网络代理策略设置

扩展所有 | 折叠所有

若配置网络代理策略：

1. 在主菜单中，转到资产(设备) → 策略和配置文件。
2. 单击网络代理策略的名称。

   网络代理策略的属性窗口打开。属性窗口包含如下所述的选项卡和设置。

考虑到基于 Linux 和 Windows 的设备，有多种设置可用。

常规

在该选项卡上，您可以修改策略名称、策略状态并指定策略设置的继承：

• 在“名称”字段中，您可以修改策略名称。
• 在“策略状态”块，您可以选择以下策略模式之一：
  • 活动

    如果选择该选项，策略将变为活动状态。

    默认情况下已选定该选项。

  • 不活动

    如果选择该选项，策略将变为不活动状态，但它仍然存储在“策略”文件夹中。如果需要，您可以激活该策略。

• 在“设置继承”设置组中，您可以配置策略继承：
  • 从父策略继承设置

    如果启用此选项，则策略设置值将从上一级组策略继承，因而被锁定。

    默认情况下已启用该选项。

  • 在子策略中强制继承设置

    如果启用此选项，则在应用策略更改之后，将执行以下操作：

    • 策略设置的值将被传送到管理子组的策略，也就是子策略。
    • 在每个子策略属性窗口常规区域的继承设置区块，将自动启用从父策略继承设置选项。

    如果启用此选项，则子策略设置被锁定。

    默认情况下已禁用该选项。

事件配置

在该选项卡上，您可以配置事件记录和事件通知。事件根据重要性级别分布在以下部分：

• 功能失败
• 警告
• 信息

在每个区域，列表显示在管理服务器上事件类型和默认事件存储的期限（天）。单击事件类型后，您可以指定有关列表中选择的事件的事件记录和通知的设置。默认下，为整个管理服务器指定的通用通知设置被用于所有事件类型。然后，您可以更改所需事件类型的特别设置。

例如，在“警告”区域中，您可以配置 发生了安全问题 事件类型。此类事件可能会发生，例如，当 分发点的可用磁盘空间 小于 2 GB（至少需要 4 GB 才能远程安装应用程序和下载更新）。若要配置“发生了安全问题”事件，单击它并指定存储发生的事件的位置以及如何通知它们。

如果网络代理检测到安全问题，您可以使用受管理设备的设置管理此问题。

应用程序设置

设置

在设置区域，您可以配置网络代理策略：

• 仅通过分发点分发文件

  如果启用此选项，则受管理设备上的网络代理只从分发点检索更新。

  如果禁用此选项，则受管理设备上的网络代理从分发点或管理服务器检索更新。

  请注意，受管理设备上的安全应用程序从每个安全应用程序的更新任务中设置的源检索更新。如果启用“仅通过分发点分发文件”选项，请确保在更新任务中将 Kaspersky Security Center Linux 设置为更新源。

  默认情况下已禁用该选项。

• 事件队列的最大大小(MB)

  在该字段中，您可以指定事件队列可在驱动器上占据的最大空间。

  默认值为 2 MB。

• 应用程序被允许在设备上检索策略扩展数据

  安装在受管理设备上的网络代理会将有关已应用的安全应用程序策略的信息传输到安全应用程序（例如，Kaspersky Endpoint Security for Linux）。您可以在安全应用程序界面查看传输的信息。

  网络代理传输以下信息：

  • 策略传输至受管理设备的时间
  • 策略传输至受管理设备时的活动策略或漫游策略的名称
  • 策略传输至受管理设备时包含受管理设备的管理组的名称和完整路径
  • 活动策略配置文件列表

    您可以使用该信息来确保将正确的策略应用于设备并用于故障排除。默认情况下已禁用该选项。

• 保护网络代理服务免遭非授权的卸载或终止，并防止设置更改

  当启用该选项时，网络代理被安装到受管理设备之后，没有所需权限组件无法被卸载或重新配置。网络代理服务无法被停止。此选项对域控制器没有影响。

  启用此选项可保护以本地管理员权限操作的工作站上的网络代理。

  默认情况下已禁用该选项。

• 使用卸载密码

  如果启用此选项，则单击“修改”按钮可以指定 klmover 实用程序和网络代理远程卸载的密码。

  默认情况下已禁用该选项。

存储库

在“存储库”区域，您可以选择将其信息从网络代理发送到管理服务器的对象类型。如果本区域中的某些设置被网络代理策略禁止，则您无法修改它们。“存储库”区域的设置仅在运行 Windows 的设备上可用：

• 已安装应用程序详情

  如果启用此选项，则有关客户端设备上安装的应用程序的信息将发送至管理服务器。

  默认情况下已启用该选项。

• 包括补丁信息

  有关在客户端设备上安装的应用程序补丁的信息将发送到管理服务器。启用此选项可能会增加管理服务器和 DBMS 的负载，并导致数据库数据量的增加。

  默认情况下已启用该选项。它仅适用于 Windows。

• Windows Update 更新详情

  如果启用此选项，则有关客户端设备上必须安装的 Microsoft Windows Update 更新的信息将发送至管理服务器。

  默认情况下已启用该选项。它仅适用于 Windows。

• 软件漏洞和对应更新的详情

  如果启用此选项，则将有关在受管理设备上检测到的第三方软件（包括 Microsoft 软件）中的漏洞信息以及有关修复第三方漏洞（不包括 Microsoft 软件）的软件更新信息发送到管理服务器。

  选择此选项（软件漏洞和对应更新的详情）会增加网络负载、管理服务器磁盘负载和网络代理资源消耗。

  默认情况下已启用该选项。它仅适用于 Windows。

  要管理 Microsoft 软件的软件更新，请使用“Windows Update 更新详情”选项。

• 硬件注册表的详细信息

  安装在设备上的网络代理会将设备硬件的相关信息发送到管理服务器。您可以在设备属性中查看硬件详细信息。

  确保在要从中获取硬件详细信息的 Linux 设备上安装了 lshw 实用程序。根据所使用的 hypervisor，从虚拟机获取的硬件详细信息可能不完整。

软件更新和漏洞

在“软件更新和漏洞”区域，您可以启用对可执行文件的漏洞扫描：

• 当运行可执行文件时扫描其漏洞

  如果启用此选项，系统将在运行可执行文件时扫描漏洞。

  默认情况下已启用该选项。

重启管理

如果受管理设备的操作系统必须重启才能正确使用、安装或卸载应用程序，您可以在“重启管理”区域指定要执行的操作。“重启管理”区域的设置仅在运行 Windows 的设备上可用：

• 不重启操作系统

  客户端设备在操作后不被自动重启。要完成操作，您必须重启设备(例如，手动或通过设备管理任务)。所需重启的信息被保存在任务结果和设备状态。该选项适用于在需要持续操作的服务器和其他设备上的任务。

• 如果必要，自动重启操作系统

  如果完成安装需要重启，客户端设备总是被自动重启。该选项适用于允许中断操作(关机或重启)的设备上的任务。

• 提示用户操作

  客户端设备屏幕上将显示重启提醒，提示用户手动重启设备。可以为该选项定义一些高级设置：用户消息文本、消息显示频率以及强制重启（不需要用户确认）的时间间隔。该选项适用于用户必须可以选择最方便的时间进行重启的工作站。

  默认情况下已选定该选项。

  • 重复提示间隔(分钟)

    如果启用该选项，应用程序以指定频率提示用户重启操作系统。

    默认情况下已启用该选项。默认时间间隔为 5 分钟。可用值介于 1 和 1 440 分钟之间。

    如果禁用该选项，提示仅显示一次。

  • 在该时间后强制重启(分钟)

    提示用户之后，应用程序在指定时间间隔后强制操作系统重启。

    默认情况下已启用该选项。默认延时是 30 分钟。可用值介于 1 和 1 440 分钟之间。

  • 强行关闭锁定会话中的应用程序

    运行应用程序可能会阻止客户端设备重启。例如，如果文档在文档处理应用程序中被编辑且未被保存，则应用程序不允许设备重启。

    如果启用该选项，锁定设备上的此类应用程序在设备重启前被强制关闭。结果，用户可能丢失他们未保存的更改。

    如果禁用该选项，锁定设备不被重启。该设备上的任务状态显示设备需要重启。用户必须手动关闭所有运行在锁定设备上的应用程序并重启这些设备。

    默认情况下已禁用该选项。

管理补丁和更新

在“管理补丁和更新”区域，您可以配置受管理设备的更新下载和分发以及补丁的安装：

• 对未定义状态的组件自动安装可应用更新和补丁

  如果启用此选项，带有未定义批准状态的 Kaspersky 应用程序在从更新服务器下载后将被自动安装在受管理设备。

  如果禁用此选项，被下载和标注为未定义状态的 Kaspersky 补丁将仅在您改变其状态为已批准是被安装。

  默认情况下已启用该选项。

• 提前从管理服务器下载更新和反病毒数据库(推荐)

  如果启用此选项，离线模式更新下载被使用。当管理服务器接收更新时，它通知网络代理(安装网络代理的设备)将用于受管理应用程序的更新。当网络代理接收更新的信息后，它提前从管理服务器下载相关文件。在第一次连接网络代理时，管理服务器发起更新下载。网络代理下载所有更新到客户端设备后，更新对该设备上的应用程序可用。

  当客户端设备上的受管理应用程序尝试访问网络代理以更新时，该网络代理检查其是否具有所有的更新。如果在受管理应用程序请求更新之前 25 小时内，更新已从管理服务器收到，则网络代理不连接到管理服务器，而是从本地缓存提供更新给受管理应用程序。当网络代理提供更新到客户端设备上的应用程序时，到管理服务器的连接可能不被建立，但是更新不需要连接。

  如果禁用此选项，离线模式更新下载不被使用。更新根据更新下载任务的计划被分发。

  默认情况下已启用该选项。

连接

“连接”区域包含三个子区域：

• 网络
• 连接配置文件
• 连接计划

在“网络”子区域中，可以配置与管理服务器的连接，启用 UDP 端口和指定 UDP 端口号。

• 在“连接到管理服务器”设置组，您可以配置到管理服务器的连接并指定同步客户端设备和管理服务器的时间间隔：
  • 同步间隔(分钟)

    网络代理同步管理服务器的受管理设备。我们建议您设置同步间隔（也叫心跳）为每 10,000 台受管理设备 15 分钟。

    如果同步间隔设置为少于 15 分钟，则每 15 分钟执行一次同步。如果同步间隔设置为 15 分钟或更长时间，则以指定的同步间隔执行同步。

  • 压缩网络流量

    如果启用此选项，则通过减少所传输的流量进而减少管理服务器的负载来提高网络代理的数据传输速度。

    客户端设备上的 CPU 负载可能会增加。

    默认情况下启用该复选框。

  • 在 Microsoft Windows 防火墙中打开网络代理端口

    如果启用此选项，网络代理工作所需的 UDP 端口将添加到 Microsoft Windows 防火墙排除列表中。

    默认情况下已启用该选项。

  • 使用 SSL 连接

    如果启用此选项，则使用 SSL 协议通过安全端口连接管理服务器。

    默认情况下已启用该选项。

  • 以默认连接设置在分发点(如果可用)上使用连接网关

    如果启用此选项，分发点上的连接网关在管理组属性指定的设置下使用。

    默认情况下已启用该选项。

• 使用 UDP 端口

  如果需要受管理设备通过 UDP 端口连接到 KSN 代理，启用“使用 UDP 端口”选项，并在“UDP 端口”字段中指定端口号。默认情况下已启用该选项。连接到 KSN 代理的默认 UDP 端口是 15111。

• UDP 端口号

  在该字段中，您可以输入 UDP 端口号。默认端口号是 15000。

  使用十进制系统记录。

• 使用分发点强制连接到管理服务器

  如果在分发点设置窗口中选择了“将此分发点用作推送服务器”选项，则选择此选项。否则，分发点不会用作推送服务器。

在“连接配置文件”子区域中，可以指定网络位置设置并在管理服务器不可用时启用漫游模式。“连接配置文件”区域的设置仅在运行 Windows 的设备上可用：

• 网络位置设置

  网络位置设置用于定义客户端设备所连接的网络属性，并指定当网络特性改变时，网络代理从一个管理服务器连接配置文件切换到另一个配置文件的规则。

• 管理服务器连接配置文件

  连接配置文件仅支持运行 Windows 的设备。

  您可以查看和向管理服务器添加网络代理连接配置文件。在该区域，您也可以创建当以下事件发生时，切换网络代理到不同管理服务器的规则：

  • 当客户端设备连接到另一个本地网络时
  • 当设备与组织的本地网络丢失连接时
  • 当连接网关的地址更改或 DNS 服务器地址修改时
• 当管理服务器不可用时启用漫游模式

  如果启用此选项，则在通过该配置文件连接的情况下，客户端设备上安装的应用程序将使用漫游模式设备的策略配置文件，以及漫游策略。如果没有为应用程序定义漫游策略，则使用激活策略。

  如果禁用此选项，则应用程序将使用已激活的策略。

  默认情况下已禁用该选项。

在“连接计划”子区域中，您可以指定网络代理发送数据到管理服务器的时间间隔：

• 必要时连接

  如果选中此选项，当网络代理需要发送数据到管理服务器时连接才被建立。

  默认情况下已选定该选项。

• 在指定时间间隔连接

  如果选中此选项，网络代理在指定时间连接到管理服务器。您可以添加若干个连接时间段。

通过分发点的网络轮询

在“通过分发点的网络轮询”区域中，可以配置网络自动轮询。您可以使用以下选项启用轮询并设置其频率：

• IP 范围

  如果启用此选项，则分发点将按照所配置的计划自动轮询 IP 范围，单击“设置轮询计划”按钮可配置轮询计划。

  如果禁用此选项，则分发点将不轮询 IP 范围。

  对于 10.2 版之前的网络代理，可在“轮询间隔(分钟)”字段中配置 IP 范围的轮询频率。如果启用此选项，则该字段可用。

  默认情况下已禁用该选项。

• Zeroconf

  如果启用此选项，分发点将使用零配置网络（也称为 Zeroconf）轮询带有 IPv6 设备的网络。在这种情况下，已启用的 IP 范围轮询将被忽略，因为分发点将轮询整个网络。

  要开始使用 Zeroconf，必须满足以下条件：

  • 分发点必须运行 Linux。
  • 您必须在分发点上安装 avahi-browse 实用程序。

  如果禁用此选项，分发点不会轮询带有 IPv6 设备的网络。

  默认情况下已禁用该选项。

• 域控制器

  如果启用此选项，则分发点将按照所配置的计划自动轮询域控制器，单击“设置轮询计划”按钮可配置轮询计划。

  如果禁用此选项，则分发点将不轮询域控制器。

  对于 10.2 版之前的网络代理，可在“轮询间隔(分钟)”字段中配置域控制器轮询频率。如果启用此选项，则字段可用。

  默认情况下已禁用该选项。

分发点网络设置

在“分发点网络设置”区域中，可以指定互联网连接设置：

• 使用代理服务器
• 地址
• 端口号
• 对本地地址不使用代理服务器

  如果启用此选项，将不使用代理服务器连接本地网络的设备。

  默认情况下已禁用该选项。

• 代理服务器身份验证

  如果选择该选框，您可以在输入字段中为代理服务器身份验证指定凭证。

  默认情况下已清除该选框。

KSN 代理(分发点)

在“KSN 代理(分发点)”区域，您可以配置应用程序使用分发点从受管理设备转发 Kaspersky Security Network (KSN) 请求：

• 在分发点端启用 KSN 代理

  KSN 代理服务运行在用作分发点的设备上。使用该功能重新分发和优化网络流量。

  分发点发送列在卡巴斯基安全网络声明中的 KSN 统计信息到 Kaspersky。

  默认情况下已禁用该选项。启用该选项仅在使用管理服务器作为代理服务器 和 我同意使用卡巴斯基安全网络选项在管理服务器属性窗口中被启用时起作用。

  您可以分配活动被动集群节点到分发点并在该节点上启用 KSN 代理服务器。

• 转发 KSN 请求到管理服务器

  分发点从受管理设备转发 KSN 请求到管理服务器。

  默认情况下已启用该选项。

• 通过互联网直接访问 KSN 云/KPSN

  分发点从受管理设备转发 KSN 请求到 KSN 云或 KPSN。分发点本身上生成的 KSN 请求也直接发送到 KSN 云或 KPSN。

• TCP 端口

  受管理设备将用于连接到 KSN 代理服务器的 TCP 端口号。默认端口号是 13111。

• UDP 端口

  如果需要受管理设备通过 UDP 端口连接到 KSN 代理，启用“使用 UDP 端口”选项，并在“UDP 端口”字段中指定端口号。默认情况下已启用该选项。连接到 KSN 代理的默认 UDP 端口是 15111。

• HTTPS 端口

  如果您需要受管理设备通过 HTTPS 端口连接到 KSN 代理服务器，请启用“使用 HTTPS”选项，然后在“HTTPS 端口”字段中指定端口号。默认情况下已禁用该选项。连接到 KSN 代理服务器的默认 HTTPS 端口是 17111。

更新(分发点)

在更新(分发点)区域，您可以启用下载差异文件功能，以便分发点以差异文件的形式从卡巴斯基更新服务器获取更新。

本地账户管理(仅限 Linux)

“本地账户管理(仅限 Linux)”部分包括三个子部分：

• 用户证书管理
• 添加或编辑适用的本地管理员组
• 上传参考文件以保护用户设备上的 sudoers 文件以防更改

在“用户证书管理”子部分中，您可以指定要安装的根证书。例如，这些证书可用于验证网站或网络服务器的真实性。

• 安装根证书

  如果启用此选项，则添加到表中的证书将安装在指定的设备上。

  如果禁用此选项，则不会在指定设备上安装任何证书。

  默认情况下已禁用该选项。

• 添加

  单击此按钮会打开一个窗口，您可以在其中添加证书。

  证书必须小于 10 MB。

  Kaspersky Security Center 支持具有 CER、CRT、CERT、PEM 和 KEY 扩展名的证书。

在“添加或编辑适用的本地管理员组”子部分中，您可以管理本地管理员组。例如，在撤销本地管理员权限时会使用这些组。您还可以使用“特权设备用户报告(仅限 Linux)”检查特权用户账户列表。

• 添加

  单击此按钮会打开一个窗口，您可以在其中添加本地管理员组。

• 编辑

  单击此按钮会打开一个窗口，您可以在其中编辑本地管理员组。

  如果选中本地管理员组旁边的复选框，则此按钮可用。

• 删除

  单击此按钮会从表中删除所选的本地管理员组。

  如果选中本地管理员组旁边的复选框，则此按钮可用。

在“上传参考文件以保护用户设备上的 sudoers 文件以防更改”子部分中，您可以配置对 sudoers 文件的控制。特权组和设备用户由设备上的 sudoers 文件定义。sudoers 文件位于 /etc/sudoers。您可以上传参考 sudoers 文件，以保护 sudoers 文件以防更改。这将防止对 sudoers 文件进行不必要的更改。

无效的参考 sudoers 文件可能会导致用户的设备出现故障。

• 控制 sudoer 文件

  如果启用此选项，sudoers 文件将由当前参考 sudoers 文件替换。

  如果禁用此选项，sudoers 文件将保持不变。

  默认情况下已禁用该选项。

• 参考 sudoer 文件

  此字段显示上传的参考 sudoers 文件的名称。

• 上传

  单击此按钮会打开一个窗口，您可以在其中上传参考 sudoers 文件。

• 当前参考 sudoer 文件

  单击此按钮会显示当前 sudoers 文件的内容。

修订历史

在“修订历史”选项卡上，您可以：

• 查看和保存策略修订的历史记录。
• 回滚至策略修订。
• 添加和编辑策略修订描述。