EDR (KATA) 的 KEA 到 KES 迁移指南
从 12.1 开始,Kaspersky Endpoint Security for Windows 包含一个内置代理,用于管理 Kaspersky Endpoint Detection and Response 组件,作为 Kaspersky Anti Targeted Attack Platform 解决方案的一部分。您不再需要单独的 Kaspersky Endpoint Agent 应用程序与 EDR(KATA)一起使用。Kaspersky Endpoint Agent 的所有功能将由 Kaspersky Endpoint Security 执行。Kaspersky Anti Targeted Attack Platform 服务器上的负载将保持不变。
当您在安装了 Kaspersky Endpoint Agent 的计算机上部署 Kaspersky Endpoint Security 时,Kaspersky Anti Targeted Attack Platform(EDR)解决方案将继续与 Kaspersky Endpoint Security 一起工作。此外,Kaspersky Endpoint Agent 将被从计算机卸载。当您将 Kaspersky Endpoint Security 更新到版本 12.1 或更高版本时,系统中会发生相同的行为。
Kaspersky Endpoint Security 与 Kaspersky Endpoint Agent 不兼容。您不能在同一台计算机上安装这两个应用程序。
Kaspersky Endpoint Security 必须满足以下条件才能作为 Endpoint Detection and Response(KATA)的一部分工作:
- Kaspersky Anti Targeted Attack Platform 版本 4.1 或更高版本。
- Kaspersky Security Center 版本 13.2 或更高版本(包括网络代理)。在 Kaspersky Security Center 的早期版本中,无法激活 Endpoint Detection and Response(KATA)功能。
EDR(KATA)的迁移 [KES+KEA] 配置到 [KES+内置代理] 的步骤
- 升级 Kaspersky Endpoint Security 管理插件
EDR(KATA)组件可以使用 Kaspersky Endpoint Security 管理插件版本 12.1 或更高版本进行管理。根据您使用的 Kaspersky Security Center 控制台类型,更新管理控制台(MMC)中的管理插件或 Web Console 中的 Web 插件。
- 迁移策略和任务
将 Kaspersky Endpoint Agent 设置传输到 Kaspersky Endpoint Security for Windows。下列选项可用:
- 从 Kaspersky Endpoint Agent 迁移到 Kaspersky Endpoint Security 的向导。从 Kaspersky Endpoint Agent 迁移到 Kaspersky Endpoint Security 的向导仅适用于 Web Console
如何在 Web Console 中将策略和任务设置从 Kaspersky Endpoint Agent 迁移到 Kaspersky Endpoint Security
- 标准的策略和任务批量转换向导。策略和任务批量转换向导仅在管理控制台(MMC)中可用。有关策略和任务批量转换向导的详细信息,请参阅 Kaspersky Security Center 帮助。
为确保 Kaspersky Endpoint Security 在服务器上正常工作,建议将对服务器功能重要的文件添加到受信任区域。对于 SQL 服务器,您必须添加 MDF 和 LDF 数据库文件。对于 Microsoft Exchange 服务器,您必须添加 CHK、EDB、JRS、LOG 和 JSL 文件。你可以使用掩码,例如,
C:\Program Files (x86)\Microsoft SQL Server\*.mdf。EDR 遥测排除项不会从 Kaspersky Endpoint Agent 策略迁移到 Kaspersky Endpoint Security 策略。Kaspersky Endpoint Security 有自己的排除工具 - 受信任应用程序。Kaspersky Endpoint Security 的操作经过优化,与 Kaspersky Endpoint Agent 相比,缺少单个的 EDR 遥测排除项不会对您的计算机造成任何额外负载。Kaspersky Endpoint Security 不仅将遥测用于 EDR(KATA),还用于应用程序保护组件的运行。因此,无需传输单个的 EDR 遥测排除项。如果您的计算机性能下降,请检查应用程序的运行情况(请参阅步骤 7 检查性能)。
- 从 Kaspersky Endpoint Agent 迁移到 Kaspersky Endpoint Security 的向导。从 Kaspersky Endpoint Agent 迁移到 Kaspersky Endpoint Security 的向导仅适用于 Web Console
- 许可 EDR(KATA)功能
要将 Kaspersky Endpoint Security 作为 Kaspersky Anti Targeted Attack Platform 解决方案的一部分激活,您需要单独的 Kaspersky Endpoint Detection and Response(KATA)加载项授权许可。您可以使用“添加密钥”任务添加密钥。结果,两个密钥将被添加到应用程序中:Kaspersky Endpoint Security 和 Kaspersky Endpoint Detection and Response(KATA)。
在之前激活了 EDR Optimum 或 EDR Expert 功能的计算机上授权 Kaspersky Endpoint Detection and Response(KATA)加载项涉及以下特殊注意事项:
- 如果您正在使用密钥文件授权带有 EDR Optimum 或 EDR Expert 功能的 Kaspersky Endpoint Security,您无法为 Kaspersky Endpoint Detection and Response(KATA)加载项添加单独的密钥。您可以切换到使用激活码进行授权,或者联系您的服务提供商以获取新的密钥文件来激活 Kaspersky Endpoint Security 和 EDR 功能。服务提供商将提供一个或多个用于授权的密钥文件。
- 如果您正在使用密钥文件授权没有 EDR Optimum 或 EDR Expert 功能的 Kaspersky Endpoint Security,您可以为 Kaspersky Endpoint Detection and Response(KATA)加载项添加单独的密钥,而无需重新发布密钥文件。
- 如果您正在使用激活码进行授权,卡巴斯基激活服务器将自动重新发布密钥,并且 EDR(KATA)功能将自动可用。在这种情况下,EDR Optimum 和 EDR Expert 将被禁用。
- Kaspersky Endpoint Security 允许您添加最多两个活动密钥:Kaspersky Endpoint Security 密钥和加载项类型密钥。您还可以添加最多两个备用密钥。一个 Kaspersky Endpoint Security 备用密钥和一个加载项类型备用密钥。
- 安装/升级 Kaspersky Endpoint Security 应用程序
要在应用程序安装或升级期间迁移 EDR(KATA)功能,建议使用远程安装任务。创建远程安装任务时,您需要在安装包设置中选择 EDR(KATA)组件。
您还可以使用以下方法升级应用程序:
- 使用卡巴斯基更新服务。
- 本地使用安装向导。
Kaspersky Endpoint Security 支持在安装了 Kaspersky Endpoint Agent 应用程序的计算机上升级应用程序时自动选择组件。组件的自动选择取决于升级应用程序的用户账户的权限。
如果您在系统账户(SYSTEM)下使用 EXE 或 MSI 文件升级 Kaspersky Endpoint Security,Kaspersky Endpoint Security 获得对卡巴斯基解决方案的当前授权许可的访问权。因此,如果计算机安装了 Kaspersky Endpoint Agent,并且激活了 EDR(KATA)解决方案,则 Kaspersky Endpoint Security 安装程序将自动配置组件集并选择 EDR(KATA)组件。这将使 Kaspersky Endpoint Security 切换到使用内置代理并卸载 Kaspersky Endpoint Agent。在系统账户(SYSTEM)下运行 MSI 安装程序通常在通过卡巴斯基更新服务升级时执行,或者当通过 Kaspersky Security Center 部署安装包时。
如果您在非特权用户账户下使用 MSI 文件升级 Kaspersky Endpoint Security,Kaspersky Endpoint Security 缺少对卡巴斯基解决方案的当前授权许可的访问权。在这种情况下,Kaspersky Endpoint Security 会根据 Kaspersky Endpoint Agent 的一组组件自动选择组件。此后,Kaspersky Endpoint Security 将切换到使用内置代理并卸载 Kaspersky Endpoint Agent。
Kaspersky Endpoint Security 支持在不重启计算机的情况下升级。您可以选择策略属性中的应用程序升级模式。
- 检查应用程序运行情况
如果在应用程序安装或升级之后,计算机在 Kaspersky Security Center 控制台显示“严重”状态:
- 确保计算机安装了网络代理版本 13.2 或更高版本。
- 通过查看应用程序组件状态报告检查内置代理的操作状态。如果组件具有未安装状态,使用“更改应用程序组件”任务安装组件。如果一个组件有“授权许可不支持”状态,确保您已激活内置代理功能。
- 确保您在 Kaspersky Endpoint Security for Windows 的新策略中接受了卡巴斯基安全网络声明。
- 检查与 Kaspersky Anti Targeted Attack Platform 服务器的连接
检查与 Kaspersky Anti Targeted Attack Platform 服务器的连接。为此,请执行下列操作:
- 检查您是否拥有有效的证书。
- 检查服务器连接设置。
- 检查事件日志。
如果建立了与服务器的连接,应用程序将发送事件“到 Kaspersky Anti Targeted Attack Platform 服务器的成功连接”。如果没有成功连接事件并且没有连接错误事件,检查事件日志设置并启用 Endpoint Detection and Response(KATA)的事件发送。
服务器连接状态不会影响 Kaspersky Security Center 控制台中的计算机状态。因此,如果没有连接到服务器,计算机仍然可以拥有“正常”状态。检查事件日志以验证与服务器的连接。
- 检查性能
如果您的计算机在安装或更新应用程序后性能下降,您可以优化数据传输。为此,请执行下列操作:
- 禁用 EDR(KATA)组件并检查性能下降是由于 EDR(KATA)。
- 对于受信任的应用程序,关闭控制台输入操作的遥测收集(默认启用)。
- 将降低计算机性能的应用程序添加到受信任的应用程序列表。
- 联系卡巴斯基技术支持。支持专家将帮助您在 Kaspersky Anti Targeted Attack Platform 中配置遥测过滤。这将减少流量。如果您的计算机性能受到某个应用程序的影响,请在请求中附上该应用程序的分发包。