在管理控制台中创建 Light Agent for Windows 策略
2024年1月10日
ID 98771
要在管理控制台中创建 Light Agent for Windows 策略:
- 打开 Kaspersky Security Center 管理控制台。
- 在控制台树的“受管理设备”文件夹中,选择带有您想要为其受保护的虚拟机创建策略的管理组名称的文件夹。
在带有管理组名称的文件夹的“设备”选项卡上,您可以查看属于此管理组的受保护的虚拟机列表。
- 在工作区中选择“策略”选项卡。
- 单击“新建策略”按钮以启动新策略向导。
您还可以在策略列表的上下文菜单中使用“新建”→“策略”选项来启动向导。
- 在向导的第一步,从列表中选择“Kaspersky Security for Virtualization 5.2 Light Agent for Windows”。
继续向导的下一步。
- 输入新策略的名称。
- 如果要从 Kaspersky Security 以前版本的 Light Agent for Windows 策略将设置移植到正在创建的策略中,请选择“使用先前应用程序版本策略中的设置”复选框。
您可以迁移用 Kaspersky Security for Virtualization 4.0 Light Agent 或以后版本的该应用程序创建的策略设置。
继续向导的下一步。
- 您可以在此步骤中将先前保存在受保护的虚拟机上的 Light Agent for Windows 设置导入您正在创建的策略中。设置使用您可在 Light Agent 的本地界面中创建的 CFG 格式的配置文件导入。
若要导入设置,单击“选择”按钮并且在打开的“请选择配置文件”窗口选择一个带有 .cfg 扩展名的文件。配置文件路径显示在“配置文件”字段。
您只能使用由 Kaspersky Security for Virtualization 5.2 Light Agent 应用程序版本创建的配置文件。
您可以在“策略向导”接下来的步骤中编辑这些从配置文件导入的设置。
继续向导的下一步。
- 配置虚拟机控制设置。向导窗口将显示控制组件列表。
您可以执行下列操作:
- 通过使用列表中组件名称左侧的复选框启用或禁用控制组件。默认情况下,禁用应用程序启动控制和系统完整性监控组件。
- 配置每一个控制组件的设置。为此,在列表中选择控制组件并单击位于控制组件列表上方的“编辑”按钮。在打开的窗口中,配置所选组件的设置,然后单击“确定”。
- 通过 Light Agent for Windows 本地界面阻止或允许编辑每个控制组件的设置。默认情况下,阻止通过本地界面编辑所有控制设置。
如果您希望允许通过本地界面编辑控制组件设置,则在列表中选择此组件,然后单击位于组件列表上方的“打开”按钮,或单击组件名称左侧的锁定图标。
如果通过本地界面编辑组件设置被阻止,Kaspersky Security 将使用所有受保护的虚拟机上策略配置的组件操作设置。如果允许通过本地界面编辑组件设置,Kaspersky Security 将使用本地组件设置来代替策略中配置的设置。
继续向导的下一步。
- 配置虚拟机保护设置。向导窗口将显示保护组件列表。
您可以执行下列操作:
- 启用或禁用在虚拟机上自动启动应用程序,以及配置常规反病毒保护设置。为此,在列表中选择“常规保护设置”并单击位于保护组件列表上方的“编辑”按钮。在打开的窗口中,配置设置,然后单击“确定”。
- 通过使用列表中组件名称左侧的复选框启用或禁用保护组件。默认情况下启用所有保护组件。
- 为每一个保护组件配置设置。为此,在列表中选择保护组件并单击位于保护组件列表上方的“编辑”按钮。在打开的窗口中,配置所选组件的设置,然后单击“确定”。
- 通过 Light Agent for Windows 本地界面阻止或允许编辑每个保护组件的设置。默认情况下,阻止通过本地界面编辑所有保护设置。
如果您希望允许通过本地界面编辑保护组件设置,则在列表中选择此组件,然后单击位于组件列表上方的“打开”按钮,或单击组件名称左侧的锁定图标。
如果通过本地界面编辑组件设置被阻止,Kaspersky Security 将使用所有受保护的虚拟机上策略配置的组件操作设置。如果允许通过本地界面编辑组件设置,Kaspersky Security 将使用本地组件设置来代替策略中配置的设置。
继续向导的下一步。
- 配置 Light Agent 的 SVM 检测设置:
- 如果您希望使用 Integration Server,请检查用于将 SVM 连接到 Integration Server 的地址和端口。这些字段显示安装 Kaspersky Security Center 管理控制台的设备的默认端口 (7271) 和域名。您可以更改端口,并指定安装了 Integration Server 的设备的 IPv4 格式的 IP 地址或完全限定域名 (FQDN)。
如果将地址指定为 NetBIOS 名称、localhost 或 127.0.0.1,与 Integration Server 的连接将以错误结束。
如果托管 Kaspersky Security Center 管理控制台的设备不属于某个域或者您的账户不属于本地或域 KLAdmins 组或不属于本地管理员组,在进入向导的下一步时,在打开的窗口中指定 Integration Server 管理员密码(admin 账户的密码)。
新策略向导会检查从 Integration Server 接收的 SSL 证书。如果证书包含错误或未受信任,Integration Server 证书验证窗口打开。您可以查看所收到证书的详细信息。如果 SSL 证书有问题,建议您确保所利用的数据传输渠道安全。要继续连接到 Integration Server,单击忽略按钮。接收的证书将在安装了 Kaspersky Security Center 管理控制台的设备上被安装为受信任证书。
- 如果您想要使用 SVM 地址列表,请使用“添加”按钮输入一个或多个地址。
如果选择了“使用 SVM 地址的自定义列表”选项,并使用扩展 SVM 选择算法,则必须将“SVM 选择算法”部分中的“SVM 路径”参数值设置为“忽略 SVM 路径”。如果设置了任何其他值,则 Light Agent 将无法连接到 SVM。
继续向导的下一步。
- 如果您希望使用 Integration Server,请检查用于将 SVM 连接到 Integration Server 的地址和端口。这些字段显示安装 Kaspersky Security Center 管理控制台的设备的默认端口 (7271) 和域名。您可以更改端口,并指定安装了 Integration Server 的设备的 IPv4 格式的 IP 地址或完全限定域名 (FQDN)。
- 如果需要,为 Light Agent for Windows 组件配置受信任区域。“排除项”列表包含您可以包括在信任区域内或者排除在信任区域外的应用程序或应用程序供应商的名称。使用列表中的复选框指定要包括在受信任区域中的应用程序或应用程序供应商。
如果选中相应复选框,则会将为这些应用程序推荐的文件、文件夹和进程包含在信任区域中,并将这些应用程序的可执行文件自动添加到受信任的应用程序列表中。
继续向导的下一步。
- 如有需要,请配置用户和 Light Agent 本地界面之间的交互设置,和 Light Agent 运行期间发生的事件通知设置。
要确保 Kaspersky Security 可以在使用 Windows 终端服务技术的虚拟机上运行,必须清除“启动应用程序的本地界面”复选框。
如果在具有 Microsoft Windows 桌面操作系统的虚拟桌面基础架构 (VDI) 中使用 Light Agent,建议您清除“启动应用程序的本地界面”复选框以提高虚拟基础架构性能。
继续向导的下一步。
- 如果需要,配置保护对 Light Agent 功能和设置的访问的设置。为此,请执行以下操作:
- 选中“启用密码保护”复选框。
- 指定允许在 Light Agent 本地界面中访问应用程序设置的用户账户的名称和密码。
- 单击“设置”按钮,在打开的窗口中,选择将使用密码保护的 Light Agent 操作。
继续向导的下一步。
- 退出“策略向导”。
创建的策略将在“策略”选项卡上的管理组的策略列表中以及控制台树的“策略”文件夹中显示。
此策略在 Kaspersky Security Center 管理服务器将信息中继转发至 Kaspersky Security 之后应用于受保护的虚拟机。依据策略设置,Kaspersky Security 开始保护虚拟机。
如果受保护的虚拟机上不运行网络代理,所创建的策略就不会应用于受保护的虚拟机。
如果您在新策略向导的上一步中选择了“非活动策略”选项,则创建的策略不会应用于受保护的虚拟机。