Kaspersky Administration Kit. Особенности работы с иерархической структурой Серверов администрирования

Политики Антивируса Касперского

Kaspersky Administration Kit позволяет контролировать настройки продуктов Лаборатории Касперского, установленных на клиентах, при помощи механизма политик.

В силу того, что политика распространяется на клиенты группы, имеется возможность задавать политики только тех продуктов и компонентов, которые могут быть установлены на клиенте, а это:

• Агент администрирования
• Сервер администрирования (Kaspersky Administration Kit)
• Антивирус Касперского для Windows Workstations
• Антивирус Касперского для Windows File Servers

Политика для клиентского АПО может находиться в одном из следующих состояний:

• Активная
• Пассивная
• Политика для мобильных пользователей

В каждой группе может быть создана только одна активная политика для каждого продукта. Кроме этого, политика может создаваться и на уровне логической сети в целом, поскольку, как уже было отмечено, логическая сеть обладает всеми свойствами группы и в большинстве случаев может рассматриваться как группа верхнего уровня.

Действие политик необходимо рассматривать в трех аспектах:

• Влияние настроек политики на настройки клиентов группы (клиентов, непосредственно входящих в группу)
• Влияние настроек политики на создание и выполнение групповых и глобальных задач
• Действие политики на более низких уровнях иерархии: подгруппах и Серверах администрирования, иначе называемое наследованием политик

К настройкам клиентов относятся настройки локальных задач, а также настройки, непосредственно к задачам не относящиеся, например, настройки хранилищ, настройки запуска антивируса и настройки интерфейса.

Влияние политики на настройки клиентов

Для простоты удобно считать, что в политике и на клиенте параметры одни и те же, но их значения могут быть разными. Например, значением параметра Источник обновления на клиенте может быть Сервер обновлений Лаборатории Касперского, а в политике - Сервер администрирования. Точно так же и другие параметры.

В связи с тем, что у одного параметра может быть несколько значений, возникает вопрос о том, какие именно значения будут использоваться, скажем, при обновлении, как в приведенном выше примере. Для этого необходимо ввести понятие действующих значений параметров.

В политике кроме значений параметров задается также такой их атрибут как обязательность. Обязательные параметры обладают тем свойством, что не могут быть изменены нигде в области действия политики. В частности, изменение значений обязательных параметров в локальном интерфейсе Антивируса Касперского будет недоступно.

Общим правилом применения политик на клиентах является следующее: действующими значениями обязательных параметров являются значения политики, а необязательных - локальные значения, установленные на клиенте.

Кроме общего правила, применение политики может выражаться в изменении локальных значений параметров. Порядок внесения изменений определяется одним из трех доступных для выбора режимов:

1. При применении политики локальные значения не меняются. Это означает, что установка какого-либо параметра обязательным приводит к использованию в качестве действующего значения из политики и к невозможности изменить локальное значение. Само локальное значение при этом не теряется и после снятия с параметра атрибута обязательности или после удаления политики снова становится действующим и доступным для изменения на стороне клиента
2. При первом применении политики на клиенте (например, при создании политики, при включении клиента в группу, при переключении в этот режим применения) локальные значения обязательных параметров перезаписываются значениями из политики. В этом случае после снятия атрибута обязательности или после удаления политики локальные значения обязательных параметров останутся такими же, какими были в политике
3. При первом применении политики на клиенте все локальные значения параметров переписываются значениями из политики: и обязательные и необязательные. В дальнейшем необязательные параметры могут быть изменены пользователем. Последующие применения политики не влияют на локальные значения параметров

Во втором и третьем режимах администратор логической сети имеет возможность повторить эффект первого применения политики, т. е. в любой момент времени принудительно переписать локальные значения обязательных параметров (второй режим) или всех параметров (третий режим) значениями из политики.

Влияние политик на глобальные и групповые задачи

Влияние политик на групповые задачи имеет смысл рассматривать на одном уровне, т.е. на уровне одной группы. Влияние политик на задачи подгрупп, или же влияние политики подгруппы на выполнение в данной подгруппе групповой задачи более высокого уровня несложно определить исходя из правил наследования политик и групповых задач.

Здесь, как и в случае влияния политик на локальные значения параметров клиентского АПО, имеет смысл говорить о значениях политики, значениях задачи и действующих значениях. В этом смысле влияние настроек политики на настройки групповой задачи выражается очень просто: применение политики никак не влияет на значения параметров в задаче, действующими будут настройки политики для обязательных параметров и настройки задачи для необязательных.

При создании задачи всегда можно задать произвольные значения параметров (в рамках допустимых значений, конечно), даже если политика существует и часть параметров фиксирует как обязательные. Ограничения политики вступают в силу при выполнении задачи (согласно описанному выше правилу) и при попытке изменить настройки задачи: значения обязательных параметров на уровне групповой задачи изменить нельзя.

Влияние политик на групповые задачи более высокого уровня или же на глобальные задачи выражается все той же формулой: действующими являются настройки политики для обязательных параметров и настройки задачи для необязательных. Ограничений на изменение настроек задачи политика более низкого уровня не накладывает.

Наследование политик

Политики также подчинены иерархии логической сети. И точно так же, как групповые задачи, групповые политики оказывают влияние на действующие настройки клиентов и задач не только на уровне группы, но и на уровне ее подгрупп, и на уровне логических подсетей Серверов администрирования, входящих в группу, и т. д. на всю глубину иерархии.

Рассматривая действие политик с учетом иерархии логической сети следует различать собственно иерархическое действие политик, т. е. то, как политика группы применяется на уровне подгрупп и подчиненных Серверов администрирования, и наследование политик, т. е. то как настройки политики группы более высокого уровня влияют на настройки политики подгруппы.

Иерархическое действие политик следует рассматривать только в отношении тех подгрупп, для которых не задана собственная политика. В этом случае для клиентов и задач подгруппы без каких-либо изменений будет действовать политика ближайшей вышестоящей группы. То же верно и в отношении подчиненного Сервера администрирования - в его логической подсети будет действовать политика группы, в которую он входит, либо политика ближайшей вышестоящей группы. Если же ни в одной из вышестоящих групп до самого верха иерархии, т.е. до уровня логической сети Главного Сервера администрирования политика не задана, значит в данной подгруппе или логической подсети никакая политика не действует.

В случае, когда на уровне подгруппы задана собственная политика, речь может идти только о воздействии вышестоящей политики на настройки политики подгруппы. Здесь как и везде раньше, имеет смысл говорить настройках вышестоящей политики, настройках политики подгруппы и действующих настройках политики подгруппы. В отношении клиентов подгруппы (и ниже по иерархии в смысле иерархического действия) политика подгруппы оказывает влияние на основе своих действующих настроек.

При каждом применении вышестоящей политики значения обязательных параметров (заданных обязательными в вышестоящей политике) на уровне политики подгруппы перезаписываются значениями из вышестоящей политики. Значения необязательных параметров вышестоящей политики никак не влияют на значения параметров политики подгруппы. Действующими значениями на уровне политики подгруппы являются значения обязательных параметров вышестоящей группы и значения необязательных параметров (не заданных обязательными в вышестоящей политике) политики подгруппы. В том числе это касается и атрибута обязательности: параметры, заданные обязательными в вышестоящей политике будут автоматически заданы обязательными и в политике подгруппы, но кроме этих унаследованных обязательных параметров, в политике подгруппы могут быть заданы обязательными и другие, дополнительные параметры, которые будут действовать как обязательные в пределах подгруппы.

Необходимо отметить, что режим применения политики хотя и настраивается в рамках политики, не может (в отличие от всех остальных параметров политики) быть задан в качестве обязательного параметра, а значит, режим применения вышестоящей политики не накладывает ограничений на выбор режима применения политики подгруппы.

Создание политик

Создание политик в Kaspersky Administration Kit позволяет унифицировать настройки, как самих приложений, так и выполняемых ими задач для всех клиентов выбранной группы, включая клиенты подгрупп и подчиненных Серверов администрирования, если для них не определена собственная политика.

Для создания политики Антивируса Касперского нужно в мастере создания политики указать соответствующее приложение. Политики Антивируса Касперского для Windows Workstations и Антивируса Касперского для Windows File Servers отличаются незначительно, и все эти отличия будут упомянуты по ходу изложения.

Необходимо помнить о том, что в группе для каждого продукта может быть создана только одна политика. И если политика для какого-то продукта уже существует, этот продукт из вариантов выбора в поле Имя приложения исключается.

Наличие унаследованных политик не препятствует созданию собственных.

Настройка уровня защиты для задач постоянной защиты объектов

При создании политики Антивируса Касперского мастер создания политики в зависимости от приложения, для которого создается политика, предлагает настроить ряд параметров антивирусной защиты и обновления или взаимодействия с Сервером администрирования.

В первую очередь потребуется указать, какие компоненты защиты будут затронуты политикой.

Параметры антивирусной защиты задаются раздельно для задач постоянной защиты объектов и для задач проверки по требованию. В первом случае на выбор предлагаются только стандартные уровни защиты:

• Максимальная защита
• Рекомендуемый
• Максимальная скорость

Дополнительно возможно задание пользовательских настроек, отличающихся от предустановленных уровней.

Чтобы придать выбранным параметрам статус обязательных следует закрыть замок в правом верхнем углу группы параметров.