配置受管理应用程序的保护
受管理应用程序策略
我们建议为每种类型使用的应用程序和 Kaspersky Security Center Linux 组件(网络代理、Kaspersky Endpoint Security for Windows、Kaspersky Endpoint Security for Linux、Kaspersky Endpoint Agent 等)创建一个策略。此组策略必须应用于所有受管理设备(根管理组)或根据配置的移动规则新的受管理设备将自动移动到其中的单独组。
指定用于禁用保护和卸载应用程序的密码
我们强烈建议启用密码保护,以防止入侵者禁用或卸载卡巴斯基安全应用程序。在支持密码保护的平台上,您可以为 Kaspersky Endpoint Security、网络代理和其他卡巴斯基应用程序设置密码。启用密码保护后,我们建议通过关闭“锁”来锁定相应设置。
指定将客户端设备手动连接到管理服务器的密码(klmover 实用程序)
klmover 实用程序允许您手动将客户端设备连接到管理服务器。在客户端设备上安装网络代理时,自动将该实用程序复制到网络代理安装文件夹。
为了防止入侵者将设备移出管理服务器的控制,我们强烈建议为运行 klmover 实用程序启用密码保护。要启用密码保护,请在网络代理策略设置使用卸载密码使用卸载密码选项。
klmover 实用程序需要本地管理员权限。对于没有本地管理员权限操作的设备,可以忽略运行 klmover 实用程序的密码保护。
启用使用卸载密码还会启用Kaspersky Security Center Web Console 删除工具 (cleaner.exe) 的密码保护。
配置卡巴斯基安全网络
在受管理应用程序的所有策略和管理服务器属性中,我们建议启用卡巴斯基安全网络 (KSN) 的使用并接受 KSN 声明。更新或升级管理服务器时,您可以接受更新后的 KSN 声明。在某些情况下,当法律或其他法规禁止使用云服务时,您可以禁用 KSN。
定期扫描受管理设备
对于所有设备组,我们建议创建一个定期运行完整设备扫描的任务。
发现新设备
我们建议正确配置设备发现设置:设置与域控制器的集成,并指定用于发现新设备的 IP 地址范围。
出于安全目的,您可以使用包含所有新设备的默认管理组和影响该组的默认策略。