网络代理策略设置

扩展所有 | 折叠所有

若配置网络代理策略：

1. 在主菜单中，转到“ 资产(设备)” → “策略和配置文件“。
2. 单击网络代理策略的名称。

   网络代理策略的属性窗口打开。

考虑到基于 Windows、macOS 和 Linux 的设备，有多种设置可用。

“常规”选项卡

在该选项卡上，可以修改策略状态并指定策略设置的继承：

• 在“策略状态”块，您可以选择策略的模式：
  • 活动
  • 不活动

    如果选择该选项，策略将变为不活动状态，但它仍然存储在“策略”文件夹中。如果需要，您可以激活该策略。

• 在“设置继承”设置组中，您可以配置策略继承：
  • 从父策略继承设置

    如果启用此选项，则策略设置值将从上一级组策略继承，因而被锁定。

    默认情况下已启用该选项。

  • 在子策略中强制继承设置

    如果启用此选项，则在应用策略更改之后，将执行以下操作：

    • 策略设置的值将被传送到管理子组的策略，也就是子策略。
    • 在每个子策略属性窗口常规区域的继承设置区块，将自动启用从父策略继承设置选项。

    如果启用此选项，则子策略设置被锁定。

    默认情况下已禁用该选项。

事件配置选项卡

通过该选项卡可以配置事件记录和事件通知。事件按照“事件配置”选项卡上以下区域中的重要级别进行分布：

• 功能失败
• 警告
• 信息

在每个区域中，事件类型列表显示在管理服务器上事件类型和默认事件存储的期限（天）。通过单击“属性”按钮，可以指定有关列表中选择的事件的事件记录和通知的设置。默认下，为整个管理服务器指定的通用通知设置被用于所有事件类型。然后，您可以更改所需事件类型的特别设置。

应用程序设置选项卡

设置

在设置区域，您可以配置网络代理策略：

• 仅通过分发点分发文件

  如果启用此选项，客户端设备仅通过分发点接收更新，而不是直接从更新服务器。

  如果禁用此选项，客户端设备可以从不同的源接收更新：直接从更新服务器和从本地或网络文件夹。

  默认情况下已禁用该选项。

• 事件队列的最大大小(MB)
• 应用程序被允许在设备上检索策略扩展数据

  安装在受管理设备上的网络代理会将有关已应用的安全应用程序策略的信息传输到安全应用程序（例如，Kaspersky Endpoint Security for Windows）。您可以在安全应用程序界面查看传输的信息。

  网络代理传输以下信息：

  • 策略传输至受管理设备的时间
  • 策略传输至受管理设备时的活动策略或漫游策略的名称
  • 策略传输至受管理设备时包含受管理设备的管理组的名称和完整路径
  • 活动策略配置文件列表

    您可以使用该信息来确保将正确的策略应用于设备并用于故障排除。默认情况下已禁用该选项。

• 保护网络代理服务免遭非授权的卸载或终止，并防止设置更改

  当启用该选项时，网络代理被安装到受管理设备之后，没有所需权限组件无法被卸载或重新配置。网络代理服务无法被停止。此选项对域控制器没有影响。

  启用此选项可保护以本地管理员权限操作的工作站上的网络代理。

  默认情况下已禁用该选项。

• 使用卸载密码

  如果启用此选项，则单击“修改”按钮可以指定 klmover 实用程序和网络代理远程卸载的密码。

  默认情况下已禁用该选项。

存储库

在“存储库”区域，您可以选择将其信息从网络代理发送到管理服务器的对象类型。如果本区域中的某些设置被网络代理策略禁止，则您无法修改它们：

• 已安装应用程序详情
• 包括补丁信息

  有关在客户端设备上安装的应用程序补丁的信息将发送到管理服务器。启用此选项可能会增加管理服务器和 DBMS 的负载，并导致数据库数据量的增加。

  默认情况下已启用该选项。它仅适用于 Windows。

• Windows Update 更新详情

  如果启用此选项，则有关客户端设备上必须安装的 Microsoft Windows Update 更新的信息将发送至管理服务器。

  有时，即使禁用此选项，更新也会显示在“可用更新”区域的设备属性中。例如，如果组织的设备存在可被这些更新修复的漏洞，则可能出现这种情况。

  默认情况下已启用该选项。它仅适用于 Windows。

• 软件漏洞和对应更新的详情

  如果启用此选项，则将有关在受管理设备上检测到的第三方软件（包括 Microsoft 软件）中的漏洞信息以及有关修复第三方漏洞（不包括 Microsoft 软件）的软件更新信息发送到管理服务器。

  选择此选项（软件漏洞和对应更新的详情）会增加网络负载、管理服务器磁盘负载和网络代理资源消耗。

  默认情况下已启用该选项。它仅适用于 Windows。

  要管理 Microsoft 软件的软件更新，请使用“Windows Update 更新详情”选项。

• 硬件注册表的详细信息

软件更新和漏洞

在“软件更新和漏洞”区域，您可以配置搜索 Windows 更新以及启用扫描可执行文件以发现漏洞。“软件更新和漏洞”区域的设置仅在运行 Windows 的设备上可用：

• 在允许用户管理 Windows Update 更新的安装下，您可以限制用户可以使用 Windows Update 在他们的设备上手动安装的 Windows 更新。

  在运行 Windows 10 的设备上，如果 Windows Update 已经为设备找到更新，您在“允许用户管理 Windows Update 更新安装”下选择的新选项将仅在发现的更新被安装后才被应用。

  在下拉列表中选择条目：

  • 允许用户安装所有可应用 Windows Update 更新

    用户可以安装所有可应用到他们设备的 Microsoft Windows Update 更新。

    如果您不希望干预更新安装，请选择该选项。

    当用户手动安装 Microsoft Windows Update 更新时，更新可能从 Microsoft 服务器下载，而不是从管理服务器。如果管理服务器还未下载这些更新，这是可能的。从 Microsoft 服务器下载更新导致额外流量。

  • 仅允许用户安装批准的 Windows Update 更新

    用户可以安装所有可应用到他们设备的和您批准的 Microsoft Windows Update 更新。

    例如，您可能想先在测试环境中检查更新安装以确保它们不干预设备操作，仅在这之后允许安装这些批准的更新到客户端设备。

    当用户手动安装 Microsoft Windows Update 更新时，更新可能从 Microsoft 服务器下载，而不是从管理服务器。如果管理服务器还未下载这些更新，这是可能的。从 Microsoft 服务器下载更新导致额外流量。

  • 不允许用户安装 Windows Update 更新

    用户无法在他们的设备上手动安装 Microsoft Windows Update 更新。所有可应用更新根据您的配置而安装。

    如果您想要集中管理更新的安装则选则此选项。

    例如，您可以想优化更新计划以便网络不过载。您可以计划稍后更新，以便它们不干预用户工作。

• 在“Windows Update 搜索模式”设置组中，您可以选择更新搜索模式：
  • 主动

    如果选中该选项，管理服务器支持使用网络代理在客户端设备上从 Windows 更新代理发送请求至更新源：Windows 更新服务器（或简称为 WSUS）。然后，网络代理会将从 Windows 更新代理接收到的信息传送给管理服务器。

    仅在选择查找漏洞和所需更新任务的“连接更新服务器更新数据”选项时，该选项才生效。

    默认情况下已选定该选项。

  • 被动

    如果您选定该选项，网络代理将从上次同步更新源之后定期从 Windows 更新代理将所检索更新的信息传递给管理服务器。如果 Windows 更新代理没有执行与更新源同步，管理服务器上有关更新的信息将变为过期。

    如果要从更新源的内存缓存中获取更新，请选择此选项。

  • 已禁用

    如果选中该选项，管理服务器不会请求任何有关更新的信息。

    例如，如果您想首先在本地设备上测试更新，请选择此选项。

• 当运行可执行文件时扫描其漏洞

  如果启用此选项，系统将在运行可执行文件时扫描漏洞。

  默认情况下已禁用该选项。

重启管理

如果受管理设备的操作系统必须重启才能正确使用、安装或卸载应用程序，您可以在“重启管理”区域指定要执行的操作。“重启管理”区域的设置仅在运行 Windows 的设备上可用：

• 不重启操作系统

  客户端设备在操作后不被自动重启。要完成操作，您必须重启设备(例如，手动或通过设备管理任务)。所需重启的信息被保存在任务结果和设备状态。该选项适用于在需要持续操作的服务器和其他设备上的任务。

• 如果必要，自动重启操作系统

  如果完成安装需要重启，客户端设备总是被自动重启。该选项适用于允许中断操作(关机或重启)的设备上的任务。

• 提示用户操作

  客户端设备屏幕上将显示重启提醒，提示用户手动重启设备。可以为该选项定义一些高级设置：用户消息文本、消息显示频率以及强制重启（不需要用户确认）的时间间隔。该选项适用于用户必须可以选择最方便的时间进行重启的工作站。

  默认情况下已选定该选项。

  • 重复提示间隔(分钟)

    如果启用该选项，应用程序以指定频率提示用户重启操作系统。

    默认情况下已启用该选项。默认时间间隔为 5 分钟。可用值介于 1 和 1 440 分钟之间。

    如果禁用该选项，提示仅显示一次。

  • 在该时间后强制重启(分钟)

    提示用户之后，应用程序在指定时间间隔后强制操作系统重启。

    默认情况下已启用该选项。默认延时是 30 分钟。可用值介于 1 和 1 440 分钟之间。

• 强行关闭锁定会话中的应用程序

  运行应用程序可能会阻止客户端设备重启。例如，如果文档在文档处理应用程序中被编辑且未被保存，则应用程序不允许设备重启。

  如果启用该选项，锁定设备上的此类应用程序在设备重启前被强制关闭。结果，用户可能丢失他们未保存的更改。

  如果禁用该选项，锁定设备不被重启。该设备上的任务状态显示设备需要重启。用户必须手动关闭所有运行在锁定设备上的应用程序并重启这些设备。

  默认情况下已禁用该选项。

Windows 桌面共享

您可以通过“Windows 桌面共享”区域启用并配置在使用共享桌面访问时用户的远程设备上执行的管理员操作的审计。“Windows 桌面共享”区域的设置仅在运行 Windows 的设备上可用：

• 启用审计

  如果启用该选项，远程设备上管理员的操作审计启用。远程设备上的管理员操作是被一一记录下来的:

  • 在远程设备的事件日志中
  • 在位于远程设备上网络代理安装文件夹中的扩展名为 syslog 的文件中
  • 在 Kaspersky Security Center 云控制台的事件数据库中

  当满足以下条件时,管理员操作审核可用：

  • 漏洞和补丁管理授权许可正在使用中
  • 管理员有权启动共享访问远程设备的桌面

  如果禁用此选项,远程设备上的管理员操作审核被禁用。

  默认情况下已禁用该选项。

• 读取时要监控的文件掩码

  该列表包含文件掩码.启用审计,程序会监控管理员读取符合掩码的文件并保存读取文件的信息.如果选择了“启用审计”选框，则该列表可用。您可以编辑文件掩码,或在列表中添加新掩码.列表中每个新文件掩码需要在全新的一行中指定.

  默认,指定了以下文件掩码:*.txt, *.rtf, *.doc, *.xls, *.docx, *.xlsx, *.odt, *.pdf.

• 修改时要监控的文件掩码

  该列表包含远程设备上的文件掩码。启用审核时,程序会监控管理员对符合掩码的文件作出的更改,并保存修改的相关信息.如果选择了“启用审计”选框，则该列表可用。您可以编辑文件掩码,或在列表中添加新掩码.列表中每个新文件掩码需要在全新的一行中指定.

  默认,指定了以下文件掩码:*.txt, *.rtf, *.doc, *.xls, *.docx, *.xlsx, *.odt, *.pdf.

管理补丁和更新

在管理补丁和更新部分中，您可以在受管理设备上配置更新的下载和分发以及补丁的安装：启用或禁用对未定义状态的组件自动安装可应用更新和补丁选项。

连接

“连接”区域包含三个子区域：

• 网络
• 连接配置文件
• 连接计划

在“网络”子区域中，可以配置与管理服务器的连接，启用 UDP 端口和指定 UDP 端口号。

• 在到管理服务器的连接”设置组中，您可以指定以下设置：
  • 压缩网络流量

    如果启用此选项，则通过减少所传输的流量进而减少管理服务器的负载来提高网络代理的数据传输速度。

    客户端设备上的 CPU 负载可能会增加。

    默认情况下启用该复选框。

  • 在 Microsoft Windows 防火墙中打开网络代理端口

    如果启用此选项，网络代理工作所需的 UDP 端口将添加到 Microsoft Windows 防火墙排除列表中。

    默认情况下已启用该选项。

  • 以默认连接设置在分发点(如果可用)上使用连接网关

    如果启用此选项，分发点上的连接网关在管理组属性指定的设置下使用。

    默认情况下已启用该选项。

• 使用 UDP 端口

  如果需要受管理设备通过 UDP 端口连接到 KSN 代理，启用“使用 UDP 端口”选项，并在“UDP 端口”字段中指定端口号。默认情况下已启用该选项。连接到 KSN 代理的默认 UDP 端口是 15111。

• UDP 端口号

  在该字段中，您可以输入 UDP 端口号。默认端口号是 15000。

  使用十进制系统记录。

  如果客户端设备运行在 Windows XP Service Pack 2 系统下，则集成的防火墙会阻止 UDP 端口 15000。请手动打开此端口。

• 使用分发点强制连接到管理服务器

  如果在分发点设置窗口中选择了“运行推送服务器”选项，则选择此选项。否则，分发点不会用作推送服务器。

在“连接配置文件”子区域中，无法向“管理服务器连接配置文件”列表添加任何新项目，因此“添加”按钮处于不活动状态。预设的连接配置文件也不能修改。

在“连接计划”子区域中，您可以指定网络代理发送数据到管理服务器的时间间隔：

• 必要时连接
• 在指定时间间隔连接

在“连接计划”子区域中，您可以指定网络代理发送数据到管理服务器的时间间隔：

• 必要时连接

  如果选中此选项，当网络代理需要发送数据到管理服务器时连接才被建立。

  默认情况下已选定该选项。

• 在指定时间间隔连接

  如果选中此选项，网络代理在指定时间连接到管理服务器。您可以添加若干个连接时间段。

通过分发点的网络轮询

在“通过分发点的网络轮询”区域中，可以配置网络自动轮询。轮询设置仅在运行 Windows 的设备上可用。您可以使用以下选项启用轮询并设置其频率：

• Windows 网络

  如果启用此选项，则分发点将按照所配置的计划自动轮询网络，单击“设置快速轮询计划”和“设置完整轮询计划”链接可配置轮询计划。

  如果禁用此选项，则管理服务器将不轮询网络。

  默认情况下已启用该选项。

• IP 范围

  如果启用此选项，则分发点将按照所配置的计划自动轮询 IP 范围，单击“设置轮询计划”链接可配置轮询计划。

  如果禁用此选项，则分发点将不轮询 IP 范围。

  默认情况下已禁用该选项。

• 域控制器

  如果启用此选项，则分发点将按照所配置的计划自动轮询域控制器，单击“设置轮询计划”按钮可配置轮询计划。

  如果禁用此选项，则分发点将不轮询域控制器。

  对于 10.2 版之前的网络代理，可在“轮询间隔(分钟)”字段中配置域控制器轮询频率。如果启用此选项，则字段可用。

  默认情况下已禁用该选项。

分发点网络设置

在“分发点网络设置”区域中，可以指定互联网连接设置：

• 使用代理服务器
• 地址
• 端口号
• 对本地地址不使用代理服务器

  如果启用此选项，将不使用代理服务器连接本地网络的设备。

  默认情况下已禁用该选项。

• 代理服务器身份验证

  如果选择该选框，您可以在输入字段中为代理服务器身份验证指定凭证。

  默认情况下已清除该选框。

• 用户名
• 密码

KSN 代理(分发点)

在“KSN 代理(分发点)”区域，您可以配置应用程序使用分发点从受管理设备转发 KSN 请求：

• 在分发点端启用 KSN 代理

  KSN 代理服务运行在用作分发点的设备上。使用该功能重新分发和优化网络流量。

  运行 Linux 或 macOS 的分发点设备不支持此功能。

  分发点发送列在卡巴斯基安全网络声明中的 KSN 统计信息到 Kaspersky。默认下，KSN 声明位于 %ProgramFiles%\Kaspersky Lab\Kaspersky Security Center\ksneula。

  默认情况下已禁用该选项。启用该选项仅在我同意使用卡巴斯基安全网络选项在管理服务器属性窗口中被启用时起作用。

  您可以分配活动被动集群节点到分发点并在该节点上启用 KSN 代理服务器。

• 端口

  受管理设备将用于连接到 KSN 代理服务器的 TCP 端口号。默认端口号是 13111。

• UDP 端口

  如果需要受管理设备通过 UDP 端口连接到 KSN 代理，启用“使用 UDP 端口”选项，并在“UDP 端口”字段中指定端口号。默认情况下已启用该选项。连接到 KSN 代理的默认 UDP 端口是 15111。