关于对 Kaspersky Security Center 中的策略设置和任务的访问权限
2024年1月10日
ID 77218
为每个有权访问 Kaspersky Security Center 管理服务器的用户定义了访问策略设置和任务(读、写和执行)的权限。在 Kaspersky Security Center 管理控制台中,您可以授予用户账户在 Kaspersky Security 的功能范围内执行某些操作的权限。
当使用 Web 控制台通过 Kaspersky Security Center 管理 Kaspersky Security 时,无法区分对 Kaspersky Security 功能范围的访问权限。使用在管理控制台中配置的 Kaspersky Security 策略和任务执行操作的用户权限在 Web 控制台中不予考虑。
为 Protection Server 组件分配了一个功能范围:基本功能。该功能范围包括以下设置和功能:
- SVM 与 Integration Server 的连接设置。
- Light Agent 与 SVM 的连接设置。
- SNMP 监控设置。
- KSN 使用设置。
- SVM 高级设置。
- 应用程序激活任务。
- 应用程序数据库更新任务和最新的应用程序数据库更新回滚任务。
- SVM 应用程序模块更新任务。
为 Light Agent for Windows 组件分配了以下功能范围:
- 保护组件。该功能范围包括以下设置和功能:
- 启用和禁用 File Anti-Virus for Windows。
- File Anti-Virus for Windows 设置:
- 文件安全级别。
- 应用程序检测到感染文件时执行的操作。
- 文件反病毒保护范围。
- 扫描复合文件、优化、和扫描模式设置。
- 自动暂停文件反病毒。
- 使用启发式分析和 iSwift 扫描技术。
- 启用和禁用 AMSI 保护。
- 针对 AMSI 请求扫描对象时复合文件的扫描设置。
- 启用和禁用邮件反病毒。
- “邮件反病毒”设置:
- 邮件安全级别。
- 应用程序检测到被感染的电子邮件消息时执行的操作。
- 邮件反病毒保护范围。
- 扫描消息附件复合文件和按类型筛选附件的设置。
- 为 Microsoft Office Outlook 使用启发式分析和邮件反病毒扩展程序。
- 启用和禁用网页反病毒。
- “网页反病毒”设置:
- 网页流量安全级别。
- 应用程序在网页流量中检测到恶意对象时执行的操作。
- 启用和禁用根据钓鱼网站和恶意网址数据库扫描网址。
- 使用启发式分析和网页反病毒的网页流量缓存的持续时间。
- 受信任网址列表。
- Light Agent for Windows 的病毒扫描任务。
- 基本功能。该功能范围包括以下设置和功能:
- Light Agent 与 SVM 的连接设置。
- 网络流量监控设置。
- 从安全连接扫描中排除的域列表。
- 报告和备份设置。
- 应用程序自我保护设置。
- Light Agent for Windows 本地界面设置。
- 对本地界面中的应用程序设置的访问进行密码保护。
- 从本地界面管理任务的设置。
- 可移动驱动器连接时的扫描设置。
- 应用程序自动启动设置。
- 高级清除设置。
- 更改程序组件任务。
- 与卡巴斯基 Managed Detection and Respons 之间的交互设置。
- 应用程序控制。该功能范围包括以下设置和功能:
- 启用和禁用应用程序启动控制。
- 应用程序启动控制设置:
- Kaspersky Security 在检测到尝试启动应用程序启动控制规则不允许的应用程序时采取的操作。
- 配置和使用应用程序类别和应用程序启动控制规则。
- 可执行模块和驱动程序启动控制。
- 配置应用程序启动控制消息模板。
- 启用和禁用应用程序权限控制。
- 应用程序权限控制设置:
- 配置和使用应用程序控制规则。
- 保护操作系统资源。
- 清查任务和获取有关安装在受保护的虚拟机上的应用程序的信息。
- 设备控制。该功能范围包括以下设置和功能:
- 启用和禁用设备控制。
- “设备控制”设置:
- 设备访问规则。
- 连接总线访问规则。
- 配置“设备控制”消息模板。
- Web 控制。该功能范围包括以下设置和功能:
- 启用和禁用 Web 控制。
- “Web 控制”设置:
- 配置和使用 Web 资源访问规则。
- 配置“Web 控制”消息模板。
- 入侵防护。该功能范围包括以下设置和功能:
- 启用或禁用防火墙。
- 配置和使用网络数据包规则和应用程序网络规则。
- 启用或禁用反网络攻击。
- 用于阻止攻击设备的设置。
- 检测到网络攻击时从拦截中排除的 IP 地址列表。
- 虚拟机主动防护。
- 保护共享文件夹抵御外部加密。
- 恶意软件操作回滚。
- 系统完整性监控。该功能范围包括以下设置和功能:
- 启用或禁用系统完整性监控。
- 系统完整性监控范围和系统完整性检查范围。
- 基线更新任务。
- “系统完整性检查”任务。
- 系统完整性监控组件日志。
- 信任区域。该功能范围包括以下设置和功能:
- 从扫描中排除的对象和应用程序的列表。
- 启用和禁用排除项的使用。
- 受信任应用程序列表。
为 Light Agent for Linux 组件分配了以下功能范围:
- 保护组件。该功能范围包括以下设置和功能:
- 启用和禁用 File Anti-Virus for Linux。
- File Anti-Virus for Linux 设置:
- 文件安全级别。
- 应用程序检测到感染文件时执行的操作。
- 文件反病毒保护范围。
- 扫描复合文件和扫描模式设置。
- 使用启发式分析和 iChecker 扫描技术。
- Light Agent for Linux 的病毒扫描任务。
- 基本功能。该功能范围包括以下设置和功能:
- Light Agent 与 SVM 的连接设置。
- 备份设置。
- 信任区域。该功能范围包括以下设置和功能:
- 从扫描中排除的对象和应用程序的列表。
- 启用和禁用排除项的使用。
无论用户账户是否有 Kaspersky Security 功能范围内的权限,以下操作对用户可用:
- 查看策略设置。
- 创建策略。
当创建策略时,用户只能配置与用户账户有修改权限的功能范围有关的设置。
要执行下列策略和任务操作,用户账户必须具有 Kaspersky Security 的功能范围内的权限:
- 重新配置之前保存的策略必须有那些设置的功能范围内的读取和修改权限。
- 修改策略状态(激活/未激活)和删除策略必须有用“锁定”关闭的策略设置的功能范围内的读取和修改权限。如果策略的设置用“锁定”关闭(换言之,对于这些设置禁止更改子策略和应用程序本地界面中的参数),而用户没有这些设置的功能范围内的读取和修改权限,则不可能删除或修改策略状态。如果策略设置没有禁止在子策略或应用程序的本地界面中修改参数,则用户可以删除或修改策略状态,与应用程序的功能范围内的账户权限无关。
- 创建、删除和配置任务设置必须有任务的功能范围内的读取和修改权限。
- 查看任务设置必须有任务的功能范围内的读取权限。
- 运行任务必须有任务的功能范围内的执行权限。
您可以在 Kaspersky Security Center 管理服务器的属性窗口的 安全性 区域中配置 Kaspersky Security 功能范围的访问权限。
默认 安全性 区域在管理服务器属性窗口中不显示。要显示“安全性”区域,请在“配置界面”窗口中选择“显示安全性设置区域”复选框(“查看”→“配置界面”菜单)并重启 Kaspersky Security Center 管理控制台。
有关 Kaspersky Security Center 对象访问权限的更多详情,请参阅 Kaspersky Security Center 帮助。