Kaspersky Security Center 10

Posted on
Security

Изучение продуктов Лаборатории Касперского. Установка Kaspersky Security Center 10 Урок 1. Kaspersky Security Center 10 имеет возможность удаленной установки программного обеспечения на компьютеры управляемых групп. Чтобы выполнить удаленную установку, в первую очередь, необходимо создать инсталляционный пакет. Инсталляционный пакет создается в консоли.

Как это ни странно, я нашёл на Хабре всего — и ту в песочнице и сильно незаконченную фактически содержащую в себе маленький кусочек чуть переделанной справки по продукту. Да и Google по запросу klakaut молчит.

Я не собираюсь рассказывать, как администрировать иерархию Kaspersky Security Center (далее по тексту KSC) из командной строки — мне это пока не понадобилось ни разу. Просто хочу поделиться некоторыми соображениями по поводу средств автоматизации с теми, кому это может понадобиться, и разберу один кейс, с которым мне пришлось столкнуться.

Если тебе,%habrauser%, эта тема будет интересной — добро пожаловать под кат. Исторически сложилось так, что в качестве средства антивирусной защиты на работе я предпочитаю продукты Лаборатории Касперского (далее ЛК). Причины и прочие священные войны личных мнений, пожалуй, оставим за кадром. Естественно, хотелось бы централизованно развернуть, защитить, оградить и не пущать рисовать красивые графики, интегрироваться в существующие системы мониторинга и заниматься прочим перекладыванием работы с больной головы на здоровый сервер. И если с развёртыванием и защитой тут всё более или менее в порядке (у ЛК даже есть какие-то ), то с интеграцией уже сильно грустнее: в последней на текущий момент версии появилась интеграция аж с двумя SIEM: Arcsight и Qradar. Для интеграции в что-то своё KSC предоставляет аж 2 интерфейса:.: в БД KSC есть ряд представлений с именами, начинающимися на «vakpub», из которых можно достать какую-то информацию о состоянии антивирусной защиты.: DCOM-объект, позволяющий скриптовать работу с KSC. По обоим пунктам есть документация в составе KSC, как это и указано в статьях, на которые я дал ссылки.

Правда, документация эта вызывает ряд вопросов, которые можно задать в службу поддержки корпоративных продуктов CompanyAccount и получить ответ вида «Уточнили информацию. К сожалению, поддержка по скриптам для klakaut не оказывается.». Минусы klakdb очевидны: чтобы напрямую обратиться к БД, нужно иметь к этой БД доступ, что приводит к необходимости лишних телодвижений по созданию правил доступа в межсетевых экранах, настройке прав доступа на серверах СУБД и прочему крайне неувлекательному времяпрепровождению. Ну и плюс мониторинг актуальности всех этих правил, естественно. Особенно интересно становится, когда имеется 20+ серверов — и все в разных филиалах, в каждом из которых свои администраторы.

Ну и вишенки на этом торте: доступ исключительно Read Only и, мягко говоря, неполная информация о среде. Плюсы не столь очевидны, но тоже есть: можно очень быстро выгрузить по одному серверу статистическую информацию по количеству хостов, используемым версиям антивирусов и антивирусных баз, а главное — можно весьма удобно (удобство зависит от знания SQL) работать с зарегистрированными на KSC событиями антивирусной инфраструктуры. Klakaut в этом плане значительно более интересен: подключившись к корневому серверу иерархии, можно средствами самого KSC пройтись по оной иерархии и получить доступ ко всем нужным данным.

Например, построить дерево серверов KSC с пометкой, кто из них живой, а кто нет, позапускать задачи, поперемещать компьютеры и вообще дать волю фантазии. Минусы тоже есть, естественно: долго и сложно. Если нужно собрать какую-то статистику — нужно будет сначала долго писать скрипт, а потом долго ловить баги ждать, когда он отработает. Вообще в боевой среде неплохо бы проверять при вызове EnableImpersonation возвращаемое значение на предмет ошибок, а не перенаправлять его в никуда, как это сделал я. Следующая задача: получить от KSC данные об используемой БД. А вот тут всё сложно: документация о том, как это сделать, молчит.

Исследование класса KlAkProxy ничего интересного не выявило, кроме параметра KLADMSRVSERVERHOSTNAME, который оказался идентификатором компьютера, на котором установлен KSC. Перейдём тогда к компьютеру, для этого есть специальный класс KlAkHosts2.

Для сокращения количества кода приведу только содержимое блока try. KLSRVSERVERINSTANCENAME =. KLSRVDATABASENAME = KAV KLSRVCONNECTIONDATA = KLDBCONDB = KAV KLDBCONDBTYPE = MSSQLSRV KLDBCONHOST =.

Kaspersky Security Center 10 Скачать

Тут я воспользовался одним из предыдущих кейсов, где упоминалось, что нужные данные следует брать именно из KLSRVCONNECTIONDATA (тогда я ещё не знал, что это вообще такое, просто отложилось). Ну, вот, в общем-то, и всё. Данные об используемой БД получены. Квест пройден. Наверное, ещё неплохо бы набросать скрипт для прохождения по иерархии серверов.

Здесь ничего загадочного не оказалось, всё было вполне по документации. Я написал скрипт, который выбирает UID родителя, UID самого сервера, экземпляр СУБД и имя БД и выводит их в stdout через разделитель. ParentPxyId KLADMSRVSERVERHOSTNAME KLDBCONHOST KLDBCONDB Root 9d476a75-1e36-4c0e-8145-56e5b888df67. KAV 9d476a75-1e36-4c0e-8145-56e5b888df67 ef4fc3be-3abd-4322-ae35-2c50afdce780. KAVCSADMINKIT KAV Естественно, чтобы превратить точку в актуальное имя сервера, придётся поколдовать с KlAkHosts2.GetHostInfo, но это уже не столь страшно, просто ещё сколько-то кода. Техподдержка ЛК, естественно, пугала меня тем, что структура SSSETTINGS в следующих релизах KSC может поменяться, поэтому так лучше не делать. К сожалению, даже мой внутренний перфекционист считает, что скрипт нельзя просто написать и забыть: при смене версии используемого ПО его по-любому придётся тестировать и отлаживать.

Так что пока пользуемся тем, что есть, а проблемы будем решать по мере поступления, благо, техника уже отработана. Метки:. Добавить метки Пометьте публикацию своими метками Метки лучше разделять запятой. Например: программирование, алгоритмы. Логику по назначению задачи (с учетом массовых завалов алертами и прочим) планировалось перенести на отдельную систему. С группой интересно, хотя и не очень подходит в моем случае.

Через klakaut можно будет узнать статус групповой задачи для конкретного хоста (ждет/запущена/успех/ошибка?)? Мы вытягиваем из KSC и анализируем во врешних системах немалое количество информации (по ПО, оборудованию, состоянию баз, подключению агентов, активных учетках и т.п.), правда работаем напрямую с базой (даже зачастую не с готовыми публичными вьюхами) под зарезанной в правах учеткой. АПИ klakaut меня испугало если честно) Хоят смотрел на него пару раз только.

1 Kaspersky Security Center 10 Лучшие практики ВЕРС ИЯ П РО ГР АМ М Ы: 10 S E R V I C E P A C K 1 2 Уважаемый пользователь! Спасибо за то, что выбрали наш продукт.

Мы надеемся, что этот документ поможет вам в работе и ответит на большинство возникающих вопросов. Права на этот документ являются собственностью АО «Лаборатория Касперского» (далее также «Лаборатория Касперского») и защищены законодательством Российской Федерации об авторском праве и международными договорами. За незаконное копирование и распространение документа и его отдельных частей нарушитель несет гражданскую, административную или уголовную ответственность в соответствии с применимым законодательством. Копирование в любой форме, распространение, в том числе в переводе, любых материалов возможны только с письменного разрешения «Лаборатории Касперского». Документ и связанные с ним графические изображения могут быть использованы только в информационных, некоммерческих или личных целях. Документ может быть изменен без предварительного уведомления. Последнюю версию документа вы можете найти на сайте «Лаборатории Касперского» по адресу За содержание, качество, актуальность и достоверность используемых в документе материалов, права на которые принадлежат другим правообладателям, а также за возможный ущерб, связанный с использованием этих материалов, «Лаборатория Касперского» ответственности не несет.

34 Л У Ч Ш И Е П Р А К Т И К И ТИПОВАЯ КОНФИГУРАЦИЯ: ОДИН ОФИС В типовой конфигурации «один офис» все компьютеры находятся в сети предприятия и «видят» друг друга. Сеть предприятия может состоять из нескольких выделенных «частей» (сетей или сегментов сети), связанных узкими каналами. Возможны следующие способы построения структуры групп администрирования: Построение структуры групп администрирования с учетом топологии сети. Структура групп администрирования не обязательно должна точно отражать топологию сети. Достаточно того, чтобы выделенным частям сети соответствовали какие-либо группы администрирования. Можно использовать автоматическое назначение агентов обновлений, либо назначать агенты обновлений вручную.

Построение структуры групп администрирования, не отражающей топологию сети. В этом случае следует отключить автоматическое назначение агентов обновлений, и в каждой выделенной части сети назначить один или несколько компьютеров агентами обновлений на корневую группу администрирования, например, на группу Управляемые компьютеры. Все агенты обновлений окажутся на одном уровне и будут иметь одинаковую область действия «все компьютеры сети предприятия». Каждый Агент администрирования версии 10 SP1 или более поздней версии в таком случае будет подключаться к тому агенту обновлений, маршрут к которому является самым коротким. Маршрут к агенту обновлений можно определить с помощью утилиты tracert. Назначать агенты обновлений вручную следует из расчета обслуживаемых компьютеров на каждый агент обновлений. Агентами обновлений следует назначать мощные компьютеры с достаточным количеством свободного места на диске (см.

Kaspersky Security Center 10 Обновление

Раздел «Оценка места на диске для агента обновлений» на стр. Агенты обновления не следует часто выключать, на них должен быть выключен «спящий режим». ТИПОВАЯ КОНФИГУРАЦИЯ: МНОЖЕСТВО НЕБОЛЬШИХ ИЗОЛИРОВАННЫХ ОФИСОВ Этой типовой конфигурации соответствует множество небольших удаленных офисов, возможно, связанных с главным офисом через интернет.

Каждый из удаленных офисов находится за NAT, то есть подключение из одного удаленного офиса в другой невозможно офисы «изолированы» друг от друга. Конфигурацию следует обязательно отразить в структуре групп администрирования: для каждого из удаленных офисов следует создать отдельную группу администрирования (группы Офис 1, Офис 2 на рисунке ниже). Создание задачи рассылки отчета На каждую группу администрирования, соответствующую офису, нужно назначить один или несколько агентов обновлений.

Kaspersky Security Center 10 Восстановление Из Резервной Копии

Агентами обновлений нужно назначать компьютеры удаленного офиса, имеющие достаточно места на диске (см. Раздел «Оценка места на диске для агента обновлений» на стр. Компьютеры, размещенные, например, в группе Офис 1, будут обращаться к агентам обновлений, назначенным на группу администрирования Oфис 1. Если некоторые пользователи физически перемещаются между офисами с ноутбуками, нужно в каждом удаленном офисе дополнительно к упомянутым выше агентам обновлений выбрать два и или более компьютеров и назначить их агентами обновлений на группу администрирования верхнего уровня (группа Корневая группа для офисов на рисунке выше).