在其他设备上安装应用程序控制台以后的高级设置

如果应用程序控制台已经安装在网络中的其他设备上，而不是安装在受保护设备上，请执行以下操作，以允许用户远程管理 Kaspersky Embedded Systems Security for Windows：

• 在受保护设备上将 Kaspersky Embedded Systems Security for Windows 用户添加到 ESS 管理员组中。
• 如果受保护设备使用 Windows 防火墙或第三方防火墙，则允许 Kaspersky Security 管理服务 (kavfsgt.exe) 的网络连接。
• 如果在运行 Microsoft Windows 的设备上安装应用程序控制台期间未选中“允许远程访问”复选框，则通过设备的防火墙手动允许应用程序控制台的网络连接。

远程设备上的应用程序控制台使用 DCOM 协议从受保护设备上的 Kaspersky Security 管理服务接收关于 Kaspersky Embedded Systems Security for Windows 事件的信息（如对象扫描、任务完成等）。需要在“Windows 防火墙设置”中允许应用程序控制台的网络连接，才能在应用程序控制台和 Kaspersky Security 管理服务之间建立连接。

在安装了应用程序控制台的远程设备上，执行以下操作：

• 确保允许远程匿名访问 COM 应用程序（但不是远程启动和激活 COM 应用程序）。
• 在 Windows 防火墙中开放 TCP 端口 135 并允许 Kaspersky Embedded Systems Security for Windows 远程管理进程的可执行文件 kavfsrcn.exe 的网络连接。

  安装应用程序控制台的设备将使用 TCP 端口 135 访问受保护设备并接收响应。

• 配置 Windows 防火墙的出站规则以允许连接。

  与单个协议具有固定端口的传统 TCP/IP 和 UDP/IP 服务不同，DCOM 会为远程 COM 对象动态分配端口。如果客户端（其中安装了应用程序控制台）与 DCOM 端点（受保护设备）之间存在防火墙，则必须开放很大范围的端口。

配置任何其他软件或硬件防火墙应该应用相同步骤。

如果在配置受保护设备与安装了应用程序控制台的设备之间的连接时，应用程序控制台处于打开状态：

1. 关闭应用程序控制台。
2. 等待至 Kaspersky Embedded Systems Security for Windows 远程管理进程 kavfsrcn.exe 结束。
3. 重新启动应用程序控制台。

   将应用新的连接设置。