网络代理策略设置

扩展所有 | 折叠所有

若配置网络代理策略：

1. 在控制台树中，选择“策略”文件夹。
2. 在文件夹的工作区，选择网络代理策略。
3. 在策略的上下文菜单中，选择“属性”。

网络代理策略的属性窗口打开。

常规

在“常规”区域，您可以修改策略状态并指定策略设置的继承：

• 在“策略状态”块，您可以选择策略的模式：
  • 活动策略

    如果选择该选项，策略将变为活动状态。

    默认情况下已选定该选项。

  • 漫游策略

    如果选择该选项，策略将在设备离开企业网络时变为活动状态。

  • 非活动策略

    如果选择该选项，策略将变为不活动状态，但它仍然存储在“策略”文件夹中。如果需要，您可以激活该策略。

• 在“设置继承”设置组中，您可以配置策略继承：
  • 从父策略继承设置

    如果启用此选项，则策略设置值将从上一级组策略继承，因而被锁定。

    默认情况下已启用该选项。

  • 在子策略中强制继承设置

    如果启用此选项，则在应用策略更改之后，将执行以下操作：

    • 策略设置的值将被传送到管理子组的策略，也就是子策略。
    • 在每个子策略属性窗口常规区域的继承设置区块，将自动启用从父策略继承设置选项。

    如果启用此选项，则子策略设置被锁定。

    默认情况下已禁用该选项。

事件配置

“事件配置”区域允许您配置事件记录和事件通知。事件根据重要级别用下面的标签分布：

• 严重

  “严重”选项卡不显示在网络代理策略属性中。

• 功能失败
• 警告
• 信息

在每个选项卡，列表显示在管理服务器上事件类型和默认事件存储的期限（天）。单击“属性”按钮，您可以指定列表中已选中的事件日志和通知设置。默认下，为整个管理服务器指定的通用通知设置被用于所有事件类型。然后，您可以更改所需事件类型的特别设置。

例如，在 警告 选项卡，您可以配置 发生了事故 事件类型。此类事件可能会发生，例如，当 分发点的可用磁盘空间 小于 2 GB（至少需要 4 GB 才能远程安装应用程序和下载更新）。若要配置 发生了事故 事件，选择它并单击 属性 按钮。之后，您可以指定存储发生的事件的位置以及如何通知它们。

如果网络代理检测到事件，您可以使用受管设备的设置管理此事件。

要选择多个事件类型，使用“Shift”或者“Ctrl”键；要选择所有类型，使用“选择所有”按钮。

设置

在设置区域，您可以配置网络代理策略：

• 仅通过分发点分发文件

  如果启用此选项，则受管理设备上的网络代理只从分发点检索更新。

  如果禁用此选项，则受管理设备上的网络代理从分发点或管理服务器检索更新。

  请注意，受管理设备上的安全应用程序从每个安全应用程序的更新任务中设置的源检索更新。如果启用“仅通过分发点分发文件”选项，请确保在更新任务中将 Kaspersky Security Center 设置为更新源。

  默认情况下已禁用该选项。

• 启用 NAP

  此选项已被弃用。我们不建议使用它。

  如果选中该复选框，则 Kaspersky Security Center SHV (SHV) 被用于检查客户端设备上的系统健康状态。如果设备上安装了 Kaspersky Security Center SHV，则此复选框可用。

  默认情况下已清除该选框。

• 事件队列的最大大小(MB)

  在该字段中，您可以指定事件队列可在驱动器上占据的最大空间。

  默认值为 2 MB。

• 应用程序被允许在设备上检索策略扩展数据

  安装在受管理设备上的网络代理会将有关已应用的安全应用程序策略的信息传输到安全应用程序（例如，Kaspersky Endpoint Security for Windows）。您可以在安全应用程序界面查看传输的信息。

  网络代理传输以下信息：

  • 策略传输至受管理设备的时间
  • 策略传输至受管理设备时的活动策略或漫游策略的名称
  • 策略传输至受管理设备时包含受管理设备的管理组的名称和完整路径
  • 活动策略配置文件列表

    您可以使用该信息来确保将正确的策略应用于设备并用于故障排除。默认情况下已禁用该选项。

• 保护网络代理服务免遭非授权的卸载或终止，并防止设置更改

  网络代理被安装到受管理设备之后，没有所需权限组件无法被卸载或重新配置。网络代理服务无法被停止。

  默认情况下已禁用该选项。

• 使用卸载密码

  如果启用此选项，则单击“修改”按钮可以指定网络代理远程卸载的密码。

  默认情况下已禁用该选项。

存储库

在“存储库”区域，您可以选择将其信息从网络代理发送到管理服务器的对象类型。如果本区域中的某些设置被网络代理策略禁止，则您无法修改它们。“存储库”区域的设置仅在运行 Windows 的设备上可用：

• Windows Update 更新详情

  如果启用此选项，则有关客户端设备上必须安装的 Microsoft Windows Update 更新的信息将发送至管理服务器。

  有时，即使禁用此选项，更新也会显示在“可用更新”区域的设备属性中。例如，如果组织的设备存在可被这些更新修复的漏洞，则可能出现这种情况。

  默认情况下已启用该选项。它仅适用于 Windows。

• 软件漏洞和对应更新的详情

  如果启用此选项，则将有关在受管理设备上检测到的第三方软件（包括 Microsoft 软件）中的漏洞信息以及有关修复第三方漏洞（不包括 Microsoft 软件）的软件更新信息发送到管理服务器。

  选择此选项（软件漏洞和对应更新的详情）会增加网络负载、管理服务器磁盘负载和网络代理资源消耗。

  默认情况下已启用该选项。它仅适用于 Windows。

  要管理 Microsoft 软件的软件更新，请使用“Windows Update 更新详情”选项。

• 硬件注册表的详细信息

  安装在设备上的网络代理会将设备硬件的相关信息发送到管理服务器。您可以在设备属性中查看硬件详细信息。

• 已安装应用程序详情

  如果启用此选项，则有关客户端设备上安装的应用程序的信息将发送至管理服务器。

  默认情况下已启用该选项。

• 包括补丁信息

  有关在客户端设备上安装的应用程序补丁的信息将发送到管理服务器。启用此选项可能会增加管理服务器和 DBMS 的负载，并导致数据库数据量的增加。

  默认情况下已启用该选项。它仅适用于 Windows。

软件更新和漏洞

在“软件更新和漏洞”区域，您可以配置搜索和发布 Windows 更新以及启用扫描可执行文件以发现漏洞。“软件更新和漏洞”区域的设置仅在运行 Windows 的设备上可用：

• 使用管理服务器作为 WSUS 服务器

  如果启用此选项，Windows 更新将下载到管理服务器。管理服务器提供以集中模式通过网络代理下载更新到客户端设备的 Windows 更新服务。

  如果禁用此选项，则不使用管理服务器下载 Windows 更新。此种情况下，客户端设备自己接收 Windows 更新。

  默认情况下已禁用该选项。

• 在允许用户管理 Windows Update 更新的安装下，您可以限制用户可以使用 Windows Update 在他们的设备上手动安装的 Windows 更新。

  在运行 Windows 10 的设备上，如果 Windows Update 已经为设备找到更新，您在“允许用户管理 Windows Update 更新安装”下选择的新选项将仅在发现的更新被安装后才被应用。

  在下拉列表中选择条目：

  • 允许用户安装所有可应用 Windows Update 更新

    用户可以安装所有可应用到他们设备的 Microsoft Windows Update 更新。

    如果您不希望干预更新安装，请选择该选项。

    当用户手动安装 Microsoft Windows Update 更新时，更新可能从 Microsoft 服务器下载，而不是从管理服务器。如果管理服务器还未下载这些更新，这是可能的。从 Microsoft 服务器下载更新导致额外流量。

  • 仅允许用户安装批准的 Windows Update 更新

    用户可以安装所有可应用到他们设备的和您批准的 Microsoft Windows Update 更新。

    例如，您可能想先在测试环境中检查更新安装以确保它们不干预设备操作，仅在这之后允许安装这些批准的更新到客户端设备。

    当用户手动安装 Microsoft Windows Update 更新时，更新可能从 Microsoft 服务器下载，而不是从管理服务器。如果管理服务器还未下载这些更新，这是可能的。从 Microsoft 服务器下载更新导致额外流量。

  • 不允许用户安装 Windows Update 更新

    用户无法在他们的设备上手动安装 Microsoft Windows Update 更新。所有可应用更新根据您的配置而安装。

    如果您想要集中管理更新的安装则选则此选项。

    例如，您可以想优化更新计划以便网络不过载。您可以计划稍后更新，以便它们不干预用户工作。

• 在“Windows Update 搜索模式”设置组中，您可以选择更新搜索模式：
  • 主动

    如果选中该选项，管理服务器支持使用网络代理在客户端设备上从 Windows 更新代理发送请求至更新源：Windows 更新服务器（或简称为 WSUS）。然后，网络代理会将从 Windows 更新代理接收到的信息传送给管理服务器。

    仅在选择查找漏洞和所需更新任务的“连接更新服务器更新数据”选项时，该选项才生效。

    默认情况下已选定该选项。

  • 被动

    如果您选定该选项，网络代理将从上次同步更新源之后定期从 Windows 更新代理将所检索更新的信息传递给管理服务器。如果 Windows 更新代理没有执行与更新源同步，管理服务器上有关更新的信息将变为过期。

    如果要从更新源的内存缓存中获取更新，请选择此选项。

  • 已禁用

    如果选中该选项，管理服务器不会请求任何有关更新的信息。

    例如，如果您想首先在本地设备上测试更新，请选择此选项。

• 当运行可执行文件时扫描其漏洞

  如果启用此选项，系统将在运行可执行文件时扫描漏洞。

  默认情况下已启用该选项。

重启管理

如果受管理设备的操作系统必须重启才能正确使用、安装或卸载应用程序，您可以在“重启管理”区域指定要执行的操作。“重启管理”区域的设置仅在运行 Windows 的设备上可用：

• 不重启操作系统

  操作系统将不重启。

• 如果必要，自动重启操作系统

  如果必要，操作系统自动重启。

• 提示用户操作

  程序提示用户重启操作系统。

  默认情况下已选定该选项。

  • 重复提示间隔(分钟)

    如果启用此选项，应用程序会以复选框旁边的字段中指定的频率提示用户允许重启操作系统。默认情况下，提示频率为 5 分钟。

    如果禁用此选项，应用程序不会反复提示用户允许重启。

    默认情况下已启用该选项。

  • 在该时间后强制重启(分钟)

    如果启用此选项，提示用户之后，应用程序强制操作系统在选框旁边字段指定的时间间隔结束后进行重启。

    如果禁用此选项，应用程序不会强制重启。

    默认情况下已启用该选项。

  • 在该时间后强制关闭阻止会话中的应用程序(分钟)

    用户设备锁定时，程序以强制模式关闭（指定不活动间隔之后自动锁定，或手动锁定）。

    如果启用此选项，当输入字段中指定的时间间隔结束后，锁定设备上的应用程序将被强制关闭。

    如果禁用此选项，应用程序在锁定的设备上不关闭。

    默认情况下已禁用该选项。

Windows 桌面共享

您可以通过“Windows 桌面共享”区域启用并配置在使用共享桌面访问时用户的远程设备上执行的管理员操作的审计。“Windows 桌面共享”区域的设置仅在运行 Windows 的设备上可用：

• 启用审计

  如果启用该选项，远程设备上管理员的操作审计启用。远程设备上的管理员操作是被一一记录下来的:

  • 在远程设备的事件日志中
  • 在位于远程设备上网络代理安装文件夹中的扩展名为 syslog 的文件中
  • Kaspersky Security Center 的事件数据库

  当满足以下条件时,管理员操作审核可用:

  • 漏洞和补丁管理授权许可正在使用中
  • 管理员有权启动共享访问远程设备的桌面

  如果禁用此选项,远程设备上的管理员操作审核被禁用。

  默认情况下已禁用该选项。

• 读取时要监控的文件掩码

  该列表包含文件掩码.启用审计,程序会监控管理员读取符合掩码的文件并保存读取文件的信息.如果选择了“启用审计”选框，则该列表可用。您可以编辑文件掩码,或在列表中添加新掩码.列表中每个新文件掩码需要在全新的一行中指定.

  默认,指定了以下文件掩码:*.txt, *.rtf, *.doc, *.xls, *.docx, *.xlsx, *.odt, *.pdf.

• 修改时要监控的文件掩码

  该列表包含远程设备上的文件掩码。启用审核时,程序会监控管理员对符合掩码的文件作出的更改,并保存修改的相关信息.如果选择了“启用审计”选框，则该列表可用。您可以编辑文件掩码,或在列表中添加新掩码.列表中每个新文件掩码需要在全新的一行中指定.

  默认,指定了以下文件掩码:*.txt, *.rtf, *.doc, *.xls, *.docx, *.xlsx, *.odt, *.pdf.

管理补丁和更新

在“管理补丁和更新”区域，您可以配置更新的下载和分发以及补丁在受管理设备上的安装：

• 对未定义状态的组件自动安装可应用更新和补丁

  如果启用此选项，带有未定义批准状态的 Kaspersky 应用程序在从更新服务器下载后将被自动安装在受管理设备。带有未定义状态的补丁的自动安装对 Kaspersky Security Center 10 Service Pack 2 和更新版本可用。

  如果禁用此选项，被下载和标注为未定义状态的 Kaspersky 补丁将仅在您改变其状态为已批准是被安装。

  默认情况下已启用该选项。

• 提前从管理服务器下载更新和反病毒数据库(推荐)

  如果启用此选项，离线模式更新下载被使用。当管理服务器接收更新时，它通知网络代理(安装网络代理的设备)将用于受管理应用程序的更新。当网络代理接收更新的信息后，它提前从管理服务器下载相关文件。在第一次连接网络代理时，管理服务器发起更新下载。网络代理下载所有更新到客户端设备后，更新对该设备上的应用程序可用。

  当客户端设备上的受管理应用程序尝试访问网络代理以更新时，该网络代理检查其是否具有所有的更新。如果在受管理应用程序请求更新之前 25 小时内，更新已从管理服务器收到，则网络代理不连接到管理服务器，而是从本地缓存提供更新给受管理应用程序。当网络代理提供更新到客户端设备上的应用程序时，到管理服务器的连接可能不被建立，但是更新不需要连接。

  如果禁用此选项，离线模式更新下载不被使用。更新根据更新下载任务的计划被分发。

  默认情况下已启用该选项。

连接

“连接”区域包含三个嵌套子区域：

• 网络
• 连接配置文件（仅适用于 Windows）
• 连接计划

在“网络”子区域，您可以配置到管理服务器的连接，启用 UDP 端口的使用并指定其端口号。下列选项可用：

• 在“到管理服务器的连接”设置组，您可以配置到管理服务器的连接并指定同步客户端设备和管理服务器的时间间隔：
  • 压缩网络流量

    如果启用此选项，则通过减少所传输的流量进而减少管理服务器的负载来提高网络代理的数据传输速度。

    客户端设备上的 CPU 负载可能会增加。

    默认情况下启用该复选框。

  • 在 Microsoft Windows 防火墙中打开网络代理端口

    如果启用此选项，网络代理工作所需的 UDP 端口将添加到 Microsoft Windows 防火墙排除列表中。

    默认情况下已启用该选项。

  • 使用 SSL

    如果启用此选项，则使用 SSL 协议通过安全端口连接管理服务器。

    默认情况下已启用该选项。

  • 以默认连接设置在分发点(如果可用)上使用连接网关

    如果启用此选项，分发点上的连接网关在管理组属性指定的设置下使用。

    默认情况下已启用该选项。

• 使用 UDP 端口

  如果需要受管理设备通过 UDP 端口连接到 KSN 代理，启用“使用 UDP 端口”选项，并在“UDP 端口”字段中指定端口号。默认情况下已启用该选项。连接到 KSN 代理的默认 UDP 端口是 15111。

• UDP 端口号

  在该字段中，您可以输入 UDP 端口号。默认端口号是 15000。

  使用十进制系统记录。

  如果客户端设备运行在 Windows XP Service Pack 2 系统下，则集成的防火墙会阻止 UDP 端口 15000。请手动打开此端口。

• 使用分发点强制连接到管理服务器

  如果在分发点设置窗口中选择了“将此分发点用作推送服务器”选项，则选择此选项。否则，分发点不会用作推送服务器。

在“连接配置文件”子区域，您可以指定网络位置设置，为管理服务器配置连接配置文件，以及在管理服务器不可用时启用漫游模式。“连接配置文件”区域的设置仅在运行 Windows 的设备上可用：

• 网络位置设置

  网络位置设置用于定义客户端设备所连接的网络属性，并指定当网络特性改变时，网络代理从一个管理服务器连接配置文件切换到另一个配置文件的规则。

• 管理服务器连接配置文件

  在该区域中，您可以查看和配置网络代理至管理服务器的连接。在该区域，您也可以创建当以下事件发生时，切换网络代理到不同管理服务器的规则：

  • 当客户端设备连接到另一个本地网络时
  • 当设备与组织的本地网络丢失连接时
  • 当连接网关的地址更改或 DNS 服务器地址修改时

  连接配置文件仅支持运行 Windows 和 macOS 的设备。

• 当管理服务器不可用时启用漫游模式

  如果启用此选项，则在通过该配置文件连接的情况下，客户端设备上安装的应用程序将使用漫游模式设备的策略配置文件，以及漫游策略。如果没有为应用程序定义漫游策略，则使用激活策略。

  如果禁用此选项，则应用程序将使用已激活的策略。

  默认情况下已禁用该选项。

在“连接计划”子区域中，您可以指定网络代理发送数据到管理服务器的时间间隔：

• 必要时连接

  如果选中此选项，当网络代理需要发送数据到管理服务器时连接才被建立。

  默认情况下已选定该选项。

• 在指定时间间隔连接

  如果选中此选项，网络代理在指定时间连接到管理服务器。您可以添加若干个连接时间段。

分发点

“分发点”区域包含四个嵌套子区域：

• 网络轮询
• 互联网连接设置
• KSN 代理
• 更新

在“网络轮询”子区域，您可以配置网络自动轮询。您可以启用三种类型的轮询，即网络轮询、IP 范围轮询和 Active Directory 轮询：

• 启用网络轮询

  如果启用此选项，则管理服务器将按照所配置的计划自动轮询网络，单击“设置快速轮询计划”和“设置完整轮询计划”链接可配置轮询计划。

  如果禁用此选项，管理服务器将按 网络轮询频率(分钟) 字段中指定的间隔轮询网络。

  版本 10.2 之前的网络代理的设备发现间隔可以在 Windows 域的轮询频率(分钟)（适用于快速 Windows 网络轮询）和 网络轮询频率(分钟) （适用于完整的 Windows 网络轮询）字段中进行配置。

  默认情况下已禁用该选项。

• 启用 IP 范围轮询

  如果启用此选项，则管理服务器将按照所配置的计划自动轮询 IP 范围，单击“设置轮询计划”链接可配置轮询计划。

  如果禁用此选项，则管理服务器将不轮询 IP 范围。

  对于 10.2 版之前的网络代理，可在“轮询间隔(分钟)”字段中配置 IP 范围的轮询频率。如果启用此选项，则该字段可用。

  默认情况下已禁用该选项。

• 使用 Zeroconf 轮询 (仅在 Linux 平台上；手动指定的 IP 范围将被忽略)

  如果启用此选项，分发点将使用零配置网络（也称为 Zeroconf）轮询带有 IPv6 设备的网络。在这种情况下，已启用的 IP 范围轮询将被忽略，因为分发点将轮询整个网络。

  要开始使用 Zeroconf，必须满足以下条件：

  • 分发点必须运行 Linux。
  • 您必须在分发点上安装 avahi-browse 实用程序。

  如果禁用此选项，分发点不会轮询带有 IPv6 设备的网络。

  默认情况下已禁用该选项。

• 启用活动目录轮询

  如果启用此选项，则管理服务器将按照所配置的计划自动轮询 Active Directory，单击“设置轮询计划”链接可配置轮询计划。

  如果禁用此选项，则管理服务器将不轮询 Active Directory。

  对于 10.2 版之前的网络代理，可在“轮询间隔(分钟)”字段中配置活动目录的轮询频率。如果启用此选项，则字段可用。

  默认情况下已禁用该选项。

在互联网连接设置子区域，您可以指定互联网连接设置：

• 使用代理服务器

  如果选择该选框，您可以在输入字段中配置代理服务器连接。

  默认情况下已清除该选框。

• 代理服务器地址

  代理服务器地址。

• 端口号

  用于连接的端口号。

• 对本地地址不使用代理服务器

  如果启用此选项，将不使用代理服务器连接本地网络的设备。

  默认情况下已禁用该选项。

• 代理服务器身份验证

  如果启用该复选框，您可以在输入字段中为代理服务器身份验证指定凭证。

  默认情况下启用该复选框。

• 用户名

  建立连接代理服务器的用户账户。

• 密码

  任务运行时使用的账户的密码。

在“KSN 代理”子区域，您可以配置应用程序使用分发点从受管理设备转发 KSN 请求：

• 在分发点端启用 KSN 代理

  KSN 代理服务运行在用作分发点的设备上。使用该功能重新分发和优化网络流量。

  分发点发送列在卡巴斯基安全网络声明中的 KSN 统计信息到 Kaspersky。默认下，KSN 声明位于 %ProgramFiles%\Kaspersky Lab\Kaspersky Security Center\ksneula。

  默认情况下已禁用该选项。仅当管理服务器属性窗口中已启用“使用管理服务器作为代理服务器”和“我同意使用卡巴斯基安全网络”选项时，启用此选项生效。

  您可以分配活动被动集群节点到分发点并在该节点上启用 KSN 代理服务器。

• 转发 KSN 请求到管理服务器

  分发点从受管理设备转发 KSN 请求到管理服务器。

  默认情况下已启用该选项。

• 通过互联网直接访问 KSN 云 / 私有 KSN

  分发点从受管理设备转发 KSN 请求到 KSN 云或私有 KSN。分发点本身上生成的 KSN 请求也直接发送到 KSN 云或私有 KSN。

  安装了网络代理版本 11（或更早版本）的分发点不能直接访问私有 KSN。如果要重新配置分发点以将 KSN 请求发送到私有 KSN，请为每个分发点启用“转发 KSN 请求到管理服务器”选项。

  安装了网络代理版本 12（或更高版本）的分发点可以直接访问私有 KSN。

• 当连接到私有 KSN 时忽略 KSC 代理服务器设置

  如果您在分发点属性或网络代理策略中配置了代理服务器设置，但您的网络架构要求您直接使用私有 KSN，则启用此选项。否则，从受管理应用程序的请求无法到达私有 KSN。

  如果您选择“通过互联网直接访问 KSN 云/私有 KSN”选项，则此选项可用。

• TCP 端口

  受管理设备将用于连接到 KSN 代理服务器的 TCP 端口号。默认端口号是 13111。

• 使用 UDP 端口

  如果需要受管理设备通过 UDP 端口连接到 KSN 代理，启用“使用 UDP 端口”选项，并在“UDP 端口”字段中指定端口号。默认情况下已启用该选项。连接到 KSN 代理的默认 UDP 端口是 15111。

在“更新”子区域中，可以通过启用或禁用“下载差异文件”选项来指定网络代理是否应该下载 diff 文件。（默认情况下已启用该选项。）

修订历史

在“修订历史”选项卡，您可以查看网络代理策略修订历史。您可以比较修订、查看修订以及执行高级操作，例如保存修订到文件、回滚到修订和添加/编辑修订描述。

对特别操作系统可用的网络代理策略设置在下表中给出。

网络代理策略设置