Данная книга была написана под руководством литературного агентства «Сигма+» по заказу Лаборатории Касперского. Однако в дальнейшем, по словам литературного агентства «Сигма+», Лаборатория Касперского «передумала» платить за уже написанную книгу, которая до этого им нравилась. И гонорар мне так и не был выплачен. Как думаете, почему?

Как правило, в маленьких организациях устанавливается только один сервер администрирования. Но вы можете установить несколько серверов администрирования для сглаживания нагрузки на них.

Программные требования Перед установкой сервера администрирования следует учесть, что для его работы на компьютере должен быть установлен MDAC версии 2.8 или выше. А также одна из следующих баз данных: MSDE 2000 Service Pack 3, Microsoft SQL Server 2000 Service Pack 3, Microsoft SQL 2005 и выше, Microsoft SQL 2005 Express или MySQL версии 5.0.32. База данных будет использоваться для хранения сведений о работе программ Лаборатории Касперского. Сервер базы данных может быть развернут как на компьютере, на котором будет установлен сервер администрирования Kaspersky Administration Kit, так и на другом компьютере в сети. Главное, чтобы всегда можно было получить доступ к нему.

По умолчанию в Windows Vista и в Windows XP SP3 уже присутствует MDAC версии 2.8 или выше.

Вы можете скачать MSDE 2000 SP 3 с сайта Лаборатории Касперского. Кроме того, MSDE 2000 SP 3 можно найти на компакт-диске с дистрибутивом Kaspersky Administration Kit — в каталоге MSDE2KSP3.

Во время установки MSDE 2000 вам будет предложено указать папку для установки программы, папку для хранения всех баз данных, а также имя данного сервера. Если имя не указывать, тогда для адресации к серверу будет использоваться имя компьютера, на котором установлен MSDE.

Открытые порты Также следует убедиться, что на компьютерах сети открыты порты 13000 и 14000 протокола TCP (например, установленный сетевой экран не блокирует их). Эти порты используются для связи сервера обновлений с агентами обновлений. Поэтому он должен быть открыт на всех компьютерах, на которых планируется устанавливать сервер обновлений или агент обновлений.

Помимо этого порта на компьютере, где будет установлен сервер обновлений, должны быть открыты следующие порты: 13000 протокола UDP, 13292 (используется для подключения мобильных устройств) протокола TCP, а также 18000 протокола HTTP (получение данных аутентификации от Cisco NAC).

На компьютерах с установленным агентом обновления также должны быть открыты порты 13001 и 14001 протокола TCP. Они используются для подключения к серверу обновлений в том случае, если он находится на том же компьютере, что и агент обновления. Также они используются для подключения клиентского компьютера к агенту обновления, если последний был назначен в качестве распространителя инсталляционных пакетов в пределах группы.

Кроме того, на компьютерах, где будет установлена консоль администрирования, должен быть открыт порт 15000 протокола UDP. Он используется для подключения к серверу администрирования.

А теперь давайте перейдем к практике.

Ручная установка компонентов

Если установочный пакет Kaspersky Administration Kit находится на компакт-диске, рекомендуется скопировать его на компьютер для постоянного хранения. В дальнейшем он вам может понадобиться для удаленной установки дополнительных серверов администрирования.

Создание файла ответов Процесс установки начинается с распаковки установочного файла в выбранную вами папку. Как только распаковка будет завершена, автоматически начнется установка KAK (давайте сократим до этой аббревиатуры название Kaspersky Administration Kit). Рекомендую вам прервать автоматическую установку — сейчас мы с вами вручную установим сервер администрирования, параллельно создав файл ответов. Файл ответов нужен для того, чтобы при последующих установках KAK не задавалось никаких вопросов.

Итак, зайдите в папку с распакованным установочным пакетом KAK. Там вы найдете файл setup.exe, а также две папки: PACKAGES и PLUGINS. Для того чтобы запустить установку с автоматическим созданием файла ответов, необходимо запустить файл setup.exe с параметрами /r /f1"путь к создаваемому файлу ответов". Например, командой C:\kav\AdministrationKit\russian\setup.exe /r /f1"C:\kav\AdministrationKit\russian\setup.iss". Начнется процесс установки, о котором мы поговорим в следующих абзацах книги. После установки вы сможете обнаружить новый файл setup.iss в том каталоге, который вы указали в параметрах запуска. Переместите его в каталог с файлом setup.exe программы KAK. И при следующих установках сервера администрирования никакие вопросы задаваться не будут — все настройки будут браться из файла ответов.

Начало установки Во время установки вам будет предложено ввести информацию о пользователе и компании, а также указать каталог для установки.

Устанавливаемые компоненты После этого нужно выбрать компоненты, которые должны быть установлены: консоль и, опционально, агент и сервер администрирования. Также вы можете установить компонент POSTURE VALIDATION SERVER "ЛАБОРАТОРИИ КАСПЕРСКОГО" ДЛЯ CISCO NAC. Он используется для настройки взаимодействия с Cisco NAC.

Обратите внимание, что данный установочный файл позволяет инсталлировать либо консоль администрирования отдельно, либо все вместе: и консоль, и сервер и агента. Если вы снимите флажок с установки сервера администрирования, то также флажок снимется с агента администрирования.

Сейчас нам нужно установить сервер администрирования. Так что просто установите все флажки.

Вместе с сервером администрирования устанавливается серверная версия агента администрирования. Поэтому после установки сервера администрирования дополнительно устанавливать агент администрирования не нужно.

Кстати, если вы уже установили на компьютер агент администрирования, вы не сможете установить на него сервер администрирования.

Установка сервера администрирования

Сервер администрирования устанавливается в качестве службы CSADMINSERVER с именем KASPERSKY ADMINISTRATION SERVER. И вам будет предложено выбрать учетную запись, от имени которой эта служба будет запускаться (учетная запись системы или учетная запись конкретного пользователя). Если вы выбрали второй вариант, и в сети развернут домен, тогда в качестве учетной записи рекомендуется выбрать учетную запись администратора домена. Она понадобится при создании задач удаленной установки приложений.

Для полноценной работы KAK учетная запись должна обладать административными правами. А также обладать следующими правами: Вход в качестве службы, Работа в режиме операционной системы, Доступ к компьютеру из сети, Замена маркера уровня процесса, Настройка квот памяти для процесса.

Настройка SQL-сервера На следующих шагах будет предложено выбрать сервер баз данных для хранения сведений (Microsoft SQL или MySQL), а также другие данные для подключения к базе данных (имя сервера, порт, имя базы данных, режим аутентификации, логин, пароль и т.д.).

Общая папка Далее вам будет предложено указать общую папку для хранения файлов, необходимых при удаленной установке приложений, а также для размещения обновлений, копируемых с источника обновлений на сервер администрирования.

В сентябре 2008 года директор одного Уральского предприятия за день потеряла 1,5 миллиона рублей. Эти деньги были переведены со счета предприятия в банке на другие счета, и дальше затерялись в пучине мировых событий. Кто в этом виноват? Примерно в это же время на сайте банка было опубликовано сообщение об обнаружении вируса, похищающего секретные ключи клиентов…

Адрес сервера администрирования Не унывайте — скоро установка закончится, осталось совсем немножко. Во-первых, нужно еще указать адрес сервера администрирования в виде DNS-имени (если в сети есть DNS-сервер), NetBIOS-имени (если в сети есть WINS-сервер) или IP-адреса (если компьютеру назначен статический IP-адрес).

Если вы указываете NetBIOS-имя, тогда также установите флажок РАЗРЕШИТЬ СЛУЖБУ ИМЕН NETBIOS В АНТИ-ХАКЕРЕ АНТИВИРУСА КАСПЕРСКОГО 6.0, так как по умолчанию доступ к 137 порту UDP будет заблокирован компонентом АНТИ-ХАКЕР (а именно этот порт используется для работы протокола NetBIOS).

Порт для подключения Еще нужно определить порт для обычного подключения к серверу администрирования (по умолчанию 14000) и порт для защищенного подключения к серверу администрирования по протоколу SSL (по умолчанию 13000).

Сертификат И последнее — нужно указать сертификат для аутентификации сервера администрирования. Вы можете выбрать создание нового сертификата (если сервер администрирования устанавливается впервые) или восстановление сертификата из резервной копии (если вы уже устанавливали сервер администрирования, и у вас есть резервная копия сертификата).

Если вы создаете новый сертификат, тогда не забудьте установить флажок СОХРАНИТЬ РЕЗЕРВНУЮ КОПИЮ СЕРТИФИКАТА. В дальнейшем вы сможете использовать созданную резервную копию при установке сервера администрирования (выбрав вариант восстановления сертификата из резервной копии).

Вариант восстановления сертификата из резервной копии позволит восстановить данные и структуру логической сети предыдущего сервера администрирования.

Установка консоли администрирования

Как мы уже знаем, вы можете установить либо все компоненты KAK вместе, либо только одну консоль администрирования. Консоль администрирования нужно устанавливать на тех компьютерах, с которых вы собираетесь подключаться к серверу администрирования и управлять работой продуктов Лаборатории Касперского.

Процесс установки консоли администрирования проходит в автоматическом режиме. Никакие вопросы не задаются.

Обратите также внимание. Если в процессе установки сервера администрирования вы создали файл ответов, можете не убирать его перед установкой консоли администрирования. Не бойтесь — по умолчанию созданный файл ответов использоваться не будет. Созданный нами файл ответов может использоваться для создания инсталляционных пакетов. А также файл ответов будет использоваться, если вы запустите setup.exe с параметром /S.

Установка PVS

Компонент POSTURE VALIDATION SERVER "ЛАБОРАТОРИИ КАСПЕРСКОГО" ДЛЯ CISCO NAC устанавливается в качестве службы NACSERVER с именем KASPERSKY LAB CISCO NAC POSTURE VALIDATION SERVER.

Никаких дополнительных действий для его установки не требуется.

Ручная установка агента администрирования

Итак, вы установили сервер администрирования, а также консоли администрирования на всех тех компьютерах, с которых предполагается работа с сервером администрирования. Осталось только установить на все контролируемые компьютеры агенты администрирования. Это можно сделать либо вручную, либо с помощью сервера администрирования. Давайте сначала рассмотрим процесс ручной установки агента.

Для того чтобы вручную установить только агент администрирования (без сервера), необходимо воспользоваться файлом setup.exe из каталога PACKAGES/NET AGENT папки установочного пакета KAK. Кстати, установочный пакет агента администрирования также поддерживает возможность создания и использования файла ответов.

Агент администрирования также устанавливается в качестве службы — службы KLNAGENT с именем KASPERSKY NETWORK AGENT. Совместно с агентом администрирования всегда устанавливается плагин для работы с Cisco NAC. Данный плагин используется, если на компьютере установлено приложение Cisco Trust Agent.

Вам будет предложено указать каталог для установки агента администрирования, а также параметры подключения к серверу администрирования (адрес компьютера, на котором установлен сервер администрирования, нужно ли открывать 137 порт UDP, а также определить номера портов для обычного и защищенного подключения к серверу администрирования).

Также в процессе установки можно указать настройки прокси-сервера, если подключение к серверу администрирования должно осуществляться через прокси-сервер.

Формирование групп Далее нужно выбрать, в какую папку группы СЕТЬ должен добавляться данный компьютер при его обнаружении сервером администрирования. Вы можете вручную указать название папки, либо использовать режим, при котором компьютер будет добавляться в папку, соответствующую его положению в сети Windows (по названию домена или рабочей группы).

Получение сертификата Осталось только выбрать способ получения сертификата сервера администрирования. Сертификат можно получить с сервера администрирования (получение при первом подключении к серверу администрирования), либо же самостоятельно указать местоположение, откуда сертификат можно загрузить.

По умолчанию сертификат имеет расширение CER, и хранится в каталоге CERT папки установки Kaspersky Administration Kit на сервере администрирования.

Продолжение следует