管理客户端设备保护

限制将授权许可密钥添加到安装包

安装包存储在管理服务器共享文件夹的 Packages 子文件夹中。如果将授权许可密钥添加到安装包，则授权许可密钥可能会泄露，因为对安装包的存储库启用了共享读取访问权限。

为避免泄露授权许可密钥，我们不建议将授权许可密钥添加到安装包中。

我们推荐使用将授权许可密钥自动分发到受管理设备，通过受管理应用程序的“添加授权许可密钥”任务进行部署，并手动将激活码或密钥文件添加到设备。

在管理组之间移动设备的自动规则

我们建议限制使用自动规则在管理组之间移动设备。

如果您使用自动规则移动设备，这可能会导致策略的传播，这些策略为移动的设备提供比重新定位前的设备更多的权限。

此外，将客户端设备移动到另一个管理组可能会导致策略设置的传播。这些策略设置可能不适合分发给访客和不受信任的设备。

此建议不适用于将设备一次性初始分配给管理组。

分发点和连接网关的安全要求

安装了网络代理的设备可以充当分发点并执行以下功能：

• 将从管理服务器收到的更新和安装包分发到组内的客户端设备。
• 在客户端设备上执行第三方软件和卡巴斯基应用程序的远程安装。
• 轮询网络以检测新设备并更新现有设备的信息。分发点可以使用与管理服务器相同的设备检测方法。

在组织的网络上放置分发点用于：

• 降低管理服务器负载
• 流量优化
• 让管理服务器能够访问网络中难以到达的设备

考虑到可用功能，我们建议保护充当分发点的设备免受任何类型的未经授权的访问（包括物理访问）。

限制自动分配分发点

为了简化管理并保持网络的可操作性，我们建议使用分发点的自动分配。但是，对于工业网络和小型网络，我们建议您避免自动分配分发点，因为（例如）用于推送远程安装任务的账户的私人信息可以通过操作系统转移到分发点。

对于工业网络和小型网络，您可以手动分配设备作为分发点。

您还可以查看分发点活动报告。