 |
TCP |
接收从受管理设备到 KSN 代理服务器的请求 |
KSN 代理服务器 |
13295 |
TCP (TLS) |
向受管理设备发送推送通知 |
用作推送服务器的分发点 |
15111 |
UDP |
接收从受管理设备到 KSN 代理服务器的请求 |
KSN 代理服务器 |
17111 |
HTTPS |
接收从受管理设备到 KSN 代理服务器的请求 |
KSN 代理服务器 |
如果您的网络上有一台或多台管理服务器,并且当主管理服务器位于卡巴斯基基础架构中时将它们用作从属管理服务器,请参阅本地运行的 Kaspersky Security Center 使用的端口列表。使用这些端口在从属管理服务器(或多个从属管理服务器)和客户端设备之间进行交互。
网络代理
管理服务器和设备之间的交互由 Kaspersky Security Center 云控制台的网络代理组件执行。网络代理必须安装在所有使用 Kaspersky Security Center 云控制台来管理 Kaspersky 应用程序的设备上。
网络代理作为服务安装在设备上,且具有以下属性集:
- 名称为“Kaspersky Security Center 网络代理”
- 设置随操作系统启动而自动启动
- 使用 LocalSystem 账户
安装了网络代理的设备被称为受管理设备或设备。您可以在 Windows、Linux 或 Mac 设备上安装网络代理。
网络代理启动的进程名称叫 klnagent.exe。
网络代理同步管理服务器的受管理设备。Kaspersky Security Center 云控制台每小时会自动将管理服务器与受管理设备同步几次。管理服务器根据受管理设备的数量设置同步间隔(也称为心跳)。
管理组
管理组(以下简称组)是受管理设备的逻辑集合,根据某一特征组合在一起以便作为 Kaspersky Security Center 云控制台的一个单元来统一管理。
管理组内的所有受管理设备都被配置以做如下事情:
- 使用共同的应用程序设置(您可以在组策略中指定)。
- 通过以指定设置创建组任务,对所有应用程序使用通用的操作模式。组任务的例子包括创建和安装公用安装包、更新程序数据库和模块、按需扫描设备和启用实时保护。
受管理设备只能属于一个管理组。
您可以创建管理服务器和组的层级。单个层次结构级别可以包括从属和虚拟管理服务器、组和受管理设备。您可以从一个组移动设备到其他组,而不做物理移动。例如,如果企业员工的职位从会计变更为开发者,您可以将该员工的计算机从会计管理组移动到开发者管理组。然后,该计算机将自动接收开发者的应用程序设置。
管理服务器层级
管理服务器可以排列在“主/从属”层级中。在该层次结构的不同嵌套级别上,每个管理服务器都可以拥有多个从属管理服务器。从属管理服务器的嵌套级别不受限制。这样,主管理服务器的管理组将会包括所有从属管理服务器的客户端设备。
Kaspersky Security Center 云控制台管理服务器只能充当主管理服务器,并且只能将本地运行的管理服务器作为从属服务器。
从本地运行的管理服务器迁移到 Kaspersky Security Center 云控制台管理服务器时,您可以按层次结构排列管理服务器。然后,为了缓解迁移,您可以仅将部分受管理设备转移给 Kaspersky Security Center 云控制台管理服务器进行管理。其余受管理设备仍由本地管理服务器管理。这使您能够在有限数量的受管理设备上测试Kaspersky Security Center 云控制台的管理功能。同时,您可以配置策略、任务、报告和其他对象来测试对整个网络的管理和监控。这可让您在必要时切换回到在本地管理服务器上配置的对象。
管理组层次结构中包括的每台设备都只能连接到一个管理服务器。您必须独立监控设备到管理服务器的连接。使用这些功能可以根据网络属性在不同管理服务器的管理组中搜索设备。
虚拟管理服务器
虚拟管理服务器(下文也称作虚拟服务器)是 Kaspersky Security Center 云控制台的一个组件,用于管理客户端阻止网络的反病毒保护系统。每个虚拟管理服务器都可以有自己的管理组结构以及自己的管理和监视方式,例如策略、任务、报告和事件。虚拟管理服务器的功能范围可供工作流程复杂的组织使用。
虚拟管理服务器具有以下限制:
- 虚拟管理服务器仅在商业模式的 Kaspersky Security Center 云控制台中受支持。
- 虚拟管理服务器不支持从属管理服务器(包括虚拟服务器)的创建。
- 您无法将虚拟管理服务器从 Kaspersky Security Center 迁移到 Kaspersky Security Center 云控制台。
- 虚拟管理服务器不能由专门的管理员管理。默认情况下,管理主管理服务器的管理员也管理所有虚拟管理服务器。
- 在虚拟服务器上创建的用户无法在管理服务器上被分配角色。
- 在虚拟管理服务器属性窗口中,区域的数量是有限的。
分发点
分发点是指安装了网络代理的设备,用于分发更新、远程安装应用程序和检索联网设备信息。
安装在作为分发点的设备上的网络代理的功能和用例因操作系统而异。
分发点可执行以下功能:
- 将更新和安装包分发到组中的客户端设备(包括使用 UDP 通过组播进行分发)。更新可以通过为分发点创建的更新任务从卡巴斯基更新服务器接收。
运行 MacOS 的分发点设备无法从 Kaspersky 更新服务器下载更新。
如果一个或多个运行 macOS 的设备在“将更新下载至分发点存储库”任务范围内,则该任务将以“失败”状态完成,即使该任务在所有 Windows 设备上均已成功完成。
- 使用 UDP 通过多点传送分发策略和组任务。
- 为受管理设备充当连接到管理服务器的网关,因为无法在云基础结构中建立直接连接。
- 轮询网络以检测新设备并更新现有设备的信息。
- 通过 Microsoft Windows 工具执行第三方软件和 Kaspersky 程序的远程安装,包括在无网络代理的客户端设备上的安装。
此功能可让您将网络代理的安装包远程传输到位于管理服务器无直接访问权限的网络上的客户端设备。
- 作为代理服务器参与卡巴斯基安全网络。
运行 Linux 或 macOS 的分发点设备不支持此功能。
您可以在分发点端启用 KSN 代理服务器以使设备作为 KSN 代理服务器。此种情况下,KSN 代理服务 (ksnproxy) 在设备上运行。
文件通过 HTTP 或者 HTTPS 从管理服务器传输到分发点。通过减少流量,相比 SOAP,使用 HTTP 或 HTTPS 可产生更高性能。
安装了网络代理的设备必须根据管理组手动分配分发点。指定管理组的分发点的完整列表显示在关于分发点列表的报告中。
分发点的范围是管理员将其分配到其中的管理组,以及其所有嵌套级别的子组。然而,作为分发点的设备可能不包含在它被分配的管理组。如果已在管理组的层次结构中分配几个分发点,则受管理设备上的网络代理会连接到层次结构中最近的分发点。
网络位置也可以是分发点范围。网络位置用于手动创建设备集,分发点可在其上发布更新。网络位置可以被运行 Windows 操作系统的设备决定。
Kaspersky Security Center 云控制台为每个网络代理分配不同于其他地址的单独的 IP 多点传送地址。这可让您避免由于 IP 重叠引起的网络过载。
当两个或更多分发点分配在单独的网络区域或单独的管理组,其中一个会变成活动分发点,其余的变成备用分发点。活动分发点直接从管理服务器下载更新和安装包,备用分发点只从活动分发点接收更新。此种情况下,文件从管理服务器下载一次,然后在分发点之间发布。如果因为任何原因活动分发点不可用,其中一个备用分发点将变成活动的。管理服务器自动分配分发点做为备用。
分发点状态(活动/备用)通过 klnagchk 报告中的复选框进行显示。
一个分发点需要至少 4 GB 的可用磁盘空间。如果分发点的磁盘剩余空间少于 2 GB,Kaspersky Security Center 云控制台将创建一个重要级别为“警告”的安全问题。安全问题将被发布在设备属性中,在安全问题区域。
在分配为分发点的设备上运行远程安装任务需要另外的剩余磁盘空间。剩余磁盘空间卷必须超过安装包的总大小。
在分配为分发点的设备上运行任何更新(补丁)任务和漏洞修复任务需要另外的剩余磁盘空间。剩余磁盘空间卷必须是至少两倍的要安装补丁的总大小。
作为分发点的设备必须被保护,包括物理保护,以防范非授权的访问。
管理 Web 插件
特殊组件 — 管理 Web 插件 — 通过 Kaspersky Security Center 云控制台对 Kaspersky 软件进行远程管理。在下文中,管理 Web 插件也称为管理插件。管理插件是 Kaspersky Security Center 云控制台与特定 Kaspersky 应用程序之间的接口。使用管理插件,您可以配置应用程序任务和策略。
管理插件提供以下:
- 创建和编辑应用程序任务和设置的界面
- 用于创建和编辑策略和策略配置文件以便远程集中配置 Kaspersky 应用程序和设备的界面
- 应用程序事件传输
- Kaspersky Security Center 云控制台显示应用程序的操作数据和事件,以及从客户端设备转发的统计信息
策略
策略是应用于一个管理组和其子组的 Kaspersky 应用程序设置集。您可以在管理组的设备上安装多个 Kaspersky 应用程序。Kaspersky Security Center 云控制台为管理组中的每个 Kaspersky 应用程序提供一个策略。策略具有以下状态之一(请参见下表):
策略的状态
状态 |
描述 |
|---|---|
活动 |
应用于设备的当前策略。对于每个管理组中的 Kaspersky 应用程序,只能有一个策略处于活动状态。设备对 Kaspersky 应用程序应用活动策略的设置值。 |
非活动 |
当前未应用于设备的策略。 |
漫游 |
如果选择该选项,策略将在设备离开企业网络时变为活动状态。 |
策略根据以下规则发挥作用:
- 您可以为单个应用程序配置拥有不同值的多个策略。
- 对于当前应用程序,只能有一个策略处于活动状态。
- 您可以在发生特定事件时激活处于非活动状态的策略。例如,您可以在病毒爆发时强制执行更严格的反病毒保护设置。
- 策略可以有子策略。
通常,您可以将策略用作对紧急情况(如病毒攻击)的准备。例如,如果存在通过闪存驱动器进行的攻击,您可以激活相应策略来阻止访问闪存驱动器。在这种情况下,当前的活动策略将自动变为非活动状态。
为了防止维护多个策略,例如,在不同的场合下只是更改几个设置时,可以使用策略配置文件。
策略配置文件是策略设置值的命名子集,用于替换策略的设置值。策略配置文件影响受管理设备上有效设置的形成。有效设置是当前应用于设备的一组策略设置、策略配置文件设置和本地应用程序设置。
策略配置文件根据以下规则发挥作用:
- 当出现特定的激活情况时,策略配置文件生效。
- 策略配置文件包含的设置值与策略设置不同。
- 激活策略配置文件会更改受管理设备的有效设置。
- 一个策略可以包含最多 100 个策略配置文件。
策略配置文件
有时候有必要为不同的管理组创建单一策略的若干实例;您也可能想要集中修改这些策略的设置。这些实例可能仅有一两处设置不同。例如,企业中所有的会计工作在相同策略下 — 但是高级会计被允许使用闪存驱动器,而初级会计不被允许。此种情况下,仅通过管理组层级应用策略到设备可能不方便。
要帮助您避免创建单一策略的多个实例,Kaspersky Security Center 云控制台允许您创建策略配置文件。策略配置文件用于在单一管理组中的设备在不同策略设置下运行时。
策略配置文件是策略设置的命名子集。该子集随带策略在大设备上分发,在特别条件配置文件激活条件下将其补充。配置文件仅包含与“基本”策略不同的设置,并在受管理设备上活动。配置文件的激活将修改在设备上最初活动的“基本”策略的设置。修改的设置将使用已在配置文件中指定的值。
本地应用程序设置与策略的关系
您可以使用策略为组中的所有设备设置完全相同的应用程序设置值。
使用本地应用程序设置可以为组中的各个设备重新定义策略指定的设置值。您只能设置策略允许修改的设置的值,即解锁设置的值。
应用程序在客户端设备上使用的设置的值由策略中该设置的锁定位置(
)确定:
- 如果设置修改被锁定,则在所有客户端设备中使用策略中定义的相同值。
- 如果设置修改被“解锁”,则应用程序使用每台客户端设备上的本地设置值,而不是策略中指定的值。然后,您可以在本地应用程序设置中更改设置。
这意味着在客户端设备上运行任务时,应用程序以两种不同的方式使用所定义的设置:
- 如果没有锁定设置以避免策略更改,则通过任务设置和本地应用程序设置使用。
- 如果锁定设置以避免更改,则通过组策略使用。
在首先根据策略设置应用策略之后,才会更改本地应用程序设置。